Puede integrar VMware Identity Manager con el directorio de la empresa y sincronizar los usuarios y los grupos de este directorio con el servicio de VMware Identity Manager.

1. Inicie sesión en la consola de VMware Identity Manager como usuario administrador con la contraseña que estableció.
   Iniciará sesión como administrador local. Se mostrará la página Directorios. Antes de agregar un directorio, asegúrese de revisar Integración de directorios con VMware Identity Manager para conocer los requisitos y las limitaciones.
2. Haga clic en la pestaña Administración de acceso e identidad.
3. Haga clic en Configurar > Atributos de usuario para seleccionar los atributos del usuario que se van a sincronizar con el directorio.
   Aparecerán los atributos predeterminados y podrá seleccionar los que sean necesarios. Si un atributo está marcado como obligatorio, solo se sincronizan al servicio los usuarios con dicho atributo. También puede agregar otros atributos.

   Importante: Después de crear un directorio, no podrá convertir un atributo en un atributo obligatorio. Debe elegir esa opción ahora.

   Tenga en cuenta que las configuraciones de la página Atributos de usuario se aplican a todos los directorios del servicio. Cuando marque un atributo como obligatorio, tenga en cuenta el efecto que pueda causar en otros directorios. Si un atributo está marcado como obligatorio, no se sincronizan con el servicio de los usuarios sin dicho atributo.

   Importante: Si va a sincronizar recursos de XenApp con VMware Identity Manager, debe convertir distinguishedName en un atributo obligatorio.
4. Haga clic en Guardar.
5. Haga clic en la pestaña Administración de acceso e identidad.
6. En la página Directorios, haga clic en Agregar directorio y seleccione Agregar Active Directory en LDAP/IWA o Agregar directorio LDAP, según el tipo de directorio que está integrando.
   También puede crear un directorio local en el servicio. Para obtener más información sobre el uso de los directorios locales, consulte la Guía de administración de VMware Identity Manager.
7. En el caso de Active Directory, siga estos pasos.
   1. Introduzca un nombre para el directorio que está creando en VMware Identity Manager y seleccione el tipo de directorio, ya sea Active Directory mediante LDAP o Active Directory (Autenticación de Windows integrada).
   2. Proporcione la información de la conexión.

      Opción	Descripción
      Active Directory mediante LDAP	En el cuadro de texto Conector de sincronización, seleccione el conector que desee utilizar para sincronizar los usuarios y los grupos de Active Directory con el directorio de VMware Identity Manager. De forma predeterminada, un componente del conector estará siempre disponible con el servicio de VMware Identity Manager. Este conector aparecerá en el menú desplegable. Si instala varios dispositivos de VMware Identity Manager para lograr una alta disponibilidad, el componente del conector de cada uno aparecerá en la lista. En el cuadro de texto Autenticación, seleccione Sí si desea utilizar Active Directory para autenticar a los usuarios. Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para realizar la autenticación. En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario. Si Active Directory utiliza la búsqueda de ubicaciones de servicio de DNS, seleccione las opciones siguientes. En la sección Ubicación del servidor, active la casilla Este directorio admite la ubicación de servicio de DNS. Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y lo pegue en el cuadro de texto Certificado SSL. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE". Nota: Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio. Si Active Directory no utiliza la búsqueda de ubicaciones de servicio de DNS, seleccione las opciones siguientes. En la sección Ubicación del servidor, compruebe que la casilla Este directorio admite la ubicación de servicio de DNS no esté seleccionada, e introduzca el número de puerto y el nombre de host del servidor de Active Directory. Para configurar el directorio como un catálogo global, consulte la sección Entorno de Active Directory de varios dominios y un único bosque en "Entornos de Active Directory" en Integración de directorios con VMware Identity Manager. Si Active Directory requiere acceso mediante SSL, active la casilla Este directorio requiere que todas las conexiones usen SSL en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el cuadro de texto Certificado SSL. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE". Nota: Si Active Directory requiere SSL y usted no proporciona el certificado, no podrá crear el directorio. En la sección Permitir el cambio de contraseña, seleccione Habilitar el cambio de contraseña si desea permitir a los usuarios que puedan restablecer sus contraseñas en la página de inicio de sesión de VMware Identity Manager en caso de que la contraseña caduque o si el administrador de Active Directory restablece la contraseña del usuario. En el cuadro de texto DN base, introduzca el DN desde el que deben empezar las búsquedas en cuentas. Por ejemplo, OU=myUnit,DC=myCorp,DC=com. En el cuadro de texto DN de enlace, introduzca la cuenta que puede buscar usuarios. Por ejemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com. Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque. Después de introducir la contraseña de enlace, haga clic en Probar conexión para verificar que el directorio se puede conectar a Active Directory.
      Active Directory (Autenticación de Windows integrada)	En el cuadro de texto Conector de sincronización, seleccione el conector que desee utilizar para sincronizar los usuarios y los grupos de Active Directory con el directorio de VMware Identity Manager. De forma predeterminada, un componente del conector estará siempre disponible con el servicio de VMware Identity Manager. Este conector aparecerá en la lista desplegable. Si instala varios dispositivos de VMware Identity Manager para lograr una alta disponibilidad, el componente del conector de cada uno aparecerá en la lista. En el cuadro de texto Autenticación, haga clic en Sí si desea utilizar Active Directory para autenticar a los usuarios. Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, haga clic en No. Después de configurar la conexión de Active Directory para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para realizar la autenticación. En el campo Atributo de búsqueda de directorios, seleccione el atributo de la cuenta que contiene el nombre de usuario. Si Active Directory requiere el cifrado STARTTLS, active la casilla Este directorio requiere que todas las conexiones usen STARTTLS en la sección Certificados, copie el certificado de CA raíz de Active Directory y lo pegue en el cuadro de texto Certificado SSL. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE". Si el directorio tiene varios dominios, agregue los certificados CA raíz para todos los dominios de uno en uno. Nota: Si Active Directory requiere STARTTLS y usted no proporciona el certificado, no podrá crear el directorio. En la sección Permitir el cambio de contraseña, seleccione Habilitar el cambio de contraseña si desea permitir a los usuarios que puedan restablecer sus contraseñas en la página de inicio de sesión de VMware Identity Manager en caso de que la contraseña caduque o si el administrador de Active Directory restablece la contraseña del usuario. En el campo UPN del usuario de enlace, introduzca el nombre principal de usuario que puede autenticarse con el dominio. Por ejemplo [email protected]. Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque. Introduzca la contraseña de usuario de DN de enlace.

   3. Haga clic en Guardar y Siguiente.
      Aparecerá la página con la lista de dominios.
8. En el caso de las directivas de LDAP, siga estos pasos.
   1. Proporcione la información de la conexión.

      Opción	Descripción
      Nombre de directorio	Un nombre para el directorio que está creando en VMware Identity Manager.
      Sincronización de directorio y autenticación	En el cuadro de texto Conector de sincronización, seleccione el conector que desee utilizar para sincronizar usuarios y grupos del directorio LDAP con el directorio de VMware Identity Manager. De forma predeterminada, un componente del conector estará siempre disponible con el servicio de VMware Identity Manager. Este conector aparecerá en la lista desplegable. Si instala varios dispositivos de VMware Identity Manager para lograr una alta disponibilidad, el componente del conector de cada uno aparecerá en la lista. No es necesario un conector diferente para un directorio LDAP. Un conector puede ser compatible con varios directorios, independientemente de si cuentan con directorios LDAP o Active Directory. En el cuadro de texto Autenticación, seleccione Sí si desea utilizar el directorio LDAP para autenticar a los usuarios. Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, seleccione No. Después de agregar la conexión del directorio para sincronizar usuarios y grupos, acceda a la página Administración de acceso e identidad > Administrar > Proveedores de identidades para agregar el proveedor de identidades externo para realizar la autenticación. En el cuadro de texto Atributo de búsqueda de directorios, especifique el atributo del directorio LDAP que se utiliza para el nombre de usuario. Si el atributo no aparece en la lista, seleccione Personalizado y escriba el nombre del atributo. Por ejemplo, cn.
      Ubicación del servidor	Introduzca el número de puerto y el host del servidor del directorio LDAP. En el caso del host del servidor, puede especificar el nombre del dominio plenamente cualificado o la dirección IP. Por ejemplo, myLDAPserver.example.com o 100.00.00.0. Si cuenta con un clúster de servidores bajo un equilibrador de carga, introduzca la información de este último en su lugar.
      Configuración LDAP	Especifica los atributos y los filtros de búsqueda de LDAP que VMware Identity Manager puede utilizar para solicitar su directorio LDAP. Los valores predeterminados se proporcionan según el esquema principal de LDAP. Solicitudes LDAP Obtener grupos: es el filtro de búsqueda para obtener los objetos de grupo. Por ejemplo: (objectClass=group) Obtener usuario de enlace: es el filtro de búsqueda para obtener el objeto de usuario de enlace, es decir, al usuario que puede enlazarse al directorio. Por ejemplo: (objectClass=person) Obtener usuario: es el filtro de búsqueda para obtener los usuarios para sincronizar. Por ejemplo:(&(objectClass=user)(objectCategory=person)) Atributos Afiliación: es el atributo que se utiliza en su directorio LDAP para definir los miembros de un grupo. Por ejemplo: member UUID del objeto: es el atributo que se utiliza en su directorio LDAP para definir el UUID. Por ejemplo: entryUUID Nombre distintivo: es el atributo que se utiliza en su directorio LDAP para definir el nombre distintivo de un usuario o un grupo. Por ejemplo: entryDN
      Certificados	Si el directorio LDAP requiere acceso mediante SSL, seleccione la opción Este directorio requiere que todas las conexiones usen SSL y copie y pegue el certificado CA SSL raíz del servidor del directorio LDAP. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".
      Información de usuario de enlace	DN base: introduzca el DN desde el que deben empezar las búsquedas. Por ejemplo, cn=users,dc=example,dc=com DN de enlace: introduzca el nombre del usuario que enlaza al directorio LDAP. Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque. Contraseña DN de enlace: introduzca la contraseña del usuario DN de enlace.

   2. Para probar la conexión al servidor del directorio LDAP, haga clic en Probar conexión.
      Si no se realizó la conexión correctamente, compruebe la información que introdujo y haga los cambios necesarios.
   3. Haga clic en Guardar y Siguiente.
      Aparece la página con la lista del dominio.
9. En un directorio LDAP, el dominio aparece en la lista y no se puede modificar.
   En Active Directory mediante LDAP, los dominios aparecen en la lista y no se pueden modificar.

   Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberán asociarse con esta conexión de Active Directory.

   Nota: Si agrega un dominio de confianza una vez creado el directorio, el servicio no detectará automáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, el conector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que el conector vuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.

   Haga clic en Siguiente.

10. Compruebe que los nombres de los atributos de VMware Identity Manager estén asignados a los atributos de Active Directory o LDAP correctos y realice los cambios que sean necesarios.
    Importante: Si integra un directorio LDAP, debe especificar una asignación para el atributo de dominio.
11. Haga clic en Siguiente.
12. Seleccione los grupos que desee sincronizar desde Active Directory o desde el directorio LDAP al directorio de VMware Identity Manager.

    Opción	Descripción
    Especificar los DN de grupo	Para seleccionar los grupos, especifique un DN o varios y seleccione los grupos que aparecen a continuación. Haga clic en + y especifique el DN de grupo. Por ejemplo, CN=users,DC=example,DC=company,DC=com. Importante: Especifique los DN de grupo que aparecen a continuación del DN base que introdujo. Si un DN de grupo aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión. Haga clic en Buscar grupos. La columna Grupos para sincronizar muestra el número de grupos que se encuentran en el DN. Para seleccionar todos los grupos en el DN, haga clic en Seleccionar todo, o bien haga clic en Seleccionar y seleccione los grupos específicos que desea sincronizar. Nota: Si cuenta con varios grupos con el mismo nombre en su directorio LDAP, debe especificar nombres únicos para ellos en VMware Identity Manager. Puede cambiar el nombre al seleccionar el grupo. Nota: Cuando sincroniza un grupo, los usuarios que no tengan Usuarios del dominio como su grupo principal en Active Directory no se sincronizan.
    Sincronizar miembros de grupo anidados	La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando se habilita esta opción, todos los usuarios que pertenezcan al grupo que seleccione y los que pertenezcan a grupos anidados dentro de este grupo se sincronizan. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de VMware Identity Manager, estos usuarios serán miembros del grupo de nivel principal que seleccionó para sincronizarse. Si deshabilita la opción Sincronizar miembros de grupo anidados, todos los usuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupo que especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones de Active Directory en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.

13. Haga clic en Siguiente.
14. Especifique los usuarios adicionales que desea sincronizar, si es necesario.
    1. Haga clic en + e introduzca los DN del usuario. Por ejemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
       Importante: Especifique los DN de usuario que aparecen a continuación del DN base que introdujo. Si un DN de usuario está fuera del DN base, los usuarios de dicho DN se sincronizan, pero no pueden iniciar sesión.
    2. (Opcional) Para excluir usuarios, cree un filtro que excluya algunos tipos de usuarios.
       Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.
15. Haga clic en Siguiente.
16. Revise la página para ver cuántos usuarios y grupos se sincronizarán con el directorio así como la programación de la sincronización.

    Para realizar cambios en los usuarios y los grupos o en la frecuencia de sincronización, haga clic en los vínculos Editar.

17. Haga clic en Sincronizar directorio para iniciar la sincronización del directorio.