U kunt uw bedrijfsdirectory integreren met VMware Identity Manager om gebruikers en groepen van uw bedrijfsdirectory te synchroniseren met de VMware Identity Manager-service.
De volgende typen directory's worden ondersteund.
- Active Directory via LDAP
- Active Directory, Geïntegreerde Windows-verificatie
- LDAP-directory.
Voorwaarden
- Zie Integratie van directory's met VMware Identity Manager voor vereisten en beperkingen.
- De informatie van uw Active Directory of LDAP-directory.
- Wanneer Active Directory met meerdere forests is geconfigureerd en de lokale domeingroep leden van domeinen in verschillende forests bevat, moet de Bind-DN-gebruiker die op de directorypagina van VMware Identity Manager wordt gebruikt, worden toegevoegd aan de beheerdersgroep van het domein waarin de lokale domeingroep verblijft. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep.
Opmerking: VMware Identity Manager Service moet worden geconfigureerd voor uitvoering als Windows-domeingebruiker om Active Directory met meerdere forests te gebruiken.
- De lijst met de gebruikerskenmerken die u als filters wilt gebruiken en een lijst met de groepen die u wilt toevoegen aan VMware Identity Manager.
Procedure
- Meld u als beheerder aan bij de VMware Identity Manager-console met het wachtwoord dat u heeft ingesteld.
U bent aangemeld als een lokale beheerder. De Directorypagina verschijnt. Zie Integratie van directory's met VMware Identity Manager voor vereisten en beperkingen voordat u een directory toevoegt.
- Klik op de tab Identiteits- en toegangsbeheer.
- Klik op Instellen > Gebruikerskenmerken om de gebruikerskenmerken te selecteren die naar de directory worden gesynchroniseerd.
Standaardkenmerken worden vermeld en u kunt de kenmerken selecteren die zijn vereist. Als een kenmerk als vereist wordt gemarkeerd, worden alleen gebruikers met dat kenmerk naar de service gesynchroniseerd. U kunt ook andere kenmerken toevoegen.Belangrijk: Nadat een directory is gemaakt, kunt u een kenmerk niet wijzigen naar een vereist kenmerk. U moet nu die selectie doen.
De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service. Wanneer u een kenmerk markeert als vereist, moet u het gevolg ervan op de andere directory's overwegen. Als een kenmerk als vereist is gemarkeerd, worden gebruikers zonder dat kenmerk niet op de service gesynchroniseerd.
Belangrijk: Als u XenApp-bronnen wilt synchroniseren met VMware Identity Manager, moet u distinguishedName instellen als een vereist kenmerk. - Klik op Opslaan.
- Klik op de tab Identiteits- en toegangsbeheer.
- Klik op de Directorypagina op Directory toevoegen en selecteer Active Directory via LDAP/IWA toevoegen of LDAP-directory toevoegen op basis van het type directory dat u integreert.
U kunt ook een lokale directory in de service maken. Raadpleeg de Handleiding VMware Identity Manager-beheer voor meer informatie over het gebruik van lokale directory's.
- Voor Active Directory volgt u deze stappen.
- Voer een naam in voor de directory die u in VMware Identity Manager maakt en selecteer het type directory, ofwel Active Directory via LDAP of Active Directory (geïntegreerde Windows-verificatie (IWA)).
- Verstrek de verbindingsinformatie.
Optie Beschrijving Active Directory via LDAP - In het veld Synchronisatieconnector selecteert u de Connector die u wilt gebruiken om gebruikers en groepen van Active Directory te synchroniseren naar de directory van VMware Identity Manager.
Een connectorcomponent is altijd standaard beschikbaar met de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-appliances installeert voor hoge beschikbaarheid, verschijnt de connectorcomponent van elk van die appliances in de lijst.
- In het tekstvak Verificatie selecteert u Ja als u deze Active Directory wilt gebruiken om gebruikers te verifiëren.
Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van de Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de externe identiteitsprovider voor verificatie toe te voegen.
- Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerk dat de username bevat.
- Als de Active Directory de opzoekfunctie DNS Service Location gebruikt, selecteert u het volgende.
- Schakel in de sectie Serverlocatie het selectievakje Deze directory ondersteunt DNS-servicelocatie in.
- Als Active Directory STARTTLS-versleuteling vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het tekstvak SSL-certificaat.
Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.
Opmerking: Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
- Als de Active Directory geen opzoekfunctie van DNS Service Location gebruikt, selecteert u het volgende.
- In de sectie Serverlocatie controleert u of het selectievakje Deze directory ondersteunt DNS-servicelocatie niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in.
Zie het gedeelte 'Active Directory-omgeving met één forest en meerdere domeinen' in 'Active Directory-omgevingen' in Integratie van directory's met VMware Identity Manager als u de directory wilt configureren als algemene catalogus.
- Als de Active Directory toegang via SSL vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van de Active Directory in het tekstvak SSL-certificaat.
Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.
Opmerking: Als de Active Directory SSL vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
- In de sectie Serverlocatie controleert u of het selectievakje Deze directory ondersteunt DNS-servicelocatie niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in.
- In de sectie Wijziging van wachtwoord toestaan selecteert u Wijziging van wachtwoord inschakelen als u wilt dat gebruikers hun wachtwoorden kunnen resetten vanaf de aanmeldingspagina van VMware Identity Manager als het wachtwoord verloopt of als de beheerder van Active Directory het wachtwoord van de gebruiker reset.
- In het tekstvak Basis-DN voert u de DN in vanwaar de accountzoekopdrachten moeten starten. Bijvoorbeeld OU=myUnit,DC=myCorp,DC=com.
- In het tekstvak Bind-DN voert u het account in dat naar gebruikers kan zoeken. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com.
Opmerking: Het gebruik van een Bind DN-gebruikersaccount met een wachtwoord dat niet verloopt, wordt aanbevolen.
- Nadat u het bindingswachtwoord hebt ingevoerd, klikt u op Verbinding testen om te controleren of de directory verbinding kan maken met uw Active Directory.
Active Directory (geïntegreerde Windows-verificatie) - In het veld Synchronisatieconnector selecteert u de Connector die u wilt gebruiken om gebruikers en groepen van Active Directory te synchroniseren naar de directory van VMware Identity Manager.
Een connectorcomponent is altijd standaard beschikbaar met de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-appliances installeert voor hoge beschikbaarheid, verschijnt de connectorcomponent van elk van die appliances in de lijst.
- In het tekstvak Verificatie klikt u op Ja wanneer u deze Active Directory wilt gebruiken voor het verifiëren van gebruikers.
Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van de Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de externe identiteitsprovider voor verificatie toe te voegen.
- Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerk dat de username bevat.
- Als Active Directory STARTTLS-versleuteling vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het tekstvak SSL-certificaat.
Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.
Als de directory meerdere domeinen heeft, voegt u één voor één het basis CA-certificaat voor alle domeinen toe.
Opmerking: Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. - In de sectie Wijziging van wachtwoord toestaan selecteert u Wijziging van wachtwoord inschakelen als u wilt dat gebruikers hun wachtwoorden kunnen resetten vanaf de aanmeldingspagina van VMware Identity Manager als het wachtwoord verloopt of als de beheerder van Active Directory het wachtwoord van de gebruiker reset.
- In het veld Gebruikers-UPN Bind voert u de User Principal Name (UPN) van de gebruiker in die met het domein kan worden geverifieerd. Bijvoorbeeld [email protected].
Opmerking: Het gebruik van een Bind DN-gebruikersaccount met een wachtwoord dat niet verloopt, wordt aanbevolen.
- Voer het wachtwoord van de Bind DN-gebruiker in.
- In het veld Synchronisatieconnector selecteert u de Connector die u wilt gebruiken om gebruikers en groepen van Active Directory te synchroniseren naar de directory van VMware Identity Manager.
- Klik op Opslaan en Volgende.
De pagina met de lijst domeinen verschijnt.
- Voor LDAP-directory's volgt u deze stappen.
- Verstrek de verbindingsinformatie.
Optie Beschrijving Directorynaam Een naam voor de directory die u in VMware Identity Manager maakt. Directory synchroniseren en verificatie - In het tekstvak Synchronisatieconnector selecteert u de connector die u wilt gebruiken om gebruikers en groepen van uw LDAP-directory te synchroniseren naar de VMware Identity Manager-directory.
Een connectorcomponent is altijd standaard beschikbaar met de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-appliances installeert voor hoge beschikbaarheid, verschijnt de connectorcomponent van elk van die appliances in de lijst.
U heeft geen afzonderlijke connector nodig voor een LDAP-directory. Een connector kan meerdere directory's ondersteunen, ongeacht of het directory's zijn van Active Directory of LDAP.
- In het tekstvak Verificatie selecteert u Ja als u deze LDAP-directory wilt gebruiken om gebruikers te verifiëren.
Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, selecteert u Nee. Nadat u de directoryverbinding hebt toegevoegd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de identiteitsprovider voor verificatie toe te voegen.
- In het tekstvak Zoekkenmerk directory geeft u het LDAP-directorykenmerk op dat voor de gebruikersnaam moet worden gebruikt. Als het kenmerk niet wordt vermeld, selecteert u Aangepast en voert u de kenmerknaam in. Bijvoorbeeld cn.
Serverlocatie Voer de serverhost en het poortnummer van de LDAP-directory in. Voor de serverhost kunt u de FQDN of het IP-adres specificeren. Bijvoorbeeld myLDAPserver.example.com of 100.00.00.0. Als u een cluster servers achter een load balancer hebt, voert u in plaats daarvan de informatie van de load balancer in.
LDAP-configuratie Specificeer de zoekfilters en kenmerken van LDAP die VMware Identity Manager kan gebruiken om uw LDAP-directory op te vragen. Standaardwaarden worden verstrekt op basis van het kern-LDAP-schema. LDAP-vragen
- Groepen ophalen: het zoekfilter om groepsobjecten te verkrijgen.
Bijvoorbeeld: (objectClass=group)
- Bindingsgebruiker ophalen: het zoekfilter om een bindingsgebruikerobject te verkrijgen, ofwel de gebruiker die zich aan de directory kan binden.
Bijvoorbeeld: (objectClass=person)
- Gebruiker ophalen: het zoekfilter om gebruikers te verkrijgen om te synchroniseren.
Bijvoorbeeld:(&(objectClass=user)(objectCategory=person))
Kenmerken
- Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory om leden van een groep te definiëren.
Bijvoorbeeld: lid
- Object-UUID: het kenmerk dat wordt gebruikt in uw LDAP-directory om de UUID van een gebruiker of groep te definiëren.
Bijvoorbeeld: entryUUID
- Distinguished Name: het kenmerk dat wordt gebruikt in uw LDAP-directory voor de kenmerkende naam van een gebruiker of groep.
Bijvoorbeeld: entryDN
Certificaten Als uw LDAP-directory toegang over SSL vereist, selecteert u Deze directory vereist dat alle verbindingen SSL gebruiken en kopieert en plakt u het basis CA-SSL-certificaat van de LDAP-directoryserver. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op. Gegevens van bindingsgebruiker Basis DN: voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld cn=users,dc=example,dc=com Bind DN: voer de gebruikersnaam in die wordt gebruikt om aan de LDAP-directory te binden.Opmerking: Het gebruik van een Bind DN-gebruikersaccount met een wachtwoord dat niet verloopt, wordt aanbevolen.Wachtwoord Bind-DN: voer het wachtwoord in voor de Bind DN-gebruiker.
- In het tekstvak Synchronisatieconnector selecteert u de connector die u wilt gebruiken om gebruikers en groepen van uw LDAP-directory te synchroniseren naar de VMware Identity Manager-directory.
- Klik op Verbinding testen om de verbinding met de LDAP-directoryserver te testen.
Als de verbinding niet is gelukt, controleert u de informatie die u heeft ingevoerd en brengt u passende wijzigingen aan.
- Klik op Opslaan en Volgende.
De pagina die het domein vermeldt, verschijnt.
- Verstrek de verbindingsinformatie.
- Voor een LDAP-directory wordt het domein vermeld. Dit kan niet worden aangepast.
Voor een Active Directory via LDAP worden de domeinen vermeld en kunnen deze niet worden aangepast.
Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding.
Opmerking: Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de service niet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor de service wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen. Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijst weergegeven.Klik op Volgende.
- Controleer of de kenmerknamen van VMware Identity Manager zijn toegewezen aan de juiste kenmerken van Active Directory of LDAP en breng zo nodig wijzigingen aan.
Belangrijk: Als u een LDAP-directory integreert, moet u een toewijzing voor het domeinkenmerk specificeren.
- Klik op Volgende.
- Selecteer de groepen die u vanaf uw Active Directory of LDAP-directory wilt synchroniseren naar de VMware Identity Manager-directory.
Optie Beschrijving Geef de DN's van de groep op Als u groepen wilt selecteren, kunt u een of meer groeps-DN's opgeven en de onderliggende groepen selecteren. - Klik op + en geef de groeps-DN op. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com.
Belangrijk: Geef de groeps-DN's op onder de basis-DN die u heeft ingevoerd. Als een groeps-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
- Klik op Groepen zoeken.
De kolom Te synchroniseren groepen bevat het aantal groepen dat is gevonden in de DN.
- Als u alle groepen in de DN wilt selecteren, klikt u op Alles selecteren. Of klik op Selecteren en selecteer de specifieke groepen die u wilt synchroniseren.
Opmerking: Wanneer uw LDAP-directory meerdere groepen met dezelfde naam bevat, moet u voor deze groepen unieke namen opgeven in de VMware Identity Manager-service. U kunt de naam wijzigen wanneer u de groep selecteert.
Opmerking: Wanneer u een groep synchroniseert, worden gebruikers die geen Domeingebruikers als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.Geneste groepsleden synchroniseren De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerd die direct tot de groep behoren die u selecteert en alle gebruikers die tot de geneste groepen eronder behoren. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de VMware Identity Manager-directory zijn deze gebruikers leden van de bovenliggende groep die u heeft geselecteerd om te synchroniseren.
Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer u een groep opgeeft om te synchroniseren, worden alle gebruikers gesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze functie is handig voor grote Active Directory-configuraties waarbij het doorkruisen van een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.
- Klik op + en geef de groeps-DN op. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com.
- Klik op Volgende.
- Geef zo nodig extra gebruikers op om te synchroniseren.
- Klik op + en voer de gebruikers-DN's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com.
Belangrijk: Geef de gebruikers-DN's op onder de basis-DN die u heeft ingevoerd. Als een gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
- (Optioneel) Als u gebruikers wilt uitsluiten, maakt u een filter om sommige gebruikerstypen uit te sluiten.
U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.
- Klik op + en voer de gebruikers-DN's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com.
- Klik op Volgende.
- Neem de pagina door om te zien hoeveel gebruikers en groepen naar de directory worden gesynchroniseerd en om het synchronisatieschema te bekijken.
Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie.
- Klik op Directory synchroniseren om de synchronisatie van de directory te starten.
resultaten
Volgende stappen
Voor informatie over het instellen van een load balancer of een configuratie met hoge beschikbaarheid, raadpleegt u De machine met de VMware Identity Manager achter een load balancer implementeren.
U kunt de catalogus met bronnen aanpassen voor de applicaties van uw organisatie en gebruikerstoegang inschakelen tot deze bronnen. U kunt ook andere bronnen instellen, waaronder View, ThinApp en op Citrix gebaseerde applicaties. Zie Bronnen instellen in VMware Identity Manager