Geef in de VMware Identity Manager-console de informatie op die nodig is om verbinding te maken met uw Active Directory en selecteer gebruikers en groepen om te synchroniseren met de VMware Identity Manager-directory.
De verbindingsopties van de Active Directory zijn Active Directory via LDAP of Active Directory via geïntegreerde Windows-verificatie. De verbinding Active Directory via LDAP ondersteunt de opzoekfunctie DNS Service Location.
Voorwaarden
- (SaaS) Connector geïnstalleerd en geactiveerd.
- Selecteer welke kenmerken verplicht zijn en voeg extra kenmerken toe op de pagina Gebruikerskenmerken. Zie Kenmerken selecteren om te synchroniseren met de directory.
- Maak een lijst met de Active Directory-gebruikers en -groepen die u vanuit Active Directory wilt synchroniseren. Groepsnamen worden onmiddellijk gesynchroniseerd naar de directory. Leden van een groep worden niet gesynchroniseerd tot de groep rechten heeft voor bronnen of is toegevoegd aan een beleidsregel. Gebruikers die zich moeten verifiëren voordat groepsrechten worden geconfigureerd, moet worden toegevoegd tijdens de oorspronkelijke configuratie.
- Voor Active Directory via LDAP is onder andere de Base DN, de Bind DN en het wachtwoord van de Bind DN vereist.
De Bind DN-gebruiker moet de volgende machtigingen in Active Directory hebben om toegang te verlenen aan gebruikers en groepsobjecten:
- Lezen
- Alle eigenschappen lezen
- Leesmachtigingen
Opmerking: Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. - Voor Active Directory via geïntegreerde Windows-verificatie heeft u de gebruikersnaam en het wachtwoord nodig van de Bind-gebruiker die is gemachtigd om gebruikers en groepen voor de vereiste domeinen op te vragen.
De Bind-gebruiker moet de volgende machtigingen in Active Directory hebben om toegang te verlenen aan gebruikers en groepsobjecten:
- Lezen
- Alle eigenschappen lezen
- Leesmachtigingen
Opmerking: U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt. - Als de Active Directory toegang via SSL of STARTTLS vereist, zijn de root-CA-certificaten van de domeincontrollers voor alle relevante Active Directory-domeinen vereist.
- Voor Active Directory via geïntegreerde Windows-verificatie met een configuratie van meerdere forests voor Active Directory en een lokale domeingroep met meerdere leden van domeinen in verschillende forests, moet u ervoor zorgen dat de Bind-gebruiker wordt toegevoegd aan de groep Administrators van het domein waarin zich de lokale domeingroep bevindt. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep.
- Voor Active Directory via geïntegreerde Windows-verificatie:
- Voor alle domeincontrollers in SRV-records en verborgen RODC's moeten nslookup van hostnaam en IP-adres werken.
- Alle domeincontrollers moeten via het netwerk bereikbaar zijn
Procedure
resultaten
De verbinding met Active Directory is gemaakt en gebruikers en groepsnamen worden van Active Directory gesynchroniseerd naar de VMware Identity Manager-directory. De Bind-gebruiker heeft standaard een beheerdersrol in VMware Identity Manager.
Zie 'Gebruikers en groepen beheren' in Beheer VMware Identity Manager voor meer informatie over hoe groepen worden gesynchroniseerd.
Volgende stappen
- Stel verificatiemethoden in. Nadat gebruikers en groepsnamen naar de directory zijn gesynchroniseerd, kunt u aanvullende verificatiemethoden voor de connector instellen als de connector ook voor verificatie wordt gebruikt. Als de identiteitsprovider voor verificatie een derde is, configureert u de betreffende identiteitsprovider voor de connector.
- Controleer het standaardtoegangsbeleid. Het standaardtoegangsbeleid is geconfigureerd om alle appliances in alle netwerkbereiken toegang te verlenen tot de webportal, met een sessietime-out ingesteld op acht uur. De andere mogelijkheid is het verlenen van toegang tot een clientapp met een sessietime-out na 2160 uur (90 dagen). U kunt het standaardtoegangsbeleid wijzigen en bij het toevoegen van Webapplicaties aan de catalogus, kunt u nieuw toegangsbeleid maken.
- (Op locatie) Pas zo nodig aangepaste merkvermelding toe op de VMware Identity Manager-console, de portalpagina's van gebruikers en het aanmeldingsscherm.