Als Mandantenadministrator können Sie eine Active Directory über LDAP-Verbindung zur Unterstützung der Benutzerauthentifizierung für Ihre hochverfügbare vRealize Automation-Bereitstellung konfigurieren.

Warum und wann dieser Vorgang ausgeführt wird

Jede vRealize Automation-Appliance enthält einen Connector, der die Benutzerauthentifizierung unterstützt, jedoch ist in der Regel nur ein Connector zum Ausführen der Verzeichnissynchronisierung konfiguriert. Es spielt keine Rolle, welchen Connector Sie als Synchronisierungs-Connector auswählen. Damit die Verzeichnisverwaltung mit Hochverfügbarkeit unterstützt wird, müssen Sie einen zweiten Connector konfigurieren, der Ihrer zweiten vRealize Automation-Appliance entspricht. Dieser verbindet sich mit Ihrem Identitätsanbieter und verweist auf dasselbe Active Directory. Fällt eine Appliance aus, wird bei dieser Konfiguration die Verwaltung der Benutzerauthentifizierung von der anderen Appliance übernommen.

In einer hochverfügbaren Umgebung müssen alle Knoten dieselbe Gruppe von Active Directories, Benutzern, Authentifizierungsmethoden usw. bedienen. Am einfachsten wird dies dadurch erreicht, dass der Identitätsanbieter zum Cluster heraufgestuft wird, indem der Lastausgleichsdienst-Host als der Identitätsanbieter-Host eingerichtet wird. Mit dieser Konfiguration werden alle Authentifizierungsanforderungen an den Lastausgleichsdienst gerichtet, der diese dann an einen der Connectors weiterleitet.

Voraussetzungen

  • Installieren Sie eine verteilte vRealize Automation-Bereitstellung mit den entsprechenden Lastausgleichsdiensten. Siehe Installieren von vRealize Automation 7.3.

  • Melden Sie sich an der vRealize Automation-Konsole als Mandantenadministrator an.

Prozedur

  1. Wählen Sie Administration > Verwaltung der Verzeichnisse > Verzeichnisse aus.
  2. Klicken Sie auf Verzeichnis hinzufügen.
  3. Geben Sie die jeweiligen Active Directory-Kontoeinstellungen ein und akzeptieren Sie die Standardoptionen.

    Option

    Beispieleingabe

    Verzeichnisname

    Fügen Sie die IP-Adresse des Active Directory-Domänennamens hinzu.

    Synchronisierungs-Connector

    Jede vRealize Automation-Appliance enthält einen Connector. Sie können alle verfügbaren Connectoren verwenden.

    Basis-DN

    Geben Sie den definierten Namen (DN, Distinguished Name) des Startpunkts für Verzeichnisserversuchen ein. Beispiel: cn=users,dc=corp,dc=local.

    Bind-DN

    Geben Sie den vollständigen definierten Namen (DN, Distinguished Name), einschließlich des allgemeinen Namens (Common Name, CN), eines Active Directory-Benutzerkontos mit Berechtigungen zum Suchen von Benutzern ein. Beispiel: cn=config_admin infra,cn=users,dc=corp,dc=local.

    Bind-DN-Kennwort

    Geben Sie das Active Directory-Kennwort für das Konto ein, das nach Benutzern suchen kann.

  4. Klicken Sie auf Verbindung testen, um die Verbindung zum konfigurierten Verzeichnis zu testen.

    Wenn die Verbindung fehlschlägt, überprüfen Sie Ihre Einträge in allen Feldern und wenden Sie sich ggf. an den Systemadministrator.

  5. Klicken Sie auf Speichern und weiter.

    Die Seite „Domänen auswählen“ mit der Liste der Domänen wird angezeigt.

  6. Behalten Sie die Auswahl der Standarddomäne bei und klicken Sie auf Weiter.
  7. Überprüfen Sie, ob die Attributnamen den richtigen Active Directory-Attributen zugeordnet sind. Ist dies nicht der Fall, wählen Sie das erforderliche Active Directory-Attribut aus dem Dropdown-Menü aus. Klicken Sie auf Weiter.
  8. Wählen Sie die Gruppen und Benutzer aus, die synchronisiert werden sollen.
    1. Klicken Sie auf das Symbol Hinzufügen (Hinzufügen).
    2. Geben Sie die Benutzerdomäne ein und klicken Sie auf Gruppen suchen.

      Beispiel: cn=users,dc=corp,dc=local.

    3. Aktivieren Sie das Kontrollkästchen Alle auswählen.
    4. Klicken Sie auf Auswählen.
    5. Klicken Sie auf Weiter.
    6. Klicken Sie auf Hinzufügen, um weitere Benutzer hinzuzufügen. Geben Sie diese beispielsweise im Format CN-Benutzername,CN=Benutzer,OU-MeineEinheit,DC=MeineFirma,DC=com ein.

      Um Benutzer auszuschließen, klicken Sie auf +, um einen Filter für den Ausschluss bestimmter Benutzertypen zu erstellen. Dazu wählen Sie das Benutzerattribut für den Filter, die Abfrageregel und den Wert aus.

    7. Klicken Sie auf Weiter.
  9. Überprüfen Sie auf der Seite, wie viele Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden, und klicken Sie auf Verzeichnis synchronisieren.

    Für die Verzeichnissynchronisierung wird einige Zeit benötigt. Der Prozess wird jedoch im Hintergrund ausgeführt und Sie können Ihre Arbeit fortsetzen.

  10. Konfigurieren Sie einen zweiten Connector zwecks Unterstützung von Hochverfügbarkeit.
    1. Melden Sie sich beim Lastausgleichsdienst für Ihre vRealize Automation-Bereitstellung als Mandantenadministrator an.

      Die Lastausgleichsdienst-URL lautet load balancer address/vcac/org/tenant_name.

    2. Wählen Sie Administration > Verzeichnisverwaltung > Identitätsanbieter aus.
    3. Klicken Sie auf den Identitätsanbieter, der derzeit für Ihr System verwendet wird.

      Das vorhandene Verzeichnis und der vorhandene Connector, die die grundlegende Identitätsverwaltung für Ihr System bereitstellen, werden angezeigt.

    4. Klicken Sie in der Dropdown-Liste auf Connector hinzufügen und wählen Sie den Connector aus, der Ihrer sekundären vRealize Automation-Appliance entspricht.
    5. Geben Sie das entsprechende Kennwort in das Textfeld Bind-DN-Kennwort ein, das nach Auswahl des Connectors angezeigt wird.
    6. Klicken Sie auf Connector hinzufügen.
    7. Ändern Sie den Hostnamen in der Weise, dass er auf den Lastausgleichsdienst verweist.

Ergebnisse

Sie haben das Active Directory Ihres Unternehmens mit vRealize Automation verbunden und die Verzeichnisverwaltung für Hochverfügbarkeit konfiguriert.

Nächste Maßnahme

Zur Erhöhung der Sicherheit können Sie ein bidirektionales Vertrauensverhältnis zwischen Ihrem Identitätsanbieter und Ihrem Active Directory konfigurieren. Siehe Konfigurieren einer bidirektionalen Vertrauensstellung zwischen vRealize Automation und Active Directory.