Sie können diesen Verzeichnistyp erstellen, wenn Sie eine Verbindung zu einer Active Directory-Umgebung mit mehreren Domänen herstellen möchten. Der Konnektor wird mithilfe der integrierten Windows-Authentifizierung an Active Directory gebunden.

Voraussetzungen

Stellen Sie sicher, dass Sie über die erforderlichen Benutzeranmeldedaten zum Hinzufügen eines Verzeichnisses verfügen.

Prozedur

  1. Klicken Sie auf Identitäts- und Mandantenverwaltung auf dem Dashboard „Meine Dienste“.
  2. Navigieren Sie zur Registerkarte „Verzeichnisverwaltung“ und klicken Sie auf Verzeichnis.
  3. Klicken Sie auf +Verzeichnis hinzufügen und klicken Sie auf Active Directory über IWA hinzufügen.
  4. Auf der Registerkarte Verzeichnisdetail:
    Felder Beschreibung
    Verzeichnisinformationen Geben Sie einen gültigen Verzeichnisnamen ein.
    Verzeichnissynchronisierung und -authentifizierung Wählen Sie den Konnektor aus, der mit Active Directory synchronisiert werden soll. Konnektor ist eine VMware Identity Manager-Dienstkomponente, die Benutzer und Gruppendaten zwischen Active Directory und dem VMware Identity Manager-Dienst synchronisiert. Benutzer werden authentifiziert. Jeder VMware Identity Manager-Appliance-Knoten enthält eine Standard-Konnektor-Komponente. Bei Bedarf kann ein dedizierter Konnektor auch über eine globale skalierungsbasierte Umgebung bereitgestellt werden.
    Authentifizierung aktiviert

    Sie können angeben, ob der ausgewählte Konnektor auch eine Authentifizierung durchführt. Wenn die Authentifizierung der Benutzer durch einen externen Identitätsanbieter erfolgen soll, wählen Sie Nein.

    Verzeichnissuchattribut Wählen Sie im Dropdown-Menü ein Suchattribut aus.
    Zertifikate
    • Wenn für Ihr Active Directory ein Zugriff über SSL/TLS erforderlich ist, aktivieren Sie das Kontrollkästchen Verzeichnis erfordert für alle Verbindungen die Verwendung von STARTTLS im Abschnitt Zertifikate, kopieren Sie das Stammzertifizierungsstellen-Zertifikat von Active Directory und fügen Sie es in das Feld SSL-Zertifikat ein. Geben Sie zuerst das Zertifikat der Zwischenzertifizierungsstelle, dann das Zertifikat der Stammzertifizierungsstelle ein. Vergewissern Sie sich, dass jedes Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ (Zertifikatanfang) und „END CERTIFICATE“ (Zertifikatende) enthält. Wenn die Domänencontroller über Zertifikate von mehreren Zwischen- und Stammzertifizierungsstellen verfügen, geben Sie nacheinander alle Zwischen-/Stammzertifizierungsstellen-Zertifikatsketten ein. Wenn für Ihr Active Directory der Zugriff über SSL/TLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie die Zertifikate nicht bereitstellen.
    Domänenbeitrittsdetails Geben Sie den Domänennamen, den Domänenadministrator-Benutzernamen und das Domänenkennwort ein.
    Bind-Benutzerdetails
    • Geben Sie den Bind-Benutzernamen und das Bind-Kennwort des Bind-Benutzers ein, der über die Berechtigung zum Abfragen von Benutzern und Gruppen für die erforderlichen Domänen verfügt. Geben Sie den Benutzernamen als sAMAccountName@domain ein, wobei Domäne der vollqualifizierte Domänenname ist. Verwenden Sie ein Bind-DN-Benutzerkonto, bei dem das Kennwort nicht abläuft.
  5. Klicken Sie auf Erstellen und Weiter.
    Sie können die Domänen auswählen, die mit der Active Directory-Verbindung verknüpft werden sollen.
  6. Wählen Sie auf der Registerkarte Domänenauswahldetails die jeweilige Domäne aus und klicken Sie auf Senden und weiter.
    Der Active Directory mit IWA füllt die Liste der Domänen aus und Sie können die Domänen nach Bedarf auswählen oder bearbeiten.
  7. Um sicherzustellen, dass die Attributnamen des VMware Identity Manager-Verzeichnisses den richtigen Active Directory-Attributen zugeordnet sind, wählen Sie auf der Registerkarte Attribut zuweisen das erforderliche Attribut aus. Dann klicken Sie auf Senden und weiter.
  8. Geben Sie auf der Registerkarte Gruppenauswahl die Gruppen-DN-Details ein und klicken Sie auf Weiter.

    Um Gruppen auszuwählen, klicken Sie auf Definierten Namen der Gruppe hinzufügen, geben Sie einen oder mehrere Gruppen-DNs an und wählen Sie die ihnen untergeordneten Gruppen aus. Geben Sie Gruppen-DNs an, die sich unter dem Basis-DN befinden, den Sie im Textfeld „Basis-DN“ im Bereich „Verzeichnis hinzufügen“ eingegeben haben. Wenn sich ein Gruppen-DN außerhalb des Basis-DN befindet, werden Benutzer dieses DN synchronisiert, aber Sie können sich nicht anmelden.

    Wenn Sie eine Gruppe synchronisieren, werden Benutzer, für die „Domänenbenutzer“ nicht die primäre Gruppe in Active Directory darstellt, nicht synchronisiert.

    1. Wählen Sie die Option Verschachtelte Gruppenmitglieder synchronisieren aus.
  9. Geben Sie auf der Registerkarte Benutzerauswahl die Benutzer-DN-Details ein und klicken Sie auf Weiter.
    Hinweis: Wenn diese Option aktiviert ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu darin vorhandenen verschachtelten Gruppen gehören, sofern die Gruppe entsprechend berechtigt ist. Beachten Sie, dass die verschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den verschachtelten Gruppen gehören. Im VMware Identity Manager-Verzeichnis sind diese Benutzer Mitglieder der übergeordneten Gruppe, die Sie zur Synchronisierung ausgewählt haben. Wenn die Option Verschachtelte Gruppenmitglieder synchronisieren deaktiviert ist und Sie eine Gruppe für die Synchronisierung festlegen, werden alle Benutzer, die direkt zu dieser Gruppe gehören, synchronisiert. Benutzer, die zu verschachtelten Gruppen gehören, werden in diesem Fall nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Active Directory-Konfigurationen sinnvoll, bei denen die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, müssen Sie sicherstellen, dass alle diejenigen Gruppen ausgewählt sind, deren Benutzer Sie synchronisieren möchten.
    Suite-Administratoren sind ein Benutzername in Active Directory, der als Admin-Benutzer für die bereitgestellten Suite-Produkte, -Protokolle und die AD-Tabelle fungiert.
  10. Lesen Sie die Zusammenfassung auf der Registerkarte Testlauf-Überprüfung.
  11. Um die Synchronisierung mit dem Verzeichnis zu starten, klicken Sie auf Synchronisieren und abschließen. Die Verbindung zu Active Directory wird hergestellt, und Benutzer- und Gruppennamen werden aus dem Active Directory mit dem VMware Identity Manager-Verzeichnis synchronisiert.
  12. Klicken Sie auf Absenden.
  13. Klicken Sie zum Bearbeiten auf das Symbol Bearbeiten für das spezifische Active Directory in der Liste der Active Directorys. Alle hinzugefügten Informationen werden der Konfiguration auf dem VMware Identity Manager angehängt. Beim Entfernen durch Bearbeiten können Sie jedoch nur die Konfiguration aus der vRealize Suite Lifecycle Manager-Bestandsliste und nicht vom VMware Identity Manager entfernen.
  14. Klicken Sie zum Löschen auf das Symbol Löschen für das spezifische Active Directory in der Liste der Active Directorys. Sie können das Active Directory nur aus der vRealize Suite Lifecycle Manager-Bestandsliste und nicht von VMware Identity Manager löschen.