n identity manager - docs.vmware.com · configurando a alta disponibilidade para a autenticação...

Implantação do VMwareIdentity Manager CloudSETEMBRO DE 2018VMware Identity Manager

Implantação do VMware Identity Manager Cloud

VMware, Inc. 2

Você pode encontrar a documentação técnica mais atualizada no site da VMware, em:

https://docs.vmware.com/br/

O site da VMware também fornece as atualizações mais recentes de produtos.

Caso tenha comentários sobre esta documentação, envie seu feedback para:

[email protected]

Direitos autorais © 2016 – 2018 VMware, Inc. Todos os direitos reservados. Informações sobre direitos autorais emarca registrada.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware BrasilRua Surubim, 504 4º andar CEP 04571-050Cidade MonçõesSão PauloSÃO PAULO: 04571-050BrasilTel: +55 11 55097200Fax: + 55. 11. 5509-7224www.vmware.com/br

https://docs.vmware.com/br/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Conteúdo

Implantação do VMware Identity Manager Cloud 5

1 Modelos de implantação 6

Modelo de implantação usando o AirWatch Cloud Connector 7

Modelo de implantação usando o VMware Identity Manager Connector no modo de conexão

somente de saída 10

2 Preparando o VMware Identity Manager Connector 13

Requisitos de configuração do sistema e da rede 13

Criar registros DNS e endereços IP 16

Listas de verificação de implantação 17

3 Implantando o VMware Identity Manager Connector 20

Gerar código de ativação do conector 21

Instalar e configurar o appliance virtual do conector 22

Configurar um diretório 25

Habilitar os adaptadores de autenticação no VMware Identity Manager Connector 26

Habilitar o modo de saída para o VMware Identity Manager Connector 27

4 Configurando a alta disponibilidade para o VMware Identity Manager

Connector 31Instalar instâncias de conector adicional 31

Configurar a alta disponibilidade para autenticação 33

Ativando a sincronização de diretório em outro conector em caso de falha 34

5 Adicionando o suporte à autenticação Kerberos à sua implantação do VMware

Identity Manager Connector 35Configurando e habilitando o adaptador de autenticação Kerberos 36

Configurando a alta disponibilidade para a autenticação Kerberos 38

6 Integrando seu diretório corporativo ao VMware Identity Manager 43

Conceitos importantes relacionados à integração de diretório 44

Integrando com o Active Directory 45

Integrando a diretórios LDAP 60

Adicionando um diretório depois de configurar o failover e a redundância 66

7 Usando diretórios locais 68

Criando um diretório local 70

VMware, Inc. 3

Alterando as configurações do diretório local 75

Excluindo um diretório local 76

8 Gerenciando as configurações de administrador do conector do

VMware Identity Manager 77Usando certificados SSL para o conector 78

Configurar um servidor de syslog para o conector 81

Gerenciando suas senhas do conector do VMware Identity Manager 81

Visualizando arquivos de log 82

Modificar a URL do conector 83

9 Excluindo uma instância do VMware Identity Manager Connector 85


VMware, Inc. 4

Implantação do VMware Identity ManagerCloud

A Implantação do VMware Identity Manager Cloud fornece informações sobre os cenários deimplantação disponíveis para o serviço de nuvem do VMware Identity Manager™. Também forneceinformações sobre como instalar e configurar o appliance virtual do VMware Identity Manager Connectorno modo de conexão apenas de saída. Além disso, explica como integrar o seu diretório corporativo esincronizar usuários e grupos com o serviço do VMware Identity Manager.

Para obter informações sobre como instalar e configurar o appliance virtual d VMware Identity ManagerConnector no modo herdado, consulte Instalando e configurando o VMware Identity Manager Connector(modo herdado).

Para obter informações sobre como usar o VMware Identity Manager com o VMware Workspace ONE™UEM, consulte as seções relevantes deste documento, Guia para implantação do Workspace ONE e adocumentação do Workspace ONE UEM.

Público-alvoAs informações foram concebidas para administradores experientes de sistemas Windows e Linux queestão familiarizados com as tecnologias da VMware, principalmente o vCenter™, o ESX™ e o vSphere®,e com os conceitos de rede, Active Directory e bancos de dados.

O conhecimento de outras tecnologias, como RSA Adaptive Authentication, RSA SecurID e RADIUS,também é útil se você planeja implementar esses recursos.

Glossário de Publicações Técnicas VMwareAs Publicações Técnicas VMware fornecem um glossário de termos que talvez você não conheça. Paraconhecer definições de termos usados na documentação técnica da VMware, acesse http://www.vmware.com/support/pubs.

VMware, Inc. 5

http://www.vmware.com/support/pubs

Modelos de implantação 1Para usar o tenant do VMware Identity Manager, você precisa de um componente instalado no ambientedo cliente para a autenticação do usuário e integração do diretório. Há dois tipos principais de modelosde implantação disponíveis, um que integra a implantação do Workspace ONE UEM e um que não exigeo Workspace ONE UEM e usa o conector do VMware Identity Manager.

Também é possível combinar os modelos de implantação caso você precise de funcionalidade que nãotenha suporte para um dos modelos.

n Modelo de implantação usando o AirWatch Cloud Connector

Caso você já tenha uma implantação do Workspace ONE UEM, é possível integrar a ela, semdemora, seu tenant do VMware Identity Manager. Nesse modelo, a sincronização de usuários egrupos desde seu diretório corporativo e sua autenticação de usuário é realizada pelo WorkspaceONE UEM. Não há mais nenhuma exigência para a implantação do VMware Identity Manager.

Observe que a integração do VMware Identity Manager com recursos como os recursos publicadosdo Horizon 7 e do Citrix não é suportada neste modelo. Apenas a integração com os aplicativos daWeb e os aplicativos móveis nativos é suportada.

Consulte Modelo de implantação usando o AirWatch Cloud Connector.

n Modelo de implantação usando o VMware Identity Manager Connector (no modo de conexãosomente de saída)

Para usar seu tenant do VMware Identity Manager em um cenário que não exija uma implantação doWorkspace ONE UEM, você instala o appliance virtual do conector do VMware Identity Manager nolocal. O conector conecta o tenant aos serviços locais, como o Active Directory. Nesse modelo, asincronização do usuário e do grupo, feitas a partir do diretório corporativo e da autenticação dousuário, são realizadas pelo conector do VMware Identity Manager. O conector é instalado em modode conexão somente de saída e não exige que a porta 443 do firewall de entrada esteja aberta.

Consulte Modelo de implantação usando o VMware Identity Manager Connector no modo deconexão somente de saída.

n Adicionando suporte de autenticação Kerberos à sua implantação

VMware, Inc. 6

Você pode adicionar a autenticação Kerberos para usuários internos (o que requer o modo deconexão de entrada) à sua implantação com base em conectores de modo de conexão somentede saída.

Consulte Adicionando suporte de autenticação Kerberos à sua implantação.

n Modelo de implementação do VMware Identity Manager Connector Legacy

O conector do VMware Identity Manager também pode ser instalado no modo herdado, o que exige aabertura da porta 443 do firewall de entrada para o conector.

Para informações sobre a instalação e a configuração do conector neste modelo, consulte Instalandoe configurando o VMware Identity Manager Connector (Modo de herança).

Este capítulo inclui os seguintes tópicos:

n Modelo de implantação usando o AirWatch Cloud Connector

n Modelo de implantação usando o VMware Identity Manager Connector no modo de conexãosomente de saída

Modelo de implantação usando o AirWatch CloudConnectorCaso você já tenha uma implantação do Workspace ONE UEM, é possível integrar a ela seu tenant doVMware Identity Manager. Nesse modelo, a sincronização de usuários e grupos desde seu diretóriocorporativo e sua autenticação de usuário é realizada pelo Workspace ONE UEM. Não há mais nenhumaexigência para a implantação do VMware Identity Manager.

Observe que a integração do VMware Identity Manager com recursos como os recursos publicados doHorizon 7 ou do Citrix não é suportada neste modelo. Apenas a integração com os aplicativos da Web eos aplicativos móveis nativos é suportada.


VMware, Inc. 7

Figura 1‑1. Usando o AirWatch Cloud Connector

Tenant do VMware Identity

Manager

Tenant do AirWatch

solicitar

autenticação de usuário

sincronização de usuário/grupo

resposta

HTTPS 443 (somente de saída)

Active Directory/

outros serviços de diretório

AirWatch Cloud Connector

No local

Pré-requisitosVocê deve ter os seguintes componentes.

n Um tenant do VMware Identity Manager

n Um tenant do Workspace ONE UEM

n Uma instância do AirWatch Cloud Connector implantada no local e integrada ao seu diretóriocorporativo

Requisitos de portaNão há mais nenhum requisito de porta para o VMware Identity Manager. O tenant doVMware Identity Manager só se comunica com o tenant do Workspace ONE UEM.

Para os requisitos de implantação do Workspace ONE UEM, consulte a documentação do WorkspaceONE UEM.

Métodos de autenticação suportadosEsse modelo de implantação suporta os seguintes métodos de autenticação. Esses métodos sãodisponibilizados por meio do provedor Provedor de identidade integrado do VMware Identity Manager.

n Senha (AirWatch Connector)

n SSO Móvel (para iOS)

n SSO Móvel (para Android)


VMware, Inc. 8

n Conformidade do Dispositivo (com AirWatch)

n Certificado (implementação em nuvem)

n VMware Verify

Além disso, a SAML de entrada por meio de um provedor de identidade de terceiros também estádisponível.

Integrações de diretório suportadasVocê integra seu diretório corporativo ao do Workspace ONE UEM. Consulte a documentação doWorkspace ONE UEM para cada tipo de diretório suportado.

Recursos suportadosVocê pode integrar os seguintes tipos de recursos ao VMware Identity Manager neste modelo deimplantação.

n aplicativos Web

n Aplicativos móveis nativos

Você pode integrar os seguintes tipos de recurso ao VMware Identity Manager neste modelo deimplantação.

n Pools de desktops e aplicativos do VMware Horizon® 7, Horizon 6 ou View

n Recursos publicados Citrix

n Aplicativos e desktops do VMware Horizon® Cloud Service™

n Aplicativos empacotados do VMware ThinApp

Informações adicionaisPara obter mais informações, consulte a seguinte documentação.

n Guia para implantação do VMware Workspace ONE

n Documentação do Workspace ONE UEM

Importante O restante deste documento não diz respeito ao modelo de implantação do WorkspaceONE UEM. Ele diz respeito apenas aos modelos de implantação do conector do VMware IdentityManager em modo de conexão somente de saída.


VMware, Inc. 9

Modelo de implantação usando oVMware Identity Manager Connector no modo deconexão somente de saídaPara usar seu tenant do VMware Identity Manager sem uma implantação do Workspace ONE UEM, vocêinstala o appliance virtual do conector do VMware Identity Manager no local em modo de conexãoapenas de saída. Nesse modelo, a sincronização do usuário e do grupo, feitas a partir do diretóriocorporativo e da autenticação do usuário, são realizadas pelo conector do VMware Identity Manager.Observe que alguns métodos de autenticação não exigem o conector e são gerenciados diretamentepelo serviço.

O conector também pode sincronizar os recursos, tais como os desktops e aplicativos do Horizon 7, como serviço do VMware Identity Manager.

Figura 1‑2. Usando o VMware Identity Manager Connector

solicitarresposta

VMware Identity Tenant do Manager

CanalWebsocket

HTTPS 443(somente de saída)

Active Directory/

LDAP

Conector do VMware Identity Manager

No local

Serviçosopcionais

IntegrationBroker

Farms da Citrix

Visualizar servidores

de conexão

RSASecurID

Autenticação RSA adaptativa

ServidorRADIUS

11

2

3

Requisitos de portaO conector é instalado em modo de conexão somente de saída e não exige que a porta 443 de entradaesteja aberta. O conector se comunica com o serviço do VMware Identity Manager por meio de um canalde comunicação baseado em Websocket.

Para a lista de portas usadas, consulte Requisitos de configuração do sistema e da rede.


VMware, Inc. 10

Métodos de autenticação suportadosEsse modelo de implantação suporta todos os métodos de autenticação. Alguns desses métodos deautenticação não exigem o conector e são administrados diretamente pelo Provedor de identidadeintegrado.

n Senha - usa o conector

n Autenticação adaptativa RSA - usa o conector

n RSA SecurID - usa o conector

n RADIUS - usa o conector

n Certificado (implantação em nuvem) - por meio do Provedor de identidade integrado

n VMware Verify - por meio do Provedor de identidade integrado

n Mobile SSO (iOS) - por meio do Provedor de identidade integrado

n Mobile SSO (Android) - por meio do Provedor de identidade integrado

n SAML de entrada por meio de provedor de identidade de terceiros

Observação Para mais informações sobre o uso do Kerberos, consulte Adicionando suporte deautenticação Kerberos à sua implantação.

Integrações de diretório suportadasVocê pode integrar os seguintes tipos de diretórios corporativos ao VMware Identity Manager.

n Active Directory sobre LDAP

n Active Directory, Autenticação integrada do Windows

n Diretório LDAP

Caso você implante um diretório LDAP, consulte Limitações da Integração de Diretório LDAP antes.

Como alternativa, você pode usar o provisionamento Just-in-Time para criar usuários de um modo bemdinâmico no serviço do VMware Identity Manager no login. Para isso, use as asserções SAML enviadaspor um provedor de identidade de terceiros.

Recursos suportadosVocê pode integrar os seguintes tipos de recurso ao VMware Identity Manager.

n aplicativos Web

n Pools de desktops e aplicativos do VMware Horizon 7, Horizon 6 ou View

n Recursos publicados Citrix

n Aplicativos e desktops do VMware Horizon Cloud Service


VMware, Inc. 11

n Aplicativos empacotados do ThinApp

Informações adicionaisn O restante deste documento contém informações sobre a instalação e a configuração do conector do

VMware Identity Manager. As informações se aplicam somente ao modelo de implantação que usa oVMware Identity Manager Connector no modo de conexão somente de saída.

n Consulte também "Configurando a autenticação de usuário no VMware Identity Manager" no Guia degerenciamento do VMware Identity Manager.

Adicionando suporte de autenticação Kerberos à sua implantaçãoVocê pode adicionar a autenticação Kerberos para usuários internos, o que requer o modo de conexãode entrada, à sua implantação com base em conectores de modo de conexão somente de saída doVMware Identity Manager. Os mesmos conectores podem ser configurados para usar a autenticaçãoKerberos para usuários provenientes da rede interna e outro método de autenticação para usuários quevêm de fora. Você pode conseguir isso definindo políticas de autenticação baseadas em intervalos derede.

Observação O processo para configurar a alta disponibilidade da autenticação Kerberos é diferente.

Para obter mais informações, consulte Capítulo 5Adicionando o suporte à autenticação Kerberos à suaimplantação do VMware Identity Manager Connector.


VMware, Inc. 12

Preparando o VMware IdentityManager Connector 2O VMware Identity Manager Connector é um appliance virtual que você implanta em seu ambientevSphere on-premise (local). Antes de implantar o conector, reveja os requisitos e realize as tarefasnecessárias.

Este capítulo inclui os seguintes tópicos:n Requisitos de configuração do sistema e da rede

n Criar registros DNS e endereços IP

n Listas de verificação de implantação

Requisitos de configuração do sistema e da redeConsidere toda sua implantação, incluindo os recursos que você planeja integrar, quando você tomadecisões sobre o hardware, os recursos e os requisitos de rede.

Versões compatíveis do vSphere e do ESXVocê instala o appliance virtual no vCenter Server. As seguintes versões do vSphere e do ESX Serversão compatíveis:

n 5.5 e posterior

n 6.0 e posteriores

O VMware vSphere® Web Client é necessário para a implantação do arquivo OVA e acessarremotamente o appliance virtual implantado.

Requisitos do appliance virtual do conector doVMware Identity ManagerCertifique-se de que você atende aos requisitos para a quantidade de servidores e os recursos alocadosa cada servidor.

VMware, Inc. 13

Quantidade deusuários Até 1.000 1.000-10.000 10.000-25.000 25.000-50.000 50.000-100.000

Quantidade deservidores deconector

1 servidor 2 servidores combalanceamento decarga

2 servidores combalanceamento decarga



CPU (por servidor) 2 CPUs 4 CPUs 4 CPUs 4 CPUs 4 CPUs

RAM (por servidor) 6 GB 6 GB 8 GB 16 GB 16 GB

Espaço em disco(por servidor)

60 GB 60 GB 60 GB 60 GB 60 GB

Requisitos de configuração de rede

Componente Requisito mínimo

Registro DNS e endereço IP estático Consulte Criar registros DNS e endereços IP.

Porta do firewall Certifique-se de que a porta 443 do firewall de saída está aberta a partir da instância doconector para a URL de seu VMware Identity Manager.

Requisitos de portaAs portas usadas na configuração do servidor do conector são descritas abaixo. A implantação podeincluir somente um subconjunto delas.

Porta Origem Target Descrição

443 Appliance virtual do conector Host de serviço do VMwareIdentity Manager

HTTPS

443 Appliance virtual do conector Balanceador de carga doserviço do VMware IdentityManager

HTTPS

443, 80 Appliance virtual do conector vapp-updates.vmware.com Acesso ao servidor deatualização

8443 Navegadores Appliance virtual do conector HTTPS

Porta do administrador

443 Navegadores Appliance virtual do conector HTTPS

Esta porta só é necessáriapara um conector que estásendo usado no modo deentrada.

Se a autenticação Kerberosestiver configurada noconector, essa porta seránecessária.

389, 636, 3268, 3269 Appliance virtual do conector Active Directory Os valores padrão aparecem.Essas portas sãoconfiguráveis.


VMware, Inc. 14

Porta Origem Target Descrição

5500 Appliance virtual do conector Sistema RSA SecurID O valor padrão é mostrado.Essa porta é configurável

53 Appliance virtual do conector Servidor DNS TCP/UDP

Todos os appliances virtuaisdevem ter acesso ao servidorDNS na porta 53 e permitir otráfego SSH de entrada naporta 22

88, 464, 135, 445 Appliance virtual do conector Controlador de domínio TCP/UDP

389, 443 Appliance virtual do conector View Connection Server Acesse as instâncias do ViewConnection Server para asintegrações Horizon/View.

445 Appliance virtual do conector Repositório do VMwareThinApp

Acesso ao repositório doThinApp

80, 443 Appliance virtual do conector Servidor do Integration Broker TCP

Conexão com o servidor doIntegration Broker. A opçãode porta depende do fato deum certificado estar instaladono servidor do IntegrationBroker.

514 Appliance virtual do conector servidor syslog UDP

Para o servidor syslogexterno, se configurado

Diretórios com suporteVocê integra seu diretório corporativo ao VMware Identity Manager e sincroniza com o serviço osusuários e os grupos a partir do seu diretório corporativo. Você pode integrar os seguintes tipos dediretórios.

n Um ambiente Active Directory que consiste em um único domínio do Active Directory, váriosdomínios em uma única floresta do Active Directory ou vários domínios em várias florestas do ActiveDirectory.

O VMware Identity Manager suporta o Active Directory no Windows 2008, 2008 R2, 2012 e 2012 R2,com um nível funcional de Domínio e nível funcional de Floresta do Windows 2003 e posterior.

Observação Um nível funcional mais alto pode ser necessário para alguns recursos. Por exemplo,para permitir que os usuários alterem as senhas do Active Directory a partir do Workspace ONE, onível funcional do Domínio deve ser Windows 2008 ou posterior.

n Um diretório LDAP


VMware, Inc. 15

Seu diretório deve ser acessível ao appliance virtual do conector.

Observação Você também poderá criar diretórios locais no serviço do VMware Identity Manager.

Navegadores da Web suportados para acessar o console deadministraçãoO console de administração do VMware Identity Manager é um aplicativo baseado na Web que você usapara gerenciar seu tenant. Você pode acessar o console de administração nas versões mais recentes doGoogle Chrome, Mozilla Firefox, Safari, Microsoft Edge e Internet Explorer 11.

Observação No Internet Explorer 11, deve-se habilitar o JavaScript e se permitir cookies para aautenticação pelo VMware Identity Manager.

Navegadores suportados para acessar o portal do WorkspaceONEOs usuários finais podem acessar o portal do Workspace ONE nos seguintes navegadores.

n Mozilla Firefox (mais recente)

n Google Chrome (mais recente)

n Safari (mais recente)

n Internet Explorer 11

n Navegador Microsoft Edge

n Navegador nativo e Google Chrome em dispositivos Android

n Safari em dispositivos iOS

Observação No Internet Explorer 11, deve-se habilitar o JavaScript e se permitir cookies para aautenticação pelo VMware Identity Manager.

Criar registros DNS e endereços IPUma entrada DNS e um endereço IP estático devem estar disponíveis para o appliance virtual doconector . Como cada empresa administra os próprios endereços IP e registros DNS de forma diferente,solicite o registro DNS e os endereços IP a serem usados antes de começar a instalação.

A configuração da pesquisa inversa é opcional. Ao implementar a pesquisa inversa, você deve definir umregistro PTR no servidor DNS para que o appliance virtual use a configuração de rede correta.

Você pode usar a lista de amostra de registros DNS ao conversar com o administrador da rede.Substitua as informações de amostra por informações do seu ambiente. Este exemplo mostra osregistros DNS e os endereços IP encaminhados.


VMware, Inc. 16

Tabela 2‑1. Exemplos de registros DNS e endereços IP encaminhados

Nome do domínio Tipo de Recurso Endereço IP

meuidentitymanager.exemplo.com Um 10.28.128.3

Este exemplo mostra os registros DNS e endereços IP reversos.

Tabela 2‑2. Exemplos de registros DNS e endereços IP reversos

Endereço IP Tipo de Recurso Nome do Host

10.28.128.3 PTR meuidentitymanager.exemplo.com

Depois de concluir a configuração do DNS, verifique se a pesquisa de DNS reverso está configuradacorretamente. Por exemplo, o comando do appliance virtual host IPaddress deve ser resolvido para apesquisa de nome de DNS.

Planejando para a autenticação KerberosSe você planejar configurar a autenticação Kerberos, observe que o nome do host do conector devecorresponder ao domínio do Active Directory no qual o conector ingressou. Por exemplo, se o domínio doActive Directory for vendas.exemplo.com, o nome do host do conector deverá serconnectorhost.vendas.exemplo.com.

Se você não puder atribuir um nome de host que corresponda à estrutura de domínio do Active Directory,precisará configurar manualmente o conector e o Active Directory. Consulte a Base de conhecimentopara obter informações.

Usando um servidor DNS baseado em Unix/LinuxSe você estiver usando um servidor DNS baseado em Linux ou Unix e pretende ingressar o conector nodomínio do Active Directory, certifique-se de que os registros de recurso do serviço (SRV) adequadossejam criados para cada controlador de domínio do Active Directory.

Observação Caso você tenha um balanceador de carga com um endereço IP virtual (VIP) na frentedos servidores DNS, observe que o VMware Identity Manager não oferece para suporta usar um VIP.Você pode especificar vários servidores DNS separados por vírgula.

Listas de verificação de implantaçãoVocê pode usar a lista de verificação de implantação para reunir as informações necessárias parainstalar o appliance virtual do conector.


VMware, Inc. 17

Informações do nome de domínio totalmente qualificadoTabela 2‑3. Lista de verificação de informações do nome de domínio totalmente qualificado(FQDN)

Informações a reunir Listar as informações

FQDN do conector Observação Se você planejar configurar a autenticaçãoKerberos, o nome do host do conector deverá corresponder aodomínio do Active Directory no qual o conector ingressou. Porexemplo, se o domínio do Active Directory forvendas.exemplo.com, o nome do host do conector deverá serconnectorhost.vendas.exemplo.com.

Se você não puder atribuir um nome de host que correspondaà estrutura de domínio do Active Directory, precisará configurarmanualmente o conector e o Active Directory. Consulte a Basede conhecimento para obter informações.

Informações de rede do appliance virtual do ConectorTabela 2‑4. Lista de verificação de informações de rede


Endereço IP Observação Você deve usar um endereço IP estático e eledeve ter um PTR e um registro A definido no DNS.

Nome DNS desse appliance virtual

Endereço do gateway padrão

Máscara de rede ou prefixo

Informações do diretórioO VMware Identity Manager é compatível com a integração aos ambientes Active Directory ou diretórioLDAP.

Tabela 2‑5. Lista de verificação de informações do controlador de domínio do ActiveDirectory


Nome do servidor Active Directory

Nome do domínio do Active Directory

DN base

Para o Active Directory sobre LDAP, o nome de usuário e asenha do DN Bind

Para o Active Directory com Autenticação Integrada doWindows, o nome de usuário e a senha da conta comprivilégios para ingressar computadores no domínio.


VMware, Inc. 18

Tabela 2‑6. Lista de verificação de informações do servidor do diretório LDAP


Nome ou endereço IP do servidor do diretório LDAP

Número da porta do servidor do diretório LDAP

DN base

Nome de usuário e senha do DN Bind

Filtros de pesquisa LDAP para objetos de grupo, objetos dousuário bind e objetos de usuário

Nomes de atributo LDAP para associação, UUID do objeto enome distinto

Certificados SSLVocê pode adicionar um certificado SSL depois de implantar o appliance virtual do conector.

Tabela 2‑7. Lista de verificação de informações do certificado SSL


certificado SSL

Chave privada


VMware, Inc. 19

Implantando o VMware IdentityManager Connector 3Para implantar o conector do VMware Identity Manager, instale o appliance virtual do conector novCenter Server, ligue-o e ative-o usando um código de ativação gerado no console doVMware Identity Manager. Você também define as configurações do appliance, tais como as senhas deconfiguração.

Após instalar e configurar o conector, você vai para o console do VMware Identity Manager paraconfigurar a conexão ao seu diretório corporativo, habilita adaptadores de autenticação no conector e porfim habilita o modo de saída para o conector.

1 Gerar código de ativação do conector

Antes de instalar o VMware Identity Manager conector, faça login em seu console de administraçãodo tenantVMware Identity Manager como administrador local e gere um código de ativação para oconector. Usa-se esse código de ativação para estabelecer comunicação entre seu tenant e ainstância do seu conector.

2 Instalar e configurar o appliance virtual do conector

Para implantar o conector, instale o appliance virtual do conector no vCenter Server usando ovSphere Web Client, ligue e ative-o usando o código de ativação gerado no console doVMware Identity Manager.

3 Configurar um diretório

Depois de implantar o appliance virtual do conector, configure um diretório no console doVMware Identity Manager. Você pode sincronizar com o serviço do VMware Identity Managerusuários e grupos a partir do diretório corporativo.

4 Habilitar os adaptadores de autenticação no VMware Identity Manager Connector

Há diversos adaptadores de autenticação disponíveis para o VMware Identity Manager Connectorno modo externo, incluindo o PasswordIdpAdapter, o RSAAIdpAdapter, o SecurIDAdapter e oRadiusAuthAdapter. Configure e habilite os adaptadores que você pretende usar.

5 Habilitar o modo de saída para o VMware Identity Manager Connector

Para habilitar o modo de conexão apenas de saída para o VMware Identity Manager Connector,associe-o a um provedor de identidade interno.

VMware, Inc. 20

Gerar código de ativação do conectorAntes de instalar o VMware Identity Manager conector, faça login em seu console de administração dotenantVMware Identity Manager como administrador local e gere um código de ativação para o conector.Usa-se esse código de ativação para estabelecer comunicação entre seu tenant e a instância do seuconector.

Pré-requisitos

Você tem o seu endereço de tenant do VMware Identity Manager. Por exemplo,mycompany.vmwareidentity.com. Ao receber sua confirmação, vá para a URL do tenant e entre noconsole do VMware Identity Manager usando as credenciais de administrador local que você recebeu.

Procedimentos

1 Faça login no console do VMware Identity Manager.

2 Clique em Aceitar para aceitar o contrato de Termos e condições.

3 Clique na guia Gerenciamento de Identidade e Acesso.

4 Clique em Configuração.

5 Na página Conectores, clique em Adicionar conector.

6 Digite um nome para oconector.

7 Clique em Gerar código de ativação.

O código de ativação é exibido na página.


VMware, Inc. 21

8 Copie o código de ativação e salve-o.

Você precisará do código de ativação posteriormente quando implantar o conector.

Você já pode instalar o appliance virtual do conector.

Instalar e configurar o appliance virtual do conectorPara implantar o conector, instale o appliance virtual do conector no vCenter Server usando o vSphereWeb Client, ligue e ative-o usando o código de ativação gerado no console do VMware Identity Manager.

Pré-requisitos

n Baixe o arquivo do conector OVA a partir da página de produto do VMware Identity Manager noendereço my.vmware.com.

n Abra o vSphere Web Client, usando os navegadores Firefox ou Chrome. Não use o Internet Explorerpara implantar o arquivo OVA.


VMware, Inc. 22

n Identifique, para seu appliance, os registros DNS e o nome do host a serem usados.

Observação Se você planejar configurar a autenticação Kerberos, o nome do host do conectordeverá corresponder ao domínio do Active Directory no qual o conector ingressou. Por exemplo, se odomínio do Active Directory for vendas.exemplo.com, o nome do host do conector deverá serconnectorhost.vendas.exemplo.com.

Se você não puder atribuir um nome de host que corresponda à estrutura de domínio do ActiveDirectory, precisará configurar manualmente o conector e o Active Directory. Consulte a Base deconhecimento para obter informações.

Procedimentos

1 No vSphere Web Client, clique com o botão direito do mouse em qualquer objeto de inventário noqual uma máquina virtual pode ser implantada, como um host, cluster ou pasta, e selecioneImplantar Modelo OVF.

2 Siga o assistente Implantar Modelo OVF para implantar o modelo de conector do VMware IdentityManager.

a Na página Selecionar Modelo, selecione Arquivo Local, clique em Procurar para selecionar oarquivo OVA do conector baixado e clique em Avançar.

b Na página Selecionar nome e localização, insira um nome exclusivo para o appliance virtual doconector, selecione um centro de dados ou uma pasta como o local de implantação e clique emAvançar.

c Na página Selecionar um recurso, selecione o host, cluster, pool de recursos ou vApp no qualvocê deseja executar o appliance virtual do conector e clique em Avançar.

d Na página Detalhes de Revisão, confira os detalhes do modelo de conector e clique emAvançar.

e Na página Aceitar contratos de licença, leia e aceite o contrato de licença e clique em Avançar.

f Na página Selecionar armazenamento, selecione o repositório de dados ou o cluster derepositório de dados no qual armazenar os arquivos do appliance virtual e clique em Avançar.

Também selecione o formato do disco virtual para os arquivos. Para ambientes de produção,selecione um formato de Provisionamento estático. Use o formato de Provisionamentodinâmico para avaliação e teste.

g Na página Selecionar redes, selecione a rede de destino à qual você deseja conectar oappliance virtual do conector e clique em Avançar.


VMware, Inc. 23

h Na página Personalizar modelo, defina as propriedades de rede e de aplicativo.

Opção Descrição

Propriedades do aplicativo Ingressar no Programa de Aperfeiçoamento da Experiência do Cliente daVMwareEste produto participa do Programa de aperfeiçoamento da experiência docliente (“CEIP”) da VMware. Os detalhes sobre os dados recolhidos peloCEIP e os fins para os quais eles são utilizados pela VMware estãoestabelecidos no Centro de Confiança e Garantia, emhttps://www.vmware.com/br/solutions/trustvmware/ceip.html. Caso prefira nãoparticipar do CEIP da VMware para este produto, desmarque a caixa abaixo.

Você pode participar ou deixar de participar do CEIP da VMware para esteproduto a qualquer momento.

Observação Se a sua rede estiver configurada para acessar a Internet pormeio do proxy HTTP, para enviar à VMware os dados coletados pelo CEIP,você deverá ajustar as configurações de proxy no appliance virtual doconector. Você pode alterar as configurações de proxy depois de implantar oconector.

Observação O CEIP só é aplicável para instalações locais do VMwareIdentity Manager. Faça as suas escolhas ao instalar o serviço do VMwareIdentity Manager. No console de administração, você também pode participarou sair do CEIP a qualquer momento após a instalação.

Configuração do fuso horárioSelecione o fuso horário correto.

Propriedades de Rede Insira valores para DNS, Gateway Padrão, Endereço IP e Máscara de Redepara configurar o endereço IP estático para o conector. Se qualquer umdesses quatro campos de endereço, ou o Nome do Host, for deixado embranco, DHCP será usado.

Na caixa de texto Nome do Host (FQDN), insira o nome de host totalmentequalificado a ser usado para o appliance virtual do conector. Se estiver embranco, o DNS reverso será usado para procurar o nome do host.

i Na página Pronto para ser concluído, revise as seleções, faça os ajustes, se necessário, e clique

em Concluir.

Dependendo da velocidade da rede, a implantação pode levar vários minutos.

3 Quando a implantação estiver concluída e o appliance virtual do conector aparecer sob o objeto deinventário no qual você o implantou, clique com o botão direito do mouse no appliance virtual doconector e selecione Ligar/Desligar > Ligar.

O appliance virtual do conector é inicializado. Você pode ir até a guia Resumo e clicar no console doappliance virtual para ver os detalhes. Após concluída a inicialização do appliance virtual, o consoleexibirá a versão do conector e a URL para o assistente de Instalação.

4 Para executar o assistente de Configuração, aponte o navegador para a URL do conector exibida noconsole do appliance virtual, https://connectorFQDN.

5 Na página de boas-vindas, clique em Continuar.


VMware, Inc. 24

6 Crie senhas de alta segurança para as seguintes contas de administrador do appliance virtual doconector.

As senhas de alta segurança devem ter pelo menos oito caracteres e incluir letras maiúsculas eminúsculas e pelo menos um caractere numérico ou especial.

Opção Descrição

Administrador do appliance Crie a senha do administrador do appliance. O nome do usuário é admin e nãopode ser alterado. Você usa essa conta e senha para fazer login nos serviços doconector a fim de gerenciar certificados, senhas de appliance e a configuração dosyslog.

Importante A senha do usuário administrador deve ter pelo menos 6caracteres.

Conta raiz Uma senha raiz padrão da VMware foi usada para instalar o appliance doconector. Criar uma nova senha raiz.

Conta de usuário SSH Crie a senha a ser usada para o acesso remoto ao appliance do conector.

7 Clique em Continuar.

8 Na página Ativar Conector, cole o código de ativação e clique em Continuar.

O código de ativação é verificado, e a comunicação entre o serviço do VMware Identity Manager e ainstância do conector é estabelecida.

A instalação do conector foi concluída.

Próximo passo

Clique no link na página A Instalação foi Concluída para acessar o console do VMware Identity Manager.Faça login com o nome de usuário e a senha do administrador temporário que você recebeu para o seutenant. Em seguida, configure a conexão do diretório.

Configurar um diretórioDepois de implantar o appliance virtual do conector, configure um diretório no console doVMware Identity Manager. Você pode sincronizar com o serviço do VMware Identity Manager usuários egrupos a partir do diretório corporativo.

o VMware Identity Manager suporta integrar os seguintes tipos de diretórios.



n Diretório LDAP

Consulte Capítulo 6Integrando seu diretório corporativo ao VMware Identity Manager para obter maisinformações.

Observação Você também poderá criar diretórios locais no serviço do VMware Identity Manager.Consulte Capítulo 7Usando diretórios locais.


VMware, Inc. 25

Procedimentos

1 Clique no link da página A configuração está completa, que é exibido depois que você tiver ativado oconector.

A guia Gerenciamento de Identidade e Acesso > Diretórios é exibida.

2 Clique em Adicionar diretório e selecione o tipo de diretório que você deseja adicionar.

3 Siga as instruções do assistente de instalação para digitar as informações de configuração dediretório, os grupos selecionados e os usuários para sincronizar, assim como os usuáriossincronizados com o serviço do VMware Identity Manager.

Consulte Capítulo 6Integrando seu diretório corporativo ao VMware Identity Manager para obterinformações sobre como configurar um diretório.

Próximo passo

Clique na guia Usuários e Grupos e verifique se os usuários foram sincronizados.

Habilitar os adaptadores de autenticação no VMwareIdentity Manager ConnectorHá diversos adaptadores de autenticação disponíveis para o VMware Identity Manager Connector nomodo externo, incluindo o PasswordIdpAdapter, o RSAAIdpAdapter, o SecurIDAdapter e oRadiusAuthAdapter. Configure e habilite os adaptadores que você pretende usar.

Quando você criou o diretório, o método de autenticação de senha foi automaticamente habilitado paraele. O PasswordIdpAdapter foi configurado com as informações fornecidas para o diretório.

Procedimentos

1 No console do VMware Identity Manager, clique na guia Gerenciamento de Identidade e Acesso.

2 Clique na guia Configuração e, em seguida, clique na guia Conectores.

O conector que você implantou é listado.

3 Clique no link que consta na coluna Agente de trabalho.

4 Clique na guia Adaptadores de Autenticação.

Estão listados todos os adaptadores de autenticação disponíveis para o conector.

Caso você já tenha configurado um diretório, o PasswordIdpAdapter já estará configurado ehabilitado, contendo as informações de configuração que você especificou enquanto criava odiretório.

5 Configure e habilite os adaptadores de autenticação que você deseja usar. Para isso, clique no linkrelativo a cada um deles e digite as informações de configuração. Você deve habilitar ao menos umadaptador de autenticação.

Para obter informações sobre como configurar adaptadores de autenticação específicos, consulte oGuia de Administração do VMware Identity Manager.


VMware, Inc. 26

Por exemplo:

Habilitar o modo de saída para o VMware IdentityManager ConnectorPara habilitar o modo de conexão apenas de saída para o VMware Identity Manager Connector, associe-o a um provedor de identidade interno.


VMware, Inc. 27

Via de regra o provedor de identidade interno está disponível no serviço do VMware Identity Manager efornece métodos de autenticação internos adicionais, tal como o VMware Verify. Para obter maisinformações sobre o Provedor de de identidade integrado, consulte o Guia de administração do VMwareIdentity Manager.

Observação O conector pode ser usado simultaneamente tanto no modo de saída quanto no modonormal. Mesmo que você habilite o modo de saída, ainda poderá configurar a autenticação Kerberospara usuários internos usando métodos e políticas de autenticação.

Procedimentos

1 No console do VMware Identity Manager, selecione a guia Gerenciamento de Identidade e Acessoe, em seguida, clique em Gerenciar.

2 Clique na guia Provedores de Identidade.

3 Clique no link Integrado.

4 Insira as seguintes informações.

Opção Descrição

Usuários Selecione o diretório ou os domínios que usarão o Provedor de de identidadeintegrado.

Rede Selecione os intervalos de rede que usarão o Provedor de identidade integrado.

Conector(es) Selecione o conector que você configurou.

Observação Posteriormente, ao adicionar os conectores para altadisponibilidade, selecione e adicione todos eles aqui para associá-los aoProvedor de identidade integrado. O VMware Identity Manager distribuiautomaticamente o tráfego entre todos os conectores associados ao provedor deidentidade Integrado. Não é necessário ter um balanceador de carga.

Métodos de autenticação do conector Os métodos de implantação que você habilitou para o conector estão listados.Selecione os métodos de autenticação que você deseja usar.

O PasswordIdpAdapter, que foi automaticamente configurado e habilitadoquando você criou um diretório, é exibido nesta página como Senha (implantadona nuvem), o que denota que ele é usado com o conector em modo de saída.

Por exemplo:


VMware, Inc. 28

5 Clique em Salvar para salvar a configuração do provedor de identidade Integrado.

6 Edite as políticas para usar os métodos de autenticação que você habilitou.

a Na guia Gerenciamento de Identidade e Acesso, clique em Gerenciar.

b Clique na guia Políticas; em seguida, clique na política que você deseja editar.

c Em Regras de política, para a regra que você deseja editar, clique no link que consta na colunaMétodo de autenticação.

d Na página Editar regra da política, selecione o método de autenticação que você deseja usarpara esta regra.


VMware, Inc. 29

e Clique em OK.

f Clique em Salvar.

Para obter mais informações sobre como configurar políticas, consulte o Guia de administração doVMware Identity Manager.

Agora, o modo de saída do conector está habilitado. Quando um usuário faz login usando um dosmétodos de autenticação que você habilitou para o conector no Provedor de identidade integrado, não seexige um redirecionamento HTTP para o conector.


VMware, Inc. 30

Configurando a altadisponibilidade para o VMwareIdentity Manager Connector 4Você pode configurar o VMware Identity Manager Connector para alta disponibilidade e failoveradicionando várias instâncias do conector em um cluster. Se uma das instâncias do conector se tornarindisponível por qualquer motivo, outras instâncias ainda estarão disponíveis.

Para criar um cluster, instale novas instâncias de conector e configure-as exatamente da mesma maneiraque você configurou o primeiro conector.

Sendo assim, você associa todas as instâncias do conector ao provedor de identidade integrado. Oserviço do VMware Identity Manager distribui automaticamente o tráfego entre todos os conectoresassociados com o provedor de identidade integrado. Não é necessário ter um balanceador de carga.Caso um dos conectores fique indisponível devido a um problema na rede, o serviço não direciona otráfego para ele. Quando a conectividade é restaurada, o serviço é retomado enviando o tráfego aoconector.

Depois de configurado o cluster do conector, os métodos de autenticação que você habilitou no conectorficam altamente disponíveis. Caso uma das instâncias do conector esteja indisponível, a autenticaçãoainda estará disponível. Para a sincronização de diretório, no entanto, em caso de uma falha da instânciado conector, você precisará selecionar manualmente outra instância do conector como o conector desincronização. A sincronização de diretório pode ser ativada somente em um conector por vez.

Observação Esta seção não se aplica à alta disponibilidade da autenticação Kerberos. Consulte Capítulo 5Adicionando o suporte à autenticação Kerberos à sua implantação do VMware IdentityManager Connector.


n Instalar instâncias de conector adicional

n Configurar a alta disponibilidade para autenticação

n Ativando a sincronização de diretório em outro conector em caso de falha

Instalar instâncias de conector adicionalDepois de instalar e configurar a instância do primeiro conector, você poderá adicionar conectoresadicionais para fins de alta disponibilidade. Instale appliances virtuais de novo conector e configure-osexatamente da mesma maneira que a instância do primeiro conector.

VMware, Inc. 31

Pré-requisitos

Você instalou e configurou a primeira instância do conector, conforme descrito em Capítulo 3Implantandoo VMware Identity Manager Connector.

Procedimentos

1 Instale e configure uma nova instância do conector seguindo estas instruções.

n Gerar código de ativação do conector

n Instalar e configurar o appliance virtual do conector

2 Associe o novo conector ao WorkspaceIDP da primeira instância do conector.

a No console de administração, selecione a guia Gerenciamento de Identidade e Acesso e, emseguida, selecione a guia Provedores de Identidade.

b Na página Provedores de Identidade, localize o WorkspaceIDP da primeira instância do conectore clique no link.

c No campo Conectores, selecione o novo conector.

d Digite a senha do DN de associação e clique em Adicionar Conector.

e Clique em Salvar.

3 Se tiver ingressado em um domínio do Active Directory na primeira instância do conector, vocêprecisará ingressar também no domínio na instância do novo conector.

a Na guia Gerenciamento de Identidade e Acesso, clique em Configuração.

A instância do novo conector está listada na página Conectores.

b Clique em Ingressar no Domínio próximo ao novo conector e especifique as informações dodomínio.

Observação Para diretórios do tipo Autenticação Integrada do Windows (IWA), você deve executaras seguintes ações.

a Ingresse a instância do novo conector no domínio no qual o diretório IWA na instância original doconector ingressou.

1 Selecione a guia Gerenciamento de identidade e acesso e clique em Instalar.

A instância do novo conector está listada na página Conectores.

2 Clique em Ingressar no Domínio e especifique as informações do domínio.

b Salve a configuração do diretório IWA.

1 Selecione a guia Gerenciamento de Identidade e Acesso.

2 Na página Diretórios, clique no link do diretório IWA.

3 Clique em Salvar para salvar a configuração do diretório.


VMware, Inc. 32

4 Configure e habilite adaptadores de autenticação no novo conector.

Importante Os adaptadores de autenticação em todos os conectores do cluster devem serconfigurados de forma idêntica. Os mesmos métodos de autenticação devem ser habilitados emtodos os conectores.

a Na guia Gerenciamento de Identidade e Acesso, clique em Configuração e, em seguida,clique na guia Conectores.

b Clique no link na coluna Trabalhador do novo conector.

c Clique na guia Adaptadores de Autenticação.

Estão listados todos os adaptadores de autenticação disponíveis para o conector.

O PasswordIdpAdapter já está configurado e habilitado porque você associou o novo conectorao diretório associado ao primeiro conector.

d Configure e habilite os outros adaptadores de autenticação da mesma maneira que o primeiroconector. Certifique-se de que as informações de configuração sejam idênticas.

Para obter informações sobre como configurar adaptadores de autenticação, consulte o Guia deAdministração do VMware Identity Manager.

Próximo passo

Configurar a alta disponibilidade para autenticação

Configurar a alta disponibilidade para autenticaçãoDepois de implantar e configurar as novas instâncias do VMware Identity Manager Connector, configurea alta disponibilidade para autenticação adicionando as novas instâncias ao Provedor de identidadeintegrado e permitindo os mesmos métodos de autenticação que estão habilitados na primeira instânciado conector. O VMware Identity Manager distribui automaticamente o tráfego entre todos os conectoresassociados ao provedor de identidade interno.

Procedimentos

1 Na guia Gerenciamento de Identidade e Acesso do console de administração doVMware Identity Manager, clique em Gerenciar.


3 Clique no link Integrado.

4 No campo Conectores, selecione o novo conector na lista suspensa e clique em AdicionarConector.


VMware, Inc. 33

5 Na seção Métodos de Autenticação do Conector, habilite os mesmos métodos de autenticaçãohabilitados para o primeiro conector.

O método de autenticação Senha (implantação em nuvem) é configurado e habilitadoautomaticamente. Você deve habilitar os outros métodos de autenticação.

Importante Os adaptadores de autenticação em todos os conectores do cluster devem serconfigurados de forma idêntica. Os mesmos métodos de autenticação devem ser habilitados emtodos os conectores.

Para obter informações sobre como configurar adaptadores de autenticação específicos, consulteAdministração do VMware Identity Manager.

6 Clique em Salvar para salvar a configuração do provedor de identidade Integrado.

Ativando a sincronização de diretório em outro conectorem caso de falhaEm caso de uma falha na instância do conector, a autenticação é realizada automaticamente por outrainstância do conector. No entanto, para a sincronização de diretório, você precisa modificar asconfigurações de diretório no serviço do VMware Identity Manager para usar outra instância do conectorem vez da instância original. A sincronização de diretório pode ser ativada somente em um conector porvez.

Procedimentos

1 Faça login no console de administração do VMware Identity Manager.

2 Clique na guia Gerenciamento de Identidade e Acesso e, em seguida, clique em Diretórios.

3 Clique no diretório que era associado à instância original do conector.

Dica Você pode exibir essas informações na página Instalar > Conectores.

4 Na seção Sincronização e autenticação do Diretório da página do diretório, no campoSincronizar conector, selecione outra instância deste.

5 No campo Senha do DN do bind, insira a senha da conta de associação do Active Directory.

6 Clique em Salvar.


VMware, Inc. 34

Adicionando o suporte àautenticação Kerberos à suaimplantação do VMwareIdentity Manager Connector 5Você pode adicionar a autenticação Kerberos para usuários internos, que requer o modo de conexão deentrada, à sua implantação de conectores de modo de conexão de saída. Os mesmos conectores podemser configurados para usar a autenticação Kerberos para usuários provenientes da rede interna e outrométodo de autenticação para usuários que vêm da rede externa. Você pode conseguir isso definindopolíticas de autenticação baseadas em intervalos de rede.

Os requisitos e as considerações incluem:

n A autenticação Kerberos poderá ser configurada independentemente do tipo de diretório que vocêconfigurar no VMware Identity Manager, no Active Directory sobre LDAP ou no Active Directory(Autenticação Integrada do Windows).

n O conector deve ser associado ao domínio do Active Directory.

n O nome do host do conector deve corresponder ao domínio do Active Directory no qual o conectoringressou. Por exemplo, se o domínio do Active Directory for vendas.exemplo.com, o nome do hostdo conector deverá ser connectorhost.vendas.exemplo.com.


n Cada conector no qual a autenticação Kerberos está configurada deve ter um certificado SSLconfiável. Você pode obter o certificado da sua autoridade de certificação interna. A autenticaçãoKerberos não funciona com certificados autoassinados.

Os certificados SSL confiáveis são necessários, independentemente se você ativa o Kerberos emum único conector ou em vários conectores para alta disponibilidade.

n Para configurar alta disponibilidade para autenticação Kerberos, é necessário um balanceador decarga.

Este capítulo inclui os seguintes tópicos:n Configurando e habilitando o adaptador de autenticação Kerberos

n Configurando a alta disponibilidade para a autenticação Kerberos

VMware, Inc. 35

Configurando e habilitando o adaptador de autenticaçãoKerberosConfigure e habilite o KerberosIdpAdapter no VMware Identity Manager Connector. Caso você tenhaimplantado um cluster para alta disponibilidade, configure e habilite o adaptador em todos os conectoresde seu cluster.

Importante Os adaptadores de autenticação em todos os conectores do cluster devem serconfigurados de forma idêntica. Todos os conectores devem ser configurados com o mesmo método deautenticação.

Para obter mais informações sobre como configurar a autenticação Kerberos, consulte o Guia deadministração do VMware Identity Manager.

Pré-requisitos

n O conector deve ser associado ao domínio do Active Directory.

n O nome do host do conector deve corresponder ao domínio do Active Directory no qual o conectoringressou. Por exemplo, se o domínio do Active Directory for vendas.exemplo.com, o nome do hostdo conector deverá ser connectorhost.vendas.exemplo.com.


Procedimentos

1 No console de administração do VMware Identity Manager, clique na guia Gerenciamento deIdentidade e Acesso.

2 Clique na guia Configuração e, em seguida, clique na guia Conectores.

Todos os conectores que você tiver implantado estão listados.

3 Clique na coluna Trabalhador de um dos conectores.

4 Clique na guia Adaptadores de Autenticação.

5 Clique no link KerberosIdpAdapter para configurar e habilitar o adaptador.

Opção Descrição

Nome O nome padrão do adaptador é KerberosIdpAdapter. Você pode alterar essenome.

Atributo de UID de diretório O atributo da conta que contém o nome de usuário.

Habilitar Autenticação do Windows Selecione esta opção.


VMware, Inc. 36

Opção Descrição

Habilitar NTLM Você não precisa selecionar essa opção a menos que a infraestrutura de seuActive Directory dependa de autenticação NTLM.

Observação Só há suporte para essa opção no VMware Identity Managerbaseado em Linux.

Habilitar redirecionamento Caso você tenha vários conectores e um cluster e planeje configurar a altadisponibilidade Kerberos usando um balanceador de carga, selecione essaopção e especifique um valor para Nome do host de redirecionamento.

Caso sua implantação tenha apenas um conector, você não precisa usar asopções Habilitar redirecionamento e Nome do host de redirecionamento.

Nome do host de redirecionamento Exige-se um valor se a opção Habilitar redirecionamento for selecionada.Digite o nome do host do próprio conector. Por exemplo, caso o nome do host doconector seja conector1.exemplo.com, digite conector1.exemplo.com na caixade texto.

Por exemplo:

Para obter mais informações sobre a configuração do KerberosIdPAdapter, consulte o Guia deadministração do VMware Identity Manager.

6 Clique em Salvar.

7 Caso você tenha implantado um cluster, configure o KerberosIdPAdapter em todos os conectores deseu cluster.

Verifique se você configurou o adaptador de forma idêntica em todos os conectores, exceto para ovalor do Nome do Host de Redirecionamento, que deve ser específico para cada conector.

Próximo passo

n Verifique se cada conector no qual o KerberosIdpAdapter está ativado tem um certificado SSLconfiável. Você pode obter o certificado da sua autoridade de certificação interna. A autenticaçãoKerberos não funciona com certificados autoassinados.

Os certificados SSL confiáveis são necessários, independentemente se você ativa o Kerberos emum único conector ou em vários conectores para alta disponibilidade.


VMware, Inc. 37

n Se for necessário, defina alta disponibilidade para a autenticação Kerberos. A autenticação Kerberosnão terá alta disponibilidade sem um balanceador de carga.

Configurando a alta disponibilidade para a autenticaçãoKerberosPara configurar a alta disponibilidade para a autenticação Kerberos, instale um balanceador de carga emsua rede interna dentro do firewall e adicione as instâncias do VMware Identity Manager Connector a ele.

Você também deve definir determinadas configurações no balanceador de carga, estabelecer aconfiança SSL entre o balanceador de carga e as instâncias do conector e alterar a URL de autenticaçãodo conector para usar o nome do host do balanceador de carga.

Defina as configurações do balanceador de cargaVocê deve definir determinadas configurações no balanceador de carga, como configurar corretamente otempo limite do balanceador de carga e ativar as sessões fixas.

Defina essas configurações.

n Tempo limite do balanceador de carga

Para que o VMware Identity Manager Connector funcione corretamente, talvez você preciseaumentar o padrão do tempo limite de solicitação do balanceador de carga. O valor é definido emminutos. Caso a configuração do tempo-limite seja muito baixa, talvez você veja este erro.

Erro 502: O serviço está temporariamente indisponível

n Ativar sessões fixas

Você deverá habilitar a configuração de sessão fixa no balanceador de carga caso sua implantaçãotenha várias instâncias do conector. Em seguida, o balanceador de carga associará a sessão de umusuário a uma instância do conector específica.

Aplicar o certificado raiz do VMware Identity Manager Connectorao balanceador de cargaQuando o VMware Identity Manager Connector é configurado atrás de um balanceador de carga, deve-se estabelecer a confiança SSL entre o balanceador de carga e o conector. O certificado raiz do conectordeve ser copiado para o balanceador de carga como um certificado raiz confiável.

O certificado do VMware Identity Manager Connector pode ser baixado a partir das páginas deadministração do conector em https://connectorFQDN:8443/cfg/ssl.

Quando o nome de domínio do conector aponta para o balanceador de carga, o certificado SSL só podeser aplicado ao balanceador de carga.


VMware, Inc. 38

Procedimentos

1 Faça login nas páginas de administração do conector, https://connectorFQDN:8443/cfg/login, comousuário administrador.

2 Selecione Instalar Certificados SSL.

3 Na guia Certificado do Servidor, clique no link no campo Certificados da CA Raiz Autoassinadosdo Appliance.

4 Copie tudo entre e incluindo as linhas -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----, ecole o certificado raiz na localização correta em cada balanceador de carga. Consulte adocumentação do balanceador de carga.

Próximo passo

Copie e cole o certificado raiz do balanceador de carga no VMware Identity Manager Connector.

Aplicar o certificado raiz do balanceador de carga ao VMwareIdentity Manager ConnectorQuando o VMware Identity Manager Connector é configurado atrás de um balanceador de carga, deve-se estabelecer a confiança entre o balanceador de carga e o conector. Além de copiar o certificado raizdo conector para o balanceador de carga, você deverá copiar o certificado raiz do balanceador de cargapara o conector.

Procedimentos

1 Obtenha o certificado raiz do balanceador de carga.


VMware, Inc. 39

2 Vá para as páginas de administração do VMware Identity Manager Connector emhttps://connectorFQDN:8443/cfg/login e faça login como usuário administrador.

3 Selecione a guia Instalar Certificados SSL > CAs Confiáveis.

4 Cole o texto do certificado do balanceador de carga na caixa de texto Certificado Raiz ouIntermediário.

5 Clique em Adicionar.

Alterar o nome do host IdP do conector para o nome do host dobalanceador de cargaDepois de adicionar as instâncias do VMware Identity Manager Connector ao balanceador de carga,você deverá alterar o nome do host IdP no IdP de Workspace de cada conector para o nome do host dobalanceador de carga.

Pré-requisitos

As instâncias do conector são configuradas atrás de um balanceador de carga. Verifique se a porta dobalanceador de carga é 443. Não use 8443, pois esse número de porta é a porta administrativa.

Procedimentos




4 Na página Provedores de Identidade, clique no link do IdP de Workspace para a instância doconector.


VMware, Inc. 40

5 Na caixa de texto Nome do Host IdP, altere o nome do host do nome de host do conector para onome do host do balanceador de carga.

Por exemplo, se o seu nome do host do conector for meuconector, e seu nome do host dobalanceador de carga for meubc, altere a URL

myconnector.mycompany.com:porta


VMware, Inc. 41

para o seguinte:

mylb.mycompany.com:porta


VMware, Inc. 42

Integrando seu diretóriocorporativo aoVMware Identity Manager 6Você integra seu diretório corporativo ao VMware Identity Manager para sincronizar com o serviço doVMware Identity Manager os usuários e os grupos a partir do seu diretório corporativo.

Os seguintes tipos de diretórios são suportados.



n Diretório LDAP

Para integrar seu diretório corporativo, execute as seguintes tarefas.

n Especifique os atributos que você deseja que os usuários tenham no serviço doVMware Identity Manager.

n Crie um diretório no serviço do VMware Identity Manager do mesmo tipo que o seu diretóriocorporativo e especifique os detalhes de conexão.

n Mapeie os atributos do VMware Identity Manager para os atributos usados em seu diretório LDAP ouActive Directory.

n Especifique os usuários e os grupos a serem sincronizados.

n Sincronize os usuários e os grupos.

Depois de integrar o seu diretório corporativo e executar a sincronização inicial, você poderá atualizar aconfiguração, configurar uma agenda de sincronização para a sincronização regular ou iniciar umasincronização a qualquer momento.

Este capítulo inclui os seguintes tópicos:n Conceitos importantes relacionados à integração de diretório

n Integrando com o Active Directory

n Integrando a diretórios LDAP

n Adicionando um diretório depois de configurar o failover e a redundância

VMware, Inc. 43

Conceitos importantes relacionados à integração dediretórioVários conceitos são essenciais para a compreensão de como o serviço do VMware Identity Manager seintegra ao seu ambiente Active Directory ou diretório LDAP.

VMware Identity Manager ConnectorO VMware Identity Manager Connector é um componente no local que você implanta dentro de sua redecorporativa. O conector executa as seguintes funções.

n Sincroniza os dados de usuário e grupo do seu Active Directory ou diretório LDAP com o serviço doVMware Identity Manager.

n Ao ser usado como um provedor de identidade, ele autentica os usuários para o serviço doVMware Identity Manager.

O conector é o provedor de identidade padrão. Você também pode usar provedores de identidade deterceiros que suportam o protocolo SAML 2.0. Use um provedor de identidade de terceiros para umtipo de autenticação com o qual o conector não é compatível ou se o provedor de identidade deterceiros for preferível com base na sua política de segurança empresarial.

Observação Se você usar provedores de identidade de terceiros, pode configurar o conector parasincronizar dados de usuário e de grupo ou configurar provisionamento de usuários Just-in-Time.Consulte a seção Provisionamento de usuários Just-in-Time em Administração do VMware IdentityManager para obter mais informações.

DiretórioO serviço do VMware Identity Manager tem o seu próprio conceito de um diretório, correspondente aoActive Directory ou ao diretório LDAP no seu ambiente. Esse diretório utiliza atributos para definirusuários e grupos. Crie um ou mais diretórios no serviço e, em seguida, sincronize-os com o ActiveDirectory ou o diretório do LDAP. Você pode criar os seguintes tipos de diretório no serviço.

n Active Directory

n Active Directory via LDAP. Crie este tipo de diretório se você pretende se conectar a um únicoambiente de domínio do Active Directory. Para o tipo de diretório Active Directory via LDAP, oconector vincula-se ao Active Directory usando autenticação de vinculação simples.

n Active Directory, Autenticação integrada do Windows. Crie este tipo de diretório se você pretendese conectar a um ambiente de vários domínios ou florestas do Active Directory. O conectorvincula-se ao Active Directory usando a autenticação integrada do Windows.

O tipo e o número de diretórios que você cria varia de acordo com o ambiente do Active Directory,como domínio único ou vários domínios, e do tipo de confiança usado entre os domínios. Na maioriados ambientes, você cria um diretório.


VMware, Inc. 44

n Diretório LDAP

O serviço não tem acesso direto ao Active Directory ou diretório LDAP. Somente o conector tem acessodireto. Portanto, você associa a uma instância do conector cada diretório criado no serviço.

TrabalhadorQuando você associa um diretório a uma instância do conector, o conector cria uma partição para odiretório associado chamado de trabalhador. Uma instância do conector pode ter vários trabalhadoresassociados a ela. Cada trabalhador atua como um provedor de identidade. Você define e configura osmétodos de autenticação por trabalhador.

O conector sincroniza os dados de usuário e de grupo entre o Active Directory ou o diretório LDAP e oserviço usando um ou mais agentes de trabalho.

Importante Você não pode ter dois agentes de trabalho do tipo Active Directory, Autenticação Integradado Windows na mesma instância do conector.

Considerações de segurançaPara os diretórios corporativos integrados com o serviço do VMware Identity Manager, as configuraçõesde segurança, como regras de complexidade de senha de usuário e políticas de bloqueio de conta,devem ser definidas diretamente no diretório corporativo. O VMware Identity Manager não substituiessas configurações.

Integrando com o Active DirectoryVocê pode integrar o VMware Identity Manager à implantação do Active Directory para sincronizarusuários e grupos a partir do Active Directory para o VMware Identity Manager.

Consulte também Conceitos importantes relacionados à integração de diretório.

Ambientes do Active DirectoryÉ possível integrar o serviço com um ambiente do Active Directory, que consiste em um único domínio doActive Directory, vários domínios em uma única floresta do Active Directory ou vários domínios em váriasflorestas do Active Directory.

Ambiente de domínio único do Active DirectoryUma única implantação do Active Directory permite que você sincronize usuários e grupos a partir de umúnico domínio do Active Directory.

Para este ambiente, ao adicionar um diretório ao serviço, selecione a opção Active Directory sobre LDAP.

Para obter mais informações, consulte:

n Gerenciando atributos de usuário sincronizados a partir do Active Directory

n Permissões necessárias para ingressar em um domínio (somente appliance virtual do Linux)


VMware, Inc. 45

n Configurando a conexão do Active Directory com o serviço

Ambiente de vários domínios em única floresta do Active DirectoryUma implantação de vários domínios em uma única floresta do Active Directory permite que vocêsincronize usuários e grupos de vários domínios do Active Directory em uma única floresta.

É possível configurar o serviço para este ambiente do Active Directory como um único tipo de diretório deAutenticação Integrada do Windows no Active Directory ou, alternativamente, como um tipo de diretórioActive Directory sobre LDAP configurado com a opção de catálogo global.

n A opção recomendada é criar um único tipo de diretório de Autenticação Integrada do Windows noActive Directory.

Ao adicionar um diretório a esse ambiente, selecione a opção Active Directory (AutenticaçãoIntegrada do Windows).





n Se a Autenticação Integrada do Windows não funcionar no seu ambiente Active Directory, crie umtipo de diretório Active Directory sobre LDAP e selecione a opção de catálogo global.

Algumas das limitações da seleção da opção de catálogo global incluem:

n Os atributos de objeto do Active Directory que são replicados no catálogo global sãoidentificados no esquema do Active Directory como o conjunto de atributos parcial (PAS).Somente esses atributos estão disponíveis para o mapeamento de atributos pelo serviço. Senecessário, edite o esquema para adicionar ou remover atributos armazenados no catálogoglobal.

n O catálogo global armazena a associação ao grupo (o atributo do membro) somente dos gruposuniversais. Somente os grupos universais são sincronizados com o serviço. Se necessário, altereo escopo de um grupo de um domínio local ou global para universal.

n A conta do DN de associação que você define ao configurar um diretório no serviço deve terpermissões para ler o atributo Token-Groups-Global-And-Universal (TGGAU).

n Quando o Workspace ONE UEM está integrado ao VMware Identity Manager e vários gruposorganizacionais do Workspace ONE UEM estão configurados, a opção de Catálogo Global doActive Directory não pode ser usada.

O Active Directory usa as portas 389 e 636 para consultas LDAP padrão. Para as consultas docatálogo global, as portas 3268 e 3269 são usadas.

Quando você adicionar um diretório para o ambiente do catálogo global, especifique as informaçõesa seguir durante a configuração.

n Selecione a opção Active Directory sobre LDAP.


VMware, Inc. 46

n Desmarque a caixa de seleção da opção Esse diretório suporta localização do serviço DNS.

n Selecione a opção Este diretório tem um catálogo global. Quando você seleciona essa opção,o número da porta do servidor é automaticamente alterada para 3268. Além disso, como o DNBase não é necessário durante a configuração da opção de catálogo global, a caixa de texto DNBase não é exibida.

n Adicione o nome do host servidor do Active Directory.

n Se o Active Directory exigir acesso por SSL, selecione a opção Esse diretório requer quetodas as conexões usem SSL e cole o certificado na caixa de texto fornecida. Quando vocêseleciona essa opção, o número da porta do servidor é automaticamente alterada para 3269.

Ambiente do Active Directory de várias florestas com relações confiáveisUma implantação do Active Directory de várias florestas com relações confiáveis permite que vocêsincronize usuários e grupos de vários domínios do Active Directory entre florestas, onde existeconfiança bidirecional entre os domínios.

Ao adicionar um diretório a esse ambiente, selecione a opção Active Directory (Autenticação Integradado Windows).





Ambiente do Active Directory de várias florestas sem relações confiáveisUma implantação do Active Directory de várias florestas sem relações confiáveis permite que vocêsincronize usuários e grupos de vários domínios do Active Directory entre florestas, sem confiançabidirecional entre os domínios. Neste ambiente, você cria vários diretórios no serviço, um diretório paracada floresta.

O tipo de diretórios que você criar no serviço depende da floresta. Para as florestas com vários domínios,selecione a opção Active Directory (Autenticação Integrada do Windows). Para um floresta com um únicodomínio, selecione a opção Active Directory sobre LDAP.






VMware, Inc. 47

Gerenciando atributos de usuário sincronizados a partir do ActiveDirectoryDurante a configuração do diretório de serviços do VMware Identity Manager, você seleciona os filtros eos atributos de usuário do Active Directory para especificar quais usuários sincronizam no diretório doVMware Identity Manager. Você pode mudar os atributos de usuário que sincronizam a partir do consoledo VMware Identity Manager, guia Gerenciamento de Identidade e Acesso, Configuração > Atributos deUsuário.

As alterações feitas e salvas na página Atributos de usuário são adicionadas à página Atributosmapeados no diretório VMware Identity Manager. As alterações de atributo são atualizadas para odiretório com a próxima sincronização para o Active Directory.

A página Atributos de usuário lista os atributos de diretório padrão que podem ser mapeados para osatributos do Active Directory. Você seleciona os atributos necessários e pode adicionar outros atributosque você deseja sincronizar com o diretório. Quando você adiciona atributos, o nome do atributo quevocê digita distingue maiúsculas de minúsculas. Por exemplo, endereço, Endereço e ENDEREÇO sãoatributos diferentes.

Tabela 6‑1. Atributos-padrão do Active Directory para sincronização com o diretório

Nome do atributo de diretório do VMware IdentityManager Padrão de mapeamento de atributo do Active Directory

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeId employeeID

domain canonicalName. Adiciona o nome do objeto de domínio totalmentequalificado.

desativado (usuário externo desativado) userAccountControl. Sinalizada com UF_Account_Disable

Quando uma conta é desativada, os usuários não podem fazerlogin para acessar nem os aplicativos nem os recursos. Osrecursos a que os usuários tinham direito não são removidos daconta para que, quando a sinalização for removida da conta, osusuários possam fazer login e acessar os recursos autorizados

phone telephoneNumber

lastName sn

firstName givenName

e-mail mail

userName sAMAccountName.

Os seguintes atributos não podem ser usados como nomes de atributo personalizados porque o serviçoVMware Identity Manager usa esses atributos internamente para o gerenciamento de identidade dousuário.

n externalUserDisabled


VMware, Inc. 48

n employeeNumber

Selecionar atributos para sincronizar com o diretórioQuando você configurar o diretório do VMware Identity Manager para sincronizar com o Active Directory,especifique os atributos do usuário que sincronizam com o diretório. Antes de configurar o diretório, vocêpode especificar na página Atributos de Usuário quais atributos padrão são obrigatórios e adicionaroutros atributos que você deseja mapear para atributos do Active Directory.

Quando você configura a página Atributos de Usuário antes da criação do diretório, pode alterar osatributos padrão de obrigatório para não obrigatório, marcar os atributos como obrigatório e adicionaratributos personalizados.

Após a criação do diretório, você poderá alterar um atributo obrigatório para não obrigatório e excluiratributos personalizados. Não é possível alterar um atributo de não obrigatório para obrigatório.

Procedimentos

1 No console do VMware Identity Manager, guia Gerenciamento de Identidade e Acesso, clique emAtributos de Usuário.

2 Na seção Atributos Padrão, veja a lista de atributos obrigatórios e faça as alterações necessáriaspara refletir os atributos que devem ser obrigatórios.

3 Clique em Salvar.

Permissões necessárias para ingressar em um domínio (somenteappliance virtual do Linux)Talvez você necessite ingressar o conector do VMware Identity Manager em um domínio em algunscasos. Para o Active Directory em diretórios LDAP, você pode ingressar um domínio depois de criar odiretório. Para diretórios do tipo Active Directory (autenticação integrada do Windows), o conector éingressado no domínio automaticamente quando você cria o diretório. Em ambas as situações, seránecessário fornecer suas credenciais.

Para ingressar em um domínio, você precisa de credenciais do Active Directory com o privilégio de"ingressar o computador no domínio do AD". Essa opção é configurada no Active Directory com osseguintes direitos:

n Criar objetos de computador

n Excluir objetos de computador

Ao ingressar em um domínio, cria-se um objeto de computador no local padrão do Active Directory, amenos que você especifique uma UO personalizada.


VMware, Inc. 49

Caso você não tenha os direitos para ingressar em um domínio, siga esses passos para ingressar nele.

1 Peça ao administrador do Active Directory para criar o objeto de computador no Active Directory emuma localização determinada pela política da sua empresa. Forneça o nome de host do conector.Certifique-se de fornecer o nome de domínio totalmente qualificado, por exemplo,server.example.com.

Dica Você pode ver o nome do host na coluna Nome do Host na página Conectores no console deadministração. Clique em Gerenciamento de Identidade e Acesso > Configuração > Conectorespara exibir a página Conectores.

2 Após a criação do objeto de computador, ingresse no domínio usando qualquer conta de usuário dedomínio no console do VMware Identity Manager .

O comando Ingressar no Domínio está disponível na página Conectores, acessada clicando emGerenciamento de Identidade e Acesso > Configuração > Conectores.

Opção Descrição

Domínio Selecione ou digite o domínio no Active Directory paraingressar nele. Certifique-se de que você digitou o nome dodomínio totalmente qualificado. Por exemplo:server.example.com

Usuário do domínio O nome de usuário de um usuário no Active Directory quetenha os direitos para ingressar os sistemas no domínio doActive Directory.

Senha do domínio A senha do usuário.

Unidade organizacional (UO) (Opcional) A unidade organizacional (UO) do objeto decomputador. Essa opção cria um objeto de computador na UOespecificada em vez da UO padrão nos computadores.

Por exemplo, ou=testou,dc=test,dc=example,dc=com.

Importante Este tópico é válido apenas para os appliances virtuais do Linux para o serviço e o conectordo VMware Identity Manager. Ele não se aplica ao serviço ou conector do VMware Identity Manager noWindows.

Configurando a conexão do Active Directory com o serviçoNo console do VMware Identity Manager, insira as informações necessárias para se conectar ao seuActive Directory e selecione os usuários e os grupos a serem sincronizados com o diretório doVMware Identity Manager.

As opções de conexão do Active Directory são Active Directory sobre LDAP ou Active Directory sobreAutenticação Integrada do Windows. Uma conexão do Active Directory sobre LDAP é compatível com apesquisa de Localização do Serviço DNS.

Pré-requisitos

n (SaaS) Conector instalado e ativado.


VMware, Inc. 50

n Selecione quais atributos são necessários e adicione mais atributos, se necessário, na páginaAtributos do Usuário. Consulte Selecionar atributos para sincronizar com o diretório.

n Faça uma lista dos usuários e grupos do Active Directory a serem sincronizados do Active Directory.Os nomes de grupo são sincronizados com o diretório imediatamente. Os membros de um grupo nãoserão sincronizados até que o grupo tenha direito a recursos ou seja adicionado a uma regra depolítica. Os usuários que precisam se autenticar antes dos direitos do grupo serem configuradosdevem ser adicionados durante a configuração inicial.

n Para o Active Directory sobre LDAP, você precisa do DN de base, do DN de associação e da senhado DN de associação.

O usuário do DN de associação deve ter as seguintes permissões no Active Directory para concederacesso a objetos de usuários e grupos:

n Ler

n Ler todas as propriedades

n Permissões de leitura

Observação É recomendável usar uma conta de usuário do DN de associação com uma senhaque não expire.

n Para o Active Directory sobre Autenticação Integrada do Windows, é necessário o nome de usuário ea senha do usuário de Associação que tem permissão para consultar usuários e grupos para osdomínios necessários.

O usuário de Associação deve ter as seguintes permissões no Active Directory para concederacesso a objetos de usuários e grupos:

n Ler

n Ler todas as propriedades

n Permissões de leitura

Observação É recomendável usar uma conta de usuário de Associação com uma senha que nãoexpire.

n Se o Active Directory exigir acesso sobre SSL ou STARTTLS, serão necessários os certificados daautoridade de certificação raiz dos controladores de domínio para todos os domínios do ActiveDirectory relevantes.

n Para o Active Directory sobre Autenticação Integrada do Windows, quando você tiver várias florestasdo Active Directory configuradas, e o grupo local de domínio contiver membros de domínios emflorestas diferentes, certifique-se de que o usuário de associação seja adicionado ao grupo deadministradores do domínio no qual reside o grupo local de domínio. Se isso não for feito, essesmembros estarão ausentes do grupo local de domínio.


VMware, Inc. 51

n Para o Active Directory sobre Autenticação Integrada do Windows:

n Para todos os controladores de domínio listados nos registros SRV e nos RODCs ocultos,nslookup de nome do host e endereço IP deve funcionar.

n Todos os controladores de domínio devem ser acessíveis em termos de conectividade de rede

Procedimentos


2 Na página Diretórios, clique em Adicionar Diretório.

3 Insira um nome para esse diretório do VMware Identity Manager.


VMware, Inc. 52

4 Selecione o tipo de Active Directory no seu ambiente e configurar as informações de conexão.

Opção Descrição

Active Directory sobre LDAP a Na caixa de texto Sincronizar Conector, selecione o conector a ser usadopara sincronização com o Active Directory.

b Na caixa de texto Autenticação, se esse Active Directory for usado paraautenticar usuários, clique em Sim.

Se um provedor de identidade de terceiros for usado para autenticarusuários, clique em Não. Depois de configurar a conexão do Active Directorypara sincronizar usuários e grupos, acesse a página Gerenciamento deIdentidade e Acesso > Gerenciar > Provedores de Identidade para adicionaro provedor de identidade de terceiros para autenticação.

c Na caixa de texto Atributo de Pesquisa do Diretório, selecione o atributode conta que contém o nome de usuário.

d Se você quiser usar a pesquisa de Localização do Serviço DNS para o ActiveDirectory, faça as seleções a seguir.n Na seção Local do Servidor, marque a caixa de seleção Esse diretório

suporta localização do serviço DNS.

O VMware Identity Manager localiza e usa os controladores de domínioideais. Se você não quiser usar a seleção do controlador de domíniootimizada, siga e etapa e.

n Se o Active Directory exigir criptografia STARTTLS, marque a caixa deseleção Esse diretório requer que todas as conexões usem SSL naseção Certificados e copie e cole o certificado da CA raiz do ActiveDirectory na caixa de texto Certificado SSL.

Verifique se o certificado está no formato PEM e inclui as linhas "INICIARCERTIFICADO" e "ENCERRAR CERTIFICADO".

Observação Se o Active Directory exigir STARTTLS e o certificado nãofor fornecido, você não poderá criar o diretório.

e Se você não quiser usar a pesquisa de Localização do Serviço DNS para oActive Directory, faça as seleções a seguir.n Na seção Local do Servidor, verifique se a caixa de seleção Esse

diretório suporta localização do serviço DNS está desmarcada einsira o nome do host e o número da porta do servidor do ActiveDirectory.

Para configurar o diretório como um catálogo global, consulte a seçãoAmbiente de vários domínios em única floresta do Active Directory em Ambientes do Active Directory.

n Se o Active Directory exigir acesso por SSL, marque a caixa de seleçãoEsse diretório requer que todas as conexões usem SSL na seçãoCertificados e copie e cole o certificado da CA raiz do Active Directoryno campo Certificado SSL.



VMware, Inc. 53

Opção Descrição

Se o diretório tiver vários domínios, adicione os certificados daautoridade de certificação-raiz de todos os domínios, um após o outro.

Observação Se o Active Directory exigir SSL e o certificado não forfornecido, você não poderá criar o diretório.

f No campo DN Base, insira o DN do qual iniciar as pesquisas de conta. Porexemplo, OU=myUnit,DC=myCorp,DC=com.

g No campo DN de associação, insira a conta que pode pesquisar usuários.Por exemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com.

Observação É recomendável usar uma conta de usuário do DN deassociação com uma senha que não expire.

h Depois de inserir a Senha do bind, clique em Testar Conexão para verificarse o diretório consegue se conectar ao seu Active Directory.

Active Directory (AutenticaçãoIntegrada do Windows)

a Na caixa de texto Sincronizar Conector, selecione o conector a ser usadopara sincronização com o Active Directory.

b Na caixa de texto Autenticação, se esse Active Directory for usado paraautenticar usuários, clique em Sim.

Se um provedor de identidade de terceiros for usado para autenticarusuários, clique em Não. Depois de configurar a conexão do Active Directorypara sincronizar usuários e grupos, acesse a página Gerenciamento deIdentidade e Acesso > Gerenciar > Provedores de Identidade para adicionaro provedor de identidade de terceiros para autenticação.

c Na caixa de texto Atributo de Pesquisa do Diretório, selecione o atributode conta que contém o nome de usuário.

d Se o Active Directory exigir criptografia STARTTLS, marque a caixa deseleção Esse diretório requer que todas as conexões usem STARTTLSna seção Certificados e copie e cole o certificado da CA raiz do ActiveDirectory na caixa de texto Certificado SSL.


Se o diretório tiver vários domínios, adicione os certificados da autoridade decertificação raiz de todos os domínios, um após o outro.

Observação Se o Active Directory exigir STARTTLS e o certificado não forfornecido, você não poderá criar o diretório.

e (Somente Linux) Insira o nome do domínio do Active Directory no qual seráingressado. Insira um nome de usuário e uma senha que tenha o direito deingressar no domínio. Consulte Permissões necessárias para ingressar emum domínio (somente appliance virtual do Linux) para obter maisinformações.

f Na seção Detalhes do Usuário de Associação, insira o nome de usuário ea senha do usuário de associação que tem permissão para consultarusuários e grupos para os domínios necessários. Para o nome de usuário,insira sAMAccountName, por exemplo, jdoe. Se o domínio do usuário deassociação for diferente do nome em Ingressar no Domínio inserido acima,insira o nome de usuário como sAMAccountName@domain, onde domain éo nome de domínio completo. Por exemplo, [email protected].

Observação É recomendável usar uma conta de usuário de Associaçãocom uma senha que não expire.


VMware, Inc. 54

5 Clique em Salvar e Avançar.

É exibida a página com a lista de domínios.

6 Para o Active Directory sobre LDAP, os domínios são listados com uma marca de seleção.

Para o Active Directory (Autenticação Integrada do Windows), selecione os domínios que devem serassociados com esta conexão do Active Directory.

Observação Se você adicionar um domínio confiante após o diretório ser criado, o serviço nãodetecta automaticamente o domínio recém confiante. Para habilitar o serviço para detectar odomínio, o conector deve sair e, em seguida, voltar a ingressar no domínio. Quando o conectorreingressa no domínio, o domínio de confiança aparece na lista.

Clique em Avançar.

7 Verifique se os nomes de atributos do diretório do VMware Identity Manager estão mapeados para osatributos corretos do Active Directory, faça alterações, se necessário, e clique em Avançar.


VMware, Inc. 55

8 Selecione os grupos que você deseja sincronizar do Active Directory para o diretório doVMware Identity Manager.

Quando os grupos são adicionados aqui, os nomes de grupo são sincronizados com o diretório. Osusuários que são membros do grupo não serão sincronizados com o diretório até que o grupo tenhadireito a um aplicativo ou o nome do grupo seja adicionado a uma regra de política de acesso.Qualquer sincronização agendada subsequente traz informações atualizadas do Active Directorypara esses nomes de grupo.

Opção Descrição

Especificar os DNs de grupo Para selecionar grupos, especifique um ou mais DNs de grupo e selecione osgrupos sob eles.

a Clique em + e especifique o DN de grupo. Por exemplo,CN=users,DC=example,DC=company,DC=com.

Importante Especifique os DNs de grupo que estão sob o DN Base quevocê digitou. Se um DN de grupo estiver fora do DN Base, os usuários desseDN serão sincronizados, mas não poderão fazer login.

b Clique em Encontrar Grupos.

A coluna Grupos a Sincronizar lista o número de grupos encontrados noDN.

c Para selecionar todos os grupos no DN, clique em Selecionar Tudo; casocontrário, clique em Selecionar e selecione os grupos específicos a seremsincronizados.

Observação Quando você sincroniza um grupo, todos os usuários que nãopossuem Usuários de Domínio como grupo primário no Active Directory não sãosincronizados.

Sincronizar membros reunidos dogrupo

A opção Sincronizar membros reunidos do grupo é ativada por padrão.Quando essa opção está ativada, todos os usuários que pertencem diretamenteao grupo que você selecionar, bem como todos os usuários que pertencem aosgrupos aninhados abaixo dele, serão sincronizados quando o grupo forautorizado. Observe que os grupos aninhados não são sincronizados; somenteos usuários que pertencem aos grupos aninhados são sincronizados. No diretóriodo VMware Identity Manager, esses usuários serão membros do grupo principalque você selecionou para sincronização.

Se a opção Sincronizar membros reunidos do grupo estiver desativada,quando você especificar um grupo para a sincronização, todos os usuários quepertencerem diretamente a esse grupo serão sincronizados. Os usuários quepertencem a grupos aninhados abaixo dele não são sincronizados. Desativaressa opção é útil para grandes configurações do Active Directory nas quaispassar por uma árvore de grupos exige muitos recursos e tempo. Se vocêdesativá-la, certifique-se de selecionar todos os grupos cujos usuários desejasincronizar.

9 Clique em Avançar.


VMware, Inc. 56

10 Especifique os usuários a serem sincronizados.

Como os membros em grupos não serão sincronizados com o diretório até que o grupo tenha direitopara aplicativos ou seja adicionado a uma regra de política de acesso, adicione todos os usuáriosque precisam ser autenticados antes dos direitos do grupo serem configurados.

a Clique em + e insira os DNs de usuário. Por exemplo,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Importante Especifique os DNs de usuário que estão sob o DN Base que você digitou. Se umDN de usuário estiver fora do DN Base, os usuários desse DN serão sincronizados, mas nãopoderão fazer login.

b (Opcional) Para excluir usuários, clique em um filtro para excluir alguns tipos de usuários.

Você seleciona o atributo do usuário para filtragem, a regra de consulta a usar e adiciona o valor.O valor diferencia maiúsculas de minúsculas. Os seguintes caracteres não podem estar nacadeia de caracteres: *^()?!$.


VMware, Inc. 57

11 Especifique os usuários a serem sincronizados.


a Clique em + e insira os DNs de usuário. Por exemplo,CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Importante Especifique os DNs de usuário que estão sob o DN Base que você digitou. Se umDN de usuário estiver fora do DN Base, os usuários desse DN serão sincronizados, mas nãopoderão fazer login.

b (Opcional) Para excluir usuários, crie filtros para excluir usuários com base no atributo escolhido.Você pode criar vários filtros de exclusão.

Selecione o atributo de usuário para filtragem e o filtro de consulta a ser aplicado como o valorque você definir.

Opção Descrição

Contém Exclui todos os usuários que correspondem ao conjunto de atributos evalores. Por exemplo, o nome contém Jane exclui usuários chamados"Jane".

Não contém Exclui todos os usuários, exceto aquelas que correspondem ao conjunto deatributos e valores. Por exemplo, telephoneNumber não contém 800, incluiapenas os usuários com um número de telefone que inclui "800".

Começa com Exclui todos os usuários em que os caracteres começam com <xxx> no valordo atributo. Por exemplo, employeeID começa com ACME0, exclui todos osusuários que têm uma ID de funcionário que inclui "ACME0" no início do seunúmero de ID.

Termina com Exclui todos os usuários em que os caracteres terminam com <yyy> no valordo atributo. Por exemplo, e-mail termina com example1.com, exclui todosos usuários que têm um endereço de e-mail que termina em "example1.com".

O valor diferencia maiúsculas de minúsculas. Os seguintes símbolos não podem estar na cadeia decaracteres de valor.

n Asterisco *

n Acento circunflexo ^

n Parênteses ( )

n Ponto de interrogação ?

n Ponto de exclamação !

n Sinal de dinheiro $



VMware, Inc. 58

13 Revise a página para ver quantos usuários e grupos estão sendo sincronizados com o diretório epara exibir a agenda de sincronização.

Para fazer alterações em usuários e grupos, ou na frequência de sincronização, clique nos linksEditar.

14 Clique em Sincronizar Diretório para iniciar a sincronização com o diretório.

A conexão com o Active Directory é estabelecida, e os nomes de usuários e de grupos são sincronizadosdo Active Directory com o diretório do VMware Identity Manager. O usuário de Associação tem umafunção de administrador no VMware Identity Manager por padrão.

Para obter mais informações sobre como os grupos são sincronizados, consulte "Gerenciando usuários egrupos" na Administração do VMware Identity Manager.

Próximo passo

n Configure os métodos de autenticação. Depois de sincronizar os nomes de usuários e de gruposcom o diretório, se o conector também for usado para autenticação, você poderá configurar métodosde autenticação adicionais no conector. Se um terceiro é o provedor de identidade de autenticação,configure esse provedor de identidade no conector.

n Reveja a política de acesso padrão. A política de acesso padrão é configurada para permitir quetodos os appliances em todos os intervalos de rede acessem o portal da Web com um tempo limitede sessão definido para oito horas, ou acessem um aplicativo cliente com um tempo limite de sessãode 2160 horas (90 dias). É possível alterar a política de acesso padrão e quando adicionaraplicativos da Web para o catálogo, você pode criar novos.

Habilitando os usuários a alterar senhas do Active DirectoryVocê pode fornecer aos usuários a capacidade de alterar as senhas do Active Directory a partir do portalou do aplicativo do Workspace ONE sempre que eles desejarem. Você poderá permitir que os usuáriosalterem as próprias senhas do Active Directory na página de login do VMware Identity Manager se asenha tiver expirado ou se o administrador do Active Directory tiver redefinido a senha, forçando ousuário a alterá-la no próximo login.

Você pode ativar essa opção por diretório selecionando a opção Permitir alteração de senha na páginaConfiguração do diretório.

Os usuários podem alterar suas senhas quando estiverem conectados ao portal do Workspace ONEclicando no nome no canto superior direito, selecionando Conta no menu suspenso e clicando no linkAlterar Senha. No aplicativo do Workspace ONE, os usuários podem alterar suas senhas clicando noícone do menu da barra tripla e selecionando Senha.

As senhas expiradas ou as redefinidas pelo administrador no Active directory podem ser alteradas apartir da página de login. Quando um usuário tenta fazer login com uma senha expirada, ele recebe umasolicitação para redefinir a senha. O usuário deve inserir a senha antiga, bem como a nova senha.

Os requisitos da nova senha são determinados pela política de senha do Active Directory. O número detentativas permitidas também depende da política de senha do Active Directory.


VMware, Inc. 59

As seguintes limitações aplicam-se.

n O nível funcional de Domínio do Active Directory deve ser definido para o Windows 2008 ouposterior.

n Quando um diretório for adicionado ao VMware Identity Manager como um Catálogo Global, a opçãoPermitir Alteração de Senha não estará disponível. Os diretórios podem ser adicionados comoActive Directory sobre LDAP ou Autenticação Integrada do Windows, usando as portas 389 ou 636.

n A senha de um usuário DN Bind não pode ser redefinida no VMware Identity Manager, mesmo queexpire ou que o administrador do Active Directory a redefina.

Observação É recomendável usar uma conta de usuário DN Bind com uma senha que não expire.

n As senhas dos usuários cujos nomes de login consistem em caracteres de vários bytes (caracteresdiferentes de ASCII) não podem ser redefinidas no VMware Identity Manager.

Observação Não é possível habilitar a opção Permitir Alteração de Senha para diretórios ACC.

Pré-requisitos

n A porta 464 deve ser aberta do VMware Identity Manager para os controladores do domínio. Em umaimplantação SaaS, a porta 464 deve ser aberta do conector do VMware Identity Manager para oscontroladores de domínio.

n A opção Permitir alteração de senha está disponível apenas para a versão 2016.11.1 do conector eposteriores.

Procedimentos


2 Na guia Diretórios, clique no diretório.

3 Na seção Permitir alteração de senha, selecione Ativar a Alteração de Senha.

4 Insira a senha do DN Bind na seção Detalhes do Usuário do Bind e clique em Salvar.

Integrando a diretórios LDAPVocê pode integrar o seu diretório LDAP corporativo ao VMware Identity Manager para sincronizarusuários e grupos do diretório LDAP com o serviço do VMware Identity Manager.

Consulte também Conceitos importantes relacionados à integração de diretório.

Limitações da Integração de Diretório LDAPAs seguintes limitações aplicam-se atualmente ao recurso de integração de diretório LDAP.

n Você só pode integrar um diretório LDAP de domínio único.

Para integrar vários domínios a partir de um diretório LDAP, você precisa criar diretórios adicionaisdo VMware Identity Manager, um para cada domínio.


VMware, Inc. 60

n O VMware Identity Manager oferece suporte apenas às implementações de OpenLDAP quepermitem consultas de pesquisa paginada. Todas as consultas do VMware Identity Manager aoservidor de diretórios são paginadas. Se o serviço de diretório não oferecer suporte a consultaspaginadas, o VMware Identity Manager não poderá sincronizar os usuários.

n Os seguintes métodos de autenticação não são suportados para diretórios doVMware Identity Manager do tipo diretório LDAP.

n autenticação Kerberos

n Autenticação RSA adaptativa

n ADFS como um provedor de identidade de terceiros

n SecurID

n Autenticação Radius com o servidor de código de acesso SMS e Vasco

n Você não pode ingressar em um domínio LDAP.

n Não há suporte para a integração aos recursos publicados Citrix ou Horizon para diretórios doVMware Identity Manager do tipo diretório LDAP.

n Os nomes de usuário não devem conter espaços. Se um nome de usuário contiver um espaço, ousuário é sincronizado, mas os direitos não estarão disponíveis para o usuário.

n Se você planeja adicionar tanto o Active Directory quanto o diretório LDAP, certifique-se de nãomarcar nenhum atributo obrigatório na página Atributos de Usuário, exceto userName, que pode sermarcado como obrigatório. As configurações na página Atributos de Usuário aplicam-se a todos osdiretórios no serviço. Se um atributo for marcado como obrigatório, os usuários sem esse atributonão serão sincronizados com o serviço do VMware Identity Manager.

n Se você tiver vários grupos com o mesmo nome no seu diretório LDAP, especifique nomesexclusivos para eles no serviço do VMware Identity Manager. Você pode especificar os nomes aoselecionar os grupos a serem sincronizados.

n A opção para permitir que os usuários redefinam senhas expiradas não está disponível.

Integrando um diretório LDAP ao serviçoVocê pode integrar o seu diretório LDAP corporativo ao VMware Identity Manager para sincronizarusuários e grupos do diretório LDAP com o serviço do VMware Identity Manager.

Para integrar seu diretório LDAP, você cria um diretório correspondente do VMware Identity Manager esincroniza usuários e grupos do diretório LDAP com o diretório do VMware Identity Manager. Você podeconfigurar uma agenda de sincronização regular para atualizações subsequentes.

Você também pode selecionar os atributos LDAP que deseja sincronizar para os usuários e os mapearpara atributos do VMware Identity Manager.

Sua configuração do diretório LDAP pode ser baseada em esquemas padrão ou esquemaspersonalizados. Ela também pode ter atributos personalizados. Para o VMware Identity Manager poderconsultar seu diretório LDAP e obter objetos de usuário ou de grupo, você precisa fornecer os nomes deatributos e os filtros de pesquisa LDAP aplicáveis ao seu diretório LDAP.


VMware, Inc. 61

Especificamente, você precisa fornecer as seguintes informações.

n Filtros de pesquisa LDAP para a obtenção de grupos, usuários e o usuário de associação

n Nomes de atributo LDAP para associação ao grupo, o UUID e o nome distinto

Certas limitações aplicam-se ao recurso de integração de diretório LDAP. Consulte Limitações daIntegração de Diretório LDAP.

Pré-requisitos

n Verifique os atributos na página Gerenciamento de Identidade e Acesso > Configuração >Atributos do Usuário e adicione os atributos adicionais que você deseja sincronizar. Você mapeiaos atributos do VMware Identity Manager para os atributos de diretório LDAP ao criar o diretório.Esses atributos são sincronizados para os usuários no diretório.

Observação Quando você fizer alterações nos atributos do usuário, considere o efeito dessasalterações sobre outros diretórios no serviço. Se você planeja adicionar tanto o Active Directoryquanto o diretório LDAP, certifique-se de não marcar nenhum atributo obrigatório, exceto userName,que pode ser marcado como obrigatório. As configurações na página Atributos de Usuário aplicam-se a todos os diretórios no serviço. Se um atributo for marcado como obrigatório, os usuários semesse atributo não serão sincronizados com o serviço do VMware Identity Manager.

n Uma conta de usuário de DN de associação. É recomendável usar uma conta de usuário DN Bindcom uma senha que não expire.

n No seu diretório LDAP, o UUID de usuários e grupos deve estar em formato de texto simples.

n No seu diretório LDAP, deve existir um atributo de domínio para todos os usuários e grupos.

Você mapeia esse atributo para o atributo VMware Identity Manager domain quando criar o diretóriodo VMware Identity Manager.

n Os nomes de usuário não devem conter espaços. Se um nome de usuário contiver um espaço, ousuário é sincronizado, mas os direitos não estarão disponíveis para o usuário.

n Se você usar a autenticação de certificado, os usuários deverão ter valores para os atributos deendereço de e-mail e userPrincipalName.

Procedimentos


2 Na página Diretórios, clique em Adicionar diretório e selecione Adicionar Diretório LDAP.


VMware, Inc. 62

3 Insira as informações necessárias na página Adicionar Diretório LDAP.

Opção Descrição

Nome do diretório Um nome para o diretório do VMware Identity Manager.

Sincronização e Autenticação doDiretório

a Na caixa de texto Sincronizar Conector, selecione o conector que vocêdeseja usar para sincronizar usuários e grupos a partir de seu diretório LDAPcom o diretório do VMware Identity Manager.

Em uma implantação local, um componente de conector está sempredisponível com o serviço do VMware Identity Manager por padrão. Esseconector é exibido na lista suspensa. Se você instalar várias instâncias doVMware Identity Manager para fins de alta disponibilidade, o componente deconector de cada um deles será exibido na lista. Conectores externosadicionais também são listados.

Você não precisa usar um conector separado para um diretório LDAP. Umconector pode ser compatível com vários diretórios, independentemente seeles são diretórios do Active Directory ou LDAP. Para os cenários em quevocê precisa de conectores adicionais, consulte Instalando e configurando oVMware Identity Manager.

b Na caixa de texto Autenticação, se você quiser usar este diretório LDAPpara autenticar usuários, selecione Sim.

Se você desejar usar um provedor de identidade de terceiros para autenticarusuários, selecione Não. Após adicionar a conexão de diretório parasincronizar usuários e grupos, vá para a página Gerenciamento deIdentidade e Acesso > Gerenciar > Provedores de Identidade paraadicionar o provedor de identidade de terceiros para a autenticação.

c Na caixa de texto Atributo de Pesquisa do Diretório, especifique o atributode diretório LDAP a ser usado para nomes de usuário. Se o atributo nãoestiver listado, selecione Personalizado e digite o nome do atributo. Porexemplo, cn.

Localização de Servidor Insira o número de porta e o host do servidor do Diretório LDAP. Para o host doservidor, você pode especificar o nome de domínio totalmente qualificado ou oendereço IP. Por exemplo, meuservidorLDAP.exemplo.com ou 100.00.00.0.

Se você tiver um cluster de servidores atrás de um balanceador de carga, digiteas informações do balanceador de carga.


VMware, Inc. 63

Opção Descrição

Configuração LDAP Especifique os atributos e os filtros de pesquisa LDAP que oVMware Identity Manager pode usar para consultar seu diretório LDAP. Osvalores padrão são fornecidos com base no esquema LDAP principal.

Consultas LDAPn Obter grupos: o filtro de pesquisa para a obtenção de objetos de grupo.

Por exemplo: (objectClass=group)n Obter usuário de associação: o filtro de pesquisa para a obtenção do

objeto de usuário de associação, quer dizer, o usuário que pode associar-seao diretório.

Por exemplo: (objectClass=person)n Obter usuário: o filtro de pesquisa para a obtenção de usuários para

sincronização.

Por exemplo:(&(objectClass=user)(objectCategory=person))

Atributosn Associação: o atributo usado em seu diretório LDAP para a definição dos

membros de um grupo.

Por exemplo: membern UUID de objeto: o atributo usado em seu diretório LDAP para a definição do

UUID de um usuário ou grupo.

Por exemplo: entryUUIDn Nome Distinto: o atributo usado em seu diretório LDAP para o nome distinto

de um usuário ou grupo.

Por exemplo: entryDN

Certificados Se o seu diretório LDAP requer acesso via SSL, selecione Esse diretório requerque todas as conexões usem SSL e copie e cole o certificado SSL da CA raizdo servidor do diretório LDAP. Verifique se o certificado está no formato PEM einclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.

Associar detalhes do usuário DN base: digite o DN do qual se deseja iniciar as pesquisas. Por exemplo,cn=users,dc=example,dc=com

DN de associação: digite o nome de usuário a ser usado para vinculação aodiretório LDAP.

Observação É recomendável usar uma conta de usuário DN Bind com umasenha que não expire.

Senha do DN de associação: digite a senha para o usuário do DN deassociação.

4 Para testar a conexão com o servidor do diretório LDAP, clique em Testar Conexão.

Se a conexão não for bem-sucedida, verifique as informações que você inseriu e faça as alteraçõesadequadas.

5 Clique em Salvar e Avançar.

6 Na página Domínios, verifique se o domínio correto está listado e clique em Avançar.


VMware, Inc. 64

7 Na página Atributos Mapeados, verifique se os atributos do VMware Identity Manager estãomapeados para os atributos LDAP corretos.

Esses atributos serão sincronizados para os usuários.

Importante Você deve especificar um mapeamento para o atributo domain.

Você pode adicionar atributos à lista na página Atributos de Usuário.


9 Na página de grupos, clique em + para selecionar os grupos que você deseja sincronizar a partir dodiretório LDAP para o diretório do VMware Identity Manager.

Quando os grupos são adicionados, os nomes de grupo são sincronizados com o diretório. Osusuários que são membros do grupo não serão sincronizados com o diretório até que o grupo tenhadireito a um aplicativo ou o nome do grupo seja adicionado a uma regra de política de acesso.

Se você tiver vários grupos com o mesmo nome no seu diretório LDAP, especifique nomesexclusivos para eles na página de grupos.

A opção Sincronizar usuários do grupo aninhado é habilitada por padrão. Quando essa opçãoestá ativada, todos os usuários que pertencem diretamente ao grupo que você selecionar, bem comotodos os usuários que pertencem aos grupos aninhados abaixo dele, serão sincronizados. Observeque os grupos aninhados não são sincronizados; somente os usuários que pertencem aos gruposaninhados são sincronizados quando o grupo é autorizado. No diretório doVMware Identity Manager, esses usuários serão exibidos como membros do grupo de nível superiorque você selecionou para sincronização. Com efeito, a hierarquia sob um grupo selecionado ésimplificada e os usuários de todos os níveis aparecem no VMware Identity Manager como membrosdo grupo selecionado.

Se essa opção estiver desativada, quando você especificar um grupo para sincronização, todos osusuários que pertencem diretamente a esse grupo serão sincronizados. Os usuários que pertencema grupos aninhados abaixo dele não são sincronizados. A desativação dessa opção é útil paragrandes configurações de diretório em que percorrer uma árvore de grupo exige muitos recursos emuito tempo. Se você desativá-la, certifique-se de selecionar todos os grupos cujos usuários desejasincronizar.


11 Clique em + para adicionar usuários. Por exemplo, digiteCN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.


Para excluir usuários, clique em um filtro para excluir alguns tipos de usuários. Você seleciona oatributo do usuário a ser usado para filtragem, a regra de consulta e o valor.

Clique em Avançar.


VMware, Inc. 65

12 Analise a página para ver quantos nomes de usuário e de grupo serão sincronizados com o diretórioe ver a agenda de sincronização padrão.

Para fazer alterações em usuários e grupos, ou na frequência de sincronização, clique nos linksEditar.

13 Clique em Sincronizar diretório para iniciar a sincronização de diretório.

A conexão com o diretório LDAP é estabelecida e os nomes de usuário e de grupo são sincronizados apartir do diretório LDAP com o diretório do VMware Identity Manager. O usuário DN Bind tem uma funçãode administrador no VMware Identity Manager por padrão.

Adicionando um diretório depois de configurar o failovere a redundânciaSe você adicionar um novo diretório ao serviço do VMware Identity Manager depois de já ter implantadoum cluster para alta disponibilidade, e desejar tornar o novo diretório parte da configuração de altadisponibilidade, precisará adicionar o diretório a todas as instâncias no seu cluster.

Em uma implantação local, você pode fazer isso adicionando o componente de conector de cada umadas instâncias de serviço ao novo diretório. Em uma implantação de SaaS, faça isso adicionando todasas instâncias do conector ao novo diretório.

Procedimentos


2 Selecione a guia Gerenciamento de Identidade e Acesso e, em seguida, selecione a guiaProvedores de Identidade.

3 Na página Provedores de Identidade, localize o provedor de identidade do novo diretório e clique nonome do provedor de identidade.

4 No campo Nome do Host IdP, insira o FQDN do balanceador de carga se ele ainda não estiverdefinido como o FQDN do balanceador de carga correto.

Observação Essa etapa é necessária somente se você estiver usando um balanceador de carga.Em uma implantação de SaaS, usar um balanceador de carga na frente de conectores no modo deconexão somente de saída não é um requisito. No entanto, se você tiver configurado umbalanceador de carga para certos cenários, como a autenticação Kerberos, insira o FQDN dobalanceador de carga aqui.

5 No campo Conectores, selecione o conector a ser adicionado.

6 Insira a senha e clique em Salvar.

7 Na página Provedores de Identidade, clique no nome do provedor de identidade novamente everifique se o campo Nome do Host IdP exibe o FQDN do balanceador de carga. Se o nome estiverincorreto, insira o FQDN do balanceador de carga e clique em Salvar.


VMware, Inc. 66

8 Repita as etapas anteriores para adicionar todos os conectores listados no campo Conectores.

Observação Depois de adicionar todos os conectores, verifique o nome do host IdP e modifique-o,se necessário, conforme descrito na etapa 7.

O diretório agora está associado a todos os conectores na sua implantação.


VMware, Inc. 67

Usando diretórios locais 7Um diretório local é um dos tipos de diretórios que você pode criar no serviço doVMware Identity Manager. Um diretório local permite provisionar usuários locais e fornecer acesso aaplicativos específicos, sem precisar adicioná-los ao diretório da empresa. Um diretório local não estáconectado a um diretório corporativo, e os usuários e grupos não são sincronizados de um diretóriocorporativo. Em vez disso, você cria usuários locais diretamente no diretório local.

Um diretório local padrão, denominado Diretório do Sistema, está disponível no serviço. Você tambémpode criar vários diretórios locais novos.

Diretório do SistemaO Diretório do Sistema é um diretório local que é criado automaticamente no serviço quando ele éconfigurado pela primeira vez. Este diretório tem o Domínio do sistema do domínio. Não é possívelalterar o nome ou o domínio do Diretório do Sistema ou adicionar novos domínios a ele. Também não épossível excluir o Diretório do Sistema ou o Domínio do Sistema.

Um usuário administrador local é criado no Domínio do Sistema do Diretório do Sistema quando o tenanté configurado pela primeira vez. As credenciais que você recebe ao obter um novo tenant pertencem aesse usuário administrador local.

Você pode adicionar outros usuários ao Diretório do Sistema. O Diretório do Sistema é normalmenteusado para configurar alguns usuários administradores locais para gerenciar o serviço. Para provisionarusuários finais e administradores adicionais e qualificá-los para os aplicativos, é recomendável criar umnovo diretório local.

Diretórios LocaisVocê pode criar vários diretórios locais. Cada diretório local pode ter um ou mais domínios. Ao criar umusuário local, você especifica o diretório e o domínio para o usuário.

Você também pode selecionar atributos para todos os usuários em um diretório local. Os atributos dousuário como userName, lastName e firstName são especificados em nível global no serviço doVMware Identity Manager. Uma lista padrão de atributos está disponível, e você pode adicionar atributospersonalizados. Os atributos globais do usuário se aplicam a todos os diretórios no serviço, incluindo os

VMware, Inc. 68

diretórios locais. No nível do diretório local, você pode selecionar quais atributos são necessários para odiretório. Isso permite que você tenha um conjunto personalizado de atributos para diferentes diretórioslocais. Os atributos userName, lastName, firstName e email são sempre obrigatórios para diretórioslocais.

Observação A capacidade de personalizar atributos de usuário no nível de diretório está disponívelsomente para diretórios locais, e não para diretórios do Active Directory ou LDAP.

A criação de diretórios locais é útil em cenários como os seguintes.

n Você pode criar um diretório local para um tipo específico de usuário que não faz parte do diretóriocorporativo. Por exemplo, você pode criar um diretório local para parceiros, que geralmente nãofazem parte do diretório corporativo, e fornecer acesso somente aos aplicativos específicos de queprecisam.

n Você pode criar vários diretórios locais se desejar atributos de usuário ou métodos de autenticaçãodiferentes para diferentes conjuntos de usuários. Por exemplo, você pode criar um diretório localpara distribuidores que possua atributos de usuário, como região e tamanho de mercado, e outrodiretório local para fornecedores que possua atributos de usuário, como um tipo de fornecedor e decategoria de produto.

Provedor de Identidade para Diretório do Sistema eDiretórios LocaisPor padrão, o Diretório do Sistema está associado a um provedor de identidade chamado Provedor deIdentidade do Sistema. O método Senha (Diretório na Nuvem) está habilitado por padrão nesse provedorde identidade e aplica-se à política default_access_policy_set para o intervalo de rede TODOS OSINTERVALOS e o tipo de dispositivo do navegador da Web. Você pode configurar métodos deautenticação adicionais e definir políticas de autenticação.

Quando você cria um novo diretório local, ele não está associado a nenhum provedor de identidade.Depois de criar o diretório, crie um novo provedor de identidade do tipo Incorporado e associe o diretórioa ele. Habilite o método de autenticação Senha (Diretório na Nuvem) no provedor de identidade. Váriosdiretórios locais podem ser associados ao mesmo provedor de identidade.

O conector do VMware Identity Manager não é necessário para o Diretório do Sistema ou para osdiretórios locais que você cria.

Para obter mais informações, consulte "Configurando a autenticação de usuário no VMware IdentityManager" na Administração do VMware Identity Manager.

Gerenciamento de senhas para usuários do diretório localPor padrão, todos os usuários de diretórios locais têm a capacidade de alterar sua senha no aplicativo ouno portal do Workspace ONE. Você pode definir uma política de senha para os usuários locais. Tambémpode redefinir senhas de usuários locais conforme necessário.


VMware, Inc. 69

Os usuários podem alterar suas senhas quando estiverem conectados ao portal do Workspace ONEclicando no nome no canto superior direito, selecionando Conta no menu suspenso e clicando no linkAlterar Senha. No aplicativo do Workspace ONE, os usuários podem alterar suas senhas clicando noícone do menu da barra tripla e selecionando Senha.

Para obter informações sobre como definir políticas de senha e redefinir senhas de usuários locais,consulte "Gerenciando usuários e grupos" na Administração do VMware Identity Manager.


n Criando um diretório local

n Alterando as configurações do diretório local

n Excluindo um diretório local

Criando um diretório localPara criar um diretório local, especifique os atributos de usuário para o diretório, crie o diretório eidentifique-o com um provedor de identidade.

Definir atributos do usuário no nível globalAntes de criar um diretório local, examine os atributos globais do usuário na página Atributos do Usuárioe adicione atributos personalizados, se necessário.

Os atributos do usuário, como firstName, lastName, email e domain, fazem parte do perfil de um usuário.No serviço do VMware Identity Manager, os atributos do usuário são definidos no nível global e seaplicam a todos os diretórios no serviço, incluindo diretórios locais. No nível de diretório local, você podesubstituir se um atributo é obrigatório ou opcional para usuários nesse diretório local, mas não é possíveladicionar atributos personalizados. Se um atributo for obrigatório, você deve fornecer um valor para eleao criar um usuário.

As palavras a seguir não podem ser usadas quando você cria atributos personalizados.

Tabela 7‑1. As palavras não podem ser usadas como Nomes de atributo de personalização.

ativo endereços costCenter

departamento displayName divisão

e-mails employeeNumber direitos

externalId grupos id

ims localidade gerente

meta nome nickName

organização senha phoneNumber

fotos preferredLanguage profileUrl


VMware, Inc. 70

Tabela 7‑1. As palavras não podem ser usadas como Nomes de atributo de personalização.(Continuação)

funções fuso horário título

userName userType x509Certificate

Observação A capacidade de substituir os atributos de usuário ao nível do diretório aplica-se apenasaos diretórios locais, não ao Active Directory nem aos diretórios do LDAP.

Procedimentos


2 Clique na guia Configuração e, em seguida, clique na guia Atributos do Usuário.

3 Revise a lista de atributos do usuário e adicione atributos adicionais, se necessário.

Observação Embora esta página permita que você selecione quais atributos são obrigatórios, érecomendável que você faça a seleção para diretórios locais no nível de diretório local. Se umatributo estiver marcado como obrigatório nesta página, ele se aplica a todos os diretórios no serviço,incluindo os diretórios do Active Directory ou LDAP.

4 Clique em Salvar.

Próximo passo

Crie um diretório local.

Criar um diretório localApós revisar e estabelecer os atributos globais do usuário, crie o diretório local.

Procedimentos

1 No console do VMware Identity Manager, clique na guia Gerenciamento de Identidade e Acesso;em seguida, clique na guia Diretórios.

2 Clique em Adicionar diretório e selecione Adicionar diretório de usuário local a partir do menususpenso.


VMware, Inc. 71

3 Na página Adicionar diretório, digite o nome de um diretório e especifique ao menos o nome de umdomínio.

O nome de domínio deve ser exclusivo em todos os diretórios do serviço.

Por exemplo:

4 Clique em Salvar.

5 Na página Diretórios, clique no novo diretório.

6 Clique na guia Atributos do Usuário.

Todos os atributos que constam na página Gerenciamento de Identidade e Acesso > Configuração >Atributos do usuário estão listados no diretório local. Os atributos nessa página marcados comoobrigatórios são listados como obrigatórios também na página do diretório local.

7 Personalizar os atributos para o diretório local.

Você pode especificar quais atributos são obrigatórios e quais atributos são opcionais. Você tambémpode alterar a ordem na qual os atributos aparecem.

Importante Os atributos userName, firstName, lastName e email são sempre obrigatórios paradiretórios locais.

n Para tornar um atributo obrigatório, marque a caixa de seleção adjacente ao nome do atributo.

n Para tornar um atributo obrigatório, desmarque a caixa de seleção adjacente ao nome doatributo.

n Para alterar a ordem dos atributos, clique e arraste o atributo para a nova posição.

Caso um atributo seja obrigatório, ao criar um usuário você deve especificar um valor para o atributo.

Por exemplo:


VMware, Inc. 72

8 Clique em Salvar.

Próximo passo

Associe o diretório local ao provedor de identidade que você deseja usar para autenticar usuários nodiretório.

Associar o diretório local a um provedor de identidadeAssocie o diretório local a um provedor de identidade para que os usuários no diretório possam serautenticados. Crie um provedor de identidade do tipo Incorporado e ative o método de autenticaçãoSenha (Diretório Local) nele.

Observação Não use o provedor de identidade Integrado. Não é recomendável habilitar o método deautenticação Senha (Diretório local) no provedor de identidade Integrado.


VMware, Inc. 73

Pré-requisitos

O método de autenticação de senha (diretório local) deve ser configurado em Gerenciamento deIdentidade e Acesso > página Métodos de Autenticação.

Procedimentos

1 Na guia Gerenciamento de Identidade e Acesso, clique na guia Provedores de Identidade.

2 Clique em Adicionar Provedor de Identidade e selecione Criar IDP Integrado.

3 Insira as seguintes informações.

Opção Descrição

Nome do provedor de identidade Digite um nome para o provedor de identidade.

Usuários Selecione o diretório local criado.

Rede Selecione as redes das quais esse provedor de identidade pode ser acessado.

Métodos de autenticação Selecione Senha (Diretório Local).

Exportação de Certificado KDC Você não precisa baixar o certificado, a menos que esteja configurando o SSOmóvel para appliances iOS gerenciados pelo Workspace ONE UEM.


O provedor de identidade é criado e associado ao diretório local. Mais tarde, você pode configurar outrosmétodos de autenticação no provedor de identidade. Para obter mais informações sobre autenticação,consulte "Configurando a autenticação de usuário no VMware Identity Manager" na Administração doVMware Identity Manager.

Você pode usar o mesmo provedor de identidade para vários diretórios locais.


VMware, Inc. 74

Próximo passo

Crie usuários e grupos locais. Você cria usuários e grupos locais na guia Usuários e Grupos no consoledo Workspace ONE UEM. Consulte "Gerenciando usuários e grupos" na Administração do VMwareIdentity Manager para obter mais informações.

Alterando as configurações do diretório localDepois de criar um diretório local, você poderá modificar suas configurações a qualquer momento.

Você pode alterar as seguintes configurações.

n Altere o nome do diretório.

n Adicione, exclua ou renomeie domínios.

n Os nomes de domínio devem ser exclusivos em todos os diretórios no serviço.

n Ao alterar um nome de domínio, os usuários que estavam associados ao domínio antigo serãoassociados ao novo domínio.

n O diretório deve ter pelo menos um domínio.

n Não é possível adicionar um domínio ao Diretório do Sistema ou excluir o Domínio do Sistema.

n Adicione novos atributos do usuário ou torne um atributo existente obrigatório ou opcional.

n Se o diretório local ainda não tiver nenhum usuário, você poderá adicionar novos atributos comoopcionais ou obrigatórios e alterar os atributos existentes para obrigatórios ou opcionais.

n Se você já criou usuários no diretório local, é possível adicionar novos atributos apenas comoatributos opcionais e alterar os atributos existentes de obrigatórios para opcionais. Não épossível tornar um atributo opcional obrigatório após a criação dos usuários.

n Os atributos userName, firstName, lastName e email são sempre obrigatórios para diretórioslocais.

n Como os atributos do usuário são definidos a nível global no serviço do VMware IdentityManager, todos os novos atributos que você adicionar aparecerão em todos os diretórios doserviço.

n Altere a ordem na qual os atributos aparecem.

Procedimentos


2 Na página Diretórios, clique no diretório que você deseja editar.


VMware, Inc. 75

3 Edite as configurações do diretório local.

Opção Ação

Alterar o nome do diretório a Na guia Configurações, edite o nome do diretório.

b Clique em Salvar.

Adicionar, excluir ou renomear umdomínio

a Na guia Configurações, edite a lista Domíniosb Para adicionar um domínio, clique no ícone de mais verde.

c Para excluir um domínio, clique no ícone de exclusão vermelho.

d Para renomear um domínio, edite o nome de domínio na caixa de texto.

Adicionar atributos do usuário aodiretório

a Clique na guia Gerenciamento de Identidade e Acesso e, em seguida,clique em Instalar.

b Clique na guia Atributos do Usuário.

c Adicione atributos na lista Adicionar outros atributos a usar e clique emSalvar.

Tornar um atributo obrigatório ouopcional para o diretório

a Na guia Gerenciamento de Identidade e Acesso, clique na guia Diretórios.

b Clique no nome do diretório local e na guia Atributos do Usuário.

c Marque a caixa de seleção ao lado de um atributo para torná-lo um atributoobrigatório ou desmarque a caixa de seleção para torná-lo um atributoopcional.

d Clique em Salvar.

Alterar a ordem dos atributos a Na guia Gerenciamento de Identidade e Acesso, clique na guia Diretórios.

b Clique no nome do diretório local e na guia Atributos do Usuário.

c Clique e arraste os atributos para a nova posição.

d Clique em Salvar.

Excluindo um diretório localVocê pode excluir um diretório local criado no serviço do VMware Identity Manager. Você não podeexcluir o Diretório do Sistema, que é criado por padrão ao configurar o serviço pela primeira vez.

Cuidado Ao excluir um diretório, todos os usuários no diretório também são excluídos do serviço.

Procedimentos

1 Clique na guia Gerenciamento de Identidade e Acesso e, em seguida, clique na guia Diretórios.

2 Clique no diretório que deseja excluir.

3 Na página Diretórios, clique em Excluir Diretório.


VMware, Inc. 76

Gerenciando as configuraçõesde administrador do conectordo VMware Identity Manager 8Após a conclusão da configuração inicial do conector do VMware Identity Manager, você poderá ir àspáginas de administração do conector a qualquer momento para instalar certificados, gerenciar senhas ebaixar arquivos de log.

As páginas de administração do VMware Identity Manager Connector estão disponíveis emhttps://connectorFQDN:8443/cfg/login, por exemplo, https://myconnector.example.com:8443/cfg/login.Faça login como usuário administrador do conector com a senha de administrador que você criouquando instalou o conector.

Tabela 8‑1. Configurações do Conector

Opção Descrição

Instalar Certificados SSL Nas guias nesta página, você pode instalar um certificado SSLpara o conector, baixar o certificado raiz autoassinado einstalar certificados raiz confiáveis.

Observação A guia Certificado de Passagem é usadasomente quando a autenticação de certificado é configuradano conector incorporado em um cenário de implantação doDMZ. Não é aplicável em quaisquer outros cenários. ConsulteImplantando o VMware Identity Manager no DMZ para obterinformações.

Configurar Syslog Nesta página, você poderá ativar um servidor de syslogexterno se quiser que os logs do conector sejam enviados aoservidor externo.

Alterar Senha Nessa página, você pode alterar a senha de administração doconector.

Segurança do Sistema Nesta página, você pode alterar as senhas de usuário ssh eraiz para o conector.

Localizações do Arquivo de Log Nesta página, você pode criar e baixar um pacote de arquivosde log do conector.


n Usando certificados SSL para o conector

n Configurar um servidor de syslog para o conector

n Gerenciando suas senhas do conector do VMware Identity Manager

VMware, Inc. 77

n Visualizando arquivos de log

n Modificar a URL do conector

Usando certificados SSL para o conectorQuando o conector do VMware Identity Manager está instalado, o certificado do servidor SSLautoassinado padrão é gerado automaticamente. Você pode continuar a usar esse certificadoautoassinado na maioria dos cenários.

Com o conector implantado no modo de saída, os usuários finais não acessam o conector diretamente,de modo que instalar um certificado SSL assinado pela Autoridade de Certificação pública não énecessário. Para o acesso do administrador ao conector, você pode continuar a usar o certificadoautoassinado padrão ou usar um certificado gerado pela sua autoridade de certificação interna.

No entanto, se você ativar o KerberosIdpAdapter no conector para configurar a autenticação Kerberospara usuários internos, os usuários finais estabelecerão conexões SSL ao conector; portanto, o conectordeve ter um certificado SSL assinado. Use sua autoridade de certificação interna para gerar o certificadoSSL.

Se você configurar a alta disponibilidade para a autenticação Kerberos, será necessário um balanceadorde carga na frente das instâncias do conector. Nesse caso, o balanceador de carga, bem como todas asinstâncias do conector, devem ter certificados SSL assinados. Use sua autoridade de certificação internapara gerar os certificados SSL. Para o certificado do balanceador de carga, use o Nome de Host IdP doWorkspace, que é definido na página Configuração do IdP do Workspace, como o Nome Comum do DNda Entidade. Para cada certificado de instância do conector, use o nome de host do conector como oNome Comum do DN da Entidade. Como alternativa, você pode criar um único certificado, usando onome de host Idp do Workspace como o Nome Comum do DN da Entidade, e todos os nomes de host doconector, bem como o nome de host Idp do Workspace como Nomes Alternativos da Entidade (SANs).

Instalando um certificado SSL assinado para o conectorVocê pode instalar um certificado SSL assinado para o conector do VMware Identity Manager a partir daspáginas de administração do conector em https://FQDNconector:8443/cfg/login.

Consulte Usando certificados SSL para o conector para obter os cenários em que um certificado SSLassinado é necessário.

Pré-requisitos

Gere uma Solicitação de Assinatura de Certificado (CSR) e obtenha um certificado SSL assinado. Ocertificado deve estar no formato PEM.

Procedimentos

1 Faça login nas páginas de administração do conector em https://FQDNconector:8443/cfg/login comoo usuário administrador.

2 Clique em Instalar Certificados SSL.


VMware, Inc. 78

3 Na guia Certificado do Servidor, para o campo Certificado SSL, selecione CertificadoPersonalizado.

4 Na caixa de texto Cadeia de Certificados SSL, cole os certificados intermediários, de servidor e deraiz, nessa ordem.

Você deve incluir a cadeia de certificados inteira na ordem correta. Para cada certificado, copie tudoque estiver entre as linhas -----INICIAR CERTIFICADO----- e -----FINALIZAR CERTIFICADO----.

5 Na caixa de texto Chave Privada, cole a chave privada. Copie tudo entre ----INICIAR CHAVEPRIVADA RSA e ---FINALIZAR CHAVE PRIVADA RSA.


Exemplo: Exemplos de certificados

Exemplo de cadeia de certificados

-----INICIAR CERTIFICADO-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----FINALIZAR CERTIFICADO-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Exemplo de chave privada

-----INICIAR CHAVE PRIVADA RSA-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

...

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----FINALIZAR CHAVE PRIVADA RSA-----


VMware, Inc. 79

Baixando o certificado de autoridade de certificação raizautoassinado do conectorSe você implantar o conector com o certificado SSL autoassinado gerado por padrão quando o conectoré instalado, instale o certificado da autoridade de certificação raiz autoassinado do conector em todos osclientes que acessam o conector. Você pode baixar o certificado da autoridade de certificação raiz doconsole de administração do VMware Identity Manager.

Procedimentos

1 Faça login nas páginas de administração do conector do VMware Identity Manager emhttps://FQDNconector:8443/cfg/login como o usuário administrador.

2 Clique em Instalar Certificados SSL.

3 Na guia Certificado do Servidor, clique no link no campo Certificados da CA Raiz Autoassinadosdo Appliance.

Os certificados são exibidos.

4 Copie o texto inteiro, incluindo as linhas -----INICIAR CERTIFICADO----- e -----FINALIZARCERTIFICADO----.

Instalando certificados de raiz confiáveis no conectorInstale os certificados raiz ou intermediários que devem ser confiáveis pelo conector do VMware IdentityManager. O conector poderá estabelecer conexões seguras com servidores cuja cadeia de certificadosinclui qualquer um desses certificados.

Os cenários nos quais você precisa instalar certificados raiz confiáveis no conector incluem o seguinte:

n Se você tiver configurado um balanceador de carga para alta disponibilidade da autenticaçãoKerberos, instale o certificado da autoridade de certificação raiz do balanceador de carga nasinstâncias do conector para estabelecer a confiança entre os conectores e o balanceador de carga.

Procedimentos


2 Clique em Instalar Certificados de SSL e selecione a guia CAs Confiáveis.

3 Cole o certificado raiz ou intermediário na caixa de texto.

Inclua tudo entre e incluindo as linhas -----INICIAR CERTIFICADO----- e -----FINALIZARCERTIFICADO----.



VMware, Inc. 80

Configurar um servidor de syslog para o conectorOs eventos a nível de aplicativo do serviço podem ser exportados para um servidor syslog externo. Oseventos do sistema operacional não são exportados.

Como a maioria das empresas não têm espaço em disco ilimitado, o appliance virtual não salva ohistórico de log completo. Se desejar salvar mais histórico ou criar uma localização centralizada para oseu histórico de log, você poderá configurar um servidor syslog externo.

Se não tiver configurado um servidor de syslog durante a configuração inicial, você poderá configurá-lomais tarde na página Configurar Syslog nas páginas de administração do appliance do conector.

Pré-requisitos

n Configure um servidor syslog externo. Você pode usar qualquer um dos servidores syslog padrãodisponíveis. Vários servidores syslog incluem capacidades avançadas de pesquisa.

n Certifique-se de que o conector possa acessar o servidor de syslog na porta 514 (UDP).

Procedimentos

1 Faça login nas páginas de administração do appliance do conector em https://FQDNconector:8443/cfg como o usuário administrador.

2 Selecione Configurar Syslog no painel à esquerda.

3 Clique em Ativar.

4 Insira o endereço IP ou o FQDN do servidor syslog no qual você deseja armazenar os logs.

5 Clique em Salvar.

Uma cópia dos logs é enviada para o servidor syslog.

Gerenciando suas senhas do conector doVMware Identity ManagerQuando configurou o VMware Identity Manager Connector, você criou senhas para o usuárioadministrador, para o usuário raiz e o sshuser. Você pode alterar essas senhas a partir das páginas doadministrador do conector.

Importante Certifique-se de criar senhas fortes. As senhas de alta segurança devem ter pelo menosoito caracteres e incluir letras maiúsculas e minúsculas e pelo menos um caractere numérico ou especial.

Procedimentos


2 Clique em Alterar Senha.


VMware, Inc. 81

3 Digite as senhas antigas e novas.

Importante A senha do usuário administrador deve ter pelo menos 6 caracteres.

4 Clique em Salvar.

5 Para alterar as senhas raiz ou sshuser, selecione Segurança do Sistema, insira as novas senhas eclique em Salvar.

Visualizando arquivos de logOs arquivos de log do VMware Identity Manager Connector podem ajudar a depurar e a solucionarproblemas. Os arquivos de log estão no diretório /opt/vmware/horizon/workspace/logs do appliancevirtual do conector.

Os seguintes arquivos de log são os mais relevantes.

Tabela 8‑2. Arquivos de log

Componente

O local do arquivo de log emum appliance virtual doconector Descrição

Logs doConfigurador

/opt/vmware/horizon/works

pace/logs/configurator.lo

g

Solicita que o configurador receba do clienteREST e da interface Web.

Logs do conector /opt/vmware/horizon/works

pace/logs/connector.log

Um registro de cada solicitação recebida dainterface Web. Cada entrada de log incluitambém a URL, o carimbo de data/hora e asexceções da solicitação. Nenhuma ação desincronização é registrada.


pace/logs/connector-dir-

sync.log

Mensagens relacionadas à sincronização dediretório.

Logs do ApacheTomcat


pace/logs/catalina.log

O registros do Apache Tomcat de mensagensque não são registradas em outros arquivosde log.

Você também pode baixar um pacote de arquivos de log nas páginas de administração do VMwareIdentity Manager Connector.

Baixar um pacote de logsNas páginas de administração do conector, você pode baixar um pacote de arquivos de log para oVMware Identity Manager Connector. Os arquivos de log podem ajudar a depurar e a solucionarproblemas.

Para coletar logs de cada instância de conector no seu ambiente, efetue login nas páginas deadministração de cada instância.


VMware, Inc. 82

Procedimentos

1 Faça login nas páginas de administração do VMware Identity Manager Connector emhttps://connectorFQDN:8443/cfg/login como usuário administrador.

2 Clique em Localizações do Arquivo de Log e em Preparar pacote de logs.

As informações são coletadas em um arquivo tar.gz para download.

3 Baixe um pacote de logs.

Definindo o nível de log do VMware Identity Manager Connectorcomo DEBUGVocê pode definir o nível de log como DEBUG para registrar informações adicionais que possam ajudara depurar problemas.

Procedimentos

1 Faça login no appliance virtual.

2 Altere para o diretório /usr/local/horizon/conf/.

3 Atualize o nível de log nos arquivos cfg-log4j.properties e hc-log4j.properties, que são osarquivos log4j mais comumente usados para o conector.

a Edite o arquivo.

b Nas linhas que têm o nível de log definido como INFO, substitua INFO por DEBUG.

Por exemplo, altere:

rootLogger.level=INFO

para:

rootLogger.level=DEBUG

c Salve o arquivo.

Uma reinicialização do serviço ou do sistema não é necessária.

Modificar a URL do conectorVocê pode alterar a URL do conector atualizando o nome do host do provedor de identidade no consoledo VMware Identity Manager.

Procedimentos


2 Clique na guia Gerenciamento de Identidade e Acesso e, em seguida, clique na guia Provedoresde Identidade.

3 Na página Provedores de Identidade, selecione o provedor de identidade a ser atualizado.


VMware, Inc. 83

4 No campo Nome do Host IdP, insira o novo nome do host.

Use o formato nome do host:porta. A especificação de uma porta é opcional. A porta padrão é443.

Por exemplo, vidm.exemplo.com.

5 Clique em Salvar.


VMware, Inc. 84

Excluindo uma instância doVMware Identity ManagerConnector 9Você pode excluir uma instância do VMware Identity Manager Connector a partir do serviço doVMware Identity Manager. Uma instância do conector não pode ser excluída se houver um deiretórioassociado a ele.

Você pode escolher excluir uma instância do conector quando deseja usar o mesmo nome de host parauma nova instância do conector, por exemplo.

Procedimentos


2 Selecione a guia Gerenciamento de identidade e acesso e clique em Instalar.

3 Se um diretório estiver associado ao conector que você deseja excluir, primeiro exclua o diretório.

a Clique no nome do diretório na coluna Diretório associado.

b Clique em Excluir diretório.

4 Na página Instalar > Conectores, clique no ícone Excluir localizado ao lado da instância doconector que você deseja excluir. Em seguida, clique em Confirmar.

A instância do conector é excluída do serviço do VMware Identity Manager.

5 (Opcional) Exclua o appliance virtual do conector.

a Faça login no vSphere Web Client.

b Navegue até o appliance virtual do conector.

c Clique no botão direito do mouse e selecione Ligar/Desligar > Desligar.

d Clique no botão direito do mouse e selecione Excluir do disco.

VMware, Inc. 85

n identity manager - docs.vmware.com · configurando a alta disponibilidade para a autenticação...

Documents