Beim Importieren von Benutzerkontoinformationen, die sich auf einer anderen Maschine befindet, müssen die Kriterien für den Import der Benutzerkonten aus der Quellmaschine definiert werden.

Vorgehensweise zum Hinzufügen oder Bearbeiten von Authentifizierungsquellen

Sie können eine Authentifizierungsquelle hinzufügen oder bearbeiten, indem Sie Verwaltung > Authentifizierungsquellen auswählen und auf das Symbol Hinzufügen klicken. Sie können eine Authentifizierungsquelle bearbeiten, indem Sie auf das Symbol Bearbeiten klicken.

Tabelle 1. Authentifizierungsquellen – Quelle für Benutzer- und Gruppenimport hinzufügen

Option

Beschreibung

Anzeigename der Quelle

Der Name, den Sie der Authentifizierungsquelle zuweisen.

Quelltyp

Anmerkung:

Die Option, die Sie im Dropdown-Feld Quelltyp auswählen, wirkt sich auf die Optionen aus, die in diesem Dialogfeld zur Verfügung stehen.

Zeigt den Typ der Verzeichnisdienstzugangstechnologie an, um auf die Quell-Maschine zuzugreifen, auf der sich die Datenbank der Benutzerkonten befindet. Es gibt zwei Datenbanktypen: LDAP und Single-Sign-On. Zu den Optionen gehören:

  • SSO SAML: Ein XML-basierter Standard für Single-Sign-On über Webbrowser, mit dem Benutzer Single-Sign-On für verschiedene Anwendungen durchführen können.

  • Open LDAP: Ein plattformunabhängiges Protokoll, das Zugang zu einer LDAP-Datenbank auf einer anderen Maschine bereitstellt, um Benutzerkonten zu importieren.

  • Sonstige: Gibt beliebige andere LDAP-basierte Verzeichnisse an, z. B. Novel oder OpenDJ, die zum Importieren von Benutzerkonten von einer LDAP-Datenbank auf eine Linux Mac-Maschine verwendet werden.

Tabelle 2. Authentifizierungsquellen – Quelle für Benutzer- und Gruppenimport hinzufügen: Optionen, die zur Verfügung stehen, wenn SSO SAML ausgewählt wurde

Name

Beschreibung

Host

Name oder IP-Adresse der Host-Maschine, auf der sich der Single-Sign-On-Benutzerserver befindet.

Port

Der Single-Sign-On-Listening-Port. Dieser ist standardmäßig auf 443 festgelegt.

Benutzername

Der Name des Benutzerkontos, mit dem die Anmeldung bei der Single-Sign-On-Hostmaschine erfolgen kann.

Kennwort

Das Kennwort des Benutzerkontos, mit dem die Anmeldung bei der Single-Sign-On-Hostmaschine erfolgen kann.

Soll vRealize Operations Manager für zukünftige Konfiguration die Administratorrolle zugewiesen werden?

Wenn Sie eine Single-Sign-On-Quelle erstellt haben, wird ein neues vRealize Operations Manager-Benutzerkonto auf dem Single-Sign-On-Server erstellt.

  • Wählen Sie Ja, um dem vRealize Operations Manager eine Administratorrolle zuzuweisen, damit er zum Konfigurieren der SSO-Quelle verwendet werden kann, wenn Änderungen an der vRealize Operations Manager-Konfiguration vorgenommen werden.

  • Wenn Sie Nein auswählen und die vRealize Operations Manager-Konfiguration geändert wird, können sich SSO-Benutzer erst anmelden, nachdem Sie die SSO-Quelle registriert haben.

Automatisch zur vRealize Operations-Single-Sign-On-URL weiterleiten?

Nachdem Sie eine Single-Sign-On-Quelle konfiguriert haben, werden Benutzer zum vCenter SSO-Server weitergeleitet.

  • Wählen Sie Ja, um Benutzer zur Authentifizierung zum Single-Sign-On-Server weiterzuleiten.

  • Wenn Sie Nein auswählen, müssen sich Benutzer über die vRealize Operations Manager-Anmeldeseiten anmelden.

Single-Sign-On-Benutzergruppen nach dem Hinzufügen der aktuellen Quelle importieren?

Wenn Sie eine Single-Sign-On-Quelle eingerichtet haben, importieren Sie Benutzer und Benutzergruppen in den vRealize Operations Manager, sodass Single-Sign-On-Benutzer mit ihren Single-Sign-On-Berechtigungen auf das System zugreifen können.

  • Wenn Sie Ja auswählen, leitet Sie der Assistent auf die Seite „Benutzergruppen importieren“ weiter, sodass Sie Benutzergruppen importieren können, sobald Sie die Einrichtung der SSO-Quelle abgeschlossen haben.

  • Wenn Sie Benutzerkonten oder Benutzergruppen zu einem späteren Zeitpunkt importieren möchten, wählen Sie Nein.

Erweitert

Wenn Ihr System einen Lastausgleichsdienst verwendet, geben Sie die IP-Adresse des Lastausgleichsdienstes ein.

Testen

Testet, ob die Hostmaschine mithilfe der zur Verfügung gestellten Anmeldedaten erreicht werden kann.

Tabelle 3. Authentifizierungsquellen – Quelle für Benutzer- und Gruppenimport hinzufügen: Verfügbare Optionen, wenn Open LDAP, Active Directory und Sonstige ausgewählt wurden

Option

Beschreibung

Grundeinstellungen für den Integrationsmodus

Wendet Grundeinstellungen an, um die LDAP-Importquelle in die Instanz von vRealize Operations Manager zu integrieren.

Mithilfe der Grundeinstellungen des Integrationsmodus kann vRealize Operations Manager die Hostmaschine ermitteln, auf der sich die LDAP-Datenbank befindet, und den eindeutigen Basisnamen (Basis-DN) festlegen, der zur Suche nach Nutzern verwendet wird. Sie geben den Namen der Domäne und der Subdomäne an, die vRealize Operations Manager als Host- und Basis-DN einträgt, und tragen Name und Kennwort des Benutzers ein, der sich bei der LDAP-Hostmaschine anmelden kann.

Im Grundmodus versucht vRealize Operations Manager, den Host und Port vom DNS-Server sowie den globalen Katalog und die Domänencontroller für die Domäne abzurufen, wobei SSL-/TLS-aktivierte Server bevorzugt werden.

  • Domäne/Subdomäne. Domäneninformationen für das LDAP-Benutzerkonto.

  • SSL/TLS verwenden. Bei Auswahl dieser Option verwendet vRealize Operations Manager das SSL-/TLS-Protokoll (Secure Sockets Layer/Transport Layer Security) zur Bereitstellung einer sicheren Kommunikation beim Import von Benutzern aus einer LDAP-Datenbank. Das SSL-/TLS-Zertifikat braucht nicht installiert zu werden. Stattdessen fordert vRealize Operations Manager Sie zur Anzeige und Überprüfung des Fingerabdrucks und zur Annahme des LDAP-Serverzertifikats auf. Nach erfolgter Annahme des Zertifikats wird die LDAP-Kommunikation aufgenommen.

  • Benutzername. Der Name des Benutzerkontos, mit dem die Anmeldung bei der LDAP-Hostmaschine erfolgen kann.

  • Kennwort zurücksetzen. Setzt das Kennwort für das Benutzerkonto zurück, mit dem die Anmeldung bei der LDAP-Hostmaschine erfolgen kann.

  • Benutzermitgliedschaft für konfigurierte Gruppen automatisch synchronisieren. Bei Auswahl dieser Option wird vRealize Operations Manager zur Zuordnung von importierten LDAP-Benutzern zu Benutzergruppen aktiviert.

  • Host. Name oder IP-Adresse der Host-Maschine, auf der sich die LDAP-Benutzerdatenbank befindet.

  • Port. Für den Import verwendeter Port. Verwenden Sie Port 389, wenn Sie kein SSL/TLS verwenden, bzw. Port 636, wenn Sie SSL/TLS verwenden, oder eine andere Portnummer Ihrer Wahl. Die Ports des globalen Katalogs lauten 3268 für Nicht-SSL/TLS und 3269 für SSL/TLS.

  • Basis-DN. Basis-DN für die Benutzersuche. vRealize Operations Manager sucht nur die Benutzer unter dem Basis-DN. Der Basis-DN ist ein einfacher Eintrag für den definierten Namen (DN) eines importierten Benutzers, der den Basiseintrag für den Benutzernamen darstellt, ohne dass andere entsprechende Informationen wie beispielsweise der vollständige Pfad zum Benutzerkonto oder der Einschluss entsprechender Domänen-Komponenten erforderlich ist. Das Feld für den Basis-DN wird zwar von vRealize Operations Manager ausgefüllt, ein Administrator muss den Basis-DN jedoch vor dem Speichern der LDAP-Konfiguration überprüfen.

  • Allgemeiner Name. LDAP-Attribut, das zum Identifizieren des Benutzernamens verwendet wird. Das Standardattribut für Active Directory ist userPrincipalName.

Erweiterte Einstellungen für den Integrationsmodus

Wendet erweiterte Einstellungen an, um die LDAP-Importquelle in die Instanz von vRealize Operations Manager zu integrieren.

Geben Sie im erweiterten Integrationsmodus manuell den Hostnamen und Basis-DN ein, sodass vRealize Operations Manager Benutzer importiert. Sie geben Name und Kennwort des Benutzers ein, der sich bei der LDAP-Hostmaschine anmelden kann.

  • Host. Name oder IP-Adresse der Host-Maschine, auf der sich die LDAP-Benutzerdatenbank befindet.

  • SSL/TLS verwenden. Bei Auswahl dieser Option verwendet vRealize Operations Manager das SSL-/TLS-Protokoll (Secure Sockets Layer/Transport Layer Security) zur Bereitstellung einer sicheren Kommunikation beim Import von Benutzern aus einer LDAP-Datenbank. Das SSL-/TLS-Zertifikat braucht nicht installiert zu werden. Stattdessen fordert vRealize Operations Manager Sie zur Anzeige und Überprüfung des Fingerabdrucks und zur Annahme des LDAP-Serverzertifikats auf. Nach erfolgter Annahme des Zertifikats wird die LDAP-Kommunikation aufgenommen.

  • Basis-DN. Basis-DN für die Benutzersuche. vRealize Operations Manager sucht nur die Benutzer unter dem Basis-DN. Der Basis-DN ist ein einfacher Eintrag für den definierten Namen (DN) eines importierten Benutzers, der den Basiseintrag für den Benutzernamen darstellt, ohne dass andere entsprechende Informationen wie beispielsweise der vollständige Pfad zum Benutzerkonto oder der Einschluss entsprechender Domänen-Komponenten erforderlich ist. Das Feld für den Basis-DN wird zwar von vRealize Operations Manager ausgefüllt, ein Administrator muss den Basis-DN jedoch vor dem Speichern der LDAP-Konfiguration überprüfen.

  • Benutzername. Der Name des Benutzerkontos, mit dem die Anmeldung bei der LDAP-Hostmaschine erfolgen kann.

  • Kennwort zurücksetzen. Setzt das Kennwort für das Benutzerkonto zurück, mit dem die Anmeldung bei der LDAP-Hostmaschine erfolgen kann.

  • Benutzermitgliedschaft für konfigurierte Gruppen automatisch synchronisieren. Bei Auswahl dieser Option wird vRealize Operations Manager zur Zuordnung von importierten LDAP-Benutzern zu Benutzergruppen aktiviert.

  • Allgemeiner Name. LDAP-Attribut, das zum Identifizieren des Benutzernamens verwendet wird. Das Standardattribut für Active Directory ist userPrincipalName.

  • Port. Für den Import verwendeter Port. Verwenden Sie Port 389, wenn Sie kein SSL/TLS verwenden, bzw. Port 636, wenn Sie SSL/TLS verwenden, oder eine andere Portnummer Ihrer Wahl. Die Ports des globalen Katalogs lauten 3268 für Nicht-SSL/TLS und 3269 für SSL/TLS.

Suchkriterien

Zeigt die Einstellungen für die Suchkriterien an.

Obwohl vRealize Operations Manager einen Teil der Suchkriterien einträgt, muss ein Administrator die Einstellungen bestätigen, um ihre Korrektheit gemäß den Eigenschaften des LDAP-Typs zu gewährleisten.

  • Kriterien für die Gruppensuche. Suchkriterien für LDAP-Gruppen. Wenn nicht angegeben, verwendet vRealize Operations Manager die Standardsuchparameter: (|(objectClass=group)(objectClass=groupOfNames))

  • Mitgliederattribut. Der Name des Attributs eines Gruppenobjekts, das die Liste der Mitglieder enthält. Wenn nicht angegeben, verwendet vRealize Operations Manager die Benutzer entsprechend der Voreinstellung.

  • Kriterien für die Benutzersuche. Suchkriterien für die Verwendung des Mitgliederfeldes, um LDAP-Benutzer zu finden und zu cachen. Sie geben Schlüssel-Wert-Paare in Form von (|(key1=value1)(key2=value2)) ein. Wenn nicht angegeben, sucht vRealize Operations Manager nach jedem Benutzer einzeln. Dieser Vorgang kann zusätzliche Zeit in Anspruch nehmen.

  • Feld „Mitgliederübereinstimmung“. Name des Attributs für ein Benutzerobjekt, das zum Mitgliedereintrag eines Gruppenobjektes passt. Wenn nicht angegeben, behandelt vRealize Operations Manager den Mitgliedereintrag als definierten Namen.

  • LDAP-Kontextattribute. Attribute, die vRealize Operations Manager auf die LDAP-Kontextumgebung anwendet. Sie geben durch Komma getrennte Schlüssel-Wert-Paare ein, beispielsweise java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse.

Testen

Testet, ob die Hostmaschine mithilfe der zur Verfügung gestellten Anmeldedaten erreicht werden kann. Auch wenn ein Test der Verbindung erfolgreich ist, müssen Benutzer, die die Suchfunktion verwenden, Leserechte in der LDAP-Quelle haben.

Dieser Test überprüft nicht die Korrektheit der Einträge für den Basis-DN oder den Allgemeinen Namen.