Nadat de OVA van VMware Identity Manager is geïmplementeerd, gebruikt u de wizard Setup om wachtwoorden in te stellen en een database te selecteren. Vervolgens stelt u de verbinding in naar uw Active Directory of LDAP-directory.

Voorwaarden

  • De virtual appliance van VMware Identity Manager is ingeschakeld.

  • Als u een externe database gebruikt, is de externe database geconfigureerd en is de verbindingsinformatie van de externe database beschikbaar. Zie Aan de database koppelen voor informatie.

  • Bekijk Integreren met uw Enterprise-directory, Met Active Directory integreren en Een LDAP-directory met de service integreren voor vereisten en beperkingen.

  • U hebt de informatie van uw Active Directory of LDAP-directory.

  • Wanneer multi-forest Active Directory is geconfigureerd en de lokale domeingroep bevat leden van domeinen in verschillende forests, moet de Bind DN-gebruiker die op de Directorypagina van VMware Identity Manager wordt gebruikt, worden toegevoegd aan de beheerdersgroep van het domein waarin de lokale domeingroep verblijft. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep.

  • U hebt een lijst van de gebruikerskenmerken die u als filters wilt gebruiken en een lijst van de groepen die u wilt toevoegen aan VMware Identity Manager.

Procedure

  1. Ga naar de URL van VMware Identity Manager die wordt weergegeven op het blauwe scherm op het tabblad Console. Bijvoorbeeld https://hostname.example.com.
  2. Accepteer het certificaat, indien hierom wordt gevraagd.
  3. Klik op de pagina Aan de slag op Doorgaan.
  4. Op de pagina Wachtwoorden instellen, stelt u wachtwoorden in voor de volgende beheerdersaccounts, die worden gebruikt om het apparaat te beheren. Klik vervolgens op Doorgaan.

    Account

    Apparaatbeheerder

    Stel het wachtwoord in voor de beheerdersgebruiker. Deze gebruikersnaam kan niet worden gewijzigd. Het account van de beheerdersgebruiker wordt gebruikt om de apparaatinstellingen te beheren.

    Belangrijk:

    Het wachtwoord voor de beheerdersgebruiker moet minstens zes tekens lang zijn.

    Apparaathoofdgebruiker

    Stel het wachtwoord van de hoofdgebruiker in. De hoofdgebruiker heeft volledige rechten op het apparaat.

    Gebruiker op afstand

    Stel het wachtwoord van de sshuser in, dat wordt gebruikt om u op afstand aan te melden op het apparaat met een SSH-verbinding.

  5. Op de pagina Database selecteren selecteert u de database die moet worden gebruikt.

    Raadpleeg Aan de database koppelen voor meer informatie.

    • Als u een externe database gebruikt, selecteert u Externe database en voert u de verbindingsinformatie in van de externe database, de gebruikersnaam en het wachtwoord. Om te controleren of VMware Identity Manager verbinding kan maken met de database, klikt u op Verbinding testen.

      Nadat u de verbinding hebt gecontroleerd, klikt u op Doorgaan.

    • Als u de interne database gebruikt, klikt u op Doorgaan.

      Opmerking:

      Het gebruik van de interne database wordt afgeraden bij productie-implementaties.

    De verbinding met de database wordt geconfigureerd en de database wordt opgestart. Wanneer het proces is voltooid, verschijnt de pagina Instellen is voltooid.

  6. Klik op de link Meld u aan op de beheerdersconsole op de pagina Het instellen is voltooid om u aan te melden op de beheerconsole om de verbinding met de Active Directory of de LDAP-directory in te stellen.
  7. Meld u aan op de beheerconsole als de beheerdersgebruiker met het wachtwoord dat u instelt.

    U bent aangemeld als een lokale beheerder. De Directorypagina verschijnt. Voordat u een directory toevoegt, zorgt u ervoor dat u Integreren met uw Enterprise-directory, Met Active Directory integreren en Een LDAP-directory met de service integreren bekijkt voor vereisten en beperkingen.

  8. Klik op het tabblad Identiteits- en toegangsbeheer.
  9. Klik op Instellen > Gebruikerskenmerken om de gebruikerskenmerken te selecteren die naar de directory worden gesynchroniseerd.

    Standaardkenmerken worden vermeld en u kunt de kenmerken selecteren die zijn vereist. Als een kenmerk als vereist wordt gemarkeerd, worden alleen gebruikers met dat kenmerk naar de service gesynchroniseerd. U kunt ook andere kenmerken toevoegen.

    Belangrijk:

    Nadat een directory is gemaakt, kunt u een kenmerk niet wijzigen naar een vereist kenmerk. U moet nu die selectie doen.

    Wees u er ook van bewust dat de instellingen op de pagina Gebruikerskenmerken van toepassing zijn op alle directory's in de service. Wanneer u een kenmerk markeert als vereist, moet u het gevolg ervan op de andere directory's overwegen. Als een kenmerk als vereist is gemarkeerd, worden gebruikers zonder dat kenmerk niet op de service gesynchroniseerd.

    Belangrijk:

    Als u XenApp-bronnen wilt synchroniseren met VMware Identity Manager, moet u distinguishedName instellen als een vereist kenmerk.

  10. Klik op Opslaan.
  11. Klik op het tabblad Identiteits- en toegangsbeheer.
  12. Klik op de Directorypagina op Directory toevoegen en selecteer Active Directory via LDAP/IWA toevoegen of LDAP-directory toevoegen op basis van het type directory dat u integreert.

    U kunt ook een lokale directory in de service maken. Zie Lokale directory's gebruiken voor meer informatie over het gebruik van lokale directory's.

  13. Voor Active Directory volgt u deze stappen.
    1. Voer een naam in voor de directory die u in VMware Identity Manager maakt en selecteer het type directory, ofwel Active Directory via LDAP of Active Directory (geïntegreerde Windows-verificatie (IWA)).
    2. Verstrek de verbindingsinformatie.

      Optie

      Beschrijving

      Active Directory via LDAP

      1. In het veld Synchronisatieconnector selecteert u de Connector die u wilt gebruiken om gebruikers en groepen van Active Directory te synchroniseren naar de directory van VMware Identity Manager.

        Een connectorcomponent is altijd standaard beschikbaar met de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-apparaten installeert voor hoge beschikbaarheid, verschijnt de connectorcomponent van elk van die apparaten in de lijst.

      2. In het veld Verificatie selecteert u Ja als u deze Active Directory wilt gebruiken om gebruikers te verifiëren.

        Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van de Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de externe identiteitsprovider voor verificatie toe te voegen.

      3. In het veld Zoekkenmerk directory selecteert u het accountkenmerk dat de gebruikersnaam bevat.

      4. Als de Active Directory de opzoekfunctie DNS Service Location gebruikt, selecteert u het volgende.

        • In de sectie Server Location schakelt u het selectievakje Deze directory ondersteunt DNS Service Location in.

          Een bestand domain_krb.properties dat automatisch is ingevuld met een lijst domeincontrollers, wordt gemaakt wanneer de directory is gemaakt. Zie Domeincontrollers selecteren (bestand domain_krb.properties).

        • Als Active Directory de versleuteling STARTTLS vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat.

          Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.

          Opmerking:

          Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.

      5. Als de Active Directory geen opzoekfunctie van DNS Service Location gebruikt, selecteert u het volgende.

        • In de sectie Server Location controleert u of het selectievakje Deze directory ondersteunt DNS Service Location niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in.

          Zie de sectie Multi-domein, Single Forest Active Directory-omgeving in Active Directory-omgevingen om de directory als een globale catalogus te configureren.

        • Als de Active Directory toegang over SSL vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat.

          Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.

          Opmerking:

          Als de Active Directory SSL vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.

      6. In de sectie Wijziging van wachtwoord toestaan selecteert u Wijziging van wachtwoord inschakelen als u wilt dat gebruikers hun wachtwoorden kunnen resetten vanaf de aanmeldingspagina van VMware Identity Manager als het wachtwoord verloopt of als de beheerder van Active Directory het wachtwoord van de gebruiker reset.

      7. In het veld Base DN voert u de DN in vanwaar de accountzoekopdrachten moeten starten. Bijvoorbeeld OU=myUnit,DC=myCorp,DC=com.

      8. In het veld Bind DN voert u het account in dat naar gebruikers kan zoeken. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com.

        Opmerking:

        Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.

      9. Nadat u het bindingswachtwoord hebt ingevoerd, klikt u op Verbinding testen om te controleren of de directory verbinding kan maken met uw Active Directory.

      Active Directory (geïntegreerde Windows-verificatie)

      1. In het veld Synchronisatieconnector selecteert u de Connector die u wilt gebruiken om gebruikers en groepen van Active Directory te synchroniseren naar de directory van VMware Identity Manager.

        Een connectorcomponent is altijd standaard beschikbaar met de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-apparaten installeert voor hoge beschikbaarheid, verschijnt de connectorcomponent van elk van die apparaten in de lijst.

      2. Als u deze Active Directory wilt gebruiken om gebruikers te verifiëren, klikt u in het veld Verificatie op Ja.

        Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van de Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de externe identiteitsprovider voor verificatie toe te voegen.

      3. In het veld Zoekkenmerk directory selecteert u het accountkenmerk dat de gebruikersnaam bevat.

      4. Als de Active Directory de versleuteling STARTTLS vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat.

        Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.

        Als de directory meerdere domeinen heeft, voegt u één voor één het basis CA-certificaat voor alle domeinen toe.

        Opmerking:

        Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.

      5. Voer de naam in van het Active Directory-domein dat wordt toegevoegd. Voer een gebruikersnaam en wachtwoord in dat de rechten heeft om het domein toe te voegen. Raadpleeg Vereiste rechten voor het toevoegen aan een domein voor meer informatie.

      6. In de sectie Wijziging van wachtwoord toestaan selecteert u Wijziging van wachtwoord inschakelen als u wilt dat gebruikers hun wachtwoorden kunnen resetten vanaf de aanmeldingspagina van VMware Identity Manager als het wachtwoord verloopt of als de beheerder van Active Directory het wachtwoord van de gebruiker reset.

      7. In het veld Gebruikers-UPN Bind voert u de User Principal Name (UPN) van de gebruiker in die met het domein kan worden geverifieerd. Bijvoorbeeld username@example.com.

        Opmerking:

        Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.

      8. Voer het wachtwoord van de Bind DN-gebruiker in.

    3. Klik op Opslaan en Volgende.

      De pagina met de lijst domeinen verschijnt.

  14. Voor LDAP-directory's volgt u deze stappen.
    1. Verstrek de verbindingsinformatie.

      Optie

      Beschrijving

      Directorynaam

      Een naam voor de directory die u in VMware Identity Manager maakt.

      Directory synchroniseren en verificatie

      1. In het veld Synchronisatieconnector selecteert u de connector die u wilt gebruiken om gebruikers en groepen te synchroniseren van uw LDAP-directory naar de directory van VMware Identity Manager.

        Een connectorcomponent is altijd standaard beschikbaar met de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-apparaten installeert voor hoge beschikbaarheid, verschijnt de connectorcomponent van elk van die apparaten in de lijst.

        U hebt geen afzonderlijke connector nodig voor een LDAP-directory. Een connector kan meerdere directory's ondersteunen, ongeacht of het directory's zijn van Active Directory of LDAP.

      2. In het veld Verificatie selecteert u Ja als u deze LDAP-directory wilt gebruiken om gebruikers te verifiëren.

        Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, selecteert u Nee. Nadat u de directoryverbinding hebt toegevoegd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de identiteitsprovider voor verificatie toe te voegen.

      3. In het veld Zoekkenmerk directory specificeert u het LDAP-directorykenmerk dat voor de gebruikersnaam wordt gebruikt. Als het kenmerk niet wordt vermeld, selecteert u Aangepast en typt u de kenmerknaam. Bijvoorbeeld cn.

      Serverlocatie

      Voer de serverhost en het poortnummer van de LDAP-directory in. Voor de serverhost kunt u de FQDN of het IP-adres specificeren. Bijvoorbeeld myLDAPserver.example.com of 100.00.00.0.

      Als u een cluster servers achter een load-balancer hebt, voert u in plaats daarvan de informatie van de load-balancer in.

      LDAP-configuratie

      Specificeer de zoekfilters en kenmerken van LDAP die VMware Identity Manager kan gebruiken om uw LDAP-directory op te vragen. Standaardwaarden worden verstrekt op basis van het kern-LDAP-schema.

      LDAP-vragen

      • Groepen ophalen: het zoekfilter om groepsobjecten te verkrijgen.

        Bijvoorbeeld: (objectClass=group)

      • Bindingsgebruiker ophalen: het zoekfilter om een bindingsgebruikerobject te verkrijgen, ofwel de gebruiker die zich aan de directory kan binden.

        Bijvoorbeeld: (objectClass=person)

      • Gebruiker ophalen: het zoekfilter om gebruikers te verkrijgen om te synchroniseren.

        Bijvoorbeeld:(&(objectClass=user)(objectCategory=person))

      Kenmerken

      • Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory om leden van een groep te definiëren.

        Bijvoorbeeld: lid

      • Object-UUID: het kenmerk dat wordt gebruikt in uw LDAP-directory om de UUID van een gebruiker of groep te definiëren.

        Bijvoorbeeld: entryUUID

      • Distinguished Name: het kenmerk dat wordt gebruikt in uw LDAP-directory voor de kenmerkende naam van een gebruiker of groep.

        Bijvoorbeeld: entryDN

      Certificaten

      Als uw LDAP-directory toegang over SSL vereist, selecteert u Deze directory vereist dat alle verbindingen SSL gebruiken en kopieert en plakt u het basis CA-SSL-certificaat van de LDAP-directoryserver. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.

      Gegevens van bindingsgebruiker

      Basis DN: voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld cn=users,dc=example,dc=com

      Bind DN: voer de gebruikersnaam in die wordt gebruikt om aan de LDAP-directory te binden.

      Opmerking:

      Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.

      Wachtwoord Bind-DN: voer het wachtwoord in voor de Bind DN-gebruiker.

    2. Klik op Verbinding testen om de verbinding met de LDAP-directoryserver te testen.

      Als de verbinding niet is gelukt, controleert u de informatie die u hebt ingevoerd en brengt u passende wijzigingen aan.

    3. Klik op Opslaan en Volgende.

      De pagina die het domein vermeldt, verschijnt.

  15. Voor een LDAP-directory wordt het domein vermeld. Dit kan niet worden aangepast.

    Voor een Active Directory via LDAP worden de domeinen vermeld en kunnen deze niet worden aangepast.

    Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding.

    Opmerking:

    Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de service niet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor de service wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen. Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijst weergegeven.

    Klik op Volgende.

  16. Controleer of de kenmerknamen van VMware Identity Manager zijn toegewezen aan de juiste kenmerken van Active Directory of LDAP en breng zo nodig wijzigingen aan.
    Belangrijk:

    Als u een LDAP-directory integreert, moet u een toewijzing voor het domeinkenmerk specificeren.

  17. Klik op Volgende.
  18. Selecteer de groepen die u vanaf uw Active Directory of LDAP-directory wilt synchroniseren naar de VMware Identity Manager-directory.

    Optie

    Beschrijving

    Geef de DN's van de groep op

    Als u groepen wilt selecteren, kunt u een of meer groeps-DN's opgeven en de onderliggende groepen selecteren.

    1. Klik op + en geef de groeps-DN op. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com.

      Belangrijk:

      Geef de groeps-DN's op onder de basis-DN die u hebt ingevoerd. Als een groeps-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.

    2. Klik op Groepen zoeken.

      De kolom Te synchroniseren groepen bevat het aantal groepen dat is gevonden in de DN.

    3. Als u alle groepen in de DN wilt selecteren, klikt u op Alles selecteren. Of klik op Selecteren en selecteer de specifieke groepen die u wilt synchroniseren.

      Opmerking:

      Wanneer uw LDAP-directory meerdere groepen met dezelfde naam bevat, moet u voor deze groepen unieke namen opgeven in de VMware Identity Manager-service. U kunt de naam wijzigen wanneer u de groep selecteert.

    Opmerking:

    Wanneer u een groep synchroniseert, worden gebruikers die geen Domeingebruikers als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.

    Geneste groepsleden synchroniseren

    De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerd die direct tot de groep behoren die u selecteert en alle gebruikers die tot de geneste groepen eronder behoren. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de VMware Identity Manager-directory zijn deze gebruikers leden van de bovenliggende groep die u hebt geselecteerd om te synchroniseren.

    Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer u een groep opgeeft om te synchroniseren, worden alle gebruikers gesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze functie is handig voor grote Active Directory-configuraties waarbij het doorkruisen van een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.

  19. Klik op Volgende.
  20. Geef zo nodig extra gebruikers op om te synchroniseren.
    1. Klik op + en voer de gebruikers-DN's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com.
      Belangrijk:

      Geef de gebruikers-DN's op onder de basis-DN die u hebt ingevoerd. Als een gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.

    2. (Optioneel) Als u gebruikers wilt uitsluiten, maakt u een filter om sommige gebruikerstypen uit te sluiten.

      U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.

  21. Klik op Volgende.
  22. Neem de pagina door om te zien hoeveel gebruikers en groepen naar de directory worden gesynchroniseerd en om het synchronisatieschema te bekijken.

    Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie.

  23. Klik op Directory synchroniseren om de synchronisatie van de directory te starten.

Resultaten

Opmerking:

Als zich een netwerkfout voordoet en de hostnaam kan niet uniek worden opgelost met behulp van reverse DNS, dan stopt het configuratieproces. U moet de netwerkproblemen verhelpen en de virtual appliance opnieuw opstarten. Vervolgens kunt u doorgaan met het implementatieproces. De nieuwe netwerkinstellingen zijn niet beschikbaar totdat u de virtual appliance opnieuw hebt opgestart.

Volgende stappen

Voor informatie over het instellen van een load-balancer of een configuratie met hoge beschikbaarheid, raadpleegt u Geavanceerde configuratie voor het VMware Identity Manager-apparaat.

U kunt de catalogus met bronnen aanpassen voor de applicaties van uw organisatie en gebruikerstoegang inschakelen tot deze bronnen. U kunt ook andere bronnen instellen, waaronder View, ThinApp en op Citrix gebaseerde applicaties. Zie Bronnen instellen in VMware Identity Manager