Si supponga che un amministratore tenant voglia configurare un'Active Directory sulla connessione della directory LDAP per supportare l'autenticazione degli utenti per una distribuzione vRealize Automation ad alta disponibilità.

Informazioni su questa attività

Ogni appliance vRealize Automation include un connettore che supporta l'autenticazione utente, sebbene in genere viene configurato un solo connettore per eseguire la sincronizzazione delle directory. Non è importante quale sia il connettore scelto per la sincronizzazione. Per supportare l'alta disponibilità di Gestione directory, è necessario configurare un secondo connettore che corrisponda alla seconda appliance vRealize Automation, si connetta al provider di identità e punti alla stessa Active Directory. Con questa configurazione, se in un'appliance si verifica un errore, l'altra la sostituisce per la gestione dell'autenticazione degli utenti.

In un ambiente ad alta disponibilità, tutti i nodi devono servire lo stesso set di Active Directory, utenti, metodo di autenticazione e così via. Il metodo più diretto per implementare questa configurazione consiste nel promuovere il provider di identità nel cluster impostando l'host di bilanciamento del carico come host del provider di identità. Con questa configurazione, tutte le richieste di autenticazione vengono indirizzate al bilanciamento del carico, che a sua volta le inoltra al connettore appropriato.

Prerequisiti

  • Installare una distribuzione vRealize Automation distribuita con bilanciamento del carico appropriato. Vedere Installazione di vRealize Automation 7.2.

  • Accedere alla console vRealize Automation come amministratore tenant.

Procedura

  1. Selezionare Amministrazione > Gestione directory > Directory.
  2. Fare clic su Aggiungi directory.
  3. Immettere le impostazioni dell'account Active Directory specifico e accettare le opzioni predefinite.

    Opzione

    Input di esempio

    Nome directory

    Aggiungere l'indirizzo IP del nome di dominio Active Directory.

    Connettore di sincronizzazione

    Ogni appliance vRealize Automation contiene un connettore. Usare uno qualsiasi dei connettori disponibili.

    DN di base

    Immettere il DN (Distinguished Name) del punto di inizio per le ricerche nel server della directory. Ad esempio, cn=users,dc=corp,dc=local.

    DN di binding

    Immettere il DN (Distinguished Name) completo, incluso il CN (Common Name), di un account utente di Active Directory che disponga di privilegi per la ricerca degli utenti. Ad esempio cn=config_admin infra,cn=users,dc=corp,dc=local.

    Password DN di binding

    Immettere la password di Active Directory per l’account che può effettuare la ricerca di utenti.

  4. Fare clic su Prova connessione per verificare la connessione alla directory configurata.

    Se la connessione non riesce, verificare le voci immesse in tutti i campi e rivolgersi all'amministratore di sistema se necessario.

  5. Fare clic su Salva e avanti.

    Verrà visualizzata la pagina Scegli i domini con l'elenco dei domini.

  6. Lasciare selezionato il dominio predefinito e fare clic su Avanti.
  7. Verificare che i nomi di attributo siano mappati agli attributi di Active Directory corretti. In caso contrario, selezionare l'attributo di Active Directory corretto dal menu a discesa. Fare clic su Avanti.
  8. Selezionare i gruppi e gli utenti che si desidera sincronizzare.
    1. Fare clic sull'icona Aggiungi (Aggiungi).
    2. Immettere il dominio dell’utente e fare clic su Trova gruppi.

      Ad esempio, cn=users,dc=corp,dc=local.

    3. Selezionare la casella di controllo Seleziona tutto.
    4. Fare clic su Seleziona.
    5. Fare clic su Avanti.
    6. Fare clic su Aggiungi per aggiungere ulteriori utenti. Ad esempio, immettere CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com.

      Per escludere alcuni utenti, fare clic su segno + per creare un filtro con cui escludere alcuni tipi di utenti. È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore.

    7. Fare clic su Avanti.
  9. Rivedere la pagina per verificare quanti utenti e gruppi siano sincronizzati con la directory e fare clic su Sincronizza directory.

    Il processo di sincronizzazione della directory richiede un certo di tempo ma avviene in background ed è possibile continuare a lavorare.

  10. Configurare un secondo connettore per supportare l'alta disponibilità.
    1. Accedere al bilanciamento del carico della distribuzione vRealize Automation come amministratore tenant.

      L'URL del bilanciamento del carico è load balancer address/vcac/org/tenant_name.

    2. Selezionare Amministrazione > Gestione directory > Provider di identità.
    3. Fare clic sul provider di identità attualmente in uso per il sistema.

      Vengono visualizzati la directory e il connettore che correntemente forniscono al sistema la gestione di base delle identità.

    4. Fare clic sull'elenco a discesa Aggiungi connettore e selezionare il connettore corrispondente al appliance vRealize Automation secondario.
    5. Immettere la password appropriata nella casella di testo Password DN di binding visualizzata alla selezione del connettore.
    6. Fare clic su Aggiungi connettore.
    7. Modificare il nome host per puntare al bilanciamento del carico.

Risultati

È stata effettuata la connessione dell'Active Directory aziendale a vRealize Automation ed è stato configurato Gestione directory per l'alta disponibilità.

Operazioni successive

Per offrire una sicurezza avanzata, è possibile configurare un'attendibilità bidirezionale tra il provider di identità e Active Directory. Vedere Configurazione di una relazione di trust bidirezionale tra vRealize Automation e Active Directory.