設定服務的 Active Directory 連線

在管理主控台中，指定連線至您的 Active Directory 所需的資訊，並選取要與 VMware Identity Manager 目錄同步的使用者和群組。

執行這項作業的原因和時機

Active Directory 連線選項是 Active Directory over LDAP 或 Active Directory 整合式 Windows 驗證。Active Directory over LDAP 連線支援 DNS 服務位置查閱。透過 Active Directory 整合式 Windows 驗證，您可以設定要加入的網域。

先決條件

在 [使用者屬性] 頁面上選取必要的屬性，並視需要新增其他屬性。請參閱選取要與目錄同步的屬性。

重要事項︰
如果計劃將 XenApp 資源與 VMware Identity Manager 同步，您必須將 distinguishedName 設為必要屬性。您必須先進行此選擇，之後才能建立目錄，因為建立目錄之後，即無法將屬性變更為必要屬性。
要從 Active Directory 進行同步的 Active Directory 群組和使用者清單。
對於 Active Directory over LDAP，所需的資訊包括基準 DN、繫結 DN 及繫結 DN 密碼。

備註︰
建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
對於 Active Directory 整合式 Windows 驗證，所需的資訊包括網域的繫結使用者 UPN 位址和密碼。

備註︰
建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
如果 Active Directory 需要透過 SSL 或 STARTTLS 存取，則需要 Active Directory 網域控制站的根 CA 憑證。
對於 Active Directory 整合式 Windows 驗證，如果您已設定多樹系 Active Directory 並且網域本機群組包含來自不同樹系中網域的成員，請確保已將繫結使用者新增至網域本機群組所在網域的管理員群組。如果未這麼做，網域本機群組中會遺失這些成員。

程序

在管理主控台，按一下身分識別與存取管理索引標籤。
在 [目錄] 頁面上，按一下新增目錄。
輸入此 VMware Identity Manager 目錄的名稱。

選取在您環境中的 Active Directory 類型，並設定連線資訊。

選項	說明
Active Directory over LDAP	在同步 Connector 欄位中，選取連接器以用來與 Active Directory 同步。在驗證欄位中，如果是使用此 Active Directory 來驗證使用者，請按一下是。如果是使用第三方身分識別提供者來驗證使用者，請按一下否。設定 Active Directory 連線來同步使用者和群組之後，前往 [身分識別與存取管理] > [管理] > [身分識別提供者] 頁面來新增用於驗證的第三方身分識別提供者。在目錄搜尋屬性欄位中，選取包含使用者名稱的帳戶屬性。如果 Active Directory 使用 DNS 服務位置查閱，請選取以下項目。在伺服器位置區段中，選取此目錄支援 DNS 服務位置核取方塊。當您建立目錄時，系統會建立自動填入網域控制站清單的 domain_krb.properties 檔案。請參閱關於網域控制站選項 (domain_krb.properties 檔案)。如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，然後將 Active Directory 根 CA 憑證複製貼到 SSL 憑證欄位。確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。備註︰如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。如果 Active Directory 不使用 DNS 服務位置查閱，請選取以下項目。在伺服器位置區段中，確認此目錄支援 DNS 服務位置核取方塊未選取，然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。若要將目錄設定為全域目錄，請參閱 Active Directory 環境中的〈擁有多網域的單一樹系 Active Directory 環境〉一節。如果 Active Directory 要求透過 SSL 存取，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，並將 Active Directory 根 CA 憑證複製和貼到 SSL 憑證欄位。確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。備註︰如果 Active Directory 要求 SSL 但您未提供憑證，將無法建立目錄。在基準 DN 欄位中，輸入要從中開始帳戶搜尋的 DN。例如，OU=myUnit,DC=myCorp,DC=com。在繫結 DN 欄位中，輸入可搜尋使用者的帳戶。例如，CN=binduser,OU=myUnit,DC=myCorp,DC=com。備註︰建議您使用繫結 DN 使用者帳戶與不會到期的密碼。輸入繫結密碼之後，按一下測試連線以確認該目錄可以連線至您的 Active Directory。
Active Directory (整合式 Windows 驗證)	在同步連接器欄位中，選取連接器以用來與 Active Directory 同步。在驗證欄位中，如果是使用此 Active Directory 來驗證使用者，請按一下是。如果是使用第三方身分識別提供者來驗證使用者，請按一下否。設定 Active Directory 連線來同步使用者和群組之後，前往 [身分識別與存取管理] > [管理] > [身分識別提供者] 頁面來新增用於驗證的第三方身分識別提供者。在目錄搜尋屬性欄位中，選取包含使用者名稱的帳戶屬性。如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 STARTTLS 核取方塊，然後將 Active Directory 根 CA 憑證複製貼到 SSL 憑證欄位。確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。如果目錄有多個網域，請為所有網域新增根 CA 憑證，一次新增一個。備註︰如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。輸入要加入之 Active Directory 網域的名稱。輸入擁有加入網域權限的使用者名稱和密碼。如需詳細資訊，請參閱加入網域所需的權限。在 [繫結使用者 UPN] 欄位中，輸入可透過網域進行驗證之使用者的使用者主體名稱。例如，[email protected]。備註︰建議您使用繫結 DN 使用者帳戶與不會到期的密碼。輸入繫結使用者密碼。

選項

說明

Active Directory over LDAP

在同步 Connector 欄位中，選取連接器以用來與 Active Directory 同步。
在驗證欄位中，如果是使用此 Active Directory 來驗證使用者，請按一下是。
如果是使用第三方身分識別提供者來驗證使用者，請按一下否。設定 Active Directory 連線來同步使用者和群組之後，前往 [身分識別與存取管理] > [管理] > [身分識別提供者] 頁面來新增用於驗證的第三方身分識別提供者。
在目錄搜尋屬性欄位中，選取包含使用者名稱的帳戶屬性。
如果 Active Directory 使用 DNS 服務位置查閱，請選取以下項目。
- 在伺服器位置區段中，選取此目錄支援 DNS 服務位置核取方塊。
  當您建立目錄時，系統會建立自動填入網域控制站清單的 domain_krb.properties 檔案。請參閱關於網域控制站選項 (domain_krb.properties 檔案)。
- 如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，然後將 Active Directory 根 CA 憑證複製貼到 SSL 憑證欄位。
  確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
  
  備註︰
  如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。
如果 Active Directory 不使用 DNS 服務位置查閱，請選取以下項目。
- 在伺服器位置區段中，確認此目錄支援 DNS 服務位置核取方塊未選取，然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。
  若要將目錄設定為全域目錄，請參閱 Active Directory 環境中的〈擁有多網域的單一樹系 Active Directory 環境〉一節。
- 如果 Active Directory 要求透過 SSL 存取，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，並將 Active Directory 根 CA 憑證複製和貼到 SSL 憑證欄位。
  確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
  
  備註︰
  如果 Active Directory 要求 SSL 但您未提供憑證，將無法建立目錄。
在基準 DN 欄位中，輸入要從中開始帳戶搜尋的 DN。例如，OU=myUnit,DC=myCorp,DC=com。
在繫結 DN 欄位中，輸入可搜尋使用者的帳戶。例如，CN=binduser,OU=myUnit,DC=myCorp,DC=com。

備註︰
建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
輸入繫結密碼之後，按一下測試連線以確認該目錄可以連線至您的 Active Directory。

Active Directory (整合式 Windows 驗證)

在同步連接器欄位中，選取連接器以用來與 Active Directory 同步。
在驗證欄位中，如果是使用此 Active Directory 來驗證使用者，請按一下是。
如果是使用第三方身分識別提供者來驗證使用者，請按一下否。設定 Active Directory 連線來同步使用者和群組之後，前往 [身分識別與存取管理] > [管理] > [身分識別提供者] 頁面來新增用於驗證的第三方身分識別提供者。
在目錄搜尋屬性欄位中，選取包含使用者名稱的帳戶屬性。
如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 STARTTLS 核取方塊，然後將 Active Directory 根 CA 憑證複製貼到 SSL 憑證欄位。
確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
如果目錄有多個網域，請為所有網域新增根 CA 憑證，一次新增一個。

備註︰
如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。
輸入要加入之 Active Directory 網域的名稱。輸入擁有加入網域權限的使用者名稱和密碼。如需詳細資訊，請參閱加入網域所需的權限。
在 [繫結使用者 UPN] 欄位中，輸入可透過網域進行驗證之使用者的使用者主體名稱。例如，[email protected]。

備註︰
建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
輸入繫結使用者密碼。

按一下儲存 & 下一步。

顯示網域清單的頁面隨即會顯示。
對於 Active Directory over LDAP，網域將與核取記號一併列出。

對於 Active Directory (整合式 Windows 驗證)，選取應與此 Active Directory 連線相關聯的網域。

備註︰
如果您在建立目錄後新增信任網域，則服務不會自動偵測到新的信任網域。若要讓服務能夠偵測到網域，連接器必須離開後再重新加入該網域。當連接器重新加入網域時，信任網域會顯示在清單中。

按下一步。
驗證 VMware Identity Manager 目錄屬性名稱對應至正確的 Active Directory 屬性，並視需要進行變更，然後按下一步。

選取要從 Active Directory 同步到 VMware Identity Manager 目錄的群組。

選項	說明
指定群組 DN	若要選取群組，您必須指定一或多個群組 DN，並選取其下的群組。按一下 +，然後指定群組 DN。例如 CN=users,DC=example,DC=company,DC=com。重要事項︰指定您在基準 DN 下所輸入的群組 DN。如果某個群組 DN 在基準 DN 的外部，則來自該 DN 的使用者仍會進行同步，但將無法登入。按一下尋找群組。要同步的群組資料行會列出在 DN 中找到的群組數目。若要選取 DN 中的所有群組，請按一下全選，否則請按一下選取，並選取要同步的特定群組。備註︰同步群組時，在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者，皆不會進行同步。
同步巢狀群組成員	依預設會啟用同步巢狀群組成員選項。啟用此選項時，系統會同步直接屬於您選取群組的所有使用者，以及屬於其下巢狀群組的所有使用者。請注意，系統不會對巢狀群組進行同步；只會對屬於巢狀群組的使用者進行同步。在 VMware Identity Manager 目錄中，這些使用者將會是您選取要同步之父系群組的成員。如果停用同步巢狀群組成員選項，當您指定要同步的群組時，將會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項對於大型 Active Directory 組態有幫助，其中，周遊群組樹狀目錄為耗用大量資源和時間的作業。如果您停用此選項，請確保您選取您要同步其使用者的所有群組。

選項

說明

指定群組 DN

若要選取群組，您必須指定一或多個群組 DN，並選取其下的群組。

按一下 +，然後指定群組 DN。例如 CN=users,DC=example,DC=company,DC=com。

重要事項︰
指定您在基準 DN 下所輸入的群組 DN。如果某個群組 DN 在基準 DN 的外部，則來自該 DN 的使用者仍會進行同步，但將無法登入。
按一下尋找群組。
要同步的群組資料行會列出在 DN 中找到的群組數目。
若要選取 DN 中的所有群組，請按一下全選，否則請按一下選取，並選取要同步的特定群組。

備註︰

同步群組時，在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者，皆不會進行同步。

同步巢狀群組成員

依預設會啟用同步巢狀群組成員選項。啟用此選項時，系統會同步直接屬於您選取群組的所有使用者，以及屬於其下巢狀群組的所有使用者。請注意，系統不會對巢狀群組進行同步；只會對屬於巢狀群組的使用者進行同步。在 VMware Identity Manager 目錄中，這些使用者將會是您選取要同步之父系群組的成員。

如果停用同步巢狀群組成員選項，當您指定要同步的群組時，將會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項對於大型 Active Directory 組態有幫助，其中，周遊群組樹狀目錄為耗用大量資源和時間的作業。如果您停用此選項，請確保您選取您要同步其使用者的所有群組。

按下一步。
如有必要，請指定其他要同步的使用者。
1. 按一下 +，然後輸入使用者 DN。例如 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
  
  重要事項︰
  指定您在基準 DN 下所輸入的使用者 DN。如果某個使用者 DN 在基準 DN 的外部，則來自該 DN 的使用者仍會進行同步，但將無法登入。
2. (選用) 若要排除使用者，請建立篩選器以排除某些使用者類型。
  
  選取要做為篩選依據的使用者屬性、查詢規則及值。
按下一步。
檢閱頁面，以查看將同步至目錄的使用者和群組數目，以及檢視同步排程。

若要對使用者和群組或同步頻率進行變更，請按一下編輯連結。
按一下同步目錄來開始同步至目錄。

結果

Active Directory 的連線隨即建立，且使用者和群組會從 Active Directory 同步至 VMware Identity Manager 目錄。依預設，繫結 DN 使用者會具有 VMware Identity Manager 中的管理員角色。

下一步

如果您建立支援 DNS 服務位置的目錄，系統會建立 domain_krb.properties 檔案，並自動填入網域控制站的清單。檢視檔案來確認或編輯網域控制站的清單。請參閱關於網域控制站選項 (domain_krb.properties 檔案)。
設定驗證方法。當使用者和群組同步到目錄後，如果連接器同樣用於驗證，則可在連接器上設定其他驗證方法。如果驗證身分識別提供者為第三方，請在連接器中設定該身分識別提供者。
檢閱預設的存取原則。已將預設存取原則設定為允許所有網路範圍中的所有應用裝置存取網頁瀏覽器 (工作階段逾時設為八小時) 或存取用戶端應用程式 (工作階段逾時為 2160 小時，即 90 天)。您可以變更預設存取原則，並且當您新增 Web 應用程式至目錄時可建立新原則。
將自訂商標套用至管理主控台、使用者入口網站頁面和登入螢幕。