単一の Active Directory ドメイン環境に接続する場合は、このディレクトリ タイプを作成できます。LDAP ディレクトリ タイプ経由の Active Directory の場合、コネクタは単純なバインド認証を使用して Active Directory にバインドされます。

前提条件

  • Active Directory から同期する Active Directory グループとユーザーを一覧表示します。
  • 必要なデフォルト属性を指定してあることを確認してから、ユーザー属性定義に属性を追加します。
  • ディレクトリを追加するために必要なユーザー認証情報を持っていることを確認します。

手順

  1. [マイ サービス] ダッシュボードで、[ID およびテナントの管理] をクリックします。
  2. [ディレクトリ管理] タブに移動し、[ディレクトリ] をクリックします。
  3. [ディレクトリを追加] をクリックし、[LDAP 経由の Active Directory の追加] を選択します。
  4. [ディレクトリの詳細] タブで、次のように入力します。
    フィールド 説明
    ディレクトリ情報 有効なディレクトリ名を入力します。
    ディレクトリの同期と認証 Active Directory と同期するコネクタを選択します。コネクタは、Active Directory と VMware Identity Manager サービスの間でユーザーおよびグループのデータを同期する VMware Identity Manager サービス コンポーネントです。

    ID プロバイダとして使用される場合は、ユーザー認証も実行します。各 VMware Identity Manager アプライアンス ノードにはデフォルトのコネクタ コンポーネントが含まれています。必要に応じて、グローバル環境へのスケール アウトを介して専用のコネクタを展開することもできます。
    認証の有効化 コネクタで認証を実行する場合は、[はい] を選択します。

    選択したコネクタが認証も実行するかどうかを指定できます。サードパーティの ID プロバイダを使用してユーザーを認証している場合は、[いいえ] をクリックします。
    ディレクトリ検索属性 ユーザー名を含むドロップダウン メニューからアカウント属性を選択します。
    サーバの場所 [ディレクトリは DNS サービス ロケーションをサポートする] チェック ボックスをオンにします。
    • Active Directory が SSL/TLS 経由のアクセスを必要とする場合は、[証明書] セクションの [ディレクトリではすべての接続で STARTTLS または SSL を使用する必要がある] チェック ボックスをオンにし、ドメイン コントローラの中間 CA(使用している場合)証明書およびルート CA 証明書をコピーして [SSL 証明書] フィールドに貼り付けます。最初に中間 CA 証明書を入力し、次にルート CA 証明書を入力します。各証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。ドメイン コントローラに複数の中間 CA およびルート CA からの証明書が含まれている場合は、すべての中間 - ルート CA 証明書チェーンを順番に入力します。Active Directory が SSL/TLS 経由のアクセスを必要とする場合、証明書がなければディレクトリを作成できません。
    • DNS サービス ロケーションを使用しない場合は、[ディレクトリは DNS サービス ロケーションをサポートする] チェック ボックスがオンになっていないことを確認し、Active Directory サーバのホスト名とポート番号を入力します。
    証明書

    Active Directory が SSL/TLS 経由のアクセスを必要とする場合は、[証明書] セクションの [ディレクトリではすべての接続で SSL を使用する必要がある] チェック ボックスをオンにし、ドメイン コントローラの中間 CA(使用している場合)証明書およびルート CA 証明書をコピーして [SSL 証明書] フィールドに貼り付けます。最初に中間 CA 証明書を入力し、次にルート CA 証明書を入力します。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。Active Directory が SSL/TLS 経由のアクセスを必要とする場合、証明書がなければディレクトリを作成できません。

    バインド ユーザーの詳細
    • ベース DN - アカウントの検索を開始する DN を入力します。たとえば、OU=myUnit、DC=myCorp、DC=com と入力します。ベース DN は認証に使用されます。ベース DN の下のユーザーだけが認証できます。後で同期用に指定するグループ DN とユーザー DN は、このベース DN の下に置く必要があります。
    • バインド ユーザー DN - アカウントの詳細を入力します。たとえば、CN=binduser、OU=myUnit、DC=myCorp、DC=com と入力します。有効期限のないパスワードを持つバインド ユーザー アカウントを使用します。
    • バインド パスワード:[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。
  5. [作成して次へ] をクリックします。
    LDAP 経由の Active Directory では、ドメインにチェックマークが付けられて表示されます。
  6. [ドメイン選択の詳細] タブでドメインを選択し、[次へ] をクリックします。
  7. ディレクトリ属性を Active Directory にマッピングするには、[属性のマッピング] タブで必要な属性を選択し、[保存して次へ] をクリックします。
  8. Active Directory から VMware Identity Manager ディレクトリに同期するには、[グループの選択] タブでグループ DN の詳細を指定し、[次へ] をクリックします。
    リスト内ですでにディレクトリと同期可能なすべての Active Directory グループを選択することもできます。
    1. グループを選択するには、[グループ識別名の追加] をクリックし、1 つ以上のグループ識別名を指定します。その下でグループを選択します。[ディレクトリの追加] 画面の [ベース DN] テキスト ボックスに入力したベース DN の下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. [グループの検索] をクリックします。[アクション] 列に、DN で見つかったグループの番号が一覧表示されます。DN 内のすべてのグループを選択する場合は [すべて選択] を、同期する特定のグループを選択する場合はその番号をクリックします。グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。
    3. [ネストされたグループ メンバーを同期] オプションを選択します。
  9. [ユーザーの選択] タブで、ユーザー DN の詳細を入力し、[次へ] をクリックします。
    スイート管理者は、展開されたスイート製品、ログ、および Active Directory テーブルの管理者ユーザーとして行動する Active Directory 内のユーザーです。
  10. [ネストされたグループ メンバーを同期] オプションを選択し、[スイート管理者] を入力します。
    このオプションが有効になっている場合、グループに資格が与えられると、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリで、これらのユーザーは同期のために選択した親グループのメンバーです。[ネストされたグループ メンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。
  11. [保存して次へ] をクリックします。[ユーザーの選択] 画面で、[ユーザーの追加] をクリックし、同期するユーザー DN を指定します。[ディレクトリの追加] 画面の ベース DN テキスト ボックスに入力したベース DN の下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。[保存して次へ] をクリックします。
  12. [ドライ ラン チェック] タブを確認し、サマリを読み、[同期して完了] をクリックしてディレクトリへの同期を開始します。Active Directory への接続が確立され、ユーザーとグループの名前が Active Directory から VMware Identity Manager ディレクトリに同期されます。
  13. [送信] をクリックします。
  14. 編集するには、Active Directory のリストで目的の Active Directory の [編集] アイコンをクリックします。追加された情報が VMware Identity Manager の構成に付加されます。ただし、編集によって削除しても、構成は vRealize Suite Lifecycle Manager インベントリから削除されるだけで、VMware Identity Manager からは削除されません。
  15. 削除するには、Active Directory のリストで目的の Active Directory の [削除] アイコンをクリックします。削除アクションでは、Active Directory は vRealize Suite Lifecycle Manager インベントリから削除されるだけで、VMware Identity Manager からは削除されません。