È necessario utilizzare la funzionalità Directories Management per configurare un collegamento ad Active Directory che consenta di usufruire dell'autenticazione utente per tutti i tenant e selezionare utenti e gruppi da sincronizzare con la directory di Directories Management.

Informazioni su questa attività

Sono disponibili due opzioni di protocollo di comunicazione ad Active Directory: Active Directory su LDAP e Active Directory (autenticazione integrata di Windows). Per impostazione predefinita una connessione Active Directory su protocollo LDAP supporta la ricerca della posizione del servizio DNS. L'opzione Active Directory (autenticazione integrata di Windows) consente di configurare il dominio a cui unirsi. Active Directory su LDAP è adeguato per distribuzioni di domini singoli. Utilizzare Active Directory (autenticazione integrata di Windows) per tutte le distribuzioni a più domini e a più foreste.

Dopo aver selezionato un protocollo di comunicazione è possibile specificare i domini da utilizzare con la configurazione Active Directory, quindi selezionare gli utenti e i gruppi da sincronizzare con la configurazione specificata.

Prerequisiti

  • Connettore installato e codice di attivazione attivato.

  • Selezionare gli attributi predefiniti obbligatori e aggiungere ulteriori attributi nella pagina Attributi utente. Vedere Selezione degli attributi per la sincronizzazione con la directory.

  • Elenco di gruppi e utenti Active Directory da sincronizzare da Active Directory.

  • Per Active Directory su LDAP, le informazioni obbligatorie includono DN di base, DN di binding e password del DN di binding.

  • Per l'autenticazione integrata di Windows in Active Directory, le informazioni obbligatorie sono l'indirizzo UPN dell'utente di binding del dominio e la relativa password.

  • Se si accede ad Active Directory su SSL, è necessaria una copia del certificato SSL.

  • Per Active Directory (autenticazione integrata di Windows), quando è configurata Active Directory multiforesta e il gruppo locale di dominio contiene membri provenienti da domini di foreste diverse, assicurarsi che l'utente Binding sia aggiunto al gruppo Administrators del dominio in cui risiede il gruppo locale di dominio, Se non si soddisfano tali requisiti, questi membri non appariranno nel gruppo locale di dominio.

  • Accedere alla console vRealize Automation come amministratore tenant.

Procedura

  1. Selezionare Amministrazione > Gestione directory > Directory.
  2. Fare clic su Aggiungi directory.
  3. Nella pagina Aggiungi directory, specificare l'indirizzo IP del server di Active Directory nella casella di testo Nome directory.
  4. Selezionare il protocollo di comunicazione con Active Directory appropriato utilizzando i pulsanti di opzione sotto la casella di testo Nome directory.

    Opzione

    Descrizione

    Autenticazione Windows

    Selezionare Active Directory (autenticazione integrata di Windows)

    LDAP

    Selezionare Active Directory su LDAP.

  5. Configurare il connettore che sincronizza gli utenti di Active Directory con la directory Directories Management di VMware nella sezione Sincronizzazione directory e autenticazione.

    Opzione

    Descrizione

    Connettore di sincronizzazione

    Selezionare il connettore appropriato da utilizzare per il sistema. Ogni vRealize Automation appliance contiene un connettore predefinito. Rivolgersi all'amministratore di sistema per aiuto nella scelta del connettore appropriato.

    Autenticazione

    Fare clic sul pulsante di opzione appropriato per indicare se anche il connettore selezionato deve eseguire l'autenticazione.

    Attributo di ricerca directory

    Selezionare l'attributo dell'account appropriato contenente il nome utente.

  6. Immettere le informazioni necessarie nella casella di testo Posizione server se è stata selezionata l'opzione Active Directory su LDAP o nelle caselle di testo Dettaglio unione al dominio se è stata selezionata l'opzione Active Directory (autenticazione integrata di Windows)

    Opzione

    Descrizione

    Posizione server - Visualizzata quando l'opzione Active Directory su LDAP è selezionata

    • Se si desidera utilizzare la ricerca DNS di Posizione servizio per individuare i domini di Active Directory, lasciare selezionata la casella di controllo La directory supporta DNS di Posizione servizio.

    • Se il servizio Active Directory specificato non utilizza la ricerca DNS di Posizione servizio, deselezionare la casella di controllo accanto a La directory supporta DNS di Posizione servizio nei campi Posizione server e inserire il nome host e la porta del server di Active Directory nelle caselle di testo corrispondenti.

    • Se Active Directory richiede l'accesso tramite SSL, selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino SSL sotto l'intestazione Certificati e fornire il certificato SSL di Active Directory.

    Dettaglio unione al dominio - Visualizzata quando l'opzione Active Directory (autenticazione Windows integrata) è selezionata

    Immettere le credenziali necessarie nelle caselle di testo Nome dominio, Nome utente amministratore di dominio e Password amministratore di dominio.

  7. Nella sezione Dettagli utente di binding immettere le credenziali appropriate per consentire la sincronizzazione delle directory.

    Per Active Directory su LDAP:

    Opzione

    Descrizione

    DN di base

    Specificare il nome distinto di base per la ricerca. Ad esempio, cn=users,dc=corp,dc=local.

    DN di binding

    Specificare il nome distinto di binding. Ad esempio cn=fritz infra,cn=users,dc=corp,dc=local

    Per Active Directory (autenticazione integrata di Windows):

    Opzione

    Descrizione

    UPN utente di binding

    Immettere il nome dell'entità dell'utente che può autenticarsi nel dominio. Ad esempio UserName@example.com.

    Password DN di binding

    Specificare la password dell'utente Binding.

  8. Fare clic su Prova connessione per verificare la connessione alla directory configurata.

    Questo pulsante non viene visualizzato se è stata selezionata l'opzione Active Directory (autenticazione integrata di Windows).

  9. Fare clic su Salva e avanti.

    Viene visualizzata la pagina Seleziona domini con l'elenco dei domini.

  10. Esaminare e aggiornare i domini elencati per la connessione ad Active Directory.
    • Per Active Directory (autenticazione integrata di Windows), selezionare i domini da associare a questa connessione ad Active Directory.

    • Per Active Directory su LDAP, il dominio disponibile viene elencato con un segno di spunta.

      Nota:

      se si aggiunge un dominio trusting dopo aver creato la directory, il servizio non rileva automaticamente il nuovo dominio trusting. Per consentire al servizio di rilevare il dominio, connettore deve essere tolto e poi aggiunto nuovamente al dominio. Quando connettore si unisce nuovamente al dominio, il dominio trusting comparirà nell'elenco.

  11. Fare clic su Avanti.
  12. Verificare che i nomi degli attributi della directory di Directories Management siano mappati agli attributi di Active Directory corretti.

    Se i nomi degli attributi di directory non sono mappati correttamente, selezionare l'attributo Active Directory corretto nel menu a discesa.

  13. Fare clic su Avanti.
  14. Fare clic su Aggiungi per selezionare i gruppi da sincronizzare da Active Directory alla directory.

    Quando si aggiunge un gruppo da Active Directory, se i membri di tale gruppo non sono inclusi nell'elenco Utenti, vengono aggiunti.

    Nota:

    il sistema di autenticazione degli utenti di Directories Management importa i dati da Active Directory quando si aggiungono gruppi e utenti e la velocità del sistema dipende dalle caratteristiche di Active Directory. È quindi possibile che l'importazione di un numero elevato di gruppi e utenti richieda una quantità di tempo significativa. Per ridurre eventuali ritardi o problemi, aggiungere solo i gruppi e gli utenti effettivamente necessari per il funzionamento di vRealize Automation. In caso di errori o di peggioramento delle prestazioni del sistema, chiudere tutte le applicazioni non necessarie e verificare che sia stata allocata ad Active Directory una quantità di memoria appropriata. Se i problemi persistono, aumentare la quantità di memoria allocata ad Active Directory in base alle necessità. Per sistemi con un elevato numero di utenti e gruppi, potrebbe essere necessario allocare fino a 24 GB di memoria ad Active Directory.

  15. Fare clic su Avanti.
  16. Fare clic su Aggiungi per aggiungere ulteriori utenti. Ad esempio, immettere CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com.

    Per escludere utenti, fare clic su Aggiungi per creare un filtro che escluda determinati tipi di utenti. È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore.

  17. Fare clic su Avanti.
  18. Esaminare la pagina per verificare quanti utenti e gruppi sono in corso di sincronizzazione con la directory.

    Se si desidera apportare modifiche agli utenti e ai gruppi, fare clic sui collegamenti Modifica.

  19. Fare clic su Push in area di lavoro per avviare la sincronizzazione con la directory.

Risultati

La connessione ad Active Directory è completa e gli utenti e i gruppi selezionati vengono aggiunti alla directory.

Operazioni successive

Se l'ambiente vRealize Automation è configurato per l'alta disponibilità, è necessario configurare Gestione directory specificamente per questa modalità. Vedere Configurazione di Gestione directory per l'alta disponibilità.

  • Impostare i metodi di autenticazione. Dopo la sincronizzazione di utenti e gruppi con la directory, se il connettore è utilizzato anche per l'autenticazione, è possibile impostare metodi di autenticazione aggiuntivi sul connettore. Se il provider di identità di autenticazione è di terze parti, configurare quel provider di identità nel connettore.

  • Riesaminare il criterio di accesso predefinito. Il criterio di accesso predefinito è configurato per consentire l'accesso al browser Web da parte di tutte le appliance in tutti gli intervalli di rete, con un timeout di sessione impostato a otto ore, oppure l'accesso a un'app client con un timeout di sessione di 2.160 ore (90 giorni). È possibile modificare il criterio di accesso predefinito e creare nuovi criteri quando si aggiungono applicazioni Web al catalogo.

  • Applicare un branding personalizzato alla console di amministrazione, alle pagine del portale degli utenti e alla schermata di accesso.