U kunt dit directorytype maken als u verbinding wilt maken met één Active Directory-domeinomgeving. Voor het directorytype Active Directory via LDAP verbindt de connector met de Active Directory met behulp van eenvoudige bindingsauthenticatie.
Voorwaarden
- Vermeld de Active Directory-groepen en -gebruikers voor synchronisatie vanuit Active Directory.
- Controleer of u de vereiste standaardkenmerken heeft opgegeven en voeg extra kenmerken toe aan de Gebruikerskenmerken-definitie.
- Controleer of u over de vereiste inloggegevens voor gebruikers beschikt om een directory toe te voegen.
Procedure
- Klik op Identiteits- en tenantbeheer op het dashboard Mijn services.
- Ga naar het tabblad Directorybeheer en klik op Directory's.
- Klik op Directory toevoegen en selecteer Active Directory via LDAP toevoegen.
- Op het tabblad Directorygegevens:
Velden Beschrijving Directory-informatie Voer een geldige directorynaam in. Directorysynchronisatie en -verificatie Selecteer de connector die u wilt synchroniseren met Active Directory. Connector is een VMware Identity Manager-serviceonderdeel dat gebruikers- en groepsgegevens synchroniseert tussen Active Directory en de VMware Identity Manager-service. Als deze wordt gebruikt als aanbieder van identiteitsbeheer, worden gebruikers ook geverifieerd. Elk VMware Identity Manager-applianceknooppunt bevat een standaardconnectoronderdeel. Indien vereist kan een speciale connector ook worden geïmplementeerd via een globale omgeving voor uitschalen.
Verificatie ingeschakeld Als u wilt dat de connector verificatie uitvoert, selecteer dan Ja. U kunt aangeven of de geselecteerde connector ook voor verificatie moet worden gebruikt. Als u een externe aanbieder van identiteitsbeheer gebruikt om gebruikers te verifiëren, selecteer dan Nee.
Zoekkenmerken directory Selecteer een accountkenmerk in het vervolgkeuzemenu dat een gebruikersnaam bevat. Serverlocatie Schakel het selectievakje Directory ondersteunt DNS-servicelocatie in. - Als de Active Directory toegang via SSL/TLS vereist, schakel dan het selectievakje Directory vereist dat alle verbindingen STARTTLS of SSL gebruiken in in het gedeelte Certificaten en kopieer en plak de tussenliggende domeincontrollers (indien gebruikt) en Root CA-certificaten in het tekstvak SSL-certificaat . Voer eerst het tussenliggende CA-certificaat in en vervolgens het Root CA-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels BEGIN CERTIFICAAT en EINDE CERTIFICAAT erin zijn opgenomen. Als de domeincontrollers certificaten hebben van meerdere Tussenliggende en Root-certificaatautoriteiten, voert u alle Tussenliggende-Root CA-certificaatketens een voor een in. Als de Active Directory toegang via SSL/TLS vereist en u verstrekt de certificaten niet, kunt u de directory niet maken.
- Als u DNS-servicelocatie niet wilt gebruiken, controleer dan of het selectievakje Directory ondersteunt DNS-servicelocatie niet is ingeschakeld en voer de hostnaam en het poortnummer van de Active Directory-server in.
Certificaten Als de Active Directory toegang via SSL/TLS vereist, schakel dan het selectievakje Directory vereist dat alle verbindingen SSL gebruiken in in het gedeelte Certificaten en kopieer en plak de tussenliggende domeincontrollers (indien gebruikt) en Root CA-certificaten in het tekstvak SSL-certificaat. Voer eerst het Tussenliggende CA-certificaat in en vervolgens het Root CA-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels BEGIN CERTIFICAAT en EINDE certificaat erin zijn opgenomen. Als de Active Directory toegang via SSL/TLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
Bind-gebruikersdetails - Basis-DN: Voer de DN in om accountzoekopdrachten te starten. Bijvoorbeeld OU=myUnit,DC=myCorp, DC=com. De Basis-DN wordt gebruikt voor verificatie. Alleen gebruikers onder de Basis-DN kunnen verifiëren. Zorg ervoor dat de groeps-DN's en gebruikers-DN's die u later opgeeft voor synchronisatie, onder deze Basis-DN staan.
- Bind-gebruikers-DN - Voer de accountgegevens in. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp, DC=com. Gebruik een Bind-gebruikersaccount met een wachtwoord dat niet verloopt.
- Bind-wachtwoord: Klik op Verbinding testen om te controleren of de directory verbinding kan maken met de Active Directory.
- Klik op Maken en volgende.
Voor Active Directory via LDAP worden de domeinen met een vinkje weergegeven.
- Selecteer op het tabblad Domeinselectiedetails het domein en klik op Volgende.
- Als u het directorykenmerk wilt toewijzen aan de Active Directory, selecteer dan op het tabblad Kenmerk toewijzen het vereiste kenmerk en klik op Opslaan en Volgende.
- Geef op het tabblad Groepsselectie de groeps-DN-gegevens op en klik op Volgende als u wilt synchroniseren van Active Directory naar de VMware Identity Manager-directory.
U kunt ook alle Active Directory-groepen selecteren die al beschikbaar zijn in de lijst om te synchroniseren met de directory.
- Als u groepen wilt selecteren, klikt u op Groeps-DN-naam toevoegen en geeft u een of meer groeps-DN's op. Selecteer de onderliggende groepen. Geef groeps-DN's op die onder de Basis-DN staan die u heeft ingevoerd in het tekstvak Basis-DN op de pagina Directory toevoegen. Als een groeps-DN buiten de Basis-DN valt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
- Klik op Groepen zoeken. De kolom Acties vermeldt het aantal groepen dat is gevonden in de DN. Als u alle groepen in de DN wilt selecteren, klik dan op Selecteer alle of klik op het nummer en selecteer de specifieke groepen die u wilt synchroniseren. Wanneer u een groep synchroniseert, worden gebruikers die Domeingebruikers niet als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.
- Selecteer de optie Synchroniseer geneste groepsleden.
- Voer op het tabblad Selectie gebruiker de gegevens van de gebruikers-DN in en klik op Volgende.
Suitebeheerders is een gebruikersnaam in de Active Directory die fungeert als een Beheerder-gebruiker voor de geïmplementeerde suiteproducten, logboeken en AD-tabel.
- Selecteer de optie Synchroniseer geneste groepsleden en voer de Suitebeheerders in.
Wanneer deze optie is ingeschakeld, worden alle gebruikers die direct tot de door u geselecteerde groep behoren alsmede alle gebruikers die tot de geneste groepen eronder behoren, gesynchroniseerd zodra de groep bevoegd is. Geneste groepen worden niet gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de VMware Identity Manager-directory zijn deze gebruikers lid van de bovenliggende groep die u heeft geselecteerd voor synchronisatie. Als de optie ‘Synchronisatie geneste groepsleden’ is uitgeschakeld wanneer u een groep specificeert om te synchroniseren, worden alle gebruikers die direct tot die groep behoren, gesynchroniseerd. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze optie is handig voor grote Active Directory-configuraties waar het doorlopen van een groepsstructuur veel resources en tijd kost. Als u deze optie uitschakelt, zorg er dan voor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.
- Klik op Opslaan en volgende. Klik op de pagina Gebruikersselectie op Gebruiker toevoegen en geef de gebruikers-DN's op die u wilt synchroniseren. Geef gebruikers-DN's op onder de Basis-DN die u heeft ingevoerd in het tekstvak Basis-DN op de pagina Directory toevoegen. Als een gebruikers-DN buiten de Basis-DN valt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden. Klik op Opslaan en volgende.
- Controleer het tabblad Testcontrole, lees de samenvatting en klik op Synchroniseren en voltooien om de synchronisatie met de directory te starten. De verbinding met Active Directory wordt tot stand gebracht en gebruikers en groepsnamen worden vanuit Active Directory gesynchroniseerd met de VMware Identity Manager-directory.
- Klik op Verzenden.
- Om te bewerken klikt u op het pictogram Bewerken in de specifieke Active Directory in de lijst met actieve directory's. Alle toegevoegde informatie wordt toegevoegd aan de configuratie op VMware Identity Manager. Elke verwijdering als gevolg van bewerken verwijdert alleen de configuratie uit de vRealize Suite Lifecycle Manager-inventaris en niet uit de VMware Identity Manager.
- Om te verwijderen klikt u op het pictogram Verwijderen in de specifieke Active Directory in de lijst met actieve directory's. Met de verwijderactie wordt de Active Directory alleen uit de vRealize Suite Lifecycle Manager-inventaris verwijderd en niet uit VMware Identity Manager.