Beim Importieren von Benutzerkontoinformationen, die sich auf einer anderen Maschine befindet, müssen die Kriterien für den Import der Benutzerkonten aus der Quellmaschine definiert werden.

Vorgehensweise zum Hinzufügen oder Bearbeiten von Authentifizierungsquellen

  1. Klicken Sie zum Hinzufügen von Authentifizierungsquellen im linken Menü auf Verwaltung und dann auf die Kachel Authentifizierungsquellen.
  2. Klicken Sie auf Hinzufügen.
  3. Klicken Sie zum Bearbeiten der Authentifizierungsquellen auf Bearbeiten.
Tabelle 1. Authentifizierungsquellen – Quelle für Benutzer- und Gruppenimport hinzufügen
Option Beschreibung
Anzeigename der Quelle Der Name, den Sie der Authentifizierungsquelle zuweisen.
Quelltyp
Hinweis: Die Option, die Sie im Dropdown-Feld Quelltyp auswählen, wirkt sich auf die Optionen aus, die in diesem Dialogfeld zur Verfügung stehen.
Zeigt den Typ der Verzeichnisdienstzugangstechnologie an, um auf die Quell-Maschine zuzugreifen, auf der sich die Datenbank der Benutzerkonten befindet. Es gibt zwei Datenbanktypen: LDAP und Single-Sign-On. Zu den Optionen gehören:
  • SSO SAML: Ein XML-basierter Standard für Single-Sign-On über einen Webbrowser, mit dem Benutzer Single-Sign-On für verschiedene Anwendungen durchführen können.
  • Open LDAP: Ein plattformunabhängiges Protokoll, das Zugang zu einer LDAP-Datenbank auf einer anderen Maschine bereitstellt, um Benutzerkonten zu importieren.
  • Sonstige: Gibt beliebige andere LDAP-basierte Verzeichnisse an, z. B. Novel oder OpenDJ, die zum Importieren von Benutzerkonten von einer LDAP-Datenbank auf eine Linux Mac-Maschine verwendet werden.
  • VMware Identity Manager: Eine Plattform, auf der Sie Benutzer und Gruppen, Ressourcen und die Benutzerauthentifizierung sowie Zugriffsrichtlinien verwalten können. Außerdem können Sie Benutzern den Zugriff auf Ressourcen gewähren.
Tabelle 2. Authentifizierungsquellen – Quelle für Benutzer- und Gruppenimport hinzufügen: Optionen, die zur Verfügung stehen, wenn SSO SAML ausgewählt wurde
Name Beschreibung
Host Name oder IP-Adresse der Host-Maschine, auf der sich der Single-Sign-On-Benutzerserver befindet.
Port Der Single-Sign-On-Listening-Port. Dieser ist standardmäßig auf 443 festgelegt.
Benutzername Der Name des Benutzerkontos, mit dem die Anmeldung bei der Single-Sign-On-Hostmaschine erfolgen kann.
Kennwort Das Kennwort des Benutzerkontos, mit dem die Anmeldung bei der Single-Sign-On-Hostmaschine erfolgen kann.
Soll vRealize Operations für die zukünftige Konfiguration die Administratorrolle zugewiesen werden? Wenn Sie eine SSO-Quelle erstellt haben, wird ein neues vRealize Operations-Benutzerkonto auf dem Single-Sign-On-Server erstellt.
  • Wählen Sie Ja, um vRealize Operations eine Administratorrolle zuzuweisen, damit er zum Konfigurieren der SSO-Quelle verwendet werden kann, wenn Änderungen an der vRealize Operations-Konfiguration vorgenommen werden.
  • Wenn Sie Nein auswählen und die vRealize Operations-Konfiguration geändert wird, können sich SSO-Benutzer erst anmelden, nachdem Sie die SSO-Quelle erneut registriert haben.
Automatisch zur vRealize Operations-Single-Sign-On-URL weiterleiten? Nachdem Sie eine Single-Sign-On-Quelle konfiguriert haben, werden Benutzer zum vCenter SSO-Server weitergeleitet.
  • Wählen Sie Ja, um Benutzer zur Authentifizierung zum Single-Sign-On-Server weiterzuleiten.
  • Wenn Sie Nein auswählen, müssen sich Benutzer über die vRealize Operations-Anmeldeseite anmelden.
Single-Sign-On-Benutzergruppen nach dem Hinzufügen der aktuellen Quelle importieren? Wenn Sie eine SSO-Quelle eingerichtet haben, importieren Sie Benutzer und Benutzergruppen in den vRealize Operations, sodass Single-Sign-On-Benutzer mit ihren Single-Sign-On-Berechtigungen auf das System zugreifen können.
  • Wenn Sie Ja auswählen, leitet Sie der Assistent auf die Seite „Benutzergruppen importieren“ weiter, sodass Sie Benutzergruppen importieren können, sobald Sie die Einrichtung der SSO-Quelle abgeschlossen haben.
  • Wenn Sie Benutzerkonten oder Benutzergruppen zu einem späteren Zeitpunkt importieren möchten, wählen Sie Nein.
Erweitert Wenn Ihr System einen Lastausgleichsdienst verwendet, geben Sie die IP-Adresse des Lastausgleichsdienstes ein.
Testen

Testet, ob die Hostmaschine mithilfe der zur Verfügung gestellten Anmeldedaten erreicht werden kann.

Tabelle 3. Authentifizierungsquellen – Quelle für Benutzer- und Gruppenimport hinzufügen: Verfügbare Optionen, wenn Open LDAP, Active Directory und Sonstige ausgewählt wurden
Option Beschreibung

Grundeinstellungen für den Integrationsmodus

Wendet Grundeinstellungen an, um die LDAP-Importquelle in die Instanz von vRealize Operations zu integrieren.

Mithilfe der Grundeinstellungen des Integrationsmodus kann vRealize Operations die Hostmaschine ermitteln, auf der sich die LDAP-Datenbank befindet, und den eindeutigen Basisnamen (Basis-DN) festlegen, der zur Suche nach Nutzern verwendet wird. Sie geben den Namen der Domäne und der Subdomäne an, die vRealize Operations als Host- und Basis-DN einträgt, und tragen Name und Kennwort des Benutzers ein, der sich bei der LDAP-Hostmaschine anmelden kann.

Im Grundmodus wird versucht, den Host und Port vom DNS-Server sowie den globalen Katalog und die Domänencontroller für die Domäne abzurufen, wobei SSL-/TLS-fähige Server bevorzugt werden.

  • Domäne/Subdomäne. Domäneninformationen für das LDAP-Benutzerkonto.
    Hinweis: Um Benutzer und Gruppen aus mehreren Unterdomänen zu importieren, verwenden Sie die Stammdomäne.com anstelle der Unterdomäne. Die Verwendung einer Unterdomäne schränkt die Sichtbarkeit von vRealize Operations für Gruppen und Benutzer aus dieser Unterdomäne ein.
  • SSL/TLS verwenden. Bei Auswahl dieser Option verwendet vRealize Operations das SSL-/TLS-Protokoll (Secure Sockets Layer/Transport Layer Security) zur Bereitstellung einer sicheren Kommunikation beim Import von Benutzern aus einer LDAP-Datenbank. Das SSL-/TLS-Zertifikat braucht nicht installiert zu werden. Stattdessen fordert vRealize Operations Sie zur Anzeige und Überprüfung des Fingerabdrucks und zur Annahme des LDAP-Serverzertifikats auf. Nach erfolgter Annahme des Zertifikats wird die LDAP-Kommunikation aufgenommen.
  • Wenn Active Directory ein selbstsigniertes Zertifikat verwendet, sollte das Zertifikat das Feld Betreff Alternativer Name enthalten. vRealize Operations kann das Active Directory-Zertifikat erfolgreich überprüfen und nur dann in Active Directory integrieren, wenn der Hostname oder die IP-Adresse, die im Feld Betreff Alternativer Name angegeben ist, mit der Adresse des Domänencontrollers, auf den das Zertifikat angewendet wird, übereinstimmt.
  • Benutzername. Der Name des Benutzerkontos, mit dem die Anmeldung bei der LDAP-Hostmaschine erfolgen kann.
  • Kennwort zurücksetzen. Setzt das Kennwort für das Benutzerkonto zurück, mit dem die Anmeldung bei der LDAP-Hostmaschine erfolgen kann.
  • Benutzermitgliedschaft für konfigurierte Gruppen automatisch synchronisieren. Bei Auswahl dieser Option kann vRealize Operations importierte LDAP-Benutzer zu Benutzergruppen zuordnen.
  • Host. Name oder IP-Adresse der Host-Maschine, auf der sich die LDAP-Benutzerdatenbank befindet.
  • Port. Für den Import verwendeter Port. Verwenden Sie Port 389, wenn Sie kein SSL/TLS verwenden, bzw. Port 636, wenn Sie SSL/TLS verwenden, oder eine andere Portnummer Ihrer Wahl. Die Ports des globalen Katalogs lauten 3268 für Nicht-SSL/TLS und 3269 für SSL/TLS.
  • Basis-DN. Basis-DN für die Benutzersuche. vRealize Operations sucht nur die Benutzer unter dem Basis-DN. Der Basis-DN ist ein einfacher Eintrag für den definierten Namen (DN) eines importierten Benutzers, der den Basiseintrag für den Benutzernamen darstellt, ohne dass andere entsprechende Informationen wie beispielsweise der vollständige Pfad zum Benutzerkonto oder der Einschluss entsprechender Domänen-Komponenten erforderlich ist. Das Feld für den Basis-DN wird zwar von vRealize Operations ausgefüllt, ein Administrator muss den Basis-DN jedoch vor dem Speichern der LDAP-Konfiguration überprüfen.
  • Allgemeiner Name. LDAP-Attribut, das zum Identifizieren des Benutzernamens verwendet wird. Das Standardattribut für Active Directory ist userPrincipalName.

Erweiterte Einstellungen für den Integrationsmodus

Wendet erweiterte Einstellungen an, um die LDAP-Importquelle in die Instanz von vRealize Operations zu integrieren.

Geben Sie im erweiterten Integrationsmodus manuell den Hostnamen und den Basis-DN ein, sodass vRealize Operations Benutzer importiert. Sie geben Name und Kennwort des Benutzers ein, der sich bei der LDAP-Hostmaschine anmelden kann.

  • Host. Name oder IP-Adresse der Host-Maschine, auf der sich die LDAP-Benutzerdatenbank befindet.
  • SSL/TLS verwenden. Bei Auswahl dieser Option verwendet vRealize Operations das SSL-/TLS-Protokoll (Secure Sockets Layer/Transport Layer Security) zur Bereitstellung einer sicheren Kommunikation beim Import von Benutzern aus einer LDAP-Datenbank. Das SSL-/TLS-Zertifikat braucht nicht installiert zu werden. Stattdessen fordert vRealize Operations Sie zur Anzeige und Überprüfung des Fingerabdrucks und zur Annahme des LDAP-Serverzertifikats auf. Nach erfolgter Annahme des Zertifikats wird die LDAP-Kommunikation aufgenommen.
  • Wenn Active Directory ein selbstsigniertes Zertifikat verwendet, sollte das Zertifikat das Feld Betreff Alternativer Name enthalten. vRealize Operations kann das Active Directory-Zertifikat erfolgreich überprüfen und nur dann in Active Directory integrieren, wenn der Hostname oder die IP-Adresse, die im Feld Betreff Alternativer Name angegeben ist, mit der Adresse des Domänencontrollers, auf den das Zertifikat angewendet wird, übereinstimmt.
  • Basis-DN. Basis-DN für die Benutzersuche. vRealize Operations sucht nur die Benutzer unter dem Basis-DN. Der Basis-DN ist ein einfacher Eintrag für den definierten Namen (DN) eines importierten Benutzers, der den Basiseintrag für den Benutzernamen darstellt, ohne dass andere entsprechende Informationen wie beispielsweise der vollständige Pfad zum Benutzerkonto oder der Einschluss entsprechender Domänen-Komponenten erforderlich ist. Das Feld für den Basis-DN wird zwar von vRealize Operations ausgefüllt, ein Administrator muss den Basis-DN jedoch vor dem Speichern der LDAP-Konfiguration überprüfen.
  • Benutzername. Der Name des Benutzerkontos, mit dem die Anmeldung bei der LDAP-Hostmaschine erfolgen kann.
  • Kennwort zurücksetzen. Setzt das Kennwort für das Benutzerkonto zurück, mit dem die Anmeldung bei der LDAP-Hostmaschine erfolgen kann.
  • Benutzermitgliedschaft für konfigurierte Gruppen automatisch synchronisieren. Bei Auswahl dieser Option kann vRealize Operations importierte LDAP-Benutzer zu Benutzergruppen zuordnen.
  • Allgemeiner Name. LDAP-Attribut, das zum Identifizieren des Benutzernamens verwendet wird. Das Standardattribut für Active Directory ist userPrincipalName.
  • Port. Für den Import verwendeter Port. Verwenden Sie Port 389, wenn Sie kein SSL/TLS verwenden, bzw. Port 636, wenn Sie SSL/TLS verwenden, oder eine andere Portnummer Ihrer Wahl. Die Ports des globalen Katalogs lauten 3268 für Nicht-SSL/TLS und 3269 für SSL/TLS.

Suchkriterien

Zeigt die Einstellungen für die Suchkriterien an.

Obwohl vRealize Operations einen Teil der Suchkriterien einträgt, muss ein Administrator die Einstellungen bestätigen, um ihre Korrektheit gemäß den Eigenschaften des LDAP-Typs zu gewährleisten.

  • Kriterien für die Gruppensuche. Suchkriterien für LDAP-Gruppen. Wenn nicht angegeben, verwendet vRealize Operations die Standardsuchparameter: (|(objectClass=group)(objectClass=groupOfNames))
  • Mitgliederattribut. Der Name des Attributs eines Gruppenobjekts, das die Liste der Mitglieder enthält. Wenn nicht angegeben, verwendet vRealize Operations die Benutzer entsprechend der Voreinstellung.
  • Kriterien für die Benutzersuche. Suchkriterien für die Verwendung des Mitgliederfeldes, um LDAP-Benutzer zu finden und zu cachen. Sie geben Schlüssel-Wert-Paare in der Form (|(key1=value1)(key2=value2)) ein. Wenn nicht angegeben, sucht vRealize Operations nach jedem Benutzer einzeln. Dieser Vorgang kann zusätzliche Zeit in Anspruch nehmen.
  • Feld „Mitgliederübereinstimmung“. Name des Attributs für ein Benutzerobjekt, das zum Mitgliedereintrag eines Gruppenobjektes passt. Wenn nicht angegeben, behandelt vRealize Operations den Mitgliedereintrag als definierten Namen.
  • LDAP-Kontextattribute. Attribute, die vRealize Operations auf die LDAP-Kontextumgebung anwendet. Sie geben durch Komma getrennte Schlüssel-Wert-Paare ein, beispielsweise java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse.

Testen

Testet, ob die Hostmaschine mithilfe der zur Verfügung gestellten Anmeldedaten erreicht werden kann. Auch wenn ein Test der Verbindung erfolgreich ist, müssen Benutzer, die die Suchfunktion verwenden, Leserechte in der LDAP-Quelle haben.

Dieser Test überprüft nicht die Korrektheit der Einträge für den Basis-DN oder den Allgemeinen Namen.

Tabelle 4. Authentifizierungsquellen – Quelle für Benutzer- und Gruppenimport hinzufügen: Optionen, die zur Verfügung stehen, wenn VMware Identity Manager ausgewählt wurde.
Option Beschreibung
Host Name oder IP-Adresse des VMware Identity Manager-Computers, auf dem sich der Single-Sign-On-Benutzerserver befindet.
Port Der Single-Sign-On-Listening-Port. Dieser ist standardmäßig auf 443 festgelegt.
Tenant Dies ist ein optionales Feld.
Benutzername VMware Identity Manager Systemdomäne Mandant Administrator Benutzername.
Kennwort Kennwort des Tenant-Administrators der VMware Identity Manager-Systemdomäne.
IP/FQDN umleiten

Dies ist die IP-Adresse des vRealize Operations-Knotens, zu dem VMware Identity Manager einen Benutzer nach erfolgreicher Authentifizierung umleitet. Standardmäßig ist dies die IP-Adresse des vRealize Operations-Primärknotens.

Hinweis: Wenn das Primärreplikat zum Primärknoten für vRealize Operations wird, muss der vRealize Operations-Administrator die IP-Adresse manuell bearbeiten und auf die IP-Adresse des aktuellen Primärknotens festlegen.
Testen

Testet, ob der VMware Identity Manager-Computer mithilfe der zur Verfügung gestellten Anmeldedaten erreicht werden kann.