U kunt uw bedrijfs-LDAP-directory integreren met VMware Identity Manager om gebruikers en groepen van de LDAP-directory te synchroniseren met de VMware Identity Manager-service.

Om uw LDAP-directory te integreren, maakt u een overeenkomstige VMware Identity Manager-directory en synchroniseert u gebruikers en groepen van uw LDAP-directory met de VMware Identity Manager-directory. U kunt een planning voor regelmatig synchroniseren instellen voor volgende updates.

U kunt ook de LDAP-kenmerken selecteren die u voor gebruikers wilt synchroniseren en deze toewijzen aan VMware Identity Manager-kenmerken.

De configuratie van de LDAP-directory kan worden gebaseerd op standaardschema's of aangepaste schema's. Deze kan ook aangepaste kenmerken hebben. Om VMware Identity Manager uw LDAP-directory te laten vragen om gebruikers- of groepsobjecten te verkrijgen, moet u de LDAP-zoekfilters en namen van kenmerken opgeven die van applicatie zijn op uw LDAP-directory.

In het bijzonder dient u de volgende informatie op te geven.

  • LDAP-zoekfilters voor het verkrijgen van groepen, gebruikers en de Bind-gebruiker

  • LDAP-kenmerknamen voor groepslidmaatschap, UUID en distinguished name

Voor de integratiefunctie van de LDAP-directory gelden bepaalde beperkingen. Zie Beperkingen van LDAP-directory-integratie.

Voorwaarden

  • Controleer de kenmerken op de pagina Identiteits- en toegangsbeheer > Installatie > Gebruikerskenmerken en voeg extra kenmerken toe die u wilt synchroniseren. U wijst de VMware Identity Manager-kenmerken toe aan uw LDAP-directorykenmerken wanneer u de directory aanmaakt. Deze kenmerken worden gesynchroniseerd voor de gebruikers in de directory.

    Opmerking:

    Wanneer u gebruikerskenmerken wijzigt, houd er dan rekening mee dat deze wijzigingen ook gevolgen kunnen hebben voor andere directory's in de service. Wanneer u van plan bent om zowel Active Directory als LDAP-directory's toe te voegen, let er dan op dat u geen kenmerken markeert als zijnde vereist, behalve het kenmerk userName dat wel kan worden gemarkeerd als zijnde vereist. De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service. Wanneer een kenmerk als zijnde vereist is gemarkeerd, worden gebruikers zonder dat kenmerk niet gesynchroniseerd met de VMware Identity Manager-service.

  • Een Bind-DN-gebruikersaccount. Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.

  • In uw LDAP-directory moet de UUID van gebruikers en groepen een standaard tekstindeling hebben.

  • In uw LDAP-directory moet een domeinkenmerk aanwezig zijn voor alle gebruikers en groepen.

    U kunt dit kenmerk toewijzen aan het kenmerk van het VMware Identity Manager domein wanneer u de VMware Identity Manager-directory aanmaakt.

  • Gebruikersnamen mogen geen spaties bevatten. Wanneer een gebruikersnaam een spatie bevat, wordt de gebruiker gesynchroniseerd, maar zijn de rechten niet beschikbaar voor de gebruiker.

  • Wanneer u certificaatverificatie gebruikt, moeten gebruikers waarden hebben voor userPrincipalName en e-mailadreskenmerken.

Procedure

  1. Klik in de VMware Identity Manager-console op het tabblad Identiteits- en toegangsbeheer.
  2. Klik op de pagina Mappen op Map toevoegen en selecteer LDAP-directory toevoegen.
  3. Voer de vereiste informatie in op de pagina LDAP-directory toevoegen.

    Optie

    Beschrijving

    Directorynaam

    Een naam voor de VMware Identity Manager-map.

    Directory synchroniseren en verificatie

    1. In het tekstvak Synchronisatieconnector selecteert u de connector die u wilt gebruiken om gebruikers en groepen van uw LDAP-directory te synchroniseren naar de VMware Identity Manager-directory.

      In een implementatie op locatie is er altijd standaard een connectoronderdeel beschikbaar bij de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-instanties installeert voor hoge beschikbaarheid, verschijnt het connectoronderdeel van elk van die instanties in de lijst. Er worden ook externe connectoren weergegeven.

      U hebt geen afzonderlijke connector voor een LDAP-directory nodig. Een connector kan meerdere directory's ondersteunen, ongeacht of het directory's zijn van Active Directory of LDAP. Zie VMware Identity Manager installeren en configureren voor de scenario's waarin u extra connectoren nodig hebt.

    2. In het tekstvak Verificatie selecteert u Ja wanneer u deze LDAP-directory wilt gebruiken voor het verifiëren van gebruikers.

      Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, selecteert u Nee. Nadat u de directoryverbinding hebt toegevoegd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de identiteitsprovider voor verificatie toe te voegen.

    3. In het tekstvak Zoekkenmerk directory geeft u het LDAP-directorykenmerk op dat voor de gebruikersnaam moet worden gebruikt. Als het kenmerk niet wordt vermeld, selecteert u Aangepast en typt u de kenmerknaam. Bijvoorbeeld cn.

    Serverlocatie

    Voer de serverhost en het poortnummer van de LDAP-directory in. Voor de serverhost kunt u de FQDN of het IP-adres specificeren. Bijvoorbeeld myLDAPserver.example.com of 100.00.00.0.

    Als u een cluster servers achter een load-balancer hebt, voert u in plaats daarvan de informatie van de load-balancer in.

    LDAP-configuratie

    Specificeer de zoekfilters en kenmerken van LDAP die VMware Identity Manager kan gebruiken om uw LDAP-directory op te vragen. Standaardwaarden worden verstrekt op basis van het kern-LDAP-schema.

    LDAP-vragen

    • Groepen ophalen: het zoekfilter om groepsobjecten te verkrijgen.

      Bijvoorbeeld: (objectClass=group)

    • Bindingsgebruiker ophalen: het zoekfilter om een bindingsgebruikerobject te verkrijgen, ofwel de gebruiker die zich aan de directory kan binden.

      Bijvoorbeeld: (objectClass=person)

    • Gebruiker ophalen: het zoekfilter om gebruikers te verkrijgen om te synchroniseren.

      Bijvoorbeeld:(&(objectClass=user)(objectCategory=person))

    Kenmerken

    • Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory om leden van een groep te definiëren.

      Bijvoorbeeld: lid

    • Object-UUID: het kenmerk dat wordt gebruikt in uw LDAP-directory om de UUID van een gebruiker of groep te definiëren.

      Bijvoorbeeld: entryUUID

    • Distinguished Name: het kenmerk dat wordt gebruikt in uw LDAP-directory voor de kenmerkende naam van een gebruiker of groep.

      Bijvoorbeeld: entryDN

    Certificaten

    Als uw LDAP-directory toegang over SSL vereist, selecteert u Deze directory vereist dat alle verbindingen SSL gebruiken en kopieert en plakt u het basis CA-SSL-certificaat van de LDAP-directoryserver. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.

    Gegevens van bindingsgebruiker

    Basis DN: voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld cn=users,dc=example,dc=com

    Bind DN: voer de gebruikersnaam in die wordt gebruikt om aan de LDAP-directory te binden.

    Opmerking:

    Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.

    Wachtwoord Bind-DN: voer het wachtwoord in voor de Bind DN-gebruiker.

  4. Klik op Verbinding testen om de verbinding met de LDAP-directoryserver te testen.

    Als de verbinding niet is gelukt, controleert u de informatie die u hebt ingevoerd en brengt u passende wijzigingen aan.

  5. Klik op Opslaan en Volgende.
  6. Verifieer op de pagina Domeinen of het juiste domein wordt weergegeven en klik dan op Volgende.
  7. Verifieer op de pagina Kenmerken toewijzen of de VMware Identity Manager-kenmerken zijn toegewezen aan de juiste LDAP-kenmerken.

    Deze kenmerken worden gesynchroniseerd voor gebruikers.

    Belangrijk:

    U moet een toewijzing specificeren voor het domein-kenmerk.

    U kunt kenmerken toevoegen aan de lijst via de pagina Gebruikerskenmerken.

  8. Klik op Volgende.
  9. Op de groepspagina klikt u op + om de groepen te selecteren die u van de LDAP-directory wilt synchroniseren met de VMware Identity Manager-directory.

    Wanneer groepen worden toegevoegd, worden groepsnamen gesynchroniseerd naar de directory. Gebruikers die lid van de groep zijn, worden pas naar de directory gesynchroniseerd wanneer de groep rechten voor een applicatie heeft of de naam van de groep aan een toegangsbeleidsregel is toegevoegd.

    Als u meerdere groepen hebt met dezelfde naam in uw LDAP-directory, moet u unieke namen ervoor specificeren op de groepspagina.

    De optie Geneste groepsgebruikers synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerd die direct tot de groep behoren die u selecteert en alle gebruikers die tot de geneste groepen eronder behoren. De geneste groepen worden niet gesynchroniseerd, alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd zodra de groep de nodige rechten heeft. In de directory van VMware Identity Manager verschijnen deze gebruikers als leden van de bovenste groep die u hebt geselecteerd om te synchroniseren. Hierdoor wordt de hiërarchie onder een geselecteerde groep platter en worden gebruikers op alle niveaus weergegeven in VMware Identity Manager als leden van de geselecteerde groep.

    Als deze optie is uitgeschakeld, wanneer u een groep specificeert om te synchroniseren, worden alle gebruikers gesynchroniseerd die direct tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze optie is handig voor grote directoryconfiguraties waar het doorkruisen van een groepsstructuur veel middelen en tijd kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.

  10. Klik op Volgende.
  11. Klik op + om gebruikers toe te voegen. Voer bijvoorbeeld CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com in

    Omdat leden in groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd.

    Om gebruikers uit te sluiten, maakt u een filter om sommige typen gebruikers uit te sluiten. U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.

    Klik op Volgende.

  12. Controleer op de pagina hoeveel gebruikers en groepen worden gesynchroniseerd naar de directory en bekijk het standaard synchronisatieschema.

    Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie.

  13. Klik op Directory synchroniseren om de synchronisatie van de directory te starten.

Resultaten

De verbinding met de LDAP-directory wordt tot stand gebracht en gebruikers en groepsnamen worden van de LDAP-directory gesynchroniseerd naar de VMware Identity Manager-directory. De Bind DN-gebruiker heeft standaard een beheerdersrol in VMware Identity Manager.