Lorsque vous importez des informations de comptes d'utilisateurs résidant sur un autre ordinateur, vous devez définir les critères utilisés pour importer les comptes d'utilisateurs de la machine source.

Emplacement de l'ajout ou de la modification des sources d'authentification

  1. Pour ajouter des sources d'authentification, dans le menu de gauche, cliquez sur Administration, puis sur la vignette Sources d'authentification.
  2. Cliquez sur Ajouter.
  3. Pour modifier les sources d'authentification, cliquez sur Modifier.
Tableau 1. Sources d'authentification : ajouter une source pour l'importation d'utilisateurs et de groupes
Option Description
Nom d'affichage source Nom que vous attribuez à la source d'authentification.
Type de source
Note : L'option que vous sélectionnez dans le menu déroulant Type de source détermine les options disponibles dans cette boîte de dialogue.
Indique le type de technologie d'accès aux services d'annuaire permettant d'accéder à la machine source sur laquelle réside la base de données des comptes d'utilisateurs. Il existe deux types de bases de données : LDAP et À authentification unique. Voici les options possibles :
  • SSO SAML : norme basée sur XML pour le Single Sign-On sur un navigateur Web qui permet aux utilisateurs d'effectuer un Single Sign-On pour de multiples applications.
  • Open LDAP : protocole indépendant de la plate-forme qui fournit un accès à une base de données LDAP sur une autre machine pour importer des comptes d'utilisateurs.
  • Autres : spécifie tous les autres services d'annuaire LDAP, tels que Novel ou OpenDJ, utilisés pour importer des comptes d'utilisateurs d'une base de données LDAP sur une machine Linux ou Mac.
  • VMware Identity Manager : plate-forme dans laquelle vous pouvez gérer les utilisateurs et les groupes, gérer les ressources et l'authentification utilisateur, accéder aux stratégies et autoriser les utilisateurs à accéder aux ressources.
Tableau 2. Sources d'authentification : ajouter une source pour l'importation d'utilisateurs et de groupes - Options disponibles lorsque SSO SAML est sélectionné.
Nom Description
Hôte Nom ou adresse IP de la machine hôte sur laquelle réside le serveur utilisateur à authentification unique.
Port Port d'écoute pour l'authentification unique. Par défaut, il est défini sur 443.
Nom d'utilisateur Nom du compte d'utilisateur pouvant se connecter à la machine hôte à authentification unique.
Mot de passe Mot de passe du compte d'utilisateur pouvant se connecter à la machine hôte à authentification unique.
Accorder le rôle d'administrateur vRealize Operations pour une configuration ultérieure ? Lorsque vous avez créé une source d'authentification unique, un nouveau compte d'utilisateur vRealize Operations est créé sur le serveur à authentification unique (SSO).
  • Sélectionnez Oui pour accorder à vRealize Operations un rôle d'administrateur afin qu'il puisse être utilisé pour configurer la source SSO si des modifications sont apportées à la configuration de vRealize Operations.
  • Si vous sélectionnez Non et que la configuration de vRealize Operations est modifiée, les utilisateurs SSO ne pourront se connecter que lorsque vous aurez réenregistré la source SSO.
Rediriger automatiquement vers l'URL d'authentification unique vRealize Operations ? Après avoir configuré une source d'authentification unique, les utilisateurs sont redirigés vers le serveur vCenter SSO.
  • Sélectionnez Oui pour rediriger les utilisateurs vers le serveur à authentification unique pour effectuer l'authentification.
  • Si vous sélectionnez Non, les utilisateurs doivent se connecter au moyen de la page de connexion de vRealize Operations.
Importer les groupes d'utilisateurs d'authentification unique après l'ajout de la source actuelle ? Lorsque vous avez configuré une source d'authentification unique, vous pouvez importer des utilisateurs et des groupes d'utilisateurs dans vRealize Operations de façon que les utilisateurs à authentification unique puissent accéder au système avec les autorisations correspondantes.
  • Si vous sélectionnez Oui, l'assistant vous oriente vers la page Importer des groupes d'utilisateurs pour que vous puissiez importer des groupes d'utilisateurs lorsque vous avez terminé de configurer la source SSO.
  • Si vous désirez importer des comptes d'utilisateurs ou des groupes d'utilisateurs ultérieurement, sélectionnez Non.
Mise en réseau Si votre système utilise un équilibrage de charge, saisissez l'adresse IP de l'équilibrage de charge.
Test

Vérifie que la machine hôte est accessible au moyen des informations d'identification fournies.

Tableau 3. Sources d'authentification : ajouter une source pour l'importation d'utilisateurs et de groupes - Options disponibles lorsque Open LDAP, Active Directory et Autres sont sélectionnés.
Option Description

Paramètres de base du mode d'intégration

Applique les paramètres de base pour intégrer la source d'importation LDAP à l'instance de vRealize Operations.

Utilisez le mode d'intégration de base pour que vRealize Operations détecte la machine hôte sur laquelle réside la base de données LDAP, puis définissez le nom unique de base servant à rechercher des utilisateurs. Indiquez le nom du domaine et du sous-domaine que vRealize Operations utilise pour spécifier les détails de l'hôte et du nom unique de base, ainsi que le nom et le mot de passe de l'utilisateur qui peut se connecter à la machine hôte LDAP.

En mode de base, il tente d'extraire l'hôte et le port sur le serveur DNS, et d'obtenir le catalogue global et les contrôleurs du domaine, en privilégiant les serveurs prenant en charge SSL/TLS.

  • Domaine/sous-domaine. Informations de domaine dédiées au compte d'utilisateur LDAP.
    Note : Pour importer des utilisateurs et des groupes à partir de plusieurs sous-domaines, utilisez le domaine .com racine au lieu du sous-domaine. L'utilisation d'un sous-domaine limite la visibilité de vRealize Operations aux groupes et aux utilisateurs de ce sous-domaine spécifique.
  • Utiliser SSL/TLS. Lorsque cette option est sélectionnée, vRealize Operations utilise le protocole SSL/TLS (Secure Sockets Layer/Transport Layer Security) pour garantir une communication sécurisée lors de l'importation d'utilisateurs d'une base de données LDAP. Vous n'avez pas besoin d'installer le certificat SSL/TLS. vRealize Operations vous invite à afficher le certificat de serveur LDAP, à vérifier son empreinte numérique, puis à l'accepter. Une fois le certificat accepté, la communication LDAP s'établit.
  • Si Active Directory utilise un certificat auto-signé, le certificat doit contenir le champ Autre nom du sujet. vRealize Operations peut vérifier le certificat Active Directory et s'intégrer à Active Directory uniquement si le nom d'hôte ou l'adresse IP fournie dans le champ Autre nom du sujet correspond à l'adresse du contrôleur de domaine sur lequel le certificat est utilisé.
  • Nom d'utilisateur. Nom du compte d'utilisateur pouvant se connecter à la machine hôte LDAP.
  • Réinitialiser le mot de passe. Réinitialise le mot de passe du compte d'utilisateur pouvant se connecter à la machine hôte LDAP.
  • Synchronisation automatique de l'appartenance de l'utilisateur aux groupes configurés. Lorsque cette option est sélectionnée, elle permet à vRealize Operations de mapper les utilisateurs LDAP importés à des groupes d'utilisateurs.
  • Hôte. Nom ou adresse IP de la machine hôte sur laquelle réside la base de données utilisateur LDAP.
  • Port. Port utilisé pour l'importation. Utilisez le port 389 si vous n'utilisez pas SSL/TLS, le port 636 si vous l'utilisez ou un autre numéro de port de votre choix. Les ports du catalogue global sont le 3268 (sans SSL/TLS) et le 3269 (avec SSL/TLS).
  • Nom unique de la base. Nom unique de base pour la recherche d'utilisateur. vRealize Operations localise uniquement les utilisateurs sous le nom unique de base. Le nom unique de base est une entrée élémentaire du nom unique de l'utilisateur importé, qui correspond à l'entrée de base du nom de l'utilisateur sans nécessiter d'autres informations associées, telles que le chemin d'accès complet au compte de l'utilisateur ou l'inclusion de composants de domaine associés. Bien que le nom unique de base soit renseigné par vRealize Operations, un administrateur doit le vérifier avant d'enregistrer la configuration LDAP.
  • Nom commun. Attribut LDAP utilisé pour identifier le nom d'utilisateur. L'attribut par défaut d'Active Directory est userPrincipalName.

Paramètres avancés du mode d'intégration

Applique les paramètres avancés pour intégrer la source d'importation LDAP à l'instance de vRealize Operations.

Utilisez le mode d'intégration avancé pour fournir manuellement le nom d'hôte et le nom unique de base afin que vRealize Operations puisse importer des utilisateurs. Fournissez le nom et le mot de passe de l'utilisateur qui peut se connecter à la machine hôte LDAP.

  • Hôte. Nom ou adresse IP de la machine hôte sur laquelle réside la base de données utilisateur LDAP.
  • Utiliser SSL/TLS. Lorsque cette option est sélectionnée, vRealize Operations utilise le protocole SSL/TLS (Secure Sockets Layer/Transport Layer Security) pour garantir une communication sécurisée lors de l'importation d'utilisateurs d'une base de données LDAP. Vous n'avez pas besoin d'installer le certificat SSL/TLS. vRealize Operations vous invite à afficher le certificat de serveur LDAP, à vérifier son empreinte numérique, puis à l'accepter. Une fois le certificat accepté, la communication LDAP s'établit.
  • Si Active Directory utilise un certificat auto-signé, le certificat doit contenir le champ Autre nom du sujet. vRealize Operations peut vérifier le certificat Active Directory et s'intégrer à Active Directory uniquement si le nom d'hôte ou l'adresse IP fournie dans le champ Autre nom du sujet correspond à l'adresse du contrôleur de domaine sur lequel le certificat est utilisé.
  • Nom unique de la base. Nom unique de base pour la recherche d'utilisateur. vRealize Operations ne localise que les utilisateurs sous le nom unique de base. Le nom unique de base est une entrée élémentaire du nom unique de l'utilisateur importé, qui correspond à l'entrée de base du nom de l'utilisateur sans nécessiter d'autres informations associées, telles que le chemin d'accès complet au compte de l'utilisateur ou l'inclusion de composants de domaine associés. Bien que le nom unique de base soit renseigné par vRealize Operations, un administrateur doit le vérifier avant d'enregistrer la configuration LDAP.
  • Nom d'utilisateur. Nom du compte d'utilisateur pouvant se connecter à la machine hôte LDAP.
  • Réinitialiser le mot de passe. Réinitialise le mot de passe du compte d'utilisateur pouvant se connecter à la machine hôte LDAP.
  • Synchronisation automatique de l'appartenance de l'utilisateur aux groupes configurés. Lorsque cette option est sélectionnée, elle permet à vRealize Operations de mapper les utilisateurs LDAP importés à des groupes d'utilisateurs.
  • Nom commun. Attribut LDAP utilisé pour identifier le nom d'utilisateur. L'attribut par défaut d'Active Directory est userPrincipalName.
  • Port. Port utilisé pour l'importation. Utilisez le port 389 si vous n'utilisez pas SSL/TLS, le port 636 si vous l'utilisez ou un autre numéro de port de votre choix. Les ports du catalogue global sont le 3268 (sans SSL/TLS) et le 3269 (avec SSL/TLS).

Critères de recherche

Affiche les paramètres de critères de recherche.

Bien que vRealize Operations renseigne en partie les critères de recherche, un administrateur doit vérifier les paramètres pour s'assurer qu'ils sont corrects, conformément aux propriétés du type LDAP.

  • Critères de recherche de groupe. Critère de recherche pour rechercher des groupes LDAP. S'ils ne sont pas inclus, vRealize Operations utilise les paramètres de recherche par défaut : (|(objectClass=group)(objectClass=groupOfNames))
  • Attribut de membre. Nom de l'attribut d'un objet de groupe contenant la liste des membres. S'il n'est pas inclus, vRealize Operations utilise les membres par défaut.
  • Critères de recherche d'utilisateurs. Critères de recherche permettant d'utiliser le champ de membre pour rechercher les utilisateurs LDAP et les mettre en cache. Vous devez saisir des ensembles de paires clé=valeur dans le formulaire (|(key1=value1)(key2=value2)). S'ils ne sont pas inclus, vRealize Operations recherche chaque utilisateur séparément. Cette opération peut prendre plus de temps.
  • Champ de correspondance de membre. Nom de l'attribut d'un objet utilisateur à faire correspondre avec l'entrée de membre d'un objet de groupe. S'il n'est pas inclus, vRealize Operations considère que l'entrée de membre est un nom unique.
  • Attributs de contexte LDAP. Attributs appliqués par vRealize Operations à l'environnement contextuel LDAP. Vous devez saisir des ensembles de paires clé=valeur séparés par des virgules, tels que java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse.

Test

Vérifie que la machine hôte est accessible au moyen des informations d'identification fournies. Même si un test de la connexion a réussi, les utilisateurs qui font appel à la fonctionnalité de recherche doivent disposer d'autorisations de lecture sur la source LDAP.

Ce test ne vérifie pas l'exactitude des entrées de nom unique de base ou de nom commun.

Tableau 4. Sources d'authentification : ajouter une source pour l'importation d'utilisateurs et de groupes - Options disponibles lorsque VMware Identity Manager est sélectionné.
Option Description
Hôte Nom ou adresse IP de la machine VMware Identity Manager sur laquelle réside le serveur utilisateur à authentification unique.
Port Port d'écoute pour l'authentification unique. Par défaut, il est défini sur 443.
Locataire Il s'agit d'un champ facultatif.
Nom d'utilisateur Nom d'utilisateur de l'administrateur du locataire du domaine du système VMware Identity Manager.
Mot de passe Mot de passe de l'administrateur du locataire du domaine système VMware Identity Manager.
Rediriger l'adresse IP/le FQDN

Il s'agit de l'adresse IP du nœud vRealize Operations vers laquelle un utilisateur est redirigé après une authentification réussie depuis VMware Identity Manager. Par défaut, il s'agit de l'adresse IP du nœud principal vRealize Operations.

Note : Lorsque le réplica principal devient le nœud principal sur vRealize Operations, l'administrateur vRealize Operations doit modifier manuellement l'adresse IP et définir l'adresse du nœud principal actuel.
Test

Vérifie que la machine VMware Identity Manager est accessible au moyen des informations d'identification fournies.