Puede configurar una instancia de Active Directory mediante un vínculo LDAP/IWA a fin de permitir la autenticación de usuarios con la característica Directories Management para configurar un vínculo a Active Directory y permitir la autenticación de usuarios de todos los tenants, así como seleccionar los usuarios y los grupos que se sincronizarán con el directorio de Directories Management.

Por qué y cuándo se efectúa esta tarea

Para obtener información e instrucciones acerca del uso de OpenLDAP con Administración de directorios, consulte Configurar una conexión del directorio OpenLDAP.

En el caso de Active Directory (Autenticación de Windows integrada), si tiene configurado Active Directory con varios bosques y el grupo local de dominio contiene miembros de dominios de distintos bosques, compruebe que se añade el usuario de enlace al grupo de administradores del dominio en el que reside el grupo local del dominio. Si no lo hace, estos miembros no formarán parte del grupo local del dominio.

Requisitos

  • Seleccione los atributos predeterminados necesarios y añada atributos adicionales a la página Atributos de usuario. Consulte Seleccionar atributos para sincronizar con el directorio.

  • Lista de grupos y usuarios de Active Directory para sincronizar desde Active Directory.

  • Si su Active Directory necesita que el acceso sea mediante SSL o STARTTLS, se requerirá el certificado de CA raíz del controlador de dominio de Active Directory.

  • Inicie sesión en la consola de vRealize Automation como administrador de tenants.

Procedimiento

  1. Seleccione Administración > Administración de directorios > Directorios.
  2. Haga clic en Añadir directorio y seleccione Añadir Active Directory en LDAP/IWA.
  3. En la página Añadir directorio, especifique la dirección IP del servidor de Active Directory en el cuadro de texto Nombre del directorio.
  4. Seleccione el protocolo de comunicación apropiado de Active Directory mediante los botones de opción situados debajo del cuadro de texto Nombre del directorio.

    Opción

    Descripción

    Autenticación de Windows

    Seleccione Active Directory (Autenticación de Windows integrada). Para la Autenticación de Windows integrada de Active Directory, la información necesaria incluye la dirección UPN del usuario de enlace del dominio y la contraseña.

    LDAP

    Seleccione Active Directory en LDAP. Para Active Directory en LDAP, la información necesaria incluye DN base, DN de enlace y contraseña de DN de enlace.

  5. Configure el conector que sincroniza usuarios desde Active Directory hacia el directorio de VMwareDirectories Management en la sección de sincronización y autenticación del directorio.

    Opción

    Descripción

    Conector de sincronización

    Seleccione el conector apropiado que ha de usarse para su sistema. Cada dispositivo de vRealize Automation incluye un conector predeterminado. Consulte con el administrador del sistema en el caso de que necesite ayuda para elegir el conector apropiado.

    Autenticación

    Haga clic en el botón de opciones apropiado para indicar si el conector seleccionado también realiza la autenticación.

    Atributo de búsqueda directa

    Seleccione el atributo de cuenta apropiado que contiene el nombre de usuario. VMware recomienda utilizar el atributo sAMAccount en lugar de userPrincipleName. Si utiliza userPrincipleName en las operaciones de sincronización, la integración con software de terceros que requiera un nombre de usuario puede no funcionar correctamente.

    Nota:

    Si selecciona sAMAccountName al usar un catálogo global (cosa que se indica activando la casilla de verificación Este directorio tiene un catálogo global en el área Ubicación del servidor), los usuarios no podrán iniciar sesión.

  6. Escriba la información apropiada en el cuadro de texto Ubicación del servidor si ha seleccionado Active Directory en LDAP, o introduzca información en los cuadros de texto de Detalles de unión a dominio si ha seleccionado Active Directory (Autenticación de Windows integrada).

    Opción

    Descripción

    Ubicación del servidor - Mostrada cuando se selecciona Active Directory en LDAP

    • Si quiere usar la ubicación del servicio de DNS para encontrar dominios de Active Directory, deje activa la casilla de verificación Este directorio admite ubicación de servicio de DNS.

      Nota:

      No se puede cambiar la asignación del puerto 636 si selecciona esta opción.

      Se crea un archivo domain_krb.properties, que se rellena automáticamente con una lista de controladores de dominio, junto con el directorio. Consulte Acerca de la selección de controladoras de dominio.

      Si Active Directory requiere el cifrado STARTTLS, seleccione la casilla Este directorio requiere que todas las conexiones usen STARTTLS en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL.

    • Si la instancia de Active Directory especificada no utiliza la búsqueda de ubicaciones de servicio de DNS, desactive la casilla de verificación situada junto a Este directorio admite la ubicación de servicio de DNS en los campos de Ubicación del servidor y escriba el nombre de host y el número de puerto del servidor de Active Directory en los cuadros de texto correspondientes.

      Active la casilla de verificación Este directorio tiene un catálogo global si el Active Directory asociado utiliza un catálogo global. Un catálogo global contiene una representación de todos los objetos en cada dominio de un bosque de Active Directory con varios dominios.

      Para configurar el directorio como un catálogo global, consulte la sección Entorno de varios dominios y un único bosque de Active Directory de Entornos de Active Directory.

      Si Active Directory requiere de acceso mediante SSL, active la casilla Este directorio requiere que todas las conexiones usen SSL bajo el título Certificados, y proporcione el certificado de SSL de Active Directory.

      Si se selecciona esta opción, el puerto 636 se utiliza automáticamente y no se puede cambiar.

      Asegúrese de que el certificado esté en formato PEM e incluya las líneas BEGIN CERTIFICATE y END CERTIFICATE.

    Detalles de unión a dominio: se muestra cuando se selecciona Active Directory (Autenticación de Windows integrada)

    Escriba las credenciales apropiadas en los cuadros de texto Nombre de dominio, Nombre de usuario administrador del dominio y Contraseña del administrador del dominio.

    Si Active Directory requiere el cifrado STARTTLS, seleccione la casilla Este directorio requiere que todas las conexiones usen STARTTLS en la sección Certificados, copie el certificado de CA raíz de Active Directory y péguelo en el campo Certificado SSL.

  7. En la sección para vincular detalles de usuarios, introduzca las credenciales apropiadas para facilitar la sincronización de directorios.

    Para Active Directory en LDAP:

    Opción

    Descripción

    DN de la base

    Escriba el nombre distintivo base de búsqueda. Por ejemplo, cn=users,dc=corp,dc=local.

    DN de enlace

    Escriba el nombre distintivo del enlace. Por ejemplo, cn=fritz infra,cn=usuarios,dc=empresa,dc=local.

    Para Active Directory (Autenticación de Windows integrada):

    Opción

    Descripción

    UPN del usuario de enlace

    Escriba el nombre principal del usuario que puede autenticar con el dominio. Por ejemplo, NombreDeUsuario@ejemplo.com.

    Contraseña de DN de enlace

    Escriba la contraseña del usuario de enlace.

  8. Haga clic en Probar conexión para probar la conexión al directorio configurado.

    Este botón no aparece si ha seleccionado Active Directory (Autenticación de Windows integrada).

  9. Haga clic en Guardar y Siguiente.

    Aparece la página Seleccione los dominios con la lista de dominios.

  10. Revise y actualice los dominios que se enumeran para la conexión de Active Directory.
    • Para Active Directory (Autenticación de Windows integrada), seleccione los dominios que deberán asociarse con esta conexión de Active Directory.

    • Para Active Directory en LDAP, el dominio disponible se muestra con una marca de verificación.

      Nota:

      Si añade un dominio de confianza una vez creado el directorio, el servicio no detectará automáticamente el nuevo dominio de confianza. Para permitir que el servicio detecte el dominio, el conector deberá abandonar el dominio y, a continuación, volver a unirse a él. Una vez que el conector vuelva a unirse al dominio, el dominio de confianza aparecerá en la lista.

  11. Haga clic en Siguiente.
  12. Compruebe que los nombres de atributos del directorio de Directories Management estén asignados a los atributos correctos de Active Directory.

    Si los nombres de atributos del directorio no se asignan correctamente, seleccione el atributo correcto de Active Directory en el menú desplegable.

  13. Haga clic en Siguiente.
  14. Haga clic en Añadir para seleccionar los grupos que desea sincronizar entre Active Directory y el directorio.

    Cuando se añade un grupo de Active Directory, si los miembros de ese grupo no están incluidos en la lista de usuarios, entonces se añaden. Cuando sincroniza un grupo, los usuarios que no tengan Usuarios del dominio como su grupo principal en Active Directory no se sincronizan.

    Nota:

    El sistema de autenticación de usuarios de Directories Management importa los datos de Active Directory al añadir grupos y usuarios, y la velocidad del sistema quedará limitada por las prestaciones de Active Directory. En consecuencia, las operaciones de importación podrían tardar mucho tiempo en completarse en función del número de grupos y usuarios que se añada. Para minimizar la posibilidad de retrasos o problemas, limite el número de grupos y usuarios a únicamente los necesarios para el funcionamiento de vRealize Automation.

    Si el rendimiento del sistema se degrada o si se producen errores, cierre las aplicaciones que no sean necesarias y asegúrese de que su sistema tenga asignada a Active Directory la memoria adecuada. Si los problemas persisten, aumente la asignación de memoria a Active Directory según sea necesario. En el caso de sistemas con una gran cantidad de usuarios y grupos, es posible que deba aumentar la asignación de memoria de Active Directory hasta los 24 GB.

  15. Haga clic en Siguiente.
  16. Haga clic en Añadir para añadir más usuarios.

    Los valores correspondientes son los siguientes:

    • Usuario único: CN=username,CN=Users,OU=Users,DC=myCorp,DC=com

    • Varios usuarios: OU=Users,OU=myUnit,DC=myCorp,DC=com

    Para excluir a usuarios, haga clic en Añadir para crear un filtro de exclusión de determinados tipos de usuarios. Debe seleccionar el atributo de usuario por el que desea filtrar, la regla de consulta y el valor.

  17. Haga clic en Siguiente.
  18. Revise la página para ver cuántos usuarios y grupos se han sincronizado en el directorio.

    Si desea realizar cambios en los usuarios y grupos, haga clic en los vínculos Editar.

    Nota:

    Asegúrese de especificar los DN de usuario que se encuentren bajo el DN base especificado anteriormente. Si el DN de usuario está fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.

  19. Haga clic en Mover a Workspace para iniciar la sincronización con el directorio.

Resultados

La conexión con Active Directory queda completada y los usuarios y grupos seleccionados se añaden al directorio. Ahora puede asignar el usuario y los grupos a las funciones apropiadas de vRealize Automation seleccionando Administración > Usuarios y grupos > Usuarios y grupos de directorios. Consulte Asignar funciones a usuarios o grupos de directorios para obtener más información.

Qué hacer a continuación

Si su entorno de vRealize Automation está configurado para alta disponibilidad, debe configurar específicamente la administración de directorios para alta disponibilidad. Consulte Configurar Administración de directorios para alta disponibilidad.

  • Configure los métodos de autenticación. Una vez sincronizados los usuarios y grupos con el directorio, si también se utiliza el conector para la autenticación, podrá configurar otros métodos de autenticación en este último. Si el proveedor de identidades de autenticación es un tercero, configúrelo en el conector.

  • Revise la política de acceso predeterminada. La política de acceso predeterminada se configura para permitir que todos los dispositivos de todos los rangos de redes accedan al explorador web, con un tiempo de espera de sesión definido en ocho horas, o bien acceder a una aplicación del cliente con un tiempo de espera de sesión de 2.160 horas (90 días). Puede cambiar la política de acceso predeterminada. Asimismo, cuando añada aplicaciones web al catálogo, podrá crear otras nuevas.

  • Aplique la personalización de marca a la consola de administración, a las páginas del portal de usuario y a la pantalla de inicio de sesión.