Nadat de instantie van VMware Identity Manager is geïmplementeerd, gebruikt u de wizard Instellen om wachtwoorden in te stellen en een database te selecteren. Vervolgens stelt u de verbinding in naar uw Active Directory of LDAP-directory.

Zorg ervoor dat u de installatiewizard met de volledig gekwalificeerde hostnaam uitvoert. Voer het IP-adres niet als naam in.

Voorwaarden

  • De VMware Identity Manager-machine wordt ingeschakeld.
  • De externe database wordt geconfigureerd en de verbindingsinformatie van de externe database is beschikbaar. Voordat u de installatiewizard uitvoert, controleert u of de configuratie van de database correct is. Zie De database van VMware Identity Manager Service maken voor informatie.
  • Raadpleeg Integratie van directory's met VMware Identity Manager voor vereisten en beperkingen voordat u de directory instelt.
  • U heeft de informatie van uw Active Directory of LDAP-directory.
  • Wanneer multi-forest Active Directory is geconfigureerd en de lokale domeingroep bevat leden van domeinen in verschillende forests, moet de Bind DN-gebruiker die op de Directorypagina van VMware Identity Manager wordt gebruikt, worden toegevoegd aan de beheerdersgroep van het domein waarin de lokale domeingroep verblijft. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep.
  • U heeft een lijst met de gebruikerskenmerken die u als filters wilt gebruiken en een lijst met de groepen die u aan VMware Identity Manager wilt toevoegen.

    Groepsnamen worden onmiddellijk gesynchroniseerd naar de directory. Leden van een groep worden niet gesynchroniseerd tot de groep rechten heeft voor bronnen of is toegevoegd aan een beleidsregel. Gebruikers die zich moeten verifiëren voordat groepsrechten worden geconfigureerd, moeten rechtstreeks worden toegevoegd tijdens de oorspronkelijke configuratie.

Procedure

  1. Ga naar de VMware Identity Manager-URL die wordt weergegeven wanneer u de installatie hebt voltooid. Voer de volledig gekwalificeerde domeinnaam (FQDN) in. Bijvoorbeeld https://hostname.example.com.
  2. Accepteer het certificaat, indien hierom wordt gevraagd.
    U kunt het certificaat bijwerken na de initiële configuratie.
  3. Klik op de pagina Aan de slag op Doorgaan.
  4. Op de pagina Wachtwoorden instellen, stelt u wachtwoorden in voor de volgende beheerdersaccounts, die worden gebruikt om de appliance te beheren. Klik vervolgens op Doorgaan.
    Account
    Appliancebeheerder Stel het wachtwoord in voor de beheerdersgebruiker. Deze gebruikersnaam kan niet worden gewijzigd. Het account van de beheerdersgebruiker wordt gebruikt om de appliance-instellingen te beheren.
    Belangrijk: Het wachtwoord voor de beheerdersgebruiker moet minstens zes tekens lang zijn.
    Rootgebruiker van appliance Stel het wachtwoord van de hoofdgebruiker in. De rootgebruiker heeft volledige rechten op de appliance.
    Gebruiker op afstand Stel het wachtwoord van de sshuser in, dat wordt gebruikt om u op afstand aan te melden op de appliance met een SSH-verbinding.
  5. Op de pagina Database selecteren selecteert u de database die moet worden gebruikt.
    • Als u een externe database gebruikt, selecteert u Externe database en voert u de verbindingsinformatie in van de externe database, de gebruikersnaam en het wachtwoord. Om te controleren of VMware Identity Manager verbinding kan maken met de database, klikt u op Verbinding testen.

      Nadat u de verbinding hebt gecontroleerd, klikt u op Doorgaan.

    • Als u de interne database gebruikt, klikt u op Doorgaan.
      Opmerking: Het gebruik van de interne database wordt afgeraden bij productie-implementaties.
    De verbinding met de database wordt geconfigureerd en de database wordt opgestart. Wanneer het proces is voltooid, verschijnt de pagina Instellen is voltooid.
  6. Klik op de koppeling Meld u aan bij de beheerdersconsole op de pagina Het instellen is voltooid om u bij de VMware Identity Manager-console aan te melden en de verbinding met de Active Directory of de LDAP-directory in te stellen.
  7. Meld u als beheerder aan bij de VMware Identity Manager-console met het wachtwoord dat u heeft ingesteld.
    U wordt aangemeld als lokale beheerder en de pagina Directory's wordt geopend. Zie Integratie van directory's met VMware Identity Manager voor vereisten en beperkingen voordat u een directory toevoegt.
  8. Klik op het tabblad Identiteits- en toegangsbeheer.
  9. Klik op Instellen > Gebruikerskenmerken om de gebruikerskenmerken te selecteren die naar de directory worden gesynchroniseerd.
    Standaardkenmerken worden vermeld en u kunt de kenmerken selecteren die zijn vereist. Als een kenmerk als vereist wordt gemarkeerd, worden alleen gebruikers met dat kenmerk naar de service gesynchroniseerd. U kunt ook andere kenmerken toevoegen.
    Belangrijk: Nadat een directory is gemaakt, kunt u een kenmerk niet wijzigen naar een vereist kenmerk. U moet nu die selectie doen.

    Wees u er ook van bewust dat de instellingen op de pagina Gebruikerskenmerken van toepassing zijn op alle directory's in de service. Wanneer u een kenmerk markeert als vereist, moet u het gevolg ervan op de andere directory's overwegen. Als een kenmerk als vereist is gemarkeerd, worden gebruikers zonder dat kenmerk niet op de service gesynchroniseerd.

  10. Klik op Opslaan.
  11. Klik op het tabblad Identiteits- en toegangsbeheer.
  12. Klik op de Directorypagina op Directory toevoegen en selecteer Active Directory via LDAP/IWA toevoegen of LDAP-directory toevoegen op basis van het type directory dat u integreert.
    U kunt ook een lokale directory in de service maken. Zie #GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665 voor meer informatie over het gebruik van lokale directory's.
  13. Voor Active Directory volgt u deze stappen.
    1. Voer een naam in voor de directory die u in VMware Identity Manager maakt en selecteer het type directory, ofwel Active Directory via LDAP of Active Directory (geïntegreerde Windows-verificatie (IWA)).
    2. Verstrek de verbindingsinformatie.
      Optie Beschrijving
      Active Directory via LDAP
      1. In het veld Synchronisatieconnector selecteert u de Connector die u wilt gebruiken om gebruikers en groepen van Active Directory te synchroniseren naar de directory van VMware Identity Manager.

        Een connectorcomponent is altijd standaard beschikbaar met de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-appliances installeert voor hoge beschikbaarheid, verschijnt de connectorcomponent van elk van die appliances in de lijst.

      2. In het veld Verificatie selecteert u Ja als u deze Active Directory wilt gebruiken om gebruikers te verifiëren.

        Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van de Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de externe identiteitsprovider voor verificatie toe te voegen.

      3. In het veld Zoekkenmerk directory selecteert u het accountkenmerk dat de gebruikersnaam bevat.
      4. Als de Active Directory de opzoekfunctie DNS Service Location gebruikt, selecteert u het volgende.
        • In de sectie Server Location schakelt u het selectievakje Deze directory ondersteunt DNS Service Location in.
        • Als Active Directory de versleuteling STARTTLS vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat.

          Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.

          Opmerking: Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
      5. Als de Active Directory geen opzoekfunctie van DNS Service Location gebruikt, selecteert u het volgende.
        • In de sectie Server Location controleert u of het selectievakje Deze directory ondersteunt DNS Service Location niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in.

          Zie het gedeelte 'Active Directory-omgeving met één forest en meerdere domeinen' in 'Active Directory-omgevingen' in Integratie van directory's met VMware Identity Manager als u de directory wilt configureren als algemene catalogus.

        • Als de Active Directory toegang over SSL vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat.

          Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.

          Opmerking: Als de Active Directory SSL vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
      6. In de sectie Wijziging van wachtwoord toestaan selecteert u Wijziging van wachtwoord inschakelen als u wilt dat gebruikers hun wachtwoorden kunnen resetten vanaf de aanmeldingspagina van VMware Identity Manager als het wachtwoord verloopt of als de beheerder van Active Directory het wachtwoord van de gebruiker reset.
      7. In het veld Base DN voert u de DN in vanwaar de accountzoekopdrachten moeten starten. Bijvoorbeeld OU=myUnit,DC=myCorp,DC=com.
      8. In het veld Bind DN voert u het account in dat naar gebruikers kan zoeken. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com.
        Opmerking: Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.
      9. Nadat u het bindingswachtwoord hebt ingevoerd, klikt u op Verbinding testen om te controleren of de directory verbinding kan maken met uw Active Directory.
      Active Directory (geïntegreerde Windows-verificatie)
      1. In het veld Synchronisatieconnector selecteert u de Connector die u wilt gebruiken om gebruikers en groepen van Active Directory te synchroniseren naar de directory van VMware Identity Manager.

        Een connectorcomponent is altijd standaard beschikbaar met de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-appliances installeert voor hoge beschikbaarheid, verschijnt de connectorcomponent van elk van die appliances in de lijst.

      2. Als u deze Active Directory wilt gebruiken om gebruikers te verifiëren, klikt u in het veld Verificatie op Ja.

        Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van de Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de externe identiteitsprovider voor verificatie toe te voegen.

      3. In het veld Zoekkenmerk directory selecteert u het accountkenmerk dat de gebruikersnaam bevat.
      4. Als de Active Directory de versleuteling STARTTLS vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat.

        Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.

        Als de directory meerdere domeinen heeft, voegt u één voor één het basis CA-certificaat voor alle domeinen toe.

        Opmerking: Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
      5. Voer de naam in van het Active Directory-domein dat wordt toegevoegd. Voer een gebruikersnaam en wachtwoord in dat de rechten heeft om het domein toe te voegen. Zie 'Vereiste rechten voor het toevoegen aan een domein' in Integratie van directory's met VMware Identity Manager voor meer informatie.
      6. In de sectie Wijziging van wachtwoord toestaan selecteert u Wijziging van wachtwoord inschakelen als u wilt dat gebruikers hun wachtwoorden kunnen resetten vanaf de aanmeldingspagina van VMware Identity Manager als het wachtwoord verloopt of als de beheerder van Active Directory het wachtwoord van de gebruiker reset.
      7. Voer in de sectie Gebruikersdetails Bind de gebruikersnaam en het wachtwoord in van de Bind-gebruiker die is gemachtigd om gebruikers en groepen voor de vereiste domeinen op te vragen. Voor de gebruikersnaam voert u de SAM-accountnaam, bijvoorbeeld jjansen in. Als het domein van de Bind-gebruiker verschilt van het domein voor toevoeging dat eerder is ingevoerd, voert u de gebruikersnaam in als SAMaccountnaam@domein, waarbij domein de volledig gekwalificeerde domeinnaam is. Bijvoorbeeld: [email protected].
        Opmerking: U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt.
    3. Klik op Opslaan en Volgende.
      De pagina met de lijst domeinen verschijnt.
  14. Voor LDAP-directory's volgt u deze stappen.
    1. Verstrek de verbindingsinformatie.
      Optie Beschrijving
      Directorynaam Een naam voor de directory die u in VMware Identity Manager maakt.
      Directory synchroniseren en verificatie
      1. In het veld Synchronisatieconnector selecteert u de connector die u wilt gebruiken om gebruikers en groepen te synchroniseren van uw LDAP-directory naar de directory van VMware Identity Manager.

        Een connectorcomponent is altijd standaard beschikbaar met de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-appliances installeert voor hoge beschikbaarheid, verschijnt de connectorcomponent van elk van die appliances in de lijst.

        U heeft geen afzonderlijke connector nodig voor een LDAP-directory. Een connector kan meerdere directory's ondersteunen, ongeacht of het directory's zijn van Active Directory of LDAP.

      2. In het veld Verificatie selecteert u Ja als u deze LDAP-directory wilt gebruiken om gebruikers te verifiëren.

        Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, selecteert u Nee. Nadat u de directoryverbinding hebt toegevoegd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de identiteitsprovider voor verificatie toe te voegen.

      3. In het veld Zoekkenmerk directory specificeert u het LDAP-directorykenmerk dat voor de gebruikersnaam wordt gebruikt. Als het kenmerk niet wordt vermeld, selecteert u Aangepast en typt u de kenmerknaam. Bijvoorbeeld cn.
      Serverlocatie Voer de serverhost en het poortnummer van de LDAP-directory in. Voor de serverhost kunt u de FQDN of het IP-adres specificeren. Bijvoorbeeld myLDAPserver.example.com of 100.00.00.0.

      Als u een cluster servers achter een load-balancer hebt, voert u in plaats daarvan de informatie van de load-balancer in.

      LDAP-configuratie Specificeer de zoekfilters en kenmerken van LDAP die VMware Identity Manager kan gebruiken om uw LDAP-directory op te vragen. Standaardwaarden worden verstrekt op basis van het kern-LDAP-schema.

      LDAP-vragen

      • Groepen ophalen: het zoekfilter om groepsobjecten te verkrijgen.

        Bijvoorbeeld: (objectClass=group)

      • Bindingsgebruiker ophalen: het zoekfilter om een bindingsgebruikerobject te verkrijgen, ofwel de gebruiker die zich aan de directory kan binden.

        Bijvoorbeeld: (objectClass=person)

      • Gebruiker ophalen: het zoekfilter om gebruikers te verkrijgen om te synchroniseren.

        Bijvoorbeeld:(&(objectClass=user)(objectCategory=person))

      Kenmerken

      • Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory om leden van een groep te definiëren.

        Bijvoorbeeld: lid

      • Object-UUID: het kenmerk dat wordt gebruikt in uw LDAP-directory om de UUID van een gebruiker of groep te definiëren.

        Bijvoorbeeld: entryUUID

      • Distinguished Name: het kenmerk dat wordt gebruikt in uw LDAP-directory voor de kenmerkende naam van een gebruiker of groep.

        Bijvoorbeeld: entryDN

      Certificaten Als uw LDAP-directory toegang over SSL vereist, selecteert u Deze directory vereist dat alle verbindingen SSL gebruiken en kopieert en plakt u het basis CA-SSL-certificaat van de LDAP-directoryserver. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.
      Gegevens van bindingsgebruiker Basis DN: voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld cn=users,dc=example,dc=com.
      Bind DN: voer de gebruikersnaam in die wordt gebruikt om aan de LDAP-directory te binden.
      Opmerking: Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen.

      Wachtwoord Bind-DN: voer het wachtwoord in voor de Bind DN-gebruiker.

    2. Klik op Verbinding testen om de verbinding met de LDAP-directoryserver te testen.
      Als de verbinding niet is gelukt, controleert u de informatie die u heeft ingevoerd en brengt u passende wijzigingen aan.
    3. Klik op Opslaan en Volgende.
      De pagina die het domein vermeldt, verschijnt.
  15. Voor een LDAP-directory wordt het domein vermeld. Dit kan niet worden aangepast.
    Voor een Active Directory via LDAP worden de domeinen vermeld en kunnen deze niet worden aangepast.

    Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding.

    Opmerking: Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de service niet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor de service wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen. Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijst weergegeven.

    Klik op Volgende.

  16. Controleer of de kenmerknamen van VMware Identity Manager zijn toegewezen aan de juiste kenmerken van Active Directory of LDAP en breng zo nodig wijzigingen aan.
    Belangrijk: Als u een LDAP-directory integreert, moet u een toewijzing voor het domeinkenmerk specificeren.
  17. Klik op Volgende.
  18. Selecteer de groepen die u vanaf uw Active Directory of LDAP-directory wilt synchroniseren naar de VMware Identity Manager-directory.
    Optie Beschrijving
    Geef de DN's van de groep op Als u groepen wilt selecteren, kunt u een of meer groeps-DN's opgeven en de onderliggende groepen selecteren.
    1. Klik op + en geef de groeps-DN op. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com.
      Belangrijk: Geef de groeps-DN's op onder de basis-DN die u heeft ingevoerd. Als een groeps-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
    2. Klik op Groepen zoeken.

      De kolom Te synchroniseren groepen bevat het aantal groepen dat is gevonden in de DN.

    3. Als u alle groepen in de DN wilt selecteren, klikt u op Alles selecteren. Of klik op Selecteren en selecteer de specifieke groepen die u wilt synchroniseren.
      Opmerking: Wanneer uw LDAP-directory meerdere groepen met dezelfde naam bevat, moet u voor deze groepen unieke namen opgeven in de VMware Identity Manager-service. U kunt de naam wijzigen wanneer u de groep selecteert.
    Opmerking: Wanneer u een groep synchroniseert, worden gebruikers die geen Domeingebruikers als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.
    Geneste groepsleden synchroniseren

    De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerd die direct tot de groep behoren die u selecteert en alle gebruikers die tot de geneste groepen eronder behoren. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de VMware Identity Manager-directory zijn deze gebruikers leden van de bovenliggende groep die u heeft geselecteerd om te synchroniseren.

    Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer u een groep opgeeft om te synchroniseren, worden alle gebruikers gesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze functie is handig voor grote Active Directory-configuraties waarbij het doorkruisen van een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.

  19. Klik op Volgende.
  20. Geef zo nodig extra gebruikers op om te synchroniseren.
    Omdat leden van groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd.
    1. Klik op + en voer de gebruikers-DN's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com.
      Belangrijk: Geef de gebruikers-DN's op onder de basis-DN die u heeft ingevoerd. Als een gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
    2. (Optioneel) Als u gebruikers wilt uitsluiten, maakt u een filter om sommige gebruikerstypen uit te sluiten.
      U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.
  21. Klik op Volgende.
  22. Neem de pagina door om te zien hoeveel gebruikers en groepen naar de directory worden gesynchroniseerd en om het synchronisatieschema te bekijken.

    Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie.

  23. Klik op Directory synchroniseren om de synchronisatie van de directory te starten.

resultaten

Opmerking: Als zich een netwerkfout voordoet en de hostnaam kan niet uniek worden opgelost met behulp van reverse DNS, dan stopt het configuratieproces. U moet de netwerkproblemen verhelpen en de virtual appliance opnieuw opstarten. Vervolgens kunt u doorgaan met het implementatieproces. De nieuwe netwerkinstellingen zijn niet beschikbaar totdat u de virtual appliance opnieuw hebt opgestart.

Volgende stappen

Voor informatie over het instellen van een load-balancer of een configuratie met hoge beschikbaarheid, raadpleegt u Geavanceerde configuratie voor de VMware Identity Manager-appliance.