U kunt uw bedrijfs-LDAP-directory integreren met VMware Identity Manager om gebruikers en groepen van de LDAP-directory te synchroniseren met de VMware Identity Manager-service.
Over deze taak
Om uw LDAP-directory te integreren, maakt u een overeenkomstige VMware Identity Manager-directory aan en synchroniseert u gebruikers en groepen van uw LDAP-directory met de VMware Identity Manager-directory. U kunt een planning voor regelmatig synchroniseren instellen voor volgende updates.
U kunt ook de LDAP-kenmerken selecteren die u voor gebruikers wilt synchroniseren en deze toewijzen aan VMware Identity Manager-kenmerken.
De configuratie van uw LDAP-directory kan worden gebaseerd op standaardschema's of u kunt aangepaste schema's gebruiken. Wellicht hebt u ook gedefinieerde aangepaste kenmerken. Om VMware Identity Manager uw LDAP-directory te laten vragen om gebruikers- of groepsobjecten te verkrijgen, moet u de LDAP-zoekfilters en namen van kenmerken opgeven die van applicatie zijn op uw LDAP-directory.
In het bijzonder dient u de volgende informatie op te geven.
LDAP-zoekfilters voor het verkrijgen van groepen, gebruikers en de Bind-gebruiker
LDAP-kenmerknamen voor groepslidmaatschap, UUID en distinguished name
Voor de integratiefunctie van de LDAP-directory gelden bepaalde beperkingen. Zie Beperkingen van LDAP-directory-integratie.
Voorwaarden
Controleer de kenmerken op de pagina en voeg extra kenmerken toe die u wilt synchroniseren. U wijst de VMware Identity Manager-kenmerken toe aan uw LDAP-directorykenmerken wanneer u de directory aanmaakt. Deze kenmerken worden gesynchroniseerd voor de gebruikers in de directory.
Opmerking:
Wanneer u gebruikerskenmerken wijzigt, houd er dan rekening mee dat deze wijzigingen ook gevolgen kunnen hebben voor andere directory's in de service. Wanneer u van plan bent om zowel Active Directory als LDAP-directory's toe te voegen, let er dan op dat u geen kenmerken markeert als zijnde vereist, behalve het kenmerk userName dat wel kan worden gemarkeerd als zijnde vereist. De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service. Wanneer een kenmerk als zijnde vereist is gemarkeerd, worden gebruikers zonder dat kenmerk niet gesynchroniseerd met de VMware Identity Manager-service.
Een Bind-DN-gebruikersaccount. Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
In uw LDAP-directory moet de UUID van gebruikers en groepen een standaard tekstindeling hebben.
In uw LDAP-directory moet een domeinkenmerk aanwezig zijn voor alle gebruikers en groepen.
U kunt dit kenmerk toewijzen aan het kenmerk van het VMware Identity Manager domein wanneer u de VMware Identity Manager-directory aanmaakt.
Gebruikersnamen mogen geen spaties bevatten. Wanneer een gebruikersnaam een spatie bevat, wordt de gebruiker gesynchroniseerd, maar zijn de rechten niet beschikbaar voor de gebruiker.
Wanneer u certificaatverificatie gebruikt, moeten gebruikers waarden hebben voor userPrincipalName en e-mailadreskenmerken.
Procedure
- Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer.
- Klik op de pagina Mappen op Map toevoegen en selecteer LDAP-directory toevoegen.
- Voer de vereiste informatie in op de pagina LDAP-directory toevoegen.
Optie |
Beschrijving |
Directorynaam |
Een naam voor de VMware Identity Manager-map. |
Directory synchroniseren en verificatie |
In het veld Synchronisatieconnector selecteert u de connector die u wilt gebruiken om gebruikers en groepen te synchroniseren van uw LDAP-directory naar de directory van VMware Identity Manager. Een connectorcomponent is altijd standaard beschikbaar met de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-apparaten installeert voor hoge beschikbaarheid, verschijnt de connectorcomponent van elk van die apparaten in de lijst. U hebt geen afzonderlijke connector nodig voor een LDAP-directory. Een connector kan meerdere directory's ondersteunen, ongeacht of het directory's zijn van Active Directory of LDAP. Voor de scenario's waarbij u extra connectoren nodig hebt, raadpleegt u 'Extra connectorappliances installeren' in de Beheergids voor VMware Identity Manager.
In het veld Verificatie selecteert u Ja wanneer u deze LDAP-directory wilt gebruiken voor het verifiëren van gebruikers. Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, selecteert u Nee. Nadat u de directoryverbinding hebt toegevoegd om gebruikers en groepen te synchroniseren, gaat u naar de pagina om de identiteitsprovider voor verificatie toe te voegen.
In het veld Zoekkenmerk directory specificeert u het LDAP-directorykenmerk dat voor de gebruikersnaam wordt gebruikt. Als het kenmerk niet wordt vermeld, selecteert u Aangepast en typt u de kenmerknaam. Bijvoorbeeld cn.
|
Serverlocatie |
Voer de serverhost en het poortnummer van de LDAP-directory in. Voor de serverhost kunt u de FQDN of het IP-adres specificeren. Bijvoorbeeld myLDAPserver.example.com of 100.00.00.0. Als u een cluster servers achter een load-balancer hebt, voert u in plaats daarvan de informatie van de load-balancer in. |
LDAP-configuratie |
Specificeer de zoekfilters en kenmerken van LDAP die VMware Identity Manager kan gebruiken om uw LDAP-directory op te vragen. Standaardwaarden worden verstrekt op basis van het kern-LDAP-schema. LDAP-vragen
Groepen ophalen: het zoekfilter om groepsobjecten te verkrijgen. Bijvoorbeeld: (objectClass=group)
Bindingsgebruiker ophalen: het zoekfilter om een bindingsgebruikerobject te verkrijgen, ofwel de gebruiker die zich aan de directory kan binden. Bijvoorbeeld: (objectClass=person)
Gebruiker ophalen: het zoekfilter om gebruikers te verkrijgen om te synchroniseren. Bijvoorbeeld:(&(objectClass=user)(objectCategory=person))
Kenmerken
Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory om leden van een groep te definiëren. Bijvoorbeeld: lid
Object-UUID: het kenmerk dat wordt gebruikt in uw LDAP-directory om de UUID van een gebruiker of groep te definiëren. Bijvoorbeeld: entryUUID
Distinguished Name: het kenmerk dat wordt gebruikt in uw LDAP-directory voor de kenmerkende naam van een gebruiker of groep. Bijvoorbeeld: entryDN
|
Certificaten |
Als uw LDAP-directory toegang over SSL vereist, selecteert u Deze directory vereist dat alle verbindingen SSL gebruiken en kopieert en plakt u het basis CA-SSL-certificaat van de LDAP-directoryserver. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op. |
Gegevens van bindingsgebruiker |
Basis DN: voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld cn=users,dc=example,dc=com Bind DN: voer de gebruikersnaam in die wordt gebruikt om aan de LDAP-directory te binden.
Opmerking:
Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
Wachtwoord Bind-DN: voer het wachtwoord in voor de Bind DN-gebruiker. |
- Klik op Verbinding testen om de verbinding met de LDAP-directoryserver te testen.
Als de verbinding niet is gelukt, controleert u de informatie die u hebt ingevoerd en brengt u passende wijzigingen aan.
- Klik op Opslaan en Volgende.
- Verifieer op de pagina Domeinen of het juiste domein wordt weergegeven en klik dan op Volgende.
- Verifieer op de pagina Kenmerken toewijzen of de VMware Identity Manager-kenmerken zijn toegewezen aan de juiste LDAP-kenmerken.
Deze kenmerken worden gesynchroniseerd voor gebruikers.
Belangrijk:
U moet een toewijzing specificeren voor het domein-kenmerk.
U kunt kenmerken toevoegen aan de lijst via de pagina Gebruikerskenmerken.
- Klik op Volgende.
- Op de groepspagina klikt u op + om de groepen te selecteren die u van de LDAP-directory wilt synchroniseren met de VMware Identity Manager-directory.
Als u meerdere groepen hebt met dezelfde naam in uw LDAP-directory, moet u unieke namen ervoor specificeren op de groepspagina.
De optie Geneste groepsgebruikers synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerd die direct tot de groep behoren die u selecteert en alle gebruikers die tot de geneste groepen eronder behoren. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de directory van VMware Identity Manager verschijnen deze gebruikers als leden van de bovenste groep die u hebt geselecteerd om te synchroniseren. Hierdoor wordt de hiërarchie onder een geselecteerde groep platter en worden gebruikers op alle niveaus weergegeven in VMware Identity Manager als leden van de geselecteerde groep.
Als deze optie is uitgeschakeld, wanneer u een groep specificeert om te synchroniseren, worden alle gebruikers gesynchroniseerd die direct tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze optie is handig voor grote directoryconfiguraties waar het doorkruisen van een groepsstructuur veel middelen en tijd kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.
- Klik op Volgende.
- Klik op + om extra gebruikers toe te voegen. Voer bijvoorbeeld CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com in
Om gebruikers uit te sluiten, maakt u een filter om sommige typen gebruikers uit te sluiten. U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.
Klik op Volgende.
- Geef de pagina weer om te controleren hoe veel gebruikers en groepen worden gesynchroniseerd met de directory en om het standaard synchronisatieschema te bekijken.
Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie.
- Klik op Directory synchroniseren om de synchronisatie van de directory te starten.
Resultaten
De verbinding met de LDAP-directory wordt tot stand gebracht en gebruikers en groepen worden gesynchroniseerd van de LDAP-directory met de VMware Identity Manager-directory. De Bind DN-gebruiker heeft standaard een beheerdersrol in VMware Identity Manager.