In de beheerconsole specificeert u de vereiste informatie om aan uw Active Directory te verbinden en selecteert u gebruikers en groepen om te synchroniseren met de directory van VMware Identity Manager.
De verbindingsopties van de Active Directory zijn Active Directory via LDAP of geïntegreerde Windows-verificatie van Active Directory. De verbinding Active Directory via LDAP ondersteunt de opzoekfunctie DNS Service Location. Met de geïntegreerde Windows-verificatie van Active Directory configureert u het domein om toe te voegen.
Voorwaarden
- Selecteer welke kenmerken verplicht zijn en voeg zo nodig extra kenmerken toe op de pagina Gebruikerskenmerken. Zie Kenmerken selecteren om te synchroniseren met de directory.
Belangrijk: Als u de XenApp-bronnen wilt synchroniseren met VMware Identity Manager moet u van distinguishedName een vereist kenmerk maken. U moet deze selectie uitvoeren voordat u een directory maakt, omdat kenmerken niet kunnen worden gewijzigd in vereiste kenmerken nadat een directory is gemaakt.
- Lijst met de Active Directory-groepen en -gebruikers die u wilt synchroniseren vanuit Active Directory.
- Voor Active Directory via LDAP bevat de vereiste informatie de Base DN, Bind DN en het Bind DN-wachtwoord.
Opmerking: Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
- Voor geïntegreerde Windows-verificatie in Active Directory is de vereiste informatie onder andere het UPN-adres en -wachtwoord van de gebruiker van de binding voor het domein.
Opmerking: Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
- Als de Active Directory toegang via SSL of STARTTLS vereist, is het basis CA-certificaat van de domeincontroller van Active Directory vereist.
- Voor geïntegreerde Windows-verificatie in Active Directory, met een configuratie van meerdere forests voor Active Directory en een lokale domeingroep met meerdere leden van domeinen in verschillende forests, moet u ervoor zorgen dat de gebruiker van de binding wordt toegevoegd aan de groep Administrators van het domein waarin zich de lokale domeingroep bevindt. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep.
Procedure
resultaten
De verbinding met Active Directory is gemaakt en gebruikers en groepen worden gesynchroniseerd van de Active Directory naar de directory van VMware Identity Manager. De Bind DN-gebruiker heeft standaard een beheerdersrol in VMware Identity Manager.
Volgende stappen
- Als u een directory hebt gemaakt die DNS Service Location ondersteunt, wordt er een bestand domain_krb.properties gemaakt en automatisch ingevuld met een lijst domeincontrollers. Bekijk het bestand om de lijst domeincontrollers te controleren of te bewerken. Zie Domeincontrollers selecteren (bestand domain_krb.properties).
- Stel verificatiemethoden in. Nadat gebruikers en groepen met de directory zijn gesynchroniseerd, kunt u aanvullende verificatiemethoden voor de connector instellen als de connector ook voor verificatie wordt gebruikt. Als de identiteitsprovider voor verificatie een derde is, configureert u de betreffende identiteitsprovider voor de connector.
- Controleer het standaardtoegangsbeleid. Het standaardtoegangsbeleid is geconfigureerd om alle toepassingen in alle netwerkbereiken toegang te verlenen tot de webbrowser, met een sessietime-out van acht uur. De andere mogelijkheid is het verlenen van toegang tot een clientapp met een sessietime-out van 2160 uur (90 dagen). U kunt het standaardtoegangsbeleid wijzigen en bij het toevoegen van Webapplicaties aan de catalogus, kunt u nieuw toegangsbeleid maken.
- Pas aangepaste merkvermelding toe op de beheerconsole, de portalpagina's van gebruikers en het aanmeldscherm.