La console d'administration permet de spécifier les informations requises pour vous connecter à votre annuaire Active Directory et de sélectionner les utilisateurs et les groupes à synchroniser avec l'annuaire VMware Identity Manager.
Pourquoi et quand exécuter cette tâche
Les options de connexion à Active Directory sont Active Directory via LDAP et Authentification Windows intégrée à Active Directory. La connexion Active Directory via LDAP prend en charge la recherche de l'emplacement du service DNS. Avec l'authentification Windows intégrée à Active Directory, vous devez configurer le domaine à joindre.
Préambules
Sélectionnez les attributs par défaut souhaités et ajoutez des attributs supplémentaires, si nécessaire, sur la page Attributs utilisateur. Voir Sélection des attributs à synchroniser avec l'annuaire.
Important :Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager, vous devez faire de distinguishedName un attribut requis. Vous devez faire cette sélection avant de créer un annuaire car les attributs ne peuvent pas être modifiés en attributs requis si l'annuaire est déjà créé.
Liste des groupes et utilisateurs d'Active Directory à synchroniser depuis Active Directory.
Pour Active Directory via LDAP, les informations requises incluent le nom unique de base, le nom unique de liaison et le mot de passe du nom unique de liaison.
Remarque :Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.
Pour l'authentification Windows intégrée à Active Directory, les informations requises incluent l'adresse et le mot de passe de l'UPN de l'utilisateur Bind du domaine.
Remarque :Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.
Si Active Directory requiert un accès via SSL ou STARTTLS, le certificat d'autorité de certification racine du contrôleur de domaine Active Directory est requis.
Pour l'authentification Windows intégrée à Active Directory, lorsque vous avez configuré un annuaire Active Directory à forêts multiples et que le groupe local du domaine contient des membres de domaines provenant de différentes forêts, assurez-vous que l'utilisateur Bind est ajouté au groupe Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne seront pas présents dans le groupe local du domaine.
Procédure
Résultats
La connexion à Active Directory est établie et les utilisateurs et les groupes sont synchronisés entre Active Directory et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle d'administrateur dans VMware Identity Manager par défaut.
Que faire ensuite
Si vous avez créé un annuaire qui prend en charge l'emplacement du service DNS, un fichier domain_krb.properties a été créé et rempli automatiquement avec une liste de contrôleurs de domaine. Affichez le fichier pour vérifier ou modifier la liste de contrôleurs de domaine. Voir À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties).
Configurez les méthodes d'authentification. Une fois les utilisateurs et groupes synchronisés avec l'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer des méthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identité d'authentification, configurez ce dernier dans le connecteur.
Examinez la stratégie d'accès par défaut. La stratégie d'accès par défaut est configurée de manière à permettre à tous les dispositifs de l'ensemble des plages réseau d'accéder au navigateur Web, avec un délai d'expiration de session défini à 8 heures ou pour accéder à une application cliente ayant un délai d'expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défaut et lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies.
Appliquez des informations de marque à la console d'administration, aux pages du portail utilisateur et à l'écran de connexion.