Nella console di amministrazione, specificare le informazioni richieste per collegarsi ad Active Directory e selezionare gli utenti e i gruppi da sincronizzare con la directory di VMware Identity Manager.

Informazioni su questa attività

Le opzioni di connessione di Active Directory sono Active Directory su LDAP o l'autenticazione integrata di Windows per Active Directory. Una connessione Active Directory su LDAP supporta la ricerca posizione servizio DNS. Con l'autenticazione integrata di Windows per Active Directory viene configurato il dominio da aggiungere.

Prerequisiti

  • Nella pagina Attributi utente, selezionare quali attributi sono obbligatori e aggiungere altri attributi, se necessario. Vedere Selezione degli attributi per la sincronizzazione con la directory.

    Importante:

    Se si pianifica la sincronizzazione delle risorse XenApp con VMware Identity Manager, è necessario rendere distinguishedName un attributo obbligatorio. Questa selezione deve essere effettuata prima di creare una directory in quanto gli attributi non possono essere modificati in obbligatori una volta creata la directory.

  • Elenco di gruppi e utenti Active Directory da sincronizzare da Active Directory.

  • Per Active Directory su LDAP, le informazioni obbligatorie includono Nome distinto di base, Nome distinto di binding e Password nome distinto di binding.

    Nota:

    L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.

  • Per l'autenticazione integrata di Windows in Active Directory, le informazioni obbligatorie sono l'indirizzo UPN utente di binding del dominio e la relativa password.

    Nota:

    L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.

  • Se Active Directory richiede l'accesso su SSL o STARTTLS, il certificato CA root del controller del dominio di Active Directory è obbligatorio.

  • Per l'autenticazione integrata di Windows in Active Directory, se sono configurate più foreste Active Directory e il gruppo Dominio locale contiene membri di domini di foreste diverse, verificare che l'utente di binding sia aggiunto al gruppo Administrators del dominio in cui risiede il gruppo Dominio locale. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale.

Procedura

  1. Nella console di amministrazione, selezionare la scheda Gestione identità e accessi.
  2. Sulla pagina Directory, fare clic su Aggiungi directory.
  3. Immettere un nome per questa directory di VMware Identity Manager.
  4. Selezionare il tipo di Active Directory nel proprio ambiente e configurare le informazioni sulla connessione.

    Opzione

    Descrizione

    Active Directory su LDAP

    1. Nel campo Sincronizza connettore, selezionare il connettore da utilizzare per la sincronizzazione con Active Directory.

    2. Nel campo Autenticazione, se questo Active Directory è utilizzato per autenticare gli utenti, fare clic su .

      Se per autenticare gli utenti viene invece utilizzato un provider di identità di terze parti, fare clic su No. Dopo aver configurato la connessione ad Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità per l'autenticazione.

    3. Nel campo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente.

    4. Se Active Directory utilizza la ricerca DNS posizione servizio, effettuare le selezioni riportate di seguito.

      • Nella sezione Posizione server, selezionare la casella di spunta Questa directory supporta la posizione servizio DNS.

        Quando viene creata la directory, sarà creato un file domain_krb.properties, completato automaticamente con un elenco di controller del dominio. Vedere Informazioni sulla selezione dei controller di dominio (file domain_krb.properties).

      • Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL.

        Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".

        Nota:

        Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory.

    5. Se Active Directory non utilizza la ricerca posizione servizio DNS, effettuare le selezioni riportate di seguito.

      • Nella sezione Posizione server, verificare che la casella di spunta Questa directory supporta posizione servizio DNS non sia selezionata ed immettere il nome host e il numero di porta del server Active Directory.

        Per configurare la directory come catalogo globale, vedere la sezione Ambiente con foresta Active Directory singola e multidominio in Ambienti Active Directory.

      • Se Active Directory richiede l'accesso su SSL, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL.

        Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".

        Nota:

        Se Active Directory richiede SSL e non si fornisce il certificato, non sarà possibile creare la directory.

    6. Nel campo Nome distinto di base, immettere il nome distinto da cui iniziare le ricerche degli account. Ad esempio, OU=myUnit,DC=myCorp,DC=com.

    7. Nel campo Nome distinto di binding, immettere l'account che può ricercare gli utenti. Ad esempio, CN=binduser,OU=myUnit,DC=myCorp,DC=com.

      Nota:

      L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.

    8. Dopo aver immesso la password di binding, fare clic su Test della connessione per verificare che la propria directory possa collegarsi a Active Directory.

    Active Directory (autenticazione integrata di Windows)

    1. Nel campo Sincronizza connettore, selezionare il connettore da utilizzare per la sincronizzazione con Active Directory .

    2. Nel campo Autenticazione, se questo Active Directory è utilizzato per autenticare gli utenti, fare clic su .

      Se per autenticare gli utenti viene invece utilizzato un provider di identità di terze parti, fare clic su No. Dopo aver configurato la connessione ad Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità per l'autenticazione.

    3. Nel campo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente.

    4. Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino STARTTLS nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL.

      Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".

      Se la directory ha più domini, aggiungere i certificati CA root per tutti i domini, uno alla volta.

      Nota:

      Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory.

    5. Immettere il nome del dominio di Active Directory da aggiungere. Immettere un nome utente e una password con i diritti per aggiungere il dominio. Vedere Permessi richiesti per l'unione a un dominio per ulteriori informazioni.

    6. Nella casella di testo UPN utente di binding, immettere il nome dell'entità utente che si autenticherà nel dominio. Ad esempio username@esempio.com.

      Nota:

      L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.

    7. Specificare la password dell'utente Binding.

  5. Fare clic su Salva e avanti.

    Verrà visualizzata la pagina con l'elenco di domini.

  6. Per Active Directory su LDAP, i domini sono elencati con un segno di spunta.

    Per Active Directory (autenticazione integrata di Windows), selezionare i domini da associare a questa connessione ad Active Directory.

    Nota:

    se si aggiunge un dominio trusting dopo aver creato la directory, il servizio non rileva automaticamente il nuovo dominio trusting. Per consentire al servizio di rilevare il dominio, connettore deve essere tolto e poi aggiunto nuovamente al dominio. Quando connettore si unisce nuovamente al dominio, il dominio trusting comparirà nell'elenco.

    Fare clic su Avanti.

  7. Verificare che i nomi degli attributi della directory di VMware Identity Manager siano mappati agli attributi di Active Directory corretti, apportare le modifiche eventualmente necessarie, quindi fare clic su Avanti.
  8. Selezionare i gruppi che si desidera sincronizzare da Active Directory alla directory di VMware Identity Manager.

    Opzione

    Descrizione

    Specificare i DN gruppo

    Per selezionare i gruppi, specificare uno o più DN e selezionare i gruppi in essi contenuti.

    1. Fare clic su + e specificare il DN del gruppo. Ad esempio, CN=users,DC=example,DC=company,DC=com.

      Importante:

      Specificare i DN dei gruppi contenuti nel DN di base inserito. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.

    2. Fare clic su Trova gruppi.

      Nella colonna Gruppi da sincronizzare, è presente il numero di gruppi trovati nel DN.

    3. Per selezionare tutti i gruppi nel DN, fare clic su Seleziona tutto oppure fare clic su Seleziona e selezionare i gruppi specifici da sincronizzare.

    Nota:

    Quando si sincronizza un gruppo, gli utenti che non hanno Utenti di dominio come gruppo primario in Active Directory non vengono sincronizzati.

    Sincronizza membri del gruppo nidificati

    Per impostazione predefinita, l'opzione Sincronizza membri del gruppo nidificati è abilitata. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo principale selezionato per la sincronizzazione.

    Se l'opzione Sincronizza membri del gruppo nidificati è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo verranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di Active Directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti.

  9. Fare clic su Avanti.
  10. Specificare altri utenti da sincronizzare, se necessario.
    1. Fare clic su + e inserire i DN degli utenti. Ad esempio, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante:

      Specificare i DN degli utenti contenuti nel DN di base inserito. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.

    2. (Facoltativo) Per escludere utenti, creare un filtro con cui escludere alcuni tipi di utenti.

      È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore.

  11. Fare clic su Avanti.
  12. Rivedere la pagina per verificare quanti utenti e gruppi vengono sincronizzati con la directory e visualizzare la pianificazione della sincronizzazione.

    Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica.

  13. Fare clic su Sincronizza directory per avviare la sincronizzazione con la directory.

Risultati

La connessione a Active Directory viene stabilita e gli utenti e i gruppi vengono sincronizzati da Active Directory alla directory VMware Identity Manager. Per impostazione predefinita, l'utente Nome distinto di binding ha un ruolo da amministratore in VMware Identity Manager.

Operazioni successive

  • Se è stata creata una directory che supporta la posizione servizio DNS, viene creato un file domain_krb.properties completato automaticamente con un elenco di controller del dominio. Visualizzare il file per verificare o modificare l'elenco di controller del dominio. Vedere Informazioni sulla selezione dei controller di dominio (file domain_krb.properties).

  • Impostare i metodi di autenticazione. Dopo la sincronizzazione di utenti e gruppi con la directory, se il connettore è utilizzato anche per l'autenticazione, è possibile impostare metodi di autenticazione aggiuntivi sul connettore. Se il provider di identità di autenticazione è di terze parti, configurare quel provider di identità nel connettore.

  • Riesaminare il criterio di accesso predefinito. Il criterio di accesso predefinito è configurato per consentire l'accesso al browser Web da parte di tutte le appliance in tutti gli intervalli di rete, con un timeout di sessione impostato a otto ore, oppure l'accesso a un'app client con un timeout di sessione di 2.160 ore (90 giorni). È possibile modificare il criterio di accesso predefinito e creare nuovi criteri quando si aggiungono applicazioni Web al catalogo.

  • Applicare un branding personalizzato alla console di amministrazione, alle pagine del portale degli utenti e alla schermata di accesso.