在部署 VMware Identity Manager OVA 後,您可以使用安裝精靈來設定密碼及選取資料庫。接著,您可以設定 Active Directory 或 LDAP 目錄的連線。
必要條件
- VMware Identity Manager 虛擬應用裝置已開啟電源。
- 如果您使用外部資料庫,外部資料庫必須已經過設定,且外部資料庫連線資訊必須可供使用。如需詳細資訊,請參閱連線資料庫。
- 檢閱與您的企業目錄整合、與 Active Directory 整合和整合 LDAP 目錄與服務,以瞭解需求和限制。
- 取得您 Active Directory 或 LDAP 目錄的資訊。
- 如果您已設定多樹系 Active Directory 且網域本機群組含有來自不同樹系之網域的成員,必須將在 VMware Identity Manager 目錄頁面上使用的繫結 DN 使用者新增至網域本機群組所在之網域的管理員群組。如果未完成此操作,本機群組中將遺失這些成員。
- 您已備妥要當作篩選器的使用者屬性清單,以及要新增至 VMware Identity Manager 的群組清單。
程序
- 在主控台索引標籤中,前往顯示在藍色畫面中的 VMware Identity Manager URL。例如,
https://hostname.example.com
。 - 顯示提示時,接受憑證。
- 在 [開始使用] 頁面中按一下繼續。
- 在 [設定密碼] 頁面中,設定以下用來管理應用裝置之管理員帳戶的密碼,然後按一下繼續。
帳戶 應用裝置管理員 設定 Admin 使用者的密碼。此使用者名稱無法變更。Admin 使用者帳戶可用來管理應用裝置設定。 重要: Admin 使用者密碼的長度至少必須為 6 個字元。應用裝置根 設定根使用者密碼。根使用者擁有應用裝置的完整權限。 遠端使用者 設定 sshuser 密碼,該帳戶可用來透過 SSH 連線從遠端登入應用裝置。 - 在 [選取資料庫] 頁面中選取要使用的資料庫。
如需詳細資訊,請參閱 連線資料庫。
- 如果您使用外部資料庫,請選取外部資料庫並輸入外部資料庫連線資訊、使用者名稱及密碼。若要驗證 VMware Identity Manager 是否能連接資料庫,請按一下測試連線。
驗證連線後,請按一下繼續。
- 如果您使用內部資料庫,請按一下繼續。
備註: 建議不要在生產部署中使用內部資料庫。
如此可設定資料庫連線及初始化資料庫。當程序完成時, 設定完成頁面會顯示。 - 如果您使用外部資料庫,請選取外部資料庫並輸入外部資料庫連線資訊、使用者名稱及密碼。若要驗證 VMware Identity Manager 是否能連接資料庫,請按一下測試連線。
- 在設定完成頁面上按一下登入管理主控台連結以登入管理主控台,進而設定 Active Directory 或 LDAP 目錄連線。
- 使用您設定的密碼以 Admin 使用者身分登入管理主控台。
- 按一下身分識別與存取管理索引標籤。
- 按一下設定 > 使用者屬性以選取與目錄同步的使用者屬性。
列示在畫面中的為預設屬性,而您可以選取必要的屬性。如果屬性標示為必要,則只有具有該屬性的使用者會同步至服務。您也可以新增其他屬性。重要: 建立目錄後,您便無法將屬性變更為必要屬性。您必須在現在進行選取。
同時也請留意,[使用者屬性] 頁面中的設定會套用至服務中的所有目錄。當您將屬性標示為必要時,請考量這對其他目錄的影響。如果屬性標示為必要,不具該屬性的使用者將不會同步至服務。
重要: 如果計劃將 XenApp 資源與 VMware Identity Manager 同步,您必須將 distinguishedName 設為需要屬性。 - 按一下儲存。
- 按一下身分識別與存取管理索引標籤。
- 在 [目錄] 頁面中按一下新增目錄,然後根據您所要整合的目錄類型選取新增 Active Directory over LDAP/IWA 或新增 LDAP 目錄。
您也可以在服務中建立本機目錄。如需關於使用本機目錄的詳細資訊,請參閱 使用本機目錄。
- 針對 Active Directory,請遵循下列步驟。
- 針對要在 VMware Identity Manager 中建立的目錄輸入名稱,然後選取 Active Directory over LDAP 或 Active Directory (整合式 Windows 驗證) 等類型的目錄。
- 提供連線資訊。
選項 說明 Active Directory over LDAP - 在同步連接器 欄位中,選取要用來將使用者和群組從 Active Directory 同步到 VMware Identity Manager 目錄的連接器。
依預設,VMware Identity Manager 服務隨時附有可用的連接器元件。此連接器會顯示在下拉式清單中。如果您為了實現高可用性而安裝多個 VMware Identity Manager 應用裝置,每個連接器元件均會顯示在清單中。
- 在驗證欄位中,如果您想要使用這個 Active Directory 來驗證使用者,請選取是。
如果您想要使用第三方身分識別提供者來驗證使用者,請按一下否。在設定要同步使用者和群組的 Active Directory 連線後,請前往身分識別與存取管理 > 管理 > 身分識別提供者頁面,新增用於驗證的第三方身分識別提供者。
- 在目錄搜尋屬性欄位中,選取包含使用者名稱的帳戶屬性。
- 如果 Active Directory 使用 DNS 服務位置查閱,請選取以下項目。
- 在伺服器位置區段中,選取此目錄支援 DNS 服務位置核取方塊。
當您建立目錄時,系統會建立自動填入網域控制站清單的 domain_krb.properties 檔案。請參閱 關於網域控制站選項 (domain_krb.properties 檔案)。
- 如果 Active Directory 要求 STARTTLS 加密,請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊,然後將 Active Directory 根 CA 憑證複製貼到 SSL 憑證欄位。
確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
備註: 如果 Active Directory 要求 STARTTLS 但您未提供憑證,將無法建立目錄。
- 在伺服器位置區段中,選取此目錄支援 DNS 服務位置核取方塊。
- 如果 Active Directory 不使用 DNS 服務位置查閱,請選取以下項目。
- 在伺服器位置區段中,確認此目錄支援 DNS 服務位置核取方塊未選取,然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。
若要將目錄設定為全域目錄,請參閱 Active Directory 環境中的〈擁有多網域的單一樹系 Active Directory 環境〉一節。
- 如果 Active Directory 要求透過 SSL 存取,請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊,並將 Active Directory 根 CA 憑證複製和貼到 SSL 憑證欄位。
確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
備註: 如果 Active Directory 要求 SSL 但您未提供憑證,將無法建立目錄。
- 在伺服器位置區段中,確認此目錄支援 DNS 服務位置核取方塊未選取,然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。
- 在允許變更密碼區段中,如果您想要讓使用者可以在密碼到期或 Active Directory 管理員重設使用者密碼時,從 VMware Identity Manager 登入頁面重設其密碼,請選取啟用變更密碼。
- 在基準 DN 欄位中,輸入要從中開始帳戶搜尋的 DN。例如,OU=myUnit,DC=myCorp,DC=com。
- 在繫結 DN 欄位中,輸入可搜尋使用者的帳戶。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。
備註: 建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
- 輸入繫結密碼之後,按一下測試連線以確認該目錄可以連線至您的 Active Directory。
Active Directory (整合式 Windows 驗證) - 在同步連接器 欄位中,選取要用來將使用者和群組從 Active Directory 同步到 VMware Identity Manager 目錄的連接器。
依預設,VMware Identity Manager 服務隨時附有可用的連接器元件。此連接器會顯示在下拉式清單中。如果您為了實現高可用性而安裝多個 VMware Identity Manager 應用裝置,每個連接器元件均會顯示在清單中。
- 在驗證欄位中,如果您想要使用這個 Active Directory 來驗證使用者,請按一下是。
如果您想要使用第三方身分識別提供者來驗證使用者,請按一下否。在設定要同步使用者和群組的 Active Directory 連線後,請前往身分識別與存取管理 > 管理 > 身分識別提供者頁面,新增用於驗證的第三方身分識別提供者。
- 在目錄搜尋屬性欄位中,選取包含使用者名稱的帳戶屬性。
- 如果 Active Directory 要求 STARTTLS 加密,請在憑證區段中選取此目錄要求所有連線使用 STARTTLS 核取方塊,然後將 Active Directory 根 CA 憑證複製貼到 SSL 憑證欄位。
確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
如果目錄有多個網域,請為所有網域新增根 CA 憑證,一次新增一個。
備註: 如果 Active Directory 要求 STARTTLS 但您未提供憑證,將無法建立目錄。 - 輸入要加入之 Active Directory 網域的名稱。輸入擁有加入網域權限的使用者名稱和密碼。如需詳細資訊,請參閱加入網域所需的權限。
- 在允許變更密碼區段中,如果您想要讓使用者可以在密碼到期或 Active Directory 管理員重設使用者密碼時,從 VMware Identity Manager 登入頁面重設其密碼,請選取啟用變更密碼。
- 在 繫結使用者 UPN 欄位中,輸入可透過網域進行驗證之使用者的使用者主體名稱。例如,[email protected]。
備註: 建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
- 輸入繫結 DN 使用者密碼。
- 在同步連接器 欄位中,選取要用來將使用者和群組從 Active Directory 同步到 VMware Identity Manager 目錄的連接器。
- 按一下儲存 & 下一步。
顯示網域清單的頁面隨即會顯示。
- 針對 LDAP 目錄,請遵循下列步驟。
- 提供連線資訊。
選項 說明 目錄名稱 您要在 VMware Identity Manager 中建立之目錄的名稱。 目錄同步和驗證 - 在同步連接器欄位中,選取要用來將使用者和群組從 LDAP 目錄同步至 VMware Identity Manager 目錄的連接器。
依預設,VMware Identity Manager 服務隨時附有可用的連接器元件。此連接器會顯示在下拉式清單中。如果您為了實現高可用性而安裝多個 VMware Identity Manager 應用裝置,每個連接器元件均會顯示在清單中。
您不需要為單一 LDAP 目錄使用個別的連接器。無論這些目錄是 Active Directory 或 LDAP 目錄,一個連接器可支援多個目錄。
- 在驗證欄位中,如果您想要使用此 LDAP 目錄來驗證使用者,請選取是。
如果您想要使用第三方身分識別提供者來驗證使用者,請選取否。在新增要用來同步使用者和群組的目錄連線後,請移至身分識別與存取管理 > 管理 > 身分識別提供者頁面,新增用於驗證的第三方身分識別提供者。
- 在目錄搜尋屬性欄位中,指定要用於使用者名稱的 LDAP 目錄屬性。如果屬性未列出,請選取自訂,並輸入屬性名稱。例如 cn。
伺服器位置 輸入 LDAP Directory 伺服器主機和連接埠號碼。對於伺服器主機,您可以指定完整網域名稱或 IP 位址。例如 myLDAPserver.example.com 或 100.00.00.0。 如果在負載平衡器後方有伺服器叢集,請改為輸入負載平衡器資訊。
LDAP 組態 指定可讓 VMware Identity Manager 用來查詢您的 LDAP 目錄的 LDAP 搜尋篩選器和屬性。系統會根據核心 LDAP 結構描述提供預設值。 LDAP 查詢
- 取得群組:用來取得群組物件的搜尋篩選器。
例如:(objectClass=group)
- 取得繫結使用者:用來取得繫結使用者物件 (繫結至目錄的使用者) 的搜尋篩選器。
例如:(objectClass=person)
- 取得使用者:用來取得所要同步之使用者的搜尋篩選器。
例如:(&(objectClass=user)(objectCategory=person))
屬性
- 成員資格:在您的 LDAP 目錄中用來定義群組成員的屬性。
例如:member
- 物件 UUID:在您的 LDAP 目錄中用來定義使用者或群組之 UUID 的屬性。
例如:entryUUID
- 辨別名稱:在您的 LDAP 目錄中用於使用者或群組之辨別名稱的屬性。
例如:entryDN
憑證 如果您的 LDAP 目錄需要透過 SSL 進行存取,請選取此目錄要求所有連線使用 SSL,然後複製並貼上 LDAP 目錄伺服器的根 CA SSL 憑證。確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。 繫結使用者詳細資料 基準 DN:輸入要從中開始搜尋的 DN。例如 cn=users,dc=example,dc=com 繫結 DN:輸入要用來繫結至 LDAP 目錄的使用者名稱。備註: 建議您使用繫結 DN 使用者帳戶與不會到期的密碼。繫結 DN 密碼:輸入繫結 DN 使用者的密碼。
- 在同步連接器欄位中,選取要用來將使用者和群組從 LDAP 目錄同步至 VMware Identity Manager 目錄的連接器。
- 若要測試 LDAP 目錄伺服器的連線,請按一下測試連線。
如果連線失敗,請檢查您所輸入的資訊,並進行適當的變更。
- 按一下儲存 & 下一步。
列出網域的頁面隨即顯示。
- 提供連線資訊。
- 對於 LDAP 目錄,列出的網域將無法修改。
對於 Active Directory over LDAP,列出的網域將無法修改。
對於 Active Directory (整合式 Windows 驗證),選取應與此 Active Directory 連線相關聯的網域。
備註: 如果您在建立目錄後新增信任網域,則服務不會自動偵測到新的信任網域。若要讓服務能夠偵測到網域, 連接器必須先離開該網域再重新加入。當 連接器重新加入網域時,信任網域會出現在清單中。按下一步。
- 確認 VMware Identity Manager 屬性名稱已對應至正確的 Active Directory 或 LDAP 屬性,並視需要進行變更。
重要: 如果您要整合 LDAP 目錄,您必須指定 網域屬性的對應。
- 按下一步。
- 選取要從 Active Directory 或 LDAP 目錄同步至 VMware Identity Manager 目錄的群組。
選項 說明 指定群組 DN 若要選取群組,您必須指定一或多個群組 DN,並選取其下的群組。 - 按一下 +,然後指定群組 DN。例如 CN=users,DC=example,DC=company,DC=com。
重要: 指定您在基準 DN 下所輸入的群組 DN。如果某個群組 DN 在基準 DN 的外部,則來自該 DN 的使用者仍會進行同步,但將無法登入。
- 按一下尋找群組。
要同步的群組資料行會列出在 DN 中找到的群組數目。
- 若要選取 DN 中的所有群組,請按一下全選,否則請按一下選取,並選取要同步的特定群組。
備註: 如果您的 LDAP 目錄中有多個具有相同名稱的群組,則必須在 VMware Identity Manager 中為其指定唯一名稱。您可以在選取群組時變更名稱。
備註: 同步群組時,在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者,皆不會進行同步。同步巢狀群組成員 依預設會啟用同步巢狀群組成員選項。啟用此選項時,系統會同步直接屬於您選取群組的所有使用者,以及屬於其下巢狀群組的所有使用者。請注意,系統不會對巢狀群組進行同步;只會對屬於巢狀群組的使用者進行同步。在 VMware Identity Manager 目錄中,這些使用者將會是您選取要同步之父系群組的成員。
如果停用同步巢狀群組成員選項,當您指定要同步的群組時,將會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項對於大型 Active Directory 組態有幫助,其中,周遊群組樹狀目錄為耗用大量資源和時間的作業。如果您停用此選項,請確保您選取您要同步其使用者的所有群組。
- 按一下 +,然後指定群組 DN。例如 CN=users,DC=example,DC=company,DC=com。
- 按下一步。
- 如有必要,請指定其他要同步的使用者。
- 按一下 +,然後輸入使用者 DN。例如 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
重要: 指定您在基準 DN 下所輸入的使用者 DN。如果某個使用者 DN 在基準 DN 的外部,則來自該 DN 的使用者仍會進行同步,但將無法登入。
- (選用) 若要排除使用者,請建立篩選器以排除某些使用者類型。
選取要做為篩選依據的使用者屬性、查詢規則及值。
- 按一下 +,然後輸入使用者 DN。例如 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
- 按下一步。
- 檢閱頁面以查看將同步到目錄的使用者和群組數目,以及檢視同步排程。。
若要對使用者和群組或同步頻率進行變更,請按一下編輯連結。
- 按一下同步目錄以啟動目錄同步。
結果
後續步驟
如需設定負載平衡器或高可用性組態的相關資訊,請參閱VMware Identity Manager 應用裝置的進階組態。
您可以針對組織的應用程式自訂資源目錄,再讓使用者存取這些資源。您也可以設定包括 View、ThinApp 及 Citrix 型應用程式在內的其他資源。請參閱 《在 VMware Identity Manager 中設定資源》。