Vous pouvez créer ce type d’annuaire lorsque vous prévoyez de vous connecter à un environnement de domaine Active Directory unique. Pour utiliser Active Directory via un type d'annuaire LDAP, le connecteur se lie à Active Directory à l'aide d'une authentification à liaison simple.

Conditions préalables

  • Répertoriez les groupes et utilisateurs Active Directory à synchroniser depuis Active Directory.
  • Vérifiez que vous avez spécifié les attributs par défaut requis et ajoutez des attributs supplémentaires sur la définition Attributs utilisateur.
  • Vérifiez que vous disposez des informations d'identification d'utilisateur requises pour ajouter un annuaire.

Procédure

  1. Cliquez sur Gestion des identités et des locataires dans le tableau de bord Mes services.
  2. Accédez à l'onglet Gestion des annuaires et cliquez sur Annuaires.
  3. Cliquez sur Ajouter un annuaire et sélectionnez Ajouter Active Directory via LDAP.
  4. Dans l'onglet Détails de l'annuaire :
    Champs Description
    Informations sur l'annuaire Entrez un nom d’annuaire valide.
    Synchronisation et authentification de l'annuaire Sélectionnez le connecteur à synchroniser avec Active Directory. Un connecteur est un composant du service VMware Identity Manager qui synchronise les données des utilisateurs et des groupes entre Active Directory et le service VMware Identity Manager.

    Lorsqu'il est utilisé comme fournisseur d'identité, il permet également d'authentifier les utilisateurs. Chaque nœud du dispositif VMware Identity Manager contient un composant connecteur par défaut. Si nécessaire, un connecteur dédié peut également être déployé lors d'une montée en charge vers un environnement global.
    Authentification activée Si vous souhaitez que le connecteur effectue l'authentification, sélectionnez Oui.

    Vous pouvez indiquer si le connecteur sélectionné effectue également l’authentification. Si vous utilisez un fournisseur d'identité tiers pour authentifier des utilisateurs, cliquez sur Non.
    Attribut de recherche d'annuaire Sélectionnez un attribut de compte dans le menu déroulant qui contient un nom d’utilisateur.
    Emplacement du serveur Cochez la case Cet annuaire prend en charge l'emplacement du service DNS.
    • Si votre annuaire Active Directory requiert un accès via SSL/TLS, cochez la case Cet annuaire exige que toutes les connexions se fassent par STARTTLS ou SSL dans la section Certificats, puis copiez et collez les certificats d'autorité de certification intermédiaire (si utilisé) et racine du contrôleur de domaine dans la zone de texte Certificat SSL. Entrez d'abord le certificat d'autorité de certification intermédiaire, puis le certificat d'autorité de certification racine. Vérifiez que chaque certificat est au format PEM et inclut les lignes BEGIN CERTIFICATE et END CERTIFICATE. Si les contrôleurs de domaine ont des certificats provenant de plusieurs autorités de certification intermédiaire et racine, entrez toutes les chaînes de certificats d'autorité de certification intermédiaire et racine, les unes après les autres. Si votre annuaire Active Directory requiert l'accès via SSL/TLS et que vous ne fournissez pas les certificats, vous ne pouvez pas créer l'annuaire.
    • Si vous ne souhaitez pas utiliser l'emplacement du service DNS, vérifiez que la case Cet annuaire prend en charge l'emplacement du service DNS n'est pas cochée et entrez le nom d'hôte et le numéro de port du serveur Active Directory.
    Certificats

    Si votre annuaire Active Directory requiert un accès via SSL/TLS, cochez la case Cet annuaire exige que toutes les connexions se fassent par SSL dans la section Certificats, puis copiez et collez les certificats d'autorité de certification intermédiaire (si utilisé) et racine du contrôleur de domaine dans la zone de texte Certificat SSL. Entrez d'abord le certificat d'autorité de certification intermédiaire, puis le certificat d'autorité de certification racine. Vérifiez que le certificat est au format PEM et inclut les lignes BEGIN CERTIFICATE et END CERTIFICATE. Si votre annuaire Active Directory requiert l'accès via SSL/TLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire.

    Détails de l'utilisateur Bind
    • Nom unique de base : entrez le nom unique pour démarrer les recherches de compte. Par exemple, OU=myUnit,DC=myCorp,DC=com. Le nom unique de base est utilisé pour l'authentification. Seuls les utilisateurs sous le nom unique de base peuvent s'authentifier. Assurez-vous que les noms uniques de groupe et les noms uniques d'utilisateur que vous spécifiez ultérieurement pour la synchronisation se trouvent sous ce nom unique de base.
    • Nom unique de l'utilisateur Bind : entrez les détails du compte. Par exemple, CN=binduser,OU=myUnit,DC=myCorp,DC=com. Utilisez un compte d'utilisateur Bind avec un mot de passe qui n'expire pas.
    • Mot de passe d'utilisateur Bind : cliquez sur Tester la connexion pour vérifier que l'annuaire peut se connecter à votre annuaire Active Directory.
  5. Cliquez sur Créer et Suivant.
    Pour Active Directory via LDAP, les domaines sont signalés par une coche.
  6. Dans l'onglet Détail de la sélection du domaine, sélectionnez le domaine et cliquez sur Suivant.
  7. Pour mapper l'attribut d'annuaire à l'annuaire Active Directory, dans l'onglet Mapper l'attribut, sélectionnez l'attribut requis et cliquez sur Enregistrer et Suivant.
  8. Dans l'onglet Sélection du groupe, pour synchroniser Active Directory avec l'annuaire VMware Identity Manager, spécifiez les détails du nom unique de groupe et cliquez sur Suivant.
    Vous pouvez également sélectionner tous les groupes Active Directory déjà disponibles dans la liste à synchroniser avec l’annuaire.
    1. Pour sélectionner des groupes, cliquez sur Ajouter un nom unique de groupe et spécifiez un ou plusieurs noms uniques de groupe. Sélectionnez les groupes qui s'y trouvent. Spécifiez les noms uniques de groupe qui se trouvent sous le nom unique de base que vous avez entré dans la zone de texte « Nom unique de base » de la page Ajouter un annuaire. Si un nom unique de groupe se trouve en dehors du nom unique de base, les utilisateurs de ce nom unique seront synchronisés, mais ne pourront pas se connecter.
    2. Cliquez sur Rechercher des groupes. La colonne Actions répertorie le nombre de groupes trouvés pour le nom unique. Pour sélectionner tous les groupes dans le nom unique, cliquez sur Sélectionner tout ou cliquez sur le nombre et sélectionnez les groupes spécifiques à synchroniser. Lorsque vous synchronisez un groupe, les utilisateurs ne disposant pas d'Utilisateurs de domaine comme groupe principal dans Active Directory ne sont pas synchronisés.
    3. Sélectionnez l'option Synchroniser les membres du groupe imbriqué.
  9. Dans l'onglet Sélection de l'utilisateur, entrez les détails du nom unique d'utilisateur et cliquez sur Suivant.
    Les administrateurs de suite sont un nom d'utilisateur dans Active Directory qui agit en tant qu'utilisateur Admin pour les produits de la suite déployée, les journaux et la table AD.
  10. Sélectionnez l'option Synchroniser les membres du groupe imbriqué et entrez l'option Administrateurs de suite.
    Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez et tous les utilisateurs qui appartiennent aux groupes imbrisés sous celui-ci sont synchronisés lorsque le groupe est autorisé. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs seront membres du groupe parent que vous avez sélectionné pour la synchronisation. Si l'option « Synchroniser les membres du groupe imbriqué » est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations Active Directory importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs.
  11. Cliquez sur Enregistrer et Suivant. Sur la page Sélection de l'utilisateur, cliquez sur Ajouter un utilisateur et spécifiez les noms uniques d'utilisateur à synchroniser. Spécifiez les noms uniques d'utilisateur qui se trouvent sous le nom unique de base que vous avez entré dans la zone de texte Nom unique de base de la page Ajouter un annuaire. Si un nom unique d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ce nom unique seront synchronisés, mais ne pourront pas se connecter. Cliquez sur Enregistrer et Suivant.
  12. Vérifiez l'onglet Vérification de l'exécution de test, lisez le résumé, puis cliquez sur Synchroniser et Terminer pour démarrer la synchronisation avec l'annuaire. La connexion à Active Directory sera établie et les noms d'utilisateur et de groupe sont synchronisés entre l'annuaire Active Directory et l'annuaire VMware Identity Manager.
  13. Cliquez sur Envoyer.
  14. Pour effectuer une modification, cliquez sur l'icône Modifier sur l'annuaire Active Directory de votre choix dans la liste des annuaires Active Directory. Toutes les informations ajoutées sont annexées à la configuration sur VMware Identity Manager. Toutefois, toute suppression pendant une modification supprime la configuration de l'inventaire vRealize Suite Lifecycle Manager uniquement et non de VMware Identity Manager.
  15. Pour effectuer une suppression, cliquez sur l'icône Supprimer sur l'annuaire Active Directory de votre choix dans la liste des annuaires Active Directory. L'action de suppression supprime l'annuaire Active Directory de l'inventaire vRealize Suite Lifecycle Manager uniquement et non de VMware Identity Manager.