Geef in de VMware Identity Manager-console de informatie op die nodig is om verbinding te maken met uw Active Directory en selecteer gebruikers en groepen om te synchroniseren met de VMware Identity Manager-directory.

1. Klik op het tabblad Identiteits- en toegangsbeheer in de VMware Identity Manager-console.
2. Op de Directorypagina klikt u op Directory toevoegen.
3. Voer een naam in voor deze directory van VMware Identity Manager.
4. Selecteer het type Active Directory in uw omgeving en configureer de verbindingsinformatie.

   Optie	Beschrijving
   Active Directory via LDAP	Selecteer in het tekstvak Synchronisatieconnector de Connector die u wilt gebruiken voor synchronisatie met Active Directory. Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het tekstvak Verificatie op Ja. Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider. Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerk dat de username bevat. Als u DNS Service Location-opzoekingen voor Active Directory wilt gebruiken, maakt u de volgende selecties. Schakel in de sectie Serverlocatie het selectievakje Deze directory ondersteunt DNS-servicelocatie in. VMware Identity Manager vindt en gebruikt optimale domeincontrollers. Als u geen gebruik wilt maken van de selectie van geoptimaliseerde domeincontrollers, volgt u stap e. Als Active Directory STARTTLS-versleuteling vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het tekstvak SSL-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen. Opmerking: Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. Als u DNS Service Location-opzoekingen voor Active Directory niet wilt gebruiken, maakt u de volgende selecties. In de sectie Serverlocatie controleert u of het selectievakje Deze directory ondersteunt DNS-servicelocatie niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in. Zie de sectie Multi-domein, Single Forest Active Directory-omgeving in Active Directory-omgevingen om de directory als een globale catalogus te configureren. Als de Active Directory toegang over SSL vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen. Als de directory meerdere domeinen heeft, voegt u een voor een de root-CA-certificaten van alle domeinen toe. Opmerking: Als de Active Directory SSL vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. In het veld Base DN voert u de DN in vanwaar de accountzoekopdrachten moeten starten. Bijvoorbeeld OU=myUnit,DC=myCorp,DC=com. In het veld Bind DN voert u het account in dat naar gebruikers kan zoeken. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com. Opmerking: Het gebruik van een Bind DN-gebruikersaccount met een wachtwoord dat niet verloopt, wordt aanbevolen. Nadat u het bindingswachtwoord hebt ingevoerd, klikt u op Verbinding testen om te controleren of de directory verbinding kan maken met uw Active Directory.
   Active Directory (geïntegreerde Windows-verificatie)	Selecteer in het tekstvak Synchronisatieconnector de Connector die u wilt gebruiken voor synchronisatie met Active Directory. Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het tekstvak Verificatie op Ja. Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider. Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerk dat de username bevat. Als Active Directory STARTTLS-versleuteling vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het tekstvak SSL-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen. Als de directory meerdere domeinen heeft, voegt u een voor een de root-CA-certificaten van alle domeinen toe. Opmerking: Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. Voer in de sectie Gebruikersdetails Bind de gebruikersnaam en het wachtwoord in van de Bind-gebruiker die is gemachtigd om gebruikers en groepen voor de vereiste domeinen op te vragen. Voor de gebruikersnaam voert u de SAM-accountnaam, bijvoorbeeld jjansen in. Als het domein van de Bind-gebruiker verschilt van het domein voor toevoeging dat eerder is ingevoerd, voert u de gebruikersnaam in als SAMaccountnaam@domein, waarbij domein de volledig gekwalificeerde domeinnaam is. Bijvoorbeeld: [email protected]. Opmerking: U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt.

5. Klik op Opslaan en Volgende.
   De pagina met de lijst domeinen verschijnt.
6. Voor Active Directory over LDAP worden de domeinen vermeld met een vinkje.
   Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding.

   Opmerking: Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de service niet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor de service wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen. Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijst weergegeven.

   Klik op Volgende.

7. Controleer of de kenmerknamen van de VMware Identity Manager-directory zijn toegewezen aan de juiste Active Directory-kenmerken en breng zo nodig wijzigingen aan. Klik vervolgens op Volgende.
8. Selecteer de groepen die u vanuit Active Directory wilt synchroniseren met de VMware Identity Manager-directory.
   Wanneer groepen hier worden toegevoegd, worden groepsnamen gesynchroniseerd naar de directory. Gebruikers die lid van de groep zijn, worden pas naar de directory gesynchroniseerd wanneer de groep rechten voor een applicatie heeft of de naam van de groep aan een toegangsbeleidsregel is toegevoegd. Alle volgende geplande synchronisaties leveren bijgewerkte informatie uit Active Directory voor deze groepsnamen.

   Optie	Beschrijving
   Geef de DN's van de groep op	Als u groepen wilt selecteren, kunt u een of meer groeps-DN's opgeven en de onderliggende groepen selecteren. Klik op + en geef de groeps-DN op. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com. Belangrijk: Geef de groeps-DN's op onder de basis-DN die u heeft ingevoerd. Als een groeps-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden. Klik op Groepen zoeken. De kolom Te synchroniseren groepen bevat het aantal groepen dat is gevonden in de DN. Als u alle groepen in de DN wilt selecteren, klikt u op Alles selecteren. Of klik op Selecteren en selecteer de specifieke groepen die u wilt synchroniseren. Opmerking: Wanneer u een groep synchroniseert, worden gebruikers die geen Domeingebruikers als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.
   Geneste groepsleden synchroniseren	De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers die direct tot de geselecteerde groep horen, en alle gebruikers die tot de geneste groepen eronder behoren, gesynchroniseerd zodra de groep de nodige rechten heeft. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de VMware Identity Manager-directory zijn deze gebruikers leden van de bovenliggende groep die u heeft geselecteerd om te synchroniseren. Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer u een groep opgeeft om te synchroniseren, worden alle gebruikers gesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze functie is handig voor grote Active Directory-configuraties waarbij het doorkruisen van een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.

9. Klik op Volgende.
10. Geef de gebruikers op die u wilt synchroniseren.
    Omdat leden in groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd.
    1. Klik op + en voer de gebruikers-DN's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com.
       Belangrijk: Geef de gebruikers-DN's op onder de basis-DN die u heeft ingevoerd. Als een gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
    2. (Optioneel) Als u gebruikers wilt uitsluiten, maakt u een filter om sommige gebruikerstypen uit te sluiten.
       U selecteert het gebruikerskenmerk waarop moet worden gefilterd en de queryregel die moet worden gebruikt, en voert de waarde in. De waarde is hoofdlettergevoelig. De volgende tekens mogen niet in de tekenreeks worden gebruikt: *^()?!$.
11. Geef de gebruikers op die u wilt synchroniseren.
    Omdat leden in groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd.
    1. Klik op + en voer de gebruikers-DN's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com.
       Belangrijk: Geef de gebruikers-DN's op onder de basis-DN die u heeft ingevoerd. Als een gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
    2. (Optioneel) Als u gebruikers wilt uitsluiten, maakt u filters om gebruikers uit te sluiten op basis van een gekozen kenmerk. U kunt meerdere uitsluitingsfilters maken.
       U selecteert het gebruikerskenmerk waarop moet worden gefilterd en het queryfilter dat moet worden toegepast op de waarde die u definieert.

       Optie	Beschrijving
       Bevat	Alle gebruikers die overeenkomen met de combinatie van kenmerk en waarde, worden uitgesloten. Bijvoorbeeld: naam bevat Jane sluit alle gebruikers met de naam Jane uit.
       Bevat niet	Alle gebruikers behalve diegenen die overeenkomen met de combinatie van kenmerk en waarde, worden uitgesloten. Bijvoorbeeld: telefoonnummer bevat niet 800, sluit alleen gebruikers uit met een telefoonnummer dat 800 bevat.
       Begint met	Alle gebruikers waar de tekens die beginnen met <xxx> in de kenmerkwaarde, worden uitgesloten. Bijvoorbeeld: medewerker-id begint met ACME0 sluit alle gebruikers uit die een medewerker-id hebben waarin ACME0 aan het begin van het id-nummer staat.
       Eindigt met	Alle gebruikers die eindigen met de tekens <yyy> in de kenmerkwaarde, worden uitgesloten. Bijvoorbeeld: e-mail eindigt met voorbeeld1.nl sluit alle gebruikers uit die een e-mailadres hebben dat eindigt op voorbeeld1.nl.

    De waarde is hoofdlettergevoelig. De volgende symbolen mogen niet worden gebruikt in de waardetekenreeks.

    • Asterisk *
    • Caret ^
    • Ronde haakjes ()
    • Vraagteken ?
    • Uitroepteken !
    • Dollarteken $
12. Klik op Volgende.
13. Neem de pagina door om te zien hoeveel gebruikers en groepen naar de directory worden gesynchroniseerd en om het synchronisatieschema te bekijken.

    Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie.

14. Klik op Directory synchroniseren om synchroniseren naar de directory te starten.