Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser des utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager.

Pour intégrer votre annuaire LDAP, créez un annuaire VMware Identity Manager correspondant et synchronisez les utilisateurs et les groupes depuis l'annuaire LDAP vers l'annuaire VMware Identity Manager. Vous pouvez configurer un planning de synchronisation régulier pour les mises à jour suivantes.

De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les mappez aux attributs VMware Identity Manager.

La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou des schémas personnalisés. Elle peut également avoir des attributs personnalisés. Pour que VMware Identity Manager puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre annuaire LDAP.

En particulier, vous devez fournir les informations suivantes.

  • Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind
  • Noms d'attribut LDAP pour l'appartenance au groupe, l'UUID et le nom unique

Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Voir Limites de l'intégration d'annuaire LDAP.

Conditions préalables

  • Examinez les attributs sur la page Identité et gestion de l'accès > Configuration > Attributs utilisateur et ajoutez des attributs supplémentaires que vous voulez synchroniser. Vous mappez les attributs de VMware Identity Manager aux attributs de votre annuaire LDAP lorsque vous créez l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire.
    Note : Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres annuaires dans le service. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service VMware Identity Manager.
  • Un compte d'utilisateur de nom unique de liaison. Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.
  • Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut.
  • Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes.

    Vous mappez cet attribut à l'attribut VMware Identity Managerdomain lorsque vous créez l'annuaire VMware Identity Manager.

  • Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.
  • Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les attributs userPrincipalName et d'adresse électronique.

Procédure

  1. Dans la console VMware Identity Manager, cliquez sur l'onglet Identité et gestion de l'accès.
  2. Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire LDAP.
  3. Entrez les informations requises sur la page Ajouter un annuaire LDAP.
    Option Description
    Nom du répertoire Un nom pour l'annuaire de VMware Identity Manager.
    Synchronisation et authentification du répertoire
    1. Dans la zone de texte Synchroniser le connecteur, sélectionnez le connecteur que vous voulez utiliser pour synchroniser des utilisateurs et des groupes à partir de votre annuaire LDAP avec l'annuaire VMware Identity Manager.

      Dans un déploiement sur site, un composant de connecteur est toujours disponible avec le service VMware Identity Manager par défaut. Ce connecteur apparaît dans la liste déroulante. Si vous installez plusieurs instances de VMware Identity Manager pour la haute disponibilité, le composant de connecteur de chaque dispositif s’affiche dans la liste. Des connecteurs supplémentaires externes sont également répertoriés.

      Vous n'avez pas besoin d'utiliser un connecteur séparé pour un annuaire LDAP. Un connecteur peut prendre en charge plusieurs annuaires, qu'il s'agisse d'annuaires Active Directory ou LDAP. Pour les scénarios dans lesquels vous avez besoin de connecteurs supplémentaires, consultez Installation et configuration de VMware Identity Manager.

    2. Dans la zone de texte Authentification, si vous voulez utiliser cet annuaire LDAP pour authentifier des utilisateurs, sélectionnez Oui.

      Si vous voulez utiliser un fournisseur d'identité tiers pour authentifier des utilisateurs, sélectionnez Non. Après avoir ajouté la connexion d'annuaire pour synchroniser les utilisateurs et les groupes, accédez à la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification.

    3. Dans la zone de texte Attribut de recherche d'annuaire, spécifiez l'attribut d'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'est pas répertorié, sélectionnez Personnalisé et tapez le nom de l'attribut. Par exemple, cn.
    Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôte de serveur, vous pouvez spécifier le nom de domaine complet ou l'adresse IP. Par exemple : myLDAPserver.example.com ou 100.00.00.0.

    Si vous disposez d'un cluster de serveurs derrière un équilibrage de charge, entrez les informations de ce dernier à la place.

    Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP que VMware Identity Manager peut utiliser pour interroger votre annuaire LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP principal.

    Requêtes LDAP

    • Obtenir des groupes : filtre de recherche pour obtenir des objets de groupe.

      Par exemple : (objectClass=group)

    • Obtenir l'utilisateur Bind : filtre de recherche pour obtenir l'objet d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaison à l'annuaire.

      Par exemple : (objectClass=person)

    • Obtenir l'utilisateur : filtre de recherche pour obtenir des utilisateurs à synchroniser.

      Par exemple :(&(objectClass=user)(objectCategory=person))

    Attributs

    • Appartenance : attribut utilisé dans votre annuaire LDAP pour définir les membres d'un groupe.

      Par exemple : membre

    • UUID d'objet : attribut utilisé dans votre annuaire LDAP pour définir l'UUID d'un utilisateur ou d'un groupe.

      Par exemple : entryUUID

    • Nom unique : attribut utilisé dans votre annuaire LDAP pour le nom unique d'un utilisateur ou d'un groupe.

      Par exemple : entryDN

    Certificats Si votre annuaire LDAP requiert un accès sur SSL, sélectionnez Cet annuaire exige que toutes les connexions utilisent SSL, copiez et collez le certificat SSL d'autorité de certification racine du serveur d'annuaire LDAP. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
    Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel vous souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com
    Nom unique Bind : entrez le nom d'utilisateur à utiliser pour établir la liaison à l'annuaire LDAP.
    Note : Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration.

    Mot de passe du nom unique de liaison : entrez le mot de passe de l'utilisateur de nom unique de liaison.

  4. Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion.
    Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les modifications nécessaires.
  5. Cliquez sur Enregistrer et Suivant.
  6. Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant.
  7. Sur la page Mapper des attributs, vérifiez que les attributs de VMware Identity Manager sont mappés aux bons attributs LDAP.

    Ces attributs sont synchronisés pour les utilisateurs.

    Important : Vous devez spécifier un mappage pour l'attribut domain.

    Vous pouvez ajouter des attributs à la liste sur la page Attributs utilisateur.

  8. Cliquez sur Suivant.
  9. Sur la page Groupes, cliquez sur + pour sélectionner les groupes que vous souhaitez synchroniser entre l'annuaire LDAP et l'annuaire VMware Identity Manager.

    Lorsque des groupes sont ajoutés, les noms de groupe sont synchronisés avec l'annuaire. Les utilisateurs qui sont membres du groupe ne sont synchronisés avec l'annuaire qu'une fois que le groupe dispose de droits d'accès à une application ou que le nom du groupe est ajouté à une règle de stratégie d'accès.

    Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez spécifier des noms uniques sur la page des groupes.

    L'option Synchroniser les utilisateurs du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués sont synchronisés lorsque le groupe est octroyé. Dans l'annuaire VMware Identity Manager, ces utilisateurs apparaissent en tant que membres du groupe de niveau supérieur que vous avez sélectionné pour la synchronisation. En effet, la hiérarchie sous un groupe sélectionné est aplatie et les utilisateurs de tous les niveaux apparaissent dans VMware Identity Manager en tant que membres du groupe sélectionné.

    Si cette option est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs.

  10. Cliquez sur Suivant.
  11. Cliquez sur + pour ajouter des utilisateurs. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
    Étant donné que les membres des groupes ne sont synchronisés avec l'annuaire qu'une fois que le groupe est autorisé à accéder à des applications ou ajouté à une règle de stratégie d'accès, ajoutez tous les utilisateurs ayant besoin de s'authentifier avant que les droits du groupe ne soient configurés.

    Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.

    Cliquez sur Suivant.

  12. Examinez la page pour voir combien de noms d'utilisateurs et de groupes se synchroniseront avec l'annuaire et pour voir le planning de synchronisation par défaut.

    Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation, cliquez sur les liens Modifier.

  13. Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire.

Résultats

La connexion à l'annuaire LDAP est établie et les noms d'utilisateurs et de groupes sont synchronisés entre l'annuaire LDAP et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle d'administrateur dans VMware Identity Manager par défaut.