En la consola administrativa, especifique la información necesaria para conectar con Active Directory y seleccionar usuarios y grupos para sincronizar con el directorio de VMware Identity Manager.
Las opciones de conexión de Active Directory son mediante LDAP o mediante la Active Directory (Autenticación integrada de Windows). La conexión de Active Directory mediante LDAP es compatible con la búsqueda de ubicación del servicio DNS.
Requisitos previos
- (SaaS) Conector instalado y activado.
- Seleccione los atributos necesarios y agregue atributos adicionales en la página Atributos de usuario. Consulte Seleccionar atributos para sincronizar con el directorio.
- Lista de grupos y usuarios de Active Directory para sincronizar desde Active Directory. Los nombres de grupo se sincronizan con el directorio inmediatamente. Los miembros de un grupo no se sincronizan hasta que el grupo goce de autorización para los recursos o hasta que se lo agregue a una regla de directiva. Los usuarios que necesiten autenticarse antes de que se configuren las autorizaciones de grupo deben agregarse durante la configuración inicial.
- Para Active Directory mediante LDAP, la información necesaria incluye DN base, DN de enlace y contraseña de DN de enlace.
Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
- Para la Active Directory (Autenticación de Windows integrada), la información necesaria incluye la dirección UPN del usuario de enlace del dominio y la contraseña.
Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
- Si Active Directory necesita que el acceso sea mediante SSL o STARTTLS, se requerirá el certificado de CA raíz del controlador de dominio de Active Directory.
- Para Active Directory (autenticación integrada de Windows), cuando tiene configurado Active Directory con varios bosques y el grupo local de dominios contiene miembros de dominios de diferentes bosques, asegúrese de que el usuario de enlace se agregue al grupo de Administradores del dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local de dominios.
Procedimiento
Resultados
Se establece la conexión con Active Directory, y los nombres de los usuarios y los grupos se sincronizan desde Active Directory con el directorio de VMware Identity Manager. El usuario de DN de enlace tiene una función de administrador en VMware Identity Manager de forma predeterminada.
Qué hacer a continuación
- Si se creó un directorio compatible con la ubicación del servicio DNS, se creará un archivo domain_krb.properties que se rellenará con una lista de controladores de dominio. Consulte el archivo para verificar o editar la lista de controladores de dominio. Consulte Acerca de la selección de controladores de dominio (archivo domain_krb.properties).
- Configure los métodos de autenticación. Una vez sincronizados los nombres de los usuarios y los grupos con el directorio, y si también se utiliza el conector para la autenticación, podrá configurar otros métodos de autenticación en este último. Si el proveedor de identidades de autenticación es un tercero, configúrelo en el conector.
- Revise la directiva de acceso predeterminada. La directiva de acceso predeterminada se configura para permitir que todos los dispositivos de todos los rangos de redes accedan al portal web con un tiempo de espera de sesión definido en ocho horas, o bien para acceder a una aplicación cliente con un tiempo de espera de sesión de 2.160 horas (90 días). Puede cambiar la política de acceso predeterminada. Asimismo, cuando agregue aplicaciones web al catálogo, podrá crear otras nuevas.
- (En las instalaciones) Aplique la personalización de marca a la consola de administración, a las páginas del portal de usuario y a la pantalla de inicio de sesión.