En este paso de la configuración de la federación, se crea un directorio interno que almacena los usuarios y los grupos que se sincronizan desde su Active Directory.

Puede sincronizar grupos y usuarios de uno o varios dominios de Active Directory.
  • Seleccione la opción de dominio de AD único cuando todos los usuarios y grupos a los que desee dar acceso federado a VMware Cloud services estén en un único dominio de AD. Si tiene varios dominios de AD y no existe confianza entre ellos, utilice esta opción. Una vez configurada la federación, tendrá la opción de agregar un nuevo directorio para cada dominio de AD adicional.
  • Seleccione Varios dominios de AD cuando los usuarios y los grupos a los que desea proporcionar acceso federado a VMware Cloud services se encuentren en dominios de AD diferentes, tenga configurado Active Directory con varios bosques y se establezca una confianza entre los diferentes dominios.

Una vez activada la federación empresarial, los grupos y usuarios que sincronice en este paso del flujo de trabajo de federación aparecen en la página Grupos de la Consola de Cloud Services. Para acceder a la página, vaya a Administración de identidades y acceso > Grupos. Puede sincronizar grupos y usuarios adicionales para su empresa después de activar la configuración de la federación.

Todas las cuentas federadas deben sincronizarse para permitir que los usuarios accedan a VMware Cloud services con sus cuentas corporativas. No se pide a los usuarios sincronizados que creen cuentas de VMware después de iniciar sesión, a menos que tengan que ver la información de facturación o presentar un ticket de soporte. Los usuarios con la función Administrador empresarial que también son Propietario de organización o a los que se ha invitado para completar la configuración de la federación antes de que el dominio se federe, tienen que crear una cuenta de VMware. Los usuarios con la función Administrador empresarial que se agregan a la Organización de federación especial después de federar el dominio no necesitan crear una cuenta de VMware.

Requisitos previos

  • Si su Active Directory requiere acceso sobre SSL/TLS, debe cargar los certificados de CA raíz e intermedio (si se utiliza) del controlador de dominio.
  • Para la sincronización de usuarios y grupos, debe utilizar cualquier servicio o cuenta de usuario que tenga un privilegio de lectura en Active Directory y una contraseña que no caduque para el nombre o el DN de usuario de enlace que debe conectarse a Active Directory.
    Precaución: Si la directiva de seguridad de la empresa requiere que use una cuenta de servicio con una contraseña que caduca y la contraseña caduca antes de que se renueve, los grupos y los usuarios no se sincronizarán. Si se interrumpe la sincronización, debe restablecer la conexión entre su Active Directory y Workspace ONE Access Connector.

Procedimiento

  1. En la sección Sincronizar grupos y usuarios de la página Configurar la federación empresarial, haga clic en Iniciar.
    Se muestra la sección Agregar un directorio.
  2. En el cuadro de texto Nombre de directorio, introduzca un nombre para el directorio interno que va a crear.
    Puede proporcionar cualquier nombre para el directorio empresarial; no es necesario que coincida con el nombre que utiliza internamente.
  3. Para este ejemplo, mantenga seleccionados los elementos de menú predeterminados Dominio de AD único y No.
  4. Haga clic en Siguiente.
    Se expande la sección Proporcionar credenciales de usuario de enlace del flujo de trabajo.
  5. Proporcione las credenciales de administrador de usuario de enlace de la cuenta de servicio que se utilizará para sincronizar el grupo y los usuarios de Active Directory empresarial.
    A continuación se muestra un ejemplo de cómo definir el nombre distintivo (distinguish name, DN) del usuario de enlace. Supongamos que el DN del usuario de enlace para el servicio de directorio empresarial es [email protected]. Consulte cómo se define la sintaxis del nombre de usuario en la configuración de la federación:
    1. En el cuadro de texto DN del usuario de enlace, introduzca "CN=admin,DC=acme,DC=com".
      El cuadro de texto DN base se rellena automáticamente para mostrar "DC=acme,DC=com".
    2. En el cuadro de texto Contraseña de usuario de enlace, escriba la contraseña del administrador del usuario de enlace.
    Nota: Las credenciales del DN de usuario de enlace y del DN de enlace que introduzca deben seguir la sintaxis que se muestra en los ejemplos.
  6. Haga clic en Siguiente.
    Se expande la sección Sincronizar grupos del flujo de trabajo.
  7. Introduzca el nombre distintivo (DN) de los grupos que desea sincronizar.
    Utilice una sintaxis similar a la que introdujo en el paso 5 de esta tarea para definir grupos de usuarios específicos del directorio empresarial, como CN=Users,DC=acme,DC=com.
    Nota: Los atributos mínimos para sincronizar grupos y usuarios son nombre, apellidos, correo electrónico, nombre de usuario y dominio. Si su empresa utiliza el nombre principal de usuario (UPN) para autenticar a los usuarios, este atributo también debe tener un valor para la sincronización. Las contraseñas de los usuarios nunca se sincronizan. Solo se sincronizan los DN de usuario y grupo configurados en este paso, no todo su AD.
  8. Haga clic en el vínculo Seleccionar grupos.
    Aparece una ventana emergente que muestra todos los resultados de grupos disponibles para los criterios de DN de grupo que ha introducido. Si los resultados de la búsqueda son más de 1000 grupos, puede volver al paso 7 y restringir los criterios de búsqueda.
  9. Seleccione los grupos que desea sincronizar para la configuración de la federación y, a continuación, haga clic en Guardar.
    La página del flujo de trabajo de federación se actualiza y muestra el número de grupos agregados para la sincronización en este paso. Para agregar más grupos, haga clic en Agregar.
  10. Haga clic en Siguiente.
  11. En la sección Sincronizar usuarios que se expande, introduzca los DN de usuario que desea sincronizar.
    Utilice una sintaxis similar a la que introdujo en el paso 7 de esta tarea para definir usuarios específicos del directorio empresarial, como CN=admin,CN=users,DC=acme,DC=com.
    Todos los grupos y usuarios que agregó ahora se muestran en la sección Revisar grupos y usuarios.
    Para probar la configuración de la federación y validar el inicio de sesión del usuario con el proveedor de identidad empresarial, asegúrese de agregar y sincronizar correctamente los grupos y los usuarios que van a probar la configuración de la federación, incluido usted mismo.
    Nota: Los usuarios que no estén sincronizados tendrán errores de autenticación del usuario después de activar la federación empresarial.
  12. Haga clic en Sincronizar
    El estado Sincronización en curso aparece y permanece hasta que haga clic en Comprobar estado de sincronización.
  13. Para ver el estado actualizado de la sincronización, haga clic en Comprobar estado de sincronización.
    Nota: Se produce un error en la sincronización si faltan los atributos mínimos necesarios, como nombre, apellidos, correo electrónico, nombre de usuario, dominio y UPN (si se utiliza).
    Cuando la sincronización se realiza correctamente, el estado cambia a verde.
    Nota: Si recibe un error de excepción del DN de usuario de enlace, puede pasarlo por alto. Para todos los demás errores, tendrá que solucionar los problemas de configuración.
  14. Haga clic en Continuar.

Qué hacer a continuación

Ya está listo para configurar el proveedor de identidad corporativo de la federación empresarial con VMware Cloud services.