Vous pouvez créer ce type d’annuaire lorsque vous prévoyez de vous connecter à un environnement Active Directory multi-domaines. Le connecteur se lie à Active Directory à l'aide de l'authentification Windows intégrée.

Conditions préalables

Vérifiez que vous disposez des informations d'identification d'utilisateur requises pour ajouter un annuaire.

Procédure

  1. Cliquez sur Gestion des identités et des locataires dans le tableau de bord Mes services.
  2. Accédez à l'onglet Gestion des annuaires et cliquez sur Annuaires.
  3. Cliquez sur +Ajouter un annuaire, puis sur Ajouter Active Directory via IWA.
  4. Dans l'onglet Détails de l'annuaire :
    Champs Description
    Informations sur l'annuaire Entrez un nom d’annuaire valide.
    Synchronisation et authentification de l'annuaire Sélectionnez le connecteur à synchroniser avec Active Directory. Un connecteur est un composant du service VMware Identity Manager qui synchronise les données des utilisateurs et des groupes entre Active Directory et le service VMware Identity Manager. Il permet d'authentifier les utilisateurs. Chaque nœud du dispositif VMware Identity Manager contient un composant connecteur par défaut. Si nécessaire, un connecteur dédié peut également être déployé lors d'une montée en charge vers un environnement global.
    Authentification activée

    Vous pouvez indiquer si le connecteur sélectionné effectue également l’authentification. Si vous utilisez un fournisseur d'identité tiers pour authentifier des utilisateurs, cliquez sur Non.
    Attribut de recherche d'annuaire Sélectionnez un attribut de recherche dans le menu déroulant.
    Certificats
    • Si votre annuaire Active Directory requiert un accès via SSL/TLS, cochez la case Cet annuaire exige que toutes les connexions se fassent par STARTTLS dans la section Certificats, puis copiez et collez les certificats d'autorité de certification intermédiaire, le cas échéant, et racine du contrôleur de domaine dans la zone de texte Certificat SSL. Entrez d'abord le certificat d'autorité de certification intermédiaire, puis le certificat d'autorité de certification racine. Vérifiez que chaque certificat est au format PEM et inclut les lignes BEGIN CERTIFICATE et END CERTIFICATE. Si les contrôleurs de domaine ont des certificats provenant de plusieurs autorités de certification intermédiaire et racine, entrez toutes les chaînes de certificats d'autorité de certification intermédiaire et racine, les unes après les autres. Si votre annuaire Active Directory requiert l'accès via SSL/TLS et que vous ne fournissez pas les certificats, vous ne pouvez pas créer l'annuaire.
    Détails du domaine de jonction Entrez le nom de domaine, le nom d’utilisateur de l’administrateur de domaine et le mot de passe du domaine.
    Détails de l'utilisateur Bind
    • Entrez le Nom d'utilisateur Bind et le Mot de passe d'utilisateur Bind de l'utilisateur Bind autorisé à interroger les utilisateurs et les groupes pour les domaines requis. Entrez le nom d'utilisateur sous la forme sAMAccountName@domain, où domain est le nom de domaine complet. Utilisez un compte d'utilisateur Bind avec un mot de passe qui n'expire pas.
  5. Cliquez sur Créer et Suivant.
    Vous pouvez sélectionner les domaines qui doivent être associés à la connexion Active Directory.
  6. Dans l'onglet Détail de la sélection du domaine, sélectionnez le domaine et cliquez sur Envoyer et Suivant.
    Active Directory avec IWA remplit la liste des domaines et vous pouvez sélectionner ou modifier les domaines si nécessaire.
  7. Pour vérifier que les noms d'attribut de l'annuaire VMware Identity Manager sont mappés aux attributs Active Directory appropriés, dans l'onglet Mapper l'attribut, sélectionnez l'attribut requis et cliquez sur Envoyer et Suivant.
  8. Dans l'onglet Sélection du groupe, spécifiez les détails du nom unique de groupe et cliquez sur Suivant.

    Pour sélectionner des groupes, cliquez sur Ajouter un nom unique de groupe, spécifiez un ou plusieurs noms uniques de groupe et sélectionnez les groupes qui s'y trouvent. Spécifiez les noms uniques de groupe qui se trouvent sous le nom unique de base que vous avez entré dans la zone de texte Nom unique de base de la section Ajouter un annuaire. Si un nom unique de groupe se trouve en dehors du nom unique de base, les utilisateurs de ce nom unique seront synchronisés, mais vous ne pourrez pas vous connecter.

    Lorsque vous synchronisez un groupe, les utilisateurs ne disposant pas d'Utilisateurs de domaine comme groupe principal dans Active Directory ne sont pas synchronisés.

    1. Sélectionnez l'option Synchroniser les membres du groupe imbriqué.
  9. Dans l'onglet Sélection de l'utilisateur, entrez les détails du nom unique d'utilisateur et cliquez sur Suivant.
    Note : Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez et tous les utilisateurs qui appartiennent à des groupes imbrisés sous celui-ci sont synchronisés lorsque le groupe est autorisé. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs sont membres du groupe parent que vous avez sélectionné pour la synchronisation. Si l'option Synchroniser les membres du groupe imbriqué est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations Active Directory importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs.
    Les administrateurs de suite sont un nom d'utilisateur dans Active Directory qui agit en tant qu'utilisateur Admin pour les produits de la suite déployée, les journaux et la table AD.
  10. Dans l'onglet Vérification de l'exécution de test, lisez le résumé.
  11. Cliquez sur Synchroniser et Terminer pour démarrer la synchronisation avec l'annuaire. La connexion à Active Directory sera établie et les noms d'utilisateur et de groupe sont synchronisés entre l'annuaire Active Directory et l'annuaire VMware Identity Manager.
  12. Cliquez sur Envoyer.
  13. Pour effectuer une modification, cliquez sur l'icône Modifier sur l'annuaire Active Directory de votre choix dans la liste des annuaires Active Directory. Toutes les informations ajoutées sont annexées à la configuration sur VMware Identity Manager. Toutefois, si vous effectuez une suppression lors d'une modification, vous pouvez uniquement supprimer la configuration de l'inventaire vRealize Suite Lifecycle Manager et non de VMware Identity Manager.
  14. Pour effectuer une suppression, cliquez sur l'icône Supprimer sur l'annuaire Active Directory de votre choix dans la liste des annuaires Active Directory. Vous pouvez uniquement supprimer l'annuaire Active Directory de l'inventaire vRealize Suite Lifecycle Manager et non de VMware Identity Manager.