このディレクトリ タイプは、マルチドメイン Active Directory 環境に接続する場合に作成します。コネクタは、統合 Windows 認証を使用して Active Directory にバインドされます。

前提条件

ディレクトリを追加するために必要なユーザー認証情報を持っていることを確認します。

手順

  1. [マイ サービス] ダッシュボードで、[ID およびテナントの管理] をクリックします。
  2. [ディレクトリ管理] タブに移動し、[ディレクトリ] をクリックします。
  3. [+ディレクトリを追加] をクリックし、[IWA 経由の Active Directory の追加] をクリックします。
  4. [ディレクトリの詳細] タブで、次のように入力します。
    フィールド 説明
    ディレクトリ情報 有効なディレクトリ名を入力します。
    ディレクトリの同期と認証 Active Directory と同期するコネクタを選択します。コネクタは、Active Directory と VMware Identity Manager サービスの間でユーザーおよびグループのデータを同期する VMware Identity Manager サービス コンポーネントです。これによってユーザーが認証されます。各 VMware Identity Manager アプライアンス ノードにはデフォルトのコネクタ コンポーネントが含まれています。必要に応じて、グローバル環境へのスケール アウトを介して専用のコネクタを展開することもできます。
    認証の有効化

    選択したコネクタが認証も実行するかどうかを指定できます。サードパーティの ID プロバイダを使用してユーザーを認証している場合は、[いいえ] をクリックします。
    ディレクトリ検索属性 ドロップダウン メニューから検索属性を選択します。
    証明書
    • Active Directory が SSL/TLS 経由のアクセスを必要とする場合は、[証明書] セクションの [ディレクトリではすべての接続で STARTTLS を使用する必要がある] チェック ボックスをオンにし、ドメイン コントローラの中間 CA(使用している場合)証明書およびルート CA 証明書をコピーして [SSL 証明書] フィールドに貼り付けます。最初に中間 CA 証明書を入力し、次にルート CA 証明書を入力します。各証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。ドメイン コントローラに複数の中間 CA およびルート CA からの証明書が含まれている場合は、すべての中間 - ルート CA 証明書チェーンを順番に入力します。Active Directory が SSL/TLS 経由のアクセスを必要とする場合、証明書がなければディレクトリを作成できません。
    ドメインへの参加の詳細 ドメイン名、ドメイン管理者ユーザー名、およびドメイン パスワードを入力します。
    バインド ユーザーの詳細
    • 必要なドメインのユーザーおよびグループをクエリする権限を持つバインド ユーザーの [バインド ユーザー名][バインド パスワード] を入力します。sAMAccountName@domain の形式でユーザー名を入力します。domain は完全修飾ドメイン名です。有効期限のないパスワードを持つバインド ユーザー アカウントを使用します。
  5. [作成して次へ] をクリックします。
    Active Directory 接続に関連付けられているドメインを選択できます。
  6. [ドメイン選択の詳細] タブでドメインを選択し、[送信して次へ] をクリックします。
    IWA を使用する Active Directory によってドメインのリストが入力され、必要に応じてドメインを選択または編集できます。
  7. VMware Identity Manager ディレクトリ属性名が正しい Active Directory 属性にマッピングされていることを確認するために、[属性のマッピング] タブで必要な属性を選択し、[送信して次へ] をクリックします。
  8. [グループの選択] タブで、グループ DN の詳細を指定し、[次へ] をクリックします。

    グループを選択するには、[グループ識別名の追加] をクリックし、1 つ以上のグループ識別名を指定して、その下からグループを選択します。[ディレクトリの追加] セクションの [ベース DN] テキスト ボックスに入力したベース DN の下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

    グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。

    1. [ネストされたグループ メンバーを同期] オプションを選択します。
  9. [ユーザーの選択] タブで、ユーザー DN の詳細を入力し、[次へ] をクリックします。
    注: このオプションが有効になっている場合、グループに資格が与えられると、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。 VMware Identity Manager ディレクトリで、これらのユーザーは同期のために選択した親グループのメンバーです。 [ネストされたグループ メンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。
    スイート管理者は、展開されたスイート製品、ログ、および Active Directory テーブルの管理者ユーザーとして行動する Active Directory 内のユーザーです。
  10. [ドライ ラン チェック] タブで、サマリを読みます。
  11. [同期して完了] をクリックして、ディレクトリへの同期を開始します。Active Directory への接続が確立され、ユーザーとグループの名前が Active Directory から VMware Identity Manager ディレクトリに同期されます。
  12. [送信] をクリックします。
  13. 編集するには、Active Directory のリストで目的の Active Directory の [編集] アイコンをクリックします。追加された情報が VMware Identity Manager の構成に付加されます。ただし、編集によって削除しても、構成は vRealize Suite Lifecycle Manager インベントリから削除されるだけで、VMware Identity Manager からは削除されません。
  14. 削除するには、Active Directory のリストで目的の Active Directory の [削除] アイコンをクリックします。Active Directory は vRealize Suite Lifecycle Manager インベントリから削除されるだけで、VMware Identity Manager からは削除されません。