En la consola administrativa, especifique la información necesaria para conectar con Active Directory y seleccionar usuarios y grupos para sincronizar con el directorio de VMware Identity Manager.

Las opciones de conexión de Active Directory son mediante LDAP o mediante la Active Directory (Autenticación integrada de Windows). La conexión de Active Directory mediante LDAP es compatible con la búsqueda de ubicación del servicio DNS.

Requisitos previos

  • (SaaS) Conector instalado y activado.
  • Seleccione los atributos necesarios y agregue atributos adicionales en la página Atributos de usuario. Consulte Seleccionar atributos para sincronizar con el directorio.
  • Lista de grupos y usuarios de Active Directory para sincronizar desde Active Directory. Los nombres de grupo se sincronizan con el directorio inmediatamente. Los miembros de un grupo no se sincronizan hasta que el grupo goce de autorización para los recursos o hasta que se lo agregue a una regla de directiva. Los usuarios que necesiten autenticarse antes de que se configuren las autorizaciones de grupo deben agregarse durante la configuración inicial.
  • Para Active Directory mediante LDAP, la información necesaria incluye DN base, DN de enlace y contraseña de DN de enlace.
    Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
  • Para la Active Directory (Autenticación de Windows integrada), la información necesaria incluye la dirección UPN del usuario de enlace del dominio y la contraseña.
    Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
  • Si Active Directory necesita que el acceso sea mediante SSL o STARTTLS, se requerirá el certificado de CA raíz del controlador de dominio de Active Directory.
  • Para Active Directory (autenticación integrada de Windows), cuando tiene configurado Active Directory con varios bosques y el grupo local de dominios contiene miembros de dominios de diferentes bosques, asegúrese de que el usuario de enlace se agregue al grupo de Administradores del dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local de dominios.

Procedimiento

  1. En la consola de administración, haga clic en la pestaña Administración de acceso e identidad.
  2. En la página Directorios, haga clic en Agregar directorio.
  3. Introduzca un nombre para este directorio de VMware Identity Manager.
  4. Seleccione el tipo de Active Directory de su entorno y configure la información de conexión.
    Opción Descripción
    Active Directory mediante LDAP
    1. En el cuadro de texto Conector de sincronización, seleccione el conector que se utilizará para sincronizar con Active Directory.

      En una implementación local, siempre hay un componente del conector disponible con el servicio de VMware Identity Manager de forma predeterminada. Este conector aparecerá en el menú desplegable. Si instala varias instancias de VMware Identity Manager para lograr una alta disponibilidad, el componente del conector de cada una aparecerá en la lista. También se enumeran conectores externos adicionales.

    2. En el cuadro de texto Autenticación, si se utiliza este Active Directory para autenticar usuarios, haga clic en .

      Si se utiliza otro proveedor para autenticar usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para la autenticación.

    3. En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario.
    4. Si Active Directory utiliza la búsqueda de ubicaciones de servicio de DNS, seleccione las opciones siguientes.
      • En la sección Ubicación del servidor, active la casilla Este directorio admite la ubicación de servicio de DNS.

        Se creará un archivo domain_krb.properties rellenado automáticamente con una lista de controladores de dominios cuando se cree el directorio. Consulte Acerca de la selección de controladores de dominio (archivo domain_krb.properties) .

      • Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y lo pegue en el cuadro de texto Certificado SSL.

        Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

        Nota: Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio.
    5. Si Active Directory no utiliza la búsqueda de ubicaciones de servicio de DNS, seleccione las opciones siguientes.
      • En la sección Ubicación del servidor, compruebe que la casilla Este directorio admite la ubicación de servicio de DNS no esté seleccionada, e introduzca el número de puerto y el nombre de host del servidor de Active Directory.

        Para configurar el directorio como un catálogo global, consulte la sección Entorno de varios dominios y un único bosque de Active Directory de Entornos de Active Directory.

      • Si Active Directory requiere acceso mediante SSL, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL.

        Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

        Nota: Si Active Directory requiere SSL y usted no proporciona el certificado, no podrá crear el directorio.
    6. En el campo DN base, introduzca el DN desde el que deben empezar las búsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com.
    7. En el campo DN de enlace, introduzca la cuenta que puede buscar usuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
      Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
    8. Después de introducir la contraseña de enlace, haga clic en Probar conexión para verificar que el directorio se puede conectar a Active Directory.
    Active Directory (Autenticación de Windows integrada)
    1. En el cuadro de texto Conector de sincronización, seleccione el conector que se utilizará para sincronizar con Active Directory.
    2. En el cuadro de texto Autenticación, si se utiliza este Active Directory para autenticar usuarios, haga clic en .

      Si se utiliza otro proveedor para autenticar usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para la autenticación.

    3. En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario.
    4. Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen STARTTLS en la sección Certificados, copie el certificado de CA raíz de Active Directory y lo pegue en el cuadro de texto Certificado SSL.

      Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".

      Si el directorio tiene varios dominios, agregue los certificados CA raíz para todos los dominios de uno en uno.

      Nota: Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio.
    5. (Solo Linux) Introduzca el nombre del dominio de Active Directory al que desea unirse. Introduzca un nombre de usuario y una contraseña que tenga los derechos para unirse al dominio. Consulte Permisos necesarios para unirse a un dominio (solo en el dispositivo virtual de Linux) para obtener más información.
    6. En el cuadro de texto Dirección UPN de usuario de enlace, escriba el nombre principal del usuario que podrá autenticarse en el dominio. Por ejemplo [email protected].
      Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
    7. Escriba la contraseña del usuario de enlace.
  5. Haga clic en Guardar y Siguiente.
    Aparecerá la página con la lista de dominios.
  6. En Active Directory mediante LDAP, los dominios aparecen con una marca de verificación.
    Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberán asociarse con esta conexión de Active Directory.
    Nota: Si agrega un dominio de confianza una vez creado el directorio, el servicio no detectará automáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, el conector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que el conector vuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.

    Haga clic en Siguiente.

  7. Verifique que los nombres de los atributos del directorio VMware Identity Manager están asignados a los atributos de Active Directory correctos, realice los cambios necesarios y haga clic en Siguiente.
  8. Seleccione los grupos que desee sincronizar desde Active Directory al directorio de VMware Identity Manager.
    Cuando se agregan grupos aquí, los nombres de los grupos se sincronizan con el directorio. Los usuarios que son miembros del grupo no se sincronizan con el directorio hasta que el grupo tenga autorización para una aplicación o el nombre del grupo se agregue a una regla de directiva de acceso. Cualquiera de las siguientes sincronizaciones programadas proporciona información actualizada de Active Directory para estos nombres de grupo.
    Opción Descripción
    Especificar los DN de grupo Para seleccionar los grupos, especifique un DN o varios y seleccione los grupos que aparecen a continuación.
    1. Haga clic en + y especifique el DN de grupo. Por ejemplo, CN=users,DC=example,DC=company,DC=com.
      Importante: Especifique los DN de grupo que aparecen a continuación del DN base que introdujo. Si un DN de grupo aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
    2. Haga clic en Buscar grupos.

      La columna Grupos para sincronizar muestra el número de grupos que se encuentran en el DN.

    3. Para seleccionar todos los grupos en el DN, haga clic en Seleccionar todo, o bien haga clic en Seleccionar y seleccione los grupos específicos que desea sincronizar.
    Nota: Cuando sincroniza un grupo, los usuarios que no tengan Usuarios del dominio como su grupo principal en Active Directory no se sincronizan.
    Sincronizar miembros de grupo anidados

    La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando se habilita esta opción, todos los usuarios que pertenecen directamente al grupo que seleccione y los que pertenecen a grupos anidados dentro de este grupo se sincronizan cuando el grupo está autorizado. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de VMware Identity Manager, estos usuarios serán miembros del grupo de nivel principal que seleccionó para sincronizarse.

    Si deshabilita la opción Sincronizar miembros de grupo anidados, todos los usuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupo que especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones de Active Directory en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.

  9. Haga clic en Siguiente.
  10. Especifique los usuarios para sincronizar.
    Debido a que los miembros de grupos no se sincronizan con el directorio hasta que el grupo tiene autorización para aplicaciones o se lo agrega a una regla de directiva de acceso, agregue todos los usuarios que necesitan autenticarse antes de que se configuren las autorizaciones de grupo.
    1. Haga clic en + e introduzca los DN del usuario. Por ejemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Especifique los DN de usuario que aparecen a continuación del DN base que introdujo. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
    2. (Opcional) Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios.
      Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.
  11. Haga clic en Siguiente.
  12. Revise la página para ver cuántos usuarios y grupos se sincronizan en el directorio y la programación de sincronización.

    Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic en los vínculos Editar.

  13. Haga clic en Sincronizar directorio para iniciar la sincronización.

Resultados

Se establece la conexión con Active Directory, y los nombres de los usuarios y los grupos se sincronizan desde Active Directory con el directorio de VMware Identity Manager. El usuario de DN de enlace tiene una función de administrador en VMware Identity Manager de forma predeterminada.

Qué hacer a continuación

  • Si se creó un directorio compatible con la ubicación del servicio DNS, se creará un archivo domain_krb.properties que se rellenará con una lista de controladores de dominio. Consulte el archivo para verificar o editar la lista de controladores de dominio. Consulte Acerca de la selección de controladores de dominio (archivo domain_krb.properties).
  • Configure los métodos de autenticación. Una vez sincronizados los nombres de los usuarios y los grupos con el directorio, y si también se utiliza el conector para la autenticación, podrá configurar otros métodos de autenticación en este último. Si el proveedor de identidades de autenticación es un tercero, configúrelo en el conector.
  • Revise la directiva de acceso predeterminada. La directiva de acceso predeterminada se configura para permitir que todos los dispositivos de todos los rangos de redes accedan al portal web con un tiempo de espera de sesión definido en ocho horas, o bien para acceder a una aplicación cliente con un tiempo de espera de sesión de 2.160 horas (90 días). Puede cambiar la política de acceso predeterminada. Asimismo, cuando agregue aplicaciones web al catálogo, podrá crear otras nuevas.
  • (En las instalaciones) Aplique la personalización de marca a la consola de administración, a las páginas del portal de usuario y a la pantalla de inicio de sesión.