È possibile creare questo tipo di directory quando si intende stabilire la connessione a un singolo ambiente di dominio di Active Directory. Per il tipo di directory Active Directory su LDAP, il connettore esegue il binding ad Active Directory utilizzando l'autenticazione di binding semplice.
Prerequisiti
- Elenco di gruppi e utenti Active Directory da sincronizzare da Active Directory.
- Assicurarsi di aver specificato gli attributi predefiniti obbligatori e aggiungere ulteriori attributi nella definizione di Attributi utente.
- Verificare di disporre delle credenziali utente necessarie per aggiungere una directory.
Procedura
- Fare clic su Gestione identità e tenant nel dashboard I miei servizi.
- Passare alla scheda Gestione directory e fare clic su Directory.
- Fare clic su Aggiungi directory e selezionare Aggiungi Active Directory su LDAP.
- Nella scheda Dettagli directory:
Campi Descrizione Informazioni directory Immettere un nome di directory valido. Sincronizzazione e autenticazione directory Selezionare il connettore da sincronizzare con Active Directory. Il connettore è un componente del servizio VMware Identity Manager che sincronizza i dati di utenti e gruppi tra Active Directory e il servizio VMware Identity Manager. Se utilizzato come provider di identità, esegue anche l'autenticazione degli utenti. Ogni nodo dell'appliance VMware Identity Manager contiene un componente connettore predefinito. Se necessario, è possibile distribuire un connettore dedicato anche tramite una scalabilità orizzontale dell'ambiente globale.
Autenticazione abilitata Se si desidera che il connettore esegua l'autenticazione, selezionare Sì. È possibile indicare se il connettore selezionato deve eseguire anche l'autenticazione. Se si utilizza un provider di identità di terze parti per eseguire l'autenticazione degli utenti, fare clic su No.
Attributo di ricerca directory Selezionare un attributo dell'account dal menu a discesa contenente un nome utente. Posizione server Selezionare la casella di controllo La directory supporta la posizione del servizio DNS. - Se Active Directory richiede accesso tramite SSL/TLS, selezionare la casella di controllo La directory richiede che tutte le connessioni utilizzino STARTTLS o SSL nella sezione Certificati e copiare e incollare il certificato dell'autorità di certificazione root e il certificato dell'autorità di certificazione intermedia (se lo si utilizza) dei controller di dominio nella casella di testo Certificato SSL. Immettere innanzitutto il certificato dell'autorità di certificazione intermedia e quindi il certificato dell'autorità di certificazione root. Assicurarsi che ciascun certificato sia in formato PEM e che includa le righe BEGIN CERTIFICATE ed END CERTIFICATE. Se i controller di dominio dispongono di certificati provenienti da più autorità di certificazione intermedie e root, immettere tutte le catene di certificati delle autorità di certificazione intermedie e root, una dopo l'altra. Se Active Directory richiede accesso tramite SSL/TLS e non si forniscono i certificati, non è possibile creare la directory.
- Se non si desidera utilizzare la posizione del servizio DNS, verificare che la casella di controllo La directory supporta la posizione del servizio DNS non sia selezionata e immettere il nome host e il numero di porta del server di Active Directory.
Certificati Se Active Directory richiede accesso tramite SSL/TLS selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare i certificati di CA root e intermedie (se utilizzati) dei controller di dominio nella casella di testo Certificato SSL. Immettere innanzitutto il certificato dell'autorità di certificazione intermedia e quindi il certificato dell'autorità di certificazione root. Assicurarsi che il certificato sia in formato PEM e che includa le righe BEGIN CERTIFICATE ed END CERTIFICATE. Se Active Directory richiede accesso tramite SSL/TLS e non si fornisce il certificato, non è possibile creare la directory.
Dettagli utente Bind - DN di base: immettere il DN per avviare le ricerche degli account. Ad esempio, OU=myUnit,DC=myCorp, DC=com. Il DN di base viene utilizzato per l'autenticazione. Solo gli utenti inclusi nel DN di base possono eseguire l'autenticazione. Assicurarsi che i DN dei gruppi e i DN degli utenti specificati in un secondo momento per la sincronizzazione siano inclusi in questo DN di base.
- DN utente di binding: immettere i dettagli dell'account. Ad esempio, CN=binduser,OU=myUnit,DC=myCorp, DC=com. Utilizzare un account utente di binding con una password senza scadenza.
- Password di binding: fare clic su Prova connessione per verificare che la directory possa connettersi ad Active Directory.
- Fare clic su Crea e avanti.
Per Active Directory su LDAP, i domini sono elencati con un segno di spunta.
- Nella scheda Dettagli selezione dominio, selezionare il dominio e fare clic su Avanti.
- Per mappare l'attributo di directory ad Active Directory, nella scheda Mappa attributo selezionare l'attributo neecssario e fare clic su Salva e avanti.
- Nella scheda Selezione gruppo, per eseguire la sincronizzazione di Active Directory con la directory di VMware Identity Manager, specificare i dettagli del DN gruppo e fare clic su Avanti.
È inoltre possibile selezionare tutti i gruppi di Active Directory già disponibili nell'elenco per la sincronizzazione con la directory.
- Per selezionare i gruppi, fare clic su Aggiungi nome distinto del gruppo, specificare uno o più DN dei gruppi. Selezionare i gruppi al di sotto di essi. Specificare i DN dei gruppi nel DN di base immesso nella casella di testo "DN di base" nella pagina Aggiungi directory. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno effettuare l'accesso.
- Fare clic su Trova gruppi. Nella colonna Azioni viene indicato il numero di gruppi trovati nel DN. Per selezionare tutti i gruppi nel DN, fare clic su Seleziona tutto oppure fare clic sul numero e selezionare i gruppi specifici da sincronizzare. Quando si sincronizza un gruppo, gli utenti che non hanno Utenti del dominio come gruppo primario in Active Directory non vengono sincronizzati.
- Selezionare l'opzione Sincronizza membri dei gruppi nidificati.
- Nella scheda Selezione utente, immettere i dettagli del DN utente e fare clic su Avanti.
Un amministratore della suite è un nome utente in Active Directory che agisce come utente amministratore per i prodotti della suite distribuiti, i registri e la tabella di AD.
- Selezionare l'opzione Sincronizza membri dei gruppi nidificati e specificare gli amministratori della suite.
Quando questa opzione è abilitata, vengono sincronizzati tutti gli utenti che appartengono direttamente al gruppo selezionato e tutti gli utenti che appartengono ai gruppi nidificati al di sotto di tale gruppo, se il gruppo è autorizzato. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono a tali gruppi. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo padre selezionato per la sincronizzazione. Se l'opzione "Sincronizza membri dei gruppi nidificati" è disabilitata, quando si specifica un gruppo da sincronizzare, vengono sincronizzati tutti gli utenti che appartengono direttamente a tale gruppo. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per le configurazioni di Active Directory di grandi dimensioni in cui per l'attraversamento di una struttura di gruppi richiede molto tempo e risorse. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti.
- Fare clic su Salva e avanti. Nella pagina Selezione utente, fare clic su Aggiungi utente e specificare i DN degli utenti da sincronizzare. Specificare DN utente inclusi nel DN di base immesso nella casella di testo DN di base nella pagina Aggiungi directory. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno effettuare l'accesso. Fare clic su Salva e avanti.
- Esaminare la scheda Verifica test controllato, leggere il riepilogo e fare clic su Sincronizza e completa per avviare la sincronizzazione con la directory. La connessione ad Active Directory verrà stabilita e i nomi di utenti e gruppi verranno sincronizzati da Active Directory alla directory di VMware Identity Manager.
- Fare clic su Invia.
- Per modificare, fare clic sull'icona Modifica nell'istanza di Active Directory specifica nell'elenco di Active Directory. Tutte le informazioni aggiunte vengono inserite nella configurazione in VMware Identity Manager. Tuttavia, qualsiasi rimozione effettuata tramite modifica comporta la rimozione della configurazione solo dall'inventario di vRealize Suite Lifecycle Manager e non da VMware Identity Manager.
- Per eliminare, fare clic sull'icona Elimina nell'istanza di Active Directory specifica nell'elenco di Active Directory. L'azione di eliminazione comporta l'eliminazione di Active Directory solo dall'inventario di vRealize Suite Lifecycle Manager e non da VMware Identity Manager.