Sie integrieren Ihr Unternehmensverzeichnis mit VMware Identity Manager, um Benutzer und Gruppen aus Ihrem Unternehmensverzeichnis mit dem VMware Identity Manager-Dienst zu synchronisieren.

1. Melden Sie sich bei der VMware Identity Manager-Konsole als Admin-Benutzer mit dem festgelegten Kennwort an.
   Sie sind dann als ein lokaler Administrator angemeldet. Die Seite „Verzeichnisse“ wird angezeigt. Bevor Sie ein Verzeichnis hinzufügen, stellen Sie sicher, dass Sie Verzeichnisintegration mit VMware Identity Manager auf Anforderungen und Einschränkungen überprüfen.
2. Klicken Sie auf die Registerkarte Identitäts- und Zugriffsverwaltung.
3. Klicken Sie auf Einrichten > Benutzerattribute, um die Benutzerattribute zur Synchronisierung mit dem Verzeichnis auszuwählen.
   Es werden die Standardattribute aufgeführt und Sie können die erforderlichen Attribute auswählen. Wenn ein Attribut als erforderlich markiert ist, werden nur Benutzer mit diesem Attribut mit dem Dienst synchronisiert. Sie haben auch die Möglichkeit, andere Attribute hinzuzufügen.

   Wichtig: Nach der Erstellung eines Verzeichnisses können Sie ein vorhandenes Attribut allerdings nicht als erforderliches Attribut definieren. Sie müssen die Auswahl jetzt durchführen.

   Bitte beachten Sie, dass die Einstellungen auf der Seite „Benutzerattribute“ für alle Verzeichnisse im Dienst gelten. Wenn Sie ein Attribut als erforderlich markieren, sollten Sie die Auswirkung auf andere Verzeichnisse bedenken. Wenn ein Attribut als erforderlich markiert ist, werden Benutzer ohne dieses Attribut nicht mit dem Dienst synchronisiert.

   Wichtig: Wenn Sie XenApp-Ressourcen mit dem VMware Identity Manager synchronisieren möchten, müssen Sie distinguishedName als erforderliches Attribut festlegen.
4. Klicken Sie auf Speichern.
5. Klicken Sie auf die Registerkarte Identitäts- und Zugriffsverwaltung.
6. Klicken Sie auf der Seite „Verzeichnisse“ auf Verzeichnis hinzufügen, und wählen Sie je nach dem zu integrierenden Verzeichnistyp die Option Active Directory über LDAP/IWA hinzufügen oder LDAP-Verzeichnis hinzufügen.
   Sie können auch ein lokales Verzeichnis im Dienst erstellen. Weitere Informationen zur Verwendung lokaler Verzeichnisse finden Sie im Administratorhandbuch für VMware Identity Manager.
7. Führen Sie diese Schritte für Active Directory aus.
   1. Geben Sie einen Namen für das Verzeichnis ein, das Sie in VMware Identity Manager erstellen, und wählen Sie den Verzeichnistyp aus, entweder Active Directory über LDAP oder Active Directory (integrierte Windows-Authentifizierung).
   2. Geben Sie die Verbindungsinformationen an.

      Option	Beschreibung
      Active Directory über LDAP	Im Textfeld Synchronisierungs-Konnektor wählen Sie den Connector für die Synchronisierung von Benutzern und Gruppen aus Active Directory mit dem VMware Identity Manager-Verzeichnis aus. Standardmäßig ist immer eine Konnektorkomponente mit dem VMware Identity Manager-Dienst verfügbar. Dieser Connector wird im Dropdown-Menü angezeigt. Wenn Sie mehrere VMware Identity Manager-Appliances für eine Hochverfügbarkeit installieren, erscheint die Konnektorkomponente von jeder Appliance in der Liste. Wählen Sie im Textfeld Authentifizierung Ja aus, wenn Sie dieses Active Directory für die Authentifizierung von Benutzern verwenden möchten. Wenn Sie die Authentifizierung der Benutzer mit einem externen Identitätsanbieter durchführen möchten, klicken Sie auf Nein. Nachdem Sie die Active Directory-Verbindung zur Synchronisierung von Benutzern und Gruppen konfiguriert haben, öffnen Sie die Seite Identitäts- und Zugriffsmanagement > Einrichten > Identitätsanbieter, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen. Wählen Sie im Feld Verzeichnissuchattribut das Kontoattribut aus, das den Benutzernamen enthält. Wenn das Active Directory die DNS-Dienstspeicherort-Suche verwendet, treffen Sie die nachfolgend aufgeführte Auswahl. Aktivieren Sie im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort. Wenn Active Directory eine STARTTLS-Verschlüsselung erfordert, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das Active Directory-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Textfeld SSL-Zertifikat ein. Stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt, und fügen Sie die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ ein. Hinweis: Wenn für das Active Directory STARTTLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen. Wenn das Active Directory nicht die DNS-Dienstspeicherort-Suche verwendet, treffen Sie die folgende Auswahl. Stellen Sie sicher, dass im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, und geben Sie den Active Directory-Serverhostnamen und die Portnummer ein. Informationen zum Konfigurieren des Verzeichnisses als globalen Katalog finden Sie im Abschnitt „Mehrere Domänen in einer einzelnen Active Directory-Struktur“ unter „Active Directory-Umgebungen“ in Verzeichnisintegration mit VMware Identity Manager. Wenn für das Active Directory ein Zugriff über eine SSL-Verschlüsselung erforderlich ist, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das Active Directory-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Textfeld SSL-Zertifikat ein. Stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt, und fügen Sie die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ ein. Hinweis: Wenn für das Active Directory SSL erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen. Aktivieren Sie im Abschnitt Kennwortänderung zulassen die Option Kennwortänderung aktivieren, wenn Benutzer ihr Kennwort auf der VMware Identity Manager-Anmeldeseite zurücksetzen dürfen, wenn das Kennwort abläuft oder wenn der Active Directory-Administrator das Kennwort des Benutzers zurücksetzt. Geben Sie im Textfeld Basis-DN den Namen der Domäne an, in der die Kontosuche beginnen soll. Beispiel: OU=MeineEinheit,DC=MeineFirma,DC=com. Geben Sie im Textfeld Bind-DN das Konto an, das nach Benutzern suchen kann. Beispiel: CN=Bind-Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=com. Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft. Nach Eingabe des Bind-Kennworts klicken Sie auf Verbindung testen, um zu überprüfen, ob das Verzeichnis eine Verbindung mit Active Directory herstellen kann.
      Active Directory (integrierte Windows-Authentifizierung)	Im Textfeld Synchronisierungs-Konnektor wählen Sie den Connector für die Synchronisierung von Benutzern und Gruppen aus Active Directory mit dem VMware Identity Manager-Verzeichnis aus. Standardmäßig ist immer eine Konnektorkomponente mit dem VMware Identity Manager-Dienst verfügbar. Dieser Konnektor wird in der Dropdown-Liste angezeigt. Wenn Sie mehrere VMware Identity Manager-Appliances für eine Hochverfügbarkeit installieren, erscheint die Konnektorkomponente von jeder Appliance in der Liste. Wählen Sie im Textfeld Authentifizierung Ja aus, wenn Sie dieses Active Directory für die Authentifizierung von Benutzern verwenden möchten. Wenn Sie die Authentifizierung der Benutzer mit einem externen Identitätsanbieter durchführen möchten, klicken Sie auf Nein. Nachdem Sie die Active Directory-Verbindung zur Synchronisierung von Benutzern und Gruppen konfiguriert haben, öffnen Sie die Seite Identitäts- und Zugriffsmanagement > Einrichten > Identitätsanbieter, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen. Wählen Sie im Feld Verzeichnissuchattribut das Kontoattribut aus, das den Benutzernamen enthält. Wenn das Active Directory eine STARTTLS-Verschlüsselung erfordert, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das aktive Verzeichnis-Stammzertifizierungsstellen-Zertifikat und fügen Sie es in das Textfeld SSL-Zertifikat ein. Stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt, und fügen Sie die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ ein. Wenn das Verzeichnis über mehrere Domänen verfügt, fügen Sie die Stammzertifizierungsstellen-Zertifikate für alle Domänen gleichzeitig hinzu. Hinweis: Wenn für das Active Directory STARTTLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen. Aktivieren Sie im Abschnitt Kennwortänderung zulassen die Option Kennwortänderung aktivieren, wenn Benutzer ihr Kennwort auf der VMware Identity Manager-Anmeldeseite zurücksetzen dürfen, wenn das Kennwort abläuft oder wenn der Active Directory-Administrator das Kennwort des Benutzers zurücksetzt. Geben Sie im Feld Bind-Benutzer-UPN den Benutzer-Prinzipalnamen des Benutzers an, der sich bei der Domäne authentifizieren kann. Beispiel: [email protected]. Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft. Geben Sie das Bind-DN-Benutzer-Kennwort ein.

   3. Klicken Sie auf Speichern und weiter.
      Daraufhin wird die Seite mit der Liste der Domänen angezeigt.
8. Führen Sie diese Schritte für LDAP-Verzeichnisse aus.
   1. Geben Sie die Verbindungsinformationen an.

      Option	Beschreibung
      Verzeichnisname	Ein Name für das Verzeichnis, das Sie in VMware Identity Manager erstellen.
      Verzeichnissynchronisierung und Authentifizierung	Wählen Sie im Textfeld Synchronisierungs-Konnektor den Konnektor aus, der für die Synchronisierung von Benutzern und Gruppen aus Ihrem LDAP-Verzeichnis mit dem VMware Identity Manager-Verzeichnis verwendet werden soll. Standardmäßig ist immer eine Konnektorkomponente mit dem VMware Identity Manager-Dienst verfügbar. Dieser Konnektor wird in der Dropdown-Liste angezeigt. Wenn Sie mehrere VMware Identity Manager-Appliances für eine Hochverfügbarkeit installieren, erscheint die Konnektorkomponente von jeder Appliance in der Liste. Sie benötigen keinen separaten Konnektor für ein LDAP-Verzeichnis. Ein Connector kann mehrere Verzeichnisse unterstützen – unabhängig davon, ob es sich dabei um Active Directory oder LDAP-Verzeichnisse handelt. Wählen Sie im Textfeld Authentifizierung Ja aus, wenn Sie dieses LDAP-Verzeichnis für die Authentifizierung von Benutzern verwenden möchten. Wenn die Authentifizierung der Benutzer durch einen externen Identitätsanbieter erfolgen soll, wählen Sie Nein. Nach dem Hinzufügen der Verzeichnis-Verbindung zur Synchronisierung von Benutzern und Gruppen öffnen Sie die Seite Identitäts- und Zugriffsmanagement > Verwalten > Identitätsanbieter, um den externen Identitätsanbieter zur Authentifizierung hinzuzufügen. Geben Sie im Textfeld Verzeichnissuchattribut das für den Benutzernamen zu verwendende LDAP-Verzeichnisattribut an. Wenn das Attribut nicht aufgeführt ist, wählen Sie Benutzerdefiniert aus und geben Sie den Attributnamen ein. z. B.cn.
      Server-Speicherort	Geben Sie den Host und die Portnummer des LDAP-Verzeichnisservers ein. Für den Server-Host können Sie entweder den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse angeben. Z. B. meinLDAPserver.beispiel.com oder 100.00.00.0. Wenn sich hinter einem Lastausgleichsdienst ein Server-Cluster befindet, geben Sie stattdessen die Informationen zum Lastausgleichsdienst ein.
      LDAP-Konfiguration	Geben Sie die LDAP-Suchfilter und -Attribute an, die VMware Identity Manager zur Abfrage Ihres LDAP-Verzeichnisses verwenden kann. Standardwerte werden auf Basis des LDAP-Grundschemas bereitgestellt. LDAP-Abfragen Gruppen abrufen: Der Suchfilter zum Abrufen von Gruppenobjekten. Z. B.: (Objektklasse=Gruppe) Verbindungsbenutzer abrufen: Der Suchfilter zum Abrufen des Objekts Verbindungsbenutzer, d. h. des Benutzers, der eine Verbindung zum Verzeichnis herstellen kann. Z. B.: (Objektklasse=Person) Benutzer abrufen: Der Suchfilter zum Abrufen der zu synchronisierenden Benutzer. Z. B.:(&(Objektklasse=Benutzer)(Objektkategorie=Person)) Attribute Mitgliedschaft: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren der Mitglieder einer Gruppe verwendet wird. Z. B.: Mitglied Objekt-UUID: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren der UUID eines Benutzers oder einer Gruppe verwendet wird. Z. B.: EingabeUUID Eindeutiger Name: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren des eindeutigen Namens eines Benutzers oder einer Gruppe verwendet wird. Z. B.: EingabeDN
      Zertifikate	Wenn Ihr LDAP-Verzeichnis den Zugriff über SSL erfordert, aktivieren Sie die Option Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL, und geben Sie das Stammzertifizierungsstellen-SSL-Zertifikat des LDAP-Verzeichnisservers mittels Kopieren und Einfügen ein. Stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt, und fügen Sie die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ ein.
      Details des Bind-Benutzers	Basis-DN: Geben Sie die DN ein, ab der die Suche starten soll. Z. B.: cn=Benutzer,dc=Beispiel,dc=com Bind-DN: Geben Sie den für die Verbindung zum LDAP-Verzeichnis zu verwendenden Benutzernamen ein. Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft. Bind-DN-Kennwort: Geben Sie das Kennwort für den Bind-DN-Benutzer ein.

   2. Zum Testen der Verbindung zum LDAP-Verzeichnisserver klicken Sie auf Verbindung testen.
      Wenn keine Verbindung hergestellt werden kann, prüfen Sie die von Ihnen eingegebenen Informationen, und nehmen Sie entsprechende Änderungen vor.
   3. Klicken Sie auf Speichern und weiter.
      Dann wird die Seite mit der Domäne angezeigt.
9. Für ein LDAP-Verzeichnis kann die aufgeführte Domäne nicht geändert werden.
   Für Active Directory über LDAP sind die Domänen aufgeführt und können nicht geändert werden.

   Bei Verwendung von „Active Directory (integrierte Windows-Authentifizierung)“ wählen Sie die Domänen aus, die dieser Active Directory-Verbindung zugeordnet werden sollen.

   Hinweis: Wenn Sie nach der Verzeichniserstellung eine Domäne mit Vertrauensbeziehung hinzufügen, erkennt der Dienst nicht automatisch die neue Domäne mit Vertrauensbeziehung. Damit der Dienst die Domäne erkennen kann, muss der Connector die Domäne verlassen und ihr dann erneut beitreten. Wenn der Connector erneut der Domäne beitritt, wird die Domäne mit Vertrauensbeziehung in der Liste angezeigt.

   Klicken Sie auf Weiter.

10. Überprüfen Sie, ob die VMware Identity Manager-Attributnamen den richtigen Active Directory- oder LDAP-Attributen zugeordnet sind. Nehmen Sie ggf. Änderungen vor.
    Wichtig: Wenn Sie ein LDAP-Verzeichnis integrieren, müssen Sie eine Zuordnung für das Attribut Domäne angeben.
11. Klicken Sie auf Weiter.
12. Wählen Sie die Gruppen aus, die aus Ihrem Active Directory- oder LDAP-Verzeichnis mit dem VMware Identity Manager-Verzeichnis synchronisiert werden sollen.

    Option	Beschreibung
    Gruppen-DNs angeben	Zum Auswählen von Gruppen geben Sie einen oder mehrere Gruppen-DNs an und wählen die Gruppen an, die sich darunter befinden. Klicken Sie auf + und geben Sie den Gruppen-DN an. Beispielsweise: CN=Benutzer,DC=Beispiel,DC=com Wichtig: Geben Sie Gruppen-DNs an, die sich unter dem von Ihnen eingegebenen Basis-DN befinden. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden. Klicken Sie auf Gruppen suchen. In der Spalte Gruppen für die Synchronisation ist die Anzahl der Gruppen aufgeführt, die im DN gefunden wurden. Um alle Gruppen in dem DN auszuwählen, klicken Sie auf Alle auswählen, klicken Sie ansonsten auf Auswählen und wählen Sie die spezifischen Gruppen für die Synchronisierung aus. Hinweis: Wenn Ihr LDAP-Verzeichnis mehrere Gruppen mit dem gleichen Namen enthält, müssen Sie für sie eindeutige Namen in VMware Identity Manager angeben. Sie können den Namen ändern, während Sie die Gruppe auswählen. Hinweis: Wenn Sie eine Gruppe synchronisieren, werden alle Benutzer, für die „Domänenbenutzer“ nicht die primäre Gruppe in Active Directory darstellt, nicht synchronisiert.
    Geschachtelte Gruppenmitglieder synchronisieren	Die Option Mitglieder verschachtelter Gruppen synchronisieren ist standardmäßig aktiviert. Wenn diese Option aktiviert ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu darin vorhandenen geschachtelten Gruppen gehören. Beachten Sie, dass die geschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den geschachtelten Gruppen gehören. Im Verzeichnis VMware Identity Manager werden diese Benutzer als Mitglieder der übergeordneten Gruppe angezeigt, die Sie für die Synchronisierung ausgewählt haben. Wenn die Option Geschachtelte Gruppenmitglieder synchronisieren deaktiviert ist und Sie eine Gruppe für die Synchronisierung festlegen, werden alle Benutzer, die direkt zu dieser Gruppe gehören, synchronisiert. Benutzer, die zu geschachtelten Gruppen gehören, werden in diesem Fall nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Active Directory-Konfigurationen sinnvoll, wenn die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, müssen Sie sicherstellen, dass alle diejenigen Gruppen ausgewählt sind, deren Benutzer Sie synchronisieren möchten.

13. Klicken Sie auf Weiter.
14. Geben Sie ggf. zusätzliche zu synchronisierende Benutzer an.
    1. Klicken Sie auf + und geben Sie die Benutzer-DNs ein. Zum Beispiel: CN=Benutzername,CN=Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=Com.
       Wichtig: Geben Sie Benutzer-DNs an, die sich unter dem von Ihnen eingegebenen Basis-DN befinden. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.
    2. (Optional) Um Benutzer auszuschließen, erstellen Sie einen Filter für den Ausschluss bestimmter Benutzertypen.
       Dazu wählen Sie das Benutzerattribut für den Filter, die Abfrageregel und den Wert aus.
15. Klicken Sie auf Weiter.
16. Überprüfen Sie auf der Seite, wie viele Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden und wie die Synchronisierung terminiert ist.

    Um Änderungen für Benutzer und Gruppen oder für die Synchronisierungshäufigkeit durchzuführen, klicken Sie jeweils auf Bearbeiten.

17. Klicken Sie auf Verzeichnis synchronisieren, um die Verzeichnissynchronisierung zu starten.