En la consola de VMware Identity Manager, introduzca la información necesaria para conectar con Active Directory y seleccione los usuarios y los grupos que se sincronizarán con el directorio de VMware Identity Manager.
Las opciones de conexión de Active Directory son Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada. La conexión de Active Directory mediante LDAP es compatible con la búsqueda de ubicación del servicio DNS.
Requisitos previos
(SaaS) Conector instalado y activado.
Seleccione los atributos necesarios y agregue atributos adicionales en la página Atributos de usuario. Consulte Seleccionar atributos para sincronizar con el directorio.
Realice una lista de los usuarios y grupos de Active Directory que va a sincronizar desde Active Directory. Los nombres de grupo se sincronizan con el directorio inmediatamente. Los miembros de un grupo no se sincronizan hasta que el grupo goce de autorización para los recursos o hasta que se lo agregue a una regla de directiva. Los usuarios que necesiten autenticarse antes de que se configuren las autorizaciones de grupo deben agregarse durante la configuración inicial.
Para Active Directory mediante LDAP, se necesitan el DN base, el DN de enlace y la contraseña de DN de enlace.
El usuario de DN de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:
Nota:
Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
Para Active Directory mediante autenticación de Windows integrada, necesita la contraseña y el nombre de usuario del usuario de enlace que tiene permiso para realizar consultas en usuarios y grupos para los dominios requeridos.
El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:
Nota:
Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
Si Active Directory requiere acceso mediante SSL o STARTTLS, se necesitan los certificados de CA raíz de los controladores de dominio para todos los dominios de Active Directory pertinentes.
Para Active Directory mediante autenticación de Windows integrada, cuando tiene configurado Active Directory con varios bosques y el grupo local de dominios incluye miembros de dominios de diferentes bosques, asegúrese de que el usuario de enlace se agregue al grupo Administradores del dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local de dominios.
Para Active Directory mediante autenticación de Windows integrada:
Para todos los controladores de dominio que aparecen en los registros de SRV y los RODC ocultos, nslookup de nombre de host y dirección IP debe funcionar.
Todos los controladores de dominio deben ser accesibles en cuanto a conectividad de red
Procedimiento
- En la consola de VMware Identity Manager, haga clic en la pestaña Administración de acceso e identidad.
- En la página Directorios, haga clic en Agregar directorio.
- Introduzca un nombre para este directorio de VMware Identity Manager.
- Seleccione el tipo de Active Directory de su entorno y configure la información de conexión.
Opción |
Descripción |
Active Directory mediante LDAP |
En el cuadro de texto Conector de sincronización, seleccione el conector que se utilizará para sincronizar con Active Directory.
En el cuadro de texto Autenticación, si se utiliza este Active Directory para autenticar usuarios, haga clic en Sí. Si se utiliza otro proveedor para autenticar usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para la autenticación.
En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario.
Si desea utilizar la búsqueda de ubicación del servicio DNS para Active Directory, seleccione las opciones siguientes.
En la sección Ubicación del servidor, active la casilla Este directorio admite la ubicación de servicio de DNS. VMware Identity Manager busca y utiliza controladores de dominio óptimo. Si no desea utilizar la opción de controlador de dominio óptimo, siga, en cambio, el paso e.
Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y lo pegue en el cuadro de texto Certificado SSL. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".
Nota:
Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio.
Si no desea utilizar la búsqueda de ubicación del servicio DNS para Active Directory, seleccione las siguientes opciones.
En la sección Ubicación del servidor, compruebe que la casilla Este directorio admite la ubicación de servicio de DNS no esté seleccionada, e introduzca el número de puerto y el nombre de host del servidor de Active Directory. Para configurar el directorio como un catálogo global, consulte la sección Entorno de varios dominios y un único bosque de Active Directory de Entornos de Active Directory.
Si Active Directory requiere acceso mediante SSL, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE". Si el directorio tiene varios dominios, agregue los certificados de CA raíz de todos los dominios, uno tras otro.
Nota:
Si Active Directory requiere SSL y usted no proporciona el certificado, no podrá crear el directorio.
En el campo DN base, introduzca el DN desde el que deben empezar las búsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com.
En el campo DN de enlace, introduzca la cuenta que puede buscar usuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
Nota:
Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
Después de introducir la contraseña de enlace, haga clic en Probar conexión para verificar que el directorio se puede conectar a Active Directory.
|
Active Directory (Autenticación de Windows integrada) |
En el cuadro de texto Conector de sincronización, seleccione el conector que se utilizará para sincronizar con Active Directory.
En el cuadro de texto Autenticación, si se utiliza este Active Directory para autenticar usuarios, haga clic en Sí. Si se utiliza otro proveedor para autenticar usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para la autenticación.
En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario.
Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen STARTTLS en la sección Certificados, copie el certificado de CA raíz de Active Directory y lo pegue en el cuadro de texto Certificado SSL. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE". Si el directorio tiene varios dominios, agregue los certificados de CA raíz de todos los dominios, uno tras otro.
Nota:
Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio.
(Solo Linux) Introduzca el nombre del dominio de Active Directory al que desea unirse. Introduzca un nombre de usuario y una contraseña que tenga los derechos para unirse al dominio. Consulte Permisos necesarios para unirse a un dominio (solo en el dispositivo virtual de Linux) para obtener más información.
En la sección Detalles del usuario de enlace, introduzca el nombre de usuario y la contraseña del usuario de enlace que tiene permiso para realizar consultas en usuarios y grupos para los dominios requeridos. Para el nombre de usuario, introduzca el atributo sAMAccountName, por ejemplo, jperez. Si el dominio del usuario de enlace es diferente al que introdujo en Unirse al dominio, escriba el nombre de usuario como sAMAccountName@domain, donde domain es el nombre de dominio completo. Por ejemplo, [email protected].
Nota:
Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
|
- Haga clic en Guardar y Siguiente.
Aparecerá la página con la lista de dominios.
- En Active Directory mediante LDAP, los dominios aparecen con una marca de verificación.
Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberán asociarse con esta conexión de Active Directory.
Nota:
Si agrega un dominio de confianza una vez creado el directorio, el servicio no detectará automáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, el conector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que el conector vuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.
Haga clic en Siguiente.
- Verifique que los nombres de los atributos del directorio VMware Identity Manager están asignados a los atributos de Active Directory correctos, realice los cambios necesarios y haga clic en Siguiente.
- Seleccione los grupos que desee sincronizar desde Active Directory al directorio de VMware Identity Manager.
Cuando se agregan grupos aquí, los nombres de los grupos se sincronizan con el directorio. Los usuarios que son miembros del grupo no se sincronizan con el directorio hasta que el grupo tenga autorización para una aplicación o el nombre del grupo se agregue a una regla de directiva de acceso. Cualquiera de las siguientes sincronizaciones programadas proporciona información actualizada de Active Directory para estos nombres de grupo.
Opción |
Descripción |
Especificar los DN de grupo |
Para seleccionar los grupos, especifique un DN o varios y seleccione los grupos que aparecen a continuación.
Haga clic en + y especifique el DN de grupo. Por ejemplo, CN=users,DC=example,DC=company,DC=com.
Importante:
Especifique los DN de grupo que aparecen a continuación del DN base que introdujo. Si un DN de grupo aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
Haga clic en Buscar grupos. La columna Grupos para sincronizar muestra el número de grupos que se encuentran en el DN.
Para seleccionar todos los grupos en el DN, haga clic en Seleccionar todo, o bien haga clic en Seleccionar y seleccione los grupos específicos que desea sincronizar.
Nota:
Cuando sincroniza un grupo, los usuarios que no tengan Usuarios del dominio como su grupo principal en Active Directory no se sincronizan.
|
Sincronizar miembros de grupo anidados |
La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando se habilita esta opción, todos los usuarios que pertenecen directamente al grupo que seleccione y los que pertenecen a grupos anidados dentro de este grupo se sincronizan cuando el grupo está autorizado. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de VMware Identity Manager, estos usuarios serán miembros del grupo de nivel principal que seleccionó para sincronizarse. Si deshabilita la opción Sincronizar miembros de grupo anidados, todos los usuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupo que especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones de Active Directory en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar. |
- Haga clic en Siguiente.
- Especifique los usuarios para sincronizar.
Debido a que los miembros de grupos no se sincronizan con el directorio hasta que el grupo tiene autorización para aplicaciones o se lo agrega a una regla de directiva de acceso, agregue todos los usuarios que necesitan autenticarse antes de que se configuren las autorizaciones de grupo.
- Haga clic en + e introduzca los DN del usuario. Por ejemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
Importante:
Especifique los DN de usuario que aparecen a continuación del DN base que introdujo. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
- (Opcional) Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios.
Debe seleccionar el atributo de usuario por el que desea filtrar y la regla de consulta que se usará; a continuación, agregue el valor. El valor distingue entre mayúsculas y minúsculas. La cadena no puede contener los siguientes caracteres: * ^ ()! $.
- Especifique los usuarios para sincronizar.
Debido a que los miembros de grupos no se sincronizan con el directorio hasta que el grupo tiene autorización para aplicaciones o se lo agrega a una regla de directiva de acceso, agregue todos los usuarios que necesitan autenticarse antes de que se configuren las autorizaciones de grupo.
- Haga clic en + e introduzca los DN del usuario. Por ejemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
Importante:
Especifique los DN de usuario que aparecen a continuación del DN base que introdujo. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
- (Opcional) Para excluir usuarios, cree filtros para excluirlos según el atributo seleccionado. Puede crear varios filtros de exclusión.
Debe seleccionar el atributo de usuario por el que desea filtrar y el filtro de consulta que se aplicará al valor que defina.
Opción |
Descripción |
Incluye |
Excluye todos los usuarios que coinciden con el atributo y el valor establecidos. Por ejemplo, nombre incluye Juan excluye los usuarios con el nombre "Juan". |
No incluye |
Excluye todos los usuarios, excepto los que coinciden con el atributo y el valor establecidos. Por ejemplo, telephoneNumber no incluye 800 incluye solo los usuarios cuyo número de teléfono contenga "800". |
Comienza con |
Excluye todos los usuarios cuyo valor de atributo comienza con los caracteres <xxx>. Por ejemplo, employeeID comienza con ACME0 excluye todos los usuarios que tienen un ID de empleado que incluye "ACME0" al principio de su número de ID. |
Termina con |
Excluye todos los usuarios cuyo valor de atributo termina con los caracteres <yyy>. Por ejemplo, correo termina con ejemplo1.com excluye todos los usuarios que tengan una dirección de correo electrónico que termine en "ejemplo1.com". |
El valor distingue entre mayúsculas y minúsculas. Los siguientes símbolos no pueden estar en la cadena de valores.
- Haga clic en Siguiente.
- Revise la página para ver cuántos usuarios y grupos se sincronizan en el directorio y la programación de sincronización.
Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic en los vínculos Editar.
- Haga clic en Sincronizar directorio para iniciar la sincronización.
Resultados
Se establece la conexión con Active Directory, y los nombres de los usuarios y los grupos se sincronizan desde Active Directory con el directorio de VMware Identity Manager. El usuario de enlace tiene una función de administrador en VMware Identity Manager de forma predeterminada.
Para obtener más información acerca de cómo se sincronizan los grupos, consulte "Administrar usuarios y grupos" en Administración de VMware Identity Manager.
Qué hacer a continuación
Configure los métodos de autenticación. Una vez sincronizados los nombres de los usuarios y los grupos con el directorio, y si también se utiliza el conector para la autenticación, podrá configurar otros métodos de autenticación en este último. Si el proveedor de identidades de autenticación es un tercero, configúrelo en el conector.
Revise la directiva de acceso predeterminada. La directiva de acceso predeterminada se configura para permitir que todos los dispositivos de todos los rangos de redes accedan al portal web con un tiempo de espera de sesión definido en ocho horas, o bien para acceder a una aplicación cliente con un tiempo de espera de sesión de 2.160 horas (90 días). Puede cambiar la política de acceso predeterminada. Asimismo, cuando agregue aplicaciones web al catálogo, podrá crear otras nuevas.