Nella console di VMware Identity Manager, immettere le informazioni richieste per connettersi ad Active Directory e selezionare gli utenti e i gruppi da sincronizzare con la directory di VMware Identity Manager.

Le opzioni di connessione di Active Directory sono Active Directory su LDAP o Active Directory (autenticazione integrata di Windows). Una connessione Active Directory su LDAP supporta la ricerca posizione servizio DNS.

Prerequisiti

  • Installare e attivare un'istanza del connettore di VMware Identity Manager. Vedere Installazione e configurazione di VMware Identity Manager Connector (Windows).
  • Scegliere quali attributi devono essere necessari e aggiungere altri attributi nella pagina Attributi utente della console di VMware Identity Manager. Vedere Selezione degli attributi per la sincronizzazione con la directory.
  • Creare un elenco di utenti e gruppi di Active Directory da sincronizzare da Active Directory. I nomi dei gruppi vengono sincronizzati con la directory immediatamente. I membri di un gruppo non vengono sincronizzati fino a quando il gruppo non viene autorizzato per le risorse o aggiunto a una regola del criterio. Gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo, devono essere aggiunti durante la configurazione iniziale.
  • Per Active Directory su LDAP sono necessari DN di base, DN di binding e password del DN di binding.

    L'utente DN di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo:

    • Lettura
    • Lettura di tutte le proprietà
    • Autorizzazioni di lettura
    Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.
  • Per Active Directory (autenticazione integrata di Windows), sono necessari il nome utente e la password dell'utente di binding che dispone dell'autorizzazione per eseguire query in utenti e gruppi dei domini richiesti.

    L'utente di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo:

    • Lettura
    • Lettura di tutte le proprietà
    • Autorizzazioni di lettura
    Nota: È consigliabile utilizzare un account utente di binding con una password che non scada mai.
  • Se Active Directory richiede l'accesso su SSL o STARTTLS, sono necessari i certificati CA root dei controller di dominio per tutti i domini di Active Directory pertinenti.
  • Per Active Directory su Autenticazione integrata di Windows, se sono configurate più foreste di Active Directory e il gruppo Dominio locale contiene membri di domini di altre foreste, assicurarsi che l'utente di binding sia aggiunto al gruppo Amministratori del dominio in cui si trova il gruppo Dominio locale. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale.
  • Per Active Directory (autenticazione integrata di Windows):
    • Per tutti i controller di dominio elencati nei record SRV e i controller di dominio di sola lettura nascosti, nslookup del nome host e indirizzo IP dovrebbero funzionare.
    • Tutti i controller di dominio devono essere raggiungibili in termini di connettività di rete

Procedura

  1. Nella console di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi.
  2. Sulla pagina Directory, fare clic su Aggiungi directory.
  3. Immettere un nome per questa directory di VMware Identity Manager.
  4. Selezionare il tipo di Active Directory nel proprio ambiente e configurare le informazioni sulla connessione.
    Opzione Descrizione
    Active Directory su LDAP
    1. Nella casella di testo Connettore di sincronizzazione, selezionare il connettore da utilizzare per la sincronizzazione con Active Directory.
    2. Nella casella di testo Autenticazione, se questo Active Directory è utilizzato per autenticare gli utenti, fare clic su .

      Se per autenticare gli utenti viene invece utilizzato un provider di identità di terze parti, fare clic su No. Dopo aver configurato la connessione ad Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità per l'autenticazione.

    3. Nella casella di testo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente.
    4. Se si desidera utilizzare la ricerca della posizione del servizio DNS per Active Directory, effettuare le selezioni riportate di seguito.
      • Nella sezione Posizione server, selezionare la casella di controllo Questa directory supporta la posizione servizio DNS.

        VMware Identity Manager individua e utilizza i controller di dominio ottimali. Se non si desidera utilizzare la selezione dei controller di dominio ottimizzata, seguire invece le procedure descritte nel passaggio e.

      • Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nella casella di testo Certificato SSL.

        Assicurarsi che il certificato sia in formato PEM e che includa le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".

        Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory.
    5. Se non si desidera utilizzare la ricerca della posizione del servizio DNS per Active Directory, effettuare le selezioni riportate di seguito.
      • Nella sezione Posizione server, verificare che la casella di controllo Questa directory supporta posizione servizio DNS non sia selezionata ed immettere il nome host e il numero di porta del server Active Directory.

        Per configurare la directory come catalogo globale, vedere la sezione Ambiente con foresta Active Directory singola e multidominio in Ambienti Active Directory.

      • Se Active Directory richiede l'accesso su SSL, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL.

        Assicurarsi che il certificato sia in formato PEM e che includa le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".

        Se la directory ha più domini, aggiungere i certificati CA root di tutti i domini, uno di seguito all'altro.

        Nota: Se Active Directory richiede SSL e non si fornisce il certificato, non sarà possibile creare la directory.
    6. Nel campo Nome distinto di base, immettere il nome distinto da cui iniziare le ricerche degli account. Ad esempio, OU=myUnit,DC=myCorp,DC=com.
    7. Nel campo Nome distinto di binding, immettere l'account che può ricercare gli utenti. Ad esempio, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
      Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.
    8. Dopo aver immesso la password di binding, fare clic su Test della connessione per verificare che la propria directory possa collegarsi a Active Directory.
    Active Directory (autenticazione integrata di Windows)
    1. Nella casella di testo Connettore di sincronizzazione, selezionare il connettore da utilizzare per la sincronizzazione con Active Directory.
    2. Nella casella di testo Autenticazione, se questo Active Directory è utilizzato per autenticare gli utenti, fare clic su .

      Se per autenticare gli utenti viene invece utilizzato un provider di identità di terze parti, fare clic su No. Dopo aver configurato la connessione ad Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità per l'autenticazione.

    3. Nella casella di testo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente.
    4. Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino STARTTLS nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nella casella di testo Certificato SSL.

      Assicurarsi che il certificato sia in formato PEM e che includa le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".

      Se la directory ha più domini, aggiungere i certificati CA root di tutti i domini, uno di seguito all'altro.

      Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory.
    5. Nella sezione Dettagli utente di binding, immettere il nome utente e la password dell'utente di binding che dispone dell'autorizzazione per eseguire query in utenti e gruppi dei domini richiesti. Per il nome utente, immettere sAMAccountName, ad esempio jdoe. Se il dominio dell'utente di binding è diverso da quello immesso in precedenza in Entra in dominio, immettere il nome utente come sAMAccountName@domain, dove domain è il nome di dominio completo. Ad esempio, [email protected].
      Nota: È consigliabile utilizzare un account utente di binding con una password che non scada mai.
  5. Fare clic su Salva e avanti.
    Verrà visualizzata la pagina con l'elenco di domini.
  6. Per Active Directory su LDAP, i domini sono elencati con un segno di spunta.
    Per Active Directory (autenticazione integrata di Windows), selezionare i domini da associare a questa connessione ad Active Directory.
    Nota: se si aggiunge un dominio trusting dopo aver creato la directory, il servizio non rileva automaticamente il nuovo dominio trusting. Per consentire al servizio di rilevare il dominio, connettore deve essere tolto e poi aggiunto nuovamente al dominio. Quando connettore si unisce nuovamente al dominio, il dominio trusting comparirà nell'elenco.

    Fare clic su Avanti.

  7. Verificare che i nomi degli attributi della directory di VMware Identity Manager siano mappati agli attributi di Active Directory corretti, apportare le modifiche eventualmente necessarie, quindi fare clic su Avanti.
  8. Selezionare i gruppi che si desidera sincronizzare da Active Directory alla directory di VMware Identity Manager.
    Quando vengono aggiunti gruppi in questo campo, i nomi dei gruppi vengono sincronizzati con la directory. Gli utenti che sono membri del gruppo non vengono sincronizzati con la directory fino a quando il gruppo è autorizzato per un'applicazione o il nome del gruppo viene aggiunto a una regola del criterio di accesso. Tutte le sincronizzazioni pianificate successive trasferiscono informazioni aggiornate da Active Directory per i nomi di questi gruppi.
    Opzione Descrizione
    Specificare i DN gruppo Per selezionare i gruppi, specificare uno o più DN e selezionare i gruppi in essi contenuti.
    1. Fare clic su + e specificare il DN del gruppo. Ad esempio, CN=users,DC=example,DC=company,DC=com.
      Importante: Specificare i DN dei gruppi contenuti nel DN di base inserito. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.
    2. Fare clic su Trova gruppi.

      Nella colonna Gruppi da sincronizzare, è presente il numero di gruppi trovati nel DN.

    3. Per selezionare tutti i gruppi nel DN, fare clic su Seleziona tutto oppure fare clic su Seleziona e selezionare i gruppi specifici da sincronizzare.
    Nota: Quando si sincronizza un gruppo, gli utenti che non hanno Utenti di dominio come gruppo primario in Active Directory non vengono sincronizzati.
    Sincronizza membri del gruppo nidificati

    Per impostazione predefinita, l'opzione Sincronizza membri del gruppo nidificati è abilitata. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati quando il gruppo viene autorizzato. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo principale selezionato per la sincronizzazione.

    Se l'opzione Sincronizza membri del gruppo nidificati è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo verranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di Active Directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti.

  9. Fare clic su Avanti.
  10. Specificare gli utenti da sincronizzare.
    Poiché i membri nei gruppi non vengono sincronizzati con la directory finché il gruppo non viene autorizzato per le applicazioni o aggiunto a una regola del criterio di accesso, aggiungere tutti gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo.
    1. Fare clic su + e inserire i DN degli utenti. Ad esempio, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Specificare i DN degli utenti contenuti nel DN di base immesso. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.
    2. (Facoltativo) Per escludere utenti, creare un filtro con cui escludere alcuni tipi di utenti.
      Selezionare l'attributo da utilizzare per filtrare gli utenti, nonché la regola della query da applicare, quindi aggiungere il valore. Nel valore viene fatta distinzione tra maiuscole e minuscole. I seguenti caratteri non possono essere usati nella stringa: *^()?!$.
  11. Specificare gli utenti da sincronizzare.
    Poiché i membri nei gruppi non vengono sincronizzati con la directory finché il gruppo non viene autorizzato per le applicazioni o aggiunto a una regola del criterio di accesso, aggiungere tutti gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo.
    1. Fare clic su + e inserire i DN degli utenti. Ad esempio, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Specificare i DN degli utenti contenuti nel DN di base immesso. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.
    2. (Facoltativo) Per escludere utenti, creare filtri per escludere utenti in base all'attributo selezionato. È possibile creare più filtri di esclusione.
      Selezionare l'attributo utente in base al quale applicare il filtro e il filtro di query da applicare al valore definito.
      Opzione Descrizione
      Contiene Esclude tutti gli utenti che soddisfano l'attributo e il set di valori. Ad esempio, il nome contiene Jane esclude gli utenti che si chiamano "Jane".
      Non contiene Esclude tutti gli utenti, ad eccezione di quelli che soddisfano l'attributo e il set di valori. Ad esempio, telephoneNumber non contiene 800 include solo gli utenti con un numero di telefono che include "800".
      Inizia con Esclude tutti gli utenti in cui i caratteri iniziano con <xxx> nel valore dell'attributo. Ad esempio, employeeID inizia con ACME0 esclude tutti gli utenti che dispongono di un ID dipendente che inizia con "ACME0".
      Finisce con Esclude tutti gli utenti in cui caratteri terminano con <yyy> nel valore dell'attributo. Ad esempio, mail finisce con example1.com esclude tutti gli utenti che dispongono di un indirizzo e-mail che termina con "example1.com".
    Nel valore viene fatta distinzione tra maiuscole e minuscole. La stringa del valore non può contenere i seguenti simboli.
    • Asterisco *
    • Accento circonflesso ^
    • Parentesi ()
    • Punto interrogativo ?
    • Punto esclamativo !
    • Simbolo del dollaro $
  12. Fare clic su Avanti.
  13. Rivedere la pagina per verificare quanti utenti e gruppi vengono sincronizzati con la directory e visualizzare la pianificazione della sincronizzazione.

    Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica.

  14. Fare clic su Sincronizza directory per avviare la sincronizzazione con la directory.

risultati

La connessione ad Active Directory viene stabilita e i nomi di gruppi e utenti vengono sincronizzati da Active Directory alla directory di VMware Identity Manager. Per impostazione predefinita, l'utente di binding ha un ruolo da amministratore in VMware Identity Manager.

Per ulteriori informazioni su come i gruppi vengono sincronizzati, vedere "Gestione di utenti e gruppi" in Amministrazione di VMware Identity Manager.

Operazioni successive

  • Impostare i metodi di autenticazione. Dopo la sincronizzazione dei nomi di gruppi e utenti con la directory, se il connettore è utilizzato anche per l'autenticazione, è possibile impostare metodi di autenticazione aggiuntivi sul connettore. Se il provider di identità di autenticazione è di terze parti, configurare quel provider di identità nel connettore.
  • Riesaminare il criterio di accesso predefinito. Il criterio di accesso predefinito è configurato per consentire a tutte le appliance in tutti gli intervalli di rete di accedere al portale Web, con un timeout di sessione impostato su otto ore, oppure di accedere a un'app client con un timeout di sessione di 2.160 ore (90 giorni). È possibile modificare il criterio di accesso predefinito e creare nuovi criteri quando si aggiungono applicazioni Web al catalogo.
  • (In locale) Applicare un branding personalizzato alla console di VMware Identity Manager, alle pagine del portale utente e alla schermata di accesso, se necessario.