做為承租人管理員,您想要設定 Active Directory over LDAP 目錄連線,以支援具有高可用性的 vRealize Automation 部署的使用者驗證。

開始之前

  • 使用適當的負載平衡器安裝分散式 vRealize Automation 部署。請參閱《安裝 vRealize Automation 7.0》

  • 承租人管理員身分登入 vRealize Automation 主控台。

執行這項作業的原因和時機

每個 vRealize Automation 應用裝置都包含支援使用者驗證的連接器,即使通常只會將一個連接器設定為執行目錄同步化。選擇哪個連接器做為同步連接器不會造成任何影響。若要支援身分識別目錄管理高可用性,您必須設定與第二個 vRealize Automation 應用裝置對應的第二個連接器,以連線到身分識別提供者並指向相同的 Active Directory。藉由此組態,如果一個應用裝置失敗,則其他應用裝置會接管使用者驗證的管理工作。

在高可用性環境中,所有節點都必須提供一組相同的 Active Directory、使用者、驗證方法等。完成此作業最直接的方法是,透過設定負載平衡器主機做為身分識別提供者主機將身分識別提供者升階至叢集。藉由此組態,所有驗證申請都將導向至負載平衡器,從而視情況將申請轉送到任一連接器。

程序

  1. 選取管理 > 身分識別目錄管理 > 目錄
  2. 按一下新增目錄
  3. 輸入特定 Active Directory 帳戶設定並接受預設選項。

    選項

    範例輸入

    目錄名稱

    新增 Active Directory 網域名稱的 IP 位址。

    同步連接器

    每個 vRealize Automation 應用裝置皆包含一個連接器。使用任何可用的連接器。

    基準 DN

    輸入用於搜尋目錄伺服器之起點的辨別名稱 (DN)。例如,cn=users,dc=corp,dc=local

    繫結 DN

    輸入擁有搜尋使用者權限之 Active Directory 使用者帳戶的完整辨別名稱 (DN),其中包括一般名稱 (CN)。例如,cn=config_admin infra,cn=users,dc=corp,dc=local

    繫結 DN 密碼

    輸入可搜尋使用者之帳戶的 Active Directory 密碼。

  4. 按一下測試連線以測試與已設定目錄的連線。

    如果連線失敗,請檢查所有欄位中的項目並視需要諮詢系統管理員。

  5. 按一下儲存 & 下一步

    隨即顯示含有網域清單的 [選取網域] 頁面。

  6. 保持預設網域為選取狀態並按下一步
  7. 確認屬性名稱已對應到正確的 Active Directory 屬性。如果未對應,請從下拉式功能表中選取正確的 Active Directory 屬性。按下一步
  8. 選取要同步的群組和使用者。
    1. 按一下新增圖示 (新增)。
    2. 輸入使用者網域並按一下尋找群組

      例如,cn=users,dc=corp,dc=local

    3. 選取全選核取方塊。
    4. 按一下選取
    5. 下一步
    6. 按一下 新增 以新增其他使用者。例如,輸入 CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com

      若要排除使用者,請按一下 + 建立篩選器,以排除某些使用者類型。選取要做為篩選依據的使用者屬性、查詢規則及值。

    7. 下一步
  9. 檢閱頁面,以查看將同步至目錄的使用者和群組數目,然後按一下同步目錄

    目錄同步程序需要花費一些時間,會在背景中進行,以便您可以繼續工作。

  10. 設定第二個連接器,以支援高可用性。
    1. 以承租人管理員身分,登入 vRealize Automation 部署的負載平衡器。

      負載平衡器 URL 為 load balancer address/vcac/org/tenant_name

    2. 選取管理 > 身分識別目錄管理 > 身分識別提供者
    3. 按一下您系統目前使用的身分識別提供者。

      隨即會顯示為您的系統提供基本身分識別管理的現有目錄和連接器。

    4. 按一下新增連接器下拉式清單,然後選取與次要 vRealize Automation 應用裝置對應的連接器。
    5. 在選取連接器時出現的繫結 DN 密碼文字方塊中輸入適當的密碼。
    6. 按一下新增連接器
    7. 編輯主機名稱以指向負載平衡器。

結果

您已將企業 Active Directory 連線至 vRealize Automation 並設定身分識別目錄管理以提供高可用性。

下一步

若要提供增強型安全性,您可以在身分識別提供者與 Active Directory 之間設定雙向信任。請參閱 設定 vRealize Automation 與 Active Directory 之間的雙向信任關係