Geef in de VMware Identity Manager-console de informatie op die nodig is om verbinding te maken met uw Active Directory en selecteer gebruikers en groepen om te synchroniseren met de VMware Identity Manager-directory.

De verbindingsopties van de Active Directory zijn Active Directory via LDAP of Active Directory via geïntegreerde Windows-verificatie. De verbinding Active Directory via LDAP ondersteunt de opzoekfunctie DNS Service Location.

Voorwaarden

  • (SaaS) Connector geïnstalleerd en geactiveerd.

  • Selecteer welke kenmerken verplicht zijn en voeg extra kenmerken toe op de pagina Gebruikerskenmerken. Zie Kenmerken selecteren om te synchroniseren met de directory.

  • Maak een lijst met de Active Directory-gebruikers en -groepen die u vanuit Active Directory wilt synchroniseren. Groepsnamen worden onmiddellijk gesynchroniseerd naar de directory. Leden van een groep worden niet gesynchroniseerd tot de groep rechten heeft voor bronnen of is toegevoegd aan een beleidsregel. Gebruikers die zich moeten verifiëren voordat groepsrechten worden geconfigureerd, moet worden toegevoegd tijdens de oorspronkelijke configuratie.

  • Voor Active Directory via LDAP is onder andere de Base DN, de Bind DN en het wachtwoord van de Bind DN vereist.

    De Bind DN-gebruiker moet de volgende machtigingen in Active Directory hebben om toegang te verlenen aan gebruikers en groepsobjecten:

    • Lezen

    • Alle eigenschappen lezen

    • Leesmachtigingen

    Opmerking:

    Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.

  • Voor Active Directory via geïntegreerde Windows-verificatie heeft u de gebruikersnaam en het wachtwoord nodig van de Bind-gebruiker die is gemachtigd om gebruikers en groepen voor de vereiste domeinen op te vragen.

    De Bind-gebruiker moet de volgende machtigingen in Active Directory hebben om toegang te verlenen aan gebruikers en groepsobjecten:

    • Lezen

    • Alle eigenschappen lezen

    • Leesmachtigingen

    Opmerking:

    U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt.

  • Als de Active Directory toegang via SSL of STARTTLS vereist, zijn de root-CA-certificaten van de domeincontrollers voor alle relevante Active Directory-domeinen vereist.

  • Voor Active Directory via geïntegreerde Windows-verificatie met een configuratie van meerdere forests voor Active Directory en een lokale domeingroep met meerdere leden van domeinen in verschillende forests, moet u ervoor zorgen dat de Bind-gebruiker wordt toegevoegd aan de groep Administrators van het domein waarin zich de lokale domeingroep bevindt. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep.

  • Voor Active Directory via geïntegreerde Windows-verificatie:

    • Voor alle domeincontrollers in SRV-records en verborgen RODC's moeten nslookup van hostnaam en IP-adres werken.

    • Alle domeincontrollers moeten via het netwerk bereikbaar zijn

Procedure

  1. Klik op het tabblad Identiteits- en toegangsbeheer in de VMware Identity Manager-console.
  2. Op de Directorypagina klikt u op Directory toevoegen.
  3. Voer een naam in voor deze directory van VMware Identity Manager.
  4. Selecteer het type Active Directory in uw omgeving en configureer de verbindingsinformatie.

    Optie

    Beschrijving

    Active Directory via LDAP

    1. Selecteer in het tekstvak Synchronisatieconnector de Connector die u wilt gebruiken voor synchronisatie met Active Directory.

    2. Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het tekstvak Verificatie op Ja.

      Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider.

    3. Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerk dat de username bevat.

    4. Als u DNS Service Location-opzoekingen voor Active Directory wilt gebruiken, maakt u de volgende selecties.

      • Schakel in de sectie Serverlocatie het selectievakje Deze directory ondersteunt DNS-servicelocatie in.

        VMware Identity Manager vindt en gebruikt optimale domeincontrollers. Als u geen gebruik wilt maken van de selectie van geoptimaliseerde domeincontrollers, volgt u stap e.

      • Als Active Directory STARTTLS-versleuteling vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het tekstvak SSL-certificaat.

        Zorg ervoor dat het certificaat de PEM-indeling heeft en dat regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen.

        Opmerking:

        Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.

    5. Als u DNS Service Location-opzoekingen voor Active Directory niet wilt gebruiken, maakt u de volgende selecties.

      • In de sectie Serverlocatie controleert u of het selectievakje Deze directory ondersteunt DNS-servicelocatie niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in.

        Zie de sectie Multi-domein, Single Forest Active Directory-omgeving in Active Directory-omgevingen om de directory als een globale catalogus te configureren.

      • Als de Active Directory toegang over SSL vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat.

        Zorg ervoor dat het certificaat de PEM-indeling heeft en dat regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen.

        Als de directory meerdere domeinen heeft, voegt u een voor een de root-CA-certificaten van alle domeinen toe.

        Opmerking:

        Als de Active Directory SSL vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.

    6. In het veld Base DN voert u de DN in vanwaar de accountzoekopdrachten moeten starten. Bijvoorbeeld OU=myUnit,DC=myCorp,DC=com.

    7. In het veld Bind DN voert u het account in dat naar gebruikers kan zoeken. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com.

      Opmerking:

      Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.

    8. Nadat u het bindingswachtwoord hebt ingevoerd, klikt u op Verbinding testen om te controleren of de directory verbinding kan maken met uw Active Directory.

    Active Directory (geïntegreerde Windows-verificatie)

    1. Selecteer in het tekstvak Synchronisatieconnector de Connector die u wilt gebruiken voor synchronisatie met Active Directory.

    2. Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het tekstvak Verificatie op Ja.

      Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider.

    3. Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerk dat de username bevat.

    4. Als Active Directory STARTTLS-versleuteling vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het tekstvak SSL-certificaat.

      Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen.

      Als de directory meerdere domeinen heeft, voegt u een voor een de root-CA-certificaten van alle domeinen toe.

      Opmerking:

      Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.

    5. (Alleen voor Linux) Voer de naam in van het Active Directory-domein dat wordt toegevoegd. Voer een gebruikersnaam en wachtwoord in dat de rechten heeft om het domein toe te voegen. Raadpleeg Rechten vereist voor toevoegen aan een domein (alleen voor Linux-gebaseerde virtual appliance) voor meer informatie.

    6. Voer in de sectie Gebruikersdetails Bind de gebruikersnaam en het wachtwoord in van de Bind-gebruiker die is gemachtigd om gebruikers en groepen voor de vereiste domeinen op te vragen. Voor de gebruikersnaam voert u de SAM-accountnaam, bijvoorbeeld jjansen in. Als het domein van de Bind-gebruiker verschilt van het domein voor toevoeging dat eerder is ingevoerd, voert u de gebruikersnaam in als SAMaccountnaam@domein, waarbij domein de volledig gekwalificeerde domeinnaam is. Bijvoorbeeld: [email protected].

      Opmerking:

      U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt.

  5. Klik op Opslaan en Volgende.

    De pagina met de lijst domeinen verschijnt.

  6. Voor Active Directory over LDAP worden de domeinen vermeld met een vinkje.

    Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding.

    Opmerking:

    Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de service niet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor de service wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen. Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijst weergegeven.

    Klik op Volgende.

  7. Controleer of de kenmerknamen van de VMware Identity Manager-directory zijn toegewezen aan de juiste Active Directory-kenmerken en breng zo nodig wijzigingen aan. Klik vervolgens op Volgende.
  8. Selecteer de groepen die u vanuit Active Directory wilt synchroniseren met de VMware Identity Manager-directory.

    Wanneer groepen hier worden toegevoegd, worden groepsnamen gesynchroniseerd naar de directory. Gebruikers die lid van de groep zijn, worden pas naar de directory gesynchroniseerd wanneer de groep rechten voor een applicatie heeft of de naam van de groep aan een toegangsbeleidsregel is toegevoegd. Alle volgende geplande synchronisaties leveren bijgewerkte informatie uit Active Directory voor deze groepsnamen.

    Optie

    Beschrijving

    Geef de DN's van de groep op

    Als u groepen wilt selecteren, kunt u een of meer groeps-DN's opgeven en de onderliggende groepen selecteren.

    1. Klik op + en geef de groeps-DN op. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com.

      Belangrijk:

      Geef de groeps-DN's op onder de basis-DN die u heeft ingevoerd. Als een groeps-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.

    2. Klik op Groepen zoeken.

      De kolom Te synchroniseren groepen bevat het aantal groepen dat is gevonden in de DN.

    3. Als u alle groepen in de DN wilt selecteren, klikt u op Alles selecteren. Of klik op Selecteren en selecteer de specifieke groepen die u wilt synchroniseren.

    Opmerking:

    Wanneer u een groep synchroniseert, worden gebruikers die geen Domeingebruikers als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.

    Geneste groepsleden synchroniseren

    De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers die direct tot de geselecteerde groep horen, en alle gebruikers die tot de geneste groepen eronder behoren, gesynchroniseerd zodra de groep de nodige rechten heeft. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de VMware Identity Manager-directory zijn deze gebruikers leden van de bovenliggende groep die u heeft geselecteerd om te synchroniseren.

    Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer u een groep opgeeft om te synchroniseren, worden alle gebruikers gesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze functie is handig voor grote Active Directory-configuraties waarbij het doorkruisen van een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.

  9. Klik op Volgende.
  10. Geef de gebruikers op die u wilt synchroniseren.

    Omdat leden in groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd.

    1. Klik op + en voer de gebruikers-DN's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com.
      Belangrijk:

      Geef de gebruikers-DN's op onder de basis-DN die u heeft ingevoerd. Als een gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.

    2. (Optioneel) Als u gebruikers wilt uitsluiten, maakt u een filter om sommige gebruikerstypen uit te sluiten.

      U selecteert het gebruikerskenmerk waarop moet worden gefilterd en de queryregel die moet worden gebruikt, en voert de waarde in. De waarde is hoofdlettergevoelig. De volgende tekens mogen niet in de tekenreeks worden gebruikt: *^()?!$.

  11. Geef de gebruikers op die u wilt synchroniseren.

    Omdat leden in groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd.

    1. Klik op + en voer de gebruikers-DN's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com.
      Belangrijk:

      Geef de gebruikers-DN's op onder de basis-DN die u heeft ingevoerd. Als een gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.

    2. (Optioneel) Als u gebruikers wilt uitsluiten, maakt u filters om gebruikers uit te sluiten op basis van een gekozen kenmerk. U kunt meerdere uitsluitingsfilters maken.

      U selecteert het gebruikerskenmerk waarop moet worden gefilterd en het queryfilter dat moet worden toegepast op de waarde die u definieert.

      Optie

      Beschrijving

      Bevat

      Alle gebruikers die overeenkomen met de combinatie van kenmerk en waarde, worden uitgesloten. Bijvoorbeeld: naam bevat Jane sluit alle gebruikers met de naam Jane uit.

      Bevat niet

      Alle gebruikers behalve diegenen die overeenkomen met de combinatie van kenmerk en waarde, worden uitgesloten. Bijvoorbeeld: telefoonnummer bevat niet 800, sluit alleen gebruikers uit met een telefoonnummer dat 800 bevat.

      Begint met

      Alle gebruikers waar de tekens die beginnen met <xxx> in de kenmerkwaarde, worden uitgesloten. Bijvoorbeeld: medewerker-id begint met ACME0 sluit alle gebruikers uit die een medewerker-id hebben waarin ACME0 aan het begin van het id-nummer staat.

      Eindigt met

      Alle gebruikers die eindigen met de tekens <yyy> in de kenmerkwaarde, worden uitgesloten. Bijvoorbeeld: e-mail eindigt met voorbeeld1.nl sluit alle gebruikers uit die een e-mailadres hebben dat eindigt op voorbeeld1.nl.

    De waarde is hoofdlettergevoelig. De volgende symbolen mogen niet worden gebruikt in de waardetekenreeks.

    • Asterisk *

    • Caret ^

    • Ronde haakjes ( )

    • Vraagteken ?

    • Uitroepteken !

    • Dollarteken $

  12. Klik op Volgende.
  13. Neem de pagina door om te zien hoeveel gebruikers en groepen naar de directory worden gesynchroniseerd en om het synchronisatieschema te bekijken.

    Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie.

  14. Klik op Directory synchroniseren om synchroniseren naar de directory te starten.

Resultaten

De verbinding met Active Directory is gemaakt en gebruikers en groepsnamen worden van Active Directory gesynchroniseerd naar de VMware Identity Manager-directory. De Bind-gebruiker heeft standaard een beheerdersrol in VMware Identity Manager.

Zie 'Gebruikers en groepen beheren' in Beheer VMware Identity Manager voor meer informatie over hoe groepen worden gesynchroniseerd.

Volgende stappen

  • Stel verificatiemethoden in. Nadat gebruikers en groepsnamen naar de directory zijn gesynchroniseerd, kunt u aanvullende verificatiemethoden voor de connector instellen als de connector ook voor verificatie wordt gebruikt. Als de identiteitsprovider voor verificatie een derde is, configureert u de betreffende identiteitsprovider voor de connector.

  • Controleer het standaardtoegangsbeleid. Het standaardtoegangsbeleid is geconfigureerd om alle appliances in alle netwerkbereiken toegang te verlenen tot de webportal, met een sessietime-out ingesteld op acht uur. De andere mogelijkheid is het verlenen van toegang tot een clientapp met een sessietime-out na 2160 uur (90 dagen). U kunt het standaardtoegangsbeleid wijzigen en bij het toevoegen van Webapplicaties aan de catalogus, kunt u nieuw toegangsbeleid maken.