Une fois le fichier OVA VMware Identity Manager déployé, vous utilisez l'Assistant de configuration pour définir des mots de passe et sélectionner une base de données. Ensuite, vous configurez la connexion à votre annuaire Active Directory ou LDAP.
Conditions préalables
- Le dispositif virtuel VMware Identity Manager est mis sous tension.
- Si vous utilisez une base de données externe, elle est configurée et ses informations de connexion sont disponibles. Voir Connexion à la base de données pour plus d'informations.
- Examinez Intégration à votre annuaire d'entreprise, Intégration à Active Directory et Intégrer un annuaire LDAP au service pour voir les exigences et les limites.
- Vous disposez de vos informations sur l'annuaire Active Directory ou LDAP.
- Lorsqu'une instance d'Active Directory à forêts multiples est configurée et que le groupe local du domaine contient des membres de domaines situés dans différentes forêts, l'utilisateur Bind DN utilisé sur la page VMware Identity Manager Directory doit être ajouté au groupe d'administrateurs du domaine dans lequel réside le groupe local du domaine. Sinon, ces membres ne seront pas présents dans le groupe local du domaine.
- Vous disposez d'une liste des attributs utilisateur à utiliser comme filtres et d'une liste des groupes à ajouter à VMware Identity Manager.
Procédure
- Accédez à l'URL de VMware Identity Manager qui est affichée sur l'écran bleu dans l'onglet Console. Par exemple,
https://hostname.example.com
. - Acceptez le certificat, si vous y êtes invité.
- Sur la page Mise en route, cliquez sur Continuer.
- Sur la page Définir les mots de passe, définissez des mots de passe pour les comptes d'administrateur suivants, qui sont utilisés pour gérer le dispositif, puis cliquez sur Continuer.
Compte Administrateur du dispositif Définissez le mot de passe pour l'utilisateur admin. Ce nom d'utilisateur ne peut pas être modifié. Le compte d'utilisateur Admin est utilisé pour gérer les paramètres du dispositif. Important : Le mot de passe de l'utilisateur Admin doit contenir au moins 6 caractères.Racine du dispositif Définissez le mot de passe de l'utilisateur root. L'utilisateur root dispose de droits complets sur le dispositif. Utilisateur distant Définissez le mot de passe sshuser, qui est utilisé pour se connecter à distance au dispositif avec une connexion SSH. - Sur la page Sélectionner une base de données, sélectionnez la base de données à utiliser.
Voir Connexion à la base de données pour obtenir plus d'informations.
- Si vous utilisez une base de données externe, sélectionnez Base de données externe et entrez les informations de connexion de la base de données externe, le nom d'utilisateur et le mot de passe. Pour vérifier que VMware Identity Manager peut se connecter à la base de données, cliquez sur Tester la connexion.
Après avoir vérifié la connexion, cliquez sur Continuer.
- Si vous utilisez la base de données interne, cliquez sur Continuer.
Note : Il n'est pas recommandé d'utiliser la base de données interne avec des déploiements de production.
La connexion à la base de données est configurée et la base de données est initialisée. Lorsque le processus est terminé, la page La configuration est terminée s'affiche. - Si vous utilisez une base de données externe, sélectionnez Base de données externe et entrez les informations de connexion de la base de données externe, le nom d'utilisateur et le mot de passe. Pour vérifier que VMware Identity Manager peut se connecter à la base de données, cliquez sur Tester la connexion.
- Cliquez sur le lien Connectez-vous à la console d'administration sur la page La configuration est terminée pour vous connecter à la console d'administration afin de configurer la connexion de l'annuaire Active Directory ou LDAP.
- Connectez-vous à la console d'administration en tant qu'utilisateur admin, à l'aide du mot de passe que vous avez défini.
Vous êtes connecté en tant qu'administrateur local. La page Annuaires s'affiche. Avant d'ajouter un annuaire, veillez à examiner Intégration à votre annuaire d'entreprise, Intégration à Active Directory et Intégrer un annuaire LDAP au service pour voir les exigences et les limites.
- Cliquez sur l'onglet Identité et gestion de l'accès.
- Cliquez sur Configuration > Attributs utilisateur pour sélectionner les attributs utilisateur à synchroniser avec l'annuaire.
Les attributs par défaut sont répertoriés et vous pouvez sélectionner ceux qui sont obligatoires. Si un attribut est marqué comme requis, seuls les utilisateurs avec cet attribut sont synchronisés avec le service. Vous pouvez également ajouter d'autres attributs.Important : Une fois l'annuaire créé, il n'est pas possible de modifier un attribut pour le faire passer à l'état obligatoire. Vous devez faire cette sélection maintenant.
De plus, sachez que les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Lorsque vous marquez un attribut comme requis, tenez compte de l'effet sur les autres annuaires. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service.
Important : Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager, vous devez faire de distinguishedName un attribut obligatoire. - Cliquez sur Enregistrer.
- Cliquez sur l'onglet Identité et gestion de l'accès.
- Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire Active Directory sur LDAP/IWA ou Ajouter un annuaire LDAP, en fonction du type d'annuaire que vous intégrez.
Vous pouvez également créer un répertoire local dans le service. Pour plus d'informations sur l'utilisation des répertoires locaux, reportez-vous à la section Utilisation de répertoires locaux.
- Pour Active Directory, suivez ces étapes.
- Entrez un nom pour l'annuaire que vous créez dans VMware Identity Manager et sélectionnez le type d'annuaire, Active Directory sur LDAP ou Active Directory (authentification Windows intégrée).
- Fournissez les informations de connexion.
Option Description Active Directory via LDAP - Dans le champ Synchroniser le connecteur, sélectionnez le connecteur que vous voulez utiliser pour synchroniser des utilisateurs et des groupes d'Active Directory avec l'annuaire VMware Identity Manager.
Un composant de connecteur est toujours disponible avec le service VMware Identity Manager par défaut. Ce connecteur apparaît dans la liste déroulante. Si vous installez plusieurs dispositifs VMware Identity Manager pour la haute disponibilité, le composant de connecteur de chaque dispositif apparaît dans la liste.
- Dans le champ Authentification, sélectionnez Oui si vous voulez utiliser cet annuaire Active Directory pour authentifier des utilisateurs.
Si vous voulez utiliser un fournisseur d'identité tiers pour authentifier des utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification.
- Dans le champ Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur.
- Si l'annuaire Active Directory utilise la recherche de l'emplacement du service DNS, faites les sélections suivantes.
- Dans la section Emplacement du serveur, cochez la case Ce répertoire prend en charge l'emplacement du service DNS.
Un fichier domain_krb.properties, rempli automatiquement avec une liste de contrôleurs de domaine, sera créé lors de la création de l'annuaire. Voir À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties).
- Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL.
Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
Note : Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire.
- Dans la section Emplacement du serveur, cochez la case Ce répertoire prend en charge l'emplacement du service DNS.
- Si l'annuaire Active Directory n'utilise pas la recherche de l'emplacement du service DNS, faites les sélections suivantes.
- Dans la section Emplacement du serveur, vérifiez que la case Cet annuaire prend en charge l'emplacement du service DNS n'est pas cochée et entrez le nom d'hôte et le numéro de port du serveur Active Directory.
Pour configurer l'annuaire comme catalogue global, reportez-vous à la section Environnement Active Directory à forêt unique et domaines multiples au chapitre Environnements Active Directory.
- Si l'annuaire Active Directory requiert un accès via SSL, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL.
Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
Note : Si l'annuaire Active Directory requiert SSL et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire.
- Dans la section Emplacement du serveur, vérifiez que la case Cet annuaire prend en charge l'emplacement du service DNS n'est pas cochée et entrez le nom d'hôte et le numéro de port du serveur Active Directory.
- Dans la section Autoriser la modification du mot de passe, sélectionnez Activer la modification du mot de passe si vous voulez autoriser les utilisateurs à réinitialiser leurs mots de passe sur la page de connexion de VMware Identity Manager si le mot de passe expire ou si l'administrateur Active Directory réinitialise le mot de passe de l'utilisateur.
- Dans le champ ND de base, entrez le ND à partir duquel vous souhaitez lancer les recherches de comptes. Par exemple : OU=myUnit,DC=myCorp,DC=com.
- Dans le champ ND Bind, entrez le compte pouvant rechercher des utilisateurs. Par exemple : CN=binduser,OU=myUnit,DC=myCorp,DC=com.
Note : Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.
- Après avoir entré le mot de passe Bind, cliquez sur Tester la connexion pour vérifier que l'annuaire peut se connecter à votre annuaire Active Directory.
Active Directory (authentification Windows intégrée) - Dans le champ Synchroniser le connecteur, sélectionnez le connecteur que vous voulez utiliser pour synchroniser des utilisateurs et des groupes d'Active Directory avec l'annuaire VMware Identity Manager.
Un composant de connecteur est toujours disponible avec le service VMware Identity Manager par défaut. Ce connecteur apparaît dans la liste déroulante. Si vous installez plusieurs dispositifs VMware Identity Manager pour la haute disponibilité, le composant de connecteur de chaque dispositif apparaît dans la liste.
- Dans le champ Authentification, si vous voulez utiliser cet annuaire Active Directory pour authentifier des utilisateurs, cliquez sur Oui.
Si vous voulez utiliser un fournisseur d'identité tiers pour authentifier des utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification.
- Dans le champ Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur.
- Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire a besoin de toutes les connexions pour pouvoir utiliser STARTTLS dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL.
Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
Si l'annuaire dispose de plusieurs domaines, ajoutez les certificats d'autorité de certification racine pour tous les domaines, un par un.
Note : Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. - Entrez le nom du domaine Active Directory à joindre. Entrez un nom d'utilisateur et un mot de passe disposant des droits pour joindre le domaine. Voir Autorisations requises pour joindre un domaine pour obtenir plus d'informations.
- Dans la section Autoriser la modification du mot de passe, sélectionnez Activer la modification du mot de passe si vous voulez autoriser les utilisateurs à réinitialiser leurs mots de passe sur la page de connexion de VMware Identity Manager si le mot de passe expire ou si l'administrateur Active Directory réinitialise le mot de passe de l'utilisateur.
- Dans le champ UPN de l'utilisateur Bind, entrez le nom principal de l'utilisateur pouvant s'authentifier dans le domaine. Par exemple, [email protected].
Note : Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.
- Entrez le mot de passe de l'utilisateur ND Bind.
- Dans le champ Synchroniser le connecteur, sélectionnez le connecteur que vous voulez utiliser pour synchroniser des utilisateurs et des groupes d'Active Directory avec l'annuaire VMware Identity Manager.
- Cliquez sur Enregistrer et Suivant.
La page contenant la liste de domaines apparaît.
- Pour les annuaires LDAP, suivez ces étapes.
- Fournissez les informations de connexion.
Option Description Nom du répertoire Nom de l'annuaire que vous créez dans VMware Identity Manager. Synchronisation et authentification du répertoire - Dans le champ Synchroniser le connecteur, sélectionnez le connecteur que vous voulez utiliser pour synchroniser des utilisateurs et des groupes de l'annuaire LDAP avec l'annuaire VMware Identity Manager.
Un composant de connecteur est toujours disponible avec le service VMware Identity Manager par défaut. Ce connecteur apparaît dans la liste déroulante. Si vous installez plusieurs dispositifs VMware Identity Manager pour la haute disponibilité, le composant de connecteur de chaque dispositif apparaît dans la liste.
Vous n'avez pas besoin d'un connecteur séparé pour un annuaire LDAP. Un connecteur peut prendre en charge plusieurs annuaires, qu'il s'agisse d'annuaires Active Directory ou LDAP.
- Dans le champ Authentification, sélectionnez Oui si vous voulez utiliser cet annuaire LDAP pour authentifier des utilisateurs.
Si vous voulez utiliser un fournisseur d'identité tiers pour authentifier des utilisateurs, sélectionnez Non. Après avoir ajouté la connexion d'annuaire pour synchroniser les utilisateurs et les groupes, accédez à la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification.
- Dans le champ Attribut de recherche d'annuaire, spécifiez l'attribut d'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'est pas répertorié, sélectionnez Personnalisé et tapez le nom de l'attribut. Par exemple, cn.
Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôte de serveur, vous pouvez spécifier le nom de domaine complet ou l'adresse IP. Par exemple : myLDAPserver.example.com ou 100.00.00.0. Si vous disposez d'un cluster de serveurs derrière un équilibrage de charge, entrez les informations de ce dernier à la place.
Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP que VMware Identity Manager peut utiliser pour interroger votre annuaire LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP principal. Requêtes LDAP
- Obtenir des groupes : filtre de recherche pour obtenir des objets de groupe.
Par exemple : (objectClass=group)
- Obtenir l'utilisateur Bind : filtre de recherche pour obtenir l'objet d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaison à l'annuaire.
Par exemple : (objectClass=person)
- Obtenir l'utilisateur : filtre de recherche pour obtenir des utilisateurs à synchroniser.
Par exemple :(&(objectClass=user)(objectCategory=person))
Attributs
- Appartenance : attribut utilisé dans votre annuaire LDAP pour définir les membres d'un groupe.
Par exemple : membre
- UUID d'objet : attribut utilisé dans votre annuaire LDAP pour définir l'UUID d'un utilisateur ou d'un groupe.
Par exemple : entryUUID
- Nom unique : attribut utilisé dans votre annuaire LDAP pour le nom unique d'un utilisateur ou d'un groupe.
Par exemple : entryDN
Certificats Si votre annuaire LDAP requiert un accès sur SSL, sélectionnez Cet annuaire exige que toutes les connexions utilisent SSL, copiez et collez le certificat SSL d'autorité de certification racine du serveur d'annuaire LDAP. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel vous souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com Nom unique Bind : entrez le nom d'utilisateur à utiliser pour établir la liaison à l'annuaire LDAP.Note : Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.Mot de passe du nom unique de liaison : entrez le mot de passe de l'utilisateur de nom unique de liaison.
- Dans le champ Synchroniser le connecteur, sélectionnez le connecteur que vous voulez utiliser pour synchroniser des utilisateurs et des groupes de l'annuaire LDAP avec l'annuaire VMware Identity Manager.
- Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion.
Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les modifications nécessaires.
- Cliquez sur Enregistrer et Suivant.
La page répertoriant le domaine s'affiche.
- Fournissez les informations de connexion.
- Pour un annuaire LDAP, le domaine est répertorié et ne peut pas être modifié.
Pour Active Directory sur LDAP, les domaines sont répertoriés et ne peuvent pas être modifiés.
Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent être associés à cette connexion Active Directory.
Note : Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne le détecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connecteur doit quitter, puis rejoindre le domaine. Lorsque le connecteur rejoint le domaine, le domaine d'approbation apparaît dans la liste.Cliquez sur Suivant.
- Vérifiez que les noms d'attribut de VMware Identity Manager sont mappés sur les bons attributs d'Active Directory ou LDAP et apportez des modifications, si nécessaire.
Important : Si vous intégrez un annuaire LDAP, vous devez spécifier un mappage pour l'attribut domain.
- Cliquez sur Suivant.
- Sélectionnez les groupes que vous souhaitez synchroniser entre l'annuaire Active Directory ou LDAP et l'annuaire VMware Identity Manager.
Option Description Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et sélectionnez les groupes situés en dessous. - Cliquez sur + et spécifiez le ND du groupe. Par exemple, CN=users,DC=example,DC=company,DC=com.
Important : Spécifiez des ND du groupe qui se trouvent sous le nom unique de base que vous avez entré. Si un ND du groupe se trouve en dehors du nom unique de base, les utilisateurs de ce ND seront synchronisés, mais ne pourront pas se connecter.
- Cliquez sur Rechercher des groupes.
La colonne Groupes à synchroniser répertorie le nombre de groupes trouvés dans le ND.
- Pour sélectionner tous les groupes dans le ND, cliquez sur Sélectionner tout, sinon cliquez sur Sélectionner et sélectionnez les groupes spécifiques à synchroniser.
Note : Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez spécifier des noms uniques dans VMware Identity Manager. Vous pouvez modifier le nom lors de la sélection du groupe.
Note : Lorsque vous synchronisez un groupe, les utilisateurs ne disposant pas d'Utilisateurs de domaine comme groupe principal dans Active Directory ne sont pas synchronisés.Synchroniser les membres du groupe imbriqué L'option Synchroniser les membres du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs seront des membres du groupe parent que vous avez sélectionné pour la synchronisation.
Si l'option Synchroniser les membres du groupe imbriqué est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations Active Directory importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs.
- Cliquez sur + et spécifiez le ND du groupe. Par exemple, CN=users,DC=example,DC=company,DC=com.
- Cliquez sur Suivant.
- Spécifiez des utilisateurs supplémentaires à synchroniser, si nécessaire.
- Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
Important : Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vous avez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ce ND seront synchronisés, mais ne pourront pas se connecter.
- (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs.
Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.
- Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
- Cliquez sur Suivant.
- Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire et pour voir le planning de synchronisation.
Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation, cliquez sur les liens Modifier.
- Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire.
Résultats
Que faire ensuite
Pour plus d'informations sur la configuration d'un équilibrage de charge ou de la haute disponibilité, reportez-vous au Configuration avancée du dispositif VMware Identity Manager.
Vous pouvez personnaliser le catalogue de ressources des applications de votre organisation et activer l'accès utilisateur à ces ressources. Vous pouvez également configurer d'autres ressources, y compris les applications View, ThinApp et Citrix. Consultez le document Configuration des ressources dans VMware Identity Manager.