Después de implementar la instancia de VMware Identity Manager, utilice el asistente de configuración para establecer contraseñas y seleccionar una base de datos. En ese momento puede configurar la conexión a Active Directory o al directorio LDAP.
Asegúrese de ejecutar el Asistente de configuración utilizando el nombre de host completo. No escriba la dirección IP como nombre.
Requisitos previos
- La máquina de VMware Identity Manager está encendida.
- La base de datos externa está configurada y la información de conexión de la base de datos está disponible. Antes de ejecutar al Asistente de configuración, compruebe que la configuración de la base de datos sea correcta. Para obtener más información, consulte Crear la base de datos del servicio de VMware Identity Manager.
- Antes de configurar el directorio, revise la Integración del directorio con VMware Identity Manager para conocer los requisitos y las limitaciones.
- Debe tener la información de su directorio LDAP o de Active Directory.
- Cuando configura Active Directory con varios bosques y el grupo local de dominios contiene miembros de dominios de diferentes bosques, debe agregar el usuario de DN de enlace utilizado en la página Directorio de VMware Identity Manager al grupo de administradores del dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local de dominios.
- Dispone de una lista de los atributos de usuario que desea utilizar como filtros y una lista de los grupos y usuarios que desea agregar a VMware Identity Manager.
Los nombres de grupo se sincronizan con el directorio inmediatamente. Los miembros de un grupo no se sincronizan hasta que el grupo goce de autorización para utilizar los recursos o hasta que se lo agregue a una regla de directiva. Los usuarios que necesiten autenticarse antes de que se configuren las autorizaciones de grupo deberán agregarse directamente durante la configuración inicial.
Procedimiento
- Vaya a la URL de VMware Identity Manager que apareció al finalizar la instalación. Introduzca el nombre de dominio completo (FQDN). Por ejemplo,
https://nombredehost.ejemplo.com
. - Si se le solicita, acepte el certificado.
Puede actualizar el certificado después de la configuración inicial.
- En la página Comenzar, haga clic en Continuar.
- En la página Establecer contraseñas establezca las contraseñas de las siguientes cuentas de administrador, que se utilizan para administrar el dispositivo, y haga clic en Continuar.
Cuenta Administrador del dispositivo Establezca la contraseña del usuario admin. Este nombre de usuario no se puede cambiar. La cuenta del usuario admin se utiliza para administrar la configuración del dispositivo. Importante: La contraseña del usuario admin debe tener 6 caracteres como mínimo.Raíz del dispositivo Establezca la contraseña de usuario raíz. El usuario raíz tiene todos los derechos sobre el dispositivo. Usuario remoto Establezca la contraseña sshuser. Esta contraseña se utiliza para iniciar sesión de forma remota en el dispositivo con una conexión SSH. - En la página Seleccionar base de datos, seleccione la base de datos que va a utilizar.
- Si utiliza una base de datos externa, seleccione Base de datos externa e introduzca el nombre de usuario, la contraseña y la información de la conexión de la base de datos externa. Para comprobar que VMware Identity Manager puede conectarse a la base de datos, haga clic en Probar conexión.
Después de comprobar la conexión, haga clic en Continuar.
- Si utiliza la base de datos interna, haga clic en Continuar.
Nota: No se recomienda usar la base de datos interna para implementaciones de producción.
La conexión a la base de datos se configurará y la base de datos se inicializará. Cuando el proceso finalice, aparecerá la página La configuración se completó. - Si utiliza una base de datos externa, seleccione Base de datos externa e introduzca el nombre de usuario, la contraseña y la información de la conexión de la base de datos externa. Para comprobar que VMware Identity Manager puede conectarse a la base de datos, haga clic en Probar conexión.
- Haga clic en el vínculo Inicie la sesión en la consola de administración de la página La configuración se completó para iniciar sesión en la consola de VMware Identity Manager y configurar la conexión de Active Directory o del directorio LDAP.
- Inicie sesión en la consola de VMware Identity Manager como usuario administrador con la contraseña que estableció.
Ha iniciado sesión como administrador local y se mostrará la página Directorios. Antes de agregar un directorio, asegúrese de revisar Integración de directorios con VMware Identity Manager para conocer los requisitos y las limitaciones.
- Haga clic en la pestaña Administración de acceso e identidad.
- Haga clic en Configurar > Atributos de usuario para seleccionar los atributos del usuario que se van a sincronizar con el directorio.
Aparecerán los atributos predeterminados y podrá seleccionar los que sean necesarios. Si un atributo está marcado como obligatorio, solo se sincronizan al servicio los usuarios con dicho atributo. También puede agregar otros atributos.Importante: Después de crear un directorio, no podrá convertir un atributo en un atributo obligatorio. Debe elegir esa opción ahora.
Compruebe también que todas las configuraciones de la página Atributos de usuario se apliquen a todos los directorios del servicio. Cuando marque un atributo como obligatorio, tenga en cuenta el efecto que pueda causar en otros directorios. Si un atributo está marcado como obligatorio, no se sincronizan con el servicio de los usuarios sin dicho atributo.
- Haga clic en Guardar.
- Haga clic en la pestaña Administración de acceso e identidad.
- En la página Directorios, haga clic en Agregar directorio y seleccione Agregar Active Directory en LDAP/IWA o Agregar directorio LDAP, según el tipo de directorio que está integrando.
También puede crear un directorio local en el servicio. Para obtener más información sobre cómo usar los directorios locales, consulte #GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665.
- En el caso de Active Directory, siga estos pasos.
- Introduzca un nombre para el directorio que está creando en VMware Identity Manager y seleccione el tipo de directorio, ya sea Active Directory mediante LDAP o Active Directory (Autenticación de Windows integrada).
- Proporcione la información de la conexión.
Opción Descripción Active Directory mediante LDAP - En el campo Conector de sincronización, seleccione el conector que desee utilizar para sincronizar usuarios y grupos de Active Directory con el directorio de VMware Identity Manager.
De forma predeterminada, un componente del conector estará siempre disponible con el servicio de VMware Identity Manager. Este conector aparecerá en la lista desplegable. Si instala varios dispositivos de VMware Identity Manager para lograr una alta disponibilidad, el componente del conector de cada uno aparecerá en la lista.
- En el campo Autenticación, seleccione Sí si desea utilizar Active Directory para autenticar a los usuarios.
Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para realizar la autenticación.
- En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario.
- Si Active Directory utiliza la búsqueda de ubicaciones de servicio de DNS, seleccione las opciones siguientes.
- En la sección Ubicación del servidor, active la casilla Este directorio admite la ubicación de servicio de DNS.
- Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL.
Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".
Nota: Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio.
- Si Active Directory no utiliza la búsqueda de ubicaciones de servicio de DNS, seleccione las opciones siguientes.
- En la sección Ubicación del servidor, compruebe que la casilla Este directorio admite la ubicación de servicio de DNS no esté seleccionada y introduzca el número de puerto y el nombre de host del servidor de Active Directory.
Para configurar el directorio como un catálogo global, consulte la sección Entorno de Active Directory de varios dominios y un único bosque en "Entornos de Active Directory" en Integración de directorios con VMware Identity Manager.
- Si Active Directory requiere acceso mediante SSL, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL.
Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".
Nota: Si Active Directory requiere SSL y usted no proporciona el certificado, no podrá crear el directorio.
- En la sección Ubicación del servidor, compruebe que la casilla Este directorio admite la ubicación de servicio de DNS no esté seleccionada y introduzca el número de puerto y el nombre de host del servidor de Active Directory.
- En la sección Permitir el cambio de contraseña, seleccione Habilitar el cambio de contraseña si desea permitir a los usuarios que puedan restablecer sus contraseñas en la página de inicio de sesión de VMware Identity Manager en caso de que la contraseña caduque o si el administrador de Active Directory restablece la contraseña del usuario.
- En el campo DN base, introduzca el DN desde el que deben empezar las búsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com.
- En el campo DN de enlace, introduzca la cuenta que puede buscar usuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
- Después de introducir la contraseña de enlace, haga clic en Probar conexión para verificar que el directorio se puede conectar a Active Directory.
Active Directory (Autenticación de Windows integrada) - En el campo Conector de sincronización, seleccione el conector que desee utilizar para sincronizar usuarios y grupos de Active Directory con el directorio de VMware Identity Manager.
De forma predeterminada, un componente del conector estará siempre disponible con el servicio de VMware Identity Manager. Este conector aparecerá en la lista desplegable. Si instala varios dispositivos de VMware Identity Manager para lograr una alta disponibilidad, el componente del conector de cada uno aparecerá en la lista.
- En el campo Autenticación, haga clic en Sí si desea utilizar Active Directory para autenticar a los usuarios.
Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para realizar la autenticación.
- En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario.
- Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen STARTTLS en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL.
Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".
Si el directorio tiene varios dominios, agregue los certificados CA raíz para todos los dominios de uno en uno.
Nota: Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio. - Introduzca el nombre del dominio de Active Directory al que desea unirse. Introduzca un nombre de usuario y una contraseña que tenga los derechos para unirse al dominio. Para obtener más información, consulte "Permisos necesarios para unirse a un dominio" en Integración de directorios con VMware Identity Manager.
- En la sección Permitir el cambio de contraseña, seleccione Habilitar el cambio de contraseña si desea permitir a los usuarios que puedan restablecer sus contraseñas en la página de inicio de sesión de VMware Identity Manager en caso de que la contraseña caduque o si el administrador de Active Directory restablece la contraseña del usuario.
- En la sección Detalles del usuario de enlace, introduzca el nombre de usuario y la contraseña del usuario de enlace que tiene permiso para realizar consultas en usuarios y grupos para los dominios requeridos. Para el nombre de usuario, introduzca el atributo sAMAccountName, por ejemplo, jperez. Si el dominio del usuario de enlace es diferente al que introdujo en Unirse al dominio, escriba el nombre de usuario como sAMAccountName@domain, donde domain es el nombre de dominio completo. Por ejemplo, [email protected].
Nota: Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.
- En el campo Conector de sincronización, seleccione el conector que desee utilizar para sincronizar usuarios y grupos de Active Directory con el directorio de VMware Identity Manager.
- Haga clic en Guardar y Siguiente.
Aparecerá la página con la lista de dominios.
- En el caso de las directivas de LDAP, siga estos pasos.
- Proporcione la información de la conexión.
Opción Descripción Nombre de directorio Un nombre para el directorio que está creando en VMware Identity Manager. Sincronización de directorio y autenticación - En el campo Conector de sincronización, seleccione el conector que desee utilizar para sincronizar usuarios y grupos del directorio LDAP con el directorio de VMware Identity Manager.
De forma predeterminada, un componente del conector estará siempre disponible con el servicio de VMware Identity Manager. Este conector aparecerá en la lista desplegable. Si instala varios dispositivos de VMware Identity Manager para lograr una alta disponibilidad, el componente del conector de cada uno aparecerá en la lista.
No es necesario un conector diferente para un directorio LDAP. Un conector puede ser compatible con varios directorios, independientemente de si cuentan con directorios LDAP o Active Directory.
- En el campo Autenticación, seleccione Sí si desea utilizar el directorio LDAP para autenticar a los usuarios.
Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, seleccione No. Después de agregar la conexión del directorio para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para realizar la autenticación.
- En el campo Atributo de búsqueda de directorios, especifique el atributo del directorio LDAP que se utiliza para el nombre de usuario. Si el atributo no aparece en la lista, seleccione Personalizado y escriba el nombre del atributo. Por ejemplo, cn.
Ubicación del servidor Introduzca el número de puerto y el host del servidor del directorio LDAP. En el caso del host del servidor, puede especificar el nombre del dominio plenamente cualificado o la dirección IP. Por ejemplo, myLDAPserver.example.com o 100.00.00.0. Si cuenta con un clúster de servidores bajo un equilibrador de carga, introduzca la información de este último en su lugar.
Configuración LDAP Especifica los atributos y los filtros de búsqueda de LDAP que VMware Identity Manager puede utilizar para solicitar su directorio LDAP. Los valores predeterminados se proporcionan según el esquema principal de LDAP. Solicitudes LDAP
- Obtener grupos: es el filtro de búsqueda para obtener los objetos de grupo.
Por ejemplo: (objectClass=group)
- Obtener usuario de enlace: es el filtro de búsqueda para obtener el objeto de usuario de enlace, es decir, al usuario que puede enlazarse al directorio.
Por ejemplo: (objectClass=person)
- Obtener usuario: es el filtro de búsqueda para obtener los usuarios para sincronizar.
Por ejemplo:(&(objectClass=user)(objectCategory=person))
Atributos
- Afiliación: es el atributo que se utiliza en su directorio LDAP para definir los miembros de un grupo.
Por ejemplo: member
- UUID del objeto: es el atributo que se utiliza en su directorio LDAP para definir el UUID.
Por ejemplo: entryUUID
- Nombre distintivo: es el atributo que se utiliza en su directorio LDAP para definir el nombre distintivo de un usuario o un grupo.
Por ejemplo: entryDN
Certificados Si el directorio LDAP requiere acceso mediante SSL, seleccione la opción Este directorio requiere que todas las conexiones usen SSL y copie y pegue el certificado CA SSL raíz del servidor del directorio LDAP. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE". Detalles del usuario de enlace DN base: introduzca el DN desde el que deben empezar las búsquedas. Por ejemplo, cn=users,dc=example,dc=com. DN de enlace: introduzca el nombre del usuario que enlaza al directorio LDAP.Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.Contraseña DN de enlace: introduzca la contraseña del usuario DN de enlace.
- En el campo Conector de sincronización, seleccione el conector que desee utilizar para sincronizar usuarios y grupos del directorio LDAP con el directorio de VMware Identity Manager.
- Para probar la conexión al servidor del directorio LDAP, haga clic en Probar conexión.
Si no se realizó la conexión correctamente, compruebe la información que introdujo y haga los cambios necesarios.
- Haga clic en Guardar y Siguiente.
Aparece la página con la lista del dominio.
- Proporcione la información de la conexión.
- En un directorio LDAP, el dominio aparece en la lista y no se puede modificar.
En Active Directory mediante LDAP, los dominios aparecen en la lista y no se pueden modificar.
Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberán asociarse con esta conexión de Active Directory.
Nota: Si agrega un dominio de confianza una vez creado el directorio, el servicio no detectará automáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, el conector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que el conector vuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.Haga clic en Siguiente.
- Compruebe que los nombres de los atributos de VMware Identity Manager estén asignados a los atributos de Active Directory o LDAP correctos y realice los cambios que sean necesarios.
Importante: Si integra un directorio LDAP, debe especificar una asignación para el atributo de dominio.
- Haga clic en Siguiente.
- Seleccione los grupos que desee sincronizar desde Active Directory o desde el directorio LDAP al directorio de VMware Identity Manager.
Opción Descripción Especificar los DN de grupo Para seleccionar los grupos, especifique un DN o varios y seleccione los grupos que aparecen a continuación. - Haga clic en + y especifique el DN de grupo. Por ejemplo, CN=users,DC=example,DC=company,DC=com.
Importante: Especifique los DN de grupo que aparecen a continuación del DN base que introdujo. Si un DN de grupo aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
- Haga clic en Buscar grupos.
La columna Grupos para sincronizar muestra el número de grupos que se encuentran en el DN.
- Para seleccionar todos los grupos en el DN, haga clic en Seleccionar todo, o bien haga clic en Seleccionar y seleccione los grupos específicos que desea sincronizar.
Nota: Si cuenta con varios grupos con el mismo nombre en su directorio LDAP, debe especificar nombres únicos para ellos en VMware Identity Manager. Puede cambiar el nombre al seleccionar el grupo.
Nota: Cuando sincroniza un grupo, los usuarios que no tengan Usuarios del dominio como su grupo principal en Active Directory no se sincronizan.Sincronizar miembros de grupo anidados La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando se habilita esta opción, todos los usuarios que pertenezcan al grupo que seleccione y los que pertenezcan a grupos anidados dentro de este grupo se sincronizan. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de VMware Identity Manager, estos usuarios serán miembros del grupo de nivel principal que seleccionó para sincronizarse.
Si deshabilita la opción Sincronizar miembros de grupo anidados, todos los usuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupo que especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones de Active Directory en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.
- Haga clic en + y especifique el DN de grupo. Por ejemplo, CN=users,DC=example,DC=company,DC=com.
- Haga clic en Siguiente.
- Especifique los usuarios adicionales que desea sincronizar, si es necesario.
Debido a que los miembros de grupos no se sincronizan con el directorio hasta que el grupo tenga autorización para utilizar las aplicaciones o se lo agregue a una regla de directiva de acceso, agregue todos los usuarios que necesiten autenticarse antes de que se configuren las autorizaciones de grupo.
- Haga clic en + e introduzca los DN del usuario. Por ejemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
Importante: Especifique los DN de usuario que aparecen a continuación del DN base que introdujo. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
- (Opcional) Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios.
Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.
- Haga clic en + e introduzca los DN del usuario. Por ejemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
- Haga clic en Siguiente.
- Revise la página para ver cuántos usuarios y grupos se sincronizarán con el directorio así como la programación de la sincronización.
Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic en los vínculos Editar.
- Haga clic en Sincronizar directorio para iniciar la sincronización del directorio.
Resultados
Qué hacer a continuación
Para obtener más información sobre cómo configurar un equilibrador de carga o sobre la configuración de alta disponibilidad, consulte Configuración avanzada del dispositivo VMware Identity Manager.