在管理主控台中，輸入連線至您的 Active Directory 所需的資訊，並選取要與 VMware Identity Manager 目錄同步的使用者和群組。

1. 在管理主控台，按一下身分識別與存取管理索引標籤。
2. 在 [目錄] 頁面上，按一下新增目錄。
3. 輸入此 VMware Identity Manager 目錄的名稱。
4. 選取在您環境中的 Active Directory 類型，並設定連線資訊。

   選項	說明
   Active Directory over LDAP	在同步連接器文字方塊中，選取 連接器 以用來與 Active Directory 同步。 在內部部署中，依預設連接器元件一律可用於 VMware Identity Manager 服務。此連接器會顯示在下拉式功能表中。如果您為了實現高可用性而安裝多個 VMware Identity Manager 執行個體，每個執行個體的連接器元件均會顯示在清單中。此外，系統也會列出外部連接器。 在驗證文字方塊中，如果是使用此 Active Directory 來驗證使用者，請按一下是。 如果是使用第三方身分識別提供者來驗證使用者，請按一下否。設定 Active Directory 連線來同步使用者和群組之後，前往 [身分識別與存取管理] > [管理] > [身分識別提供者] 頁面來新增用於驗證的第三方身分識別提供者。 在目錄搜尋屬性文字方塊中，選取包含使用者名稱的帳戶屬性。 如果 Active Directory 使用 DNS 服務位置查閱，請選取以下項目。 在伺服器位置區段中，選取此目錄支援 DNS 服務位置核取方塊。 當建立目錄時，系統會建立自動填入網域控制站清單的 domain_krb.properties 檔案。請參閱關於網域控制站選項 (domain_krb.properties 檔案)。 如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證文字方塊中。 確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。 備註： 如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。 如果 Active Directory 不使用 DNS 服務位置查閱，請選取以下項目。 在伺服器位置區段中，確認此目錄支援 DNS 服務位置核取方塊未選取，然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。 若要將目錄設定為全域目錄，請參閱 Active Directory 環境中的〈擁有多網域的單一樹系 Active Directory 環境〉一節。 如果 Active Directory 要求透過 SSL 存取，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，並將 Active Directory 根 CA 憑證複製和貼到 SSL 憑證欄位。 確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。 備註： 如果 Active Directory 要求 SSL 但您未提供憑證，將無法建立目錄。 在基準 DN 欄位中，輸入要從中開始帳戶搜尋的 DN。例如，OU=myUnit,DC=myCorp,DC=com。 在繫結 DN 欄位中，輸入可搜尋使用者的帳戶。例如，CN=binduser,OU=myUnit,DC=myCorp,DC=com。 備註： 建議您使用繫結 DN 使用者帳戶與不會到期的密碼。 輸入繫結密碼之後，按一下測試連線以確認該目錄可以連線至您的 Active Directory。
   Active Directory (整合式 Windows 驗證)	在同步連接器文字方塊中，選取 連接器 以用來與 Active Directory 同步。。 在驗證文字方塊中，如果是使用此 Active Directory 來驗證使用者，請按一下是。 如果是使用第三方身分識別提供者來驗證使用者，請按一下否。設定 Active Directory 連線來同步使用者和群組之後，前往 [身分識別與存取管理] > [管理] > [身分識別提供者] 頁面來新增用於驗證的第三方身分識別提供者。 在目錄搜尋屬性文字方塊中，選取包含使用者名稱的帳戶屬性。 如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 STARTTLS 核取方塊，然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證文字方塊中。 確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。 如果目錄有多個網域，請為所有網域新增根 CA 憑證，一次新增一個。 備註： 如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。 (僅限 Linux) 輸入要加入之 Active Directory 網域的名稱。輸入擁有加入網域權限的使用者名稱和密碼。如需詳細資訊，請參閱加入網域所需的權限 (僅限 Linux 虛擬應用裝置)。 在 [繫結使用者 UPN] 文字方塊中，輸入可透過網域進行驗證之使用者的使用者主體名稱。例如，[email protected]。 備註： 建議您使用繫結 DN 使用者帳戶與不會到期的密碼。 輸入繫結使用者密碼。

5. 按一下儲存 & 下一步。
   顯示網域清單的頁面隨即會顯示。
6. 對於 Active Directory over LDAP，網域將與核取記號一併列出。
   對於 Active Directory (整合式 Windows 驗證)，選取應與此 Active Directory 連線相關聯的網域。

   備註： 如果您在建立目錄後新增信任網域，則服務不會自動偵測到新的信任網域。若要讓服務能夠偵測到網域， 連接器必須先離開該網域再重新加入。當 連接器重新加入網域時，信任網域會出現在清單中。

   按下一步。

7. 驗證 VMware Identity Manager 目錄屬性名稱對應至正確的 Active Directory 屬性，並視需要進行變更，然後按下一步。
8. 選取要從 Active Directory 同步到 VMware Identity Manager 目錄的群組。
   在此處新增群組時，群組名稱會同步至目錄。在群組有權使用應用程式或群組名稱新增至存取原則規則之前，作為群組成員的使用者不會同步至目錄。任何後續排程的同步皆會從 Active Directory 帶入這些群組名稱的更新資訊。

   選項	說明
   指定群組 DN	若要選取群組，您必須指定一或多個群組 DN，並選取其下的群組。 按一下 +，然後指定群組 DN。例如 CN=users,DC=example,DC=company,DC=com。 重要： 指定您在基準 DN 下所輸入的群組 DN。如果某個群組 DN 在基準 DN 的外部，則來自該 DN 的使用者仍會進行同步，但將無法登入。 按一下尋找群組。 要同步的群組資料行會列出在 DN 中找到的群組數目。 若要選取 DN 中的所有群組，請按一下全選，否則請按一下選取，並選取要同步的特定群組。 備註： 同步群組時，在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者，皆不會進行同步。
   同步巢狀群組成員	依預設會啟用同步巢狀群組成員選項。此選項啟用時，系統會在群組獲得授權時，同步直接屬於您選取之群組的所有使用者，以及屬於其下巢狀群組的所有使用者。請注意，系統不會對巢狀群組進行同步；只會對屬於巢狀群組的使用者進行同步。在 VMware Identity Manager 目錄中，這些使用者將會是您選取要同步之父系群組的成員。 如果停用同步巢狀群組成員選項，當您指定要同步的群組時，將會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項對於大型 Active Directory 組態有幫助，其中，周遊群組樹狀目錄為耗用大量資源和時間的作業。如果您停用此選項，請確保您選取您要同步其使用者的所有群組。

9. 按下一步。
10. 指定要同步的使用者。
    由於在群組有權使用應用程式或新增至存取原則規則之前，群組中的成員不會同步至目錄，因此，請新增所有需要在設定群組權利之前進行驗證的使用者。
    1. 按一下 +，然後輸入使用者 DN。例如 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
       重要： 指定您在基準 DN 下所輸入的使用者 DN。如果某個使用者 DN 在基準 DN 的外部，則來自該 DN 的使用者仍會進行同步，但將無法登入。
    2. (選用) 若要排除使用者，請建立篩選器以排除某些使用者類型。
       選取要做為篩選依據的使用者屬性、查詢規則及值。
11. 按下一步。
12. 檢閱頁面，以查看將同步至目錄的使用者和群組數目，以及檢視同步排程。

    若要對使用者和群組或同步頻率進行變更，請按一下編輯連結。

13. 按一下同步目錄來開始同步至目錄。