관리 콘솔에서 Active Directory에 연결하는 데 필요한 정보를 입력하고 VMware Identity Manager 디렉토리와 동기화할 사용자 및 그룹을 선택합니다.
Active Directory 연결 옵션은 [LDAP를 통한 Active Directory] 또는 [Active Directory(Windows 통합 인증)]입니다. [LDAP를 통한 Active Directory] 연결은 DNS 서비스 위치 조회를 지원합니다.
사전 요구 사항
- (SaaS) Connector가 설치 및 활성화되어 있습니다.
- [사용자 특성] 페이지에서 필수 특성을 선택하고 다른 특성을 더 추가합니다. 디렉토리와의 동기화를 위해 특성 선택의 내용을 참조하십시오.
- Active Directory에서 동기화할 Active Directory 사용자 및 그룹의 목록. 그룹 이름이 즉시 디렉토리로 동기화됩니다. 그룹의 멤버는 그룹이 리소스에 대한 사용 권한을 받거나 정책 규칙에 추가될 때까지 동기화되지 않습니다. 그룹 사용 권한을 구성하기 전에 인증해야 하는 사용자를 초기 구성 동안 추가해야 합니다.
- [LDAP를 통한 Active Directory]의 경우 필요한 정보에는 기본 DN, 바인딩 DN, 바인딩 DN 암호가 포함됩니다.
참고: 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
- [Active Directory(Windows 통합 인증)]의 경우 필요한 정보에는 도메인의 바인딩 사용자 UPN 주소 및 암호가 포함됩니다.
참고: 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
- Active Directory가 SSL 또는 STARTTLS를 통한 액세스를 요구하는 경우 Active Directory 도메인 컨트롤러의 루트 CA 인증서가 필요합니다.
- [Active Directory(Windows 통합 인증)]의 경우, 다중 포리스트 Active Directory를 구성했고 도메인 로컬 그룹에 서로 다른 포리스트의 도메인 구성원이 포함되었다면 도메인 로컬 그룹이 상주하는 도메인의 관리자 그룹에 바인딩 사용자를 추가해야 합니다. 이렇게 하지 않으면 이러한 구성원은 도메인 로컬 그룹에서 누락됩니다.
프로시저
결과
Active Directory 연결이 설정되고 사용자 및 그룹 이름이 Active Directory에서 VMware Identity Manager 디렉토리로 동기화됩니다. 바인딩 DN 사용자는 기본적으로 VMware Identity Manager에서 관리자 역할을 가집니다.
다음에 수행할 작업
- DNS 서비스 위치를 지원하는 디렉토리를 만든 경우 domain_krb.properties 파일이 만들어지고 도메인 컨트롤러 목록으로 자동으로 채워집니다. 파일을 확인하거나 도메인 컨트롤러 목록을 편집합니다. 도메인 컨트롤러 선택 정보(domain_krb.properties 파일)의 내용을 참조하십시오.
- 인증 방법을 설정합니다. 사용자 및 그룹 이름이 디렉토리로 동기화된 후에, 커넥터도 인증에 사용되는 경우 커넥터에서 추가 인증 방법을 설정할 수 있습니다. 타사가 인증 ID 제공자인 경우 커넥터에서 해당 ID 제공자를 구성합니다.
- 기본 액세스 정책을 검토합니다. 기본 액세스 정책은 전체 네트워크 범위의 모든 장치가 8시간의 세션 시간 초과 설정으로 웹 포털에 액세스하거나 2,160시간(90일)의 세션 시간 초과 설정으로 클라이언트 애플리케이션에 액세스할 수 있도록 구성되어 있습니다. 기본 액세스 정책을 변경할 수 있으며 웹 애플리케이션을 카탈로그에 추가할 때 새 정책을 생성할 수 있습니다.
- (온-프레미스) 사용자 지정 브랜딩을 관리 콘솔, 사용자 포털 페이지 및 로그인 화면에 적용합니다.