È possibile configurare un collegamento Active Directory su LDAP/IWA utilizzando la funzionalità Directories Management che consente di configurare un collegamento ad Active Directory per il supporto dell'autenticazione utente di tutti i tenant e selezionare gli utenti e i gruppi da sincronizzare con la directory Directories Management.

Per informazioni e istruzioni sull'uso di OpenLDAP con Directories Management, vedere Configurazione di una connessione alla directory OpenLDAP.

Per Active Directory (autenticazione integrata di Windows), quando è configurata Active Directory multiforesta e il gruppo locale di dominio contiene membri provenienti da domini di foreste diverse, assicurarsi che l'utente Binding sia aggiunto al gruppo Administrators del dominio in cui risiede il gruppo locale di dominio, Se non si soddisfano tali requisiti, questi membri non appariranno nel gruppo locale di dominio.

Nota: Configurare innanzitutto le directory IWA di Active Directory per il tenant predefinito. È quindi possibile aggiungerle ad altri tenant.

Prerequisiti

  • Selezionare gli attributi predefiniti obbligatori e aggiungere ulteriori attributi nella pagina Attributi utente. Vedere Selezione degli attributi per la sincronizzazione con la directory.
  • Elenco di gruppi e utenti Active Directory da sincronizzare da Active Directory.
  • Se Active Directory richiede l'accesso su SSL o STARTTLS, il certificato CA root del controller di dominio di Active Directory è obbligatorio.

  • Accedere a vRealize Automation come amministratore tenant.

Procedura

  1. Selezionare Amministrazione > Gestione directory > Directory.
  2. Fare clic su Aggiungi directory e selezionare Aggiungi Active Directory su LDAP/IWA.
  3. Nella pagina Aggiungi directory, specificare l'indirizzo IP del server di Active Directory nella casella di testo Nome directory.
  4. Selezionare il protocollo di comunicazione con Active Directory appropriato utilizzando i pulsanti di opzione sotto la casella di testo Nome directory.
    Opzione Descrizione
    Autenticazione Windows Selezionare Active Directory (autenticazione integrata di Windows). Per l'autenticazione integrata di Windows in Active Directory, le informazioni obbligatorie sono l'indirizzo UPN dell'utente di binding del dominio e la relativa password.
    LDAP Selezionare Active Directory su LDAP. Per Active Directory su LDAP, le informazioni obbligatorie includono DN di base, DN di binding e password del DN di binding.
  5. Configurare il connettore che sincronizza gli utenti di Active Directory con la directory Directories Management di VMware nella sezione Sincronizzazione directory e autenticazione.
    Opzione Descrizione
    Connettore di sincronizzazione Selezionare il connettore appropriato da utilizzare per il sistema. Ogni appliance vRealize Automation contiene un connettore predefinito. Rivolgersi all'amministratore di sistema per aiuto nella scelta del connettore appropriato.
    Autenticazione Fare clic sul pulsante di opzione appropriato per indicare se anche il connettore selezionato deve eseguire l'autenticazione.

    Se si utilizza Active Directory (autenticazione integrata di Windows), con un provider di identità di terze parti per eseguire l'autenticazione degli utenti, fare clic su No. Dopo aver configurato la connessione ad Active Directory per sincronizzare utenti e gruppi, passare alla pagina Provider di identità per aggiungere il provider di identità per l'autenticazione.

    Per informazioni sull'utilizzo degli adattatori di autenticazione come PasswordIpddAdapter, SecurIDAdapter e RadiusAuthAdapter, vedere la Guida all'amministrazione di VMware Identity Manager.

    Attributo di ricerca directory Selezionare l'attributo dell'account appropriato contenente il nome utente. VMware consiglia di utilizzare l'attributo sAMAccount anziché userPrincipleName. Se si utilizza userPrincipleName per le operazioni di sincronizzazione, è possibile che l'integrazione con software di seconde e terze parti che richiede un nome utente non funzioni correttamente.
    Nota: Se si seleziona sAMAccountName quando si utilizza un catalogo globale, indicato selezionando la casella di controllo Questa directory dispone di un catalogo globale nell'area Posizione server, gli utenti non potranno effettuare l'accesso.
  6. Immettere le informazioni appropriate nella casella di testo Posizione server se è stata selezionata l'opzione Active Directory su LDAP oppure inserire le informazioni nelle caselle di testo di Dettaglio unione al dominio se è stata selezionata l'opzione Active Directory (autenticazione integrata di Windows).
    Opzione Descrizione
    Posizione server - Visualizzata quando l'opzione Active Directory su LDAP è selezionata
    • Se si desidera utilizzare la ricerca DNS di Posizione servizio per individuare i domini di Active Directory, lasciare selezionata la casella di controllo La directory supporta DNS di Posizione servizio.
      Nota: Se si seleziona questa opzione, non è possibile impostare l'assegnazione della porta su 636.

      Insieme alla directory viene creato un file domain_krb.properties, popolato automaticamente con un elenco di controller di dominio. Vedere Informazioni sulla selezione dei controller di dominio.

      Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino STARTTLS nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL.

    • Se il servizio Active Directory specificato non utilizza la ricerca DNS di Posizione servizio, deselezionare la casella di controllo accanto a La directory supporta DNS di Posizione servizio nei campi Posizione server e inserire il nome host e la porta del server di Active Directory nelle caselle di testo corrispondenti.

      Selezionare la casella di controllo Questa directory dispone di un catalogo globale se l'istanza di Active Directory associata utilizza un catalogo globale. Un catalogo globale contiene una rappresentazione di tutti gli oggetti in ogni dominio in una foresta Active Directory a più domini.

      Per configurare la directory come catalogo globale, vedere la sezione relativa all'ambiente di Active Directory con foresta singola a più domini in Ambienti Active Directory.

      Se Active Directory richiede l'accesso tramite SSL, selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino SSL sotto l'intestazione Certificati e fornire il certificato SSL di Active Directory.

      Quando si seleziona questa opzione, viene utilizzata automaticamente la porta 636 e non può essere modificata.

      Assicurarsi che il certificato sia in formato PEM e che includa le righe BEGIN CERTIFICATE ed END CERTIFICATE.

    Dettaglio unione al dominio - Visualizzata quando l'opzione Active Directory (autenticazione Windows integrata) è selezionata

    Immettere le credenziali necessarie nelle caselle di testo Nome dominio, Nome utente amministratore di dominio e Password amministratore di dominio.

    Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino STARTTLS nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL.

    Assicurarsi che il certificato sia in formato PEM e che includa le righe BEGIN CERTIFICATE ed END CERTIFICATE.

    Se la directory ha più domini, aggiungere i certificati CA root per tutti i domini, uno alla volta.

    Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non è possibile creare la directory.
  7. Nella sezione Dettagli utente di binding immettere le credenziali appropriate per consentire la sincronizzazione delle directory.
    Per Active Directory su LDAP:
    Opzione Descrizione
    DN di base Specificare il nome distinto di base per la ricerca. Ad esempio, cn=users,dc=corp,dc=local.
    DN di binding Specificare il nome distinto di binding. Ad esempio cn=fritz infra,cn=users,dc=corp,dc=local

    Per Active Directory (autenticazione integrata di Windows):

    Opzione Descrizione
    UPN utente di binding Immettere il nome dell'entità dell'utente che può autenticarsi nel dominio. Ad esempio UserName@example.com.
    Password DN di binding Specificare la password dell'utente Binding.
  8. Fare clic su Prova connessione per verificare la connessione alla directory configurata.
    Questo pulsante non viene visualizzato se è stata selezionata l'opzione Active Directory (autenticazione integrata di Windows).
  9. Fare clic su Salva e avanti.
    Viene visualizzata la pagina Seleziona domini con l'elenco dei domini.
  10. Esaminare e aggiornare i domini elencati per la connessione ad Active Directory.
    • Per Active Directory (autenticazione integrata di Windows), selezionare i domini da associare a questa connessione ad Active Directory.
    • Per Active Directory su LDAP, il dominio disponibile viene elencato con un segno di spunta.
      Nota: se si aggiunge un dominio trusting dopo aver creato la directory, il servizio non rileva automaticamente il nuovo dominio trusting. Per consentire al servizio di rilevare il dominio, connettore deve essere tolto e poi aggiunto nuovamente al dominio. Quando connettore si unisce nuovamente al dominio, il dominio trusting comparirà nell'elenco.
  11. Fare clic su Avanti.
  12. Verificare che i nomi degli attributi della directory di Directories Management siano mappati agli attributi di Active Directory corretti.
    Se i nomi degli attributi di directory non sono mappati correttamente, selezionare l'attributo Active Directory corretto nel menu a discesa.
  13. Fare clic su Avanti.
  14. Fare clic su Aggiungi per selezionare i gruppi da sincronizzare da Active Directory alla directory.
    Quando si aggiunge un gruppo da Active Directory, se i membri di tale gruppo non sono inclusi nell'elenco Utenti, vengono aggiunti. Quando si sincronizza un gruppo, gli utenti che non hanno Utenti del dominio come gruppo primario in Active Directory non vengono sincronizzati.
    Nota: il sistema di autenticazione degli utenti di Directories Management importa i dati da Active Directory quando si aggiungono gruppi e utenti e la velocità del sistema dipende dalle caratteristiche di Active Directory. È quindi possibile che l'importazione di un numero elevato di gruppi e utenti richieda una quantità di tempo significativa. Per ridurre eventuali ritardi o problemi, aggiungere solo i gruppi e gli utenti effettivamente necessari per il funzionamento di vRealize Automation.

    In caso di errori o di peggioramento delle prestazioni del sistema, chiudere tutte le applicazioni non necessarie e verificare che sia stata allocata ad Active Directory una quantità di memoria appropriata. Se i problemi persistono, aumentare la quantità di memoria allocata ad Active Directory in base alle necessità. Per sistemi con un elevato numero di utenti e gruppi, potrebbe essere necessario allocare fino a 24 GB di memoria ad Active Directory.

  15. Fare clic su Avanti.
  16. Fare clic su Aggiungi per aggiungere ulteriori utenti.
    I valori appropriati sono i seguenti:
    • Singolo utente: CN=username,CN=Users,OU=Users,DC=myCorp,DC=com
    • Più utenti: OU=Users,OU=myUnit,DC=myCorp,DC=com

    Per escludere utenti, fare clic su Aggiungi per creare un filtro che escluda determinati tipi di utenti. È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore.

  17. Fare clic su Avanti.
  18. Esaminare la pagina per verificare quanti utenti e gruppi sono in corso di sincronizzazione con la directory.

    Se si desidera apportare modifiche agli utenti e ai gruppi, fare clic sui collegamenti Modifica.

    Nota: Assicurarsi di specificare DN di utenti inclusi all'interno del DN di base specificato in precedenza. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno effettuare l'accesso.
  19. Fare clic su Push in area di lavoro per avviare la sincronizzazione con la directory.

risultati

La connessione ad Active Directory è completa e gli utenti e i gruppi selezionati vengono aggiunti alla directory. Ora è possibile assegnare utenti e gruppi ai ruoli vRealize Automation appropriati selezionando Amministrazione > Utenti e gruppi > Utenti e gruppi della directory. Vedere Assegnazione di ruoli a utenti e gruppi della directory per ulteriori informazioni.

Operazioni successive

Se l'ambiente vRealize Automation è configurato per l'alta disponibilità, è necessario configurare Gestione directory specificamente per questa modalità. Vedere Configurazione di Gestione directory per l'alta disponibilità.

  • Impostare i metodi di autenticazione. Dopo la sincronizzazione di utenti e gruppi con la directory, se il connettore è utilizzato anche per l'autenticazione, è possibile impostare metodi di autenticazione aggiuntivi sul connettore. Se il provider di identità di autenticazione è di terze parti, configurare quel provider di identità nel connettore.
  • Riesaminare il criterio di accesso predefinito. Il criterio di accesso predefinito è configurato per consentire l'accesso al browser Web da parte di tutte le appliance in tutti gli intervalli di rete, con un timeout di sessione impostato a otto ore, oppure l'accesso a un'app client con un timeout di sessione di 2.160 ore (90 giorni). È possibile modificare il criterio di accesso predefinito e creare nuovi criteri quando si aggiungono applicazioni Web al catalogo.
  • Applicare un branding personalizzato alla console di amministrazione, alle pagine del portale degli utenti e alla schermata di accesso.