您可以設定 Active Directory over LDAP/IWA 連結來支援使用 Directories Management 功能進行使用者驗證,以設定至 Active Directory 的連結,從而支援對所有承租人的使用者驗證,以及選取與 Directories Management 目錄同步的使用者和群組。

執行這項作業的原因和時機

如需有關將 OpenLDAP 與身分識別目錄管理搭配使用的資訊和指示,請參閱設定 OpenLDAP 目錄連線

對於 Active Directory (整合式 Windows 驗證),如果您已設定多個樹系的 Active Directory 且網域本機群組包含來自其他樹系中網域的成員,請確保將繫結使用者新增至網域本機群組所在網域的管理員群組。如果操作失敗,這些成員將從網域本機群組中遺失。

先決條件

  • 在 [使用者屬性] 頁面上選取所需的預設屬性,並新增其他屬性。請參閱選取要與目錄同步的屬性

  • 要從 Active Directory 進行同步的 Active Directory 群組和使用者清單。

  • 如果您的 Active Directory 需要透過 SSL 或 STARTTLS 存取,則需要 Active Directory 網域控制站的根 CA 憑證。

  • 承租人管理員身分登入 vRealize Automation 主控台。

程序

  1. 選取管理 > 身分識別目錄管理 > 目錄
  2. 按一下新增目錄,然後選取新增 Active Directory over LDAP/IWA
  3. 在 [新增目錄] 頁面上的目錄名稱文字方塊中,指定 Active Directory 伺服器的 IP 位址。
  4. 目錄名稱文字方塊下,使用選項按鈕選取適當的 Active Directory 通訊協定。

    選項

    說明

    Windows 驗證

    選取 Active Directory (整合式 Windows 驗證)。針對 Active Directory 整合式 Windows 驗證,所需的資訊包括網域的繫結使用者 UPN 位址和密碼。

    LDAP

    選取 Active Directory over LDAP。對於 Active Directory over LDAP,所需的資訊包括基本 DN、繫結 DN 及繫結 DN 密碼。

  5. 在 [目錄同步與驗證] 區段中,設定將使用者從 Active Directory 同步至 VMware Directories Management目錄的連接器。

    選項

    說明

    同步連接器

    選取適合用於您的系統的連接器。每個 vRealize Automation 應用裝置都包含預設的連接器。如果您需要選擇適當連接器方面的協助,請諮詢系統管理員。

    驗證

    按一下適合的選項按鈕,表示所選的連接器是否也執行驗證。

    目錄搜尋屬性

    選取包含使用者名稱的適合帳戶屬性。VMware 建議使用 sAMAccount 屬性而非 userPrincipleName。如果您使用 userPrincipleName 進行同步作業,與需要使用者名稱的第二方和第三方軟體整合可能無法正確運作。

    備註︰

    使用全域目錄時 (在 [伺服器位置] 區域中選取此目錄具有全域目錄核取方塊來表示),如果您選取 sAMAccountName,使用者將無法登入。

  6. 如果已選取 [Active Directory over LDAP],則在 [伺服器位置] 文字方塊中輸入適當的資訊;如果已選取 [Active Directory (整合式 Windows 驗證)],則在 [加入網域詳細資料] 文字方塊中輸入資訊。

    選項

    說明

    伺服器位置 - 選取 [Active Directory over LDAP] 時顯示

    • 若您要使用 [DNS 服務位置] 來尋找 Active Directory 網域,請保留選取此目錄支援 DNS 服務位置核取方塊。

      備註︰

      如果您選取此選項,則無法將連接埠指派變更為 636。

      domain_krb.properties 檔案 (已自動填入網域控制站清單) 隨目錄一起建立。請參閱關於網域控制站選擇

      如果 Active Directory 需要 STARTTLS 加密,請在 [憑證] 區段中選取此目錄需要所有連線以使用 STARTTLS 核取方塊,然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證欄位。

    • 如果指定的 Active Directory 未使用 DNS 服務位置查詢,請取消選取 [伺服器位置] 欄位中此目錄支援 DNS 服務位置旁的核取方塊,然後在適當的文字方塊中輸入 Active Directory 伺服器主機名稱和連接埠號碼。

      如果關聯的 Active Directory 使用全域目錄,請選取此目錄具有全域目錄核取方塊。全域目錄包含多網域 Active Directory 樹系的每個網域中所有物件的表示。

      若要將目錄設定為全域目錄,請參閱 Active Directory 環境中的〈擁有多網域的單一樹系 Active Directory 環境〉一節。

      若 Active Directory 需要透過 SSL 存取,請在 [憑證] 標題下選取此目錄需要所有連線以使用 SSL 核取方塊,並提供 Active Directory SSL 憑證。

      當您選取此選項時,會自動使用連接埠 636,且無法變更。

      確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。

    加入網域詳細資料 - 選取 [Active Directory (整合式 Windows 驗證)] 時顯示

    網域名稱網域管理員使用者名稱網域管理員密碼文字方塊中輸入適當的認證。

    如果 Active Directory 需要 STARTTLS 加密,請在 [憑證] 區段中選取此目錄需要所有連線以使用 STARTTLS 核取方塊,然後將 Active Directory 根 CA 憑證複製並貼到 SSL 憑證欄位。

  7. 在 [繫結使用者詳細資料] 區段中輸入適合的認證以促進目錄同步化。

    對於 Active Directory over LDAP:

    選項

    說明

    基準 DN

    輸入搜尋基本辨別名稱。例如,cn=users,dc=corp,dc=local

    繫結 DN

    輸入繫結辨別名稱。例如,cn=fritz infra,cn=users,dc=corp,dc=local

    對於 Active Directory (整合式 Windows 驗證):

    選項

    說明

    繫結使用者 UPN

    輸入可透過網域進行驗證之使用者的使用者主體名稱。例如 UserName@example.com。

    繫結 DN 密碼

    輸入繫結使用者密碼。

  8. 按一下測試連線以測試與已設定目錄的連線。

    如果您已選取 Active Directory (整合式 Windows 驗證),則不會顯示此按鈕。

  9. 按一下儲存 & 下一步

    系統會顯示包含網域清單的 [選取網域] 頁面。

  10. 檢閱並更新針對 Active Directory 連線所列出的網域。
    • 對於 Active Directory (整合式 Windows 驗證),選取應與此 Active Directory 連線相關聯的網域。

    • 對於 Active Directory over LDAP,將列出可用網域,且帶有核取記號。

      備註︰

      如果您在建立目錄後新增信任網域,則服務不會自動偵測到新的信任網域。若要讓服務能夠偵測到網域,連接器必須離開後再重新加入該網域。當連接器重新加入網域時,信任網域會顯示在清單中。

  11. 按一下下一步
  12. 請確認 Directories Management 目錄屬性名稱已對應到正確的 Active Directory 屬性。

    若目錄屬性名稱未正確對應,請從下拉式功能表中選取正確的 Active Directory 屬性。

  13. 下一步
  14. 按一下 新增 以選取您要從 Active Directory 同步到目錄的群組。

    從 Active Directory 新增群組時,會新增不在使用者清單中的該群組成員。同步群組時,在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者,皆不會進行同步。

    備註︰

    Directories Management使用者驗證系統會在新增群組和使用者時從 Active Directory 匯入資料,且系統速度受 Active Directory 功能的限制。因此,匯入作業可能需要大量時間,具體視要新增的群組和使用者數目而定。為了盡可能地減少可能出現的延遲或問題,請將群組和使用者的數目限制為僅 vRealize Automation 作業需要的群組和使用者。

    如果系統效能降低或發生錯誤,請關閉任何不需要的應用程式,並確保系統已配置適當的記憶體給 Active Directory。如果問題持續存在,請根據需要增加 Active Directory 記憶體配置。對於具有大量使用者和群組的系統,您可能需要將 Active Directory 記憶體配置最多增加至 24 GB。

  15. 按一下下一步
  16. 按一下 新增 以新增其他使用者。

    適當的值如下所示:

    • 單一使用者:CN=username,CN=Users,OU=Users,DC=myCorp,DC=com

    • 多個使用者:OU=Users,OU=myUnit,DC=myCorp,DC=com

    若要排除使用者,請按一下 新增 建立篩選器以排除某些類型的使用者。選取要做為篩選依據的使用者屬性、查詢規則及值。

  17. 按一下下一步
  18. 檢閱頁面,以查看有多少使用者和群組將同步至目錄。

    如果想要對使用者和群組進行變更,請按一下 [編輯] 連結。

    備註︰

    確保您指定的使用者 DN 位於先前指定的基本 DN 下。如果使用者 DN 在基本 DN 之外,則來自該 DN 的使用者仍會進行同步,但將無法登入。

  19. 按一下推送到工作區以開始目錄同步化。

結果

與 Active Directory 的連線已完成,且選取的使用者和群組已新增至目錄。現在您可以透過選取管理 > 使用者和群組 > 目錄使用者和群組,來將使用者和群組指派給適當的 vRealize Automation 角色。如需詳細資訊,請參閱將角色指派至目錄使用者或群組

下一步

若您的 vRealize Automation 環境已設定為高可用性,您必須針對高可用性特別設定身分識別目錄管理。請參閱針對高可用性設定身分識別目錄管理

  • 設定驗證方法。當使用者和群組同步到目錄後,如果連接器同樣用於驗證,則可在連接器上設定其他驗證方法。如果驗證身分識別提供者為第三方,請在連接器中設定該身分識別提供者。

  • 檢閱預設的存取原則。已將預設存取原則設定為允許所有網路範圍中的所有應用裝置存取網頁瀏覽器 (工作階段逾時設為八小時) 或存取用戶端應用程式 (工作階段逾時為 2160 小時,即 90 天)。您可以變更預設存取原則,並且當您新增 Web 應用程式至目錄時可建立新原則。

  • 將自訂商標套用至管理主控台、使用者入口網站頁面和登入螢幕。