В консоли VMware Identity Manager введите сведения, необходимые для подключения к Active Directory, а затем выберите пользователей и группы, которые необходимо синхронизировать с каталогом VMware Identity Manager.
Для подключения Active Directory можно использовать Active Directory с протоколом LDAP или встроенной проверкой подлинности Windows в Active Directory. Подключение «Active Directory по LDAP» поддерживает функцию поиска места расположения службы DNS.
Необходимые условия
SaaS: установленный и активированный соединитель Соединитель.
Выберите обязательные атрибуты и при необходимости добавьте дополнительные атрибуты на странице «Атрибуты пользователя». См. раздел Выбор атрибутов для синхронизации с каталогом.
Создайте список групп и пользователей Active Directory, которые нужно синхронизировать из Active Directory. Имена групп сразу синхронизируются с каталогом. Участники группы не синхронизируются, пока группе не будут предоставлены права на использование ресурсов или пока добавлены в правило политики. Во время первоначальной настройки необходимо добавить пользователей, которым нужно пройти проверку подлинности перед настройкой права группы.
Для подключения к Active Directory по протоколу LDAP необходимо указать базовое DN, привязку DN и пароль привязки DN.
Пользователь с привязкой DN должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:
Чтение
Чтение всех свойств
Разрешения на чтение
Примечание.Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.
Для подключения к Active Directory через встроенную службу проверки подлинности Windows необходимо указать имя и пароль пользователя подключения, который имеет разрешение на создание запросов к пользователям и группам для требуемых доменов.
Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:
Чтение
Чтение всех свойств
Разрешения на чтение
Примечание.Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.
Если для Active Directory требуется доступ по протоколу SSL или STARTTLS, необходимы сертификаты корневого центра сертификации контроллеров доменов для всех соответствующих доменов Active Directory.
Если для встроенной проверки подлинности Windows в Active Directory настроена служба Active Directory с несколькими лесами, а локальная группа домена содержит участников из доменов в разных лесах, обязательно добавьте пользователя подключения в группу администраторов домена, в котором находится локальная группа домена. Если не сделать этого, эти участники не будут входить в локальную группу домена.
Для Active Directory с использованием встроенной проверки подлинности Windows:
для всех контроллеров домена, указанных в SRV-записях и скрытых RODC, поиск имени узла и IP-адреса с помощью nslookup должен работать.
На всех контроллерах домена должно быть доступно сетевое подключение
Процедура
Результат
Подключение к Active Directory устанавливается, а имена пользователей и групп синхронизируются с Active Directory в каталоге VMware Identity Manager. У пользователя с привязкой есть роль администратора в VMware Identity Manager по умолчанию.
Дополнительные сведения о том, как синхронизируются группы, см. в разделе «Управление пользователями и группами» в документе Администрирование VMware Identity Manager.
Дальнейшие действия
Настройте методы проверки подлинности. После синхронизации имен пользователей и групп с каталогом, если для проверки подлинности также используется соединитель, в нем можно настроить дополнительные методы проверки подлинности. Если поставщиком удостоверений для проверки подлинности является сторонняя организация, настройте этого поставщика в соединителе.
Проанализируйте политику доступа по умолчанию. Политика доступа по умолчанию настроена так, чтобы все устройства во всех сетевых диапазонах могли получать доступ к веб-порталу с заданным временем ожидания сеанса (8 часов) или клиентскому приложению со временем ожидания сеанса 2160 часов (или 90 дней). Политику доступа по умолчанию можно изменить, а при добавлении веб-приложений в каталог можно создать новые политики доступа.