Vous pouvez configurer un lien Active Directory utilisant le protocole LDAP/IWA pour accompagner l'authentification utilisateur avec la fonctionnalité Directories Management pour configurer un lien avec Active Directory permettant de prendre en charge l'authentification utilisateur pour tous les locataires et sélectionner des utilisateurs, et des groupes à synchroniser avec le répertoire Directories Management.

Avant de commencer

  • Connector installé et code d'activation activé.

  • Sélectionnez les attributs par défaut souhaités et ajoutez des attributs supplémentaires sur la page Attributs utilisateur. Reportez-vous à Sélection des attributs à synchroniser avec l'annuaire.

  • Liste des groupes et utilisateurs d'Active Directory à synchroniser depuis Active Directory.

  • Pour Active Directory via LDAP, les informations requises incluent le ND de base, le ND Bind et le mot de passe ND Bind.

  • Pour l'authentification Windows intégrée à Active Directory, les informations requises incluent l'adresse et le mot de passe de l'UPN de l'utilisateur Bind du domaine.

  • Si l'accès à Active Directory est effectué via SSL, une copie du certificat SSL est requise.

  • Pour Active Directory (authentification Windows intégrée), lorsque vous avez configuré un annuaire Active Directory à forêts multiples et que le groupe local du domaine contient des membres de domaines provenant de différentes forêts, assurez-vous que l'utilisateur Bind est ajouté au groupe Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Si vous ne le faites pas, ces membres ne figureront pas dans le groupe local du domaine.

  • Connectez-vous à la console de vRealize Automation en tant qu'administrateur de locataire.

Pourquoi et quand exécuter cette tâche

Pour plus d'informations et d'instructions concernant l'utilisation d'OpenLDAP avec Gestion des annuaires, reportez-vous à Configurer une connexion à un annuaire OpenLDAP.

Procédure

  1. Sélectionnez Administration > Gestion des répertoires > Répertoires.
  2. Cliquez sur Ajouter un annuaire et sélectionnez Ajouter Active Directory via LDAP/IWA.
  3. Sur la page Ajouter un annuaire, spécifiez l'adresse IP du serveur Active Directory dans la zone de texte Nom de l'annuaire.
  4. Sélectionnez le protocole de communication Active Directory approprié à l'aide des boutons radio situés sous la zone de texte Nom de l'annuaire.

    Option

    Description

    Authentification Windows

    Sélectionner Active Directory (authentification Windows intégrée)

    LDAP

    Sélectionnez Active Directory via LDAP.

  5. Configurez le connecteur qui synchronise les utilisateurs entre Active Directory et l'annuaire VMware Directories Management dans la section Synchronisation d'annuaires et authentification.

    Option

    Description

    Connecteur de synchronisation

    Sélectionnez le connecteur approprié à utiliser avec votre système. Chaque dispositif dispositif vRealize Automation contient un connecteur par défaut. Consultez votre administrateur système si vous avez besoin d'aide pour choisir le connecteur approprié.

    Authentification

    Cliquez sur le bouton radio approprié pour indiquer si le connecteur sélectionné effectue également l'authentification.

    Attribut de recherche d'annuaire

    Sélectionnez l'attribut de compte approprié contenant le nom d'utilisateur.

  6. Entrez les informations appropriées dans la zone de texte Emplacement du serveur si vous avez sélectionné Active Directory via LDAP ou dans les zones de texte Détails du domaine de jonction si vous avez sélectionné Active Directory (authentification Windows intégrée).

    Option

    Description

    Emplacement du serveur : s'affiche lorsque l'option Active Directory via LDAP est sélectionnée

    • Si vous voulez utiliser l'emplacement du service DNS pour localiser les domaines Active Directory, laissez la case en regard de l'option Cet annuaire prend en charge l'emplacement du service DNS cochée.

    • Si l'annuaire Active Directory spécifié n'utilise pas la recherche d'emplacement du service DNS, désélectionnez la case en regard de l'option Cet annuaire prend en charge l'emplacement du service DNS dans le champ Emplacement du serveur et entrez le nom d'hôte et le numéro de port du serveur Active Directory dans les zones de texte appropriées.

    • Si Active Directory requiert un accès via SSL, cochez la case en regard de l'option Cet annuaire exige que toutes les connexions se fassent par SSL sous l'en-tête Certificats, puis fournissez le certificat SSL d'Active Directory.

    Détails du domaine de jonction - S'affiche lorsqu'Active Directory (authentification Windows intégrée) est sélectionné

    Entrez les informations d'identification appropriées dans les zones de texte Nom de domaine, Nom de l'utilisateur administrateur de domaine et Mot de passe de l'administrateur de domaine.

  7. Dans la section Détails de l'utilisateur Bind, entrez les informations d'identification appropriées pour faciliter la synchronisation des annuaires.

    Pour Active Directory via LDAP :

    Option

    Description

    Nom unique de base

    Entrez le nom unique de base de recherche. Par exemple, cn=users,dc=corp,dc=local.

    Nom unique de liaison

    Entrez le nom unique de la liaison. Par exemple, cn=fritz infra,cn=users,dc=corp,dc=local

    Pour Active Directory (authentification Windows intégrée) :

    Option

    Description

    UPN de l'utilisateur Bind

    Entrez le nom principal d'utilisateur de l'utilisateur qui peut s'authentifier auprès du domaine. Par exemple, UserName@example.com.

    Mot de passe du nom unique de liaison

    Entrez le mot de passe de l'utilisateur Bind.

  8. Cliquez sur Tester la connexion pour tester la connexion vers l'annuaire configuré.

    Ce bouton n’est pas présent si vous avez sélectionné Active Directory (authentification Windows intégrée).

  9. Cliquez sur Enregistrer et Suivant.

    La page Sélectionnez les domaines apparaît avec la liste des domaines.

  10. Examinez et mettez à jour les domaines répertoriés pour la connexion Active Directory.
    • Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent être associés à cette connexion Active Directory.

    • Pour Active Directory sur LDAP, les domaines disponibles sont signalés par une coche.

      Remarque :

      Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne le détecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connector doit quitter, puis rejoindre le domaine. Lorsque le connector rejoint le domaine, le domaine d'approbation apparaît dans la liste.

  11. Cliquez sur Suivant.
  12. Vérifiez que les noms d'attributs de l'annuaire Directories Management sont mappés aux attributs Active Directory appropriés.

    Si les noms d'attributs de l'annuaire ne sont pas correctement mappés, sélectionnez le bon attribut Active Directory dans le menu déroulant.

  13. Cliquez sur Suivant.
  14. Cliquez sur Ajouter pour sélectionner les groupes que vous souhaitez synchroniser entre Active Directory et l'annuaire.

    Lorsque vous ajoutez un groupe à partir d'Active Directory, si les membres de ce groupe ne figurent pas dans la liste Utilisateurs, ils y sont ajoutés.

    Remarque :

    Le système d'authentification utilisateur Directories Management importe les données provenant d'Active Directory lors de l'ajout des groupes et utilisateurs, et la vitesse du système est limitée par les capacités d'Active Directory. Par conséquent, les opérations d'importation peuvent être assez longues, suivant le nombre de groupes et d'utilisateurs à ajouter. Pour minimiser les retards ou problèmes potentiels, limitez le nombre de groupes et d'utilisateurs à ceux requis pour l'opération vRealize Automation.

    Si les performances de votre système déclinent ou si des erreurs se produisent, fermez toutes les applications inutiles et assurez-vous que votre système dispose d'une mémoire suffisante attribuée à Active Directory. Si les problèmes persistent, augmentez cette allocation de mémoire selon les besoins. Pour les systèmes comportant un nombre important d'utilisateurs et de groupes, vous pouvez allouer à Active Directory jusqu'à 24 Go de mémoire.

  15. Cliquez sur Suivant.
  16. Cliquez sur Ajouter pour ajouter des utilisateurs supplémentaires. Par exemple, effectuez la saisie sous la forme CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com.

    Pour exclure des utilisateurs, cliquez sur Ajouter afin de créer un filtre permettant d'exclure certains types d'utilisateurs. Vous pouvez sélectionner un attribut d'utilisateur à filtrer, la règle de requête et sa valeur.

  17. Cliquez sur Suivant.
  18. Examinez la page pour voir combien d'utilisateurs et de groupes sont synchronisés avec l'annuaire.

    Si vous souhaitez apporter des modifications aux utilisateurs et aux groupes, cliquez sur les liens Modifier.

  19. Cliquez sur Transférer vers Workspace pour lancer la synchronisation avec l'annuaire.

Résultats

La connexion à Active Directory a réussi et les utilisateurs et groupes sélectionnés sont ajoutés à l'annuaire. Vous pouvez désormais affecter des utilisateurs et des groupes aux rôles appropriés de vRealize Automation en sélectionnant Administration > Utilisateurs et groupes > Utilisateurs et groupes d'annuaires. Consultez Attribuer des rôles à des utilisateurs ou des groupes du répertoire pour plus d'informations.

Que faire ensuite

Si votre environnement vRealize Automation est configuré pour la haute disponibilité, vous devez spécifiquement configurer la gestion des annuaires en vue de la haute disponibilité. Reportez-vous à Configurer Directories Management pour High Availability.

  • Configurez les méthodes d'authentification. Une fois les utilisateurs et groupes synchronisés avec l'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer des méthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identité d'authentification, configurez ce dernier dans le connecteur.

  • Examinez la stratégie d'accès par défaut. La stratégie d'accès par défaut est configurée de manière à permettre à tous les dispositifs de l'ensemble des plages réseau d'accéder au navigateur Web, avec un délai d'expiration de session défini à 8 heures ou pour accéder à une application cliente ayant un délai d'expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défaut et lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies.

  • Appliquez des informations de marque à la console d'administration, aux pages du portail utilisateur et à l'écran de connexion.