È possibile integrare la directory LDAP dell'azienda con VMware Identity Manager per sincronizzare utenti e gruppi dalla directory LDAP al servizio di VMware Identity Manager.

1. Nella console di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi.
2. Nella pagina Directory, fare clic su Aggiungi directory e scegliere Aggiungi directory LDAP.
3. Immettere le informazioni richieste nella pagina Aggiungi directory LDAP.

   Opzione	Descrizione
   Nome directory	Nome della directory di VMware Identity Manager.
   Sincronizzazione e autenticazione directory	Nella casella di testo Connettore di sincronizzazione, selezionare il connettore che si desidera utilizzare per sincronizzare gli utenti e i gruppi dalla directory LDAP alla directory VMware Identity Manager. Non è necessario usare un connettore separato per una directory LDAP. Un connettore può supportare più directory, indipendentemente dal fatto che siano Active Directory o directory LDAP. Per gli scenari in cui sono necessari connettori aggiuntivi, vedere Installazione e configurazione di VMware Identity Manager. Nella casella di testo Autenticazione, scegliere Sì se si desidera utilizzare questa directory LDAP per autenticare gli utenti. Se si desidera utilizzare un provider di identità di terze parti per autenticare gli utenti, fare clic su No. Dopo aver configurato la connessione alla directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità di terze parti per l'autenticazione. Nella casella di testo Attributo di ricerca directory selezionare l'attributo della directory LDAP da utilizzare per i nomi utente. Se l'attributo non è elencato, selezionare Personalizzato e digitare il nome dell'attributo personalizzato da utilizzare per gli utenti e i gruppi. Ad esempio, cn.
   Posizione server	Immettere l'host del server e il numero di porta della directory LDAP. Per l'host del server, è possibile specificare sia il nome di dominio completo che l'indirizzo IP. Ad esempio, serverLDAP.esempio.com o 100.00.00.0. Se è presente un cluster di server con il bilanciamento del carico, immettere invece le informazioni sul bilanciamento.
   Configurazione LDAP	Specificare i filtri di ricerca LDAP e gli attributi che possono essere utilizzati da VMware Identity Manager per interrogare la propria directory LDAP. I valori predefiniti sono forniti in base allo schema LDAP principale. Query filtro Gruppi: il filtro di ricerca per ottenere gli oggetti gruppo. Ad esempio: (objectClass=groupOfNames) Utente bind: il filtro di ricerca per ottenere l'oggetto utente bind, ovvero l'utente che può eseguire il binding alla directory. Ad esempio: (objectClass=person) Utenti: il filtro di ricerca per ottenere gli utenti da sincronizzare. Ad esempio: (&(objectClass=user)(objectCategory=person)) Attributi Appartenenza: questo attributo è utilizzato nella directory LDAP per definire i membri di un gruppo. Ad esempio: member UUID oggetto: l'attributo utilizzato nella directory LDAP per definire l'UUID per un oggetto utente o gruppo. Ad esempio: entryUUID Nome distinto: (facoltativo) l'attributo che viene utilizzato nella directory LDAP per il nome distinto di un utente o un gruppo. Ad esempio: dn Per impostazione predefinita, l'attributo del nome distinto viene utilizzato per identificare in modo univoco gli oggetti utente e gruppo. Se lo schema LDAP non dispone dell'attributo del nome distinto, selezionare l'opzione Abilita configurazione LDAP avanzata e immettere i valori da utilizzare per identificare i gruppi e gli utenti. Abilita configurazione LDAP avanzata: selezionare la casella di controllo per visualizzare le opzioni della configurazione LDAP avanzata. Utilizzare la configurazione avanzata se lo schema LDAP non dispone dell'attributo del nome distinto o se utilizza posixGroups. Filtro gruppo: il valore da utilizzare per eseguire query e identificare gruppi. Questo valore è obbligatorio se lo schema LDAP non dispone dell'attributo del nome distinto. Ad esempio: cn Filtro utente: il valore da utilizzare per eseguire query sugli utenti e identificarli. Questo valore è obbligatorio se lo schema LDAP non dispone dell'attributo del nome distinto. Ad esempio: uid Filtro mappatura appartenenza utente: (facoltativo) questa opzione è in genere necessaria per le directory LDAP che utilizzano posixGroups. L'opzione Filtro mappatura appartenenza utente viene utilizzata per eseguire query sugli utenti e identificare quelli restituiti dall'attributo di appartenenza. Ad esempio: uidNumber
   Certificati	Se la directory LDAP richiede l'accesso tramite SSL, selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino SSL e copiare e incollare nella casella di testo il certificato SSL CA root del server della directory LDAP. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".
   Dettagli utente bind	Nome distinto di base: immettere il DN da cui iniziare le ricerche. Ad esempio, cn=users,dc=example,dc=com Nome distinto di binding: immettere il nome utente da utilizzare per collegarsi alla directory LDAP. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Password utente bind: immettere la password per l'utente bind.

4. Per eseguire il test della connessione al server di directory LDAP, fare clic su Test della connessione.
   Se la connessione non riesce, controllare le informazioni immesse ed apportare le modifiche necessarie.
5. Fare clic su Salva e avanti.
6. Verificare che il dominio corretto sia elencato nella pagina Domini e fare clic su Avanti.
7. Nella pagina di associazione degli attributi, verificare che gli attributi di VMware Identity Manager siano associati agli attributi di LDAP corretti.

   Questi attributi saranno sincronizzati per gli utenti.

   Importante: È necessario specificare un'associazione per l'attributo dominio.

   È possibile aggiungere attributi all'elenco dalla pagina Attributi utente.

8. Fare clic su Avanti.
9. Nella pagina dei gruppi, fare clic su + per selezionare i gruppi che si desidera sincronizzare dalla directory LDAP alla directory di VMware Identity Manager.

   Quando vengono aggiunti gruppi, i nomi dei gruppi vengono sincronizzati con la directory. Gli utenti che sono membri del gruppo non vengono sincronizzati con la directory fino a quando il gruppo è autorizzato per un'applicazione o il nome del gruppo viene aggiunto a una regola del criterio di accesso.

   Se nella directory LDAP sono presenti più gruppi con lo stesso nome, sarà necessario specificare nomi univoci sulla relativa pagina.

   L'opzione Sincronizza membri del gruppo nidificati è attivata per impostazione predefinita. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi nidificati quando il gruppo è autorizzato. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo di livello superiore selezionato per la sincronizzazione. La gerarchia inferiore al gruppo selezionato viene di fatto appiattita e in VMware Identity Manager compaiono utenti provenienti da tutti i livelli come membri del gruppo selezionato.

   Se l'opzione è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo saranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e di tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti.

10. Fare clic su Avanti.
11. Fare clic su + per aggiungere utenti. Ad esempio, immettere CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
    Poiché i membri nei gruppi non vengono sincronizzati con la directory finché il gruppo non viene autorizzato per le applicazioni o aggiunto a una regola del criterio di accesso, aggiungere tutti gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo.

    Per escludere alcuni utenti, creare un filtro con cui escludere alcuni tipi di utenti. È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore.

    Fare clic su Avanti.

12. Esaminare la pagina per sapere quanti nomi di utenti e gruppi verranno sincronizzati nella directory e per conoscere la pianificazione delle sincronizzazioni predefinita.

    Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica.

13. Fare clic su Sincronizza directory per iniziare la sincronizzazione della directory.