Администратору арендатора необходимо настроить Active Directory через подключение каталога LDAP для поддержки проверки подлинности пользователя и обеспечения развертывания высокой доступности vRealize Automation.

Каждое устройство vRealize Automation содержит соединитель, который поддерживает проверку подлинности пользователей, хотя для обеспечения синхронизации каталога обычно настроен только один соединитель. В качестве соединителя синхронизации можно выбрать любой соединитель. Для поддержки высокой доступности службы управления каталогами необходимо настроить второй соединитель, соответствующий второму устройству vRealize Automation, который подключается к поставщику удостоверений и указывает на ту же самую службу Active Directory. При использовании такой конфигурации, если одно устройство выходит из строя, второе принимает на себя управление процессом проверки подлинности пользователей.

В среде с высокой доступностью все узлы должны обслуживать один и тот же набор каталогов Active Directory, пользователей, методов проверки подлинности и т. д. Наиболее простым способом реализации такой конфигурации является применение поставщика удостоверений в кластере путем настройки узла подсистемы балансировки нагрузки в качестве узла поставщика удостоверений. Благодаря такой конфигурации все запросы на проверку подлинности направляются в подсистему балансировки нагрузки, которая затем отправляет их на один из соединителей.

Необходимые условия

  • Установите распределенное развертывание vRealize Automation с соответствующей подсистемой балансировки нагрузки. См. Установка vRealize Automation.

  • Войдите в vRealize Automation в качестве администратора арендатора.

Процедура

  1. Выберите Администрирование > Управление каталогами > Каталоги.
  2. Щелкните Добавить каталог.
  3. Укажите специальные настройки учетной записи Active Directory и примите параметры по умолчанию.
    Параметр Пример вводимых данных
    Имя каталога Добавьте IP-адрес имени домена Active Directory
    Соединитель синхронизации Каждое устройство vRealize Automation содержит соединитель. Используйте любой доступный соединитель.
    Базовое имя домена Введите различающееся имя начальной точки для поиска сервера каталогов. Например, cn=users,dc=corp,dc=local.
    Имя домена привязки Введите полное различающееся имя, включая обычное имя, учетной записи пользователя Active Directory с разрешениями на поиск пользователей. Например, cn=config_admin infra,cn=users,dc=corp,dc=local.
    Пароль имени домена привязки Введите пароль Active Directory для учетной записи, с помощью которой можно искать пользователей.
  4. Щелкните Проверить подключение, чтобы проверить подключение к настроенному каталогу.
    При сбое подключения проверьте значения во всех полях и при необходимости обратитесь к системному администратору.
  5. Нажмите Сохранить и Далее.
    Откроется страница «Выбор доменов» со списком доменов.
  6. Выберите домен по умолчанию и нажмите кнопку Далее.
  7. Убедитесь, что имена атрибутов сопоставлены с соответствующими атрибутами Active Directory. В противном случае в раскрывающемся меню выберите правильный атрибут Active Directory. Нажмите кнопку Далее.
  8. Выберите группы и пользователей для синхронизации.
    1. а. Щелкните значок Добавить (Добавить).
    2. б. Введите домен пользователя и щелкните элемент Поиск групп.
      Например, cn=users,dc=corp,dc=local.
    3. в. Установите флажок Выбрать все.
    4. г. Нажмите Выбрать.
    5. д. Нажмите кнопку Далее.
    6. е. Щелкните Добавить, чтобы добавить дополнительных пользователей. Например, введите CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com.
      Чтобы удалить пользователей, щелкните +. Таким образом, создается фильтр, позволяющий исключить некоторые типы пользователей. Вы выбираете атрибут пользователя для фильтрации, правило запроса и значение.
    7. ё. Нажмите кнопку Далее.
  9. Посмотрите на странице, сколько пользователей и групп синхронизируются с каталогом, и щелкните команду Синхронизировать каталог.
    Процесс синхронизации каталогов занимает некоторое время, но проходит в фоновом режиме, и вы можете продолжать работать.
  10. Настройте второй соединитель для поддержки высокой доступности.
    1. а. Войдите в подсистему балансировки нагрузки для развертывания vRealize Automation в качестве администратора арендатора.
      URL-адрес подсистемы балансировки нагрузки — <адрес подсистемы балансировки нагрузки>/vcac/org/tenant_name.
    2. б. Выберите Администрирование > Управление каталогами > Поставщики удостоверений.
    3. в. Щелкните поставщика удостоверений, который в настоящее время используется для вашей системы.
      Появляются существующий каталог и соединитель, которые обеспечивают базовое управление учетными данными для вашей системы.
    4. г. Щелкните раскрывающийся список Добавить соединитель и выберите соединитель, который соответствует дополнительному устройству vRealize Automation.
    5. д. Введите соответствующий пароль в текстовом поле Пароль имени домена привязки, которое появляется при выборе соединителя.
    6. е. Щелкните Добавить соединитель.
    7. ё. Измените имя узла для указания на подсистему балансировки нагрузки.

Результаты

Корпоративный каталог Active Directory подключен к vRealize Automation. Управление каталогами настроено для обеспечения высокой доступности.

Дальнейшие действия

Для обеспечения усиленной безопасности можно настроить двунаправленную доверенную связь между поставщиком удостоверений и Active Directory. См. раздел Настройка двунаправленных отношений доверия между vRealize Automation и Active Directory.