Dans cette étape de la configuration de la fédération, vous créez un annuaire interne qui stocke les utilisateurs et les groupes que vous synchronisez à partir de votre annuaire Active Directory.

Vous pouvez synchroniser des groupes et des utilisateurs à partir d'un ou de plusieurs domaines Active Directory.
  • Sélectionnez l'option Domaine AD unique lorsque tous les utilisateurs et tous les groupes auxquels vous souhaitez accorder un accès fédéré à VMware Cloud services se trouvent dans un domaine AD unique. Si vous avez plusieurs domaines AD et qu'il n'y a aucune confiance entre ces domaines, utilisez cette option. Une fois la fédération configurée, vous avez la possibilité d'ajouter un nouvel annuaire pour chaque domaine AD supplémentaire.
  • Sélectionnez Plusieurs domaines AD lorsque les utilisateurs et les groupes auxquels vous souhaitez accorder un accès fédéré à VMware Cloud services se trouvent dans différents domaines AD, vous avez configuré un environnement Active Directory à forêts multiples et une confiance est établie entre les différents domaines.

Une fois la fédération d'entreprise activée, les groupes et les utilisateurs que vous synchronisez à cette étape du workflow de fédération s'affichent sur la page Groupes de la Console Cloud Services. Pour ouvrir cette page, accédez à Gestion des identités et des accès > Groupes. Vous pouvez synchroniser des groupes et des utilisateurs supplémentaires pour votre entreprise après l'activation de la configuration de la fédération.

Tous les comptes fédérés doivent être synchronisés pour permettre aux utilisateurs d'accéder à VMware Cloud services avec leurs comptes d'entreprise. Les utilisateurs synchronisés ne sont pas invités à créer des comptes VMware lors de la connexion, sauf s'ils doivent afficher les informations de facturation, créer un ticket de support. Les Administrateurs d'entreprise qui sont également des utilisateurs Propriétaire d'organisation ou sont invités à effectuer la configuration de la fédération avant la fédération du domaine, doivent créer un compte VMware. Les Administrateurs d'entreprise qui sont ajoutés à l'organisation de fédération spéciale après la fédération du domaine n'ont pas besoin de créer un compte VMware.

Conditions préalables

  • Si votre annuaire Active Directory nécessite un accès sur SSL/TLS, vous devez télécharger les certificats intermédiaires du contrôleur de domaine (s'ils sont utilisés) et les certificats d'autorité de certification racine.
  • Pour la synchronisation de groupes et d'utilisateurs, vous devez utiliser n'importe quel service ou compte d'utilisateur qui dispose d'un privilège de lecture sur Active Directory et d'un mot de passe sans expiration pour que le nom unique ou le nom de l'utilisateur de liaison se connecte à Active Directory.
    Attention : Si la stratégie de sécurité de votre entreprise exige que vous utilisiez un compte de service avec un mot de passe avec expiration et que le mot de passe expire avant d'être renouvelé, les groupes et les utilisateurs ne sont pas synchronisés. Si la synchronisation est interrompue, vous devez rétablir la connexion entre votre annuaire Active Directory et le connecteur Workspace ONE Access.

Procédure

  1. Dans la section Synchroniser les groupes et les utilisateurs de la page Configurer la fédération d'entreprise, cliquez sur Démarrer.
    La section Ajouter un annuaire s'affiche.
  2. Dans la zone de texte Nom d'annuaire , entrez un nom pour l'annuaire interne que vous êtes sur le point de créer.
    Vous pouvez indiquer n'importe quel nom pour votre annuaire d'entreprise, il ne doit pas nécessairement correspondre au nom utilisé en interne.
  3. Dans le cadre de cet exemple, conservez les éléments de menu Domaine AD unique et Non par défaut sélectionnés.
  4. Cliquez sur Suivant.
    La section Fournir les informations d'identification de l'utilisateur de liaison du workflow se développe.
  5. Fournissez les informations d'identification de l'administrateur d'utilisateurs de liaison du compte de service qui sera utilisé pour synchroniser le groupe et les utilisateurs à partir de l'annuaire Active Directory d'entreprise.
    Voici un exemple de définition du nom unique d'utilisateur de liaison. Supposons que le nom unique de l'utilisateur de liaison de votre service d'annuaire d'entreprise est [email protected]. Découvrez comment la syntaxe du nom d'utilisateur est définie dans la configuration de la fédération :
    1. Dans la zone de texte Nom unique de l'utilisateur de liaison, entrez "CN=admin,DC=acme,DC=com".
      La zone de texte Nom unique de base est automatiquement remplie pour afficher "DC=acme,DC=com".
    2. Dans la zone de texte Mot de passe de l'utilisateur de liaison, entrez le mot de passe de l'administrateur d'utilisateurs de liaison.
    Note : Le nom unique de l'utilisateur de liaison et les informations d'identification du nom unique de liaison que vous entrez doivent respecter la syntaxe présentée dans les exemples.
  6. Cliquez sur Suivant.
    La section Synchroniser les groupes du workflow se développe.
  7. Entrez le nom unique de groupe pour les groupes que vous souhaitez synchroniser.
    Utilisez une syntaxe semblable à celle que vous avez utilisée à l'étape 5 de cette tâche pour définir des groupes d'utilisateurs spécifiques à partir de votre annuaire d'entreprise, tels que CN=Users,DC=acme,DC=com.
    Note : Les attributs minimaux pour synchroniser les groupes et les utilisateurs sont prénom, nom de famille, e-mail, nom d'utilisateur et domaine. Si votre entreprise utilise le nom principal de l'utilisateur (UPN) pour authentifier les utilisateurs, cet attribut doit également avoir une valeur pour la synchronisation. Les mots de passe utilisateur ne sont jamais synchronisés. Seuls les noms uniques d'utilisateur et de groupe configurés à cette étape sont synchronisés, pas l'intégralité de votre annuaire AD.
  8. Cliquez sur le lien Sélectionner des groupes.
    Une fenêtre contextuelle s'ouvre et affiche tous les résultats de groupe disponibles pour les critères de nom unique de groupe que vous avez entrés. Si la recherche donne plus de 1 000 groupes, vous pouvez revenir à l'étape 7 et affiner vos critères de recherche.
  9. Sélectionnez les groupes que vous souhaitez synchroniser pour la configuration de la fédération, puis cliquez sur Enregistrer.
    La page du workflow de fédération est actualisée et affiche le nombre de groupes ajoutés pour la synchronisation à cette étape. Vous pouvez ajouter d'autres groupes en cliquant sur Ajouter.
  10. Cliquez sur Suivant.
  11. Dans la section Synchroniser les utilisateurs qui se développe, entrez les noms uniques d'utilisateur que vous souhaitez synchroniser.
    Utilisez une syntaxe semblable à celle que vous avez employée à l'étape 7 de cette tâche pour définir des utilisateurs spécifiques à partir de votre annuaire d'entreprise, tels que CN=admin,CN=users,DC=acme,DC=com.
    Tous les groupes et utilisateurs que vous avez ajoutés sont maintenant affichés dans la section Vérifier les groupes et les utilisateurs.
    Pour tester la configuration de la fédération et valider la connexion de l'utilisateur avec votre fournisseur d'identité d'entreprise, assurez-vous d'ajouter et de correctement synchroniser les groupes et les utilisateurs qui vont tester la configuration de la fédération, y compris vous-même.
    Note : L'authentification d'utilisateur échouera pour les utilisateurs qui ne sont pas synchronisés une fois la fédération d'entreprise activée.
  12. Cliquez sur Synchroniser.
    L'état Synchronisation en cours s'affiche et reste affiché jusqu'à ce que vous cliquiez Vérifier l'état de synchronisation.
  13. Pour voir l'état mis à jour de la synchronisation, vous devez cliquer Vérifier l'état de synchronisation.
    Note : La synchronisation échoue si les attributs minimaux requis, tels que le prénom, le nom de famille, l'e-mail, le nom d'utilisateur, le domaine et l'UPN (le cas échéant), sont manquants.
    Lorsque la synchronisation réussit, l'état passe au vert.
    Note : Si vous obtenez une erreur d'exception pour le nom unique d'utilisateur de liaison, vous pouvez l'ignorer. Pour toutes les autres erreurs, vous devez dépanner la configuration.
  14. Cliquez sur Continuer.

Que faire ensuite

Vous êtes maintenant prêt à configurer votre fournisseur d'identité d'entreprise pour la fédération d'entreprise avec VMware Cloud services.