Al importar información de cuentas de usuario que reside en otra máquina, debe definir el criterio utilizado para importar las cuentas de usuario de la máquina de origen.

Dónde añadir o editar fuentes de autenticación

  1. Para agregar las fuentes de autenticación, en el menú de la izquierda, haga clic en Administración > Panel de control y, a continuación, haga clic en el mosaico Fuentes de autenticación.
  2. Haga clic en Añadir.
  3. Para editar fuentes de autenticación, haga clic en Editar.
Tabla 1. Fuentes de autenticación: cómo añadir una fuente para la importación de usuarios y grupos
Opción Descripción
Nombre para mostrar de la fuente Nombre que el usuario asigna a la fuente de autenticación.
Tipo de fuente
Nota: La opción seleccionada en el cuadro desplegable Tipo de fuente determina las opciones disponibles en este cuadro de diálogo.
Indica el tipo de tecnología de acceso de servicios de directorio para acceder a la máquina de origen en la que reside la base de datos de cuentas de usuario. Hay dos tipos de bases de datos: LDAP e inicio de sesión único. Las opciones incluyen:
  • SSO SAML: un estándar basado en XML para el inicio de sesión único del navegador web que permite a los usuarios realizar un inicio de sesión único en varias aplicaciones.
  • VMware Identity Manager: una plataforma desde la que puede gestionar usuarios y grupos, recursos y autenticación de usuarios, así como acceder a directivas y autorizar el acceso de los usuarios a los recursos.
  • VMware SSO: SSO basado en navegadores que utiliza un proveedor de identidad externo para iniciar sesión en vCenter Server, VMware Aria Operations, VMware Aria Operations for Logs y VMware Aria Operations Orchestrator sin volver a proporcionar las credenciales.
  • OpenLDAP: un protocolo independiente de la plataforma que ofrece acceso a una base de datos de LDAP en otra máquina para importar cuentas de usuarios.
  • Otros: especifica otros servicios de directorio basados en LDAP, como Novel u OpenDJ, que se utilizan para importar cuentas de usuarios de una base de datos de LDAP a una máquina Mac con Linux.
Tabla 2. Fuentes de autenticación: añadir una fuente para la importación de usuarios y grupos - Opciones disponibles cuando se selecciona SSO SAML.
Nombre Descripción
Host Nombre o dirección IP de la máquina host en la que reside el servidor de usuarios de inicio de sesión único.
Puerto El puerto de escucha de inicio de sesión único. De forma predeterminada, está establecido en 443.
Nombre de usuario Nombre de la cuenta de usuario que puede iniciar sesión en la máquina host de inicio de sesión único.
Contraseña Contraseña de la cuenta de usuario que puede iniciar sesión en la máquina host de inicio de sesión único.
¿Conceder función de administrador a VMware Aria Operations para futuras configuraciones? Cuando se crea una fuente de inicio de sesión único, se crea una nueva cuenta de usuario de VMware Aria Operations en el servidor de inicio de sesión único.
  • Seleccione para conceder una función administrativa a VMware Aria Operations de forma que pueda utilizarse para configurar la fuente de SSO si se realizan cambios en la configuración de VMware Aria Operations.
  • Si selecciona No y la configuración de VMware Aria Operations se cambia, los usuarios de SSO no podrán iniciar sesión hasta que vuelva a registrar la fuente de SSO.
¿Desea redirigir automáticamente a la URL de inicio de sesión único de VMware Aria Operations? Después de haber configurado una fuente de inicio de sesión único, se redireccionará a los usuarios al servidor de SSO de vCenter.
  • Seleccione para redireccionar a los usuarios al servidor de inicio de sesión único para su autenticación.
  • Si selecciona No, los usuarios deben iniciar sesión a través de la página de inicio de sesión de VMware Aria Operations.
¿Desea importar los grupos de usuarios de inicio de sesión único tras añadir la fuente actual? Cuando haya configurado una fuente de inicio de sesión único, importe usuarios y grupos de usuarios a VMware Aria Operations de forma que los usuarios de inicio de sesión único puedan acceder al sistema con sus permisos de inicio de sesión único.
  • Si selecciona , el asistente le dirige a la página Importar grupos de usuarios para que pueda importar grupos de usuarios tan pronto haya terminado de instalar la fuente de SSO.
  • Si desea importar cuentas de usuario o grupos de usuarios en una fase posterior, seleccione No.
Configuración avanzada Si su sistema utiliza un equilibrador de carga, introduzca la dirección IP del equilibrador de carga.
Prueba

Prueba si se puede alcanzar la máquina host con las credenciales proporcionadas.

Tabla 3. Fuentes de autenticación: agregar una fuente para la importación de usuarios y grupos - Opciones disponibles cuando se selecciona VMware SSO.
Nombre Descripción
Host Nombre o dirección IP del equipo host de vCenter Server en el que se ha configurado VMware SSO.
Puerto El puerto de escucha de inicio de sesión único. De forma predeterminada, está establecido en 443.
Tenant
Nombre de usuario Nombre de la cuenta de usuario de vCenter Server que puede iniciar sesión en la máquina host de VMware SSO.
Nota: El usuario debe tener asignado el permiso VcIdentityProviders.Manage.
Contraseña Contraseña de la cuenta de usuario de vCenter Server que puede iniciar sesión en la máquina host de VMware SSO.
Nota: Solo puede existir una configuración de VMware Single Sign-On durante cualquier período de tiempo.
Tabla 4. Fuentes de autenticación: añadir una fuente para la importación de usuarios y grupos - Opciones disponibles cuando se seleccionan Open LDAP, Active Directory y Otros.
Opción Descripción

Configuración básica de Modo de integración

Aplica la configuración básica para integrar la fuente LDAP importada con la instancia de VMware Aria Operations.

Utilice el modo de integración básico para que VMware Aria Operations detecte la máquina host donde reside la base de datos LDAP y establezca el nombre distintivo base (DN base) utilizado para buscar usuarios. Proporcione el nombre del dominio y del subdominio, que VMware Aria Operations utiliza para rellenar los detalles de Host y de DN base y el nombre y la contraseña del usuario que puede iniciar sesión en la máquina host de LDAP.

En el modo Básico, intenta buscar el host y el puerto desde el servidor DNS y obtener el catálogo global y los controladores de dominio para el dominio, con preferencia por los servidores con SSL/TLS activado.

  • Domain/Subdomain (Dominio/subdominio). Información de dominio de la cuenta de usuario LDAP.
    Nota: Para importar usuarios y grupos de varios subdominios, utilice el domain.com raíz en lugar del subdominio. El uso de un subdominio limita la visibilidad de VMware Aria Operations a los grupos y usuarios de ese subdominio en concreto.
  • Use SSL/TLS (Utilizar SSL/TLS). Cuando se selecciona, VMware Aria Operations utiliza el protocolo de capa de sockets seguros/seguridad de la capa de transporte (Secure Sockets Layer/Transport Layer Security, SSL/TLS) para proporcionar una comunicación segura cuando importe usuarios de una base de datos LDAP. No necesita instalar el certificado SSL/TLS. En su lugar, VMware Aria Operations le solicita visualizar y verificar la huella digital y aceptar el certificado del servidor LDAP. Tras aceptar el certificado, la comunicación LDAP continúa.
  • Si Active Directory utiliza un certificado autofirmado, el certificado debe contener el campo Nombre alternativo del firmante. VMware Aria Operations puede verificar correctamente el certificado de Active Directory e integrarse con Active Directory únicamente si el nombre del host o la dirección IP proporcionados en el campo Nombre alternativo del firmante coinciden con la dirección del controlador de dominio en el que se utiliza el certificado.
  • User Name (Nombre de usuario). Nombre de la cuenta de usuario que puede iniciar sesión en la máquina host LDAP.
  • Reset Password (Restablecer contraseña). Restablezca la contraseña de usuario que puede iniciar sesión en la máquina host LDAP.
  • Automatically synchronize user membership for configured groups (Sincronizar automáticamente la pertenencia de los usuarios a los grupos configurados). Cuando se selecciona, activa a VMware Aria Operations para asignar usuarios de LDAP importados a grupos de usuarios.
  • Host. Nombre o dirección IP de la máquina host en la que reside la base de datos de usuarios LDAP.
  • Puerto. Puerto utilizado para la importación. Utilice el puerto 389 si no utiliza SSL/TLS, el puerto 636 si utiliza SSL/TLS u otro número de puerto de su elección. Los puertos del catálogo global son 3268 sin cifrado SSL/TLS y 3269 con cifrado SSL/TLS.
  • Base DN (DN base). Nombre distintivo base para la búsqueda de usuarios. VMware Aria Operations localiza solo a los usuarios con el DN base. El DN base es una entrada básica del nombre distintivo (distinguished name, DN) de un usuario importado, la cual es la entrada base del nombre de usuario sin necesidad de aportar otra información relacionada como la ruta completa a la cuenta de usuario o de incluir los componente de dominio relacionados. Aunque VMware Aria Operations rellene el DN base, un administrador debe verificarlo antes de guardar la configuración LDAP.
  • Common Name (Nombre común). Atributo LDAP utilizado para identificar el nombre de usuario. El atributo predeterminado para Active Directory es userPrincipalName.

Configuración avanzada de Modo de integración

Aplica la configuración avanzada para integrar la fuente LDAP importada con la instancia de VMware Aria Operations.

Utilice el modo de integración avanzado para proporcionar manualmente el nombre de host y el nombre distintivo base (DN base) para que VMware Aria Operations importe los usuarios. Proporcione el nombre y la contraseña del usuario que puede iniciar sesión en la máquina host de LDAP.

  • Host. Nombre o dirección IP de la máquina host en la que reside la base de datos de usuarios LDAP.
  • Use SSL/TLS (Utilizar SSL/TLS). Cuando se selecciona, VMware Aria Operations utiliza el protocolo de capa de sockets seguros/seguridad de la capa de transporte (Secure Sockets Layer/Transport Layer Security, SSL/TLS) para proporcionar una comunicación segura cuando importe usuarios de una base de datos LDAP. No necesita instalar el certificado SSL/TLS. En su lugar, VMware Aria Operations le solicita visualizar y verificar la huella digital y aceptar el certificado del servidor LDAP. Tras aceptar el certificado, la comunicación LDAP continúa.
  • Si Active Directory utiliza un certificado autofirmado, el certificado debe contener el campo Nombre alternativo del firmante. VMware Aria Operations puede verificar correctamente el certificado de Active Directory e integrarse con Active Directory únicamente si el nombre del host o la dirección IP proporcionados en el campo Nombre alternativo del firmante coinciden con la dirección del controlador de dominio en el que se utiliza el certificado.
  • Base DN (DN base). Nombre distintivo base para la búsqueda de usuarios. VMware Aria Operations localizará solo a los usuarios con el DN base. El DN base es una entrada básica del nombre distintivo (distinguished name, DN) de un usuario importado, la cual es la entrada base del nombre de usuario sin necesidad de aportar otra información relacionada como la ruta completa a la cuenta de usuario o de incluir los componente de dominio relacionados. Aunque VMware Aria Operations rellene el DN base, un administrador debe verificarlo antes de guardar la configuración LDAP.
  • User Name (Nombre de usuario). Nombre de la cuenta de usuario que puede iniciar sesión en la máquina host LDAP.
  • Reset Password (Restablecer contraseña). Restablezca la contraseña de usuario que puede iniciar sesión en la máquina host LDAP.
  • Automatically synchronize user membership for configured groups (Sincronizar automáticamente la pertenencia de los usuarios a los grupos configurados). Cuando se selecciona, activa a VMware Aria Operations para asignar usuarios de LDAP importados a grupos de usuarios.
  • Common Name (Nombre común). Atributo LDAP utilizado para identificar el nombre de usuario. El atributo predeterminado para Active Directory es userPrincipalName.
  • Puerto. Puerto utilizado para la importación. Utilice el puerto 389 si no utiliza SSL/TLS, el puerto 636 si utiliza SSL/TLS u otro número de puerto de su elección. Los puertos del catálogo global son 3268 sin cifrado SSL/TLS y 3269 con cifrado SSL/TLS.

Criterios de búsqueda

Muestra la configuración de criterios de búsqueda.

Aunque VMware Aria Operations rellene parte de los criterios de búsqueda, un administrador debe comprobar la configuración para asegurar que es correcta de acuerdo con las propiedades del tipo de LDAP.

  • Group Search Criteria (Criterios de búsqueda de grupos). Criterios de búsqueda para encontrar grupos LDAP. Si no se incluyen, VMware Aria Operations utiliza los parámetros de búsqueda predeterminados: (|(objectClass=group)(objectClass=groupOfNames))
  • Member Attribute (Atributo de miembro). Nombre del atributo de un objeto de grupo que contiene la lista de miembros. Si no se incluye, VMware Aria Operations utiliza el miembro predeterminado.
  • User Search Criteria (Criterios de búsqueda de usuarios). Criterios de búsqueda para utilizar el campo de miembro para encontrar y copiar en caché usuarios LDAP. Escriba conjuntos de pares key=value con el formato (|(key1=value1)(key2=value2)). Si no se incluye, VMware Aria Operations busca cada usuario por separado. Esta operación puede tardar más tiempo.
  • Member Match Field (Campo de coincidencia de miembro). Nombre del atributo de un objeto de usuario para que coincida con la entrada de miembro de un objeto de grupo. Si no se incluye, VMware Aria Operations trata la entrada de miembro como un nombre distintivo.
  • LDAP Context Attributes (Atributos de contexto LDAP). Atributos que VMware Aria Operations aplica al entorno de contexto LDAP. Escriba conjuntos de pares key=value separados por comas, como java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse.

Prueba

Prueba si se puede alcanzar la máquina host con las credenciales proporcionadas. Aunque una prueba de conexión sea correcta, los usuarios que utilicen la característica de búsqueda deben contar con permisos de lectura en la fuente LDAP.

Este test no comprueba la precisión de las entradas DN base o Nombre común.

Tabla 5. Fuentes de autenticación: añadir una fuente para la importación de usuarios y grupos - Opciones disponibles cuando se selecciona VMware Identity Manager.
Opción Descripción
Host Nombre o dirección IP de la máquina de VMware Identity Manager en la que reside el servidor de usuarios de Single Sign-On.
Puerto El puerto de escucha de inicio de sesión único. De forma predeterminada, está establecido en 443.
Tenant Este es un campo opcional.
Nombre de usuario Nombre de usuario de administrador de arrendatarios de dominio de sistema de VMware Identity Manager.
Contraseña Contraseña del administrador de tenants de dominio de sistema de VMware Identity Manager.
Redirigir FQDN/IP

Esta es la dirección IP del nodo de VMware Aria Operations al que se redirige al usuario tras una autenticación satisfactoria en VMware Identity Manager. De forma predeterminada, se trata de la dirección IP del nodo primario de VMware Aria Operations.

Nota: Cuando la réplica primaria se convierte en el nodo primario de VMware Aria Operations, el administrador de VMware Aria Operations debe editar manualmente la dirección IP y establecerla según la dirección IP del nodo primario actual.
Prueba

Prueba si se puede alcanzar la máquina de VMware Identity Manager con las credenciales proporcionadas.