Nella console di VMware Identity Manager, immettere le informazioni richieste per connettersi ad Active Directory e selezionare gli utenti e i gruppi da sincronizzare con la directory di VMware Identity Manager.
Le opzioni di connessione di Active Directory sono Active Directory su LDAP o Active Directory (autenticazione integrata di Windows). Una connessione Active Directory su LDAP supporta la ricerca posizione servizio DNS.
Prerequisiti
- Installare e attivare un'istanza del connettore di VMware Identity Manager. Vedere Installazione e configurazione di VMware Identity Manager Connector (Windows).
- Scegliere quali attributi devono essere necessari e aggiungere altri attributi nella pagina Attributi utente della console di VMware Identity Manager. Vedere Selezione degli attributi per la sincronizzazione con la directory.
- Creare un elenco di utenti e gruppi di Active Directory da sincronizzare da Active Directory. I nomi dei gruppi vengono sincronizzati con la directory immediatamente. I membri di un gruppo non vengono sincronizzati fino a quando il gruppo non viene autorizzato per le risorse o aggiunto a una regola del criterio. Gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo, devono essere aggiunti durante la configurazione iniziale.
- Per Active Directory su LDAP sono necessari DN di base, DN di binding e password del DN di binding.
L'utente DN di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo:
- Lettura
- Lettura di tutte le proprietà
- Autorizzazioni di lettura
Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. - Per Active Directory (autenticazione integrata di Windows), sono necessari il nome utente e la password dell'utente di binding che dispone dell'autorizzazione per eseguire query in utenti e gruppi dei domini richiesti.
L'utente di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo:
- Lettura
- Lettura di tutte le proprietà
- Autorizzazioni di lettura
Nota: È consigliabile utilizzare un account utente di binding con una password che non scada mai. - Se Active Directory richiede l'accesso su SSL o STARTTLS, sono necessari i certificati CA root dei controller di dominio per tutti i domini di Active Directory pertinenti.
- Per Active Directory su Autenticazione integrata di Windows, se sono configurate più foreste di Active Directory e il gruppo Dominio locale contiene membri di domini di altre foreste, assicurarsi che l'utente di binding sia aggiunto al gruppo Amministratori del dominio in cui si trova il gruppo Dominio locale. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale.
- Per Active Directory (autenticazione integrata di Windows):
- Per tutti i controller di dominio elencati nei record SRV e i controller di dominio di sola lettura nascosti, nslookup del nome host e indirizzo IP dovrebbero funzionare.
- Tutti i controller di dominio devono essere raggiungibili in termini di connettività di rete
Procedura
risultati
La connessione ad Active Directory viene stabilita e i nomi di gruppi e utenti vengono sincronizzati da Active Directory alla directory di VMware Identity Manager. Per impostazione predefinita, l'utente di binding ha un ruolo da amministratore in VMware Identity Manager.
Per ulteriori informazioni su come i gruppi vengono sincronizzati, vedere "Gestione di utenti e gruppi" in Amministrazione di VMware Identity Manager.
Operazioni successive
- Impostare i metodi di autenticazione. Dopo la sincronizzazione dei nomi di gruppi e utenti con la directory, se il connettore è utilizzato anche per l'autenticazione, è possibile impostare metodi di autenticazione aggiuntivi sul connettore. Se il provider di identità di autenticazione è di terze parti, configurare quel provider di identità nel connettore.
- Riesaminare il criterio di accesso predefinito. Il criterio di accesso predefinito è configurato per consentire a tutte le appliance in tutti gli intervalli di rete di accedere al portale Web, con un timeout di sessione impostato su otto ore, oppure di accedere a un'app client con un timeout di sessione di 2.160 ore (90 giorni). È possibile modificare il criterio di accesso predefinito e creare nuovi criteri quando si aggiungono applicazioni Web al catalogo.
- (In locale) Applicare un branding personalizzato alla console di VMware Identity Manager, alle pagine del portale utente e alla schermata di accesso, se necessario.