Configuration de la connexion Active Directory au service

La console d'administration permet de spécifier les informations requises pour vous connecter à votre annuaire Active Directory et de sélectionner les utilisateurs et les groupes à synchroniser avec l'annuaire VMware Identity Manager.

Pourquoi et quand exécuter cette tâche

Les options de connexion à Active Directory sont Active Directory via LDAP et Authentification Windows intégrée à Active Directory. La connexion Active Directory via LDAP prend en charge la recherche de l'emplacement du service DNS. Avec l'authentification Windows intégrée à Active Directory, vous devez configurer le domaine à joindre.

Préambules

Sélectionnez les attributs par défaut souhaités et ajoutez des attributs supplémentaires, si nécessaire, sur la page Attributs utilisateur. Voir Sélection des attributs à synchroniser avec l'annuaire.

Important :
Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager, vous devez faire de distinguishedName un attribut requis. Vous devez faire cette sélection avant de créer un annuaire car les attributs ne peuvent pas être modifiés en attributs requis si l'annuaire est déjà créé.
Liste des groupes et utilisateurs d'Active Directory à synchroniser depuis Active Directory.
Pour Active Directory via LDAP, les informations requises incluent le nom unique de base, le nom unique de liaison et le mot de passe du nom unique de liaison.

Remarque :
Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.
Pour l'authentification Windows intégrée à Active Directory, les informations requises incluent l'adresse et le mot de passe de l'UPN de l'utilisateur Bind du domaine.

Remarque :
Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.
Si Active Directory requiert un accès via SSL ou STARTTLS, le certificat d'autorité de certification racine du contrôleur de domaine Active Directory est requis.
Pour l'authentification Windows intégrée à Active Directory, lorsque vous avez configuré un annuaire Active Directory à forêts multiples et que le groupe local du domaine contient des membres de domaines provenant de différentes forêts, assurez-vous que l'utilisateur Bind est ajouté au groupe Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne seront pas présents dans le groupe local du domaine.

Procédure

Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.
Sur la page Répertoires, cliquez sur Ajouter un répertoire.
Entrez un nom pour cet annuaire VMware Identity Manager.

Sélectionnez le type d'annuaire Active Directory dans votre environnement et configurez les informations de connexion.

Option	Description
Active Directory via LDAP	Dans le champ Connecteur de synchronisation, sélectionnez le connecteur à utiliser pour la synchronisation avec Active Directory. Dans le champ Authentification, si cet annuaire Active Directory est utilisé pour authentifier des utilisateurs, cliquez sur Oui. Si un fournisseur d'identité tiers est utilisé pour authentifier les utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification. Dans le champ Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur. Si l'annuaire Active Directory utilise la recherche de l'emplacement du service DNS, faites les sélections suivantes. Dans la section Emplacement du serveur, cochez la case Ce répertoire prend en charge l'emplacement du service DNS. Un fichier domain_krb.properties, rempli automatiquement avec une liste de contrôleurs de domaine, sera créé lors de la création de l'annuaire. Voir À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties). Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Remarque : Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. Si l'annuaire Active Directory n'utilise pas la recherche de l'emplacement du service DNS, faites les sélections suivantes. Dans la section Emplacement du serveur, vérifiez que la case Cet annuaire prend en charge l'emplacement du service DNS n'est pas cochée et entrez le nom d'hôte et le numéro de port du serveur Active Directory. Pour configurer l'annuaire comme catalogue global, reportez-vous à la section Environnement Active Directory à forêt unique et domaines multiples au chapitre Environnements Active Directory. Si l'annuaire Active Directory requiert un accès via SSL, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Remarque : Si l'annuaire Active Directory requiert SSL et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. Dans le champ ND de base, entrez le ND à partir duquel vous souhaitez lancer les recherches de comptes. Par exemple : OU=myUnit,DC=myCorp,DC=com. Dans le champ ND Bind, entrez le compte pouvant rechercher des utilisateurs. Par exemple : CN=binduser,OU=myUnit,DC=myCorp,DC=com. Remarque : Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. Après avoir entré le mot de passe Bind, cliquez sur Tester la connexion pour vérifier que l'annuaire peut se connecter à votre annuaire Active Directory.
Active Directory (authentification Windows intégrée)	Dans le champ Connecteur de synchronisation, sélectionnez le connecteur à utiliser pour la synchronisation avec Active Directory. Dans le champ Authentification, si cet annuaire Active Directory est utilisé pour authentifier des utilisateurs, cliquez sur Oui. Si un fournisseur d'identité tiers est utilisé pour authentifier les utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification. Dans le champ Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur. Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire a besoin de toutes les connexions pour pouvoir utiliser STARTTLS dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Si l'annuaire dispose de plusieurs domaines, ajoutez les certificats d'autorité de certification racine pour tous les domaines, un par un. Remarque : Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. Entrez le nom du domaine Active Directory à joindre. Entrez un nom d'utilisateur et un mot de passe disposant des droits pour joindre le domaine. Voir Autorisations requises pour joindre un domaine pour obtenir plus d'informations. Dans le champ UPN de l'utilisateur Bind, entrez le nom principal de l'utilisateur pouvant s'authentifier dans le domaine. Par exemple, [email protected]. Remarque : Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. Entrez le mot de passe de l'utilisateur Bind.

Option

Description

Active Directory via LDAP

Dans le champ Connecteur de synchronisation, sélectionnez le connecteur à utiliser pour la synchronisation avec Active Directory.
Dans le champ Authentification, si cet annuaire Active Directory est utilisé pour authentifier des utilisateurs, cliquez sur Oui.
Si un fournisseur d'identité tiers est utilisé pour authentifier les utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification.
Dans le champ Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur.
Si l'annuaire Active Directory utilise la recherche de l'emplacement du service DNS, faites les sélections suivantes.
- Dans la section Emplacement du serveur, cochez la case Ce répertoire prend en charge l'emplacement du service DNS.
  Un fichier domain_krb.properties, rempli automatiquement avec une liste de contrôleurs de domaine, sera créé lors de la création de l'annuaire. Voir À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties).
- Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL.
  Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
  
  Remarque :
  Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire.
Si l'annuaire Active Directory n'utilise pas la recherche de l'emplacement du service DNS, faites les sélections suivantes.
- Dans la section Emplacement du serveur, vérifiez que la case Cet annuaire prend en charge l'emplacement du service DNS n'est pas cochée et entrez le nom d'hôte et le numéro de port du serveur Active Directory.
  Pour configurer l'annuaire comme catalogue global, reportez-vous à la section Environnement Active Directory à forêt unique et domaines multiples au chapitre Environnements Active Directory.
- Si l'annuaire Active Directory requiert un accès via SSL, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL.
  Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
  
  Remarque :
  Si l'annuaire Active Directory requiert SSL et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire.
Dans le champ ND de base, entrez le ND à partir duquel vous souhaitez lancer les recherches de comptes. Par exemple : OU=myUnit,DC=myCorp,DC=com.
Dans le champ ND Bind, entrez le compte pouvant rechercher des utilisateurs. Par exemple : CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Remarque :
Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.
Après avoir entré le mot de passe Bind, cliquez sur Tester la connexion pour vérifier que l'annuaire peut se connecter à votre annuaire Active Directory.

Active Directory (authentification Windows intégrée)

Dans le champ Connecteur de synchronisation, sélectionnez le connecteur à utiliser pour la synchronisation avec Active Directory.
Dans le champ Authentification, si cet annuaire Active Directory est utilisé pour authentifier des utilisateurs, cliquez sur Oui.
Si un fournisseur d'identité tiers est utilisé pour authentifier les utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification.
Dans le champ Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur.
Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire a besoin de toutes les connexions pour pouvoir utiliser STARTTLS dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL.
Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
Si l'annuaire dispose de plusieurs domaines, ajoutez les certificats d'autorité de certification racine pour tous les domaines, un par un.

Remarque :
Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire.
Entrez le nom du domaine Active Directory à joindre. Entrez un nom d'utilisateur et un mot de passe disposant des droits pour joindre le domaine. Voir Autorisations requises pour joindre un domaine pour obtenir plus d'informations.
Dans le champ UPN de l'utilisateur Bind, entrez le nom principal de l'utilisateur pouvant s'authentifier dans le domaine. Par exemple, [email protected].

Remarque :
Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.
Entrez le mot de passe de l'utilisateur Bind.

Cliquez sur Enregistrer et Suivant.

La page contenant la liste de domaines apparaît.
Pour Active Directory via LDAP, les domaines sont signalés par une coche.

Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent être associés à cette connexion Active Directory.

Remarque :
Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne le détecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connecteur doit quitter, puis rejoindre le domaine. Lorsque le connecteur rejoint le domaine, le domaine d'approbation apparaît dans la liste.

Cliquez sur Suivant.
Vérifiez que les noms d'attribut de l'annuaire VMware Identity Manager sont mappés aux attributs Active Directory corrects et apportez des modifications, si nécessaire, puis cliquez sur Suivant.

Sélectionnez les groupes que vous souhaitez synchroniser entre Active Directory et l'annuaire VMware Identity Manager.

Option	Description
Indiquer les ND du groupe	Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et sélectionnez les groupes situés en dessous. Cliquez sur + et spécifiez le ND du groupe. Par exemple, CN=users,DC=example,DC=company,DC=com. Important : Spécifiez des ND du groupe qui se trouvent sous le nom unique de base que vous avez entré. Si un ND du groupe se trouve en dehors du nom unique de base, les utilisateurs de ce ND seront synchronisés, mais ne pourront pas se connecter. Cliquez sur Rechercher des groupes. La colonne Groupes à synchroniser répertorie le nombre de groupes trouvés dans le ND. Pour sélectionner tous les groupes dans le ND, cliquez sur Sélectionner tout, sinon cliquez sur Sélectionner et sélectionnez les groupes spécifiques à synchroniser. Remarque : Lorsque vous synchronisez un groupe, les utilisateurs ne disposant pas d'Utilisateurs de domaine comme groupe principal dans Active Directory ne sont pas synchronisés.
Synchroniser les membres du groupe imbriqué	L'option Synchroniser les membres du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs seront des membres du groupe parent que vous avez sélectionné pour la synchronisation. Si l'option Synchroniser les membres du groupe imbriqué est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations Active Directory importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs.

Option

Description

Indiquer les ND du groupe

Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et sélectionnez les groupes situés en dessous.

Cliquez sur + et spécifiez le ND du groupe. Par exemple, CN=users,DC=example,DC=company,DC=com.

Important :
Spécifiez des ND du groupe qui se trouvent sous le nom unique de base que vous avez entré. Si un ND du groupe se trouve en dehors du nom unique de base, les utilisateurs de ce ND seront synchronisés, mais ne pourront pas se connecter.
Cliquez sur Rechercher des groupes.
La colonne Groupes à synchroniser répertorie le nombre de groupes trouvés dans le ND.
Pour sélectionner tous les groupes dans le ND, cliquez sur Sélectionner tout, sinon cliquez sur Sélectionner et sélectionnez les groupes spécifiques à synchroniser.

Remarque :

Lorsque vous synchronisez un groupe, les utilisateurs ne disposant pas d'Utilisateurs de domaine comme groupe principal dans Active Directory ne sont pas synchronisés.

Synchroniser les membres du groupe imbriqué

L'option Synchroniser les membres du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs seront des membres du groupe parent que vous avez sélectionné pour la synchronisation.

Si l'option Synchroniser les membres du groupe imbriqué est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations Active Directory importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs.

Cliquez sur Suivant.
Spécifiez des utilisateurs supplémentaires à synchroniser, si nécessaire.
1. Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
  
  Important :
  Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vous avez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ce ND seront synchronisés, mais ne pourront pas se connecter.
2. (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs.
  
  Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.
Cliquez sur Suivant.
Examinez la page pour voir combien d'utilisateurs et de groupes se synchronisent avec l'annuaire et pour voir le planning de synchronisation.

Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation, cliquez sur les liens Modifier.
Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation avec l'annuaire.

Résultats

La connexion à Active Directory est établie et les utilisateurs et les groupes sont synchronisés entre Active Directory et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle d'administrateur dans VMware Identity Manager par défaut.

Que faire ensuite

Si vous avez créé un annuaire qui prend en charge l'emplacement du service DNS, un fichier domain_krb.properties a été créé et rempli automatiquement avec une liste de contrôleurs de domaine. Affichez le fichier pour vérifier ou modifier la liste de contrôleurs de domaine. Voir À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties).
Configurez les méthodes d'authentification. Une fois les utilisateurs et groupes synchronisés avec l'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer des méthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identité d'authentification, configurez ce dernier dans le connecteur.
Examinez la stratégie d'accès par défaut. La stratégie d'accès par défaut est configurée de manière à permettre à tous les dispositifs de l'ensemble des plages réseau d'accéder au navigateur Web, avec un délai d'expiration de session défini à 8 heures ou pour accéder à une application cliente ayant un délai d'expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défaut et lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies.
Appliquez des informations de marque à la console d'administration, aux pages du portail utilisateur et à l'écran de connexion.