Después de implementar el OVA de VMware Identity Manager, debe utilizar el asistente de configuración para establecer contraseñas y seleccionar una base de datos. En ese momento puede configurar la conexión a Active Directory o al directorio LDAP.

Requisitos previos

  • El dispositivo virtual de VMware Identity Managerdebe estar encendido.
  • Si utiliza una base de datos externa, esta debe estar configurada y la información de la base de la conexión de la base de datos externa debe estar disponible. Para obtener más información, consulte Establecer conexión con la base de datos.
  • Consulte Integración con el directorio empresarial, Integrar con Active Directory y Integrar un directorio LDAP en el servicio para obtener información sobre requisitos y limitaciones.
  • Debe tener la información de su directorio LDAP o de Active Directory.
  • Cuando configura Active Directory con varios bosques y el grupo local de dominios contiene miembros de dominios de diferentes bosques, debe agregar el usuario de DN de enlace utilizado en la página Directorio de VMware Identity Manager al grupo de administradores del dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros estarán ausentes del grupo local del dominio.
  • Debe disponer de una lista de los atributos de usuario que desea utilizar como filtros y una lista de los grupos que desea agregar a VMware Identity Manager.

Procedimiento

  1. Acceda a la URL de VMware Identity Manager que se muestra en la pantalla azul en la pestaña Consola. Por ejemplo, https://nombredehost.ejemplo.com.
  2. Si se le solicita, acepte el certificado.
  3. En la página Comenzar, haga clic en Continuar.
  4. En la página Establecer contraseñas establezca las contraseñas de las siguientes cuentas de administrador, que se utilizan para administrar el dispositivo, y haga clic en Continuar.
    Cuenta
    Administrador del dispositivo Establezca la contraseña del usuario admin. Este nombre de usuario no se puede cambiar. La cuenta del usuario admin se utiliza para administrar la configuración del dispositivo.
    Importante: La contraseña del usuario admin debe tener 6 caracteres como mínimo.
    Raíz del dispositivo Establezca la contraseña de usuario raíz. El usuario raíz tiene todos los derechos sobre el dispositivo.
    Usuario remoto Establezca la contraseña sshuser. Esta contraseña se utiliza para iniciar sesión de forma remota en el dispositivo con una conexión SSH.
  5. En la página Seleccionar base de datos, seleccione la base de datos que va a utilizar.
    Consulte Establecer conexión con la base de datos para obtener más información.
    • Si utiliza una base de datos externa, seleccione Base de datos externa e introduzca el nombre de usuario, la contraseña y la información de la conexión de la base de datos externa. Para comprobar que VMware Identity Manager puede conectarse a la base de datos, haga clic en Probar conexión.

      Después de comprobar la conexión, haga clic en Continuar.

    • Si utiliza la base de datos interna, haga clic en Continuar.
      Nota: No se recomienda usar la base de datos interna para implementaciones de producción.
    La conexión a la base de datos se configurará y la base de datos se inicializará. Cuando el proceso finalice, aparecerá la página La configuración se completó.
  6. Haga clic en el vínculo Inicie la sesión en la consola de administración de la página La configuración se completó para iniciar sesión en la consola de administración y configurar la conexión de Active Directory o del directorio LDAP.
  7. Inicie sesión en la consola de administración como usuario admin con la contraseña que estableció.
    Iniciará sesión como administrador local. Se mostrará la página Directorios. Antes de agregar un directorio, asegúrese de revisar Integración con el directorio empresarial, Integrar con Active Directory y Integrar un directorio LDAP en el servicio para obtener más información sobre requisitos y limitaciones.
  8. Haga clic en la pestaña Administración de acceso e identidad.
  9. Haga clic en Configurar > Atributos de usuario para seleccionar los atributos del usuario que se van a sincronizar con el directorio.
    Aparecerán los atributos predeterminados y podrá seleccionar los que sean necesarios. Si un atributo está marcado como obligatorio, solo se sincronizan al servicio los usuarios con dicho atributo. También puede agregar otros atributos.
    Importante: Después de crear un directorio, no podrá convertir un atributo en un atributo obligatorio. Debe elegir esa opción ahora.

    Compruebe también que todas las configuraciones de la página Atributos de usuario se apliquen a todos los directorios del servicio. Cuando marque un atributo como obligatorio, tenga en cuenta el efecto que pueda causar en otros directorios. Si un atributo está marcado como obligatorio, no se sincronizan con el servicio de los usuarios sin dicho atributo.

    Importante: Si va a sincronizar recursos de XenApp con VMware Identity Manager, debe convertir distinguishedName en un atributo obligatorio.
  10. Haga clic en Guardar.
  11. Haga clic en la pestaña Administración de acceso e identidad.
  12. En la página Directorios, haga clic en Agregar directorio y seleccione Agregar Active Directory en LDAP/IWA o Agregar directorio LDAP, según el tipo de directorio que está integrando.
    También puede crear un directorio local en el servicio. Para obtener más información sobre cómo usar los directorios locales, consulte Usar directorios locales.
  13. En el caso de Active Directory, siga estos pasos.
    1. Introduzca un nombre para el directorio que está creando en VMware Identity Manager y seleccione el tipo de directorio, ya sea Active Directory mediante LDAP o Active Directory (Autenticación de Windows integrada).
    2. Proporcione la información de la conexión.
      Opción Descripción
      Active Directory mediante LDAP
      1. En el campo Conector de sincronización, seleccione el conector que desee utilizar para sincronizar usuarios y grupos de Active Directory con el directorio de VMware Identity Manager.

        De forma predeterminada, un componente del conector estará siempre disponible con el servicio de VMware Identity Manager. Este conector aparecerá en la lista desplegable. Si instala varios dispositivos de VMware Identity Manager para lograr una alta disponibilidad, el componente del conector de cada uno aparecerá en la lista.

      2. En el campo Autenticación, seleccione si desea utilizar Active Directory para autenticar a los usuarios.

        Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para realizar la autenticación.

      3. En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario.
      4. Si Active Directory utiliza la búsqueda de ubicaciones de servicio de DNS, seleccione las opciones siguientes.
        • En la sección Ubicación del servidor, active la casilla Este directorio admite la ubicación de servicio de DNS.

          Se creará un archivo domain_krb.properties rellenado automáticamente con una lista de controladores de dominios cuando se cree el directorio. Consulte Acerca de la selección de controladores de dominio (archivo domain_krb.properties) .

        • Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL.

          Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

          Nota: Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio.
      5. Si Active Directory no utiliza la búsqueda de ubicaciones de servicio de DNS, seleccione las opciones siguientes.
        • En la sección Ubicación del servidor, compruebe que la casilla Este directorio admite la ubicación de servicio de DNS no esté seleccionada y introduzca el número de puerto y el nombre de host del servidor de Active Directory.

          Para configurar el directorio como un catálogo global, consulte la sección Entorno de varios dominios y un único bosque de Active Directory de Entornos de Active Directory.

        • Si Active Directory requiere acceso mediante SSL, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL.

          Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

          Nota: Si Active Directory requiere SSL y usted no proporciona el certificado, no podrá crear el directorio.
      6. En la sección Permitir el cambio de contraseña, seleccione Habilitar el cambio de contraseña si desea permitir a los usuarios que puedan restablecer sus contraseñas en la página de inicio de sesión de VMware Identity Manager en caso de que la contraseña caduque o si el administrador de Active Directory restablece la contraseña del usuario.
      7. En el campo DN base, introduzca el DN desde el que deben empezar las búsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com.
      8. En el campo DN de enlace, introduzca la cuenta que puede buscar usuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
        Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
      9. Después de introducir la contraseña de enlace, haga clic en Probar conexión para verificar que el directorio se puede conectar a Active Directory.
      Active Directory (Autenticación de Windows integrada)
      1. En el campo Conector de sincronización, seleccione el conector que desee utilizar para sincronizar usuarios y grupos de Active Directory con el directorio de VMware Identity Manager.

        De forma predeterminada, un componente del conector estará siempre disponible con el servicio de VMware Identity Manager. Este conector aparecerá en la lista desplegable. Si instala varios dispositivos de VMware Identity Manager para lograr una alta disponibilidad, el componente del conector de cada uno aparecerá en la lista.

      2. En el campo Autenticación, haga clic en si desea utilizar Active Directory para autenticar a los usuarios.

        Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para realizar la autenticación.

      3. En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario.
      4. Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen STARTTLS en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL.

        Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

        Si el directorio tiene varios dominios, agregue los certificados CA raíz para todos los dominios de uno en uno.

        Nota: Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio.
      5. Introduzca el nombre del dominio de Active Directory al que desea unirse. Introduzca un nombre de usuario y una contraseña que tenga los derechos para unirse al dominio. Consulte Permisos necesarios para unir un dominio para obtener más información.
      6. En la sección Permitir el cambio de contraseña, seleccione Habilitar el cambio de contraseña si desea permitir a los usuarios que puedan restablecer sus contraseñas en la página de inicio de sesión de VMware Identity Manager en caso de que la contraseña caduque o si el administrador de Active Directory restablece la contraseña del usuario.
      7. En el campo UPN del usuario de enlace, introduzca el nombre principal de usuario que puede autenticarse con el dominio. Por ejemplo [email protected].
        Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
      8. Introduzca la contraseña de usuario de DN de enlace.
    3. Haga clic en Guardar y Siguiente.
      Aparecerá la página con la lista de dominios.
  14. En el caso de las directivas de LDAP, siga estos pasos.
    1. Proporcione la información de la conexión.
      Opción Descripción
      Nombre de directorio Un nombre para el directorio que está creando en VMware Identity Manager.
      Sincronización de directorio y autenticación
      1. En el campo Conector de sincronización, seleccione el conector que desee utilizar para sincronizar usuarios y grupos del directorio LDAP con el directorio de VMware Identity Manager.

        De forma predeterminada, un componente del conector estará siempre disponible con el servicio de VMware Identity Manager. Este conector aparecerá en la lista desplegable. Si instala varios dispositivos de VMware Identity Manager para lograr una alta disponibilidad, el componente del conector de cada uno aparecerá en la lista.

        No es necesario un conector diferente para un directorio LDAP. Un conector puede ser compatible con varios directorios, independientemente de si cuentan con directorios LDAP o Active Directory.

      2. En el campo Autenticación, seleccione si desea utilizar el directorio LDAP para autenticar a los usuarios.

        Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, seleccione No. Después de agregar la conexión del directorio para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para realizar la autenticación.

      3. En el campo Atributo de búsqueda de directorios, especifique el atributo del directorio LDAP que se utiliza para el nombre de usuario. Si el atributo no aparece en la lista, seleccione Personalizado y escriba el nombre del atributo. Por ejemplo, cn.
      Ubicación del servidor Introduzca el número de puerto y el host del servidor del directorio LDAP. En el caso del host del servidor, puede especificar el nombre del dominio plenamente cualificado o la dirección IP. Por ejemplo, myLDAPserver.example.com o 100.00.00.0.

      Si cuenta con un clúster de servidores bajo un equilibrador de carga, introduzca la información de este último en su lugar.

      Configuración LDAP Especifica los atributos y los filtros de búsqueda de LDAP que VMware Identity Manager puede utilizar para solicitar su directorio LDAP. Los valores predeterminados se proporcionan según el esquema principal de LDAP.

      Solicitudes LDAP

      • Obtener grupos: es el filtro de búsqueda para obtener los objetos de grupo.

        Por ejemplo: (objectClass=group)

      • Obtener usuario de enlace: es el filtro de búsqueda para obtener el objeto de usuario de enlace, es decir, al usuario que puede enlazarse al directorio.

        Por ejemplo: (objectClass=person)

      • Obtener usuario: es el filtro de búsqueda para obtener los usuarios para sincronizar.

        Por ejemplo:(&(objectClass=user)(objectCategory=person))

      Atributos

      • Afiliación: es el atributo que se utiliza en su directorio LDAP para definir los miembros de un grupo.

        Por ejemplo: member

      • UUID del objeto: es el atributo que se utiliza en su directorio LDAP para definir el UUID.

        Por ejemplo: entryUUID

      • Nombre distintivo: es el atributo que se utiliza en su directorio LDAP para definir el nombre distintivo de un usuario o un grupo.

        Por ejemplo: entryDN

      Certificados Si el directorio LDAP requiere acceso mediante SSL, seleccione la opción Este directorio requiere que todas las conexiones usen SSL y copie y pegue el certificado CA SSL raíz del servidor del directorio LDAP. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".
      Detalles del usuario de enlace DN base: introduzca el DN desde el que deben empezar las búsquedas. Por ejemplo, cn=users,dc=example,dc=com
      DN de enlace: introduzca el nombre del usuario que enlaza al directorio LDAP.
      Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.

      Contraseña DN de enlace: introduzca la contraseña del usuario DN de enlace.

    2. Para probar la conexión al servidor del directorio LDAP, haga clic en Probar conexión.
      Si no se realizó la conexión correctamente, compruebe la información que introdujo y haga los cambios necesarios.
    3. Haga clic en Guardar y Siguiente.
      Aparece la página con la lista del dominio.
  15. En un directorio LDAP, el dominio aparece en la lista y no se puede modificar.
    En Active Directory mediante LDAP, los dominios aparecen en la lista y no se pueden modificar.

    Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberán asociarse con esta conexión de Active Directory.

    Nota: Si agrega un dominio de confianza una vez creado el directorio, el servicio no detectará automáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, el conector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que el conector vuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.

    Haga clic en Siguiente.

  16. Compruebe que los nombres de los atributos de VMware Identity Manager estén asignados a los atributos de Active Directory o LDAP correctos y realice los cambios que sean necesarios.
    Importante: Si integra un directorio LDAP, debe especificar una asignación para el atributo de dominio.
  17. Haga clic en Siguiente.
  18. Seleccione los grupos que desee sincronizar desde Active Directory o desde el directorio LDAP al directorio de VMware Identity Manager.
    Opción Descripción
    Especificar los DN de grupo Para seleccionar los grupos, especifique un DN o varios y seleccione los grupos que aparecen a continuación.
    1. Haga clic en + y especifique el DN de grupo. Por ejemplo, CN=users,DC=example,DC=company,DC=com.
      Importante: Especifique los DN de grupo que aparecen a continuación del DN base que introdujo. Si un DN de grupo aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
    2. Haga clic en Buscar grupos.

      La columna Grupos para sincronizar muestra el número de grupos que se encuentran en el DN.

    3. Para seleccionar todos los grupos en el DN, haga clic en Seleccionar todo, o bien haga clic en Seleccionar y seleccione los grupos específicos que desea sincronizar.
      Nota: Si cuenta con varios grupos con el mismo nombre en su directorio LDAP, debe especificar nombres únicos para ellos en VMware Identity Manager. Puede cambiar el nombre al seleccionar el grupo.
    Nota: Cuando sincroniza un grupo, los usuarios que no tengan Usuarios del dominio como su grupo principal en Active Directory no se sincronizan.
    Sincronizar miembros de grupo anidados

    La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando se habilita esta opción, todos los usuarios que pertenezcan al grupo que seleccione y los que pertenezcan a grupos anidados dentro de este grupo se sincronizan. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de VMware Identity Manager, estos usuarios serán miembros del grupo de nivel principal que seleccionó para sincronizarse.

    Si deshabilita la opción Sincronizar miembros de grupo anidados, todos los usuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupo que especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones de Active Directory en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.

  19. Haga clic en Siguiente.
  20. Especifique los usuarios adicionales que desea sincronizar, si es necesario.
    1. Haga clic en + e introduzca los DN del usuario. Por ejemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Especifique los DN de usuario que aparecen a continuación del DN base que introdujo. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
    2. (Opcional) Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios.
      Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.
  21. Haga clic en Siguiente.
  22. Revise la página para ver cuántos usuarios y grupos se sincronizarán con el directorio así como la programación de la sincronización.

    Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic en los vínculos Editar.

  23. Haga clic en Sincronizar directorio para iniciar la sincronización del directorio.

Resultados

Nota: Si se produce un error en la red y el nombre del host no puede resolverse de forma única con una DNS inversa, el proceso de configuración se detendrá. Deberá resolver los problemas relacionados con la red y reiniciar el dispositivo virtual. A continuación, podrá continuar el proceso de implementación. La nueva configuración de la red no estará disponible hasta que reinicie el dispositivo virtual.

Qué hacer a continuación

Para obtener más información sobre cómo configurar un equilibrador de carga o sobre la configuración de alta disponibilidad, consulte Configuración avanzada del dispositivo VMware Identity Manager.

Puede personalizar el catálogo de recursos de las aplicaciones de su organización y conceder a los usuarios acceso a estos recursos. También puede configurar otros recursos, como aplicaciones basadas en Citrix, View y ThinApp. Consulte Configurar recursos en VMware Identity Manager.