Es posible integrar el directorio LDAP de su empresa en VMware Identity Manager para sincronizar usuarios y grupos del directorio LDAP en el servicio VMware Identity Manager.

Para integrar el directorio LDAP, cree el directorio VMware Identity Manager correspondiente y sincronice los usuarios y los grupos del directorio LDAP al directorio VMware Identity Manager. Puede programar una sincronización periódica para las actualizaciones siguientes.

Seleccione también los atributos LDAP que quiera sincronizar para los usuarios y asígnelos a los atributos de VMware Identity Manager.

La configuración del directorio LDAP puede basarse en esquemas predeterminados o personalizados. También puede tener atributos personalizados. Para que VMware Identity Manager pueda solicitar el directorio LDAP para obtener los objetos de grupo o usuario, debe proporcionar los nombres de los filtros de búsqueda de LDAP que se apliquen a su directorio LDAP.

En concreto, debe proporcionar la siguiente información.

  • Los filtros de búsqueda para obtener los grupos, los usuarios y el usuario de enlace
  • Los nombres de atributos LDAP de la pertenencia a grupos, UUID y el nombre distintivo

Se aplican algunas limitaciones a la función de integración en el directorio LDAP. Consulte Limitaciones de la integración del directorio LDAP.

Requisitos previos

  • Compruebe los atributos en la página Administración de acceso e identidad > Configurar > Atributos de usuario y agregue los atributos adicionales que quiera sincronizar. Asigne los atributos de VMware Identity Manager a los atributos del directorio LDAP cuando cree el directorio. Estos atributos se sincronizan para los usuarios del directorio.
    Nota: Si realiza cambios en los atributos de usuario, tenga en cuenta los efectos que puedan tener en otros directorios del servicio. Si tiene previsto agregar los directorios LDAP y Active Directory, compruebe que ningún atributo obligatorio está marcado excepto userName, que sí debe estarlo. Las configuraciones de la página Atributos de usuario se aplican a todos los directorios del servicio. Si un atributo está marcado como obligatorio, los usuarios sin dicho atributo no se sincronizan con el servicio de VMware Identity Manager.
  • Cuenta de usuario DN de enlace. Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
  • En el directorio LDAP, el UUID de los usuarios y los grupos debe aparecer como texto sin formato.
  • En el directorio LDAP, debe existir un atributo de dominio para todos los usuarios y los grupos.

    Asígnelo al atributo del dominio de VMware Identity Manager cuando cree el directorio VMware Identity Manager.

  • Los nombres de usuario no deben tener espacios. Si un nombre de usuario tiene un espacio, el usuario se sincroniza pero las autorizaciones no están disponibles para dicho usuario.
  • Si utiliza la autenticación con certificado, los usuarios deben tener los valores para los atributos de la dirección de correo electrónico y userPrincipalName.

Procedimiento

  1. En la consola de VMware Identity Manager, haga clic en la pestaña Administración de acceso e identidad.
  2. En la página Directorios, haga clic en Agregar directorio y seleccione Agregar directorio LDAP.
  3. Introduzca la información solicitada en la página Agregar directorio LDAP.
    Opción Descripción
    Nombre de directorio Un nombre para el directorio VMware Identity Manager.
    Sincronización de directorio y autenticación
    1. En el cuadro de texto Conector de sincronización, seleccione el conector que desee utilizar para sincronizar usuarios y grupos del directorio LDAP con el directorio de VMware Identity Manager.

      En una implementación local, siempre hay un componente del conector disponible con el servicio de VMware Identity Manager de forma predeterminada. Este conector aparecerá en la lista desplegable. Si instala varias instancias de VMware Identity Manager para lograr una alta disponibilidad, el componente del conector de cada una aparecerá en la lista. También se enumeran conectores externos adicionales.

      No es necesario usar un conector diferente para un directorio LDAP. Un conector puede ser compatible con varios directorios, independientemente de si cuentan con directorios LDAP o Active Directory. Para los escenarios en los que necesite conectores adicionales, consulte Instalar y configurar VMware Identity Manager.

    2. En el cuadro de texto Autenticación, seleccione si desea utilizar el directorio LDAP para autenticar a los usuarios.

      Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, seleccione No. Después de agregar la conexión del directorio para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para realizar la autenticación.

    3. En el cuadro de texto Atributo de búsqueda de directorios, especifique el atributo del directorio LDAP que se utiliza para el nombre de usuario. Si el atributo no aparece en la lista, seleccione Personalizado y escriba el nombre del atributo. Por ejemplo, cn.
    Ubicación del servidor Introduzca el número de puerto y el host del servidor del directorio LDAP. En el caso del host del servidor, puede especificar el nombre del dominio plenamente cualificado o la dirección IP. Por ejemplo, myLDAPserver.example.com o 100.00.00.0.

    Si cuenta con un clúster de servidores bajo un equilibrador de carga, introduzca la información de este último en su lugar.

    Configuración LDAP Especifica los atributos y los filtros de búsqueda de LDAP que VMware Identity Manager puede utilizar para solicitar su directorio LDAP. Los valores predeterminados se proporcionan según el esquema principal de LDAP.

    Solicitudes LDAP

    • Obtener grupos: es el filtro de búsqueda para obtener los objetos de grupo.

      Por ejemplo: (objectClass=group)

    • Obtener usuario de enlace: es el filtro de búsqueda para obtener el objeto de usuario de enlace, es decir, al usuario que puede enlazarse al directorio.

      Por ejemplo: (objectClass=person)

    • Obtener usuario: es el filtro de búsqueda para obtener los usuarios para sincronizar.

      Por ejemplo:(&(objectClass=user)(objectCategory=person))

    Atributos

    • Afiliación: es el atributo que se utiliza en su directorio LDAP para definir los miembros de un grupo.

      Por ejemplo: member

    • UUID del objeto: es el atributo que se utiliza en su directorio LDAP para definir el UUID.

      Por ejemplo: entryUUID

    • Nombre distintivo: es el atributo que se utiliza en su directorio LDAP para definir el nombre distintivo de un usuario o un grupo.

      Por ejemplo: entryDN

    Certificados Si el directorio LDAP requiere acceso mediante SSL, seleccione la opción Este directorio requiere que todas las conexiones usen SSL y copie y pegue el certificado CA SSL raíz del servidor del directorio LDAP. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".
    Detalles del usuario de enlace DN base: introduzca el DN desde el que deben empezar las búsquedas. Por ejemplo, cn=users,dc=example,dc=com
    DN de enlace: introduzca el nombre del usuario que enlaza al directorio LDAP.
    Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.

    Contraseña DN de enlace: introduzca la contraseña del usuario DN de enlace.

  4. Para probar la conexión al servidor del directorio LDAP, haga clic en Probar conexión.
    Si no se realizó la conexión correctamente, compruebe la información que introdujo y haga los cambios necesarios.
  5. Haga clic en Guardar y Siguiente.
  6. En la página de los dominios, compruebe que el dominio correcto aparece en la lista, y a continuación, haga clic en Siguiente.
  7. En la página Asignar atributos, compruebe que los atributos de VMware Identity Manager se asignaron a los atributos LDAP correctos.

    Estos atributos se sincronizarán para los usuarios.

    Importante: Debe especificar una asignación para los atributos de dominio.

    Puede agregar atributos a la lista desde la página Atributos de usuario.

  8. Haga clic en Siguiente.
  9. En la página de los grupos, haga clic en + para seleccionar los grupos que desee sincronizar desde el directorio LDAP al directorio de VMware Identity Manager.

    Cuando se agregan grupos, los nombres de los grupos se sincronizan con el directorio. Los usuarios que son miembros del grupo no se sincronizan con el directorio hasta que el grupo tenga autorización para una aplicación o el nombre del grupo se agregue a una regla de directiva de acceso.

    Si cuenta con varios grupos con el mismo nombre en su directorio LDAP, debe especificar nombres únicos para ellos en la página de grupos.

    La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando se habilita esta opción, todos los usuarios que pertenezcan al grupo que seleccione y los que pertenezcan a grupos anidados dentro de este grupo se sincronizan. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados cuando el grupo goce de autorización. En el directorio de VMware Identity Manager, estos usuarios aparecerán como los miembros del grupo de nivel superior que seleccionó para sincronizarse. De hecho, la jerarquía bajo un grupo seleccionado es plana y los usuarios de todos los niveles aparecen en VMware Identity Manager como miembros del grupo seleccionado.

    Si deshabilita esta opción, todos los usuarios que pertenezcan directamente a ese grupo se sincronizarán cuando especifique un grupo para que se sincronice. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones del directorio en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.

  10. Haga clic en Siguiente.
  11. Haga clic en + para agregar usuarios. Por ejemplo, introduzca CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
    Debido a que los miembros de grupos no se sincronizan con el directorio hasta que el grupo tiene autorización para aplicaciones o se lo agrega a una regla de directiva de acceso, agregue todos los usuarios que necesitan autenticarse antes de que se configuren las autorizaciones de grupo.

    Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios. Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.

    Haga clic en Siguiente.

  12. Revise la página para ver cuántos nombres de grupos y usuarios se sincronizarán con el directorio así como la programación de la sincronización predeterminada.

    Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic en los vínculos Editar.

  13. Haga clic en Sincronizar directorio para iniciar la sincronización del directorio.

Resultados

Se establece la conexión al directorio LDAP, y los nombres de los grupos y los usuarios se sincronizan desde el directorio LDAP con el directorio de VMware Identity Manager. El usuario de DN de enlace tiene una función de administrador en VMware Identity Manager de forma predeterminada.