Sie können diesen Verzeichnistyp erstellen, wenn Sie eine Verbindung zu einer einzelnen Active Directory-Domänenumgebung herstellen möchten. Für den Verzeichnistyp Active Directory über ein LDAP-Verzeichnis wird der Konnektor mithilfe einer einfachen Bind-Authentifizierung an Active Directory gebunden.

Voraussetzungen

  • Listen Sie die Active Directory-Gruppen und -Benutzer auf, die aus Active Directory synchronisiert werden sollen.
  • Stellen Sie sicher, dass Sie die erforderlichen Standardattribute angegeben haben, und fügen Sie der Definition „Benutzerattribute“ zusätzliche Attribute hinzu.
  • Stellen Sie sicher, dass Sie über die erforderlichen Benutzeranmeldedaten zum Hinzufügen eines Verzeichnisses verfügen.

Prozedur

  1. Klicken Sie auf Identitäts- und Mandantenverwaltung auf dem Dashboard „Meine Dienste“.
  2. Navigieren Sie zur Registerkarte „Verzeichnisverwaltung“ und klicken Sie auf Verzeichnis.
  3. Klicken Sie auf Verzeichnis hinzufügen und wählen Sie Active Directory über LDAP hinzufügen aus.
  4. Auf der Registerkarte Verzeichnisdetail:
    Felder Beschreibung
    Verzeichnisinformationen Geben Sie einen gültigen Verzeichnisnamen ein.
    Verzeichnissynchronisierung und -authentifizierung Wählen Sie den Konnektor aus, der mit Active Directory synchronisiert werden soll. Konnektor ist eine VMware Identity Manager-Dienstkomponente, die Benutzer und Gruppendaten zwischen Active Directory und dem VMware Identity Manager-Dienst synchronisiert.

    Wenn sie als Identitätsanbieter verwendet wird, werden auch Benutzer authentifiziert. Jeder VMware Identity Manager-Appliance-Knoten enthält eine Standard-Konnektor-Komponente. Bei Bedarf kann ein dedizierter Konnektor auch über eine globale skalierungsbasierte Umgebung bereitgestellt werden.

    Authentifizierung aktiviert Wenn der Konnektor eine Authentifizierung durchführen soll, wählen Sie Ja.

    Sie können angeben, ob der ausgewählte Konnektor auch eine Authentifizierung durchführen soll. Wenn die Authentifizierung der Benutzer durch einen externen Identitätsanbieter erfolgen soll, wählen Sie Nein.

    Verzeichnissuchattribut Wählen Sie im Dropdown-Menü ein Kontoattribut aus, das einen Benutzernamen enthält.
    Server-Speicherort Aktivieren Sie das Kontrollkästchen Verzeichnis unterstützt DNS-Dienstspeicherort.
    • Wenn für das Active Directory ein Zugriff über eine SSL/TLS-Verschlüsselung erforderlich ist, aktivieren Sie das Kontrollkästchen Verzeichnis erfordert für alle Verbindungen die Verwendung von STARTTLS oder SSL im Abschnitt Zertifikate, kopieren Sie die Zwischenzertifizierungsstellen-Zertifikate (sofern verwendet) und die Stammzertifizierungsstellen-Zertifikate der Domänencontroller und fügen Sie sie in das Textfeld SSL-Zertifikat ein. Geben Sie zuerst das Zertifikat der Zwischenzertifizierungsstelle, dann das Zertifikat der Stammzertifizierungsstelle ein. Vergewissern Sie sich, dass jedes Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ (Zertifikatanfang) und „END CERTIFICATE“ (Zertifikatende) enthält. Wenn die Domänencontroller über Zertifikate von mehreren Zwischen- und Stammzertifizierungsstellen verfügen, geben Sie nacheinander alle Zwischen-/Stammzertifizierungsstellen-Zertifikatsketten ein. Wenn für Ihr Active Directory der Zugriff über SSL/TLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie die Zertifikate nicht bereitstellen.
    • Wenn Sie den DNS-Serverstandort nicht verwenden möchten, stellen Sie sicher, dass das Kontrollkästchen Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, und geben Sie den Active Directory-Serverhostnamen und die Portnummer ein.
    Zertifikate

    Wenn für Ihr Active Directory ein Zugriff über SSL/TLS erforderlich ist, aktivieren Sie das Kontrollkästchen Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie das Stammzertifizierungsstellen-Zertifikat von Active Directory und fügen Sie es in das Feld SSL-Zertifikat ein. Geben Sie zuerst das Zertifikat der Zwischenzertifizierungsstelle, dann das Zertifikat der Stammzertifizierungsstelle ein. Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ (Zertifikatanfang) und „END CERTIFICATE“ (Zertifikatende) enthält. Wenn für Ihr Active Directory der Zugriff über SSL/TLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.

    Bind-Benutzerdetails
    • Basis-DN – Geben Sie den DN ein, um Kontosuchen zu starten. Beispiel: OU=myUnit,DC=myCorp, DC=com. Der Basis-DN wird für die Authentifizierung verwendet. Nur Benutzer unter dem Basis-DN können sich authentifizieren. Stellen Sie sicher, dass sich die Gruppen-DNs und Benutzer-DNs, die Sie später für die Synchronisierung angeben, unter diesem Basis-DN befinden.
    • Bind-Benutzer-DN – Geben Sie die Kontodetails ein. Beispiel: CN=binduser,OU=myUnit,DC=myCorp, DC=com. Verwenden Sie ein Bind-DN-Benutzerkonto, bei dem das Kennwort nicht abläuft.
    • Bind-Kennwort: Klicken Sie auf Verbindung testen, um zu überprüfen, ob das Verzeichnis eine Verbindung mit Ihrem Active Directory herstellen kann.
  5. Klicken Sie auf Erstellen und Weiter.
    Bei Verwendung von „Active Directory über LDAP“ sind die Domänen mit einem Häkchen aufgeführt.
  6. Wählen Sie auf der Registerkarte Domänenauswahldetails die jeweilige Domäne aus und klicken Sie auf Weiter.
  7. Um das Verzeichnisattribut dem Active Directory zuzuordnen, wählen Sie auf der Registerkarte Attribut zuordnen das erforderliche Attribut aus. Dann klicken Sie auf Speichern und Weiter.
  8. Geben Sie zur Synchronisierung von Active Directory mit dem VMware Identity Manager-Verzeichnis auf der Registerkarte Gruppenauswahl die Gruppen-DN-Details an und klicken Sie auf Weiter.
    Sie können auch alle Active Directory-Gruppen auswählen, die bereits in der Liste verfügbar sind, um sie mit dem Verzeichnis zu synchronisieren.
    1. Um Gruppen auszuwählen, klicken Sie auf Definierten Name der Gruppe hinzufügen und geben Sie einen oder mehrere Gruppen-DNs an. Wählen Sie die Gruppen unter diesen DNs aus. Geben Sie Gruppen-DNs an, die sich unter dem Basis-DN befinden, den Sie im Textfeld „Basis-DN“ auf der Seite „Verzeichnis hinzufügen“ eingegeben haben. Wenn sich der Gruppen-DN außerhalb des Basis-DN befindet, werden die Benutzer dieses DN zwar synchronisiert, können sich aber nicht anmelden.
    2. Klicken Sie auf Gruppen suchen. In der Spalte Aktionen ist die Anzahl der Gruppen aufgeführt, die unter dem DN gefunden wurden. Um alle Gruppen unter dem DN auszuwählen, klicken Sie auf Alle auswählen. Klicken Sie alternativ auf die Zahl und wählen Sie die spezifischen Gruppen aus, die synchronisiert werden sollen. Wenn Sie eine Gruppe synchronisieren, werden Benutzer, für die „Domänenbenutzer“ nicht die primäre Gruppe in Active Directory darstellt, nicht synchronisiert.
    3. Wählen Sie die Option Verschachtelte Gruppenmitglieder synchronisieren aus.
  9. Geben Sie auf der Registerkarte Benutzerauswahl die Benutzer-DN-Details ein und klicken Sie auf Weiter.
    Suite-Administratoren sind ein Benutzername in Active Directory, der als Admin-Benutzer für die bereitgestellten Suite-Produkte, -Protokolle und die AD-Tabelle fungiert.
  10. Wählen Sie die Option Verschachtelte Gruppenmitglieder synchronisieren aus und geben Sie die Suite-Administratoren ein.
    Wenn diese Option aktiviert ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu den darin vorhandenen verschachtelten Gruppen gehören, sofern die Gruppe entsprechend berechtigt ist. Beachten Sie, dass die verschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den verschachtelten Gruppen gehören. Im VMware Identity Manager-Verzeichnis sind diese Benutzer Mitglieder der übergeordneten Gruppe, die Sie zur Synchronisierung ausgewählt haben. Wenn die Option „Verschachtelte Gruppenmitglieder synchronisieren“ deaktiviert ist und Sie eine Gruppe für die Synchronisierung festlegen, werden alle Benutzer, die direkt zu dieser Gruppe gehören, synchronisiert. Benutzer, die zu verschachtelten Gruppen gehören, werden in diesem Fall nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Active Directory-Konfigurationen sinnvoll, bei denen die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, müssen Sie sicherstellen, dass alle diejenigen Gruppen ausgewählt sind, deren Benutzer Sie synchronisieren möchten.
  11. Klicken Sie auf Speichern und weiter. Klicken Sie auf der Seite Benutzerauswahl auf Benutzer hinzufügen und geben Sie die zu synchronisierenden DNs der Benutzer an. Geben Sie Benutzer-DNs an, die sich unter dem Basis-DN befinden, den Sie im Textfeld „Basis-DN“ auf der Seite „Verzeichnis hinzufügen“ eingegeben haben. Wenn sich der Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer dieses DN zwar synchronisiert, können sich aber nicht anmelden. Klicken Sie auf Speichern und weiter.
  12. Überprüfen Sie die Registerkarte Testlauf-Überprüfung, lesen Sie die Zusammenfassung und klicken Sie auf Synchronisieren und fertig stellen, um die Synchronisierung mit dem Verzeichnis zu starten. Die Verbindung zu Active Directory wird hergestellt, und Benutzer- und Gruppennamen werden aus dem Active Directory mit dem VMware Identity Manager-Verzeichnis synchronisiert.
  13. Klicken Sie auf Absenden.
  14. Klicken Sie zum Bearbeiten auf das Symbol Bearbeiten für das spezifische Active Directory in der Liste der Active Directorys. Alle hinzugefügten Informationen werden der Konfiguration auf dem VMware Identity Manager angehängt. Beim Entfernen durch Bearbeiten wird jedoch nur die Konfiguration aus der vRealize Suite Lifecycle Manager-Bestandsliste und nicht vom VMware Identity Manager entfernt.
  15. Klicken Sie zum Löschen auf das Symbol Löschen für das spezifische Active Directory in der Liste der Active Directorys. Beim Löschvorgang wird das Active Directory nur aus der vRealize Suite Lifecycle Manager-Bestandsliste und nicht von VMware Identity Manager gelöscht.