Puede crear este tipo de directorio si va a conectarse a un entorno de Active Directory con varios dominios. El conector se vincula con Active Directory usando la autenticación de Windows integrada.
Requisitos previos
Compruebe que dispone de las credenciales de usuario necesarias para agregar un directorio.
Procedimiento
- Haga clic en Administración de identidades y tenants en el panel de control Mis servicios.
- Desplácese hasta la pestaña Administración de directorios y haga clic en Directorios.
- Haga clic en +Añadir directorio y en Añadir Active Directory en IWA.
- En la pestaña Detalles del directorio:
Campos Descripción Información del directorio Introduzca un nombre de directorio válido. Sincronización de directorio y autenticación Seleccione el conector que desea sincronizar con Active Directory. Connector es un componente de servicio de VMware Identity Manager que sincroniza los usuarios y los datos de grupo entre Active Directory y el servicio de VMware Identity Manager. Autentica a los usuarios. Cada dispositivo de nodo de VMware Identity Manager incluye un componente de conector predeterminado. Si es necesario, también se puede implementar un conector dedicado a través de un escalado horizontal de entorno global. Autenticación habilitada Puede indicar si el conector seleccionado también realiza la autenticación. Si desea utilizar un proveedor de identidades externo para autenticar a los usuarios, seleccione No.
Atributo de búsqueda directa Seleccione un atributo de búsqueda en el menú desplegable. Certificados - Si su instancia de Active Directory requiere acceso mediante SSL/TLS, active la casilla de verificación El directorio requiere que todas las conexiones usen STARTTLS en la sección Certificados y copie y pegue los controladores de dominio intermedios (si se utilizan) y los certificados de entidad de certificación raíz en el cuadro de texto Certificado SSL. Introduzca primero el certificado de la entidad de certificación intermedio y, a continuación, el certificado de la entidad de certificación raíz. Asegúrese de que cada certificado esté en formato PEM e incluya las líneas BEGIN CERTIFICATE y END CERTIFICATE. Si los controladores de dominio tienen certificados de varias entidades de certificación intermedias y raíz, introduzca todas las cadenas de certificados de entidades de certificación raíz intermedia, una tras otra. Si Active Directory requiere acceso a través de SSL/TLS y no se proporcionan los certificados, no se podrá crear el directorio.
Detalles de unión a dominio Introduzca el nombre de dominio, el nombre de usuario administrador del dominio y la contraseña del dominio. Detalles del usuario de enlace - Introduzca el Nombre de usuario de enlace y la Contraseña de enlace del usuario de enlace que tiene permiso para consultar usuarios y grupos para los dominios requeridos. Introduzca el nombre de usuario como sAMAccountName@domain, donde "domain" es el nombre de dominio completo. Utilice una cuenta de usuario de enlace con una contraseña que no caduque.
- Haga clic en Crear y Siguiente.
Puede seleccionar los dominios que deben asociarse con la conexión de Active Directory.
- En la pestaña Detalles de selección de dominio, seleccione el dominio y haga clic en Enviar y Siguiente.
Active Directory con IWA rellena la lista de dominios y puede seleccionar o editar los dominios según sea necesario.
- Para comprobar que los nombres de atributo del directorio de VMware Identity Manager estén asignados a los atributos correctos de Active Directory, en la pestaña Asignar atributo, seleccione el atributo obligatorio y haga clic en Enviar y Siguiente.
- En la pestaña Selección de grupo, especifique los detalles del DN de grupo y haga clic en Siguiente.
Para seleccionar grupos, haga clic en Agregar nombre distintivo del grupo, especifique uno o varios DN de grupo y seleccione los grupos que hay bajo ellos. Especifique los DN de grupo que se encuentran debajo del DN base que introdujo en el cuadro de texto DN base de la sección Agregar directorio. Si un DN de grupo está fuera del DN base, los usuarios de ese DN se sincronizarán, pero no puede iniciar sesión.
Cuando sincroniza un grupo, los usuarios que no tengan Usuarios del dominio como su grupo principal en Active Directory no se sincronizan.
- Seleccione la opción Sincronizar miembros de grupo anidados.
- En la pestaña Selección de usuario, introduzca los detalles del DN de usuario y haga clic en Siguiente.
Nota: Cuando se habilita esta opción, todos los usuarios que pertenezcan directamente al grupo que seleccione y los que pertenezcan a grupos anidados dentro de este grupo se sincronizan cuando se autoriza el grupo. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de VMware Identity Manager, estos usuarios serán miembros del equipo principal que seleccione para sincronizar. Si la opción Sincronizar miembros de grupo anidados está deshabilitada, cuando especifique un grupo para sincronizar, se sincronizarán todos los usuarios que pertenezcan directamente a él. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones de Active Directory en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.Los administradores de paquete son un nombre de usuario en Active Directory que actúa como usuario administrador para los productos del conjunto de aplicaciones, registros y tabla de AD implementados.
- En la pestaña Comprobación de simulacro, lea el resumen.
- Haga clic en Sincronizar y completar para iniciar la sincronización con el directorio. Se establecerá la conexión con Active Directory y los nombres de usuarios y grupos se sincronizarán desde Active Directory con el directorio de VMware Identity Manager.
- Haga clic en Enviar.
- Para editarlo, haga clic en el icono Editar en el directorio activo específico de la lista de directorios activos. Toda la información agregada se anexará a la configuración de VMware Identity Manager. Sin embargo, si se quita mediante edición, solo se puede quitar la configuración del inventario de vRealize Suite Lifecycle Manager y no de VMware Identity Manager.
- Para eliminar, haga clic en el icono Eliminar en el directorio activo específico de la lista de directorios activos. El directorio activo solo se puede eliminar del inventario de vRealize Suite Lifecycle Manager y no de VMware Identity Manager.