Geef in de beheerconsole de informatie op die nodig is om verbinding te maken met uw Active Directory en selecteer gebruikers en groepen om te synchroniseren met de VMware Identity Manager-directory.

De verbindingsopties van de Active Directory zijn Active Directory via LDAP of Active Directory (Geïntegreerde Windows-verificatie). De verbinding Active Directory via LDAP ondersteunt de opzoekfunctie DNS Service Location.

Voorwaarden

  • (SaaS) Connector geïnstalleerd en geactiveerd.
  • Selecteer welke kenmerken verplicht zijn en voeg extra kenmerken toe op de pagina Gebruikerskenmerken. Zie Kenmerken selecteren om te synchroniseren met de directory.
  • Lijst met de Active Directory-gebruikers en -groepen die u wilt synchroniseren vanuit Active Directory. Groepsnamen worden onmiddellijk gesynchroniseerd naar de directory. Leden van een groep worden niet gesynchroniseerd tot de groep rechten heeft voor bronnen of is toegevoegd aan een beleidsregel. Gebruikers die zich moeten verifiëren voordat groepsrechten worden geconfigureerd, moet worden toegevoegd tijdens de oorspronkelijke configuratie.
  • Voor Active Directory via LDAP bevat de vereiste informatie de Base DN, Bind DN en het Bind DN-wachtwoord.
    Opmerking: Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
  • Voor Active Directory (Geïntegreerde Windows-verificatie) is de vereiste informatie onder andere het UPN-adres en -wachtwoord van de gebruiker van de binding voor het domein.
    Opmerking: Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
  • Als de Active Directory toegang via SSL of STARTTLS vereist, is het basis CA-certificaat van de domeincontroller van Active Directory vereist.
  • Voor geïntegreerde Windows-verificatie in Active Directory, met een configuratie van meerdere forests voor Active Directory en een lokale domeingroep met meerdere leden van domeinen in verschillende forests, moet u ervoor zorgen dat de Bind-gebruiker wordt toegevoegd aan de groep Administrators van het domein waarin zich de lokale domeingroep bevindt. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep.

Procedure

  1. Klik in de beheerconsole op het tabblad Identiteits- en toegangsbeheer.
  2. Op de Directorypagina klikt u op Directory toevoegen.
  3. Voer een naam in voor deze directory van VMware Identity Manager.
  4. Selecteer het type Active Directory in uw omgeving en configureer de verbindingsinformatie.
    Optie Beschrijving
    Active Directory via LDAP
    1. Selecteer in het tekstvak Synchronisatieconnector de Connector die u wilt gebruiken voor synchronisatie met Active Directory.

      In een implementatie op locatie is er altijd standaard een connectoronderdeel beschikbaar bij de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-instanties installeert voor hoge beschikbaarheid, verschijnt het connectoronderdeel van elk van die instanties in de lijst. Er worden ook externe connectoren weergegeven.

    2. Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het tekstvak Verificatie op Ja.

      Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider.

    3. Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerk dat de username bevat.
    4. Als de Active Directory de opzoekfunctie DNS Service Location gebruikt, selecteert u het volgende.
      • Schakel in de sectie Serverlocatie het selectievakje Deze directory ondersteunt DNS-servicelocatie in.

        Wanneer de directory wordt gemaakt, wordt het bestand domain_krb.properties gemaakt waarin automatisch een lijst van domeincontrollers is opgenomen. Zie Domeincontrollers selecteren (bestand domain_krb.properties).

      • Als Active Directory STARTTLS-versleuteling vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het tekstvak SSL-certificaat.

        Zorg ervoor dat het certificaat de PEM-indeling heeft en dat regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen.

        Opmerking: Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
    5. Als de Active Directory geen opzoekfunctie van DNS Service Location gebruikt, selecteert u het volgende.
      • In de sectie Serverlocatie controleert u of het selectievakje Deze directory ondersteunt DNS-servicelocatie niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in.

        Zie de sectie Multi-domein, Single Forest Active Directory-omgeving in Active Directory-omgevingen om de directory als een globale catalogus te configureren.

      • Als de Active Directory toegang over SSL vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat.

        Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen.

        Opmerking: Als de Active Directory SSL vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
    6. In het veld Base DN voert u de DN in vanwaar de accountzoekopdrachten moeten starten. Bijvoorbeeld OU=myUnit,DC=myCorp,DC=com.
    7. In het veld Bind DN voert u het account in dat naar gebruikers kan zoeken. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com.
      Opmerking: Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
    8. Nadat u het bindingswachtwoord hebt ingevoerd, klikt u op Verbinding testen om te controleren of de directory verbinding kan maken met uw Active Directory.
    Active Directory (geïntegreerde Windows-verificatie)
    1. Selecteer in het tekstvak Synchronisatieconnector de Connector die u wilt gebruiken voor synchronisatie met Active Directory.
    2. Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het tekstvak Verificatie op Ja.

      Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider.

    3. Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerk dat de username bevat.
    4. Als Active Directory STARTTLS-versleuteling vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het tekstvak SSL-certificaat.

      Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen.

      Als de directory meerdere domeinen heeft, voegt u één voor één het basis CA-certificaat voor alle domeinen toe.

      Opmerking: Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
    5. (Alleen voor Linux) Voer de naam in van het Active Directory-domein dat wordt toegevoegd. Voer een gebruikersnaam en wachtwoord in dat de rechten heeft om het domein toe te voegen. Raadpleeg Rechten vereist voor toevoegen aan een domein (alleen voor Linux-gebaseerde virtual appliance) voor meer informatie.
    6. Voer in het tekstvak UPN van bindingsgebruiker de UPN-naam (User Principal Name) in van de gebruiker die zich kan verifiëren bij het domein. Bijvoorbeeld [email protected].
      Opmerking: Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
    7. Voer het wachtwoord van de bindingsgebruiker in.
  5. Klik op Opslaan en Volgende.
    De pagina met de lijst domeinen verschijnt.
  6. Voor Active Directory over LDAP worden de domeinen vermeld met een vinkje.
    Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding.
    Opmerking: Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de service niet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor de service wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen. Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijst weergegeven.

    Klik op Volgende.

  7. Controleer of de kenmerknamen van de VMware Identity Manager-directory zijn toegewezen aan de juiste Active Directory-kenmerken en breng zo nodig wijzigingen aan. Klik vervolgens op Volgende.
  8. Selecteer de groepen die u vanuit Active Directory wilt synchroniseren met de VMware Identity Manager-directory.
    Wanneer groepen hier worden toegevoegd, worden groepsnamen gesynchroniseerd naar de directory. Gebruikers die lid van de groep zijn, worden pas naar de directory gesynchroniseerd wanneer de groep rechten voor een applicatie heeft of de naam van de groep aan een toegangsbeleidsregel is toegevoegd. Alle volgende geplande synchronisaties leveren bijgewerkte informatie uit Active Directory voor deze groepsnamen.
    Optie Beschrijving
    Geef de DN's van de groep op Als u groepen wilt selecteren, kunt u een of meer groeps-DN's opgeven en de onderliggende groepen selecteren.
    1. Klik op + en geef de groeps-DN op. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com.
      Belangrijk: Geef de groeps-DN's op onder de basis-DN die u hebt ingevoerd. Als een groeps-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
    2. Klik op Groepen zoeken.

      De kolom Te synchroniseren groepen bevat het aantal groepen dat is gevonden in de DN.

    3. Als u alle groepen in de DN wilt selecteren, klikt u op Alles selecteren. Of klik op Selecteren en selecteer de specifieke groepen die u wilt synchroniseren.
    Opmerking: Wanneer u een groep synchroniseert, worden gebruikers die geen Domeingebruikers als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.
    Geneste groepsleden synchroniseren

    De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers die direct tot de geselecteerde groep horen, en alle gebruikers die tot de geneste groepen eronder behoren, gesynchroniseerd zodra de groep de nodige rechten heeft. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de VMware Identity Manager-directory zijn deze gebruikers leden van de bovenliggende groep die u hebt geselecteerd om te synchroniseren.

    Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer u een groep opgeeft om te synchroniseren, worden alle gebruikers gesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze functie is handig voor grote Active Directory-configuraties waarbij het doorkruisen van een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.

  9. Klik op Volgende.
  10. Geef de gebruikers op die u wilt synchroniseren.
    Omdat leden in groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd.
    1. Klik op + en voer de gebruikers-DN's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com.
      Belangrijk: Geef de gebruikers-DN's op onder de basis-DN die u hebt ingevoerd. Als een gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
    2. (Optioneel) Als u gebruikers wilt uitsluiten, maakt u een filter om sommige gebruikerstypen uit te sluiten.
      U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.
  11. Klik op Volgende.
  12. Neem de pagina door om te zien hoeveel gebruikers en groepen naar de directory worden gesynchroniseerd en om het synchronisatieschema te bekijken.

    Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie.

  13. Klik op Directory synchroniseren om synchroniseren naar de directory te starten.

resultaten

De verbinding met Active Directory is gemaakt en gebruikers en groepsnamen worden van Active Directory gesynchroniseerd naar de VMware Identity Manager-directory. De Bind DN-gebruiker heeft standaard een beheerdersrol in VMware Identity Manager.

Volgende stappen

  • Als u een directory hebt gemaakt die DNS Service Location ondersteunt, wordt er een bestand domain_krb.properties gemaakt en automatisch ingevuld met een lijst domeincontrollers. Bekijk het bestand om de lijst domeincontrollers te controleren of te bewerken. Zie Domeincontrollers selecteren (bestand domain_krb.properties).
  • Stel verificatiemethoden in. Nadat gebruikers en groepsnamen naar de directory zijn gesynchroniseerd, kunt u aanvullende verificatiemethoden voor de connector instellen als de connector ook voor verificatie wordt gebruikt. Als de identiteitsprovider voor verificatie een derde is, configureert u de betreffende identiteitsprovider voor de connector.
  • Controleer het standaardtoegangsbeleid. Het standaardtoegangsbeleid is geconfigureerd om alle appliances in alle netwerkbereiken toegang te verlenen tot de webportal, met een sessietime-out ingesteld op acht uur. De andere mogelijkheid is het verlenen van toegang tot een clientapp met een sessietime-out na 2160 uur (90 dagen). U kunt het standaardtoegangsbeleid wijzigen en bij het toevoegen van Webapplicaties aan de catalogus, kunt u nieuw toegangsbeleid maken.
  • (Op locatie) Pas aangepaste merkvermelding toe op de beheerconsole, de portalpagina's van gebruikers en het aanmeldscherm.