Configurar la conexión de Active Directory con el servicio

En la consola de administración, especifique la información necesaria para conectar con Active Directory y seleccionar usuarios y grupos para sincronizar con el directorio de VMware Identity Manager.

Por qué y cuándo se efectúa esta tarea

Las opciones de conexión de Active Directory son mediante LDAP o mediante la autenticación integrada de Windows de Active Directory. La conexión de Active Directory mediante LDAP es compatible con la búsqueda de ubicación del servicio DNS.

Requisitos

Seleccione los atributos necesarios y agregue atributos adicionales, en caso de que sea necesario, en la página Atributos de usuario. Consulte Seleccionar atributos para sincronizar con el directorio.

Importante:
Si va a sincronizar recursos de XenApp con VMware Identity Manager, debe convertir distinguishedName en atributo obligatorio. Debe realizar esta selección antes de crear un directorio, ya que los atributos no se pueden cambiar para que sean obligatorios después de crear el directorio.
Lista de grupos y usuarios de Active Directory para sincronizar desde Active Directory.
Para Active Directory mediante LDAP, la información necesaria incluye DN base, DN de enlace y contraseña de DN de enlace.

Nota:
Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
Para la Autenticación de Windows integrada de Active Directory, la información necesaria incluye la dirección UPN del usuario de enlace del dominio y la contraseña.

Nota:
Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
Si Active Directory necesita que el acceso sea mediante SSL o STARTTLS, se requerirá el certificado de CA raíz del controlador de dominio de Active Directory.
Para la Autenticación de Windows integrada de Active Directory, cuando tiene configurado Active Directory con varios bosques y el grupo local de dominios contiene miembros de dominios de diferentes bosques, asegúrese de que el usuario de enlace se agrega al grupo Administradores del dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local de dominios.

Procedimiento

En la consola de administración, haga clic en la pestaña Administración de acceso e identidad.
En la página Directorios, haga clic en Agregar directorio.
Introduzca un nombre para este directorio de VMware Identity Manager.

Seleccione el tipo de Active Directory de su entorno y configure la información de conexión.

Opción	Descripción
Active Directory mediante LDAP	En el campo Conector de sincronización, seleccione el conector que se utilizará para sincronizar con Active Directory. En el campo Autenticación, si se utiliza este Active Directory para autenticar usuarios, haga clic en Sí. Si se utiliza otro proveedor para autenticar usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para la autenticación. En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario. Si Active Directory utiliza la búsqueda de ubicaciones de servicio de DNS, seleccione las opciones siguientes. En la sección Ubicación del servidor, active la casilla Este directorio admite la ubicación de servicio de DNS. Se creará un archivo domain_krb.properties rellenado automáticamente con una lista de controladores de dominios cuando se cree el directorio. Consulte Acerca de la selección de controladores de dominio (archivo domain_krb.properties) . Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE". Nota: Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio. Si Active Directory no utiliza la búsqueda de ubicaciones de servicio de DNS, seleccione las opciones siguientes. En la sección Ubicación del servidor, compruebe que la casilla Este directorio admite la ubicación de servicio de DNS no esté seleccionada y introduzca el número de puerto y el nombre de host del servidor de Active Directory. Para configurar el directorio como un catálogo global, consulte la sección Entorno de varios dominios y un único bosque de Active Directory de Entornos de Active Directory. Si Active Directory requiere acceso mediante SSL, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE". Nota: Si Active Directory requiere SSL y usted no proporciona el certificado, no podrá crear el directorio. En el campo DN base, introduzca el DN desde el que deben empezar las búsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com. En el campo DN de enlace, introduzca la cuenta que puede buscar usuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com. Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque. Después de introducir la contraseña de enlace, haga clic en Probar conexión para verificar que el directorio se puede conectar a Active Directory.
Active Directory (Autenticación de Windows integrada)	En el campo Conector de sincronización, seleccione el conector que se utilizará para sincronizar con Active Directory. En el campo Autenticación, si se utiliza este Active Directory para autenticar usuarios, haga clic en Sí. Si se utiliza otro proveedor para autenticar usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para la autenticación. En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario. Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen STARTTLS en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE". Si el directorio tiene varios dominios, agregue los certificados CA raíz para todos los dominios de uno en uno. Nota: Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio. En el campo Dirección UPN de usuario de enlace, escriba el nombre principal del usuario que podrá autenticarse en el dominio. Por ejemplo [email protected]. Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque. Escriba la contraseña del usuario de enlace.

Opción

Descripción

Active Directory mediante LDAP

En el campo Conector de sincronización, seleccione el conector que se utilizará para sincronizar con Active Directory.
En el campo Autenticación, si se utiliza este Active Directory para autenticar usuarios, haga clic en Sí.
Si se utiliza otro proveedor para autenticar usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para la autenticación.
En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario.
Si Active Directory utiliza la búsqueda de ubicaciones de servicio de DNS, seleccione las opciones siguientes.
- En la sección Ubicación del servidor, active la casilla Este directorio admite la ubicación de servicio de DNS.
  Se creará un archivo domain_krb.properties rellenado automáticamente con una lista de controladores de dominios cuando se cree el directorio. Consulte Acerca de la selección de controladores de dominio (archivo domain_krb.properties) .
- Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL.
  Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".
  
  Nota:
  Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio.
Si Active Directory no utiliza la búsqueda de ubicaciones de servicio de DNS, seleccione las opciones siguientes.
- En la sección Ubicación del servidor, compruebe que la casilla Este directorio admite la ubicación de servicio de DNS no esté seleccionada y introduzca el número de puerto y el nombre de host del servidor de Active Directory.
  Para configurar el directorio como un catálogo global, consulte la sección Entorno de varios dominios y un único bosque de Active Directory de Entornos de Active Directory.
- Si Active Directory requiere acceso mediante SSL, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL.
  Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".
  
  Nota:
  Si Active Directory requiere SSL y usted no proporciona el certificado, no podrá crear el directorio.
En el campo DN base, introduzca el DN desde el que deben empezar las búsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com.
En el campo DN de enlace, introduzca la cuenta que puede buscar usuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Nota:
Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
Después de introducir la contraseña de enlace, haga clic en Probar conexión para verificar que el directorio se puede conectar a Active Directory.

Active Directory (Autenticación de Windows integrada)

En el campo Conector de sincronización, seleccione el conector que se utilizará para sincronizar con Active Directory.
En el campo Autenticación, si se utiliza este Active Directory para autenticar usuarios, haga clic en Sí.
Si se utiliza otro proveedor para autenticar usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para la autenticación.
En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario.
Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen STARTTLS en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL.
Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".
Si el directorio tiene varios dominios, agregue los certificados CA raíz para todos los dominios de uno en uno.

Nota:
Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio.
En el campo Dirección UPN de usuario de enlace, escriba el nombre principal del usuario que podrá autenticarse en el dominio. Por ejemplo [email protected].

Nota:
Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
Escriba la contraseña del usuario de enlace.

Haga clic en Guardar y Siguiente.

Aparecerá la página con la lista de dominios.
En Active Directory mediante LDAP, los dominios aparecen con una marca de verificación.

Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberán asociarse con esta conexión de Active Directory.

Nota:
Si agrega un dominio de confianza una vez creado el directorio, el servicio no detectará automáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, el conector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que el conector vuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.

Haga clic en Siguiente.
Verifique que los nombres de los atributos del directorio VMware Identity Manager están asignados a los atributos de Active Directory correctos, realice los cambios necesarios y haga clic en Siguiente.

Seleccione los grupos que desee sincronizar desde Active Directory al directorio de VMware Identity Manager.

Opción	Descripción
Especificar los DN de grupo	Para seleccionar los grupos, especifique un DN o varios y seleccione los grupos que aparecen a continuación. Haga clic en + y especifique el DN de grupo. Por ejemplo, CN=users,DC=example,DC=company,DC=com. Importante: Especifique los DN de grupo que aparecen a continuación del DN base que introdujo. Si un DN de grupo aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión. Haga clic en Buscar grupos. La columna Grupos para sincronizar muestra el número de grupos que se encuentran en el DN. Para seleccionar todos los grupos en el DN, haga clic en Seleccionar todo, o bien haga clic en Seleccionar y seleccione los grupos específicos que desea sincronizar. Nota: Cuando sincroniza un grupo, los usuarios que no tengan Usuarios del dominio como su grupo principal en Active Directory no se sincronizan.
Sincronizar miembros de grupo anidados	La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando se habilita esta opción, todos los usuarios que pertenezcan al grupo que seleccione y los que pertenezcan a grupos anidados dentro de este grupo se sincronizan. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de VMware Identity Manager, estos usuarios serán miembros del grupo de nivel principal que seleccionó para sincronizarse. Si deshabilita la opción Sincronizar miembros de grupo anidados, todos los usuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupo que especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones de Active Directory en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.

Opción

Descripción

Especificar los DN de grupo

Para seleccionar los grupos, especifique un DN o varios y seleccione los grupos que aparecen a continuación.

Haga clic en + y especifique el DN de grupo. Por ejemplo, CN=users,DC=example,DC=company,DC=com.

Importante:
Especifique los DN de grupo que aparecen a continuación del DN base que introdujo. Si un DN de grupo aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
Haga clic en Buscar grupos.
La columna Grupos para sincronizar muestra el número de grupos que se encuentran en el DN.
Para seleccionar todos los grupos en el DN, haga clic en Seleccionar todo, o bien haga clic en Seleccionar y seleccione los grupos específicos que desea sincronizar.

Nota:

Cuando sincroniza un grupo, los usuarios que no tengan Usuarios del dominio como su grupo principal en Active Directory no se sincronizan.

Sincronizar miembros de grupo anidados

La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando se habilita esta opción, todos los usuarios que pertenezcan al grupo que seleccione y los que pertenezcan a grupos anidados dentro de este grupo se sincronizan. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de VMware Identity Manager, estos usuarios serán miembros del grupo de nivel principal que seleccionó para sincronizarse.

Si deshabilita la opción Sincronizar miembros de grupo anidados, todos los usuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupo que especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones de Active Directory en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.

Haga clic en Siguiente.
Especifique los usuarios adicionales que desea sincronizar, si es necesario.
1. Haga clic en + e introduzca los DN del usuario. Por ejemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
  
  Importante:
  Especifique los DN de usuario que aparecen a continuación del DN base que introdujo. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
2. (Opcional) Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios.
  
  Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.
Haga clic en Siguiente.
Revise la página para ver cuántos usuarios y grupos se sincronizan en el directorio y la programación de sincronización.

Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic en los vínculos Editar.
Haga clic en Sincronizar directorio para iniciar la sincronización.

Resultados

Se establece la conexión con Active Directory y los usuarios y los grupos se sincronizan desde Active Directory al directorio VMware Identity Manager. El usuario de DN de enlace tiene una función de administrador en VMware Identity Manager de forma predeterminada.

Qué hacer a continuación

Si se creó un directorio compatible con la ubicación del servicio DNS, se creará un archivo domain_krb.properties que se rellenará con una lista de controladores de dominio. Consulte el archivo para verificar o editar la lista de controladores de dominio. Consulte Acerca de la selección de controladores de dominio (archivo domain_krb.properties).
Configure los métodos de autenticación. Una vez sincronizados los usuarios y los grupos con el directorio, si también se utiliza el conector para la autenticación, podrá configurar otros métodos de autenticación en este último. Si el proveedor de identidades de autenticación es un tercero, configúrelo en el conector.
Revise la directiva de acceso predeterminada. La política de acceso predeterminada se configura para permitir que todos los dispositivos de todos los rangos de redes accedan al navegador web, con un tiempo de espera de sesión definido en ocho horas, o bien acceder a una aplicación del cliente con un tiempo de espera de sesión de 2.160 horas (90 días). Puede cambiar la política de acceso predeterminada. Asimismo, cuando agregue aplicaciones web al catálogo, podrá crear otras nuevas.
Aplique la personalización de marca a la consola de administración, a las páginas del portal de usuario y a la pantalla de inicio de sesión.