如果您計劃連線至多網域 Active Directory 環境,可以建立此目錄類型。連接器將使用整合式 Windows 驗證繫結至 Active Directory。

必要條件

確認您擁有新增目錄所需的使用者認證。

程序

  1. 按一下 [我的服務] 儀表板上的身分識別和承租人管理
  2. 導覽至 [目錄管理] 索引標籤,然後按一下目錄
  3. 按一下 + 新增目錄,然後按一下新增 Active Directory Over IWA
  4. 目錄詳細資料索引標籤中:
    欄位 說明
    目錄資訊 輸入有效的目錄名稱。
    目錄同步與驗證 選取要與 Active Directory 進行同步的連接器。連接器是 VMware Identity Manager 服務元件,用於在 Active Directory 與 VMware Identity Manager 服務之間同步使用者和群組資料。可用於驗證使用者。每個 VMware Identity Manager 應用裝置節點都包含預設的連接器元件。如有必要,專用連接器也可透過全域環境擴充進行部署。
    已啟用驗證

    可以指示所選連接器是否會一併執行驗證。如果您要使用第三方身分識別提供者來驗證使用者,請按一下

    目錄搜尋屬性 從下拉式功能表中選取搜尋屬性。
    憑證
    • 如果 Active Directory 要求透過 SSL/TLS 進行存取,請在憑證區段中選取目錄要求所有連線使用 STARTTLS 核取方塊,然後將網域控制站的中繼憑證 (如果使用) 和根 CA 憑證複製並貼到 SSL 憑證文字方塊中。請先輸入中繼 CA 憑證,然後輸入根 CA 憑證。確保每個憑證採用 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。如果網域控制站具有來自多個中繼憑證和根憑證授權機構的憑證,請逐一輸入所有中繼憑證-根 CA 憑證鏈結。如果 Active Directory 要求透過 SSL/TLS 進行存取但您未提供憑證,則無法建立目錄。
    加入網域詳細資料 輸入網域名稱、網域管理員使用者名稱和網域密碼。
    繫結使用者詳細資料
    • 輸入有權查詢所需網域之使用者和群組的繫結使用者的繫結使用者名稱繫結密碼。輸入使用者名稱為 sAMAccountName@domain,其中 domain 是完整網域名稱。使用具有未到期密碼的繫結使用者帳戶。
  5. 按一下建立並移至下一步
    可以選取應與 Active Directory 連線相關聯的網域。
  6. 網域選取項目詳細資料索引標籤中,選取網域,然後按一下提交並移至下一步
    具有 IWA 的 Active Directory 會填入網域清單,並且您可以根據需要選取或編輯網域。
  7. 若要確認 VMware Identity Manager 目錄屬性名稱已對應至正確的 Active Directory 屬性,請在對應屬性索引標籤中選取所需的屬性,然後按一下提交並移至下一步
  8. 群組選取項目索引標籤中,指定群組 DN 詳細資料,然後按下一步

    若要選取群組,請按一下新增群組辨別名稱,指定一或多個群組 DN,然後選取其下的群組。指定群組 DN,使其位於 [新增目錄] 區段之 [基本 DN] 文字方塊中輸入的 [基本 DN] 下。如果群組 DN 在 [基本 DN] 之外,則來自該 DN 的使用者仍會進行同步,但您無法登入。

    當您同步群組時,不會同步沒有網域使用者做為 Active Directory 中的主要群組的任何使用者。

    1. 選取同步巢狀群組成員選項。
  9. 使用者選取項目索引標籤中,輸入使用者 DN 詳細資料,然後按下一步
    備註: 啟用此選項後,當系統為群組授權時,會同步直接屬於所選群組的所有使用者以及屬於該群組下的巢狀群組的所有使用者。請注意,系統不會對巢狀群組進行同步;只會對屬於巢狀群組的使用者進行同步。在 VMware Identity Manager 目錄中,這些使用者是選取進行同步之父系群組的成員。如果 同步巢狀群組成員選項已停用,則指定要同步的群組時,將對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。對於周遊群組樹狀結構會耗用大量資源和時間的大型 Active Directory 組態來說,停用此選項非常有用。如果您停用此選項,請確保您選取您要同步其使用者的所有群組。
    套件管理員是 Active Directory 中的使用者名稱,其作為已部署套件產品、記錄和 AD 資料表的管理員使用者。
  10. 試執行檢查索引標籤中,讀取摘要。
  11. 按一下同步並完成以開始同步到目錄。此時將建立與 Active Directory 的連線,且使用者和群組名稱會從 Active Directory 同步至 VMware Identity Manager 目錄。
  12. 按一下提交
  13. 若要編輯,請按一下 Active Directory 清單中特定 Active Directory 上的編輯圖示。任何新增的資訊將會附加到 VMware Identity Manager 上的組態。但是,如果透過編輯進行移除,則只會從 vRealize Suite Lifecycle Manager 詳細目錄中移除組態,而不會從 VMware Identity Manager 中移除。
  14. 若要刪除,請按一下 Active Directory 清單中特定 Active Directory 上的刪除圖示。只能從 vRealize Suite Lifecycle Manager 詳細目錄中刪除 Active Directory,而不會從 VMware Identity Manager 中刪除。