U kunt uw bedrijfs-LDAP-directory integreren met VMware Identity Manager om gebruikers en groepen van de LDAP-directory te synchroniseren met de VMware Identity Manager-service.

Om uw LDAP-directory te integreren, maakt u een overeenkomstige VMware Identity Manager-directory en synchroniseert u gebruikers en groepen van uw LDAP-directory met de VMware Identity Manager-directory. U kunt een planning voor regelmatig synchroniseren instellen voor volgende updates.

U kunt ook de LDAP-kenmerken selecteren die u voor gebruikers wilt synchroniseren en deze toewijzen aan VMware Identity Manager-kenmerken.

De configuratie van de LDAP-directory kan worden gebaseerd op standaardschema's of aangepaste schema's. Deze kan ook aangepaste kenmerken hebben. Om VMware Identity Manager uw LDAP-directory te laten vragen om gebruikers- of groepsobjecten te verkrijgen, moet u de LDAP-zoekfilters en namen van kenmerken opgeven die van applicatie zijn op uw LDAP-directory.

In het bijzonder dient u de volgende informatie op te geven.

  • LDAP-zoekfilters voor het verkrijgen van groepen, gebruikers en de Bind-gebruiker
  • LDAP-kenmerknamen voor groepslidmaatschap, UUID en Distinguished Name of een equivalent kenmerk

Voor de integratiefunctie van de LDAP-directory gelden bepaalde beperkingen. Zie Beperkingen van LDAP-directory-integratie.

Voorwaarden

  • Controleer de kenmerken op de pagina Identiteits- en toegangsbeheer > Installatie > Gebruikerskenmerken en voeg extra kenmerken toe die u wilt synchroniseren. U wijst de VMware Identity Manager-kenmerken toe aan uw LDAP-directorykenmerken wanneer u de directory aanmaakt. Deze kenmerken worden gesynchroniseerd voor de gebruikers in de directory.
    Opmerking: Wanneer u gebruikerskenmerken wijzigt, houd er dan rekening mee dat deze wijzigingen ook gevolgen kunnen hebben voor andere directory's in de service. Wanneer u van plan bent om zowel Active Directory als LDAP-directory's toe te voegen, let er dan op dat u geen kenmerken markeert als zijnde vereist, behalve het kenmerk userName dat wel kan worden gemarkeerd als zijnde vereist. De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service. Wanneer een kenmerk als zijnde vereist is gemarkeerd, worden gebruikers zonder dat kenmerk niet gesynchroniseerd met de VMware Identity Manager-service.
  • Een Bind-DN-gebruikersaccount. Het gebruik van een Bind DN-gebruikersaccount met een wachtwoord dat niet verloopt, wordt aanbevolen.
  • In uw LDAP-directory moet de UUID van gebruikers en groepen een standaard tekstindeling hebben.
  • In uw LDAP-directory moet een domeinkenmerk aanwezig zijn voor alle gebruikers en groepen.

    U kunt dit kenmerk toewijzen aan het kenmerk van het VMware Identity Manager domein wanneer u de VMware Identity Manager-directory aanmaakt.

  • Gebruikersnamen mogen geen spaties bevatten. Wanneer een gebruikersnaam een spatie bevat, wordt de gebruiker gesynchroniseerd, maar zijn de rechten niet beschikbaar voor de gebruiker.
  • Wanneer u certificaatverificatie gebruikt, moeten gebruikers waarden hebben voor userPrincipalName en e-mailadreskenmerken.

Procedure

  1. Klik in de VMware Identity Manager-console op het tabblad Identiteits- en toegangsbeheer.
  2. Klik op de pagina Directory's op Directory toevoegen en selecteer LDAP-directory toevoegen.
  3. Voer de vereiste informatie in op de pagina LDAP-directory toevoegen.
    Optie Beschrijving
    Directorynaam Een naam voor de VMware Identity Manager-directory.
    Directory synchroniseren en verificatie
    1. In het tekstvak Synchronisatieconnector selecteert u de connector die u wilt gebruiken om gebruikers en groepen van uw LDAP-directory te synchroniseren naar de VMware Identity Manager-directory.

      U heeft geen afzonderlijke connector voor een LDAP-directory nodig. Een connector kan meerdere directory's ondersteunen, ongeacht of het directory's zijn van Active Directory of LDAP. Zie VMware Identity Manager installeren en configureren voor de scenario's waarin u extra connectoren nodig hebt.

    2. In het tekstvak Verificatie selecteert u Ja wanneer u deze LDAP-directory wilt gebruiken voor het verifiëren van gebruikers.

      Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, selecteert u Nee. Nadat u de directoryverbinding hebt toegevoegd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de identiteitsprovider voor verificatie toe te voegen.

    3. In het tekstvak Zoekkenmerk directory selecteert u het LDAP-directorykenmerk dat voor de gebruikersnaam moet worden gebruikt. Als het kenmerk niet wordt vermeld, selecteert u Aangepast en typt u de aangepaste kenmerknaam die u voor gebruikers en groepen wilt gebruiken. Bijvoorbeeld cn.
    Serverlocatie Voer de serverhost en het poortnummer van de LDAP-directory in. Voor de serverhost kunt u de FQDN of het IP-adres specificeren. Bijvoorbeeld myLDAPserver.example.com of 100.00.00.0.

    Als u een cluster servers achter een load balancer hebt, voert u in plaats daarvan de informatie van de load balancer in.

    LDAP-configuratie Specificeer de zoekfilters en kenmerken van LDAP die VMware Identity Manager kan gebruiken om uw LDAP-directory op te vragen. Standaardwaarden worden verstrekt op basis van het kern-LDAP-schema.

    Filterquery's

    • Groepen: het zoekfilter om groepsobjecten te verkrijgen.

      Bijvoorbeeld: (objectClass=groupOfNames)

    • Bind-gebruiker: het zoekfilter om een Bind-gebruikersobject te verkrijgen, ofwel de gebruiker die zich aan de directory kan binden.

      Bijvoorbeeld: (objectClass=person)

    • Gebruikers: het zoekfilter om gebruikers voor synchronisatie te verkrijgen.

      Bijvoorbeeld:(&(objectClass=user)(objectCategory=person))

    Kenmerken

    • Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory om leden van een groep te definiëren.

      Bijvoorbeeld: lid

    • Object-UUID: het kenmerk dat in uw LDAP-directory wordt gebruikt om de UUID van een gebruiker of groep te definiëren.

      Bijvoorbeeld: entryUUID

    • Distinguished Name: (optioneel) het kenmerk dat in uw LDAP-directory wordt gebruikt voor de kenmerkende naam van een gebruiker of groep.

      Bijvoorbeeld: dn.

      Standaard wordt het kenmerk Distinguished Name gebruikt om gebruikers- en groepsobjecten op unieke wijze te identificeren. Als uw LDAP-schema niet over het kenmerk Distinguished Name beschikt, selecteert u de optie Geavanceerde LDAP-configuratie inschakelen en voert u de waarden in die moeten worden gebruikt om groepen en gebruikers te identificeren.

    • Geavanceerde LDAP-configuratie inschakelen: schakel het selectievakje in om geavanceerde LDAP-configuratieopties weer te geven. Gebruik de geavanceerde configuratie als uw LDAP-schema niet over het kenmerk Distinguished Name beschikt of als het posixGroups gebruikt.
      • Groepsfilter: de waarde die moet worden gebruikt om groepen op te vragen en te identificeren. Deze waarde is vereist als uw LDAP-schema niet over het kenmerk Distinguished Name beschikt.

        Bijvoorbeeld: cn.

      • Gebruikersfilter: de waarde die wordt gebruikt om gebruikers op te vragen en te identificeren. Deze waarde is vereist als uw LDAP-schema niet over het kenmerk Distinguished Name beschikt.

        Bijvoorbeeld: uid

      • Toewijzingsfilter voor gebruikerslidmaatschap: (optioneel) deze optie is doorgaans vereist voor LDAP-directory's die gebruikmaken van posixGroups. Het Toewijzingsfilter voor gebruikerslidmaatschap wordt gebruikt om gebruikers op te vragen en te identificeren die door het lidmaatschapskenmerk worden geretourneerd.

        Bijvoorbeeld: uidNumber

    Certificaten Als uw LDAP-directory toegang via SSL vereist, schakelt u het selectievakje Voor deze directory is vereist dat alle verbindingen SSL gebruiken in en kopieert en plakt u het root-CA-certificaat voor SSL van de LDAP-directoryserver in het tekstvak. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.
    Gegevens van bindingsgebruiker Basis DN: voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld cn=users,dc=example,dc=com
    Bind DN: voer de gebruikersnaam in die wordt gebruikt om aan de LDAP-directory te binden.
    Opmerking: Het gebruik van een Bind DN-gebruikersaccount met een wachtwoord dat niet verloopt, wordt aanbevolen.

    Bind-gebruikerswachtwoord: voer het wachtwoord voor de Bind DN-gebruiker in.

  4. Klik op Verbinding testen om de verbinding met de LDAP-directoryserver te testen.
    Als de verbinding niet is gelukt, controleert u de informatie die u heeft ingevoerd en brengt u passende wijzigingen aan.
  5. Klik op Opslaan en Volgende.
  6. Verifieer op de pagina Domeinen of het juiste domein wordt weergegeven en klik dan op Volgende.
  7. Verifieer op de pagina Kenmerken toewijzen of de VMware Identity Manager-kenmerken zijn toegewezen aan de juiste LDAP-kenmerken.

    Deze kenmerken worden gesynchroniseerd voor gebruikers.

    Belangrijk: U moet een toewijzing specificeren voor het domein-kenmerk.

    U kunt kenmerken toevoegen aan de lijst via de pagina Gebruikerskenmerken.

  8. Klik op Volgende.
  9. Op de groepspagina klikt u op + om de groepen te selecteren die u van de LDAP-directory wilt synchroniseren met de VMware Identity Manager-directory.

    Wanneer groepen worden toegevoegd, worden groepsnamen gesynchroniseerd naar de directory. Gebruikers die lid van de groep zijn, worden pas naar de directory gesynchroniseerd wanneer de groep rechten voor een applicatie heeft of de naam van de groep aan een toegangsbeleidsregel is toegevoegd.

    Als u meerdere groepen hebt met dezelfde naam in uw LDAP-directory, moet u unieke namen ervoor specificeren op de groepspagina.

    De optie Geneste groepsgebruikers synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerd die direct tot de groep behoren die u selecteert en alle gebruikers die tot de geneste groepen eronder behoren. De geneste groepen worden niet gesynchroniseerd, alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd zodra de groep de nodige rechten heeft. In de directory van VMware Identity Manager verschijnen deze gebruikers als leden van de bovenste groep die u heeft geselecteerd om te synchroniseren. Hierdoor wordt de hiërarchie onder een geselecteerde groep platter en worden gebruikers op alle niveaus weergegeven in VMware Identity Manager als leden van de geselecteerde groep.

    Als deze optie is uitgeschakeld, wanneer u een groep specificeert om te synchroniseren, worden alle gebruikers gesynchroniseerd die direct tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze optie is handig voor grote directoryconfiguraties waar het doorkruisen van een groepsstructuur veel middelen en tijd kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.

  10. Klik op Volgende.
  11. Klik op + om gebruikers toe te voegen. Voer bijvoorbeeld CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com in
    Omdat leden in groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd.

    Om gebruikers uit te sluiten, maakt u een filter om sommige typen gebruikers uit te sluiten. U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.

    Klik op Volgende.

  12. Controleer op de pagina hoeveel gebruikers en groepen worden gesynchroniseerd naar de directory en bekijk het standaard synchronisatieschema.

    Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie.

  13. Klik op Directory synchroniseren om de synchronisatie van de directory te starten.

resultaten

De verbinding met de LDAP-directory wordt tot stand gebracht en gebruikers en groepsnamen worden van de LDAP-directory gesynchroniseerd naar de VMware Identity Manager-directory. De Bind DN-gebruiker heeft standaard een beheerdersrol in VMware Identity Manager.