設定 Active Directory 或 LDAP 目錄連線

您可以整合企業目錄與 VMware Identity Manager，以將使用者和群組從企業目錄同步至 VMware Identity Manager 服務。

支援的目錄類型如下。

Active Directory over LDAP
Active Directory, 整合式 Windows 驗證
LDAP 目錄。

必要條件

請檢閱《目錄與 VMware Identity Manager 的整合》，以瞭解需求和限制。
您的 Active Directory 或 LDAP 目錄資訊。
如果您已設定多樹系 Active Directory 且網域本機群組含有來自不同樹系之網域的成員，必須將在 VMware Identity Manager 目錄頁面上使用的繫結 DN 使用者新增至網域本機群組所在之網域的管理員群組。如果未這麼做，網域本機群組中會遺失這些成員。
備註： VMware Identity Manager 服務必須設定為以 Windows 網域使用者身分執行，才能使用多樹系 Active Directory。
您要當作篩選器的使用者屬性清單，以及要新增至 VMware Identity Manager 的群組清單。

程序

使用您設定的密碼以管理員使用者身分登入 VMware Identity Manager 主控台。
您的登入身分為本機管理員。[目錄] 頁面隨即會顯示。在新增目錄之前，請確保檢閱《目錄與 VMware Identity Manager 的整合》，以瞭解需求和限制。
按一下身分識別與存取管理索引標籤。
按一下設定 > 使用者屬性以選取與目錄同步的使用者屬性。
列示在畫面中的為預設屬性，而您可以選取必要的屬性。如果屬性標示為必要，則只有具有該屬性的使用者會同步至服務。您也可以新增其他屬性。
重要：建立目錄後，您便無法將屬性變更為必要屬性。您必須在現在進行選取。
請注意，[使用者屬性] 頁面中的設定會套用至服務中的所有目錄。當您將屬性標示為必要時，請考量這對其他目錄的影響。如果屬性標示為必要，不具該屬性的使用者將不會同步至服務。

重要：如果計劃將 XenApp 資源與 VMware Identity Manager 同步，您必須將 distinguishedName 設為需要屬性。
按一下儲存。
按一下身分識別與存取管理索引標籤。
在 [目錄] 頁面中按一下新增目錄，然後根據您所要整合的目錄類型選取新增 Active Directory over LDAP/IWA 或新增 LDAP 目錄。
您也可以在服務中建立本機目錄。如需關於使用本機目錄的詳細資訊，請參閱《VMware Identity Manager 管理指南》。

針對 Active Directory，請遵循下列步驟。

針對要在 VMware Identity Manager 中建立的目錄輸入名稱，然後選取 Active Directory over LDAP 或 Active Directory (整合式 Windows 驗證) 等類型的目錄。

提供連線資訊。

選項	說明
Active Directory over LDAP	在同步連接器文字方塊中，選取要用來將使用者和群組從 Active Directory 同步到 VMware Identity Manager 目錄的連接器。依預設，VMware Identity Manager 服務隨時附有可用的連接器元件。此連接器會顯示在下拉式功能表中。如果您為了實現高可用性而安裝多個 VMware Identity Manager 應用裝置，每個連接器元件均會顯示在清單中。在驗證文字方塊中，如果您想要使用這個 Active Directory 來驗證使用者，請選取是。如果您想要使用第三方身分識別提供者來驗證使用者，請按一下否。在設定要同步使用者和群組的 Active Directory 連線後，請前往身分識別與存取管理 > 管理 > 身分識別提供者頁面，新增用於驗證的第三方身分識別提供者。在目錄搜尋屬性文字方塊中，選取包含使用者名稱的帳戶屬性。如果 Active Directory 使用 DNS 服務位置查閱，請選取以下項目。在伺服器位置區段中，選取此目錄支援 DNS 服務位置核取方塊。如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證文字方塊中。確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。備註：如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。如果 Active Directory 不使用 DNS 服務位置查閱，請選取以下項目。在伺服器位置區段中，確認此目錄支援 DNS 服務位置核取方塊未選取，然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。若要將目錄設定為全域目錄，請在《目錄與 VMware Identity Manager 的整合》中參閱〈Active Directory 環境〉的「擁有多網域的單一樹系 Active Directory 環境」一節。如果 Active Directory 要求透過 SSL 存取，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，並將 Active Directory 根 CA 憑證複製和貼到 SSL 憑證文字方塊。確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。備註：如果 Active Directory 要求 SSL 但您未提供憑證，將無法建立目錄。在允許變更密碼區段中，如果您想要讓使用者可以在密碼到期或 Active Directory 管理員重設使用者密碼時，從 VMware Identity Manager 登入頁面重設其密碼，請選取啟用變更密碼。在基準 DN 文字方塊中，輸入要從中開始帳戶搜尋的 DN。例如，OU=myUnit,DC=myCorp,DC=com。在繫結 DN 文字方塊中，輸入可搜尋使用者的帳戶。例如，CN=binduser,OU=myUnit,DC=myCorp,DC=com。備註：建議您使用繫結 DN 使用者帳戶與不會到期的密碼。輸入繫結密碼之後，按一下測試連線以確認該目錄可以連線至您的 Active Directory。
Active Directory (整合式 Windows 驗證)	在同步連接器文字方塊中，選取要用來將使用者和群組從 Active Directory 同步到 VMware Identity Manager 目錄的連接器。依預設，VMware Identity Manager 服務隨時附有可用的連接器元件。此連接器會顯示在下拉式清單中。如果您為了實現高可用性而安裝多個 VMware Identity Manager 應用裝置，每個連接器元件均會顯示在清單中。在驗證文字方塊中，如果您想要使用此 Active Directory 來驗證使用者，請按一下是。如果您想要使用第三方身分識別提供者來驗證使用者，請按一下否。在設定要同步使用者和群組的 Active Directory 連線後，請前往身分識別與存取管理 > 管理 > 身分識別提供者頁面，新增用於驗證的第三方身分識別提供者。在目錄搜尋屬性文字方塊中，選取包含使用者名稱的帳戶屬性。如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 STARTTLS 核取方塊，然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證文字方塊中。確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。如果目錄有多個網域，請為所有網域新增根 CA 憑證，一次新增一個。備註：如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。在允許變更密碼區段中，如果您想要讓使用者可以在密碼到期或 Active Directory 管理員重設使用者密碼時，從 VMware Identity Manager 登入頁面重設其密碼，請選取啟用變更密碼。在繫結使用者 UPN 欄位中，輸入可透過網域進行驗證之使用者的使用者主體名稱。例如，[email protected]。備註：建議您使用繫結 DN 使用者帳戶與不會到期的密碼。輸入繫結 DN 使用者密碼。

選項

說明

Active Directory over LDAP

在同步連接器文字方塊中，選取要用來將使用者和群組從 Active Directory 同步到 VMware Identity Manager 目錄的連接器。
依預設，VMware Identity Manager 服務隨時附有可用的連接器元件。此連接器會顯示在下拉式功能表中。如果您為了實現高可用性而安裝多個 VMware Identity Manager 應用裝置，每個連接器元件均會顯示在清單中。
在驗證文字方塊中，如果您想要使用這個 Active Directory 來驗證使用者，請選取是。
如果您想要使用第三方身分識別提供者來驗證使用者，請按一下否。在設定要同步使用者和群組的 Active Directory 連線後，請前往身分識別與存取管理 > 管理 > 身分識別提供者頁面，新增用於驗證的第三方身分識別提供者。
在目錄搜尋屬性文字方塊中，選取包含使用者名稱的帳戶屬性。
如果 Active Directory 使用 DNS 服務位置查閱，請選取以下項目。
- 在伺服器位置區段中，選取此目錄支援 DNS 服務位置核取方塊。
- 如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證文字方塊中。
  確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
  
  備註：如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。
如果 Active Directory 不使用 DNS 服務位置查閱，請選取以下項目。
- 在伺服器位置區段中，確認此目錄支援 DNS 服務位置核取方塊未選取，然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。
  若要將目錄設定為全域目錄，請在《目錄與 VMware Identity Manager 的整合》中參閱〈Active Directory 環境〉的「擁有多網域的單一樹系 Active Directory 環境」一節。
- 如果 Active Directory 要求透過 SSL 存取，請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊，並將 Active Directory 根 CA 憑證複製和貼到 SSL 憑證文字方塊。
  確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
  
  備註：如果 Active Directory 要求 SSL 但您未提供憑證，將無法建立目錄。
在允許變更密碼區段中，如果您想要讓使用者可以在密碼到期或 Active Directory 管理員重設使用者密碼時，從 VMware Identity Manager 登入頁面重設其密碼，請選取啟用變更密碼。
在基準 DN 文字方塊中，輸入要從中開始帳戶搜尋的 DN。例如，OU=myUnit,DC=myCorp,DC=com。
在繫結 DN 文字方塊中，輸入可搜尋使用者的帳戶。例如，CN=binduser,OU=myUnit,DC=myCorp,DC=com。
備註：建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
輸入繫結密碼之後，按一下測試連線以確認該目錄可以連線至您的 Active Directory。

Active Directory (整合式 Windows 驗證)

在同步連接器文字方塊中，選取要用來將使用者和群組從 Active Directory 同步到 VMware Identity Manager 目錄的連接器。
依預設，VMware Identity Manager 服務隨時附有可用的連接器元件。此連接器會顯示在下拉式清單中。如果您為了實現高可用性而安裝多個 VMware Identity Manager 應用裝置，每個連接器元件均會顯示在清單中。
在驗證文字方塊中，如果您想要使用此 Active Directory 來驗證使用者，請按一下是。
如果您想要使用第三方身分識別提供者來驗證使用者，請按一下否。在設定要同步使用者和群組的 Active Directory 連線後，請前往身分識別與存取管理 > 管理 > 身分識別提供者頁面，新增用於驗證的第三方身分識別提供者。
在目錄搜尋屬性文字方塊中，選取包含使用者名稱的帳戶屬性。
如果 Active Directory 要求 STARTTLS 加密，請在憑證區段中選取此目錄要求所有連線使用 STARTTLS 核取方塊，然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證文字方塊中。
確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。

如果目錄有多個網域，請為所有網域新增根 CA 憑證，一次新增一個。

備註：如果 Active Directory 要求 STARTTLS 但您未提供憑證，將無法建立目錄。
在允許變更密碼區段中，如果您想要讓使用者可以在密碼到期或 Active Directory 管理員重設使用者密碼時，從 VMware Identity Manager 登入頁面重設其密碼，請選取啟用變更密碼。
在繫結使用者 UPN 欄位中，輸入可透過網域進行驗證之使用者的使用者主體名稱。例如，[email protected]。
備註：建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
輸入繫結 DN 使用者密碼。

按一下儲存 & 下一步。
顯示網域清單的頁面隨即會顯示。

針對 LDAP 目錄，請遵循下列步驟。

提供連線資訊。

選項	說明
目錄名稱	您要在 VMware Identity Manager中建立之目錄的名稱。
目錄同步與驗證	在同步連接器文字方塊中，選取要用來將使用者和群組從 LDAP 目錄同步至 VMware Identity Manager 目錄的連接器。依預設，VMware Identity Manager 服務隨時附有可用的連接器元件。此連接器會顯示在下拉式清單中。如果您為了實現高可用性而安裝多個 VMware Identity Manager 應用裝置，每個連接器元件均會顯示在清單中。您不需要為單一 LDAP 目錄使用個別的連接器。無論這些目錄是 Active Directory 或 LDAP 目錄，一個連接器可支援多個目錄。在驗證文字方塊中，如果您想要使用這個 LDAP 目錄來驗證使用者，請選取是。如果您想要使用第三方身分識別提供者來驗證使用者，請選取否。在新增要用來同步使用者和群組的目錄連線後，請移至身分識別與存取管理 > 管理 > 身分識別提供者頁面，新增用於驗證的第三方身分識別提供者。在目錄搜尋屬性文字方塊中，指定要用於使用者名稱的 LDAP 目錄屬性。如果屬性未列出，請選取自訂，並輸入屬性名稱。例如 `cn`。
伺服器位置	輸入 LDAP Directory 伺服器主機和連接埠號碼。對於伺服器主機，您可以指定完整網域名稱或 IP 位址。例如 `myLDAPserver.example.com` 或 `100.00.00.0`。如果在負載平衡器後方有伺服器叢集，請改為輸入負載平衡器資訊。
LDAP 組態	指定可讓 VMware Identity Manager 用來查詢您的 LDAP 目錄的 LDAP 搜尋篩選器和屬性。系統會根據核心 LDAP 結構描述提供預設值。 LDAP 查詢取得群組：用來取得群組物件的搜尋篩選器。例如：`(objectClass=group)` 取得繫結使用者：用來取得繫結使用者物件 (繫結至目錄的使用者) 的搜尋篩選器。例如：`(objectClass=person)` 取得使用者：用來取得所要同步之使用者的搜尋篩選器。例如：`(&(objectClass=user)(objectCategory=person))` 屬性成員資格：在您的 LDAP 目錄中用來定義群組成員的屬性。例如：`member` 物件 UUID：在您的 LDAP 目錄中用來定義使用者或群組之 UUID 的屬性。例如：`entryUUID` 辨別名稱：在您的 LDAP 目錄中用於使用者或群組之辨別名稱的屬性。例如：`entryDN`
憑證	如果您的 LDAP 目錄需要透過 SSL 進行存取，請選取此目錄要求所有連線使用 SSL，然後複製並貼上 LDAP 目錄伺服器的根 CA SSL 憑證。確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
繫結使用者詳細資料	基準 DN：輸入要從中開始搜尋的 DN。例如 cn=users,dc=example,dc=com 繫結 DN：輸入要用來繫結至 LDAP 目錄的使用者名稱。備註：建議您使用繫結 DN 使用者帳戶與不會到期的密碼。繫結 DN 密碼：輸入繫結 DN 使用者的密碼。

若要測試 LDAP 目錄伺服器的連線，請按一下測試連線。
如果連線失敗，請檢查您所輸入的資訊，並進行適當的變更。
按一下儲存 & 下一步。
列出網域的頁面隨即顯示。

對於 LDAP 目錄，列出的網域將無法修改。
對於 Active Directory over LDAP，列出的網域將無法修改。
對於 Active Directory (整合式 Windows 驗證)，選取應與此 Active Directory 連線相關聯的網域。

備註：如果您在建立目錄後新增信任網域，則服務不會自動偵測到新的信任網域。若要讓服務能夠偵測到網域，連接器必須先離開該網域再重新加入。當連接器重新加入網域時，信任網域會出現在清單中。

按下一步。
確認 VMware Identity Manager 屬性名稱已對應至正確的 Active Directory 或 LDAP 屬性，並視需要進行變更。

重要：如果您要整合 LDAP 目錄，您必須指定網域屬性的對應。
按下一步。

選取要從 Active Directory 或 LDAP 目錄同步至 VMware Identity Manager 目錄的群組。

選項	說明
指定群組 DN	若要選取群組，您必須指定一或多個群組 DN，並選取其下的群組。按一下 +，然後指定群組 DN。例如 CN=users,DC=example,DC=company,DC=com。重要：指定您在基準 DN 下所輸入的群組 DN。如果某個群組 DN 在基準 DN 的外部，則來自該 DN 的使用者仍會進行同步，但會無法登入。按一下尋找群組。要同步的群組資料行會列出在 DN 中找到的群組數目。若要選取 DN 中的所有群組，請按一下全選，否則請按一下選取，並選取要同步的特定群組。備註：如果您的 LDAP 目錄中有多個具有相同名稱的群組，則必須在 VMware Identity Manager 中為其指定唯一名稱。您可以在選取群組時變更名稱。備註：同步群組時，在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者，皆不會進行同步。
同步巢狀群組成員	依預設會啟用同步巢狀群組成員選項。啟用此選項時，系統會同步直接屬於您選取群組的所有使用者，以及屬於其下巢狀群組的所有使用者。請注意，系統不會對巢狀群組進行同步；只會對屬於巢狀群組的使用者進行同步。在 VMware Identity Manager 目錄中，這些使用者將會是您選取要同步之父系群組的成員。如果停用同步巢狀群組成員選項，當您指定要同步的群組時，將會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項對於大型 Active Directory 組態有幫助，其中，周遊群組樹狀目錄為耗用大量資源和時間的作業。如果您停用此選項，請確保您選取您要同步其使用者的所有群組。

選項

說明

指定群組 DN

若要選取群組，您必須指定一或多個群組 DN，並選取其下的群組。

按一下 +，然後指定群組 DN。例如 CN=users,DC=example,DC=company,DC=com。
重要：指定您在基準 DN 下所輸入的群組 DN。如果某個群組 DN 在基準 DN 的外部，則來自該 DN 的使用者仍會進行同步，但會無法登入。
按一下尋找群組。
要同步的群組資料行會列出在 DN 中找到的群組數目。
若要選取 DN 中的所有群組，請按一下全選，否則請按一下選取，並選取要同步的特定群組。
備註：如果您的 LDAP 目錄中有多個具有相同名稱的群組，則必須在 VMware Identity Manager 中為其指定唯一名稱。您可以在選取群組時變更名稱。

備註：同步群組時，在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者，皆不會進行同步。

同步巢狀群組成員

依預設會啟用同步巢狀群組成員選項。啟用此選項時，系統會同步直接屬於您選取群組的所有使用者，以及屬於其下巢狀群組的所有使用者。請注意，系統不會對巢狀群組進行同步；只會對屬於巢狀群組的使用者進行同步。在 VMware Identity Manager 目錄中，這些使用者將會是您選取要同步之父系群組的成員。

如果停用同步巢狀群組成員選項，當您指定要同步的群組時，將會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項對於大型 Active Directory 組態有幫助，其中，周遊群組樹狀目錄為耗用大量資源和時間的作業。如果您停用此選項，請確保您選取您要同步其使用者的所有群組。

按下一步。
如有必要，請指定其他要同步的使用者。
1. 按一下 +，然後輸入使用者 DN。例如 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
  
  重要：指定您在基準 DN 下所輸入的使用者 DN。如果某個使用者 DN 在基準 DN 的外部，則來自該 DN 的使用者仍會進行同步，但會無法登入。
2. (選用) 若要排除使用者，請建立篩選器以排除某些使用者類型。
  選取要做為篩選依據的使用者屬性、查詢規則及值。
按下一步。
檢閱頁面以查看將同步到目錄的使用者和群組數目，以及檢視同步排程。

若要對使用者和群組或同步頻率進行變更，請按一下編輯連結。
按一下同步目錄以啟動目錄同步。

結果

備註：如果發生網路錯誤且系統無法使用反向 DNS 唯一解析主機名稱，組態程序將會停止。您必須修正網路問題及重新啟動虛擬應用裝置，隨後才能繼續進行部署程序。新的網路設定必須等到虛擬應用裝置重新啟動後才能使用。

後續步驟

如需設定負載平衡器或高可用性組態的相關資訊，請參閱部署負載平衡器後方的 VMware Identity Manager 機器。

您可以針對組織的應用程式自訂資源目錄，再讓使用者存取這些資源。您也可以設定包括 View、ThinApp 及 Citrix 型應用程式在內的其他資源。請參閱《在 VMware Identity Manager 中設定資源》。