Una volta distribuito il file istanza di VMware Identity Manager, sarà possibile utilizzare la procedura guidata di impostazione per impostare le password e selezionare un database. Quindi, sarà possibile configurare la connessione alla directory Active Directory o LDAP.

Assicurarsi di eseguire l'installazione guidata utilizzando il nome host completo. Non immettere l'indirizzo IP come nome.

Prerequisiti

  • La macchina VMware Identity Manager è accesa.
  • Il database esterno è configurato e le informazioni sulla connessione del database esterno sono disponibili. Prima di eseguire l'installazione guidata, verificare che la configurazione del database sia corretta. Vedere Creazione del database del servizio VMware Identity Manager per informazioni.
  • Prima di impostare la directory, rivedere Integrazione della directory con VMware Identity Manager per i requisiti e le limitazioni.
  • Le informazioni sulla directory Active Directory o LDAP devono essere disponibili.
  • Quando è configurato un Active Directory multi-foresta e il gruppo Dominio locale contiene membri da domini in foreste differenti, l'utente Nome distinto di binding utilizzato sulla pagina Directory di VMware Identity Manager deve essere aggiunto al gruppo Amministratori del dominio in cui si trova il gruppo Dominio locale, In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale.
  • È presente un elenco di attributi utente da poter utilizzare come filtri e un elenco dei gruppi e degli utenti che possono essere aggiunti a VMware Identity Manager.

    I nomi dei gruppi vengono sincronizzati con la directory immediatamente. I membri di un gruppo non vengono sincronizzati fino a quando il gruppo non viene autorizzato per le risorse o aggiunto a una regola del criterio. Gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo, devono essere aggiunti direttamente durante la configurazione iniziale.

Procedura

  1. Passare all'URL di VMware Identity Manager visualizzato al termine dell'installazione. Immettere il nome di dominio completo (FQDN). Ad esempio, https://nomehost.esempio.com.
  2. Accettare il certificato, se richiesto.
    È possibile aggiornare il certificato dopo la configurazione iniziale.
  3. Sulla pagina Inizia, fare clic su Continua.
  4. Sulla pagina Imposta password, impostare le password per gli account amministratore riportati, utilizzati per gestire l'appliance, quindi fare clic su Continua.
    Account
    Amministratore dell'appliance Impostare la password per l'utente amministratore. Questo nome utente non può essere modificato. L'account utente amministratore admin è utilizzato per gestire le impostazioni dell'appliance.
    Importante: La password dell'utente admin deve essere di almeno 6 caratteri.
    Root appliance Impostare la password dell'utente root. L'utente root ha i diritti completi per l'appliance.
    Utente remoto Impostare la password per sshuser, utilizzato per collegarsi in remoto all'appliance con una connessione SSH.
  5. Sulla pagina Seleziona database, selezionare il database da utilizzare.
    • Se si utilizza un database esterno, selezionare Database esterno ed immettere le relative informazioni, il nome utente e la password. Per verificare che VMware Identity Manager possa connettersi al database, fare clic su Test della connessione.

      Una volta eseguito il test della connessione, fare clic su Continua.

    • Se si utilizza il database interno, fare clic su Continua.
      Nota: Non è consigliabile utilizzare il database interno per l'utilizzo con le distribuzioni di produzione.
    La connessione al database verrà configurata e il database verrà inizializzato. Una volta completato il processo, verrà visualizzata la pagina Configurazione completata.
  6. Fare clic sul collegamento Accedere alla console di amministrazione sulla pagina Configurazione completata per accedere alla console di VMware Identity Manager in modo da configurare la connessione ad Active Directory o alla directory LDAP.
  7. Accedere alla console di VMware Identity Manager come utente amministratore utilizzando la password configurata.
    Si è connessi come amministratore locale e viene visualizzata la pagina Directory. Prima di aggiungere una directory, consultare Integrazione della directory con VMware Identity Manager per conoscere requisiti e limitazioni.
  8. Selezionare la scheda Gestione identità e accessi.
  9. Fare clic su Configura > Attributi utente per selezionare gli attributi utente per la sincronizzazione con la directory.
    Verranno visualizzati gli attributi predefiniti e potranno essere selezionati quelli necessari. Se un attributo è contrassegnato come obbligatorio, soltanto gli utenti con quell'attributo saranno sincronizzati con il servizio. Sarà inoltre possibile aggiungere altri attributi.
    Importante: Una volta creata una directory, non sarà possibile modificare un attributo in modo che sia obbligatorio. È necessario definire questa impostazione ora.

    Inoltre, tenere presente che le impostazioni sulla pagina Attributi utente si applicano a tutte le directory nel servizio. Quando si contrassegna un attributo come obbligatorio, considerarne l'effetto su altre directory. Se un attributo è contrassegnato come obbligatorio, gli utenti senza quell'attributo non saranno sincronizzati con il servizio.

  10. Fare clic su Salva.
  11. Selezionare la scheda Gestione identità e accessi.
  12. Sulla pagina Directory, fare clic su Aggiungi directory e selezionare Aggiungi Active Directory su LDAP/IWA o Aggiungi directory LDAP, in base al tipo di directory che si sta integrando.
    È inoltre possibile creare una directory locale nel servizio. Per ulteriori informazioni sull'utilizzo delle directory locali, vedere #GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665.
  13. Per Active Directory, effettuare le operazioni riportate di seguito.
    1. Immettere un nome per la directory che si sta creando in VMware Identity Manager quindi selezionare il tipo di directory, Active Directory su LDAP o Active Directory (Autenticazione integrata di Windows).
    2. Specificare le informazioni sulla connessione.
      Opzione Descrizione
      Active Directory su LDAP
      1. Nel campo Sincronizza connettore, selezionare il connettore che si desidera utilizzare per sincronizzare gli utenti e i gruppi da Active Directory alla directory VMware Identity Manager.

        Per impostazione predefinita, un componente del connettore è sempre disponibile con il servizio VMware Identity Manager. Questo connettore verrà visualizzato nell'elenco a discesa. Se si installano più appliance di VMware Identity Manager per la disponibilità elevata, nell'elenco verrà visualizzato il componente del connettore di ciascuna appliance.

      2. Nel campo Autenticazione, selezionare se si desidera utilizzare questo Active Directory per autenticare gli utenti.

        Se si desidera utilizzare un provider di identità di terze parti per autenticare gli utenti, fare clic su No. Dopo aver configurato la connessione a Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità di terze parti per l'autenticazione.

      3. Nel campo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente.
      4. Se Active Directory utilizza la ricerca DNS posizione servizio, effettuare le selezioni riportate di seguito.
        • Nella sezione Posizione server, selezionare la casella di spunta Questa directory supporta la posizione servizio DNS.
        • Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL.

          Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".

          Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory.
      5. Se Active Directory non utilizza la ricerca posizione servizio DNS, effettuare le selezioni riportate di seguito.
        • Nella sezione Posizione server, verificare che la casella di spunta Questa directory supporta posizione servizio DNS non sia selezionata ed immettere il nome host e il numero di porta del server Active Directory.

          Per configurare la directory come catalogo globale, vedere la sezione dell'ambiente Active Directory a singola foresta multidominio in "Ambienti Active Directory" in Integrazione della directory con VMware Identity Manager.

        • Se Active Directory richiede l'accesso su SSL, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL.

          Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".

          Nota: Se Active Directory richiede SSL e non si fornisce il certificato, non sarà possibile creare la directory.
      6. Nella sezione Consenti modifica password selezionare Attiva modifica password se si desidera che gli utenti possano reimpostare le loro password dalla pagina di accesso a VMware Identity Manager se la password scade o se l'amministratore di Active Directory la reimposta.
      7. Nel campo Nome distinto di base, immettere il nome distinto da cui iniziare le ricerche degli account. Ad esempio, OU=myUnit,DC=myCorp,DC=com.
      8. Nel campo Nome distinto di binding, immettere l'account che può ricercare gli utenti. Ad esempio, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
        Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.
      9. Dopo aver immesso la password di binding, fare clic su Test della connessione per verificare che la propria directory possa collegarsi a Active Directory.
      Active Directory (autenticazione integrata di Windows)
      1. Nel campo Sincronizza connettore, selezionare il connettore che si desidera utilizzare per sincronizzare gli utenti e i gruppi da Active Directory alla directory VMware Identity Manager.

        Per impostazione predefinita, un componente del connettore è sempre disponibile con il servizio VMware Identity Manager. Questo connettore verrà visualizzato nell'elenco a discesa. Se si installano più appliance di VMware Identity Manager per la disponibilità elevata, nell'elenco verrà visualizzato il componente del connettore di ciascuna appliance.

      2. Nel campo Autenticazione, selezionare se si desidera utilizzare questa Active Directory per autenticare gli utenti.

        Se si desidera utilizzare un provider di identità di terze parti per autenticare gli utenti, fare clic su No. Dopo aver configurato la connessione a Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità di terze parti per l'autenticazione.

      3. Nel campo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente.
      4. Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino STARTTLS nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL.

        Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".

        Se la directory ha più domini, aggiungere i certificati CA root per tutti i domini, uno alla volta.

        Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory.
      5. Immettere il nome del dominio di Active Directory da aggiungere. Immettere un nome utente e una password con i diritti per aggiungere il dominio. Per ulteriori informazioni, vedere "Autorizzazioni richieste per l'unione a un dominio" in Integrazione della directory con VMware Identity Manager.
      6. Nella sezione Consenti modifica password selezionare Attiva modifica password se si desidera che gli utenti possano reimpostare le loro password dalla pagina di accesso a VMware Identity Manager se la password scade o se l'amministratore di Active Directory la reimposta.
      7. Nella sezione Dettagli utente di binding, immettere il nome utente e la password dell'utente di binding che dispone dell'autorizzazione per eseguire query in utenti e gruppi dei domini richiesti. Per il nome utente, immettere sAMAccountName, ad esempio jdoe. Se il dominio dell'utente di binding è diverso da quello immesso in precedenza in Entra in dominio, immettere il nome utente come sAMAccountName@domain, dove domain è il nome di dominio completo. Ad esempio, [email protected].
        Nota: È consigliabile utilizzare un account utente di binding con una password che non scada mai.
    3. Fare clic su Salva e avanti.
      Verrà visualizzata la pagina con l'elenco di domini.
  14. Per le directory LDAP, effettuare le operazioni riportate di seguito.
    1. Specificare le informazioni sulla connessione.
      Opzione Descrizione
      Nome directory Un nome per la directory che si sta creando in VMware Identity Manager.
      Sincronizzazione e autenticazione directory
      1. Nel campo Sincronizza connettore, selezionare il connettore che si desidera utilizzare per sincronizzare gli utenti e i gruppi dalla directory LDAP alla directory VMware Identity Manager.

        Per impostazione predefinita, un componente del connettore è sempre disponibile con il servizio VMware Identity Manager. Questo connettore verrà visualizzato nell'elenco a discesa. Se si installano più appliance di VMware Identity Manager per la disponibilità elevata, nell'elenco verrà visualizzato il componente del connettore di ciascuna appliance.

        Non è necessario un connettore separato per una directory LDAP. Un connettore può supportare più directory, indipendentemente dal fatto che siano Active Directory o directory LDAP.

      2. Nel campo Autenticazione, selezionare se si desidera utilizzare questa directory LDAP per autenticare gli utenti.

        Se si desidera utilizzare un provider di identità di terze parti per autenticare gli utenti, fare clic su No. Dopo aver configurato la connessione alla directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità di terze parti per l'autenticazione.

      3. Nel campo Attributo di ricerca directory specificare l'attributo della directory LDAP da utilizzare per il nome utente. Se l'attributo non è presente, selezionare Personalizzato e immettere il nome dell'attributo. Ad esempio, cn.
      Posizione server Immettere l'host del server e il numero di porta della directory LDAP. Per l'host del server, è possibile specificare sia il nome di dominio completo che l'indirizzo IP. Ad esempio, serverLDAP.esempio.com o 100.00.00.0.

      Se è presente un cluster di server con il bilanciamento del carico, immettere invece le informazioni sul bilanciamento.

      Configurazione LDAP Specificare i filtri di ricerca LDAP e gli attributi che possono essere utilizzati da VMware Identity Manager per interrogare la propria directory LDAP. I valori predefiniti sono forniti in base allo schema LDAP principale.

      Query LDAP

      • Ottieni gruppi: il filtro di ricerca per ottenere gli oggetti gruppo.

        Ad esempio: (objectClass=group)

      • Ottieni utente bind: il filtro di ricerca per ottenere l'oggetto utente bind, ovvero l'utente che può collegarsi alla directory.

        Ad esempio: (objectClass=person)

      • Ottieni utente: il filtro di ricerca per ottenere gli utenti da sincronizzare.

        Ad esempio: (&(objectClass=user)(objectCategory=person))

      Attributi

      • Appartenenza: questo attributo è utilizzato nella directory LDAP per definire i membri di un gruppo.

        Ad esempio: member

      • UUID oggetto: l'attributo utilizzato nella directory LDAP per definire l'UUID di un utente o di un gruppo.

        Ad esempio: entryUUID

      • DN (Distinguished Name): l'attributo utilizzato nella directory LDAP per il nome distinto (DN) di un utente o un gruppo.

        Ad esempio: entryDN

      Certificati Se la directory LDAP richiede l'accesso su SSL, selezionare Questa directory richiede che tutte le connessioni utilizzino SSL e copiare e incollare il certificato SSL CA root del server della directory LDAP. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".
      Dettagli utente bind Nome distinto di base: immettere il DN da cui iniziare le ricerche. Ad esempio, cn=users,dc=example,dc=com.
      Nome distinto di binding: immettere il nome utente da utilizzare per collegarsi alla directory LDAP.
      Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.

      Password nome distinto di binding: immettere la password per l'utente Nome distinto di binding

    2. Per eseguire il test della connessione al server di directory LDAP, fare clic su Test della connessione.
      Se la connessione non riesce, controllare le informazioni immesse ed apportare le modifiche necessarie.
    3. Fare clic su Salva e avanti.
      Verrà visualizzata la pagina in cui è riportato il dominio.
  15. Per una directory LDAP, viene riportato il dominio (che non potrà essere modificato).
    Per Active Directory su LDAP, vengono riportati i domini (che non possono essere modificati).

    Per Active Directory (autenticazione integrata di Windows), selezionare i domini da associare a questa connessione ad Active Directory.

    Nota: se si aggiunge un dominio trusting dopo aver creato la directory, il servizio non rileva automaticamente il nuovo dominio trusting. Per consentire al servizio di rilevare il dominio, connettore deve essere tolto e poi aggiunto nuovamente al dominio. Quando connettore si unisce nuovamente al dominio, il dominio trusting comparirà nell'elenco.

    Fare clic su Avanti.

  16. Verificare che i nomi di attributo di VMware Identity Manager siano mappati agli attributi di Active Directory o LDAP corretti e apportare le modifiche eventualmente necessarie.
    Importante: Se si sta integrando una directory LDAP, è necessario specificare una mappatura per l'attributo domain.
  17. Fare clic su Avanti.
  18. Selezionare i gruppi che si desidera sincronizzare dalla directory di Active Directory o LDAP alla directory di VMware Identity Manager.
    Opzione Descrizione
    Specificare i DN gruppo Per selezionare i gruppi, specificare uno o più DN e selezionare i gruppi in essi contenuti.
    1. Fare clic su + e specificare il DN del gruppo. Ad esempio, CN=users,DC=example,DC=company,DC=com.
      Importante: Specificare i DN dei gruppi contenuti nel DN di base inserito. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.
    2. Fare clic su Trova gruppi.

      Nella colonna Gruppi da sincronizzare, è presente il numero di gruppi trovati nel DN.

    3. Per selezionare tutti i gruppi nel DN, fare clic su Seleziona tutto oppure fare clic su Seleziona e selezionare i gruppi specifici da sincronizzare.
      Nota: Se nella directory LDAP sono presenti più gruppi con lo stesso nome, è necessario specificare nomi univoci per tali gruppi in VMware Identity Manager. È possibile modificare il nome mentre si seleziona il gruppo.
    Nota: Quando si sincronizza un gruppo, gli utenti che non hanno Utenti di dominio come gruppo primario in Active Directory non vengono sincronizzati.
    Sincronizza membri del gruppo nidificati

    Per impostazione predefinita, l'opzione Sincronizza membri del gruppo nidificati è abilitata. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo principale selezionato per la sincronizzazione.

    Se l'opzione Sincronizza membri del gruppo nidificati è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo verranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di Active Directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti.

  19. Fare clic su Avanti.
  20. Specificare altri utenti da sincronizzare, se necessario.
    Poiché i membri dei gruppi non vengono sincronizzati con la directory finché il gruppo non viene autorizzato per le applicazioni o aggiunto a una regola del criterio di accesso, aggiungere tutti gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo.
    1. Fare clic su + e inserire i DN degli utenti. Ad esempio, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Specificare i DN degli utenti contenuti nel DN di base inserito. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.
    2. (Facoltativo) Per escludere utenti, creare un filtro con cui escludere alcuni tipi di utenti.
      È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore.
  21. Fare clic su Avanti.
  22. Rivedere la pagina per verificare quanti utenti e gruppi verranno sincronizzati con la directory e visualizzare la pianificazione della sincronizzazione.

    Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica.

  23. Fare clic su Sincronizza directory per iniziare la sincronizzazione della directory.

risultati

Nota: Se si verifica un errore di rete e il nome host non può essere risolto in maniera univoca utilizzando il DNS inverso, il processo di configurazione verrà interrotto. Correggere i problemi di rete e riavviare l'appliance virtuale. Sarà quindi possibile continuare il processo di distribuzione. Le nuove impostazioni di rete non saranno disponibili fino al riavvio dell'appliance virtuale.

Operazioni successive

Per informazioni sull'impostazione di un bilanciamento del carico o di una configurazione ad alta disponibilità, vedere Configurazione avanzata per l'appliance di VMware Identity Manager.