Puede configurar una instancia de Active Directory mediante un vínculo LDAP/IWA a fin de permitir la autenticación de usuarios con la característica Directories Management para configurar un vínculo a Active Directory y permitir la autenticación de usuarios de todos los tenants, así como seleccionar los usuarios y los grupos que se sincronizarán con el directorio de Directories Management.

Antes de empezar

  • Conector instalado y con el código de activación activado.

  • Seleccione los atributos predeterminados necesarios y añada atributos adicionales a la página Atributos de usuario. Consulte Seleccionar atributos para sincronizar con el directorio.

  • Lista de grupos y usuarios de Active Directory para sincronizar desde Active Directory.

  • Para Active Directory en LDAP, la información necesaria incluye DN base, DN de enlace y contraseña de DN de enlace.

  • Para la Autenticación de Windows integrada de Active Directory, la información necesaria incluye la dirección UPN del usuario de enlace del dominio y la contraseña.

  • Si se accede a Active Directory sobre SSL, se necesita una copia del certificado SSL.

  • En el caso de Active Directory (Autenticación de Windows integrada), si tiene configurado Active Directory con varios bosques y el grupo local de dominio contiene miembros de dominios de distintos bosques, compruebe que se añade el usuario de enlace al grupo de administradores del dominio en el que reside el grupo local del dominio. Si no lo hace, estos miembros no formarán parte del grupo local del dominio.

  • Inicie sesión en la consola de vRealize Automation como administrador de tenants.

Por qué y cuándo se efectúa esta tarea

Para obtener información e instrucciones acerca del uso de OpenLDAP con Administración de directorios, consulte Configurar una conexión del directorio OpenLDAP.

Procedimiento

  1. Seleccione Administración > Administración de directorios > Directorios.
  2. Haga clic en Añadir directorio y seleccione Añadir Active Directory en LDAP/IWA.
  3. En la página Añadir directorio, especifique la dirección IP del servidor de Active Directory en el cuadro de texto Nombre del directorio.
  4. Seleccione el protocolo de comunicación apropiado de Active Directory mediante los botones de opción situados debajo del cuadro de texto Nombre del directorio.

    Opción

    Descripción

    Autenticación de Windows

    Seleccione Active Directory (Autenticación de Windows integrada).

    LDAP

    Seleccione Active Directory en LDAP.

  5. Configure el conector que sincroniza usuarios desde Active Directory hacia el directorio de VMwareDirectories Management en la sección de sincronización y autenticación del directorio.

    Opción

    Descripción

    Conector de sincronización

    Seleccione el conector apropiado que ha de usarse para su sistema. Cada el dispositivo de vRealize Automation incluye un conector predeterminado. Consulte con el administrador del sistema en el caso de que necesite ayuda para elegir el conector apropiado.

    Autenticación

    Haga clic en el botón de opciones apropiado para indicar si el conector seleccionado también realiza la autenticación.

    Atributo de búsqueda directa

    Seleccione el atributo de cuenta apropiado que contiene el nombre de usuario.

  6. Escriba la información apropiada en el cuadro de texto Ubicación del servidor si ha seleccionado Active Directory en LDAP o en los cuadros de texto de Detalles de unión a dominio si ha seleccionado Active Directory (Autenticación de Windows integrada).

    Opción

    Descripción

    Ubicación del servidor - Mostrada cuando se selecciona Active Directory en LDAP

    • Si quiere usar la ubicación del servicio de DNS para encontrar dominios de Active Directory, deje activa la casilla de verificación Este directorio admite ubicación de servicio de DNS.

    • Si la instancia de Active Directory especificada no utiliza la búsqueda de ubicaciones de servicio de DNS, desactive la casilla de verificación situada junto a Este directorio admite la ubicación de servicio de DNS en los campos de Ubicación del servidor y escriba el nombre de host y el número de puerto del servidor de Active Directory en los cuadros de texto correspondientes.

    • Si Active Directory requiere de acceso mediante SSL, active la casilla Este directorio requiere que todas las conexiones usen SSL bajo el título Certificados, y proporcione el certificado de SSL de Active Directory.

    Detalles de unión a dominio: se muestra cuando se selecciona Active Directory (Autenticación de Windows integrada)

    Escriba las credenciales apropiadas en los cuadros de texto Nombre de dominio, Nombre de usuario administrador del dominio y Contraseña del administrador del dominio.

  7. En la sección para vincular detalles de usuarios, introduzca las credenciales apropiadas para facilitar la sincronización de directorios.

    Para Active Directory en LDAP:

    Opción

    Descripción

    DN de la base

    Escriba el nombre distintivo base de búsqueda. Por ejemplo, cn=users,dc=corp,dc=local.

    DN de enlace

    Escriba el nombre distintivo del enlace. Por ejemplo, cn=fritz infra,cn=usuarios,dc=empresa,dc=local.

    Para Active Directory (Autenticación de Windows integrada):

    Opción

    Descripción

    UPN del usuario de enlace

    Escriba el nombre principal del usuario que puede autenticar con el dominio. Por ejemplo, NombreDeUsuario@ejemplo.com.

    Contraseña de DN de enlace

    Escriba la contraseña del usuario de enlace.

  8. Haga clic en Probar conexión para probar la conexión al directorio configurado.

    Este botón no aparece si ha seleccionado Active Directory (Autenticación de Windows integrada).

  9. Haga clic en Guardar y Siguiente.

    Aparece la página Seleccione los dominios con la lista de dominios.

  10. Revise y actualice los dominios que se enumeran para la conexión de Active Directory.
    • Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberán asociarse con esta conexión de Active Directory.

    • Para Active Directory en LDAP, el dominio disponible se muestra con una marca de verificación.

      Nota:

      Si añade un dominio de confianza una vez creado el directorio, el servicio no detectará automáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, el conector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que el conector vuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.

  11. Haga clic en Siguiente.
  12. Compruebe que los nombres de atributos del directorio de Directories Management estén asignados a los atributos correctos de Active Directory.

    Si los nombres de atributos del directorio no se asignan correctamente, seleccione el atributo correcto de Active Directory en el menú desplegable.

  13. Haga clic en Siguiente.
  14. Haga clic en Añadir para seleccionar los grupos que desea sincronizar entre Active Directory y el directorio.

    Cuando se añade un grupo de Active Directory, si los miembros de ese grupo no están incluidos en la lista de usuarios, entonces se añaden.

    Nota:

    El sistema de autenticación de usuarios de Directories Management importa los datos de Active Directory al añadir grupos y usuarios, y la velocidad del sistema quedará limitada por las prestaciones de Active Directory. En consecuencia, las operaciones de importación podrían tardar mucho tiempo en completarse en función del número de grupos y usuarios que se añada. Para minimizar la posibilidad de retrasos o problemas, limite el número de grupos y usuarios a únicamente los necesarios para el funcionamiento de vRealize Automation.

    Si el rendimiento del sistema se degrada o si se producen errores, cierre las aplicaciones que no sean necesarias y asegúrese de que su sistema tenga asignada a Active Directory la memoria adecuada. Si los problemas persisten, aumente la asignación de memoria a Active Directory según sea necesario. En el caso de sistemas con una gran cantidad de usuarios y grupos, es posible que deba aumentar la asignación de memoria a Active Directory hasta los 24 GB.

  15. Haga clic en Siguiente.
  16. Haga clic en Añadir para añadir más usuarios. Por ejemplo, escriba CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com.

    Para excluir a usuarios, haga clic en Añadir para crear un filtro de exclusión de determinados tipos de usuarios. Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.

  17. Haga clic en Siguiente.
  18. Revise la página para ver cuántos usuarios y grupos se han sincronizado en el directorio.

    Si desea realizar cambios en los usuarios y grupos, haga clic en los vínculos Editar.

  19. Haga clic en Mover a Workspace para iniciar la sincronización con el directorio.

Resultados

La conexión con Active Directory queda completada y los usuarios y grupos seleccionados se añaden al directorio. Ahora puede asignar el usuario y los grupos a las funciones apropiadas de vRealize Automation seleccionando Administración > Usuarios y grupos > Usuarios y grupos de directorios. Consulte Asignar funciones a usuarios o grupos de directorios para obtener más información.

Qué hacer a continuación

Si su entorno de vRealize Automation está configurado para alta disponibilidad, debe configurar específicamente la administración de directorios para alta disponibilidad. Consulte Configurar Administración de directorios para alta disponibilidad.

  • Configure los métodos de autenticación. Una vez sincronizados los usuarios y grupos con el directorio, si también se utiliza el conector para la autenticación, podrá configurar otros métodos de autenticación en este último. Si el proveedor de identidades de autenticación es un tercero, configúrelo en el conector.

  • Revise la política de acceso predeterminada. La política de acceso predeterminada se configura para permitir que todos los dispositivos de todos los rangos de redes accedan al explorador web, con un tiempo de espera de sesión definido en ocho horas, o bien acceder a una aplicación del cliente con un tiempo de espera de sesión de 2.160 horas (90 días). Puede cambiar la política de acceso predeterminada. Asimismo, cuando añada aplicaciones web al catálogo, podrá crear otras nuevas.

  • Aplique la personalización de marca a la consola de administración, a las páginas del portal de usuario y a la pantalla de inicio de sesión.