Sie müssen über die Funktion Directories Management einen Link zu Active Directory konfigurieren, um die Benutzerauthentifizierung für alle Mandanten zu unterstützen und die mit dem Directories Management-Verzeichnis zu synchronisierenden Benutzer und Gruppen auszuwählen.

Vorbereitungen

  • Installierter Connector mit aktiviertem Aktivierungscode.

  • Auf der Seite „Benutzerattribute“ können Sie die erforderlichen Standardattribute auswählen und zusätzliche Attribute hinzufügen. Siehe Auswahl der mit dem Verzeichnis zu synchronisierenden Attribute.

  • Liste der Active Directory-Gruppen und -Benutzer, die aus Active Directory synchronisiert werden sollen.

  • Für Active Directory über LDAP gehören zu den erforderlichen Informationen der Basis-DN, der Bind-DN und das Bind-DN-Kennwort.

  • Für die integrierte Windows-Authentifizierung von Active Directory werden die Bind-Benutzer-UPN-Adresse und das entsprechende Kennwort benötigt.

  • Wenn auf Active Directory über SSL zugegriffen wird, ist eine Kopie des SSL-Zertifikats erforderlich.

  • Verfügen Sie über eine Active Directory-Umgebung (Integrierte Windows-Authentifizierung), in der mehrere Gesamtstrukturen konfiguriert sind, und enthält die lokale Domänengruppe Mitglieder aus Domänen in unterschiedlichen Gesamtstrukturen, müssen Sie sicherstellen, dass der Bind-DN-Benutzer der Administratorgruppe der Domäne hinzugefügt wurde, die die lokalen Domänengruppe enthält. Wenn Sie diesen Schritt nicht durchführen, fehlen diese Mitglieder in der lokalen Domänengruppe.

  • Melden Sie sich an der vRealize Automation-Konsole als Mandantenadministrator an.

Warum und wann dieser Vorgang ausgeführt wird

Für Active Directory gibt es zwei Kommunikationsprotokolle: Active Directory über LDAP und Active Directory (Integrierte Windows-Authentifizierung). Das Protokoll „Active Directory über LDAP“ unterstützt standardmäßig die DNS-Dienstidentifizierungssuche. Mit Active Directory (Integrierte Windows-Authentifizierung) können Sie die Domäne, der beigetreten werden soll, konfigurieren. Active Directory über LDAP ist für die Bereitstellung einzelner Domänen geeignet. Verwenden Sie „Active Directory (Integrierte Windows-Authentifizierung)“ für alle Bereitstellungen mit mehreren Domänen und mehreren Gesamtstrukturen.

Nachdem Sie ein Kommunikationsprotokoll ausgewählt haben, können Sie die Domänen angeben, die mit der Active Directory-Konfiguration verwendet werden sollen, und dann die Benutzer und Gruppen auswählen, die mit der angegebenen Konfiguration synchronisiert werden sollen.

Prozedur

  1. Wählen Sie Administration > Verwaltung der Verzeichnisse > Verzeichnisse aus.
  2. Klicken Sie auf Verzeichnis hinzufügen.
  3. Geben Sie auf der Seite „Verzeichnis hinzufügen“ im Textfeld Verzeichnisname die IP-Adresse für den Active Directory-Server an.
  4. Wählen Sie über die Optionsfelder unter dem Textfeld Verzeichnisname das geeignete Active Directory-Kommunikationsprotokoll aus.

    Option

    Beschreibung

    Windows-Authentifizierung

    Wählen Sie Active Directory (Integrierte Windows-Authentifizierung) aus.

    LDAP

    Wählen Sie Active Directory über LDAP aus.

  5. Konfigurieren Sie den Connector, der Benutzer aus dem Active Directory mit dem VMware Directories Management-Verzeichnis im Abschnitt „Verzeichnissynchronisierung und Authentifizierung“ synchronisiert.

    Option

    Beschreibung

    Synchronisierungs-Connector

    Wählen Sie den gewünschten Connector aus, der für Ihr System verwendet werden soll. Jede vRealize Automation-Appliance enthält einen Standard-Connector. Wenden Sie sich an Ihren Systemadministrator, falls Sie Hilfe bei der Auswahl des geeigneten Connectors benötigen.

    Authentifizierung

    Klicken Sie auf das entsprechende Optionsfeld, um anzugeben, ob der ausgewählte Connector auch Authentifizierung durchführt.

    Verzeichnissuchattribut

    Geben Sie das gewünschte Kontoattribut ein, das den Benutzernamen enthält.

  6. Geben Sie die entsprechenden Informationen im Textfeld „Server-Speicherort“ ein, falls Sie „Active Directory über LDAP“ ausgewählt haben, bzw. in die Felder von „Domänenbeitrittsdetails“, falls Sie Active Directory (Integrierte Windows-Authentifizierung) ausgewählt haben.

    Option

    Beschreibung

    Serverspeicherort - Wird bei Auswahl von „Active Directory über LDAP“ angezeigt

    • Wenn Sie die DNS-Dienstidentifizierung für die Suche nach Active Directory-Domänen verwenden, behalten Sie die Aktivierung des Kontrollkästchens Dieses Verzeichnis unterstützt die DNS-Dienstidentifizierung bei.

    • Falls das angegebene Active Directory keine DNS-Dienstidentifizierungssuche verwendet, deaktivieren Sie in den Server-Speicherort-Feldern das Kontrollkästchen neben Dieses Verzeichnis unterstützt die DNS-Dienstidentifizierung und geben Sie den Hostnamen und die Portnummer für Active Directory ein.

    • Wenn Active Directory Zugriff über SSL benötigt, aktivieren Sie unter der Überschrift „Zertifikate“ das Kontrollkästchen Für dieses Verzeichnis müssen alle Verbindungen SSL verwenden und stellen Sie das Active Directory-SSL-Zertifikat bereit.

    Domänenbeitrittsdetails – Wird bei Auswahl von „Active Directory (Integrierte Windows-Authentifizierung)“ angezeigt.

    Geben Sie die entsprechenden Anmeldedaten ein in den Textfeldern Domänenname, Benutzername des Domänenadministrators und Kennwort des Domänenadministrators ein.

  7. Geben Sie im Abschnitt „Bind-Benutzerdetails“ die entsprechenden Anmeldeinformationen ein, um die Verzeichnissynchronisierung zu erleichtern.

    Für Active Directory über LDAP:

    Option

    Beschreibung

    Basis-DN

    Geben Sie den Basis-Distinguished-Name für die Suche ein. Beispiel: cn=users,dc=corp,dc=local.

    Bind-DN

    Geben Sie den Bind-Distinguished-Name ein. Beispiel: cn=fritz infra,cn=users,dc=corp,dc=local

    Für Active Directory (Integrierte Windows-Authentifizierung):

    Option

    Beschreibung

    Bind-Benutzer-UPN

    Geben Sie den User Principal Name (Benutzername des Prinzipals) des Benutzers ein, der die Domäne authentifizieren kann. Beispiel: Benutzername@example.com.

    Bind-DN-Kennwort

    Geben Sie das Bind-Benutzerkennwort ein.

  8. Klicken Sie auf Verbindung testen, um die Verbindung zum konfigurierten Verzeichnis zu testen.

    Diese Schaltfläche wird nicht angezeigt, wenn Sie „Active Directory (Integrierte Windows-Authentifizierung)“ ausgewählt haben.

  9. Klicken Sie auf Speichern und weiter.

    Die Seite „Domänen auswählen“ mit der Liste der Domänen wird angezeigt.

  10. Überprüfen und aktualisieren Sie die für die Active Directory-Verbindung aufgelisteten Domänen.
    • Bei Verwendung von „Active Directory (integrierte Windows-Authentifizierung)“ wählen Sie die Domänen aus, die dieser Active Directory-Verbindung zugeordnet werden sollen.

    • Bei Verwendung von „Active Directory über LDAP“ werden die verfügbaren Domänen mit einem Häkchen aufgeführt.

      Anmerkung:

      Wenn Sie nach der Verzeichniserstellung eine Domäne mit Vertrauensbeziehung hinzufügen, erkennt der Dienst nicht automatisch die neue Domäne mit Vertrauensbeziehung. Damit der Dienst die Domäne erkennen kann, muss der Connector die Domäne verlassen und ihr dann erneut beitreten. Wenn der Connector erneut der Domäne beitritt, wird die Domäne mit Vertrauensbeziehung in der Liste angezeigt.

  11. Klicken Sie auf Weiter.
  12. Stellen Sie sicher, dass die Attributnamen des Directories Management-Verzeichnisses den richtigen Active Directory-Attributen zugeordnet sind.

    Wenn die Verzeichnisattributnamen nicht ordnungsgemäß zugeordnet wurden, wählen Sie das richtige Active Directory-Attribut aus dem Dropdown-Menü aus.

  13. Klicken Sie auf Weiter.
  14. Klicken Sie auf Hinzufügen, um die Gruppen auszuwählen, die aus Active Directory mit dem Verzeichnis synchronisiert werden sollen.

    Enthält eine aus Active Directory hinzugefügte Gruppe Mitglieder, die nicht in der Benutzerliste enthalten sind, werden sie hinzugefügt.

    Anmerkung:

    Das Directories Management-Benutzerauthentifizierungssystem importiert beim Hinzufügen von Gruppen und Benutzern Daten aus Active Directory, und die Geschwindigkeit des Systems wird durch Active Directory-Funktionen eingeschränkt. Je nach Anzahl der hinzuzufügenden Gruppen und Benutzer können Importvorgänge daher eventuell viel Zeit in Anspruch nehmen. Beschränken Sie, um diesen eventuell auftretenden Verzögerungen oder Problemen entgegenzuwirken, die Anzahl der Gruppen und Benutzer auf jene, die für den Betrieb von vRealize Automation erforderlich sind. Falls sich Ihre Systemleistung verringert oder Fehler auftreten, schließen Sie alle nicht benötigten Anwendungen und stellen Sie sicher, dass Ihr System Active Directory die erforderliche Arbeitsspeichermenge zugeteilt hat. Wenn das Problem weiterhin besteht, erhöhen Sie die Arbeitsspeicherzuteilung für Active Directory nach Bedarf. Bei Systemen mit einer großen Anzahl von Benutzern und Gruppen muss möglicherweise die Arbeitsspeicherzuteilung für Active Directory auf bis zu 24 GB erhöht werden.

  15. Klicken Sie auf Weiter.
  16. Klicken Sie auf Hinzufügen, um weitere Benutzer hinzuzufügen. Geben Sie diese beispielsweise im Format CN-Benutzername,CN=Benutzer,OU-MeineEinheit,DC=MeineFirma,DC=com ein.

    Klicken Sie zum Ausschließen von Benutzern auf Hinzufügen, um einen Filter zum Ausschluss bestimmter Benutzertypen zu erstellen. Dazu wählen Sie das Benutzerattribut für den Filter, die Abfrageregel und den Wert aus.

  17. Klicken Sie auf Weiter.
  18. Überprüfen Sie die Seite, um sehen, wie viele Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden.

    Wenn Sie die Zusammenstellung der Benutzer und Gruppen ändern möchten, klicken Sie auf die Optionen zum Bearbeiten.

  19. Um die Synchronisierung mit dem Verzeichnis zu starten, klicken Sie auf An Workspace weitergeben.

Ergebnisse

Die Verbindung zu Active Directory-Server ist abgeschlossen und die ausgewählten Benutzer und Gruppen werden dem Verzeichnis hinzugefügt.

Nächste Maßnahme

Wenn Ihre vRealize Automation-Umgebung für Hochverfügbarkeit konfiguriert ist, müssen Sie die Verzeichnisverwaltung speziell für Hochverfügbarkeit konfigurieren. Siehe Verzeichnisverwaltung für Hochverfügbarkeit konfigurieren.

  • Richten Sie Authentifizierungsmethoden ein. Nachdem Benutzer und Gruppen mit dem Verzeichnis synchronisiert wurden, können Sie zusätzliche Authentifizierungsmethoden für den Connector konfigurieren, falls dieser auch zur Authentifizierung verwendet wird. Wenn ein externer Identitätsanbieter zur Authentifizierung verwendet wird, konfigurieren Sie diesen Identitätsanbieter im Connector.

  • Überprüfen Sie die Standardzugriffsrichtlinie. Die Standardzugriffsrichtlinie wird so konfiguriert, dass alle Appliances in allen Netzwerkbereichen auf den Webbrowser zugreifen können, wobei ein Sitzungs-Timeout von acht Stunden bzw. der Zugriff auf eine Client-App innerhalb eines Sitzungs-Timeout von 2160 Stunden (90 Tagen) festgelegt wird. Sie können die Standardzugriffsrichtlinie ändern. Wenn Sie Web-Anwendungen dem Katalog hinzufügen, können Sie zudem neue Standardzugriffsrichtlinien erstellen.

  • Wenden Sie das benutzerdefinierte Branding auf die Verwaltungskonsole, die Benutzerportalseiten und den Anmeldebildschirm an.