В консоли VMware Identity Manager введите сведения, необходимые для подключения к Active Directory, а затем выберите пользователей и группы, которые необходимо синхронизировать с каталогом VMware Identity Manager.

Для подключения Active Directory можно использовать Active Directory с протоколом LDAP или встроенной проверкой подлинности Windows в Active Directory. Подключение «Active Directory по LDAP» поддерживает функцию поиска места расположения службы DNS.

Необходимые условия

  • SaaS: установленный и активированный соединитель Соединитель.

  • Выберите обязательные атрибуты и при необходимости добавьте дополнительные атрибуты на странице «Атрибуты пользователя». См. раздел Выбор атрибутов для синхронизации с каталогом.

  • Создайте список групп и пользователей Active Directory, которые нужно синхронизировать из Active Directory. Имена групп сразу синхронизируются с каталогом. Участники группы не синхронизируются, пока группе не будут предоставлены права на использование ресурсов или пока добавлены в правило политики. Во время первоначальной настройки необходимо добавить пользователей, которым нужно пройти проверку подлинности перед настройкой права группы.

  • Для подключения к Active Directory по протоколу LDAP необходимо указать базовое DN, привязку DN и пароль привязки DN.

    Пользователь с привязкой DN должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:

    • Чтение

    • Чтение всех свойств

    • Разрешения на чтение

    Примечание.

    Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.

  • Для подключения к Active Directory через встроенную службу проверки подлинности Windows необходимо указать имя и пароль пользователя подключения, который имеет разрешение на создание запросов к пользователям и группам для требуемых доменов.

    Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:

    • Чтение

    • Чтение всех свойств

    • Разрешения на чтение

    Примечание.

    Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.

  • Если для Active Directory требуется доступ по протоколу SSL или STARTTLS, необходимы сертификаты корневого центра сертификации контроллеров доменов для всех соответствующих доменов Active Directory.

  • Если для встроенной проверки подлинности Windows в Active Directory настроена служба Active Directory с несколькими лесами, а локальная группа домена содержит участников из доменов в разных лесах, обязательно добавьте пользователя подключения в группу администраторов домена, в котором находится локальная группа домена. Если не сделать этого, эти участники не будут входить в локальную группу домена.

  • Для Active Directory с использованием встроенной проверки подлинности Windows:

    • для всех контроллеров домена, указанных в SRV-записях и скрытых RODC, поиск имени узла и IP-адреса с помощью nslookup должен работать.

    • На всех контроллерах домена должно быть доступно сетевое подключение

Процедура

  1. В консоли VMware Identity Manager выберите вкладку Управление учетными данными и доступом.
  2. На странице «Каталоги» щелкните Добавить каталог.
  3. Введите имя этого каталога VMware Identity Manager.
  4. Выберите тип Active Directory в среде и настройте сведения о подключении.

    Параметр

    Описание

    Active Directory с протоколом LDAP

    1. В текстовом поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации с Active Directory.

    2. В текстовом поле Проверка подлинности нажмите кнопку Да, если этот Active Directory используется для проверки подлинности пользователей.

      Если для проверки подлинности пользователей используется сторонний поставщик удостоверений, нажмите кнопку Нет. После настройки подключения Active Directory для синхронизации пользователей и групп перейдите на страницу «Управление учетными данными и доступом» > «Управление» > «Поставщики удостоверений», чтобы добавить сторонний поставщик удостоверений для проверки подлинности.

    3. В текстовом поле Атрибут поиска каталогов выберите атрибут учетной записи, который содержит имя пользователя.

    4. Если необходимо использовать поиск расположения служб DNS для Active Directory, установите следующие параметры.

      • В разделе Расположение сервера установите флажок Данный каталог поддерживает поиск размещения службы DNS.

        VMware Identity Manager находит и использует оптимальные контроллеры домена. Если не требуется использовать оптимизированные контроллеры домена, переходите к шагу e.

      • Если для Active Directory требуется шифрование STARTTLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в текстовом поле Сертификат SSL.

        Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

        Примечание.

        Если для Active Directory требуется протокол STARTTLS, а сертификат не предоставлен, создать каталог невозможно.

    5. Если не требуется использовать поиск расположения служб DNS для Active Directory, установите следующие параметры.

      • Убедитесь, что в разделе Расположение сервера не установлен флажок Данный каталог поддерживает поиск размещения службы DNS, и введите имя узла сервера и номер порта Active Directory.

        Сведения о том, как настроить каталог в качестве глобального каталога, см. в разделе «Среда Active Directory в нескольких доменах и одном лесу» в Среды Active Directory.

      • Если для Active Directory требуется доступ по протоколу SSL, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в поле Сертификат SSL.

        Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

        Если в каталоге есть несколько доменов, поочередно добавьте сертификаты корневого центра сертификации для всех доменов.

        Примечание.

        Если для Active Directory требуется протокол SSL, а сертификат не предоставлен, создать каталог невозможно.

    6. В поле Базовое различающееся имя введите различающееся имя, с которого будет начинаться поиск учетных записей. Например, OU=myUnit, DC=myCorp, DC=com.

    7. В поле Различающееся имя для подключения введите учетную запись с правом поиска пользователей. Например, CN=binduser,OU=myUnit,DC=myCorp,DC=com.

      Примечание.

      Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.

    8. После ввода пароля подключения щелкните Протестировать соединение, чтобы проверить, может ли каталог подключиться к Active Directory.

    Active Directory (служба проверки подлинности, встроенная в Windows)

    1. В текстовом поле Синхронизируйте соединитель выберите соединитель, который необходимо использовать для синхронизации с Active Directory.

    2. В текстовом поле Проверка подлинности нажмите кнопку Да, если этот Active Directory используется для проверки подлинности пользователей.

      Если для проверки подлинности пользователей используется сторонний поставщик удостоверений, нажмите кнопку Нет. После настройки подключения Active Directory для синхронизации пользователей и групп перейдите на страницу «Управление учетными данными и доступом» > «Управление» > «Поставщики удостоверений», чтобы добавить сторонний поставщик удостоверений для проверки подлинности.

    3. В текстовом поле Атрибут поиска каталогов выберите атрибут учетной записи, который содержит имя пользователя.

    4. Если для Active Directory требуется шифрование STARTTLS, в разделе Сертификаты установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола STARTTLS, а также скопируйте и вставьте сертификат корневого центра сертификации Active Directory в текстовом поле Сертификат SSL.

      Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

      Если в каталоге есть несколько доменов, поочередно добавьте сертификаты корневого центра сертификации для всех доменов.

      Примечание.

      Если для Active Directory требуется протокол STARTTLS, а сертификат не предоставлен, создать каталог невозможно.

    5. (Только для Linux.) Введите доменное имя Active Directory для присоединения. Введите имя и пароль пользователя, у которого есть право на присоединение к домену. Дополнительные сведения см. в разделе Разрешения, необходимые для присоединения к домену (только для виртуальных устройств Linux).

    6. В разделе Сведения о пользователе подключения введите имя и пароль пользователя подключения, который имеет разрешение на создание запросов пользователям и группам для требуемых доменов. В качестве имени пользователя введите имя sAMAccountName, например jdoe. Если домен пользователя подключения отличается от указанного выше в поле «Присоединится к домену», введите имя пользователя sAMAccountName@domain, где domain — это полное доменное имя. Например, [email protected].

      Примечание.

      Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.

  5. Нажмите Сохранить и Далее.

    Откроется страница со списком доменов.

  6. Для Active Directory с протоколом LDAP установите флажки рядом с необходимыми доменами.

    Для Active Directory (встроенная проверка подлинности Windows) выберите домены, которые необходимо связать с этим подключением к Active Directory.

    Примечание.

    В случае добавления доверенного домена после создания каталога новый доверенный домен служба автоматически не обнаруживает. Чтобы служба смогла обнаружить домен, соединитель соединитель должен отсоединиться от домена, а затем снова присоединиться к нему. После того как соединитель снова присоединится к домену, доверенный домен появится в списке.

    Нажмите кнопку Далее.

  7. Убедитесь, что имена атрибутов каталогов VMware Identity Manager сопоставлены с правильными атрибутами Active Directory, и при необходимости внесите изменения, а затем нажмите кнопку Далее.
  8. Выберите группы, которые должны синхронизироваться с каталогом VMware Identity Manager на основе Active Directory.

    При добавлении групп здесь их имена синхронизируются с каталогом. Пользователи, входящие в группу, не синхронизируются с каталогом, пока группе не будет предоставлено право на доступ к приложению или имя группы не будет добавлено в правило политики доступа. При последующей запланированной синхронизации предоставляются обновленные данные из Active Directory для этих имен групп.

    Параметр

    Описание

    Укажите различающиеся имена групп

    Чтобы выбрать группы, укажите одно или несколько различающихся имен и выберите под ними группы.

    1. Щелкните знак + и укажите различающееся имя группы. Например, CN=users,DC=example,DC=company,DC=com.

      Важно!.

      Следует указывать различающиеся имена групп, которые имеют базовое различающееся имя, введенное вами ранее. Если различающееся имя группы не соответствует базовому различающемуся имени, данные пользователей из группы с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.

    2. Щелкните Поиск групп.

      В столбце Число синхронизируемых групп указывается количество групп с заданным различающимся именем.

    3. Если необходимо выбрать все группы, которым назначено это различающееся имя, щелкните Выбрать все. В противном случае щелкните Выбрать и выберите конкретные группы для синхронизации.

    Примечание.

    При синхронизации группы все пользователи, для которых группа «Пользователи домена» в Active Directory не является основной, не синхронизируются.

    Синхронизировать участников вложенных групп

    Параметр Синхронизировать участников вложенных групп включен по умолчанию. Когда этот параметр включен, все пользователи, которые принадлежат непосредственно к выбранной группе, а также к вложенным группам этой группы, синхронизируются, если группе предоставлены права. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге VMware Identity Manager эти пользователи будут участниками родительской группы, выбранной для синхронизации.

    Если параметр Синхронизировать участников вложенных групп отключен, то при указании группы для синхронизации все пользователи, которые принадлежат непосредственно к ней, будут синхронизированы. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра может потребоваться в больших конфигурациях Active Directory, где навигация по дереву групп требует значительных объемов ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.

  9. Нажмите кнопку Далее.
  10. Укажите пользователей для синхронизации.

    Так как участники группы не синхронизируются с каталогом, пока группе не будут предоставлены права на доступ к приложению или пока она не будет добавлена в правило политики доступа, добавьте всех пользователей, которым нужно пройти проверку подлинности, перед настройкой прав группы.

    1. Щелкните знак + и введите различающиеся имена пользователей. Например, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Важно!.

      Следует указывать различающиеся имена пользователей, которые имеют базовое различающееся имя, введенное вами ранее. Если различающееся имя пользователя не соответствует базовому различающемуся имени, данные пользователей с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.

    2. (Необязательно.) Чтобы удалить пользователей, щелкните фильтр, позволяющий исключить некоторые типы пользователей.

      Выберите атрибут пользователя для фильтрации и используемое правило запроса, а затем добавьте значение. В значении не учитывается регистр. В строке запрещено использовать следующие символы: * ^ ()? $.

  11. Укажите пользователей для синхронизации.

    Так как участники группы не синхронизируются с каталогом, пока группе не будут предоставлены права на доступ к приложению или пока она не будет добавлена в правило политики доступа, добавьте всех пользователей, которым нужно пройти проверку подлинности, перед настройкой прав группы.

    1. Щелкните знак + и введите различающиеся имена пользователей. Например, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Важно!.

      Следует указывать различающиеся имена пользователей, которые имеют базовое различающееся имя, введенное вами ранее. Если различающееся имя пользователя не соответствует базовому различающемуся имени, данные пользователей с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.

    2. (Необязательно) Чтобы исключить пользователей, создайте фильтры для исключения пользователей в зависимости от выбранного атрибута. Можно создать несколько фильтров для исключения.

      Выберите атрибут пользователя для фильтрации и фильтр запроса для применения к определенному значению.

      Параметр

      Описание

      Содержит

      Исключает всех пользователей, которые соответствуют атрибуту и набору значений. Например, если указать имя содержит Jane, будут исключены пользователи с именем «Jane».

      Не содержит

      Исключает всех пользователей, кроме тех, которые соответствуют атрибуту и набору значений. Например, если указать telephoneNumber не содержит 800, будут включены только пользователи с номером телефона, который включает в себя «800».

      Начинается с

      Исключает всех пользователей, значение атрибута которых начинается с <xxx>. Например, если указать идентификатор сотрудника начинается с ACME0, будут исключены все пользователи с идентификатором сотрудника, в котором значение «ACME0» указано в начале.

      Заканчивается

      Исключает всех пользователей, значение атрибута которых оканчивается на <yyy>. Например, если указать почта заканчивается example1.com, будут исключены все пользователи, адрес электронной почты которых заканчивается на «example1.com».

    В значении не учитывается регистр. Строка значения не должна содержать следующие символы.

    • Звездочка *

    • Крышка ^

    • Круглые скобки ( )

    • Вопросительный знак ?

    • Восклицательный знак !

    • Знак доллара $

  12. Нажмите кнопку Далее.
  13. На этой странице можно просмотреть расписание синхронизации и узнать, сколько пользователей и групп синхронизируются с каталогом.

    Чтобы внести изменения в список пользователей и групп или интервал синхронизации, щелкните ссылки Изменить.

  14. Щелкните Синхронизировать каталоги, чтобы начать синхронизацию в каталог.

Результат

Подключение к Active Directory устанавливается, а имена пользователей и групп синхронизируются с Active Directory в каталоге VMware Identity Manager. У пользователя с привязкой есть роль администратора в VMware Identity Manager по умолчанию.

Дополнительные сведения о том, как синхронизируются группы, см. в разделе «Управление пользователями и группами» в документе Администрирование VMware Identity Manager.

Дальнейшие действия

  • Настройте методы проверки подлинности. После синхронизации имен пользователей и групп с каталогом, если для проверки подлинности также используется соединитель, в нем можно настроить дополнительные методы проверки подлинности. Если поставщиком удостоверений для проверки подлинности является сторонняя организация, настройте этого поставщика в соединителе.

  • Проанализируйте политику доступа по умолчанию. Политика доступа по умолчанию настроена так, чтобы все устройства во всех сетевых диапазонах могли получать доступ к веб-порталу с заданным временем ожидания сеанса (8 часов) или клиентскому приложению со временем ожидания сеанса 2160 часов (или 90 дней). Политику доступа по умолчанию можно изменить, а при добавлении веб-приложений в каталог можно создать новые политики доступа.