È possibile integrare la directory LDAP dell'azienda con VMware Identity Manager per sincronizzare utenti e gruppi dalla directory LDAP al servizio di VMware Identity Manager.

Informazioni su questa attività

Per l'integrazione con la directory LDAP, è necessario creare una directory di VMware Identity Manager corrispondente e sincronizzare utenti e gruppi dalla directory LDAP alla directory di VMware Identity Manager. È possibile impostare una pianificazione di sincronizzazione regolare per gli aggiornamenti successivi.

Si possono anche selezionare gli attributi LDAP che si desidera sincronizzare per gli utenti e associarli ad attributi di VMware Identity Manager.

La configurazione della directory LDAP può essere basata su schemi predefiniti, ma si possono creare anche schermi personalizzati. Inoltre si possono definire attributi personalizzati. Affinché VMware Identity Manager possa eseguire query nella directory LDAP per ottenere oggetti utente o gruppo, è necessario fornire i filtri di ricerca LDAP e i nomi degli attributi applicabili alla directory LDAP.

Nello specifico, è necessario fornire la seguenti informazioni.

  • Filtri di ricerca LDAP per ottenere gruppi, utenti e l'utente di binding

  • Nomi degli attributi LDAP per l'appartenenza ai gruppi, UUID e nome distinto

La funzionalità di integrazione della directory LDAP è soggetta a specifiche limitazioni. Vedere Limitazioni dell'integrazione della directory LDAP.

Prerequisiti

  • Se si utilizzano ulteriori appliance virtuali di un connettore esterno, si noti che è possibile integrare le directory LDAP solo con il connettore versione 2016.6.1 e successive.

  • Riesaminare gli attributi nella pagina Gestione identità e accessi > Configura > Attributi utente e aggiungere gli altri attributi che si desidera sincronizzare. La mappatura di questi attributi di VMware Identity Manager a quelli della directory LDAP viene eseguita in un secondo momento in fase di creazione della directory. Gli attributi vengono sincronizzati per gli utenti nella directory.

    Nota:

    Quando si apportano modifiche agli attributi degli utenti, considerare l'effetto sulle altre directory nel servizio. Se si pianifica di aggiungere sia Active Directory che directory LDAP, assicurarsi di non contrassegnare alcun attributo come obbligatorio, eccetto userName, che può essere contrassegnato come obbligatorio. Le impostazioni nella pagina Attributi utente si applica a tutte le directory nel servizio. Se un attributo è contrassegnato come obbligatorio, gli utenti senza l'attributo non vengono sincronizzati nel servizio di VMware Identity Manager.

  • Un account utente Nome distinto di binding. L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.

  • Nella directory LDAP, gli UUID di utenti e gruppi devono essere in formato testo normale.

  • Nella directory LDAP, per tutti gli utenti e i gruppi deve esistere un attributo di dominio.

    Questo attributo viene associato all'attributo dominio di VMware Identity Manager quando si crea la directory di VMware Identity Manager.

  • I nomi utente non devono contenere spazi. Se un nome utente contiene spazi, l'utente viene sincronizzato ma i permessi non saranno disponibili per l'utente.

  • Se si utilizza l'autenticazione con certificato, per gli utenti devono essere impostati valori per gli attributi userPrincipalName e indirizzo e-mail.

Procedura

  1. Nella console di amministrazione, selezionare la scheda Gestione identità e accessi.
  2. Nella pagina Directory, fare clic su Aggiungi directory e scegliere Aggiungi directory LDAP.
  3. Immettere le informazioni richieste nella pagina Aggiungi directory LDAP.

    Opzione

    Descrizione

    Nome directory

    Nome della directory di VMware Identity Manager.

    Sincronizzazione e autenticazione directory

    1. Nel campo Sincronizza connettore, selezionare il connettore che si desidera utilizzare per sincronizzare gli utenti e i gruppi dalla directory LDAP alla directory VMware Identity Manager.

      Per impostazione predefinita, un componente del connettore è sempre disponibile con il servizio VMware Identity Manager. Questo connettore verrà visualizzato nell'elenco a discesa. Se si installano più appliance di VMware Identity Manager per la disponibilità elevata, nell'elenco verrà visualizzato il componente del connettore di ciascuna appliance.

      Non è necessario un connettore separato per una directory LDAP. Un connettore può supportare più directory, indipendentemente dal fatto che siano Active Directory o directory LDAP.

      Per gli scenari in cui sono necessari connettori aggiuntivi, vedere "Installazione delle appliance di connettori aggiuntivi" nella guida all'installazione di VMware Identity Manager.

    2. Nel campo Autenticazione, scegliere se si desidera utilizzare questa directory LDAP per autenticare gli utenti.

      Se si desidera utilizzare un provider di identità di terze parti per autenticare gli utenti, fare clic su No. Dopo aver configurato la connessione alla directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità di terze parti per l'autenticazione.

    3. Nel campo Attributo di ricerca directory specificare l'attributo della directory LDAP da utilizzare per il nome utente. Se l'attributo non è presente, selezionare Personalizzato e immettere il nome dell'attributo. Ad esempio, cn.

    Posizione server

    Immettere l'host del server e il numero di porta della directory LDAP. Per l'host del server, è possibile specificare sia il nome di dominio completo che l'indirizzo IP. Ad esempio, serverLDAP.esempio.com o 100.00.00.0.

    Se è presente un cluster di server con il bilanciamento del carico, immettere invece le informazioni sul bilanciamento.

    Configurazione LDAP

    Specificare i filtri di ricerca LDAP e gli attributi che possono essere utilizzati da VMware Identity Manager per interrogare la propria directory LDAP. I valori predefiniti sono forniti in base allo schema LDAP principale.

    Query LDAP

    • Ottieni gruppi: il filtro di ricerca per ottenere gli oggetti gruppo.

      Ad esempio: (objectClass=group)

    • Ottieni utente bind: il filtro di ricerca per ottenere l'oggetto utente bind, ovvero l'utente che può collegarsi alla directory.

      Ad esempio: (objectClass=person)

    • Ottieni utente: il filtro di ricerca per ottenere gli utenti da sincronizzare.

      Ad esempio: (&(objectClass=user)(objectCategory=person))

    Attributi

    • Appartenenza: questo attributo è utilizzato nella directory LDAP per definire i membri di un gruppo.

      Ad esempio: member

    • UUID oggetto: l'attributo utilizzato nella directory LDAP per definire l'UUID di un utente o di un gruppo.

      Ad esempio: entryUUID

    • DN (Distinguished Name): l'attributo utilizzato nella directory LDAP per il nome distinto (DN) di un utente o un gruppo.

      Ad esempio: entryDN

    Certificati

    Se la directory LDAP richiede l'accesso su SSL, selezionare Questa directory richiede che tutte le connessioni utilizzino SSL e copiare e incollare il certificato SSL CA root del server della directory LDAP. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".

    Dettagli utente bind

    Nome distinto di base: immettere il DN da cui iniziare le ricerche. Ad esempio, cn=users,dc=example,dc=com

    Nome distinto di binding: immettere il nome utente da utilizzare per collegarsi alla directory LDAP.

    Nota:

    L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.

    Password nome distinto di binding: immettere la password per l'utente Nome distinto di binding

  4. Per eseguire il test della connessione al server di directory LDAP, fare clic su Test della connessione.

    Se la connessione non riesce, controllare le informazioni immesse ed apportare le modifiche necessarie.

  5. Fare clic su Salva e avanti.
  6. Verificare che il dominio corretto sia elencato nella pagina Domini e fare clic su Avanti.
  7. Nella pagina di associazione degli attributi, verificare che gli attributi di VMware Identity Manager siano associati agli attributi di LDAP corretti.
    Importante:

    È necessario specificare un'associazione per l'attributo dominio.

    È possibile aggiungere attributi all'elenco dalla pagina Attributi utente.

  8. Fare clic su Avanti.
  9. Nella pagina dei gruppi, fare clic su + per selezionare i gruppi che si desidera sincronizzare dalla directory LDAP alla directory di VMware Identity Manager.

    Se nella directory LDAP sono presenti più gruppi con lo stesso nome, sarà necessario specificare nomi univoci sulla relativa pagina.

    L'opzione Sincronizza membri del gruppo nidificati è attivata per impostazione predefinita. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo di livello superiore selezionato per la sincronizzazione. La gerarchia inferiore al gruppo selezionato viene di fatto appiattita e in VMware Identity Manager compaiono utenti provenienti da tutti i livelli come membri del gruppo selezionato.

    Se l'opzione è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo saranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e di tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti.

  10. Fare clic su Avanti.
  11. Fare clic su + per aggiungere altri utenti. Ad esempio, immettere CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

    Per escludere alcuni utenti, creare un filtro con cui escludere alcuni tipi di utenti. È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore.

    Fare clic su Avanti.

  12. Esaminare la pagina per sapere quanti utenti e gruppi verranno sincronizzati nella directory e per conoscere la pianificazione delle sincronizzazioni predefinita.

    Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica.

  13. Fare clic su Sincronizza directory per iniziare la sincronizzazione della directory.

Risultati

La connessione alla directory LDAP viene stabilita ed utenti e gruppi vengono sincronizzati dalla directory LDAP alla directory di VMware Identity Manager. Per impostazione predefinita, l'utente Nome distinto di binding ha un ruolo da amministratore in VMware Identity Manager.