Een koppeling configureren voor Active Directory via een LDAP/IWA

U kunt een koppeling voor Active Directory via LDAP/IWA configureren om ondersteuning voor gebruikersverificatie in te stellen. Daarbij gebruikt u Directories Management om een koppeling naar Active Directory te configureren die gebruikersverificatie biedt voor alle tenants, en selecteert u de gebruikers en groepen die u wilt synchroniseren met de Directories Management-directory.

Over deze taak

Zie Een OpenLDAP-directoryverbinding configureren voor informatie en aanwijzingen voor het gebruik van OpenLDAP met Beheer van directory's.

Voor een Active Directory-configuratie (met geïntegreerde Windows-verificatie) van meerdere forests voor Active Directory en een lokale domeingroep met meerdere leden van domeinen in verschillende forests, moet u ervoor zorgen dat de gebruiker van de binding wordt toegevoegd aan de groep Administrators van het domein waarin zich de lokale domeingroep bevindt. Als u dit niet doet, zullen deze leden ontbreken in de lokale domeingroep.

Voorwaarden

Selecteer de vereiste standaardkenmerken en voeg aanvullende kenmerken toe op de pagina Gebruikerskenmerken. Zie Kenmerken selecteren om te synchroniseren met de directory.
Lijst met de Active Directory-groepen en -gebruikers die u wilt synchroniseren vanuit Active Directory.
Als de Active Directory toegang via SSL of STARTTLS vereist, is het root-CA-certificaat van de domeincontroller van Active Directory vereist.
Meld u aan bij de vRealize Automation-console als tenantbeheerder.

Procedure

Selecteer Beheer > Beheer van directory's > Directory's.
Klik op Directory toevoegen en selecteer Active Directory via LDAP/IWA toevoegen.
Geef op de pagina Directory toevoegen het IP-adres op voor de Active Directory-server in het tekstvak Naam van directory.

Selecteer het juiste communicatieprotocol voor Active Directory met de keuzerondjes onder het tekstvak Naam van directory.

Optie	Beschrijving
Windows-verificatie	Selecteer Active Directory (Geïntegreerde Windows-verificatie). Voor geïntegreerde Windows-verificatie in Active Directory is de vereiste informatie onder andere het UPN-adres en -wachtwoord van de gebruiker van de binding voor het domein.
LDAP	Selecteer Active Directory via LDAP. Voor Active Directory via LDAP is onder andere de basis-DN, de bindings-DN en het wachtwoord van de bindings-DN vereist.

Configureer de connector waarmee gebruikers uit de Active Directory worden gesynchroniseerd met de VMware Directories Management-directory in de sectie Directory synchroniseren en verifiëren.

Optie	Beschrijving
Connector voor synchronisatie	Selecteer de juiste connector die u voor uw systeem wilt gebruiken. Elke vRealize Automation-toepassing bevat een standaardconnector. Raadpleeg uw systeembeheerder als u hulp nodig hebt bij het kiezen van de juiste connector.
Verificatie	Klik op het juiste keuzerondje om aan te geven of de geselecteerde connector ook voor verificatie moet worden gebruikt.
Zoekkenmerken directory	Selecteer het juiste accountkenmerk dat de gebruikersnaam bevat. VMware raadt aan het sAMAccount-kenmerk te gebruiken in plaats van userPrincipleName. Als u userPrincipleName voor synchronisatiebewerkingen gebruikt, werken integraties met software van tweede en derde partijen waarvoor een gebruikersnaam is vereist, mogelijk niet goed. Opmerking: Als u sAMAccountName selecteert wanneer u een globale catalogus gebruikt, aangegeven door het selectievakje Deze directory heeft een globale catalogus in te schakelen in het gebied Serverlocatie, kunnen gebruikers zich niet aanmelden.

Voer de juiste informatie in het tekstvak Serverlocatie in als u Active Directory via LDAP hebt gekozen of voer informatie in de tekstvakken Details domein koppelen in als u Active Directory (Geïntegreerde Windows-verificatie) hebt geselecteerd.

Optie	Beschrijving
Serverlocatie - Wordt weergegeven als Active Directory via LDAP is geselecteerd	Als u DNS-servicelocatie wilt gebruiken om domeinen in Active Directory te vinden, houdt u het selectievakje Deze directory ondersteunt DNS-servicelocatie ingeschakeld. Opmerking: U kunt de poorttoewijzing niet wijzigen in 636 als u deze optie selecteert. Samen met de directory wordt het bestand domain_krb.properties gemaakt, waaraan automatisch een lijst met domeincontrollers is toegevoegd. Zie Domeincontrollers selecteren. Als voor Active Directory de versleuteling STARTTLS is vereist, schakelt u het selectievakje Voor deze directory is vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het veld SSL-certificaat. Als de opgegeven Active Directory-instantie het opzoeken van de DNS-servicelocatie niet gebruikt, schakelt u het selectievakje naast Deze directory ondersteunt de DNS-servicelocatie in de velden van Serverlocatie uit en voert u de hostnaam en het poortnummer van de Active Directory-server in de daartoe bestemde tekstvakken in. Schakel het selectievakje Deze directory heeft een globale catalogus in als de bijbehorende Active Directory gebruikmaakt van een globale catalogus. Een globale catalogus bevat een vertegenwoordiging van alle objecten in elk domein in een Active Directory-forest met meerdere domeinen. Zie de sectie Active Directory-omgeving met één forest en meerdere domeinen in Active Directory-omgevingen om de directory te configureren als globale catalogus. Als u voor Active Directory toegang via SSL nodig hebt, schakelt u het selectievakje Voor deze directory moeten alle verbindingen SSL gebruiken in onder het kopje Certificaten en geeft u het Active Directory SSL-certificaat op. Wanneer u deze optie selecteert, wordt automatisch poort 636 gebruikt en kan deze niet worden gewijzigd. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen.
Details voor deelnemen aan domein - Wordt weergegeven als Active Directory (met geïntegreerde Windows-verificatie) is geselecteerd	Voer de vereiste verificatiegegevens in de tekstvakken Domeinnaam, Gebruikersnaam van domeinbeheerder en Wachtwoord van domeinbeheerder in. Als voor Active Directory de versleuteling STARTTLS is vereist, schakelt u het selectievakje Voor deze directory is vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het veld SSL-certificaat.

Optie

Beschrijving

Serverlocatie - Wordt weergegeven als Active Directory via LDAP is geselecteerd

Als u DNS-servicelocatie wilt gebruiken om domeinen in Active Directory te vinden, houdt u het selectievakje Deze directory ondersteunt DNS-servicelocatie ingeschakeld.

Opmerking:
U kunt de poorttoewijzing niet wijzigen in 636 als u deze optie selecteert.

Samen met de directory wordt het bestand domain_krb.properties gemaakt, waaraan automatisch een lijst met domeincontrollers is toegevoegd. Zie Domeincontrollers selecteren.
Als voor Active Directory de versleuteling STARTTLS is vereist, schakelt u het selectievakje Voor deze directory is vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het veld SSL-certificaat.
Als de opgegeven Active Directory-instantie het opzoeken van de DNS-servicelocatie niet gebruikt, schakelt u het selectievakje naast Deze directory ondersteunt de DNS-servicelocatie in de velden van Serverlocatie uit en voert u de hostnaam en het poortnummer van de Active Directory-server in de daartoe bestemde tekstvakken in.
Schakel het selectievakje Deze directory heeft een globale catalogus in als de bijbehorende Active Directory gebruikmaakt van een globale catalogus. Een globale catalogus bevat een vertegenwoordiging van alle objecten in elk domein in een Active Directory-forest met meerdere domeinen.
Zie de sectie Active Directory-omgeving met één forest en meerdere domeinen in Active Directory-omgevingen om de directory te configureren als globale catalogus.
Als u voor Active Directory toegang via SSL nodig hebt, schakelt u het selectievakje Voor deze directory moeten alle verbindingen SSL gebruiken in onder het kopje Certificaten en geeft u het Active Directory SSL-certificaat op.
Wanneer u deze optie selecteert, wordt automatisch poort 636 gebruikt en kan deze niet worden gewijzigd.
Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen.

Details voor deelnemen aan domein - Wordt weergegeven als Active Directory (met geïntegreerde Windows-verificatie) is geselecteerd

Voer de vereiste verificatiegegevens in de tekstvakken Domeinnaam, Gebruikersnaam van domeinbeheerder en Wachtwoord van domeinbeheerder in.

Als voor Active Directory de versleuteling STARTTLS is vereist, schakelt u het selectievakje Voor deze directory is vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het root-CA-certificaat van Active Directory in het veld SSL-certificaat.

Voer in de sectie Gebruikersgegevens binden de juiste verificatiegegevens in om synchronisatie van directory's mogelijk te maken.

Voor Active Directory via LDAP:

Optie	Beschrijving
Basis-DN	Voer de DN-naam voor de zoekbasis in. Bijvoorbeeld: `cn=users,dc=corp,dc=local`.
Bindings-DN	Voer de bindings-DN-naam in. Bijvoorbeeld `cn=fritz infra,cn=users,dc=corp,dc=local`

Voor Active Directory (met geïntegreerde Windows-verificatie):

Optie	Beschrijving
UPN van gebruiker van de binding	Voer de UPN-naam (User Principal Name) in van de gebruiker die het domein kan verifiëren. Bijvoorbeeld: gebruikersnaam@example.com.
Wachtwoord van de bindings-DN	Voer het wachtwoord van de bindingsgebruiker in.

Klik op Verbinding testen om de verbinding met de geconfigureerde directory te testen.

Deze knop wordt niet weergegeven als u Active Directory (met geïntegreerde Windows-verificatie) hebt geselecteerd.
Klik op Opslaan en Volgende.

De pagina De domeinen selecteren wordt weergegeven, met de lijst met domeinen.
Controleer en update de domeinen die worden vermeld voor de verbinding met Active Directory.
- Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding.
- Voor Active Directory via LDAP wordt het beschikbare domein met een vinkje weergegeven.
  
  Opmerking:
  Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de service niet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor de service wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen. Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijst weergegeven.
Klik op Volgende.
Controleer of de kenmerknamen van de Directories Management-directory zijn toegewezen aan de juiste Active Directory-kenmerken.

Als de kenmerknamen van de directory niet goed worden toegewezen, selecteert u het juiste Active Directory-kenmerk in het vervolgkeuzemenu.
Klik op Volgende.
Klik op om de groepen te selecteren die u vanuit Active Directory met de directory wilt synchroniseren.

Wanneer u een groep toevoegt vanuit Active Directory, worden de leden van de groep aan de lijst Gebruikers toegevoegd als ze hierin nog niet worden vermeld. Wanneer u een groep synchroniseert, worden gebruikers die Domeingebruikers niet als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.

Opmerking:
Het systeem van gebruikersverificatie van Directories Management importeert gegevens uit Active Directory bij het toevoegen van groepen en gebruikers. De snelheid van het systeem wordt beperkt door de mogelijkheden van Active Directory. Als gevolg hiervan kunnen importbewerkingen veel tijd in beslag nemen, afhankelijk van het aantal groepen en gebruikers dat wordt toegevoegd. Om het risico op vertragingen of problemen te beperken, raden we u aan het aantal groepen en gebruikers te beperken tot de groepen en gebruikers die vereist zijn voor het gebruik van vRealize Automation.

Als de prestaties van het systeem afnemen of fouten optreden, sluit u niet-vereiste toepassingen en zorgt u ervoor dat uw systeem voldoende geheugen toewijst aan Active Directory. Als de problemen zich blijven voordoen, kunt u de geheugentoewijzing voor Active Directory naar wens verhogen. Voor systemen met grote aantallen gebruikers en groepen moet u mogelijk de geheugentoewijzing voor Active Directory verhogen tot maximaal 24 GB.
Klik op Volgende.
Klik op om aanvullende gebruikers toe te voegen.
De juiste waarden zijn als volgt:
- Eén gebruiker: CN=username,CN=Users,OU=Users,DC=myCorp,DC=com
- Meerdere gebruikers: OU=Users,OU=myUnit,DC=myCorp,DC=com
Als u gebruikers wilt uitsluiten, klikt u op om een filter te maken waarmee bepaalde typen gebruikers worden uitgesloten. U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde.
Klik op Volgende.
Controleer de pagina om na te gaan hoeveel gebruikers en groepen worden gesynchroniseerd met de directory.

Als u wijzigingen wilt aanbrengen in gebruikers en groepen, klikt u op een van de koppelingen Bewerken.

Opmerking:
Zorg ervoor dat u gebruiker-DN's opgeeft die eerder onder de basis-DN waren opgegeven. Als de gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
Klik op Naar Workspace pushen om het synchroniseren met de directory te starten.

Resultaten

De verbinding met Active Directory is voltooid en de geselecteerde gebruikers en groepen worden aan de directory toegevoegd. U kunt nu gebruikers en groepen toewijzen aan de gewenste vRealize Automation-rollen door Beheer > Gebruikers en groepen > Directory-gebruikers en -groepen te selecteren. Raadpleeg Rollen toewijzen aan directorygebruikers of -groepen voor meer informatie.

Volgende stappen

Als uw vRealize Automation-omgeving is geconfigureerd voor hoge beschikbaarheid, moet u Beheer van directory's specifiek configureren voor hoge beschikbaarheid. Zie Beheer van directory's configureren voor hoge beschikbaarheid.

Stel verificatiemethoden in. Nadat gebruikers en groepen met de directory zijn gesynchroniseerd, kunt u aanvullende verificatiemethoden voor de connector instellen als de connector ook voor verificatie wordt gebruikt. Als de identiteitsprovider voor verificatie een derde is, configureert u de betreffende identiteitsprovider voor de connector.
Controleer het standaardtoegangsbeleid. Het standaardtoegangsbeleid is geconfigureerd om alle toepassingen in alle netwerkbereiken toegang te verlenen tot de webbrowser, met een sessietime-out van acht uur. De andere mogelijkheid is het verlenen van toegang tot een clientapp met een sessietime-out van 2160 uur (90 dagen). U kunt het standaardtoegangsbeleid wijzigen en bij het toevoegen van webtoepassingen aan de catalogus, kunt u nieuw toegangsbeleid maken.
Pas aangepaste merkvermelding toe op de beheerconsole, de portalpagina's van gebruikers en het aanmeldscherm.