Puede crear este tipo de directorio cuando planee conectarse a un único entorno de dominio de Active Directory. Para el tipo de directorio Active Directory a través de LDAP, el conector se enlaza a Active Directory mediante una autenticación de enlace simple.
Requisitos previos
- Enumere los grupos y usuarios de Active Directory para sincronizar desde Active Directory.
- Compruebe que haya especificado los atributos predeterminados requeridos y agregue atributos adicionales en la definición de atributos de usuario.
- Compruebe que dispone de las credenciales de usuario necesarias para agregar un directorio.
Procedimiento
- Haga clic en Administración de identidades y tenants en el panel de control Mis servicios.
- Desplácese hasta la pestaña Administración de directorios y haga clic en Directorios.
- Haga clic en Añadir directorio y seleccione Añadir Active Directory a través de LDAP.
- En la pestaña Detalles del directorio:
Campos Descripción Información del directorio Introduzca un nombre de directorio válido. Sincronización de directorio y autenticación Seleccione el conector que desea sincronizar con Active Directory. Connector es un componente de servicio de VMware Identity Manager que sincroniza los usuarios y los datos de grupo entre Active Directory y el servicio de VMware Identity Manager. Cuando se utiliza como proveedor de identidades, también autentica a los usuarios. Cada dispositivo de nodo de VMware Identity Manager incluye un componente de conector predeterminado. Cuando se requiere, también se puede implementar un conector dedicado a través de un escalado horizontal de entorno global.
Autenticación habilitada Si desea que el conector realice la autenticación, seleccione Sí. Puede indicar si el conector seleccionado también realiza la autenticación. Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, seleccione No.
Atributo de búsqueda directa Seleccione un atributo de cuenta en el menú desplegable que contenga un nombre de usuario. Ubicación del servidor Seleccione la casilla de verificación El directorio admite la ubicación del servicio DNS. - Si su instancia de Active Directory requiere acceso mediante SSL/TLS, active la casilla de verificación El directorio requiere que todas las conexiones usen STARTTLS o SSL en la sección Certificados y copie y pegue los controladores de dominio intermedios (si se utilizan) y los certificados de la entidad de certificación raíz en el cuadro de texto Certificado SSL. Introduzca primero el certificado de la entidad de certificación intermedio y, a continuación, el certificado de la entidad de certificación raíz. Asegúrese de que cada certificado esté en formato PEM e incluya las líneas BEGIN CERTIFICATE y END CERTIFICATE. Si los controladores de dominio tienen certificados de varias autoridades de certificación intermedias y raíz, introduzca todas las cadenas de certificados de la entidad de certificación intermedia y raíz, una tras otra. Si Active Directory requiere acceso a través de SSL/TLS y no se proporcionan los certificados, no se podrá crear el directorio.
- Si no desea utilizar la ubicación de servicio de DNS, compruebe que la casilla de verificación El directorio admite la ubicación de servicio DNS no esté seleccionada e introduzca el nombre de host y el número de puerto del servidor de Active Directory.
Certificados Si su instancia de Active Directory requiere acceso mediante SSL/TLS, active la casilla de verificación El directorio requiere que todas las conexiones usen SSL en la sección Certificados y copie y pegue los controladores de dominio intermedios (si se utilizan) y el certificado de la entidad de certificación raíz en el cuadro de texto Certificado SSL. Introduzca primero el certificado de la entidad de certificación intermedio y, a continuación, el certificado de la entidad de certificación raíz. Asegúrese de que el certificado esté en formato PEM e incluya las líneas BEGIN CERTIFICATE y END CERTIFICATE. Si Active Directory requiere acceso a través de SSL/TLS y no se proporciona el certificado, no se podrá crear el directorio.
Detalles del usuario de enlace - DN base: introduzca el DN para iniciar las búsquedas en cuentas. Por ejemplo, OU=myUnit, DC=myCorp, DC=com. El DN base se utiliza para la autenticación. Solo los usuarios del DN base pueden autenticarse. Asegúrese de que los DN de grupo y los DN de usuario que especifique más adelante para la sincronización estén bajo este DN base.
- DN de usuario de enlace: introduzca los detalles de la cuenta. Por ejemplo, CN=binduser, OU=myUnit, DC=myCorp, DC=com. Utilice una cuenta de usuario de enlace con una contraseña que no caduque.
- Contraseña de enlace: haga clic en Probar conexión para comprobar que el directorio se pueda conectar a Active Directory.
- Haga clic en Crear y Siguiente.
Para Active Directory a través de LDAP, los dominios aparecen con una marca de verificación.
- En la pestaña Detalles de selección de dominio, seleccione el dominio y haga clic en Siguiente.
- Para asignar el atributo de directorio a Active Directory, en la pestaña Asignar atributo, seleccione el atributo obligatorio y haga clic en Guardar y Siguiente.
- En la pestaña Selección de grupo, para sincronizar desde Active Directory con el directorio de VMware Identity Manager, especifique los detalles del DN de grupo y haga clic en Siguiente.
También puede seleccionar todos los grupos de directorios activos que ya están disponibles en la lista para sincronizar con el directorio.
- Para seleccionar grupos, haga clic en Agregar nombre distintivo del grupo y especifique uno o varios DN de grupo. Seleccione los grupos debajo de ellos. Especifique los DN de grupo que se encuentran debajo del DN base que introdujo en el cuadro de texto "DN base" de la página Agregar directorio. Si un DN de grupo está fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
- Haga clic en Buscar grupos. La columna Acciones muestra el número de grupos encontrados en el DN. Para seleccionar todos los grupos del DN, haga clic en Seleccionar todo o haga clic en el número y seleccione los grupos específicos que desea sincronizar. Cuando sincroniza un grupo, los usuarios que no tengan Usuarios del dominio como su grupo principal en Active Directory no se sincronizan.
- Seleccione la opción Sincronizar miembros de grupo anidados.
- En la pestaña Selección de usuario, introduzca los detalles del DN de usuario y haga clic en Siguiente.
Los administradores de paquete son un nombre de usuario en Active Directory que actúa como usuario administrador para los productos del conjunto de aplicaciones, registros y tabla de AD implementados.
- Seleccione la opción Sincronizar miembros de grupo anidados e introduzca los Administradores de paquete.
Cuando se habilita esta opción, todos los usuarios que pertenezcan directamente al grupo que seleccione y los que pertenezcan a grupos anidados dentro de este grupo se sincronizan cuando se autoriza el grupo. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de VMware Identity Manager, estos usuarios serán miembros del equipo principal que seleccione para sincronizar. Si la opción "Sincronizar miembros de grupo anidados" está deshabilitada, cuando especifique un grupo para sincronizar, se sincronizarán todos los usuarios que pertenezcan directamente a él. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones de Active Directory en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.
- Haga clic en Guardar y Siguiente. En Selección de usuario, haga clic en Agregar usuario y especifique los DN de los usuarios que desea sincronizar. Especifique los DN de usuario que se encuentran debajo del DN base que introdujo en el cuadro de texto DN base en la página Agregar directorio. Si un DN de usuario está fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión. Haga clic en Guardar y Siguiente.
- Revise la pestaña Comprobación de simulacro, lea el resumen, haga clic en Sincronizar y completar para iniciar la sincronización con el directorio. Se establecerá la conexión con Active Directory y los nombres de grupos y usuarios se sincronizarán desde Active Directory con el directorio de VMware Identity Manager.
- Haga clic en Enviar.
- Para editarlo, haga clic en el icono Editar en el directorio activo específico de la lista de directorios activos. Toda la información agregada se anexará a la configuración de VMware Identity Manager. Sin embargo, cualquier eliminación mediante edición solo elimina la configuración del inventario de vRealize Suite Lifecycle Manager y no de VMware Identity Manager.
- Para eliminar, haga clic en el icono Eliminar en el directorio activo específico de la lista de directorios activos. La acción de eliminación solo elimina el directorio activo del inventario de vRealize Suite Lifecycle Manager y no de VMware Identity Manager.