Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser des utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager.

Pour intégrer votre annuaire LDAP, vous créez un annuaire VMware Identity Manager correspondant et synchronisez les utilisateurs et les groupes depuis votre annuaire LDAP vers l'annuaire VMware Identity Manager. Vous pouvez configurer un planning de synchronisation régulier pour les mises à jour suivantes.

De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les mappez aux attributs VMware Identity Manager.

La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou vous pouvez avoir créé des schémas personnalisés. Vous pouvez également avoir défini des attributs personnalisés. Pour que VMware Identity Manager puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre annuaire LDAP.

En particulier, vous devez fournir les informations suivantes.

  • Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind
  • Noms d'attribut LDAP pour l'appartenance au groupe, l'UUID et le nom unique

Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Voir Limites de l'intégration d'annuaire LDAP.

Conditions préalables

  • Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que la capacité à intégrer des répertoires LDAP n'est disponible qu'avec le connecteur version 2016.6.1 et ultérieures.
  • Examinez les attributs sur la page Identité et gestion de l'accès > Configuration > Attributs utilisateur et ajoutez des attributs supplémentaires que vous voulez synchroniser. Vous mappez ces attributs de VMware Identity Manager aux attributs de votre annuaire LDAP ultérieurement lorsque vous créez l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire.
    Note : Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres annuaires dans le service. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service VMware Identity Manager.
  • Un compte d'utilisateur de nom unique de liaison. Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.
  • Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut.
  • Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes.

    Vous mappez cet attribut à l'attribut VMware Identity Managerdomain lorsque vous créez l'annuaire VMware Identity Manager.

  • Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.
  • Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les attributs userPrincipalName et d'adresse électronique.

Procédure

  1. Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.
  2. Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire LDAP.
  3. Entrez les informations requises sur la page Ajouter un annuaire LDAP.
    Option Description
    Nom du répertoire Un nom pour l'annuaire de VMware Identity Manager.
    Synchronisation et authentification du répertoire
    1. Dans le champ Synchroniser le connecteur, sélectionnez le connecteur que vous voulez utiliser pour synchroniser des utilisateurs et des groupes de l'annuaire LDAP avec l'annuaire VMware Identity Manager.

      Un composant de connecteur est toujours disponible avec le service VMware Identity Manager par défaut. Ce connecteur apparaît dans la liste déroulante. Si vous installez plusieurs dispositifs VMware Identity Manager pour la haute disponibilité, le composant de connecteur de chaque dispositif apparaît dans la liste.

      Vous n'avez pas besoin d'un connecteur séparé pour un annuaire LDAP. Un connecteur peut prendre en charge plusieurs annuaires, qu'il s'agisse d'annuaires Active Directory ou LDAP.

      Pour les scénarios dans lesquels vous avez besoin de connecteurs supplémentaires, consultez la section « Installation de dispositifs de connecteur supplémentaires » dans le Guide d'installation de VMware Identity Manager.

    2. Dans le champ Authentification, si vous voulez utiliser cet annuaire LDAP pour authentifier des utilisateurs, sélectionnez Oui.

      Si vous voulez utiliser un fournisseur d'identité tiers pour authentifier des utilisateurs, sélectionnez Non. Après avoir ajouté la connexion d'annuaire pour synchroniser les utilisateurs et les groupes, accédez à la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification.

    3. Dans le champ Attribut de recherche d'annuaire, spécifiez l'attribut d'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'est pas répertorié, sélectionnez Personnalisé et tapez le nom de l'attribut. Par exemple, cn.
    Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôte de serveur, vous pouvez spécifier le nom de domaine complet ou l'adresse IP. Par exemple : myLDAPserver.example.com ou 100.00.00.0.

    Si vous disposez d'un cluster de serveurs derrière un équilibrage de charge, entrez les informations de ce dernier à la place.

    Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP que VMware Identity Manager peut utiliser pour interroger votre annuaire LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP principal.

    Requêtes LDAP

    • Obtenir des groupes : filtre de recherche pour obtenir des objets de groupe.

      Par exemple : (objectClass=group)

    • Obtenir l'utilisateur Bind : filtre de recherche pour obtenir l'objet d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaison à l'annuaire.

      Par exemple : (objectClass=person)

    • Obtenir l'utilisateur : filtre de recherche pour obtenir des utilisateurs à synchroniser.

      Par exemple :(&(objectClass=user)(objectCategory=person))

    Attributs

    • Appartenance : attribut utilisé dans votre annuaire LDAP pour définir les membres d'un groupe.

      Par exemple : membre

    • UUID d'objet : attribut utilisé dans votre annuaire LDAP pour définir l'UUID d'un utilisateur ou d'un groupe.

      Par exemple : entryUUID

    • Nom unique : attribut utilisé dans votre annuaire LDAP pour le nom unique d'un utilisateur ou d'un groupe.

      Par exemple : entryDN

    Certificats Si votre annuaire LDAP requiert un accès sur SSL, sélectionnez Cet annuaire exige que toutes les connexions utilisent SSL, copiez et collez le certificat SSL d'autorité de certification racine du serveur d'annuaire LDAP. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
    Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel vous souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com
    Nom unique Bind : entrez le nom d'utilisateur à utiliser pour établir la liaison à l'annuaire LDAP.
    Note : Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.

    Mot de passe du nom unique de liaison : entrez le mot de passe de l'utilisateur de nom unique de liaison.

  4. Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion.
    Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les modifications nécessaires.
  5. Cliquez sur Enregistrer et Suivant.
  6. Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant.
  7. Sur la page Mapper des attributs, vérifiez que les attributs de VMware Identity Manager sont mappés aux bons attributs LDAP.
    Important : Vous devez spécifier un mappage pour l'attribut domain.

    Vous pouvez ajouter des attributs à la liste sur la page Attributs utilisateur.

  8. Cliquez sur Suivant.
  9. Sur la page Groupes, cliquez sur + pour sélectionner les groupes que vous souhaitez synchroniser entre l'annuaire LDAP et l'annuaire VMware Identity Manager.

    Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez spécifier des noms uniques sur la page des groupes.

    L'option Synchroniser les utilisateurs du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs apparaissent en tant que membres du groupe de niveau supérieur que vous avez sélectionné pour la synchronisation. En effet, la hiérarchie sous un groupe sélectionné est aplatie et les utilisateurs de tous les niveaux apparaissent dans VMware Identity Manager en tant que membres du groupe sélectionné.

    Si cette option est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs.

  10. Cliquez sur Suivant.
  11. Cliquez sur + pour ajouter des utilisateurs supplémentaires. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

    Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.

    Cliquez sur Suivant.

  12. Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire et pour voir le planning de synchronisation par défaut.

    Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation, cliquez sur les liens Modifier.

  13. Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire.

Résultats

La connexion à l'annuaire LDAP est établie et les utilisateurs et les groupes sont synchronisés entre l'annuaire LDAP et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle d'administrateur dans VMware Identity Manager par défaut.