Verbinding van Active Directory met de service configureren

In de beheerconsole specificeert u de vereiste informatie om aan uw Active Directory te verbinden en selecteert u gebruikers en groepen om te synchroniseren met de directory van VMware Identity Manager.

Over deze taak

De verbindingsopties van de Active Directory zijn Active Directory via LDAP of geïntegreerde Windows-verificatie van Active Directory. De verbinding Active Directory via LDAP ondersteunt de opzoekfunctie DNS Service Location.

Voorwaarden

Selecteer welke kenmerken verplicht zijn en voeg zo nodig extra kenmerken toe op de pagina Gebruikerskenmerken. Zie Kenmerken selecteren om te synchroniseren met de directory.

Belangrijk:
Als u de XenApp-bronnen wilt synchroniseren met VMware Identity Manager moet u van distinguishedName een vereist kenmerk maken. U moet deze selectie uitvoeren voordat u een directory maakt, omdat kenmerken niet kunnen worden gewijzigd van optioneel tot vereist, nadat een directory is gemaakt.
Lijst met de Active Directory-groepen en -gebruikers die u wilt synchroniseren vanuit Active Directory.
Voor Active Directory via LDAP bevat de vereiste informatie de Base DN, Bind DN en het Bind DN-wachtwoord.

Opmerking:
Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
Voor geïntegreerde Windows-verificatie in Active Directory is de vereiste informatie onder andere het UPN-adres en -wachtwoord van de gebruiker van de binding voor het domein.

Opmerking:
Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
Als de Active Directory toegang via SSL of STARTTLS vereist, is het basis CA-certificaat van de domeincontroller van Active Directory vereist.
Voor geïntegreerde Windows-verificatie in Active Directory, met een configuratie van meerdere forests voor Active Directory en een lokale domeingroep met meerdere leden van domeinen in verschillende forests, moet u ervoor zorgen dat de gebruiker van de binding wordt toegevoegd aan de groep Administrators van het domein waarin zich de lokale domeingroep bevindt. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep.

Procedure

Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer.
Op de Directorypagina klikt u op Directory toevoegen.
Voer een naam in voor deze directory van VMware Identity Manager.

Selecteer het type Active Directory in uw omgeving en configureer de verbindingsinformatie.

Optie	Beschrijving
Active Directory via LDAP	In het veld Connector synchroniseren selecteert u de te gebruiken Connector om met Active Directory te synchroniseren. Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het veld Verificatie op Ja. Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider. In het veld Zoekkenmerk directory selecteert u het accountkenmerk dat de gebruikersnaam bevat. Als de Active Directory de opzoekfunctie DNS Service Location gebruikt, selecteert u het volgende. In de sectie Server Location schakelt u het selectievakje Deze directory ondersteunt DNS Service Location in. Een bestand domain_krb.properties dat automatisch is ingevuld met een lijst domeincontrollers, wordt gemaakt wanneer de directory is gemaakt. Zie Domeincontrollers selecteren (bestand domain_krb.properties). Als Active Directory de versleuteling STARTTLS vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op. Opmerking: Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. Als de Active Directory geen opzoekfunctie van DNS Service Location gebruikt, selecteert u het volgende. In de sectie Server Location controleert u of het selectievakje Deze directory ondersteunt DNS Service Location niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in. Zie de sectie Multi-domein, Single Forest Active Directory-omgeving in Active Directory-omgevingen om de directory als een globale catalogus te configureren. Als de Active Directory toegang over SSL vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op. Opmerking: Als de Active Directory SSL vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. In het veld Base DN voert u de DN in vanwaar de accountzoekopdrachten moeten starten. Bijvoorbeeld OU=myUnit,DC=myCorp,DC=com. In het veld Bind DN voert u het account in dat naar gebruikers kan zoeken. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com. Opmerking: Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. Nadat u het bindingswachtwoord hebt ingevoerd, klikt u op Verbinding testen om te controleren of de directory verbinding kan maken met uw Active Directory.
Active Directory (geïntegreerde Windows-verificatie)	In het veld Connector synchroniseren selecteert u de te gebruiken Connector om met Active Directory te synchroniseren. Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het veld Verificatie op Ja. Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider. In het veld Zoekkenmerk directory selecteert u het accountkenmerk dat de gebruikersnaam bevat. Als de Active Directory de versleuteling STARTTLS vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op. Als de directory meerdere domeinen heeft, voegt u één voor één het basis CA-certificaat voor alle domeinen toe. Opmerking: Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. In het veld bindingsgebruiker-UPN voert u de User Principal Name (UPN) van de gebruiker in die met het domein kan worden geverifieerd. Bijvoorbeeld [email protected]. Opmerking: Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. Voer het wachtwoord van de bindingsgebruiker in.

Optie

Beschrijving

Active Directory via LDAP

In het veld Connector synchroniseren selecteert u de te gebruiken Connector om met Active Directory te synchroniseren.
Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het veld Verificatie op Ja.
Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider.
In het veld Zoekkenmerk directory selecteert u het accountkenmerk dat de gebruikersnaam bevat.
Als de Active Directory de opzoekfunctie DNS Service Location gebruikt, selecteert u het volgende.
- In de sectie Server Location schakelt u het selectievakje Deze directory ondersteunt DNS Service Location in.
  Een bestand domain_krb.properties dat automatisch is ingevuld met een lijst domeincontrollers, wordt gemaakt wanneer de directory is gemaakt. Zie Domeincontrollers selecteren (bestand domain_krb.properties).
- Als Active Directory de versleuteling STARTTLS vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat.
  Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.
  
  Opmerking:
  Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
Als de Active Directory geen opzoekfunctie van DNS Service Location gebruikt, selecteert u het volgende.
- In de sectie Server Location controleert u of het selectievakje Deze directory ondersteunt DNS Service Location niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in.
  Zie de sectie Multi-domein, Single Forest Active Directory-omgeving in Active Directory-omgevingen om de directory als een globale catalogus te configureren.
- Als de Active Directory toegang over SSL vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat.
  Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.
  
  Opmerking:
  Als de Active Directory SSL vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
In het veld Base DN voert u de DN in vanwaar de accountzoekopdrachten moeten starten. Bijvoorbeeld OU=myUnit,DC=myCorp,DC=com.
In het veld Bind DN voert u het account in dat naar gebruikers kan zoeken. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Opmerking:
Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
Nadat u het bindingswachtwoord hebt ingevoerd, klikt u op Verbinding testen om te controleren of de directory verbinding kan maken met uw Active Directory.

Active Directory (geïntegreerde Windows-verificatie)

In het veld Connector synchroniseren selecteert u de te gebruiken Connector om met Active Directory te synchroniseren.
Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het veld Verificatie op Ja.
Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider.
In het veld Zoekkenmerk directory selecteert u het accountkenmerk dat de gebruikersnaam bevat.
Als de Active Directory de versleuteling STARTTLS vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat.
Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.
Als de directory meerdere domeinen heeft, voegt u één voor één het basis CA-certificaat voor alle domeinen toe.

Opmerking:
Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
In het veld bindingsgebruiker-UPN voert u de User Principal Name (UPN) van de gebruiker in die met het domein kan worden geverifieerd. Bijvoorbeeld [email protected].

Opmerking:
Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
Voer het wachtwoord van de bindingsgebruiker in.

Klik op Opslaan en Volgende.

De pagina met de lijst domeinen verschijnt.
Voor Active Directory over LDAP worden de domeinen vermeld met een vinkje.

Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding.

Opmerking:
Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de service niet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor de service wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen. Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijst weergegeven.

Klik op Volgende.
Controleer of de kenmerknamen van de VMware Identity Manager-directory zijn toegewezen aan de juiste Active Directory-kenmerken en breng zo nodig wijzigingen aan. Klik vervolgens op Volgende.

Selecteer de groepen die u vanuit Active Directory wilt synchroniseren met de VMware Identity Manager-directory.

Optie	Beschrijving
Geef de DN's van de groep op	Als u groepen wilt selecteren, kunt u een of meer groeps-DN's opgeven en de onderliggende groepen selecteren. Klik op + en geef de groeps-DN op. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com. Belangrijk: Geef de groeps-DN's op onder de basis-DN die u hebt ingevoerd. Als een groeps-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden. Klik op Groepen zoeken. De kolom Te synchroniseren groepen bevat het aantal groepen dat is gevonden in de DN. Als u alle groepen in de DN wilt selecteren, klikt u op Alles selecteren. Of klik op Selecteren en selecteer de specifieke groepen die u wilt synchroniseren. Opmerking: Wanneer u een groep synchroniseert, worden gebruikers die geen Domeingebruikers als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.
Geneste groepsleden synchroniseren	De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerd die direct tot de groep behoren die u selecteert en alle gebruikers die tot de geneste groepen eronder behoren. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de VMware Identity Manager-directory zijn deze gebruikers leden van de bovenliggende groep die u hebt geselecteerd om te synchroniseren. Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer u een groep opgeeft om te synchroniseren, worden alle gebruikers gesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze functie is handig voor grote Active Directory-configuraties waarbij het doorkruisen van een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.

Optie

Beschrijving

Geef de DN's van de groep op

Als u groepen wilt selecteren, kunt u een of meer groeps-DN's opgeven en de onderliggende groepen selecteren.

Klik op + en geef de groeps-DN op. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com.

Belangrijk:
Geef de groeps-DN's op onder de basis-DN die u hebt ingevoerd. Als een groeps-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
Klik op Groepen zoeken.
De kolom Te synchroniseren groepen bevat het aantal groepen dat is gevonden in de DN.
Als u alle groepen in de DN wilt selecteren, klikt u op Alles selecteren. Of klik op Selecteren en selecteer de specifieke groepen die u wilt synchroniseren.

Opmerking:

Wanneer u een groep synchroniseert, worden gebruikers die geen Domeingebruikers als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.

Geneste groepsleden synchroniseren

De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerd die direct tot de groep behoren die u selecteert en alle gebruikers die tot de geneste groepen eronder behoren. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de VMware Identity Manager-directory zijn deze gebruikers leden van de bovenliggende groep die u hebt geselecteerd om te synchroniseren.

Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer u een groep opgeeft om te synchroniseren, worden alle gebruikers gesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze functie is handig voor grote Active Directory-configuraties waarbij het doorkruisen van een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.

Klik op Volgende.
Geef zo nodig extra gebruikers op om te synchroniseren.
1. Klik op + en voer de gebruikers-DN's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com.
  
  Belangrijk:
  Geef de gebruikers-DN's op onder de basis-DN die u hebt ingevoerd. Als een gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
2. (Optioneel) Als u gebruikers wilt uitsluiten, maakt u een filter om sommige gebruikerstypen uit te sluiten.
  
  U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.
Klik op Volgende.
Neem de pagina door om te zien hoeveel gebruikers en groepen naar de directory worden gesynchroniseerd en om het synchronisatieschema te bekijken.

Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie.
Klik op Directory synchroniseren om synchroniseren naar de directory te starten.

Resultaten

De verbinding met Active Directory is gemaakt en gebruikers en groepen worden gesynchroniseerd van de Active Directory naar de directory van VMware Identity Manager. De Bind DN-gebruiker heeft standaard een beheerdersrol in VMware Identity Manager.

Volgende stappen

Als u een directory hebt gemaakt die DNS Service Location ondersteunt, wordt er een bestand domain_krb.properties gemaakt en automatisch ingevuld met een lijst domeincontrollers. Bekijk het bestand om de lijst domeincontrollers te controleren of te bewerken. Zie Domeincontrollers selecteren (bestand domain_krb.properties).
Stel verificatiemethoden in. Nadat gebruikers en groepen met de directory zijn gesynchroniseerd, kunt u aanvullende verificatiemethoden voor de connector instellen als de connector ook voor verificatie wordt gebruikt. Als de identiteitsprovider voor verificatie een derde is, configureert u de betreffende identiteitsprovider voor de connector.
Controleer het standaardtoegangsbeleid. Het standaardtoegangsbeleid is geconfigureerd om alle toepassingen in alle netwerkbereiken toegang te verlenen tot de webbrowser, met een sessietime-out van acht uur. De andere mogelijkheid is het verlenen van toegang tot een clientapp met een sessietime-out van 2160 uur (90 dagen). U kunt het standaardtoegangsbeleid wijzigen en bij het toevoegen van Webapplicaties aan de catalogus, kunt u nieuw toegangsbeleid maken.
Pas aangepaste merkvermelding toe op de beheerconsole, de portalpagina's van gebruikers en het aanmeldscherm.