設定服務的 Active Directory 連線

在 VMware Identity Manager 主控台中，輸入連線至 Active Directory 所需的資訊，並選取要與 VMware Identity Manager 目錄同步的使用者和群組。

Active Directory 連線選項是 Active Directory over LDAP 或透過整合式 Windows 驗證的 Active Directory。Active Directory over LDAP 連線支援 DNS 服務位置查閱。

必要條件

安裝並啟動 VMware Identity Manager Connector 執行個體。請參閱安裝和設定 VMware Identity Manager Connector (Windows)。
在 VMware Identity Manager 主控台的 [使用者屬性] 頁面上選取必要的屬性，並新增其他屬性。請參閱選取要與目錄同步的屬性。
建立要從 Active Directory 進行同步的 Active Directory 使用者和群組清單。群組名稱會立即同步至目錄。群組成員在群組有權使用資源或新增至原則規則之前不會進行同步。需要在設定群組權利之前進行驗證的使用者應在初始設定期間新增。
對於 Active Directory over LDAP，您需要要使用的基準 DN、繫結 DN 及繫結 DN 密碼。
繫結 DN 使用者必須在 Active Directory 中具備下列權限，才能將存取權授與使用者和群組物件：
- 讀取
- 讀取全部內容
- 讀取權限
備註：建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
對於透過整合式 Windows 驗證的 Active Directory，您需要繫結使用者的使用者名稱和密碼，且該使用者有權查詢所需網域的使用者和群組。
繫結使用者必須在 Active Directory 中具備下列權限，才能將存取權授與使用者和群組物件：
- 讀取
- 讀取全部內容
- 讀取權限
備註：建議您使用密碼不會到期的繫結使用者帳戶。
如果 Active Directory 要求透過 SSL 或 STARTTLS 存取，則需要所有相關 Active Directory 網域之網域控制站的根 CA 憑證。
對於透過整合式 Windows 驗證的 Active Directory，如果您已設定多樹系 Active Directory 並且網域本機群組包含來自不同樹系中網域的成員，請確保已將繫結使用者新增至網域本機群組所在網域的管理員群組。如果未這麼做，網域本機群組中會遺失這些成員。
對於透過整合式 Windows 驗證的 Active Directory：
- 針對 SRV 記錄中列出的所有網域控制站和隱藏的 RODC，對主機名稱和 IP 位址進行 nslookup 應可正常運作。
- 所有網域控制站的網路連線方面必須可連接

程序

在 VMware Identity Manager 主控台中，按一下身分識別與存取管理索引標籤。
在 [目錄] 頁面上，按一下新增目錄。
輸入此 VMware Identity Manager 目錄的名稱。

選取在您環境中的 Active Directory 類型，並設定連線資訊。

選項	說明
Active Directory over LDAP	在同步連接器文字方塊中，選取連接器以用來與 Active Directory 同步。在驗證文字方塊中，如果是使用此 Active Directory 來驗證使用者，請按一下是。如果是使用第三方身分識別提供者來驗證使用者，請按一下否。設定 Active Directory 連線來同步使用者和群組之後，前往 [身分識別與存取管理] > [管理] > [身分識別提供者] 頁面來新增用於驗證的第三方身分識別提供者。在目錄搜尋屬性文字方塊中，選取包含使用者名稱的帳戶屬性。如果您想要針對 Active Directory 使用 DNS 服務位置查閱，請選取以下項目。在伺服器位置區段中，選取此目錄支援 DNS 服務位置核取方塊。 VMware Identity Manager 會尋找並使用最佳的網域控制站。如果您不想使用最佳化的網域控制站選擇，請改為遵循步驟 e。如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證文字方塊中。確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。備註：如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。如果您不想針對 Active Directory 使用 DNS 服務位置查閱，請選取以下項目。在伺服器位置區段中，確認此目錄支援 DNS 服務位置核取方塊未選取，然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。若要將目錄設定為全域目錄，請參閱 Active Directory 環境中的〈擁有多網域的單一樹系 Active Directory 環境〉一節。如果 Active Directory 要求透過 SSL 存取，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，並將 Active Directory 根 CA 憑證複製和貼到 SSL 憑證欄位。確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。如果目錄有多個網域，請逐一新增所有網域的根 CA 憑證。備註：如果 Active Directory 要求 SSL 但您未提供憑證，將無法建立目錄。在基準 DN 欄位中，輸入要從中開始帳戶搜尋的 DN。例如，OU=myUnit,DC=myCorp,DC=com。在繫結 DN 欄位中，輸入可搜尋使用者的帳戶。例如，CN=binduser,OU=myUnit,DC=myCorp,DC=com。備註：建議您使用繫結 DN 使用者帳戶與不會到期的密碼。輸入繫結密碼之後，按一下測試連線以確認該目錄可以連線至您的 Active Directory。
Active Directory (整合式 Windows 驗證)	在同步連接器文字方塊中，選取連接器以用來與 Active Directory 同步。在驗證文字方塊中，如果是使用此 Active Directory 來驗證使用者，請按一下是。如果是使用第三方身分識別提供者來驗證使用者，請按一下否。設定 Active Directory 連線來同步使用者和群組之後，前往 [身分識別與存取管理] > [管理] > [身分識別提供者] 頁面來新增用於驗證的第三方身分識別提供者。在目錄搜尋屬性文字方塊中，選取包含使用者名稱的帳戶屬性。如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 STARTTLS 核取方塊，然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證文字方塊中。確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。如果目錄有多個網域，請逐一新增所有網域的根 CA 憑證。備註：如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。在繫結使用者詳細資料區段中，輸入有權查詢所需網域的使用者和群組之繫結使用者的使用者名稱和密碼。針對使用者名稱，請輸入 sAMAccountName，例如 jdoe。如果繫結使用者的網域不同於上方輸入的加入網域，請將使用者名稱輸入為 sAMAccountName@domain，其中網域為完整網域名稱。例如 [email protected]。備註：建議您使用密碼不會到期的繫結使用者帳戶。

選項

說明

Active Directory over LDAP

在同步連接器文字方塊中，選取連接器以用來與 Active Directory 同步。
在驗證文字方塊中，如果是使用此 Active Directory 來驗證使用者，請按一下是。
如果是使用第三方身分識別提供者來驗證使用者，請按一下否。設定 Active Directory 連線來同步使用者和群組之後，前往 [身分識別與存取管理] > [管理] > [身分識別提供者] 頁面來新增用於驗證的第三方身分識別提供者。
在目錄搜尋屬性文字方塊中，選取包含使用者名稱的帳戶屬性。
如果您想要針對 Active Directory 使用 DNS 服務位置查閱，請選取以下項目。
- 在伺服器位置區段中，選取此目錄支援 DNS 服務位置核取方塊。
  VMware Identity Manager 會尋找並使用最佳的網域控制站。如果您不想使用最佳化的網域控制站選擇，請改為遵循步驟 e。
- 如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證文字方塊中。
  確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。
  
  備註：如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。
如果您不想針對 Active Directory 使用 DNS 服務位置查閱，請選取以下項目。
- 在伺服器位置區段中，確認此目錄支援 DNS 服務位置核取方塊未選取，然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。
  若要將目錄設定為全域目錄，請參閱 Active Directory 環境中的〈擁有多網域的單一樹系 Active Directory 環境〉一節。
- 如果 Active Directory 要求透過 SSL 存取，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，並將 Active Directory 根 CA 憑證複製和貼到 SSL 憑證欄位。
  確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。
  如果目錄有多個網域，請逐一新增所有網域的根 CA 憑證。
  
  備註：如果 Active Directory 要求 SSL 但您未提供憑證，將無法建立目錄。
在基準 DN 欄位中，輸入要從中開始帳戶搜尋的 DN。例如，OU=myUnit,DC=myCorp,DC=com。
在繫結 DN 欄位中，輸入可搜尋使用者的帳戶。例如，CN=binduser,OU=myUnit,DC=myCorp,DC=com。
備註：建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
輸入繫結密碼之後，按一下測試連線以確認該目錄可以連線至您的 Active Directory。

Active Directory (整合式 Windows 驗證)

在同步連接器文字方塊中，選取連接器以用來與 Active Directory 同步。
在驗證文字方塊中，如果是使用此 Active Directory 來驗證使用者，請按一下是。
如果是使用第三方身分識別提供者來驗證使用者，請按一下否。設定 Active Directory 連線來同步使用者和群組之後，前往 [身分識別與存取管理] > [管理] > [身分識別提供者] 頁面來新增用於驗證的第三方身分識別提供者。
在目錄搜尋屬性文字方塊中，選取包含使用者名稱的帳戶屬性。
如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 STARTTLS 核取方塊，然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證文字方塊中。
確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。
如果目錄有多個網域，請逐一新增所有網域的根 CA 憑證。

備註：如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。
在繫結使用者詳細資料區段中，輸入有權查詢所需網域的使用者和群組之繫結使用者的使用者名稱和密碼。針對使用者名稱，請輸入 sAMAccountName，例如 jdoe。如果繫結使用者的網域不同於上方輸入的加入網域，請將使用者名稱輸入為 sAMAccountName@domain，其中網域為完整網域名稱。例如 [email protected]。
備註：建議您使用密碼不會到期的繫結使用者帳戶。

按一下儲存 & 下一步。
顯示網域清單的頁面隨即會顯示。
對於 Active Directory over LDAP，網域將與核取記號一併列出。
對於 Active Directory (整合式 Windows 驗證)，選取應與此 Active Directory 連線相關聯的網域。
備註：如果您在建立目錄後新增信任網域，則服務不會自動偵測到新的信任網域。若要讓服務能夠偵測到網域，連接器必須先離開該網域再重新加入。當連接器重新加入網域時，信任網域會出現在清單中。

按下一步。
驗證 VMware Identity Manager 目錄屬性名稱對應至正確的 Active Directory 屬性，並視需要進行變更，然後按下一步。

選取要從 Active Directory 同步到 VMware Identity Manager 目錄的群組。

在此處新增群組時，群組名稱會同步至目錄。在群組有權使用應用程式或群組名稱新增至存取原則規則之前，作為群組成員的使用者不會同步至目錄。任何後續排程的同步皆會從 Active Directory 帶入這些群組名稱的更新資訊。

選項	說明
指定群組 DN	若要選取群組，您必須指定一或多個群組 DN，並選取其下的群組。按一下 +，然後指定群組 DN。例如 CN=users,DC=example,DC=company,DC=com。重要：指定您在基準 DN 下所輸入的群組 DN。如果某個群組 DN 在基準 DN 的外部，則來自該 DN 的使用者仍會進行同步，但將無法登入。按一下尋找群組。要同步的群組資料行會列出在 DN 中找到的群組數目。若要選取 DN 中的所有群組，請按一下全選，否則請按一下選取，並選取要同步的特定群組。備註：同步群組時，在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者，皆不會進行同步。
同步巢狀群組成員	依預設會啟用同步巢狀群組成員選項。此選項啟用時，系統會在群組獲得授權時，同步直接屬於您選取之群組的所有使用者，以及屬於其下巢狀群組的所有使用者。請注意，系統不會對巢狀群組進行同步；只會對屬於巢狀群組的使用者進行同步。在 VMware Identity Manager 目錄中，這些使用者將會是您選取要同步之父系群組的成員。如果停用同步巢狀群組成員選項，當您指定要同步的群組時，將會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項對於大型 Active Directory 組態有幫助，其中，周遊群組樹狀目錄為耗用大量資源和時間的作業。如果您停用此選項，請確保您選取您要同步其使用者的所有群組。

選項

說明

指定群組 DN

若要選取群組，您必須指定一或多個群組 DN，並選取其下的群組。

按一下 +，然後指定群組 DN。例如 CN=users,DC=example,DC=company,DC=com。
重要：指定您在基準 DN 下所輸入的群組 DN。如果某個群組 DN 在基準 DN 的外部，則來自該 DN 的使用者仍會進行同步，但將無法登入。
按一下尋找群組。
要同步的群組資料行會列出在 DN 中找到的群組數目。
若要選取 DN 中的所有群組，請按一下全選，否則請按一下選取，並選取要同步的特定群組。

備註：同步群組時，在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者，皆不會進行同步。

同步巢狀群組成員

依預設會啟用同步巢狀群組成員選項。此選項啟用時，系統會在群組獲得授權時，同步直接屬於您選取之群組的所有使用者，以及屬於其下巢狀群組的所有使用者。請注意，系統不會對巢狀群組進行同步；只會對屬於巢狀群組的使用者進行同步。在 VMware Identity Manager 目錄中，這些使用者將會是您選取要同步之父系群組的成員。

如果停用同步巢狀群組成員選項，當您指定要同步的群組時，將會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項對於大型 Active Directory 組態有幫助，其中，周遊群組樹狀目錄為耗用大量資源和時間的作業。如果您停用此選項，請確保您選取您要同步其使用者的所有群組。

按下一步。
指定要同步的使用者。
由於在群組有權使用應用程式或新增至存取原則規則之前，群組中的成員不會同步至目錄，因此，請新增所有需要在設定群組權利之前進行驗證的使用者。
1. 按一下 +，然後輸入使用者 DN。例如 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
  
  重要：指定您在基準 DN 下所輸入的使用者 DN。如果某個使用者 DN 在基準 DN 的外部，則來自該 DN 的使用者仍會進行同步，但將無法登入。
2. (選用) 若要排除使用者，請建立篩選器以排除某些使用者類型。
  選取要作為篩選依據的使用者屬性、使用的查詢規則，然後新增值。該值不區分大小寫。字串中不可使用下列字元： *^()?!$。

指定要同步的使用者。

由於在群組有權使用應用程式或新增至存取原則規則之前，群組中的成員不會同步至目錄，因此，請新增所有需要在設定群組權利之前進行驗證的使用者。

按一下 +，然後輸入使用者 DN。例如 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。

重要：指定您在基準 DN 下所輸入的使用者 DN。如果某個使用者 DN 在基準 DN 的外部，則來自該 DN 的使用者仍會進行同步，但將無法登入。

(選擇性) 若要排除使用者，請建立篩選以根據所選屬性排除使用者。您可以建立多個排除篩選器。

選取要作為篩選依據的使用者屬性和查詢篩選，以套用至您所定義的值。

選項	說明
包含	排除符合屬性和值集的所有使用者。例如，名稱包含 Jane 會排除名為「Jane」的使用者。
不包含	排除所有使用者，除了那些符合屬性和值集的使用者以外。例如，telephoneNumber 不包含 800，將僅包括電話號碼包含「800」的使用者。
開頭為	排除屬性值中以 <xxx> 字元開頭的所有使用者。例如，employeeID 開頭為 ACME0，會排除員工識別碼開頭包含「ACME0」的所有使用者。
結尾為	排除屬性值中結尾為 <yyy> 字元的所有使用者。例如，電子郵件結尾為 example1.com，會排除電子郵件地址結尾為「example1.com」的所有使用者。

該值不區分大小寫。值字串中不可使用下列符號。

星號 *
插入號 ^
括號 ()
問號 ?
驚嘆號 !
貨幣符號 $

按下一步。
檢閱頁面，以查看將同步至目錄的使用者和群組數目，以及檢視同步排程。

若要對使用者和群組或同步頻率進行變更，請按一下編輯連結。
按一下同步目錄來開始同步至目錄。

結果

Active Directory 的連線隨即建立，且使用者和群組名稱會從 Active Directory 同步至 VMware Identity Manager 目錄。依預設，繫結使用者會具有 VMware Identity Manager 中的管理員角色。

如需關於群組同步方式的詳細資訊，請參閱《VMware Identity Manager 管理》中的〈管理使用者和群組〉。

後續步驟

設定驗證方法。當使用者和群組名稱同步到目錄後，如果連接器同樣用於驗證，則可在連接器上設定其他驗證方法。如果驗證身分識別提供者為第三方，請在連接器中設定該身分識別提供者。
檢閱預設的存取原則。已將預設存取原則設定為允許所有網路範圍中的所有應用裝置存取 Web 入口網站 (工作階段逾時設為八小時) 或存取用戶端應用程式 (工作階段逾時為 2160 小時，即 90 天)。您可以變更預設存取原則，且當您將 Web 應用程式新增至目錄時，可以建立新原則。
(內部部署) 必要時將自訂品牌套用至 VMware Identity Manager 主控台、使用者入口網站頁面和登入畫面。