Al importar información de cuentas de usuario que reside en otra máquina, debe definir el criterio utilizado para importar las cuentas de usuario de la máquina de origen.

Dónde añadir o editar fuentes de autenticación

  1. Para añadir fuentes de autenticación, en el menú, haga clic en Administración y, a continuación, en el panel izquierdo, en Acceso > Fuentes de autenticación.
  2. Haga clic en Añadir.
  3. Para editar fuentes de autenticación, haga clic en Editar.
Tabla 1. Fuentes de autenticación: cómo añadir una fuente para la importación de usuarios y grupos
Opción Descripción
Nombre para mostrar de la fuente Nombre que el usuario asigna a la fuente de autenticación.
Tipo de fuente
Nota: La opción seleccionada en el cuadro desplegable Tipo de fuente determina las opciones disponibles en este cuadro de diálogo.
Indica el tipo de tecnología de acceso de servicios de directorio para acceder a la máquina de origen en la que reside la base de datos de cuentas de usuario. Hay dos tipos de bases de datos: LDAP e inicio de sesión único. Las opciones incluyen:
  • SSO SAML: un estándar basado en XML para el inicio de sesión único del navegador web que permite a los usuarios realizar un inicio de sesión único en varias aplicaciones.
  • OpenLDAP: un protocolo independiente de la plataforma que ofrece acceso a una base de datos de LDAP en otra máquina para importar cuentas de usuarios.
  • Otros: especifica otros servicios de directorio basados en LDAP, como Novel u OpenDJ, que se utilizan para importar cuentas de usuarios de una base de datos de LDAP a una máquina Mac con Linux.
  • VMware Identity Manager: una plataforma desde la que puede gestionar usuarios y grupos, recursos y autenticación de usuarios, así como acceder a políticas y autorizar el acceso de los usuarios a los recursos.
Tabla 2. Fuentes de autenticación: añadir una fuente para la importación de usuarios y grupos - Opciones disponibles cuando se selecciona SSO SAML.
Nombre Descripción
Host Nombre o dirección IP de la máquina host en la que reside el servidor de usuarios de inicio de sesión único.
Puerto El puerto de escucha de inicio de sesión único. De forma predeterminada, está establecido en 443.
Nombre de usuario Nombre de la cuenta de usuario que puede iniciar sesión en la máquina host de inicio de sesión único.
Contraseña Contraseña de la cuenta de usuario que puede iniciar sesión en la máquina host de inicio de sesión único.
¿Conceder función de administrador a vRealize Operations Manager para futuras configuraciones? Cuando se crea una fuente de inicio de sesión único, se crea una nueva cuenta de usuario de vRealize Operations Manager en el servidor de inicio de sesión único.
  • Seleccione para conceder una función administrativa a vRealize Operations Manager de forma que pueda utilizarse para configurar la fuente de SSO si se realizan cambios en la configuración de vRealize Operations Manager.
  • Si selecciona No y la configuración de vRealize Operations Manager se cambia, los usuarios de SSO no podrán iniciar sesión hasta que vuelva a registrar la fuente de SSO.
¿Desea redirigir automáticamente a la URL de inicio de sesión único de vRealize Operations? Después de haber configurado una fuente de inicio de sesión único, se redireccionará a los usuarios al servidor de SSO de vCenter.
  • Seleccione para redireccionar a los usuarios al servidor de inicio de sesión único para su autenticación.
  • Si selecciona No, los usuarios deben iniciar sesión a través de la página de inicio de sesión de vRealize Operations Manager.
¿Desea importar los grupos de usuarios de inicio de sesión único tras añadir la fuente actual? Cuando haya configurado una fuente de inicio de sesión único, importe usuarios y grupos de usuarios a vRealize Operations Manager de forma que los usuarios de inicio de sesión único puedan acceder al sistema con sus permisos de inicio de sesión único.
  • Si selecciona , el asistente le dirige a la página Importar grupos de usuarios para que pueda importar grupos de usuarios tan pronto haya terminado de instalar la fuente de SSO.
  • Si desea importar cuentas de usuario o grupos de usuarios en una fase posterior, seleccione No.
Configuración avanzada Si su sistema utiliza un equilibrador de carga, introduzca la dirección IP del equilibrador de carga.
Prueba

Prueba si se puede alcanzar la máquina host con las credenciales proporcionadas.

Tabla 3. Fuentes de autenticación: añadir una fuente para la importación de usuarios y grupos - Opciones disponibles cuando se seleccionan Open LDAP, Active Directory y Otros.
Opción Descripción

Configuración básica de Modo de integración

Aplica la configuración básica para integrar la fuente LDAP importada con la instancia de vRealize Operations Manager.

Utilice el modo de integración básico para que vRealize Operations Manager detecte la máquina host donde reside la base de datos LDAP y establezca el nombre distintivo base (DN base) utilizado para buscar usuarios. Proporcione el nombre del dominio y del subdominio, que vRealize Operations Manager utiliza para rellenar los detalles de Host y de DN base y el nombre y la contraseña del usuario que puede iniciar sesión en la máquina host de LDAP.

En el modo Básico, vRealize Operations Manager intenta buscar el host y el puerto desde el servidor DNS y obtener el catálogo global y los controladores de dominio para el dominio, con preferencia por los servidores con SSL/TLS habilitado.

  • Domain/Subdomain (Dominio/subdominio). Información de dominio de la cuenta de usuario LDAP.
  • Use SSL/TLS (Utilizar SSL/TLS). Cuando se selecciona, vRealize Operations Manager utiliza el protocolo de capa de sockets seguros/seguridad de la capa de transporte (Secure Sockets Layer/Transport Layer Security, SSL/TLS) para proporcionar una comunicación segura cuando importe usuarios de una base de datos LDAP. No necesita instalar el certificado SSL/TLS. En su lugar, vRealize Operations Manager le solicita visualizar y verificar la huella digital y aceptar el certificado del servidor LDAP. Tras aceptar el certificado, la comunicación LDAP continúa.
  • Si Active Directory utiliza un certificado autofirmado, el certificado debe contener el campo Nombre alternativo del firmante. vRealize Operations Manager puede verificar correctamente el certificado de Active Directory e integrarse con Active Directory únicamente si el nombre del host o la dirección IP proporcionados en el campo Nombre alternativo del firmante coinciden con la dirección del controlador de dominio en el que se utiliza el certificado.
  • User Name (Nombre de usuario). Nombre de la cuenta de usuario que puede iniciar sesión en la máquina host LDAP.
  • Reset Password (Restablecer contraseña). Restablezca la contraseña de usuario que puede iniciar sesión en la máquina host LDAP.
  • Automatically synchronize user membership for configured groups (Sincronizar automáticamente la pertenencia de los usuarios a los grupos configurados). Cuando se selecciona, permite a vRealize Operations Manager asignar usuarios LDAP importados a grupos de usuarios.
  • Host. Nombre o dirección IP de la máquina host en la que reside la base de datos de usuarios LDAP.
  • Puerto. Puerto utilizado para la importación. Utilice el puerto 389 si no utiliza SSL/TLS, el puerto 636 si utiliza SSL/TLS u otro número de puerto de su elección. Los puertos del catálogo global son 3268 sin cifrado SSL/TLS y 3269 con cifrado SSL/TLS.
  • Base DN (DN base). Nombre distintivo base para la búsqueda de usuarios. vRealize Operations Manager localiza solo a los usuarios con el DN base. El DN base es una entrada básica del nombre distintivo (distinguished name, DN) de un usuario importado, la cual es la entrada base del nombre de usuario sin necesidad de aportar otra información relacionada como la ruta completa a la cuenta de usuario o de incluir los componente de dominio relacionados. Aunque vRealize Operations Manager rellene el DN base, un administrador debe verificarlo antes de guardar la configuración LDAP.
  • Common Name (Nombre común). Atributo LDAP utilizado para identificar el nombre de usuario. El atributo predeterminado para Active Directory es userPrincipalName.

Configuración avanzada de Modo de integración

Aplica la configuración avanzada para integrar la fuente LDAP importada con la instancia de vRealize Operations Manager.

Utilice el modo de integración avanzado para proporcionar manualmente el nombre de host y el nombre distintivo base (DN base) para que vRealize Operations Manager importe los usuarios. Proporcione el nombre y la contraseña del usuario que puede iniciar sesión en la máquina host de LDAP.

  • Host. Nombre o dirección IP de la máquina host en la que reside la base de datos de usuarios LDAP.
  • Use SSL/TLS (Utilizar SSL/TLS). Cuando se selecciona, vRealize Operations Manager utiliza el protocolo de capa de sockets seguros/seguridad de la capa de transporte (Secure Sockets Layer/Transport Layer Security, SSL/TLS) para proporcionar una comunicación segura cuando importe usuarios de una base de datos LDAP. No necesita instalar el certificado SSL/TLS. En su lugar, vRealize Operations Manager le solicita visualizar y verificar la huella digital y aceptar el certificado del servidor LDAP. Tras aceptar el certificado, la comunicación LDAP continúa.
  • Si Active Directory utiliza un certificado autofirmado, el certificado debe contener el campo Nombre alternativo del firmante. vRealize Operations Manager puede verificar correctamente el certificado de Active Directory e integrarse con Active Directory únicamente si el nombre del host o la dirección IP proporcionados en el campo Nombre alternativo del firmante coinciden con la dirección del controlador de dominio en el que se utiliza el certificado.
  • Base DN (DN base). Nombre distintivo base para la búsqueda de usuarios. vRealize Operations Manager localizará solo a los usuarios con el DN base. El DN base es una entrada básica del nombre distintivo (distinguished name, DN) de un usuario importado, la cual es la entrada base del nombre de usuario sin necesidad de aportar otra información relacionada como la ruta completa a la cuenta de usuario o de incluir los componente de dominio relacionados. Aunque vRealize Operations Manager rellene el DN base, un administrador debe verificarlo antes de guardar la configuración LDAP.
  • User Name (Nombre de usuario). Nombre de la cuenta de usuario que puede iniciar sesión en la máquina host LDAP.
  • Reset Password (Restablecer contraseña). Restablezca la contraseña de usuario que puede iniciar sesión en la máquina host LDAP.
  • Automatically synchronize user membership for configured groups (Sincronizar automáticamente la pertenencia de los usuarios a los grupos configurados). Cuando se selecciona, permite a vRealize Operations Manager asignar usuarios LDAP importados a grupos de usuarios.
  • Common Name (Nombre común). Atributo LDAP utilizado para identificar el nombre de usuario. El atributo predeterminado para Active Directory es userPrincipalName.
  • Puerto. Puerto utilizado para la importación. Utilice el puerto 389 si no utiliza SSL/TLS, el puerto 636 si utiliza SSL/TLS u otro número de puerto de su elección. Los puertos del catálogo global son 3268 sin cifrado SSL/TLS y 3269 con cifrado SSL/TLS.

Criterios de búsqueda

Muestra la configuración de criterios de búsqueda.

Aunque vRealize Operations Manager rellene parte de los criterios de búsqueda, un administrador debe comprobar la configuración para asegurar que es correcta de acuerdo con las propiedades del tipo de LDAP.

  • Group Search Criteria (Criterios de búsqueda de grupos). Criterios de búsqueda para encontrar grupos LDAP. Si no se incluyen, vRealize Operations Manager utiliza los parámetros de búsqueda predeterminados: (|(objectClass=group)(objectClass=groupOfNames))
  • Member Attribute (Atributo de miembro). Nombre del atributo de un objeto de grupo que contiene la lista de miembros. Si no se incluye, vRealize Operations Manager utiliza el miembro predeterminado.
  • User Search Criteria (Criterios de búsqueda de usuarios). Criterios de búsqueda para utilizar el campo de miembro para encontrar y copiar en caché usuarios LDAP. Escriba conjuntos de pares key=value con el formato (|(key1=value1)(key2=value2)). Si no se incluye, vRealize Operations Manager busca cada usuario por separado. Esta operación puede tardar más tiempo.
  • Member Match Field (Campo de coincidencia de miembro). Nombre del atributo de un objeto de usuario para que coincida con la entrada de miembro de un objeto de grupo. Si no se incluye, vRealize Operations Manager trata la entrada de miembro como un nombre distintivo.
  • LDAP Context Attributes (Atributos de contexto LDAP). Atributos que vRealize Operations Manager aplica al entorno de contexto LDAP. Escriba conjuntos de pares key=value separados por comas, como java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse.

Prueba

Prueba si se puede alcanzar la máquina host con las credenciales proporcionadas. Aunque una prueba de conexión sea correcta, los usuarios que utilicen la característica de búsqueda deben contar con permisos de lectura en la fuente LDAP.

Este test no comprueba la precisión de las entradas DN base o Nombre común.

Tabla 4. Fuentes de autenticación: añadir una fuente para la importación de usuarios y grupos - Opciones disponibles cuando se selecciona VMware Identity Manager.
Opción Descripción
Host Nombre o dirección IP de la máquina de VMware Identity Manager en la que reside el servidor de usuarios de Single Sign-On.
Puerto El puerto de escucha de inicio de sesión único. De forma predeterminada, está establecido en 443.
Tenant Este es un campo opcional.
Nombre de usuario Nombre de usuario de administrador de arrendatarios de dominio de sistema de VMware Identity Manager.
Contraseña Contraseña del administrador de tenants de dominio de sistema de VMware Identity Manager.
Redirigir FQDN/IP

Esta es la dirección IP del nodo de vRealize Operations Manager al que se redirige al usuario tras una autenticación satisfactoria en VMware Identity Manager. De forma predeterminada, se trata de la dirección IP del nodo primario de vRealize Operations Manager.

Nota: Cuando la réplica primaria se convierte en el nodo primario de vRealize Operations Manager, el administrador de vRealize Operations Manager debe editar manualmente la dirección IP y establecerla según la dirección IP del nodo primario actual.
Prueba

Prueba si se puede alcanzar la máquina de VMware Identity Manager con las credenciales proporcionadas.