您必須使用Directories Management功能,設定 Active Directory 的連結,以支援用於所有承租人的使用者驗證,並選取要與 Directories Management 目錄同步的使用者和群組。

開始之前

  • 連接器已安裝並且啟用代碼已啟用。

  • 在 [使用者屬性] 頁面上選取所需的預設屬性,並新增其他屬性。請參閱選取要與目錄同步的屬性

  • 要從 Active Directory 進行同步的 Active Directory 群組和使用者清單。

  • 對於 Active Directory over LDAP,所需的資訊包括基本 DN、繫結 DN 及繫結 DN 密碼。

  • 針對 Active Directory 整合式 Windows 驗證,所需的資訊包括網域的繫結使用者 UPN 位址和密碼。

  • 如果是透過 SSL 存取 Active Directory,則需要 SSL 憑證的複本。

  • 對於 Active Directory (整合式 Windows 驗證),如果您已設定多個樹系的 Active Directory 且網域本機群組包含來自其他樹系中網域的成員,請確保將繫結使用者新增至網域本機群組所在網域的管理員群組。如果操作失敗,這些成員將從網域本機群組中遺失。

  • 承租人管理員身分登入 vRealize Automation 主控台。

執行這項作業的原因和時機

Active Directory 通訊協定選項有兩種:Active Directory over LDAP 和 Active Directory (整合式 Windows 驗證)。依預設,Active Directory over LDAP 通訊協定支援 DNS 服務位置查詢。透過 Active Directory (整合式 Windows 驗證),您可以設定要加入的網域。Active Directory over LDAP 適用於單一網域部署。針對多網域和多樹系部署,請使用 Active Directory (整合式 Windows 驗證)。

選取通訊協定後,您可以指定要與 Active Directory 組態搭配使用的網域,然後選取要與指定組態同步的使用者和群組。

程序

  1. 選取管理 > 身分識別目錄管理 > 目錄
  2. 按一下新增目錄
  3. 在 [新增目錄] 頁面上的目錄名稱文字方塊中,指定 Active Directory 伺服器的 IP 位址。
  4. 目錄名稱文字方塊下,使用選項按鈕選取適當的 Active Directory 通訊協定。

    選項

    說明

    Windows 驗證

    選取 Active Directory (整合式 Windows 驗證)

    LDAP

    選取 Active Directory over LDAP

  5. 在 [目錄同步與驗證] 區段中,設定將使用者從 Active Directory 同步至 VMware Directories Management目錄的連接器。

    選項

    說明

    同步連接器

    選取適合用於您的系統的連接器。每個 vRealize Automation 應用裝置都包含預設的連接器。如果您需要選擇適當連接器方面的協助,請諮詢系統管理員。

    驗證

    按一下適合的選項按鈕,表示所選的連接器是否也執行驗證。

    目錄搜尋屬性

    選取包含使用者名稱的適合帳戶屬性。

  6. 如果已選取 Active Directory over LDAP,則在 [伺服器位置] 文字方塊中輸入適當的資訊;如果已選取 Active Directory (整合式 Windows 驗證),則在 [加入網域詳細資料] 文字方塊中輸入適當的資訊

    選項

    說明

    伺服器位置 - 選取 [Active Directory over LDAP] 時顯示

    • 若您要使用 [DNS 服務位置] 來尋找 Active Directory 網域,請保留選取此目錄支援 DNS 服務位置核取方塊。

    • 如果指定的 Active Directory 未使用 DNS 服務位置查詢,請取消選取 [伺服器位置] 欄位中此目錄支援 DNS 服務位置旁的核取方塊,然後在適當的文字方塊中輸入 Active Directory 伺服器主機名稱和連接埠號碼。

    • 若 Active Directory 需要透過 SSL 存取,請在 [憑證] 標題下選取此目錄需要所有連線以使用 SSL 核取方塊,並提供 Active Directory SSL 憑證。

    加入網域詳細資料 - 選取 [Active Directory (整合式 Windows 驗證)] 時顯示

    網域名稱網域管理員使用者名稱網域管理員密碼文字方塊中輸入適當的認證。

  7. 在 [繫結使用者詳細資料] 區段中輸入適合的認證以促進目錄同步化。

    對於 Active Directory over LDAP:

    選項

    說明

    基準 DN

    輸入搜尋基本辨別名稱。例如,cn=users,dc=corp,dc=local

    繫結 DN

    輸入繫結辨別名稱。例如,cn=fritz infra,cn=users,dc=corp,dc=local

    對於 Active Directory (整合式 Windows 驗證):

    選項

    說明

    繫結使用者 UPN

    輸入可透過網域進行驗證之使用者的使用者主體名稱。例如 UserName@example.com。

    繫結 DN 密碼

    輸入繫結使用者密碼。

  8. 按一下測試連線以測試與已設定目錄的連線。

    如果您已選取 Active Directory (整合式 Windows 驗證),則不會顯示此按鈕。

  9. 按一下儲存 & 下一步

    系統會顯示包含網域清單的 [選取網域] 頁面。

  10. 檢閱並更新針對 Active Directory 連線所列出的網域。
    • 對於 Active Directory (整合式 Windows 驗證),選取應與此 Active Directory 連線相關聯的網域。

    • 對於 Active Directory over LDAP,將列出可用網域,且帶有核取記號。

      備註︰

      如果您在建立目錄後新增信任網域,則服務不會自動偵測到新的信任網域。若要讓服務能夠偵測到網域,連接器必須離開後再重新加入該網域。當連接器重新加入網域時,信任網域會顯示在清單中。

  11. 按一下下一步
  12. 請確認 Directories Management 目錄屬性名稱已對應到正確的 Active Directory 屬性。

    若目錄屬性名稱未正確對應,請從下拉式功能表中選取正確的 Active Directory 屬性。

  13. 下一步
  14. 按一下 新增 以選取您要從 Active Directory 同步到目錄的群組。

    從 Active Directory 新增群組時,會新增不在使用者清單中的該群組成員。

    備註︰

    Directories Management使用者驗證系統會在新增群組和使用者時從 Active Directory 匯入資料,且系統速度受 Active Directory 功能的限制。因此,匯入作業可能需要大量時間,具體視要新增的群組和使用者數目而定。為了盡可能地減少可能出現的延遲或問題,請將群組和使用者的數目限制為僅 vRealize Automation 作業需要的群組和使用者。如果系統效能降低或發生錯誤,請關閉任何不需要的應用程式,並確保系統已配置適當的記憶體給 Active Directory。如果問題持續存在,請根據需要增加 Active Directory 記憶體配置。對於具有大量使用者和群組的系統,您可能需要將 Active Directory 記憶體配置最多增加至 24 GB。

  15. 按一下下一步
  16. 按一下 新增 以新增其他使用者。例如,輸入 CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com

    若要排除使用者,請按一下 新增 建立篩選器以排除某些類型的使用者。選取要做為篩選依據的使用者屬性、查詢規則及值。

  17. 按一下下一步
  18. 檢閱頁面,以查看有多少使用者和群組將同步至目錄。

    如果想要對使用者和群組進行變更,請按一下 [編輯] 連結。

  19. 按一下推送到工作區以開始目錄同步化。

結果

與 Active Directory 的連線已完成,且選取的使用者和群組已新增至目錄。

下一步

若您的 vRealize Automation 環境已設定為高可用性,您必須針對高可用性特別設定身分識別目錄管理。請參閱針對高可用性設定身分識別目錄管理

  • 設定驗證方法。當使用者和群組同步到目錄後,如果連接器同樣用於驗證,則可在連接器上設定其他驗證方法。如果驗證身分識別提供者為第三方,請在連接器中設定該身分識別提供者。

  • 檢閱預設的存取原則。已將預設存取原則設定為允許所有網路範圍中的所有應用裝置存取網頁瀏覽器 (工作階段逾時設為八小時) 或存取用戶端應用程式 (工作階段逾時為 2160 小時,即 90 天)。您可以變更預設存取原則,並且當您新增 Web 應用程式至目錄時可建立新原則。

  • 將自訂商標套用至管理主控台、使用者入口網站頁面和登入螢幕。