U kunt dit directorytype maken als u verbinding wilt maken met een multidomein-Active Directory-omgeving. De connector verbindt met Active Directory met behulp van geïntegreerde Windows-verificatie.
Voorwaarden
Controleer of u over de vereiste inloggegevens voor gebruikers beschikt om een directory toe te voegen.
Procedure
- Klik op Identiteits- en tenantbeheer op het dashboard Mijn services.
- Ga naar het tabblad Directorybeheer en klik op Directory's.
- Klik op +Directory toevoegen en klik op Active Directory via IWA toevoegen.
- Op het tabblad Directorygegevens:
Velden Beschrijving Directory-informatie Voer een geldige directorynaam in. Directorysynchronisatie en -verificatie Selecteer de connector die u wilt synchroniseren met Active Directory. Connector is een VMware Identity Manager-serviceonderdeel dat gebruikers- en groepsgegevens synchroniseert tussen Active Directory en VMware Identity Manager-service. Dit verifieert gebruikers. Elk VMware Identity Manager-applianceknooppunt bevat een standaardconnectoronderdeel. Indien nodig kan een speciale connector ook worden geïmplementeerd via een globale omgeving voor uitschalen. Verificatie ingeschakeld U kunt aangeven of de geselecteerde connector ook voor verificatie moet worden gebruikt. Als u een externe aanbieder van identiteitsbeheer gebruikt om gebruikers te verifiëren, selecteer dan Nee.
Zoekkenmerken directory Selecteer een zoekkenmerk in het vervolgkeuzemenu . Certificaten - Als de Active Directory toegang via SSL/TLS vereist, schakel dan het selectievakje Directory vereist dat alle verbindingen STARTTLS gebruiken in in het gedeelte Certificaten en kopieer en plak de tussenliggende domeincontrollers (indien gebruikt) en Root CA-certificaten in het tekstvak SSL-certificaat. Voer eerst het Tussenliggende CA-certificaat in en vervolgens het Root CA-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels BEGIN CERTIFICAAT en EINDE CERTIFICAAT erin zijn opgenomen. Als de domeincontrollers certificaten hebben van meerdere Tussenliggende en Root-certificaatautoriteiten, voert u alle Tussenliggende-Root CA-certificaatketens een voor een in. Als de Active Directory toegang via SSL/TLS vereist en u verstrekt de certificaten niet, kunt u de directory niet maken.
Details voor deelnemen aan domein Voer de domeinnaam, de gebruikersnaam van de domeinbeheerder en het domeinwachtwoord in. Bind-gebruikersdetails - Voer de Bind-gebruikersnaam en het Bind-wachtwoord in van de bind-gebruiker die toestemming heeft om gebruikers en groepen voor de vereiste domeinen te bevragen. Voer de gebruikersnaam in als sAMAccountName@domain, waarbij domein de volledig gekwalificeerde domeinnaam is. Gebruik een Bind-gebruikersaccount met een wachtwoord dat niet verloopt.
- Klik op Maken en volgende.
U kunt de domeinen selecteren die moeten worden gekoppeld aan de Active Directory-verbinding.
- Selecteer op het tabblad Domeinselectiedetails het domein en klik op Verzenden en volgende.
De Active Directory met IWA vult de lijst met domeinen in en u kunt de domeinen indien nodig selecteren of bewerken.
- Om te controleren of de namen van VMware Identity Manager-directorykenmerken zijn toegewezen aan de juiste Active Directory-kenmerken, selecteert u op het tabblad Kenmerk toewijzen het vereiste kenmerk en klikt u op Verzenden en volgende.
- Voer op het tabblad Groepsselectie de Groeps-DN-gegevens in en klik op Volgende.
Als u groepen wilt selecteren, klikt u op Groeps-DN-naam toevoegen, geeft u een of meer groeps-DN's op en selecteert u de onderliggende groepen. Geef groeps-DN's op die onder de Basis-DN staan die u heeft ingevoerd in het tekstvak Baseis-DN op de pagina Directory toevoegen. Als een groeps-DN buiten de Basis-DN valt, worden gebruikers van die DN gesynchroniseerd, maar kunt u zich niet aanmelden.
Wanneer u een groep synchroniseert, worden gebruikers die Domeingebruikers niet als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.
- Selecteer de optie Synchroniseer geneste groepsleden.
- Voer op het tabblad Selectie gebruiker de gegevens van de gebruikers-DN in en klik op Volgende.
Opmerking: Wanneer deze optie is ingeschakeld, worden alle gebruikers die direct tot de door u geselecteerde groep behoren alsmede alle gebruikers die tot de geneste groepen eronder behoren, gesynchroniseerd zodra de groep bevoegd is. Geneste groepen worden niet gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de VMware Identity Manager-directory zijn deze gebruikers lid van de bovenliggende groep die u heeft geselecteerd voor synchronisatie. Als de optie Synchronisatie geneste groepsleden is uitgeschakeld wanneer u een groep specificeert om te synchroniseren, worden alle gebruikers die direct tot die groep behoren, gesynchroniseerd. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze optie is handig voor grote Active Directory-configuraties waar het doorlopen van een groepsstructuur veel resources en tijd kost. Als u deze optie uitschakelt, zorg er dan voor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.Suitebeheerders is een gebruikersnaam in de Active Directory die fungeert als een Beheerder-gebruiker voor de geïmplementeerde suiteproducten, logboeken en AD-tabel.
- Lees de samenvatting op het tabblad Testcontrole.
- Klik op Synchroniseren en voltooien om de synchronisatie met de directory te starten. De verbinding met Active Directory wordt tot stand gebracht en gebruikers en groepsnamen worden vanuit Active Directory gesynchroniseerd met de VMware Identity Manager-directory.
- Klik op Verzenden.
- Om te bewerken klikt u op het pictogram Bewerken in de specifieke Active Directory in de lijst met actieve directory's. Alle toegevoegde informatie wordt toegevoegd aan de configuratie op VMware Identity Manager. Elke verwijdering als gevolg van bewerken verwijdert alleen de configuratie uit de vRealize Suite Lifecycle Manager-inventaris en niet uit de VMware Identity Manager.
- Om te verwijderen klikt u op het pictogram Verwijderen in de specifieke Active Directory in de lijst met actieve directory's. U kunt de Active Directory alleen uit de vRealize Suite Lifecycle Manager-inventaris verwijderen, niet uit VMware Identity Manager.