È possibile configurare un collegamento Active Directory su LDAP/IWA utilizzando la funzionalità Directories Management che consente di configurare un collegamento ad Active Directory per il supporto dell'autenticazione utente di tutti i tenant e selezionare gli utenti e i gruppi da sincronizzare con la directory Directories Management.

Informazioni su questa attività

Per informazioni e istruzioni sull'uso di OpenLDAP con Directories Management, vedere Configurazione di una connessione alla directory OpenLDAP.

Prerequisiti

  • Connettore installato e codice di attivazione attivato.

  • Selezionare gli attributi predefiniti obbligatori e aggiungere ulteriori attributi nella pagina Attributi utente. Vedere Selezione degli attributi per la sincronizzazione con la directory.

  • Elenco di gruppi e utenti Active Directory da sincronizzare da Active Directory.

  • Per Active Directory su LDAP, le informazioni obbligatorie includono DN di base, DN di binding e password del DN di binding.

  • Per l'autenticazione integrata di Windows in Active Directory, le informazioni obbligatorie sono l'indirizzo UPN dell'utente di binding del dominio e la relativa password.

  • Se si accede ad Active Directory su SSL, è necessaria una copia del certificato SSL.

  • Per Active Directory (autenticazione integrata di Windows), quando è configurata Active Directory multiforesta e il gruppo locale di dominio contiene membri provenienti da domini di foreste diverse, assicurarsi che l'utente Binding sia aggiunto al gruppo Administrators del dominio in cui risiede il gruppo locale di dominio, Se non si soddisfano tali requisiti, questi membri non appariranno nel gruppo locale di dominio.

  • Accedere alla console vRealize Automation come amministratore tenant.

Procedura

  1. Selezionare Amministrazione > Gestione directory > Directory.
  2. Fare clic su Aggiungi directory e selezionare Aggiungi Active Directory su LDAP/IWA.
  3. Nella pagina Aggiungi directory, specificare l'indirizzo IP del server di Active Directory nella casella di testo Nome directory.
  4. Selezionare il protocollo di comunicazione con Active Directory appropriato utilizzando i pulsanti di opzione sotto la casella di testo Nome directory.

    Opzione

    Descrizione

    Autenticazione Windows

    Selezionare Active Directory (autenticazione integrata di Windows)

    LDAP

    Selezionare Active Directory su LDAP.

  5. Configurare il connettore che sincronizza gli utenti di Active Directory con la directory Directories Management di VMware nella sezione Sincronizzazione directory e autenticazione.

    Opzione

    Descrizione

    Connettore di sincronizzazione

    Selezionare il connettore appropriato da utilizzare per il sistema. Ogni appliance vRealize Automation contiene un connettore predefinito. Rivolgersi all'amministratore di sistema per aiuto nella scelta del connettore appropriato.

    Autenticazione

    Fare clic sul pulsante di opzione appropriato per indicare se anche il connettore selezionato deve eseguire l'autenticazione.

    Attributo di ricerca directory

    Selezionare l'attributo dell'account appropriato contenente il nome utente. VMware consiglia di utilizzare l'attributo sAMAccount anziché userPrincipleName. Se si utilizza userPrincipleName per le operazioni di sincronizzazione, è possibile che l'integrazione con software di seconde e terze parti che richiede un nome utente non funzioni correttamente.

    Nota:

    Se si seleziona sAMAccountName quando si utilizza un catalogo globale, indicato selezionando la casella di controllo Questa directory dispone di un catalogo globale nell'area Posizione server, gli utenti non potranno effettuare l'accesso.

  6. Immettere le informazioni necessarie nella casella di testo Posizione server se è stata selezionata l'opzione Active Directory su LDAP o nelle caselle di testo Dettaglio unione al dominio se è stata selezionata l'opzione Active Directory (autenticazione integrata di Windows)

    Opzione

    Descrizione

    Posizione server - Visualizzata quando l'opzione Active Directory su LDAP è selezionata

    • Se si desidera utilizzare la ricerca DNS di Posizione servizio per individuare i domini di Active Directory, lasciare selezionata la casella di controllo La directory supporta DNS di Posizione servizio.

    • Se il servizio Active Directory specificato non utilizza la ricerca DNS di Posizione servizio, deselezionare la casella di controllo accanto a La directory supporta DNS di Posizione servizio nei campi Posizione server e inserire il nome host e la porta del server di Active Directory nelle caselle di testo corrispondenti.

      Selezionare la casella di controllo Questa directory dispone di un catalogo globale se l'istanza di Active Directory associata utilizza un catalogo globale. Un catalogo globale contiene una rappresentazione di tutti gli oggetti in ogni dominio in una foresta Active Directory a più domini.

    • Se Active Directory richiede l'accesso tramite SSL, selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino SSL sotto l'intestazione Certificati e fornire il certificato SSL di Active Directory.

    Dettaglio unione al dominio - Visualizzata quando l'opzione Active Directory (autenticazione Windows integrata) è selezionata

    Immettere le credenziali necessarie nelle caselle di testo Nome dominio, Nome utente amministratore di dominio e Password amministratore di dominio.

  7. Nella sezione Dettagli utente di binding immettere le credenziali appropriate per consentire la sincronizzazione delle directory.

    Per Active Directory su LDAP:

    Opzione

    Descrizione

    DN di base

    Specificare il nome distinto di base per la ricerca. Ad esempio, cn=users,dc=corp,dc=local.

    DN di binding

    Specificare il nome distinto di binding. Ad esempio cn=fritz infra,cn=users,dc=corp,dc=local

    Per Active Directory (autenticazione integrata di Windows):

    Opzione

    Descrizione

    UPN utente di binding

    Immettere il nome dell'entità dell'utente che può autenticarsi nel dominio. Ad esempio UserName@example.com.

    Password DN di binding

    Specificare la password dell'utente Binding.

  8. Fare clic su Prova connessione per verificare la connessione alla directory configurata.

    Questo pulsante non viene visualizzato se è stata selezionata l'opzione Active Directory (autenticazione integrata di Windows).

  9. Fare clic su Salva e avanti.

    Viene visualizzata la pagina Seleziona domini con l'elenco dei domini.

  10. Esaminare e aggiornare i domini elencati per la connessione ad Active Directory.
    • Per Active Directory (autenticazione integrata di Windows), selezionare i domini da associare a questa connessione ad Active Directory.

    • Per Active Directory su LDAP, il dominio disponibile viene elencato con un segno di spunta.

      Nota:

      se si aggiunge un dominio trusting dopo aver creato la directory, il servizio non rileva automaticamente il nuovo dominio trusting. Per consentire al servizio di rilevare il dominio, connettore deve essere tolto e poi aggiunto nuovamente al dominio. Quando connettore si unisce nuovamente al dominio, il dominio trusting comparirà nell'elenco.

  11. Fare clic su Avanti.
  12. Verificare che i nomi degli attributi della directory di Directories Management siano mappati agli attributi di Active Directory corretti.

    Se i nomi degli attributi di directory non sono mappati correttamente, selezionare l'attributo Active Directory corretto nel menu a discesa.

  13. Fare clic su Avanti.
  14. Fare clic su Aggiungi per selezionare i gruppi da sincronizzare da Active Directory alla directory.

    Quando si aggiunge un gruppo da Active Directory, se i membri di tale gruppo non sono inclusi nell'elenco Utenti, vengono aggiunti. Quando si sincronizza un gruppo, gli utenti che non hanno Utenti del dominio come gruppo primario in Active Directory non vengono sincronizzati.

    Nota:

    il sistema di autenticazione degli utenti di Directories Management importa i dati da Active Directory quando si aggiungono gruppi e utenti e la velocità del sistema dipende dalle caratteristiche di Active Directory. È quindi possibile che l'importazione di un numero elevato di gruppi e utenti richieda una quantità di tempo significativa. Per ridurre eventuali ritardi o problemi, aggiungere solo i gruppi e gli utenti effettivamente necessari per il funzionamento di vRealize Automation.

    In caso di errori o di peggioramento delle prestazioni del sistema, chiudere tutte le applicazioni non necessarie e verificare che sia stata allocata ad Active Directory una quantità di memoria appropriata. Se i problemi persistono, aumentare la quantità di memoria allocata ad Active Directory in base alle necessità. Per sistemi con un elevato numero di utenti e gruppi, potrebbe essere necessario allocare fino a 24 GB di memoria ad Active Directory.

  15. Fare clic su Avanti.
  16. Fare clic su Aggiungi per aggiungere ulteriori utenti. Ad esempio, immettere CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com.

    Per escludere utenti, fare clic su Aggiungi per creare un filtro che escluda determinati tipi di utenti. È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore.

  17. Fare clic su Avanti.
  18. Esaminare la pagina per verificare quanti utenti e gruppi sono in corso di sincronizzazione con la directory.

    Se si desidera apportare modifiche agli utenti e ai gruppi, fare clic sui collegamenti Modifica.

    Nota:

    Assicurarsi di specificare DN di utenti inclusi all'interno del DN di base specificato in precedenza. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno effettuare l'accesso.

  19. Fare clic su Push in area di lavoro per avviare la sincronizzazione con la directory.

Risultati

La connessione ad Active Directory è completa e gli utenti e i gruppi selezionati vengono aggiunti alla directory. Ora è possibile assegnare utenti e gruppi ai ruoli vRealize Automation appropriati selezionando Amministrazione > Utenti e gruppi > Utenti e gruppi della directory. Vedere Assegnazione di ruoli a utenti e gruppi della directory per ulteriori informazioni.

Operazioni successive

Se l'ambiente vRealize Automation è configurato per l'alta disponibilità, è necessario configurare Gestione directory specificamente per questa modalità. Vedere Configurazione di Gestione directory per l'alta disponibilità.

  • Impostare i metodi di autenticazione. Dopo la sincronizzazione di utenti e gruppi con la directory, se il connettore è utilizzato anche per l'autenticazione, è possibile impostare metodi di autenticazione aggiuntivi sul connettore. Se il provider di identità di autenticazione è di terze parti, configurare quel provider di identità nel connettore.

  • Riesaminare il criterio di accesso predefinito. Il criterio di accesso predefinito è configurato per consentire l'accesso al browser Web da parte di tutte le appliance in tutti gli intervalli di rete, con un timeout di sessione impostato a otto ore, oppure l'accesso a un'app client con un timeout di sessione di 2.160 ore (90 giorni). È possibile modificare il criterio di accesso predefinito e creare nuovi criteri quando si aggiungono applicazioni Web al catalogo.

  • Applicare un branding personalizzato alla console di amministrazione, alle pagine del portale degli utenti e alla schermata di accesso.