La console VMware Identity Manager permet de saisir les informations requises pour vous connecter à Active Directory et de sélectionner les utilisateurs et les groupes à synchroniser avec l'annuaire VMware Identity Manager.

Les options de connexion à Active Directory sont Active Directory sur LDAP et Active Directory sur Authentification Windows intégrée. La connexion Active Directory via LDAP prend en charge la recherche de l'emplacement du service DNS.

Conditions préalables

  • Installez et activez une instance de VMware Identity Manager Connector. Consultez la section Installation et configuration de VMware Identity Manager Connector (Windows).
  • Sélectionnez les attributs requis et ajoutez des attributs supplémentaires, sur la page Attributs utilisateur de la console VMware Identity Manager. Voir Sélection des attributs à synchroniser avec l'annuaire.
  • Créez une liste d'utilisateurs et de groupes Active Directory à synchroniser depuis Active Directory. Les noms de groupes sont immédiatement synchronisés avec l'annuaire. Les membres d'un groupe ne sont synchronisés qu'une fois que le groupe est autorisé à accéder à des ressources ou ajouté à une règle de stratégie. Les utilisateurs qui doivent s'authentifier avant que des droits de groupe ne soient configurés doivent être ajoutés lors de la configuration initiale.
  • Pour Active Directory sur LDAP, il vous faut le DN de base, Bind DN et le mot de passe de Bind DN à utiliser.

    L'utilisateur de Bind DN doit disposer des autorisations suivantes dans Active Directory pour accorder l'accès aux objets d'utilisateurs et de groupes :

    • Lecture
    • Lire toutes les propriétés
    • Autorisations de lecture
    Note : Il est recommandé d'utiliser un compte d'utilisateur de Bind DN avec un mot de passe sans date d'expiration.
  • Pour Active Directory sur Authentification Windows intégrée, il vous faut le nom d'utilisateur et le mot de passe de l'utilisateur Bind qui est autorisé à interroger les utilisateurs et les groupes des domaines requis.

    L'utilisateur de liaison doit disposer des autorisations suivantes dans Active Directory pour accorder l'accès aux objets d'utilisateurs et de groupes :

    • Lecture
    • Lire toutes les propriétés
    • Autorisations de lecture
    Note : Il est recommandé d'utiliser un compte d'utilisateur de liaison avec un mot de passe sans date d'expiration.
  • Si Active Directory requiert l'accès via SSL ou STARTTLS, les certificats de l'autorité de certification racine des contrôleurs de tous les domaines Active Directory sont requis.
  • Pour Active Directory sur Authentification Windows intégrée, lorsque vous avez configuré un annuaire Active Directory à forêts multiples et que le groupe local du domaine contient des membres de domaines provenant de différentes forêts, assurez-vous que l’utilisateur Bind est ajouté au groupe Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne seront pas présents dans le groupe local du domaine.
  • Pour Active Directory sur Authentification Windows intégrée :
    • pour tous les contrôleurs de domaine répertoriés dans les enregistrements SRV et les contrôleurs de domaine en lecture seule (RODC) masqués, la commande nslookup du nom d'hôte et de l'adresse IP doit fonctionner.
    • Tous les contrôleurs de domaine doivent être accessibles en termes de connectivité réseau

Procédure

  1. Dans la console VMware Identity Manager, cliquez sur l'onglet Identité et gestion de l'accès.
  2. Sur la page Répertoires, cliquez sur Ajouter un répertoire.
  3. Entrez un nom pour cet annuaire VMware Identity Manager.
  4. Sélectionnez le type d'annuaire Active Directory dans votre environnement et configurez les informations de connexion.
    Option Description
    Active Directory via LDAP
    1. Dans la zone de texte Connecteur de synchronisation, sélectionnez le connecteur à utiliser pour la synchronisation avec Active Directory.
    2. Dans la zone de texte Authentification, si cet annuaire Active Directory est utilisé pour authentifier des utilisateurs, cliquez sur Oui.

      Si un fournisseur d'identité tiers est utilisé pour authentifier les utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification.

    3. Dans la zone de texte Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur.
    4. Si vous souhaitez utiliser la recherche de l'emplacement du service DNS pour Active Directory, effectuez les sélections suivantes.
      • Dans la section Emplacement du serveur, cochez la case Ce répertoire prend en charge l'emplacement du service DNS.

        VMware Identity Manager recherche et utilise les contrôleurs de domaine optimaux. Si vous ne souhaitez pas utiliser la sélection des contrôleurs de domaine optimisés, suivez l'étape e.

      • Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans la zone de texte Certificat SSL.

        Vérifiez que le certificat est au format PEM et inclut les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».

        Note : Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire.
    5. Si vous ne souhaitez pas utiliser la recherche de l'emplacement du service DNS pour Active Directory, effectuez les sélections suivantes.
      • Dans la section Emplacement du serveur, vérifiez que la case Cet annuaire prend en charge l'emplacement du service DNS n'est pas cochée et entrez le nom d'hôte et le numéro de port du serveur Active Directory.

        Pour configurer l'annuaire comme catalogue global, reportez-vous à la section Environnement Active Directory à forêt unique et domaines multiples au chapitre Environnements Active Directory.

      • Si l'annuaire Active Directory requiert un accès via SSL, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL.

        Vérifiez que le certificat est au format PEM et inclut les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».

        Si le répertoire possède plusieurs domaines, ajoutez les certificats de l'autorité de certification racine de tous les domaines, l'un après l'autre.

        Note : Si l'annuaire Active Directory requiert SSL et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire.
    6. Dans le champ DN de base, entrez le DN à partir duquel vous souhaitez lancer les recherches de comptes. Par exemple : OU=myUnit,DC=myCorp,DC=com.
    7. Dans le champ Bind DN, entrez le compte pouvant rechercher des utilisateurs. Par exemple : CN=binduser,OU=myUnit,DC=myCorp,DC=com.
      Note : Il est recommandé d'utiliser un compte d'utilisateur de Bind DN avec un mot de passe sans date d'expiration.
    8. Après avoir entré le mot de passe Bind, cliquez sur Tester la connexion pour vérifier que l'annuaire peut se connecter à votre annuaire Active Directory.
    Active Directory (authentification Windows intégrée)
    1. Dans la zone de texte Connecteur de synchronisation, sélectionnez le connecteur à utiliser pour la synchronisation avec Active Directory.
    2. Dans la zone de texte Authentification, si cet annuaire Active Directory est utilisé pour authentifier des utilisateurs, cliquez sur Oui.

      Si un fournisseur d'identité tiers est utilisé pour authentifier les utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification.

    3. Dans la zone de texte Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur.
    4. Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire exige que toutes les connexions utilisent STARTTLS dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans la zone de texte Certificat SSL.

      Vérifiez que le certificat est au format PEM et inclut les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».

      Si le répertoire possède plusieurs domaines, ajoutez les certificats de l'autorité de certification racine de tous les domaines, l'un après l'autre.

      Note : Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire.
    5. Dans la section Détails de l'utilisateur de liaison, entrez le nom d'utilisateur et le mot de passe de l'utilisateur de liaison qui est autorisé à interroger les utilisateurs et les groupes des domaines requis. Pour le nom d'utilisateur, entrez le sAMAccountName, par exemple, jdoe. Si le domaine de l'utilisateur de liaison est différent du domaine à rejoindre entré ci-dessus, entrez le nom d'utilisateur sous la forme sAMAccountName@domain, où « domain » est le nom de domaine complet. Par exemple, jdoe@example.com.
      Note : Il est recommandé d'utiliser un compte d'utilisateur de liaison avec un mot de passe sans date d'expiration.
  5. Cliquez sur Enregistrer et Suivant.
    La page contenant la liste de domaines apparaît.
  6. Pour Active Directory via LDAP, les domaines sont signalés par une coche.
    Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent être associés à cette connexion Active Directory.
    Note : Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne le détecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connecteur doit quitter, puis rejoindre le domaine. Lorsque le connecteur rejoint le domaine, le domaine d'approbation apparaît dans la liste.

    Cliquez sur Suivant.

  7. Vérifiez que les noms d'attribut de l'annuaire VMware Identity Manager sont mappés aux attributs Active Directory corrects et apportez des modifications, si nécessaire, puis cliquez sur Suivant.
  8. Sélectionnez les groupes que vous souhaitez synchroniser entre Active Directory et l'annuaire VMware Identity Manager.
    Lorsque des groupes sont ajoutés ici, les noms des groupes sont synchronisés avec l'annuaire. Les utilisateurs qui sont membres du groupe ne sont synchronisés avec l'annuaire qu'une fois que le groupe dispose de droits d'accès à une application ou que le nom du groupe est ajouté à une règle de stratégie d'accès. Les synchronisations planifiées suivantes apportent des informations mises à jour à partir d'Active Directory pour ces noms de groupes.
    Option Description
    Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et sélectionnez les groupes situés en dessous.
    1. Cliquez sur + et spécifiez le ND du groupe. Par exemple, CN=users,DC=example,DC=company,DC=com.
      Important : Spécifiez des DN du groupe qui se trouvent sous le DN de base que vous avez entré. Si un DN du groupe se trouve en dehors du DN de base, les utilisateurs de ce DN seront synchronisés, mais ne pourront pas se connecter.
    2. Cliquez sur Rechercher des groupes.

      La colonne Groupes à synchroniser répertorie le nombre de groupes trouvés dans le ND.

    3. Pour sélectionner tous les groupes dans le ND, cliquez sur Sélectionner tout, sinon cliquez sur Sélectionner et sélectionnez les groupes spécifiques à synchroniser.
    Note : Lorsque vous synchronisez un groupe, les utilisateurs ne disposant pas d'Utilisateurs de domaine comme groupe principal dans Active Directory ne sont pas synchronisés.
    Synchroniser les membres du groupe imbriqué

    L'option Synchroniser les membres du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés lorsque des droits sont octroyés au groupe. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs seront des membres du groupe parent que vous avez sélectionné pour la synchronisation.

    Si l'option Synchroniser les membres du groupe imbriqué est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations Active Directory importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs.

  9. Cliquez sur Suivant.
  10. Spécifiez les utilisateurs à synchroniser.
    Étant donné que les membres des groupes ne sont synchronisés avec l'annuaire qu'une fois que le groupe est autorisé à accéder à des applications ou ajouté à une règle de stratégie d'accès, ajoutez tous les utilisateurs ayant besoin de s'authentifier avant que les droits du groupe ne soient configurés.
    1. Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Important : Spécifiez des DN d'utilisateur qui se trouvent sous le DN de base que vous avez entré. Si un DN d'utilisateur se trouve en dehors du DN de base, les utilisateurs de ce DN seront synchronisés, mais ne pourront pas se connecter.
    2. (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs.
      Vous pouvez sélectionner l'attribut utilisateur à filtrer, la règle de requête à utiliser et ajouter la valeur. La valeur est insensible à la casse. Les caractères suivants ne peuvent pas être dans la chaîne, *^()?!$.
  11. Spécifiez les utilisateurs à synchroniser.
    Étant donné que les membres des groupes ne sont synchronisés avec l'annuaire qu'une fois que le groupe est autorisé à accéder à des applications ou ajouté à une règle de stratégie d'accès, ajoutez tous les utilisateurs ayant besoin de s'authentifier avant que les droits du groupe ne soient configurés.
    1. Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Important : Spécifiez des DN d'utilisateur qui se trouvent sous le DN de base que vous avez entré. Si un DN d'utilisateur se trouve en dehors du DN de base, les utilisateurs de ce DN seront synchronisés, mais ne pourront pas se connecter.
    2. (Facultatif) Pour exclure des utilisateurs, créez des filtres pour exclure les utilisateurs en fonction de l'attribut choisi. Vous pouvez créer plusieurs filtres d'exclusion.
      Vous pouvez sélectionner l'attribut utilisateur à filtrer et le filtre de requête à appliquer à la valeur que vous définissez.
      Option Description
      Contient Exclut tous les utilisateurs qui correspondent à l'ensemble des attributs et des valeurs. Par exemple, le nom contient Jane exclut les utilisateurs nommés « Jane ».
      Ne contient pas Exclut tous les utilisateurs à l'exception de ceux qui correspondent à l'ensemble des attributs et des valeurs. Par exemple, telephoneNumber ne contient pas 800, inclut uniquement les utilisateurs ayant un numéro de téléphone qui inclut « 800 ».
      Commence par Exclut tous les utilisateurs où les caractères commencent par <xxx> dans la valeur d'attribut. Par exemple, employeeID commence par ACME0, exclut tous les utilisateurs dont l'ID d'employé inclut « ACME0 » au début de leur numéro d'ID.
      Se termine par Exclut tous les utilisateurs où les caractères se terminent par <yyy> dans la valeur d'attribut. Par exemple, l'e-mail se termine par example1.com, exclut tous les utilisateurs dont l'adresse e-mail se termine par « example1.com ».
    La valeur est insensible à la casse. Les symboles suivants ne peuvent pas se trouver dans la chaîne de valeur.
    • Astérisque *
    • Caret ^
    • Parenthèses ()
    • Point d'interrogation ?
    • Point d'exclamation !
    • Symbole dollar $
  12. Cliquez sur Suivant.
  13. Examinez la page pour voir combien d'utilisateurs et de groupes se synchronisent avec l'annuaire et pour voir le planning de synchronisation.

    Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation, cliquez sur les liens Modifier.

  14. Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation avec l'annuaire.

Résultats

La connexion à Active Directory est établie et les noms des utilisateurs et des groupes sont synchronisés entre Active Directory et l'annuaire VMware Identity Manager. Par défaut, l'utilisateur de liaison dispose d'un rôle d'administrateur dans VMware Identity Manager.

Pour plus d'informations sur la manière dont les groupes sont synchronisés, reportez-vous à la section « Gestion des utilisateurs et des groupes » dans Administration de VMware Identity Manager.

Que faire ensuite

  • Configurez les méthodes d'authentification. Une fois les noms des utilisateurs et groupes synchronisés avec l'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer des méthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identité d'authentification, configurez ce dernier dans le connecteur.
  • Examinez la stratégie d'accès par défaut. La stratégie d’accès par défaut est configurée de manière à permettre à tous les dispositifs de l’ensemble des plages réseau d’accéder au portail Web avec un délai d’expiration de session défini sur 8 heures, ou d’accéder à une application cliente avec un délai d’expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défaut et lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies.
  • (Sur site) Appliquez des informations de marque personnalisées à la console VMware Identity Manager, aux pages du portail utilisateur et à l’écran de connexion, si nécessaire.