È possibile creare questo tipo di directory quando si intende stabilire la connessione con un ambiente di Active Directory con più domini. Il connettore esegue il binding ad Active Directory utilizzando l'autenticazione integrata di Windows.

Prerequisiti

Verificare di disporre delle credenziali utente necessarie per aggiungere una directory.

Procedura

  1. Fare clic su Gestione identità e tenant nel dashboard I miei servizi.
  2. Passare alla scheda Gestione directory e fare clic su Directory.
  3. Fare clic su +Aggiungi directory e quindi su Aggiungi Active Directory su IWA.
  4. Nella scheda Dettagli directory:
    Campi Descrizione
    Informazioni directory Immettere un nome di directory valido.
    Sincronizzazione e autenticazione directory Selezionare il connettore da sincronizzare con Active Directory. Il connettore è un componente del servizio VMware Identity Manager che sincronizza i dati di utenti e gruppi tra Active Directory e il servizio VMware Identity Manager. Il connettore esegue l'autenticazione degli utenti. Ogni nodo dell'appliance VMware Identity Manager contiene un componente connettore predefinito. Se necessario, è possibile distribuire un connettore dedicato anche tramite una scalabilità orizzontale dell'ambiente globale.
    Autenticazione abilitata

    È possibile indicare se il connettore selezionato deve eseguire anche l'autenticazione. Se si utilizza un provider di identità di terze parti per eseguire l'autenticazione degli utenti, fare clic su No.

    Attributo di ricerca directory Selezionare un attributo di ricerca dal menu a discesa.
    Certificati
    • Se Active Directory richiede accesso tramite SSL/TLS, selezionare la casella di controllo La directory richiede che tutte le connessioni utilizzino STARTTLS nella sezione Certificati e copiare e incollare il certificato dell'autorità di certificazione root e il certificato dell'autorità di certificazione intermedia (se lo si utilizza) dei controller di dominio nella casella di testo Certificato SSL. Immettere innanzitutto il certificato dell'autorità di certificazione intermedia e quindi il certificato dell'autorità di certificazione root. Assicurarsi che ciascun certificato sia in formato PEM e che includa le righe BEGIN CERTIFICATE ed END CERTIFICATE. Se i controller di dominio dispongono di certificati provenienti da più autorità di certificazione intermedie e root, immettere tutte le catene di certificati delle autorità di certificazione intermedie e root, una dopo l'altra. Se Active Directory richiede accesso tramite SSL/TLS e non si forniscono i certificati, non è possibile creare la directory.
    Dettagli unione al dominio Immettere il nome del dominio, il nome utente dell'amministratore del dominio e la password del dominio.
    Dettagli utente Bind
    • Immettere il Nome utente di binding e la Password di binding dell'utente di binding che dispone delle autorizzazioni per eseguire query relative a utenti e gruppi per i domini richiesti. Immettere il nome utente nel formato sAMAccountName@domain, dove domain è il nome di dominio completo. Utilizzare un account utente di binding con una password senza scadenza.
  5. Fare clic su Crea e avanti.
    È possibile selezionare i domini da associare alla connessione Active Directory.
  6. Nella scheda Dettagli selezione dominio, selezionare il dominio e fare clic su Invia e Avanti.
    Active Directory con IWA popola l'elenco dei domini e consente di selezionare o modificare i domini in base alle necessità.
  7. Per verificare che i nomi degli attributi della directory di VMware Identity Manager siano mappati agli attributi di Active Directory corretti, nella scheda Mappa attributo selezionare l'attributo richiesto e fare clic su Invia e Avanti.
  8. Nella scheda Selezione gruppo, specificare i dettagli di DN del gruppo e fare clic su Avanti.

    Per selezionare i gruppi, fare clic su Aggiungi nome distinto del gruppo, specificare uno o più DN e selezionare i gruppi sotto tali DN. Specificare i DN dei gruppi inclusi nel DN di base immesso nella casella di testo DN di base nella sezione Aggiungi directory. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non sarà possibile effettuare l'accesso.

    Quando si sincronizza un gruppo, gli utenti che non hanno Utenti del dominio come gruppo primario in Active Directory non vengono sincronizzati.

    1. Selezionare l'opzione Sincronizza membri dei gruppi nidificati.
  9. Nella scheda Selezione utente, immettere i dettagli del DN utente e fare clic su Avanti.
    Nota: Quando questa opzione è abilitata, vengono sincronizzati tutti gli utenti che appartengono direttamente al gruppo selezionato e tutti gli utenti che appartengono ai gruppi nidificati al di sotto di tale gruppo, se il gruppo è autorizzato. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono a tali gruppi. Nella directory di VMware Identity Manager, questi utenti sono membri del gruppo padre selezionato per la sincronizzazione. Se l'opzione Sincronizza membri dei gruppi nidificati è disabilitata, quando si specifica un gruppo da sincronizzare, vengono sincronizzati tutti gli utenti che appartengono direttamente a tale gruppo. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per le configurazioni di Active Directory di grandi dimensioni in cui per l'attraversamento di una struttura di gruppi richiede molto tempo e risorse. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti.
    Un amministratore della suite è un nome utente in Active Directory che agisce come utente amministratore per i prodotti della suite distribuiti, i registri e la tabella di AD.
  10. Nella scheda Verifica test controllato, leggere il riepilogo.
  11. Fare clic su Sincronizza e completa per avviare la sincronizzazione con la directory. La connessione ad Active Directory verrà stabilita e i nomi di utenti e gruppi verranno sincronizzati da Active Directory alla directory di VMware Identity Manager.
  12. Fare clic su Invia.
  13. Per modificare, fare clic sull'icona Modifica nell'istanza di Active Directory specifica nell'elenco di Active Directory. Tutte le informazioni aggiunte vengono inserite nella configurazione in VMware Identity Manager. Tuttavia, la rimozione effettuata tramite modifica comporta la rimozione della configurazione solo dall'inventario di vRealize Suite Lifecycle Manager e non da VMware Identity Manager.
  14. Per eliminare, fare clic sull'icona Elimina nell'istanza di Active Directory specifica nell'elenco di Active Directory. È possibile eliminare Active Directory solo dall'inventario di vRealize Suite Lifecycle Manager e non da VMware Identity Manager.