您可以整合企業目錄與 VMware Identity Manager,以將使用者和群組從企業目錄同步至 VMware Identity Manager 服務。
支援的目錄類型如下。
- Active Directory over LDAP
- Active Directory, 整合式 Windows 驗證
- LDAP 目錄。
必要條件
- 請檢閱《目錄與 VMware Identity Manager 的整合》,以瞭解需求和限制。
- 您的 Active Directory 或 LDAP 目錄資訊。
- 如果您已設定多樹系 Active Directory 且網域本機群組含有來自不同樹系之網域的成員,必須將在 VMware Identity Manager 目錄頁面上使用的繫結 DN 使用者新增至網域本機群組所在之網域的管理員群組。如果未這麼做,網域本機群組中會遺失這些成員。
備註: VMware Identity Manager 服務必須設定為以 Windows 網域使用者身分執行,才能使用多樹系 Active Directory。
- 您要當作篩選器的使用者屬性清單,以及要新增至 VMware Identity Manager 的群組清單。
程序
- 使用您設定的密碼以管理員使用者身分登入 VMware Identity Manager 主控台。
您的登入身分為本機管理員。[目錄] 頁面隨即會顯示。在新增目錄之前,請確保檢閱 《目錄與 VMware Identity Manager 的整合》,以瞭解需求和限制。
- 按一下身分識別與存取管理索引標籤。
- 按一下設定 > 使用者屬性以選取與目錄同步的使用者屬性。
列示在畫面中的為預設屬性,而您可以選取必要的屬性。如果屬性標示為必要,則只有具有該屬性的使用者會同步至服務。您也可以新增其他屬性。重要: 建立目錄後,您便無法將屬性變更為必要屬性。您必須在現在進行選取。
請注意,[使用者屬性] 頁面中的設定會套用至服務中的所有目錄。當您將屬性標示為必要時,請考量這對其他目錄的影響。如果屬性標示為必要,不具該屬性的使用者將不會同步至服務。
重要: 如果計劃將 XenApp 資源與 VMware Identity Manager 同步,您必須將 distinguishedName 設為需要屬性。 - 按一下儲存。
- 按一下身分識別與存取管理索引標籤。
- 在 [目錄] 頁面中按一下新增目錄,然後根據您所要整合的目錄類型選取新增 Active Directory over LDAP/IWA 或新增 LDAP 目錄。
您也可以在服務中建立本機目錄。如需關於使用本機目錄的詳細資訊,請參閱《VMware Identity Manager 管理指南》。
- 針對 Active Directory,請遵循下列步驟。
- 針對要在 VMware Identity Manager 中建立的目錄輸入名稱,然後選取 Active Directory over LDAP 或 Active Directory (整合式 Windows 驗證) 等類型的目錄。
- 提供連線資訊。
選項 說明 Active Directory over LDAP - 在同步連接器文字方塊中,選取要用來將使用者和群組從 Active Directory 同步到 VMware Identity Manager 目錄的連接器。
依預設,VMware Identity Manager 服務隨時附有可用的連接器元件。此連接器會顯示在下拉式功能表中。如果您為了實現高可用性而安裝多個 VMware Identity Manager 應用裝置,每個連接器元件均會顯示在清單中。
- 在驗證文字方塊中,如果您想要使用這個 Active Directory 來驗證使用者,請選取是。
如果您想要使用第三方身分識別提供者來驗證使用者,請按一下否。在設定要同步使用者和群組的 Active Directory 連線後,請前往身分識別與存取管理 > 管理 > 身分識別提供者頁面,新增用於驗證的第三方身分識別提供者。
- 在目錄搜尋屬性文字方塊中,選取包含使用者名稱的帳戶屬性。
- 如果 Active Directory 使用 DNS 服務位置查閱,請選取以下項目。
- 在伺服器位置區段中,選取此目錄支援 DNS 服務位置核取方塊。
- 如果 Active Directory 要求 STARTTLS 加密,請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊,然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證文字方塊中。
確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
備註: 如果 Active Directory 要求 STARTTLS 但您未提供憑證,將無法建立目錄。
- 如果 Active Directory 不使用 DNS 服務位置查閱,請選取以下項目。
- 在伺服器位置區段中,確認此目錄支援 DNS 服務位置核取方塊未選取,然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。
若要將目錄設定為全域目錄,請在《目錄與 VMware Identity Manager 的整合》中參閱〈Active Directory 環境〉的「擁有多網域的單一樹系 Active Directory 環境」一節。
- 如果 Active Directory 要求透過 SSL 存取,請在憑證區段中選取此目錄要求所有連線使用 SSL 核取方塊,並將 Active Directory 根 CA 憑證複製和貼到 SSL 憑證文字方塊。
確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
備註: 如果 Active Directory 要求 SSL 但您未提供憑證,將無法建立目錄。
- 在伺服器位置區段中,確認此目錄支援 DNS 服務位置核取方塊未選取,然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。
- 在允許變更密碼區段中,如果您想要讓使用者可以在密碼到期或 Active Directory 管理員重設使用者密碼時,從 VMware Identity Manager 登入頁面重設其密碼,請選取啟用變更密碼。
- 在基準 DN 文字方塊中,輸入要從中開始帳戶搜尋的 DN。例如,OU=myUnit,DC=myCorp,DC=com。
- 在繫結 DN 文字方塊中,輸入可搜尋使用者的帳戶。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。
備註: 建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
- 輸入繫結密碼之後,按一下測試連線以確認該目錄可以連線至您的 Active Directory。
Active Directory (整合式 Windows 驗證) - 在同步連接器文字方塊中,選取要用來將使用者和群組從 Active Directory 同步到 VMware Identity Manager 目錄的連接器。
依預設,VMware Identity Manager 服務隨時附有可用的連接器元件。此連接器會顯示在下拉式清單中。如果您為了實現高可用性而安裝多個 VMware Identity Manager 應用裝置,每個連接器元件均會顯示在清單中。
- 在驗證文字方塊中,如果您想要使用此 Active Directory 來驗證使用者,請按一下是。
如果您想要使用第三方身分識別提供者來驗證使用者,請按一下否。在設定要同步使用者和群組的 Active Directory 連線後,請前往身分識別與存取管理 > 管理 > 身分識別提供者頁面,新增用於驗證的第三方身分識別提供者。
- 在目錄搜尋屬性文字方塊中,選取包含使用者名稱的帳戶屬性。
- 如果 Active Directory 要求 STARTTLS 加密,請在憑證區段中選取此目錄要求所有連線使用 STARTTLS 核取方塊,然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證文字方塊中。
確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
如果目錄有多個網域,請為所有網域新增根 CA 憑證,一次新增一個。
備註: 如果 Active Directory 要求 STARTTLS 但您未提供憑證,將無法建立目錄。 - 在允許變更密碼區段中,如果您想要讓使用者可以在密碼到期或 Active Directory 管理員重設使用者密碼時,從 VMware Identity Manager 登入頁面重設其密碼,請選取啟用變更密碼。
- 在 繫結使用者 UPN 欄位中,輸入可透過網域進行驗證之使用者的使用者主體名稱。例如,[email protected]。
備註: 建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
- 輸入繫結 DN 使用者密碼。
- 在同步連接器文字方塊中,選取要用來將使用者和群組從 Active Directory 同步到 VMware Identity Manager 目錄的連接器。
- 按一下儲存 & 下一步。
顯示網域清單的頁面隨即會顯示。
- 針對 LDAP 目錄,請遵循下列步驟。
- 提供連線資訊。
選項 說明 目錄名稱 您要在 VMware Identity Manager中建立之目錄的名稱。 目錄同步與驗證 - 在同步連接器文字方塊中,選取要用來將使用者和群組從 LDAP 目錄同步至 VMware Identity Manager 目錄的連接器。
依預設,VMware Identity Manager 服務隨時附有可用的連接器元件。此連接器會顯示在下拉式清單中。如果您為了實現高可用性而安裝多個 VMware Identity Manager 應用裝置,每個連接器元件均會顯示在清單中。
您不需要為單一 LDAP 目錄使用個別的連接器。無論這些目錄是 Active Directory 或 LDAP 目錄,一個連接器可支援多個目錄。
- 在驗證文字方塊中,如果您想要使用這個 LDAP 目錄來驗證使用者,請選取是。
如果您想要使用第三方身分識別提供者來驗證使用者,請選取否。在新增要用來同步使用者和群組的目錄連線後,請移至身分識別與存取管理 > 管理 > 身分識別提供者頁面,新增用於驗證的第三方身分識別提供者。
- 在目錄搜尋屬性文字方塊中,指定要用於使用者名稱的 LDAP 目錄屬性。如果屬性未列出,請選取自訂,並輸入屬性名稱。例如 cn。
伺服器位置 輸入 LDAP Directory 伺服器主機和連接埠號碼。對於伺服器主機,您可以指定完整網域名稱或 IP 位址。例如 myLDAPserver.example.com 或 100.00.00.0。 如果在負載平衡器後方有伺服器叢集,請改為輸入負載平衡器資訊。
LDAP 組態 指定可讓 VMware Identity Manager 用來查詢您的 LDAP 目錄的 LDAP 搜尋篩選器和屬性。系統會根據核心 LDAP 結構描述提供預設值。 LDAP 查詢
- 取得群組:用來取得群組物件的搜尋篩選器。
例如:(objectClass=group)
- 取得繫結使用者:用來取得繫結使用者物件 (繫結至目錄的使用者) 的搜尋篩選器。
例如:(objectClass=person)
- 取得使用者:用來取得所要同步之使用者的搜尋篩選器。
例如:(&(objectClass=user)(objectCategory=person))
屬性
- 成員資格:在您的 LDAP 目錄中用來定義群組成員的屬性。
例如:member
- 物件 UUID:在您的 LDAP 目錄中用來定義使用者或群組之 UUID 的屬性。
例如:entryUUID
- 辨別名稱:在您的 LDAP 目錄中用於使用者或群組之辨別名稱的屬性。
例如:entryDN
憑證 如果您的 LDAP 目錄需要透過 SSL 進行存取,請選取此目錄要求所有連線使用 SSL,然後複製並貼上 LDAP 目錄伺服器的根 CA SSL 憑證。確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。 繫結使用者詳細資料 基準 DN:輸入要從中開始搜尋的 DN。例如 cn=users,dc=example,dc=com 繫結 DN:輸入要用來繫結至 LDAP 目錄的使用者名稱。備註: 建議您使用繫結 DN 使用者帳戶與不會到期的密碼。繫結 DN 密碼:輸入繫結 DN 使用者的密碼。
- 在同步連接器文字方塊中,選取要用來將使用者和群組從 LDAP 目錄同步至 VMware Identity Manager 目錄的連接器。
- 若要測試 LDAP 目錄伺服器的連線,請按一下測試連線。
如果連線失敗,請檢查您所輸入的資訊,並進行適當的變更。
- 按一下儲存 & 下一步。
列出網域的頁面隨即顯示。
- 提供連線資訊。
- 對於 LDAP 目錄,列出的網域將無法修改。
對於 Active Directory over LDAP,列出的網域將無法修改。
對於 Active Directory (整合式 Windows 驗證),選取應與此 Active Directory 連線相關聯的網域。
備註: 如果您在建立目錄後新增信任網域,則服務不會自動偵測到新的信任網域。若要讓服務能夠偵測到網域, 連接器必須先離開該網域再重新加入。當 連接器重新加入網域時,信任網域會出現在清單中。按下一步。
- 確認 VMware Identity Manager 屬性名稱已對應至正確的 Active Directory 或 LDAP 屬性,並視需要進行變更。
重要: 如果您要整合 LDAP 目錄,您必須指定 網域屬性的對應。
- 按下一步。
- 選取要從 Active Directory 或 LDAP 目錄同步至 VMware Identity Manager 目錄的群組。
選項 說明 指定群組 DN 若要選取群組,您必須指定一或多個群組 DN,並選取其下的群組。 - 按一下 +,然後指定群組 DN。例如 CN=users,DC=example,DC=company,DC=com。
重要: 指定您在基準 DN 下所輸入的群組 DN。如果某個群組 DN 在基準 DN 的外部,則來自該 DN 的使用者仍會進行同步,但會無法登入。
- 按一下尋找群組。
要同步的群組資料行會列出在 DN 中找到的群組數目。
- 若要選取 DN 中的所有群組,請按一下全選,否則請按一下選取,並選取要同步的特定群組。
備註: 如果您的 LDAP 目錄中有多個具有相同名稱的群組,則必須在 VMware Identity Manager 中為其指定唯一名稱。您可以在選取群組時變更名稱。
備註: 同步群組時,在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者,皆不會進行同步。同步巢狀群組成員 依預設會啟用同步巢狀群組成員選項。啟用此選項時,系統會同步直接屬於您選取群組的所有使用者,以及屬於其下巢狀群組的所有使用者。請注意,系統不會對巢狀群組進行同步;只會對屬於巢狀群組的使用者進行同步。在 VMware Identity Manager 目錄中,這些使用者將會是您選取要同步之父系群組的成員。
如果停用同步巢狀群組成員選項,當您指定要同步的群組時,將會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項對於大型 Active Directory 組態有幫助,其中,周遊群組樹狀目錄為耗用大量資源和時間的作業。如果您停用此選項,請確保您選取您要同步其使用者的所有群組。
- 按一下 +,然後指定群組 DN。例如 CN=users,DC=example,DC=company,DC=com。
- 按下一步。
- 如有必要,請指定其他要同步的使用者。
- 按一下 +,然後輸入使用者 DN。例如 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
重要: 指定您在基準 DN 下所輸入的使用者 DN。如果某個使用者 DN 在基準 DN 的外部,則來自該 DN 的使用者仍會進行同步,但會無法登入。
- (選用) 若要排除使用者,請建立篩選器以排除某些使用者類型。
選取要做為篩選依據的使用者屬性、查詢規則及值。
- 按一下 +,然後輸入使用者 DN。例如 CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com。
- 按下一步。
- 檢閱頁面以查看將同步到目錄的使用者和群組數目,以及檢視同步排程。
若要對使用者和群組或同步頻率進行變更,請按一下編輯連結。
- 按一下同步目錄以啟動目錄同步。
結果
後續步驟
如需設定負載平衡器或高可用性組態的相關資訊,請參閱部署負載平衡器後方的 VMware Identity Manager 機器。
您可以針對組織的應用程式自訂資源目錄,再讓使用者存取這些資源。您也可以設定包括 View、ThinApp 及 Citrix 型應用程式在內的其他資源。請參閱 《在 VMware Identity Manager 中設定資源》。