當您匯入存放於另一台機器的使用者帳戶資訊時,必須定義用於從來源機器匯入使用者帳戶的準則。

新增或編輯驗證來源的位置

  1. 若要新增驗證來源,請從左側功能表中按一下管理,然後按一下驗證來源動態轉。
  2. 按一下新增
  3. 若要編輯驗證來源,請按一下編輯
表 1. 驗證來源 新增使用者和群組的匯入來源
選項 說明
來源顯示名稱 您指派給驗證來源的名稱。
來源類型
備註: 您在 來源類型下拉式方塊中選取的選項,決定了這個對話方塊中所提供的選項。
指出目錄服務存取技術的類型,該技術用於存取使用者帳戶資料庫所在的來源機器。有兩種資料庫類型:LDAP 和單一登入。選項包括:
  • SSO SAML:網頁瀏覽器單一登入的 XML 型標準,可讓使用者執行多個應用程式的單一登入。
  • [Open LDAP]:獨立於平台的通訊協定,提供存取其他機器上 LDAP 資料庫以匯入使用者帳戶的權限。
  • [其他]:指定任何其他的 LDAP 型目錄服務 (如 Novel 或 OpenDJ),用於從 Linux Mac 機器上的 LDAP 資料庫匯入使用者帳戶。
  • VMware Identity Manager:此平台可讓您管理使用者和群組、管理資源和使用者驗證、存取原則,以及授與使用者對於資源的權限。
表 2. 驗證來源:新增使用者和群組匯入的來源 - 選取 SSO SAML 時的可用選項。
名稱 說明
主機 單一登入使用者伺服器所在主機機器的名稱或 IP 位址。
連接埠 單一登入接聽連接埠。預設值為 443。
使用者名稱 可登入單一登入主機的使用者帳戶名稱。
密碼 可登入單一登入主機的使用者帳戶密碼。
授予管理員角色給 vRealize Operations 以利日後進行設定? 在建立單一登入來源時,會在單一登入伺服器建立新的 vRealize Operations 使用者帳戶。
  • 選取將管理員角色授予 vRealize Operations,以便在 vRealize Operations 設定有所變更時,以管理員角色來設定 SSO 來源。
  • 如果您選取,而且 vRealize Operations 設定已變更,在您重新登錄 SSO 來源之前,SSO 使用者將無法登入。
是否自動重新導向至 vRealize Operations 單一登入 URL? 在您設定單一登入來源後,使用者即會重新導向至 vCenter SSO 伺服器。
  • 選取,即會將使用者重新導向至單一登入伺服器進行驗證。
  • 如果選取,使用者必須透過 vRealize Operations 登入頁面登入。
新增目前來源後匯入單一登入使用者群組? 當您設定好單一登入來源時,將使用者和使用者群組匯入 vRealize Operations,讓單一登入使用者能使用其單一登入權限來存取系統。
  • 如果您選取,精靈會將您導向至 [匯入使用者群組] 頁面,以便您在完成設定 SSO 來源時匯入使用者群組。
  • 如果您要匯入使用者帳戶,或在稍後匯入使用者群組,請選取
進階 如果您的系統使用負載平衡器,請輸入負載平衡器的 IP 位址。
測試

使用提供的認證測試主機是否可連線。

表 3. 驗證來源:新增使用者和群組匯入的來源 - 選取 Open LDAPActive Directory其他時的可用選項。
選項 說明

整合模式基本設定

套用基本設定,以整合 LDAP 匯入來源與 vRealize Operations 的執行個體。

使用基本整合模式,以使 vRealize Operations 探索 LDAP 資料庫所在的主機,以及設定用於搜尋使用者的基本辨別名稱 (基本 DN)。提供 vRealize Operations 用來填入主機和基本 DN 詳細資料的網域和子網域名稱,以及可登入 LDAP 主機的使用者名稱和密碼。

在基本模式下,嘗試從 DNS 伺服器擷取主機和連接埠,並為網域取得全域目錄和網域控制器 (啟用 SSL/TLS 的伺服器優先)。

  • 網域/子網域。LDAP 使用者帳戶的網域資訊。
    備註: 若要從多個子網域匯入使用者和群組,請使用根 domain.com 而非子網域。使用子網域會將 vRealize Operations 的可見度限制為該特定子網域中的群組和使用者。
  • 使用 SSL/TLS。選取後,當您從 LDAP 資料庫匯入使用者時,vRealize Operations 會使用安全通訊端層/傳輸層安全性 (SSL/TLS) 通訊協定來提供安全通訊。無需安裝 SSL/TLS 憑證。相反的,vRealize Operations 會提示您檢視和確認指紋,並接受 LDAP 伺服器憑證。接受該憑證後,LDAP 通訊會繼續進行。
  • 如果 Active Directory 使用自我簽署憑證,則憑證應包含主體別名欄位。只有在主題替代名稱欄位提供的主機名稱或 IP 位址與使用憑證的網域控制器位址相符時,vRealize Operations才能成功驗證 Active Directory 憑證並與 Active Directory 整合。
  • 使用者名稱。可登入 LDAP 主機的使用者帳戶名稱。
  • 重設密碼。重設可以登入 LDAP 主機之使用者帳戶的密碼。
  • 針對已設定的群組自動同步化使用者成員資格。選取後,vRealize Operations 可以將已匯入的 LDAP 使用者與使用者群組對應。
  • 主機。LDAP 使用者資料庫所在主機的名稱或 IP 位址。
  • 連接埠。用於匯入的連接埠。如果未使用 SSL/TLS,則使用連接埠 389,或者如果正在使用 SSL/TLS,則使用連接埠 636,或者選擇其他連接埠號碼。全域目錄連接埠即為適用於非 SSL/TLS 的 3268 以及適用於 SSL/TLS 的 3269。
  • 基本辨別名稱。使用者搜尋的基本辨別名稱。vRealize Operations 僅尋找基本 DN 下的使用者。基本 DN 是已匯入的使用者辨別名稱 (DN) 的基礎項目,該辨別名稱是使用者名稱的基本項目,不需要其他相關資訊,如使用者帳戶的完整路徑或包括相關網域元件。儘管 vRealize Operations 會填入基本 DN,管理員仍必須在儲存 LDAP 組態之前驗證基本 DN。
  • 一般名稱。用於識別使用者名稱的 LDAP 屬性。Active Directory 的預設屬性為 userPrincipalName

整合模式進階設定

套用進階設定,以整合 LDAP 匯入來源與 vRealize Operations 的執行個體。

使用進階整合模式手動提供主機名稱和基本辨別名稱 (基本 DN),以使 vRealize Operations 匯入使用者。提供可登入 LDAP 主機的使用者名稱和密碼。

  • 主機。LDAP 使用者資料庫所在主機的名稱或 IP 位址。
  • 使用 SSL/TLS。選取後,當您從 LDAP 資料庫匯入使用者時,vRealize Operations 會使用安全通訊端層/傳輸層安全性 (SSL/TLS) 通訊協定來提供安全通訊。無需安裝 SSL/TLS 憑證。相反的,vRealize Operations 會提示您檢視和確認指紋,並接受 LDAP 伺服器憑證。接受該憑證後,LDAP 通訊會繼續進行。
  • 如果 Active Directory 使用自我簽署憑證,則憑證應包含主體別名欄位。只有在主題替代名稱欄位提供的主機名稱或 IP 位址與使用憑證的網域控制器位址相符時,vRealize Operations才能成功驗證 Active Directory 憑證並與 Active Directory 整合。
  • 基本辨別名稱。使用者搜尋的基本辨別名稱。vRealize Operations 只會尋找基本 DN 下的使用者。基本 DN 是已匯入的使用者辨別名稱 (DN) 的基礎項目,該辨別名稱是使用者名稱的基本項目,不需要其他相關資訊,如使用者帳戶的完整路徑或包括相關網域元件。儘管 vRealize Operations 會填入基本 DN,管理員仍必須在儲存 LDAP 組態之前驗證基本 DN。
  • 使用者名稱。可登入 LDAP 主機的使用者帳戶名稱。
  • 重設密碼。重設可以登入 LDAP 主機之使用者帳戶的密碼。
  • 針對已設定的群組自動同步化使用者成員資格。選取後,vRealize Operations 可以將已匯入的 LDAP 使用者與使用者群組對應。
  • 一般名稱。用於識別使用者名稱的 LDAP 屬性。Active Directory 的預設屬性為 userPrincipalName
  • 連接埠。用於匯入的連接埠。如果未使用 SSL/TLS,則使用連接埠 389,或者如果正在使用 SSL/TLS,則使用連接埠 636,或者選擇其他連接埠號碼。全域目錄連接埠即為適用於非 SSL/TLS 的 3268 以及適用於 SSL/TLS 的 3269。

搜尋準則

顯示搜尋準則設定。

雖然 vRealize Operations 填入部分搜尋準則,但是,管理員必須根據 LDAP 類型的內容驗證設定,以確保設定正確。

  • 群組搜尋準則。用於尋找 LDAP 群組的搜尋準則。如果不包括此準則,則 vRealize Operations 會使用預設搜尋參數:(|(objectClass=group)(objectClass=groupOfNames))
  • 成員屬性。包含成員清單的群組物件的屬性名稱。如果不包括此屬性,則依預設,vRealize Operations 會使用成員。
  • 使用者搜尋準則。用於使用成員欄位以尋找和快取 LDAP 使用者的搜尋準則。以 (|(key1=value1)(key2=value2)) 格式輸入多組 key=value 對。如果不包括此準則,則 vRealize Operations 會分別搜尋每個使用者。此作業可能需要額外的時間才能完成。
  • 成員比對欄位。與來自群組物件之成員項目相符的使用者物件的屬性名稱。如果不包括此屬性名稱,vRealize Operations 會將成員項目視為辨別名稱。
  • LDAP 內容屬性。vRealize Operations 套用到 LDAP 內容環境的屬性。輸入多組 key=value 對,並以逗點分隔,如 java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse

測試

使用提供的認證測試主機是否可連線。雖然測試連線成功,但是,使用搜尋功能的使用者在 LDAP 來源中必須具有讀取權限。

此測試不確保 [基本 DN] 或 [一般名稱] 項目的準確性。

表 4. 驗證來源:新增使用者和群組匯入的來源 - 選取 VMware Identity Manager 時的可用選項。
選項 說明
主機 單一登入使用者伺服器所在之 VMware Identity Manager 機器的名稱或 IP 位址。
連接埠 單一登入接聽連接埠。預設值為 443。
租用戶 這是一個選用欄位。
使用者名稱 VMware Identity Manager 系統網域租用戶管理員的使用者名稱。
密碼 VMware Identity Manager 系統網域租用戶管理員的密碼。
重新導向 IP/ FQDN

這是使用者向 VMware Identity Manager 成功驗證後重新導向到的 vRealize Operations 節點 IP 位址。依預設,此為 vRealize Operations 主要節點的 IP 位址。

備註: 當主要複本成為 vRealize Operations 上的主要節點時, vRealize Operations 管理員必須手動編輯 IP 位址,將其設成目前主要節點的 IP 位址。
測試

使用提供的認證測試是否可連線至 VMware Identity Manager 機器。