U kunt een koppeling voor Active Directory via LDAP/IWA configureren om ondersteuning voor gebruikersverificatie in te stellen. Daarbij gebruikt u Directories Management om een koppeling naar Active Directory te configureren die gebruikersverificatie biedt voor alle tenants, en selecteert u de gebruikers en groepen die u wilt synchroniseren met de Directories Management-directory.

Voordat u begint

  • Connector is geïnstalleerd en de activeringscode is geactiveerd.

  • Selecteer de vereiste standaardkenmerken en voeg aanvullende kenmerken toe op de pagina Gebruikerskenmerken. Zie Kenmerken selecteren om te synchroniseren met de directory.

  • Lijst met de Active Directory-groepen en -gebruikers die u wilt synchroniseren vanuit Active Directory.

  • Voor Active Directory via LDAP is onder andere de basis-DN, de bindings-DN en het wachtwoord van de bindings-DN vereist.

  • Voor geïntegreerde Windows-verificatie in Active Directory is de vereiste informatie onder andere het UPN-adres en -wachtwoord van de gebruiker van de binding voor het domein.

  • Als via SSL toegang wordt verkregen tot Active Directory, is een exemplaar van het SSL-certificaat vereist.

  • Voor een Active Directory-configuratie (met geïntegreerde Windows-verificatie) van meerdere forests voor Active Directory en een lokale domeingroep met meerdere leden van domeinen in verschillende forests, moet u ervoor zorgen dat de gebruiker van de binding wordt toegevoegd aan de groep Administrators van het domein waarin zich de lokale domeingroep bevindt. Als u dit niet doet, zullen deze leden ontbreken in de lokale domeingroep.

  • Meld u aan bij de vRealize Automation-console als tenantbeheerder.

Over deze taak

Zie Een OpenLDAP-directoryverbinding configureren voor informatie en aanwijzingen voor het gebruik van OpenLDAP met Beheer van directory's.

Procedure

  1. Selecteer Beheer > Beheer van directory's > Directory's.
  2. Klik op Directory toevoegen en selecteer Active Directory via LDAP/IWA toevoegen.
  3. Geef op de pagina Directory toevoegen het IP-adres op voor de Active Directory-server in het tekstvak Naam van directory.
  4. Selecteer het juiste communicatieprotocol voor Active Directory met de keuzerondjes onder het tekstvak Naam van directory.

    Optie

    Beschrijving

    Windows-verificatie

    Selecteer Active Directory (met geïntegreerde Windows-verificatie)

    LDAP

    Selecteer Active Directory via LDAP.

  5. Configureer de connector waarmee gebruikers uit de Active Directory worden gesynchroniseerd met de VMware Directories Management-directory in de sectie Directory synchroniseren en verifiëren.

    Optie

    Beschrijving

    Connector voor synchronisatie

    Selecteer de juiste connector die u voor uw systeem wilt gebruiken. Elke vRealize Automation-toepassing bevat een standaardconnector. Raadpleeg uw systeembeheerder als u hulp nodig hebt bij het kiezen van de juiste connector.

    Verificatie

    Klik op het juiste keuzerondje om aan te geven of de geselecteerde connector ook voor verificatie moet worden gebruikt.

    Zoekkenmerken directory

    Selecteer het juiste accountkenmerk dat de gebruikersnaam bevat. VMware raadt aan het sAMAccount-kenmerk te gebruiken in plaats van userPrincipleName. Als u userPrincipleName voor synchronisatiebewerkingen gebruikt, werken integraties met software van tweede en derde partijen waarvoor een gebruikersnaam is vereist, mogelijk niet goed.

    Opmerking:

    Als u sAMAccountName selecteert wanneer u een globale catalogus gebruikt, aangegeven door het selectievakje Deze directory heeft een globale catalogus in te schakelen in het gebied Serverlocatie, kunnen gebruikers zich niet aanmelden.

  6. Voer de juiste informatie in het tekstvak Serverlocatie in als u Active Directory via LDAP hebt gekozen of in de tekstvakken Details voor deelnemen aan domein als u Active Directory (met geïntegreerde Windows-verificatie) hebt gekozen.

    Optie

    Beschrijving

    Serverlocatie - Wordt weergegeven als Active Directory via LDAP is geselecteerd

    • Als u DNS-servicelocatie wilt gebruiken om domeinen in Active Directory te vinden, houdt u het selectievakje Deze directory ondersteunt DNS-servicelocatie ingeschakeld.

    • Als de opgegeven Active Directory-instantie het opzoeken van de DNS-servicelocatie niet gebruikt, schakelt u het selectievakje naast Deze directory ondersteunt de DNS-servicelocatie in de velden van Serverlocatie uit en voert u de hostnaam en het poortnummer van de Active Directory-server in de daartoe bestemde tekstvakken in.

      Schakel het selectievakje Deze directory heeft een globale catalogus in als de bijbehorende Active Directory gebruikmaakt van een globale catalogus. Een globale catalogus bevat een vertegenwoordiging van alle objecten in elk domein in een Active Directory-forest met meerdere domeinen.

    • Als u voor Active Directory toegang via SSL nodig hebt, schakelt u het selectievakje Voor deze directory moeten alle verbindingen SSL gebruiken in onder het kopje Certificaten en geeft u het Active Directory SSL-certificaat op.

    Details voor deelnemen aan domein - Wordt weergegeven als Active Directory (met geïntegreerde Windows-verificatie) is geselecteerd

    Voer de vereiste verificatiegegevens in de tekstvakken Domeinnaam, Gebruikersnaam van domeinbeheerder en Wachtwoord van domeinbeheerder in.

  7. Voer in de sectie Gebruikersgegevens binden de juiste verificatiegegevens in om synchronisatie van directory's mogelijk te maken.

    Voor Active Directory via LDAP:

    Optie

    Beschrijving

    Basis-DN

    Voer de DN-naam voor de zoekbasis in. Bijvoorbeeld: cn=users,dc=corp,dc=local.

    Bindings-DN

    Voer de bindings-DN-naam in. Bijvoorbeeld cn=fritz infra,cn=users,dc=corp,dc=local

    Voor Active Directory (met geïntegreerde Windows-verificatie):

    Optie

    Beschrijving

    UPN van gebruiker van de binding

    Voer de UPN-naam (User Principal Name) in van de gebruiker die het domein kan verifiëren. Bijvoorbeeld: gebruikersnaam@example.com.

    Wachtwoord van de bindings-DN

    Voer het wachtwoord van de bindingsgebruiker in.

  8. Klik op Verbinding testen om de verbinding met de geconfigureerde directory te testen.

    Deze knop wordt niet weergegeven als u Active Directory (met geïntegreerde Windows-verificatie) hebt geselecteerd.

  9. Klik op Opslaan en Volgende.

    De pagina De domeinen selecteren wordt weergegeven, met de lijst met domeinen.

  10. Controleer en update de domeinen die worden vermeld voor de verbinding met Active Directory.
    • Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding.

    • Voor Active Directory via LDAP wordt het beschikbare domein met een vinkje weergegeven.

      Opmerking:

      Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de service niet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor de service wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen. Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijst weergegeven.

  11. Klik op Volgende.
  12. Controleer of de kenmerknamen van de Directories Management-directory zijn toegewezen aan de juiste Active Directory-kenmerken.

    Als de kenmerknamen van de directory niet goed worden toegewezen, selecteert u het juiste Active Directory-kenmerk in het vervolgkeuzemenu.

  13. Klik op Volgende.
  14. Klik op Toevoegen om de groepen te selecteren die u vanuit Active Directory met de directory wilt synchroniseren.

    Wanneer u een groep toevoegt vanuit Active Directory, worden de leden van de groep aan de lijst Gebruikers toegevoegd als ze hierin nog niet worden vermeld. Wanneer u een groep synchroniseert, worden gebruikers die Domeingebruikers niet als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.

    Opmerking:

    Het systeem van gebruikersverificatie van Directories Management importeert gegevens uit Active Directory bij het toevoegen van groepen en gebruikers. De snelheid van het systeem wordt beperkt door de mogelijkheden van Active Directory. Als gevolg hiervan kunnen importbewerkingen lange tijd in beslag nemen, afhankelijk van het aantal groepen en gebruikers dat wordt toegevoegd. Om het risico op vertragingen of problemen te beperken, raden we u aan het aantal groepen en gebruikers te beperken tot de groepen en gebruikers die vereist zijn voor het gebruik van vRealize Automation.

    Als de prestaties van het systeem afnemen of fouten optreden, sluit u niet-vereiste toepassingen en zorgt u ervoor dat uw systeem voldoende geheugen toewijst aan Active Directory. Als de problemen zich blijven voordoen, kunt u de geheugentoewijzing voor Active Directory naar wens verhogen. Voor systemen met grote aantallen gebruikers en groepen moet u mogelijk de geheugentoewijzing voor Active Directory verhogen tot maximaal 24 GB.

  15. Klik op Volgende.
  16. Klik op Toevoegen om aanvullende gebruikers toe te voegen. Voer ze bijvoorbeeld in als: CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com.

    Als u gebruikers wilt uitsluiten, klikt u op Toevoegen om een filter te maken waarmee bepaalde typen gebruikers worden uitgesloten. U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.

  17. Klik op Volgende.
  18. Controleer de pagina om na te gaan hoeveel gebruikers en groepen worden gesynchroniseerd met de directory.

    Als u wijzigingen wilt aanbrengen in gebruikers en groepen, klikt u op een van de koppelingen Bewerken.

    Opmerking:

    Zorg ervoor dat u gebruiker-DN's opgeeft die eerder onder de basis-DN waren opgegeven. Als de gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.

  19. Klik op Naar Workspace pushen om het synchroniseren met de directory te starten.

Resultaten

De verbinding met Active Directory is voltooid en de geselecteerde gebruikers en groepen worden aan de directory toegevoegd. U kunt nu gebruikers en groepen toewijzen aan de gewenste vRealize Automation-rollen door Beheer > Gebruikers en groepen > Directory-gebruikers en -groepen te selecteren. Raadpleeg Rollen toewijzen aan directorygebruikers of -groepen voor meer informatie.

Volgende stappen

Als uw vRealize Automation-omgeving is geconfigureerd voor hoge beschikbaarheid, moet u Beheer van directory's specifiek configureren voor hoge beschikbaarheid. Zie Beheer van directory's configureren voor hoge beschikbaarheid.

  • Stel verificatiemethoden in. Nadat gebruikers en groepen met de directory zijn gesynchroniseerd, kunt u aanvullende verificatiemethoden voor de connector instellen als de connector ook voor verificatie wordt gebruikt. Als de identiteitsprovider voor verificatie een derde is, configureert u de betreffende identiteitsprovider voor de connector.

  • Controleer het standaardtoegangsbeleid. Het standaardtoegangsbeleid is geconfigureerd om alle toepassingen in alle netwerkbereiken toegang te verlenen tot de webbrowser, met een sessietime-out van acht uur. De andere mogelijkheid is het verlenen van toegang tot een clientapp met een sessietime-out van 2160 uur (90 dagen). U kunt het standaardtoegangsbeleid wijzigen en bij het toevoegen van webtoepassingen aan de catalogus, kunt u nieuw toegangsbeleid maken.

  • Pas aangepaste merkvermelding toe op de beheerconsole, de portalpagina's van gebruikers en het aanmeldscherm.