La console VMware Identity Manager permet de saisir les informations requises pour vous connecter à Active Directory et de sélectionner les utilisateurs et les groupes à synchroniser avec l'annuaire VMware Identity Manager.
Les options de connexion à Active Directory sont Active Directory sur LDAP et Active Directory sur Authentification Windows intégrée. La connexion Active Directory via LDAP prend en charge la recherche de l'emplacement du service DNS.
Conditions préalables
- (SaaS) Connector installé et activé.
- Sélectionnez les attributs requis et ajoutez des attributs supplémentaires, sur la page Attributs utilisateur. Voir Sélection des attributs à synchroniser avec l'annuaire.
- Créez une liste d'utilisateurs et de groupes Active Directory à synchroniser depuis Active Directory. Les noms de groupes sont immédiatement synchronisés avec l'annuaire. Les membres d'un groupe ne sont synchronisés qu'une fois que le groupe est autorisé à accéder à des ressources ou ajouté à une règle de stratégie. Les utilisateurs qui doivent s'authentifier avant que des droits de groupe ne soient configurés doivent être ajoutés lors de la configuration initiale.
- Pour Active Directory via LDAP, il vous faut le DN de base, le Bind DN et le mot de passe du Bind DN.
L'utilisateur de Bind DN doit disposer des autorisations suivantes dans Active Directory pour accorder l'accès aux objets d'utilisateurs et de groupes :
- Lecture
- Lire toutes les propriétés
- Autorisations de lecture
Note : Il est recommandé d'utiliser un compte d'utilisateur de Bind DN avec un mot de passe sans date d'expiration. - Pour Active Directory sur Authentification Windows intégrée, il vous faut le nom d'utilisateur et le mot de passe de l'utilisateur Bind qui est autorisé à interroger les utilisateurs et les groupes des domaines requis.
L'utilisateur de liaison doit disposer des autorisations suivantes dans Active Directory pour accorder l'accès aux objets d'utilisateurs et de groupes :
- Lecture
- Lire toutes les propriétés
- Autorisations de lecture
Note : Il est recommandé d'utiliser un compte d'utilisateur de liaison avec un mot de passe sans date d'expiration. - Si Active Directory requiert l'accès via SSL ou STARTTLS, les certificats de l'autorité de certification racine des contrôleurs de tous les domaines Active Directory sont requis.
- Pour Active Directory sur Authentification Windows intégrée, lorsque vous avez configuré un annuaire Active Directory à forêts multiples et que le groupe local du domaine contient des membres de domaines provenant de différentes forêts, assurez-vous que l’utilisateur Bind est ajouté au groupe Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne seront pas présents dans le groupe local du domaine.
- Pour Active Directory sur Authentification Windows intégrée :
- pour tous les contrôleurs de domaine répertoriés dans les enregistrements SRV et les contrôleurs de domaine en lecture seule (RODC) masqués, la commande nslookup du nom d'hôte et de l'adresse IP doit fonctionner.
- Tous les contrôleurs de domaine doivent être accessibles en termes de connectivité réseau
Procédure
Résultats
La connexion à Active Directory est établie et les noms des utilisateurs et des groupes sont synchronisés entre Active Directory et l'annuaire VMware Identity Manager. Par défaut, l'utilisateur de liaison dispose d'un rôle d'administrateur dans VMware Identity Manager.
Pour plus d'informations sur la manière dont les groupes sont synchronisés, reportez-vous à la section « Gestion des utilisateurs et des groupes » dans Administration de VMware Identity Manager.
Que faire ensuite
- Configurez les méthodes d'authentification. Une fois les noms des utilisateurs et groupes synchronisés avec l'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer des méthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identité d'authentification, configurez ce dernier dans le connecteur.
- Examinez la stratégie d'accès par défaut. La stratégie d’accès par défaut est configurée de manière à permettre à tous les dispositifs de l’ensemble des plages réseau d’accéder au portail Web avec un délai d’expiration de session défini sur 8 heures, ou d’accéder à une application cliente avec un délai d’expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défaut et lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies.
- (Sur site) Appliquez des informations de marque personnalisées à la console VMware Identity Manager, aux pages du portail utilisateur et à l’écran de connexion, si nécessaire.