VMware Identity Managercloudimplementatie. september 2018 VMware Identity Manager

Transcriptie

1 VMware Identity Managercloudimplementatie september 2018 VMware Identity Manager

2 U vindt de recentste technische documentatie op de website van VMware: Op de VMware-website vindt u tevens de nieuwste productupdates. Als u opmerkingen over deze documentatie heeft, kunt u uw feedback sturen naar: docfeedback@vmware.com VMware, Inc Hillview Ave. Palo Alto, CA VMware Nederland B.V. Key Office Papendorp 3e verdieping Orteliuslaan 850 Utrecht Nederland Tel: +31 (0) Fax: +31 (0) Copyright VMware, Inc. Alle rechten voorbehouden. Informatie over copyright en handelsmerken. VMware, Inc. 2

3 Inhoud VMware Identity Manager-cloudimplementatie 5 1 Implementatiemodellen 6 Implementatiemodel met behulp van AirWatch Cloud Connector 7 Implementatiemodel met VMware Identity Manager -connector in de verbindingsmodus alleen uitgaand 9 2 Installatie van VMware Identity Manager Connector voorbereiden 13 Vereisten voor systeem- en netwerkconfiguratie 13 Maak DNS-records en IP-adressen 16 Implementatiecontrolelijsten 17 3 De VMware Identity Manager-connector implementeren 20 Activeringscode voor connector genereren 21 De virtual appliance van de connector installeren en configureren 22 Een directory instellen 25 Verificatieadapters op VMware Identity Manager Connector inschakelen 26 Uitgaande modus voor VMware Identity Manager Connector inschakelen 28 4 Hoge beschikbaarheid voor VMware Identity Manager Connector configureren 31 Extra connectorinstanties installeren 31 Hoge beschikbaarheid configureren voor verificatie 33 Synchronisatie van directory's inschakelen op een andere connector in geval van een fout 34 5 Ondersteuning van Kerberos-verificatie aan uw VMware Identity Manager Connector -implementatie toevoegen 35 Kerberos-verificatieadapter configureren en inschakelen 36 Hoge beschikbaarheid voor Kerberos-verificatie configureren 38 6 Uw bedrijfsdirectory integreren met VMware Identity Manager 42 Belangrijke concepten met betrekking tot de integratie van directory's 42 Met Active Directory integreren 44 Met LDAP-directory's integreren 59 Een directory toevoegen na configureren van failover en redundantie 65 7 Lokale directory's gebruiken 67 Een lokale directory maken 69 Instellingen voor lokale directory wijzigen 74 VMware, Inc. 3

4 Een lokale directory verwijderen 75 8 Beheerinstellingen voor VMware Identity Manager Connector beheren 76 SSL-certificaten voor de connector gebruiken 77 Een Syslog-server voor de connector configureren 79 Uw Connector-wachtwoorden voor VMware Identity Manager beheren 80 Logboekbestanden weergeven 80 De connector-url aanpassen 82 9 Een VMware Identity Manager Connector -instantie verwijderen 83 VMware, Inc. 4

5 VMware Identity Managercloudimplementatie VMware Identity Manager-cloudimplementatie geeft informatie over de beschikbare implementatiescenario's die kunnen worden gebruikt voor de cloudservice VMware Identity Manager. Bovendien wordt er informatie gegeven over het installeren en configureren van de virtual appliance van de VMware Identity Manager Connector in de verbindingsmodus alleen uitgaand. Daarnaast wordt uitgelegd hoe u uw bedrijfsdirectory integreert en gebruikers en groepen met de VMware Identity Manager-service synchroniseert. Zie VMware Identity Manager Connector installeren en configureren (legacy modus) voor informatie over het installeren en configureren van de virtual appliance van de VMware Identity Manager Connector in de legacy modus. Zie de relevante gedeelten van dit document, Handleiding voor het implementeren van Workspace ONE, en de documentatie voor Workspace ONE UEM, voor meer informatie over het gebruik van VMware Identity Manager met VMware Workspace ONE. Doelgroep De informatie is geschreven voor ervaren Windows- en Linux-systeembeheerders die bekend zijn met technologie van VMware, in het bijzonder vcenter, ESX en vsphere, netwerkconcepten, Active Directory en databases. Kennis van andere technologieën zoals RSA Adaptive Authentication, RSA SecurID en RADIUS is ook handig wanneer u dergelijke functies wilt implementeren. Woordenlijst technische publicatie VMware De technische publicatie van VMware bevat een woordenlijst met termen waarmee u wellicht niet bekend bent. Ga naar voor definities van termen zoals deze gebruikt worden in de technische documentatie van VMware. VMware, Inc. 5

6 Implementatiemodellen 1 Om uw VMware Identity Manager-tenant te kunnen gebruiken, heeft u een onderdeel ter plaatse nodig voor gebruikersverificatie en directoryintegratie. Er zijn twee hoofdtypen implementatiemodellen beschikbaar, één model dat integreert met een Workspace ONE UEM-implementatie en een model dat geen Workspace ONE UEM nodig heeft en de VMware Identity Manager-connector gebruikt. U kunt ook implementatiemodellen combineren wanneer u functionaliteit nodig heeft die niet in een van de modellen wordt ondersteund. Implementatiemodel met behulp van AirWatch Cloud Connector Wanneer u over een bestaande Workspace ONE UEM-implementatie beschikt, kunt u uw VMware Identity Manager-tenant hiermee snel integreren. Workspace ONE UEM verzorgt in dit model de gebruikersverificatie en de synchronisatie van gebruikers en groepen vanuit uw bedrijfsdirectory. Voor VMware Identity Manager zijn geen aanvullende vereisten voor implementatie. Houd er rekening mee dat VMware Identity Manager met bronnen zoals Horizon 7 en gepubliceerde Citrix-bronnen niet in dit model worden ondersteund. Alleen integratie met webapplicaties en ingebouwde mobiele applicaties wordt ondersteund. Zie Implementatiemodel met behulp van AirWatch Cloud Connector. Implementatiemodel met VMware Identity Manager Connector (in de verbindingsmodus alleen uitgaand) Om uw VMware Identity Manager-tenant te gebruiken in een scenario waarbij geen Workspace ONE UEM-implementatie is vereist, kunt u de virtual appliance van de VMware Identity Manager-connector op locatie installeren. De connector verbindt de tenant met services op locatie, zoals Active Directory. In dit model worden de synchronisatie van gebruikers en groepen vanuit uw bedrijfsdirectory en de gebruikersverificatie door de VMware Identity Manager-connector geregeld. De connector wordt geïnstalleerd in de verbindingsmodus alleen uitgaand en daarom hoeft de ingaande firewallpoort 443 niet te worden geopend. Zie Implementatiemodel met VMware Identity Manager-connector in de verbindingsmodus alleen uitgaand. Ondersteuning voor Kerberos-verificatie toevoegen aan uw implementatie VMware, Inc. 6

7 U kunt Kerberos-verificatie voor interne gebruikers (waarvoor een inkomende verbindingsmodus is vereist) toevoegen aan uw implementatie die is gebaseerd op connectoren met de verbindingsmodus alleen uitgaand. Zie Ondersteuning voor Kerberos-verificatie toevoegen aan uw implementatie. VMware Identity Manager Legacy implementatiemodel voor de connector De VMware Identity Manager-connector kan ook worden geïnstalleerd in een legacy-modus, en hiervoor moet de ingaande firewallpoort 443 naar de connector worden geopend. Voor informatie over het installeren en configureren van de connector in dit model, kunt u VMware Identity Manager-connector installeren en configureren (Legacy modus) raadplegen. Dit hoofdstuk omvat de volgende onderwerpen: Implementatiemodel met behulp van AirWatch Cloud Connector Implementatiemodel met VMware Identity Manager-connector in de verbindingsmodus alleen uitgaand Implementatiemodel met behulp van AirWatch Cloud Connector Wanneer u over een bestaande Workspace ONE UEM-implementatie beschikt, kunt u uw VMware Identity Manager-tenant hiermee integreren. Workspace ONE UEM verzorgt in dit model de gebruikersverificatie en de synchronisatie van gebruikers en groepen vanuit uw bedrijfsdirectory. Voor VMware Identity Manager zijn geen aanvullende vereisten voor implementatie. Houd er rekening mee dat VMware Identity Manager met bronnen zoals Horizon 7 of gepubliceerde Citrix-bronnen niet in dit model wordt ondersteund. Alleen integratie met webapplicaties en ingebouwde mobiele applicaties wordt ondersteund. VMware, Inc. 7

8 Figuur 1 1. AirWatch Cloud Connector gebruiken Op locatie VMware Identity Manager-tenant gebruiker/groep synchroniseren gebruiker verificatie AirWatch Tenant aanvragen reactie HTTPS 443 (alleen uitgaand) AirWatch Cloud Connector Active Directory/ andere directory services Vereisten U moet over de volgende onderdelen beschikken. Een VMware Identity Manager-tenant Een Workspace ONE UEM-tenant Een AirWatch Cloud Connector-instantie die ter plekke geïmplementeerd en geïntegreerd is met uw bedrijfsdirectory Vereisten voor de poorten Voor VMware Identity Manager zijn geen aanvullende vereisten voor poorten. De VMware Identity Manager-tenant communiceert alleen met de Workspace ONE UEM-tenant. Raadpleeg de documentatie voor Workspace ONE UEM voor de vereisten voor Workspace ONE UEMimplementaties. Ondersteunde verificatiemethoden Dit implementatiemodel ondersteunt de volgende verificatiemethoden. Deze methoden zijn beschikbaar via de VMware Identity Manager ingebouwde identiteitsprovider. Wachtwoord (AirWatch Connector) Mobiele SSO (voor ios) Mobiele SSO (voor Android) VMware, Inc. 8

9 Compliance van apparaat (met AirWatch) Certificaat (cloudimplementatie) VMware Verify Daarenboven is inkomende SAML via een externe identiteitsprovider ook beschikbaar. Ondersteunde directory-integraties U kunt uw bedrijfsdirectory integreren met Workspace ONE UEM. Raadpleeg de documentatie voor Workspace ONE UEM voor de ondersteunde typen directory's. Ondersteunde bronnen U kunt de volgende typen bronnen integreren met VMware Identity Manager in dit implementatiemodel. Webapplicaties Ingebouwde mobiele applicaties U kunt de volgende bronnen niet integreren met VMware Identity Manager in dit implementatiemodel. Pools van VMware Horizon 7-, Horizon 6- of View-desktops en -applicaties Gepubliceerde Citrix-bronnen VMware Horizon Cloud Service -applicaties en -desktops Verpakte VMware ThinApp-applicaties Aanvullende informatie Zie de volgende documentatie voor aanvullende informatie. Handleiding voor het implementeren van VMware Workspace ONE Documentatie voor Workspace ONE UEM Belangrijk Het resterende gedeelte van dit document heeft geen betrekking op het Workspace ONE UEM-implementatiemodel. Het heeft alleen betrekking op implementatiemodellen die de VMware Identity Manager-connector in de alleen uitgaande modus gebruiken. Implementatiemodel met VMware Identity Manager - connector in de verbindingsmodus alleen uitgaand Om uw VMware Identity Manager-tenant zonder Workspace ONE UEM-implementatie te gebruiken, installeert u de virtual appliance van de VMware Identity Manager-connector op locatie in de alleenuitgaande verbindingsmodus. In dit model worden de synchronisatie van gebruikers en groepen vanuit uw bedrijfsdirectory en de gebruikersverificatie door de VMware Identity Manager-connector geregeld. Voor sommige verificatiemethoden is echter geen connector nodig; deze worden direct door de service beheerd. VMware, Inc. 9

10 De connector kan ook bronnen, zoals Horizon 7-bureaubladen en -applicaties, synchroniseren met de VMware Identity Manager-service. Figuur 1 2. VMware Identity Manager-connector gebruiken Op locatie 1 1 VMware Identity Manager-tenant 2 3 Websocket Kanaal aanvragen reactie HTTPS 443 (alleen uitgaand) VMware Identity Manager Connector Active Directory/ LDAP Optionele services RSA RSA Adaptieve verificatiesecurid RADIUS Server View Verbindingsservers Integration Broker Citrix Farms Vereisten voor de poorten De connector wordt geïnstalleerd in de verbindingsmodus alleen uitgaand en daarom hoeft de ingaande poort 443 niet te worden geopend. De connector communiceert met de VMware Identity Manager-service via een op een websocket gebaseerd communicatiekanaal. Zie Vereisten voor systeem- en netwerkconfiguratie voor de lijst met gebruikte poorten. Ondersteunde verificatiemethoden Dit implementatiemodel ondersteunt alle verificatiemethoden. Voor sommige van deze verificatiemethoden is geen connector vereist en deze worden direct door de service beheerd via een ingebouwde identiteitsprovider. Wachtwoord - gebruikt de connector RSA Adaptieve verificatie - gebruikt de connector RSA SecurID - gebruikt de connector RADIUS - gebruikt de connector VMware, Inc. 10

11 Certificaat (cloudimplementatie) - via de ingebouwde identiteitsprovider VMware Verify - via de ingebouwde identiteitsprovider Mobiele SSO (ios) - via de ingebouwde identiteitsprovider Mobiele SSO (Android) - via de ingebouwde identiteitsprovider Ingaande SAML via een onafhankelijke identiteitsprovider Opmerking Zie Ondersteuning voor Kerberos-verificatie toevoegen aan uw implementatie voor informatie over het gebruik van Kerberos. Ondersteunde directory-integraties U kunt de volgende typen Enterprise-directory's met VMware Identity Manager integreren. Active Directory via LDAP Active Directory, Geïntegreerde Windows-verificatie LDAP-directory Zie eerst Beperkingen van LDAP-directory-integratie wanneer u van plan bent om een LDAPdirectory te integreren. U kunt ook Just-in-Time provisioning gebruiken om gebruikers dynamisch bij aanmelding in de VMware Identity Manager-service te maken en daarbij gebruikt u SAML-asserties die door een onafhankelijke identiteitsprovider worden verzonden. Ondersteunde bronnen U kunt de volgende typen bronnen met VMware Identity Manager integreren. Webapplicaties Pools van VMware Horizon 7-, Horizon 6- of View-desktops en -applicaties Gepubliceerde Citrix-bronnen VMware Horizon Cloud Service-applicaties en -desktops Verpakte ThinApp-applicaties Aanvullende informatie Het resterende gedeelte van dit document bevat informatie over het installeren en configureren van de VMware Identity Manager-connector. De informatie is alleen van toepassing op het implementatiemodel dat de VMware Identity Manager Connector gebruikt in de verbindingsmodus alleen uitgaand. Zie ook "Gebruikersverificatie in VMware Identity Manager configureren" in de Handleiding VMware Identity Manager-beheer. VMware, Inc. 11

12 Ondersteuning voor Kerberos-verificatie toevoegen aan uw implementatie U kunt Kerberos-verificatie voor interne gebruikers, waarvoor een inkomende verbindingsmodus is vereist, toevoegen aan uw implementatie die is gebaseerd op VMware Identity Manager-connectoren met de verbindingsmodus alleen uitgaand. Dezelfde connectoren kunnen worden geconfigureerd om gebruik te maken van Kerberos-verificatie voor gebruikers die vanuit het interne netwerk komen en van een andere verificatiemethode voor gebruikers die van buiten komen. Dit kan worden bereikt door verificatiebeleidsregels te definiëren op basis van netwerkbereiken. Opmerking De manier waarop hoge beschikbaarheid van Kerberos-verificatie wordt geconfigureerd, is anders. Zie Hoofdstuk5Ondersteuning van Kerberos-verificatie aan uw VMware Identity Manager Connectorimplementatie toevoegen voor meer informatie. VMware, Inc. 12

13 Installatie van VMware Identity Manager Connector voorbereiden 2 VMware Identity Manager Connector is een virtual appliance die u op locatie implementeert in uw vsphere-omgeving. Controleer de vereisten en voer de vereiste taken uit voordat u de connector implementeert. Dit hoofdstuk omvat de volgende onderwerpen: Vereisten voor systeem- en netwerkconfiguratie Maak DNS-records en IP-adressen Implementatiecontrolelijsten Vereisten voor systeem- en netwerkconfiguratie Denk na over uw gehele implementatie, onder andere over welke bronnen u wilt integreren, en wanneer u beslissingen neemt over hardware, bronnen en netwerkvereisten. Ondersteund versies van vsphere en ESX U installeert de virtual appliance in vcenter Server. De volgende vsphere- en ESX-serverversies worden ondersteund: 5.5 en hoger 6.0 en hoger De VMware vsphere Web Client is vereist om het OVA-bestand te implementeren en op afstand toegang te krijgen tot de geïmplementeerde virtual appliance. Vereisten voor de virtual appliance van de VMware Identity Manager -connector Zorg ervoor dat u voldoet aan de vereisten voor het aantal servers en de bronnen die zijn toegewezen aan elke server. Aantal gebruikers Tot Aantal connectorservers 1 server 2 servers met load balancing 2 servers met load balancing 2 servers met load balancing 2 servers met load balancing CPU (per server) 2 CPU's 4 CPU's 4 CPU's 4 CPU's 4 CPU's VMware, Inc. 13

14 Aantal gebruikers Tot RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB Schijfruimte (per server) 60 GB 60 GB 60 GB 60 GB 60 GB Vereisten voor netwerkconfiguratie Onderdeel DNS-record en statisch IP-adres Firewallpoort Minimumvereiste Zie Maak DNS-records en IP-adressen. Zorg dat de uitgaande firewallpoort 443 van de connectorinstantie naar de URL van de VMware Identity Manager is geopend. Vereisten voor de poorten De poorten die worden gebruikt in de Connector-serverconfiguratie worden hieronder beschreven. Uw implementatie kan hiervan slechts een subreeks bevatten. Poort Source Target Beschrijving 443 Virtual appliance van connector 443 Virtual appliance van connector 443, 80 Virtual appliance van connector Host van VMware Identity Manager-service Load balancer van VMware Identity Manager-service vapp-updates.vmware.com HTTPS HTTPS Toegang tot de upgradeserver 8443 Browsers Virtual appliance van connector 443 Browsers Virtual appliance van connector HTTPS Poort voor beheerders HTTPS Deze poort is alleen vereist voor een connector die in de inkomende modus wordt gebruikt. Als Kerberos-verificatie is geconfigureerd op de connector, is deze poort vereist. 389, 636, 3268, 3269 Virtual appliance van connector 5500 Virtual appliance van connector Active Directory RSA SecurID-systeem De standaardwaarden worden weergegeven. Deze poorten kunnen worden geconfigureerd. De standaardwaarde wordt weergegeven. Deze poort kan worden geconfigureerd. VMware, Inc. 14

15 Poort Source Target Beschrijving 53 Virtual appliance van connector 88, 464, 135, 445 Virtual appliance van connector 389, 443 Virtual appliance van connector 445 Virtual appliance van connector 80, 443 Virtual appliance van connector 514 Virtual appliance van connector DNS-server Domeincontroller View-verbindingsserver VMware ThinAppopslagplaats Integration Broker-server syslog-server TCP/UDP Elke virtual appliance moet toegang hebben tot de DNSserver op poort 53 en inkomend SSH-verkeer moet zijn ingeschakeld op poort 22 TCP/UDP Toegang tot Viewverbindingsserverinstanties voor integraties van Horizon/View Toegang tot de ThinAppopslagplaats TCP Verbinding met de Integration Broker-server. De poortoptie is afhankelijk van de installatie van een certificaat op de Integration Brokerserver. UDP Voor externe Syslog-server, indien geconfigureerd Ondersteunde directory's U kunt uw bedrijfsdirectory integreren met VMware Identity Manager om gebruikers en groepen van uw bedrijfsdirectory te synchroniseren met de service. U kunt de volgende typen directory's integreren. Een Active Directory-omgeving die bestaat uit één domein van Active Directory, meerdere domeinen in één forest van Active Directory of meerdere domeinen over meerdere forests van Active Directory. VMware Identity Manager ondersteunt Active Directory in Windows 2008, 2008 R2, 2012 en 2012 R2, met het functionaliteitsniveau domein en het functionaliteitsniveau forest voor Windows 2003 en hoger. Opmerking Voor bepaalde functies is mogelijk een hoger functioneel niveau vereist. Bijvoorbeeld: als u wilt dat gebruikers de Active Directory-wachtwoorden kunnen wijzigen via Workspace ONE, moet het functionaliteitsniveau Domein Windows 2008 of hoger zijn. Een LDAP-directory Uw directory moet toegankelijk zijn voor de virtual appliance van de Connector. Opmerking U kunt ook lokale directory's maken in de VMware Identity Manager-service. VMware, Inc. 15

16 Ondersteunde webbrowsers om toegang te krijgen tot de beheerconsole De VMware Identity Manager-beheerconsole is een webapplicatie die u gebruikt om uw tenant te beheren. U kunt de Beheerconsole benaderen in de laatste versies van Mozilla Firefox, Google Chrome, Safari, Microsoft Edge en Internet Explorer 11. Opmerking In Internet Explorer 11 moet JavaScript zijn ingeschakeld en moeten cookies worden toegestaan om te kunnen verifiëren via VMware Identity Manager. Ondersteunde browsers voor toegang tot Workspace ONE-portal Eindgebruikers hebben toegang tot de Workspace ONE-portal via de volgende browsers. Mozilla Firefox (meest recente versie) Google Chrome (meest recente versie) Safari (meest recente versie) Internet Explorer 11 Microsoft Edge-browser Systeemeigen browser en Google Chrome op Android-apparaten Safari op ios-apparaten Opmerking In Internet Explorer 11 moet JavaScript zijn ingeschakeld en moeten cookies worden toegestaan om te kunnen verifiëren via VMware Identity Manager. Maak DNS-records en IP-adressen Een DNS-vermelding en een statisch IP-adres moeten beschikbaar zijn voor de virtual appliance van de Connector. Aangezien elk bedrijf zijn IP-adressen en DNS-records op een andere wijze beheert, vraagt u, voordat u met de installatie begint, om de DNS-record en de IP-adressen die u wilt gebruiken. Reverse lookup configureren is optioneel. Wanneer u reverse lookup implementeert, moet u een PTRrecord definiëren op de DNS-server, zodat de virtual appliance de juiste netwerkconfiguratie gebruikt. U kunt de volgende lijst voorbeelden van DNS-records gebruiken wanneer u uw netwerkbeheerder spreekt. Vervang de voorbeeldinformatie door informatie uit uw omgeving. Dit voorbeeld toont forward DNS-records en IP-adressen. Tabel 2 1. Voorbeelden van forward DNS-records en IP-adressen Domeinnaam Brontype IP-adres myidentitymanager.example.com De Dit voorbeeld toont reverse DNS-records en IP-adressen. VMware, Inc. 16

17 Tabel 2 2. Voorbeelden van reverse DNS-records en IP-adressen IP-adres Brontype Hostnaam PTR myidentitymanager.example.com Nadat u de configuratie van DNS hebt voltooid, controleert u of de reverse DNS-lookup goed is geconfigureerd. De opdracht host IPaddress van de virtual appliance moet bijvoorbeeld leiden tot het opzoeken van de DNS-naam. Kerberos-verificatie plannen Als u van plan bent om Kerberos-verificatie in te stellen, moet de hostnaam van de connector overeenkomen met het Active Directory-domein waaraan de connector wordt toegevoegd. Bijvoorbeeld: als het Active Directory-domein sales.example.com is, moet de hostnaam van de connector connectorhost.sales.example.com zijn. Als u geen hostnaam kunt toewijzen die overeenkomt met de structuur van het Active Directory-domein, moet u de connector en Active Directory handmatig configureren. Zie de Knowledge Base voor meer informatie. Een op Unix/Linux gebaseerde DNS-server gebruiken Als u een op Unix of Linux gebaseerde DNS-server gebruikt en van plan bent om de Connector van de toe te voegen aan het domein van Active Directory, zorgt u ervoor dat de juiste servicebronrecords (SRV) voor elke domeincontroller van Active Directory worden gemaakt. Opmerking Als u een load balancer hebt met een Virtual IP-adres (VIP) vóór de DNS-servers, houd er dan rekening mee dat VMware Identity Manager het gebruik van een VIP niet ondersteunt. U kunt meerdere DNS-servers specificeren die door een komma worden gescheiden. Implementatiecontrolelijsten U kunt de implementatiecontrolelijst gebruiken om de benodigde informatie te verzamelen om de virtual appliance van Connector te installeren. VMware, Inc. 17

18 Informatie voor Fully Qualified Domain Name (FQDN) Tabel 2 3. Informatiecontrolelijst van Fully Qualified Domain Name (FQDN) Informatie om te verzamelen FQDN van Connector Vermeld de informatie Opmerking Als u van plan bent om Kerberos-verificatie in te stellen, moet de hostnaam van de connector overeenkomen met het Active Directory-domein waaraan de connector wordt toegevoegd. Bijvoorbeeld: als het Active Directory-domein sales.example.com is, moet de hostnaam van de connector connectorhost.sales.example.com zijn. Als u geen hostnaam kunt toewijzen die overeenkomt met de structuur van het Active Directory-domein, moet u de connector en Active Directory handmatig configureren. Zie de Knowledge Base voor meer informatie. Netwerkinformatie voor de virtual appliance van de Connector Tabel 2 4. Controlelijst van netwerkinformatie Informatie om te verzamelen IP-adres Vermeld de informatie Opmerking U moet een statisch IP-adres gebruiken en dit moet een PTR hebben, evenals een A-record die is gedefinieerd in de DNS. DNS-naam voor deze virtual appliance Standaard gateway-adres Netmask of prefix Directory-informatie VMware Identity Manager ondersteunt de integratie met omgevingen van Active Directory of LDAPdirectory. Tabel 2 5. Controlelijst van domeincontroller van Active Directory Informatie om te verzamelen Vermeld de informatie Servernaam van Active Directory Domeinnaam van Active Directory Basis-DN Voor Active Directory over LDAP: de Bind-DN-gebruikersnaam en het wachtwoord Voor Active Directory met geïntegreerde Windows-verificatie: de gebruikersnaam en het wachtwoord van het account dat rechten heeft om computers aan het domein toe te voegen. VMware, Inc. 18

19 Tabel 2 6. Informatiecontrolelijst van LDAP-directoryserver Informatie om te verzamelen Vermeld de informatie Naam of IP-adres van LDAP-directoryserver Poortnummer van LDAP-directoryserver Basis-DN Bind-DN-gebruikersnaam en wachtwoord LDAP-zoekfilters voor groepsobjecten, objecten van bindingsgebruikers en gebruikersobjecten LDAP-kenmerknamen voor lidmaatschap, object-uuid en kenmerkende naam (DN) SSL-certificaten U kunt een SSL-certificaat toevoegen nadat u de virtual appliance van de Connector hebt geïmplementeerd. Tabel 2 7. Informatiecontrolelijst SSL-certificaat Informatie om te verzamelen Vermeld de informatie SSL-certificaat Privésleutel VMware, Inc. 19

20 De VMware Identity Managerconnector 3 implementeren Om de VMware Identity Manager-connector te implementeren, installeert u de virtual appliance van de connector in vcenter Server, schakelt u deze in en activeert u deze met een activeringscode die u in de VMware Identity Manager-console genereert. U kunt ook instellingen van de appliance-instellingen, zoals wachtwoorden instellen. Nadat u de Connector heeft geïnstalleerd en geconfigureerd, gaat u naar de VMware Identity Managerconsole om de verbinding met uw bedrijfsdirectory in te stellen, verificatieadapters voor de connector in te schakelen en de uitgaande modus voor de connector in te schakelen. 1 Activeringscode voor connector genereren Voordat u de VMware Identity Manager-connector installeert, meldt u zich aan op uw VMware Identity Manager-tenantbeheerconsole als lokale beheerder en genereert u een activeringscode voor de connector. Deze activeringscode wordt gebruikt om communicatie tot stand te brengen tussen uw tenant en uw connectorinstantie. 2 De virtual appliance van de connector installeren en configureren Om de connector te implementeren, installeert u de virtual appliance van de connector in vcenter Server met behulp van vsphere Web Client, schakelt u deze in en activeert u deze met de activeringscode die u in de VMware Identity Manager-console heeft gegenereerd. 3 Een directory instellen Nadat u de virtual appliance van de connector heeft geïmplementeerd, stelt u een directory in de VMware Identity Manager-console in. U kunt gebruikers en groepen in uw bedrijfsdirectory synchroniseren naar de VMware Identity Manager-service. 4 Verificatieadapters op VMware Identity Manager Connector inschakelen Er zijn diverse verificatieadapters beschikbaar voor VMware Identity Manager Connector in de uitgaande modus, zoals PasswordIdpAdapter, RSAAIdpAdapter, SecurIDAdapter en RadiusAuthAdapter. Configureer de adapters die u wilt gebruiken en schakel deze in. 5 Uitgaande modus voor VMware Identity Manager Connector inschakelen Om de verbindingsmodus alleen uitgaand voor VMware Identity Manager Connector in te schakelen, koppelt u de connector aan de ingebouwde identiteitsprovider. VMware, Inc. 20

21 Activeringscode voor connector genereren Voordat u de VMware Identity Manager-connector installeert, meldt u zich aan op uw VMware Identity Manager-tenantbeheerconsole als lokale beheerder en genereert u een activeringscode voor de connector. Deze activeringscode wordt gebruikt om communicatie tot stand te brengen tussen uw tenant en uw connectorinstantie. Voorwaarden U heeft uw VMware Identity Manager-tenantadres. Bijvoorbeeld, mycompany.vmwareidentity.com. Wanneer u uw bevestiging ontvangt, gaat u naar uw tenant-url en meldt u zich als lokale beheerder aan op de VMware Identity Manager-console met de verificatiegegevens die u heeft ontvangen. Procedure 1 Meld u aan bij de VMware Identity Manager-console. 2 Klik op Accepteren om de algemene voorwaarden te accepteren. 3 Klik op het tabblad Identiteits- en toegangsbeheer. 4 Klik op Installatie. 5 Op de pagina Connectoren klikt u op Connectoren toevoegen. 6 Voer een naam in voor de Connector. 7 Klik op Activeringscode genereren. De activeringscode wordt op de pagina weergegeven. VMware, Inc. 21

22 8 Kopieer de activeringscode en sla deze op. U heeft de activeringscode later nodig wanneer u de connector implementeert. U kunt de virtual appliance van de connector nu installeren. De virtual appliance van de connector installeren en configureren Om de connector te implementeren, installeert u de virtual appliance van de connector in vcenter Server met behulp van vsphere Web Client, schakelt u deze in en activeert u deze met de activeringscode die u in de VMware Identity Manager-console heeft gegenereerd. Voorwaarden Download het OVA-bestand van de connector via de VMware Identity Manager-productpagina op my.vmware.com. Open de vsphere Web Client in Firefox of Chrome. Implementeer het OVA-bestand niet met behulp van Internet Explorer. VMware, Inc. 22

23 Zoek de DNS-records en de hostnaam die u voor uw appliance wilt gebruiken. Opmerking Als u van plan bent om Kerberos-verificatie in te stellen, moet de hostnaam van de connector overeenkomen met het Active Directory-domein waaraan de connector wordt toegevoegd. Bijvoorbeeld: als het Active Directory-domein sales.example.com is, moet de hostnaam van de connector connectorhost.sales.example.com zijn. Als u geen hostnaam kunt toewijzen die overeenkomt met de structuur van het Active Directorydomein, moet u de connector en Active Directory handmatig configureren. Zie de Knowledge Base voor meer informatie. Procedure 1 Klik in de vsphere Web Client met de rechtermuisknop op elk inventarisobject waarin een virtual machine kan worden geïmplementeerd, zoals een host, cluster of map, en selecteer OVF-sjabloon implementeren. 2 Volg de wizard OVF-sjabloon implementeren om de VMware Identity Manager-connectorsjabloon te implementeren. a b c d e f Selecteer Lokaal bestand op de pagina Sjabloon selecteren, klik op Bladeren om het gedownloade OVA-bestand voor de connector te selecteren en klik op Volgende. Voer op de pagina Naam en locatie selecteren een unieke naam in voor de virtual appliance van de connector, selecteer een datacenter of map als de implementatielocatie en klik op Volgende. Selecteer op de pagina Een bron selecteren de host, het cluster, de resourcepool of vapp waar u de virtual appliance van de connector wilt uitvoeren en klik op Volgende. Bekijk de gegevens van de connectorsjabloon op de pagina Details controleren en klik op Volgende. Lees en accepteer de licentieovereenkomst op de pagina Licentieovereenkomsten accepteren en klik vervolgens op Volgende. Selecteer op de pagina Opslag selecteren de gegevensopslag of het gegevensopslagcluster waarin u de bestanden van de virtual appliance wilt opslaan en klik vervolgens op Volgende. Selecteer de indeling van de virtuele disk voor de bestanden. Selecteer voor productieomgevingen een Thick Provision-indeling. Gebruik de indeling Thin Provision voor evaluaties en tests. g Selecteer het doelnetwerk waarmee u de virtual appliance van de connector wilt verbinden, en klik vervolgens op Volgende. VMware, Inc. 23

24 h Stel de applicatie- en netwerkeigenschappen in op de pagina Sjabloon aanpassen. Optie Eigenschappen voor de applicatie Beschrijving Deelnemen aan het VMware Customer Experience Improvement Program Dit product neemt deel aan het Customer Experience Improvement Program (CEIP) van VMware. Gedetailleerde informatie over de gegevens die worden verzameld via het CEIP en de doelen waarvoor deze gegevens worden gebruikt door VMware, vindt u in het Trust & Assurance Center op Als u niet wilt deelnemen aan het CEIP van VMware voor dit product, schakelt u het vakje uit. U kunt het CEIP op elk gewenst moment na de installatie verlaten en ook altijd opnieuw deelnemen aan het programma. Opmerking Als uw netwerk is geconfigureerd voor toegang tot internet via HTTP-proxy, om de gegevens die via het CEIP worden verzameld naar VMware te verzenden, moet u de proxyinstellingen op de virtual appliance van de connector aanpassen. U kunt de proxy-instellingen wijzigen als u de connector hebt geïmplementeerd. Opmerking Het CEIP is alleen van toepassing op installaties van VMware Identity Manager op locatie. Selecteer de gewenste opties wanneer u de VMware Identity Manager-service installeert. U kunt na de installatie op elk gewenst moment deelnemen aan het CEIP of het programma verlaten via de beheerconsole. Tijdzone-instelling Selecteer de juiste tijdzone. Netwerkeigenschappen Voer de waarden voor DNS, Standaardgateway, IP-adres en Netmasker in om het statische IP-adres van de connector te configureren. Als u een van deze vier adresvelden niet invult of geen hostnaam opgeeft, wordt DHCP gebruikt. Voer de volledig gekwalificeerde hostnaam voor de virtual appliance in het tekstvak Hostnaam (FQDN) in voor gebruik voor de virtual appliance van de connector. Als dit vak leeg is, wordt de hostnaam opgezocht via een omgekeerde DNS-zoekactie. i Controleer de geselecteerde opties op de pagina Klaar om te voltooien, maak zo nodig aanpassingen en klik op Voltooien. De implementatie kan, afhankelijk van de netwerksnelheid, enige minuten duren. 3 Wanneer de implementatie is voltooid en de virtual appliance van de connector wordt weergegeven onder het inventarisobject waarin u deze hebt geïmplementeerd, klikt u met de rechtermuisknop op de virtual appliance van de connector en selecteert u Energie > Inschakelen. De virtual appliance van de connector wordt geïnitialiseerd. U kunt naar het tabblad Samenvatting gaan en op de console van de virtual appliance klikken om de details weer te geven. Wanneer de initialisatie van de virtual appliance is voltooid, geeft de console de connectorversie en de URL voor de installatiewizard weer. 4 Om de installatiewizard uit te voeren, verwijst u uw browser naar de URL van de connector die wordt weergegeven in de console van de virtual appliance, VMware, Inc. 24

25 5 Klik op Doorgaan op de welkomstpagina. 6 Maak sterke wachtwoorden voor de volgende beheerderaccounts voor de virtual appliance van Connector. Sterke wachtwoorden moeten minstens acht tekens lang zijn en bestaan uit een combinatie van hoofdletters en kleine letters en minstens één cijfer of speciaal teken. Optie Appliancebeheerder Beschrijving Maak het wachtwoord voor de appliancebeheerder. De gebruikersnaam is admin. U kunt deze naam niet wijzigen. Meld u met dit account en wachtwoord aan bij de Connector-services om certificaten, appliancewachtwoorden en systeemlogboekconfiguratie te beheren. Belangrijk Het wachtwoord voor de beheerdersgebruiker moet minstens zes tekens lang zijn. Rootaccount sshuser-account De Connector-appliance is geïnstalleerd op basis van een standaardrootwachtwoord van VMware. Maak een nieuw rootwachtwoord. Maak het wachtwoord voor de externe toegang tot de connectorappliance. 7 Klik op Doorgaan. 8 Plak de activeringscode op de pagina Connector activeren en klik op Doorgaan. De activeringscode wordt gecontroleerd en de communicatie tussen de VMware Identity Managerservice en uw Connector -instantie wordt tot stand gebracht. De installatie van Connector is voltooid. Wat nu te doen Klik op de koppeling op de pagina 'Installatie is voltooid' om naar de VMware Identity Manager-console te gaan. Meld u aan met de tijdelijke gebruikersnaam en het wachtwoord van de beheerder die u voor uw tenant hebt ontvangen. Stel dan de directoryverbinding in. Een directory instellen Nadat u de virtual appliance van de connector heeft geïmplementeerd, stelt u een directory in de VMware Identity Manager-console in. U kunt gebruikers en groepen in uw bedrijfsdirectory synchroniseren naar de VMware Identity Manager-service. VMware Identity Manager biedt ondersteuning voor de integratie van de volgende directorytypen. Active Directory via LDAP Active Directory, Geïntegreerde Windows-verificatie LDAP-directory VMware, Inc. 25

26 Raadpleeg Hoofdstuk6Uw bedrijfsdirectory integreren met VMware Identity Manager voor meer informatie. Opmerking U kunt ook lokale directory's maken in de VMware Identity Manager-service. Zie Hoofdstuk7Lokale directory's gebruiken. Procedure 1 Klik op de koppeling op de pagina Instellen is voltooid. Deze pagina wordt weergegeven zodra u de connector hebt geactiveerd. Het tabblad Identiteits- en toegangsbeheer > Directory's wordt weergegeven. 2 Klik op Directory toevoegen en selecteer het directorytype dat u wilt toevoegen. 3 Volg de wizard om de configuratiegegevens van de directory in te voeren, selecteer de groepen en gebruikers die u wilt synchroniseren en synchroniseer gebruikers met de VMware Identity Managerservice. Raadpleeg Hoofdstuk6Uw bedrijfsdirectory integreren met VMware Identity Manager voor meer informatie over het instellen van een directory. Wat nu te doen Klik op het tabblad Gebruikers en groepen en controleer of gebruikers zijn gesynchroniseerd. Verificatieadapters op VMware Identity Manager Connector inschakelen Er zijn diverse verificatieadapters beschikbaar voor VMware Identity Manager Connector in de uitgaande modus, zoals PasswordIdpAdapter, RSAAIdpAdapter, SecurIDAdapter en RadiusAuthAdapter. Configureer de adapters die u wilt gebruiken en schakel deze in. Toen u de directory hebt gemaakt, is de verificatiemethode Wachtwoord automatisch ingeschakeld. PasswordIdpAdapter is geconfigureerd met de informatie die u voor de directory hebt opgegeven. Procedure 1 Klik in de VMware Identity Manager-console op het tabblad Identiteits- en toegangsbeheer. 2 Klik op Installatie en klik dan op het tabblad Connectoren. De connector die u heeft geïmplementeerd, wordt vermeld. 3 Klik op de koppeling in de kolom Werker. 4 Klik op het tabblad Verificatieadapters. Alle beschikbare verificatieadapters voor de connector worden vermeld. Wanneer u al een directory hebt ingesteld, is de PasswordIdpAdapter al geconfigureerd en ingeschakeld met de configuratie-informatie die u heeft gespecificeerd toen u de directory maakte. VMware, Inc. 26

27 5 Configureer de verificatieadapters die u wilt gebruiken en schakel deze in door op de koppeling voor elke verificatieadapter te klikken en de configuratie-informatie in te voeren. U moet minimaal één verificatieadapter inschakelen. Raadpleeg de Handleiding VMware Identity Manager-beheer voor informatie over het configureren van specifieke verificatieadapters. Bijvoorbeeld: VMware, Inc. 27

28 Uitgaande modus voor VMware Identity Manager Connector inschakelen Om de verbindingsmodus alleen uitgaand voor VMware Identity Manager Connector in te schakelen, koppelt u de connector aan de ingebouwde identiteitsprovider. De ingebouwde identiteitsprovider is standaard beschikbaar in de VMware Identity Manager-service en biedt aanvullende ingebouwde verificatiemethoden, zoals VMware Verify. Zie de Handleiding VMware Identity Manager-beheer voor informatie over de ingebouwde identiteitsprovider. Opmerking De connector kan tegelijk worden gebruikt in de uitgaande en de reguliere modus. Zelfs als u de uitgaande modus inschakelt, kunt u nog steeds Kerberos-verificatie voor interne gebruikers configureren met verificatiemethoden en beleid. Procedure 1 Selecteer in de VMware Identity Manager-console het tabblad Identiteits- en toegangsbeheer en klik vervolgens op Beheren. 2 Klik op het tabblad Identiteitsproviders. 3 Klik op de koppeling Ingebouwd. 4 Geef de volgende informatie op. Optie Gebruikers Netwerk Connector(en) Beschrijving Selecteer de directory of de domeinen die de ingebouwde identiteitsprovider gaan gebruiken. Selecteer de netwerkbereiken die de ingebouwde identiteitsprovider gaan gebruiken. Selecteer de connector die u heeft ingesteld. Opmerking Op een later moment, wanneer u extra connectoren voor hoge beschikbaarheid toevoegt, selecteert u deze en voegt u deze hier allemaal toe om ze te koppelen aan de ingebouwde identiteitsprovider. VMware Identity Manager verdeelt het verkeer automatisch tussen alle connectoren die aan de ingebouwde identiteitsprovider gekoppeld zijn. Een load balancer is niet vereist. Verificatiemethoden voor connector De implementatiemethoden die u voor de connector heeft ingeschakeld, worden weergegeven. Selecteer de verificatiemethoden die u wilt gebruiken. De PasswordIdpAdapter, die automatisch geconfigureerd en ingeschakeld is toen u een directory aanmaakte, wordt op deze pagina weergegeven als Wachtwoord (cloud geïmplementeerd), en dit geeft aan dat deze wordt gebruikt met de connector in de uitgaande modus. Bijvoorbeeld: VMware, Inc. 28

29 5 Klik op Opslaan om de configuratie van de ingebouwde identiteitsprovider op te slaan. 6 Bewerk beleidsregels om de verificatiemethoden die u heeft ingeschakeld te gebruiken. a b c d Klik in het tabblad Identiteits- en toegangsbeheer op Beheren. Klik op het tabblad Beleid en klik op het beleid dat u wilt bewerken. Onder Beleidsregels klikt u voor de regel die u wilt bewerken op de koppeling in de kolom Verificatiemethode. Op de pagina Beleidsregel bewerken selecteert u de verificatiemethode die u voor deze regel wilt gebruiken. VMware, Inc. 29

30 e f Klik op OK. Klik op Opslaan. Raadpleeg de Handleiding VMware Identity Manager-beheer voor meer informatie over het configureren van beleid. De uitgaande modus van de connector is nu ingeschakeld. Wanneer een gebruiker zich aanmeldt via een van de verificatiemethoden die u heeft ingeschakeld voor de connector op de pagina van de ingebouwde identiteitsprovider, is een HTTP-omleiding naar de connector niet vereist. VMware, Inc. 30

31 Hoge beschikbaarheid voor VMware Identity Manager Connector configureren 4 U kunt VMware Identity Manager Connector instellen voor hoge beschikbaarheid en failover door meerdere connectorinstanties in een cluster toe te voegen. Als een van de connectorinstanties om wat voor reden dan ook niet beschikbaar is, zijn andere instanties wel beschikbaar. Als u een cluster wilt maken, installeert u een nieuwe connectorinstantie en configureert u deze op exact dezelfde wijze als de eerste connector. U koppelt dan alle connectorinstanties aan de ingebouwde identiteitsprovider. De VMware Identity Manager-service verdeelt het verkeer automatisch tussen alle connectoren die aan de ingebouwde identiteitsprovider gekoppeld zijn. Een load balancer is niet vereist. Als een van de connectoren door een netwerkprobleem niet beschikbaar is, leidt de service er geen verkeer naar toe. Wanneer de verbinding is hersteld, leidt de service weer verkeer naar de connector. Wanneer u de connectorcluster heeft ingesteld, zijn de verificatiemethoden die u op de connector heeft ingesteld, hoog zichtbaar. Als een van de connectorinstanties niet beschikbaar is, is verificatie nog steeds beschikbaar. Voor het synchroniseren van de directory moet u echter, in geval van een fout van de connectorinstantie, handmatig een andere connectorinstantie selecteren als de synchronisatieconnector. Directorysynchronisatie kan slechts voor één connector tegelijk worden ingeschakeld. Opmerking Dit gedeelte geldt niet voor hoge beschikbaarheid van Kerberos-verificatie. Zie Hoofdstuk5Ondersteuning van Kerberos-verificatie aan uw VMware Identity Manager Connectorimplementatie toevoegen. Dit hoofdstuk omvat de volgende onderwerpen: Extra connectorinstanties installeren Hoge beschikbaarheid configureren voor verificatie Synchronisatie van directory's inschakelen op een andere connector in geval van een fout Extra connectorinstanties installeren Nadat u de eerste connectorinstantie hebt geïnstalleerd en geconfigureerd, kunt u extra connectors toevoegen voor hoge beschikbaarheid. Installeer nieuwe virtual appliances van de connector en configureer ze net als de eerste connectorinstantie. VMware, Inc. 31

32 Voorwaarden U heeft de eerste connectorinstantie geïnstalleerd en geconfigureerd zoals beschreven in Hoofdstuk3De VMware Identity Manager-connector implementeren. Procedure 1 Volg deze instructies om een nieuwe connectorinstantie te installeren en te configureren. Activeringscode voor connector genereren De virtual appliance van de connector installeren en configureren 2 Koppel de nieuwe connector aan de WorkSpaceIDP van de eerste connectorinstantie. a b c d e In de beheerconsole selecteert u het tabblad Identiteits- en toegangsbeheer en selecteert u vervolgens het tabblad Identiteitsprovider. Zoek op de pagina Identiteitsprovider de WorkspaceIDP van de eerste connectorinstantie en klik op de koppeling. Selecteer de nieuwe connector in het veld Connector(s). Voer het Bind DN-wachtwoord in en klik op Connector toevoegen. Klik op Opslaan. 3 Wanneer u in de eerste connectorinstantie was toegevoegd aan een Active Directory-domein, moet u zich ook toevoegen aan het domein in de nieuwe connectorinstantie. a Klik in het tabblad Identiteits- en toegangsbeheer op Installatie. De nieuwe connectorinstantie wordt vermeld op de pagina Connectoren. b Klik op Aan domein toevoegen naast de nieuwe connector en geef de informatie over het domein op. Opmerking Voer de volgende acties uit voor directory's van het type Integrated Windows Authentication (IWA). a Voeg de nieuwe connectorinstantie toe aan het domein waaraan de IWA-directory in de oorspronkelijke connectorinstantie was toegevoegd. 1 Selecteer het tabblad Identiteits- en toegangsbeheer en klik vervolgens op Installatie. De nieuwe connectorinstantie wordt vermeld op de pagina Connectoren. 2 Klik op Aan domein toevoegen en geef de informatie over het domein op. b Sla de configuratie van de IWA-directory op. 1 Selecteer het tabblad Identiteits- en toegangsbeheer. 2 Klik op de Directorypagina op de link IWA-directory. 3 Klik op Opslaan om de configuratie van de directory op te slaan. VMware, Inc. 32

33 4 Configureer de verificatieadapters op de nieuwe connector en schakel deze in. Belangrijk Verificatieadapters op alle connectoren in uw cluster moeten identiek zijn geconfigureerd. Op alle connectoren moeten dezelfde verificatiemethoden ingeschakeld zijn. a b c Klik in het tabblad Identiteits- en toegangsbeheer op Installatie en klik dan op het tabblad Connectoren. Klik op de koppeling in de kolom Werker van de nieuwe connector. Klik op het tabblad Verificatieadapters. Alle beschikbare verificatieadapters voor de connector worden vermeld. De PasswordIdpAdapter is al geconfigureerd en ingeschakeld omdat u de nieuwe connector heeft gekoppeld aan de directory die is gekoppeld is aan de eerste connector. d Configureer de andere verificatieadapters op dezelfde manier als de eerste connector en schakel deze op dezelfde manier in. Zorg ervoor dat de configuratie-informatie identiek is. Raadpleeg de Handleiding VMware Identity Manager-beheer voor informatie over het configureren van verificatieadapters. Wat nu te doen Hoge beschikbaarheid configureren voor verificatie Hoge beschikbaarheid configureren voor verificatie Nadat de nieuwe VMware Identity Manager Connector-instanties zijn geïmplementeerd en geconfigureerd, configureert u hoge beschikbaarheid voor de verificatie door de nieuwe instanties toe te voegen aan de ingebouwde identiteitsprovider en dezelfde verificatiemethoden in te schakelen als op de eerste instantie van de connector. VMware Identity Manager verdeelt het verkeer automatisch tussen alle connectoren die aan de ingebouwde identiteitsprovider gekoppeld zijn. Procedure 1 Klik in de beheerconsole voor VMware Identity Manager op het tabblad Identiteits- en toegangsbeheer op Beheren. 2 Klik op het tabblad Identiteitsproviders. 3 Klik op de koppeling Ingebouwd. 4 Selecteer in het veld Connector(s) de nieuwe connector in het vervolgkeuzemenu en klik op Connector toevoegen. VMware, Inc. 33

34 5 Schakel in het gedeelte Verificatiemethoden voor connector dezelfde verificatiemethoden in als die u voor de eerste connector ingeschakeld hebt. De verificatiemethode Wachtwoord (cloudimplementatie) wordt automatisch geconfigureerd en ingeschakeld. U moet de andere verificatiemethoden inschakelen. Belangrijk Verificatieadapters op alle connectoren in uw cluster moeten identiek zijn geconfigureerd. Op alle connectoren moeten dezelfde verificatiemethoden ingeschakeld zijn. Zie Beheer VMware Identity Manager voor informatie over het configureren van specifieke verificatieadapters. 6 Klik op Opslaan om de configuratie van de ingebouwde identiteitsprovider op te slaan. Synchronisatie van directory's inschakelen op een andere connector in geval van een fout In het geval dat er fouten optreden met een connectorinstantie, wordt de verificatie automatisch afgehandeld door een andere connectorinstantie. Voor het synchroniseren van directory's moet u de directory-instellingen in de VMware Identity Manager-service wijzigen om een andere connectorinstantie te kunnen gebruiken, in plaats van de oorspronkelijke connectorinstantie. De synchronisatie van directory's kan slechts voor één connector per keer worden ingeschakeld. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Klik op het tabblad Identiteits- en toegangsbeheer en klik vervolgens op Directory's. 3 Klik op de directory die is gekoppeld aan de oorspronkelijke connectorinstantie. Tip U kunt deze informatie bekijken op de pagina Installatie > Connectoren. 4 In het gedeelte Directorysynchronisatie en -verificatie van de pagina met directory's selecteert u in het vervolgkeuzemenu Synchronisatieconnector een andere connectorinstantie. 5 In het veld Wachtwoord Bind-DN geeft u het wachtwoord van uw Active Directory-bindingsaccount op. 6 Klik op Opslaan. VMware, Inc. 34

35 Ondersteuning van Kerberosverificatie aan uw VMware Identity Manager Connector - implementatie toevoegen 5 U kunt Kerberos-verificatie voor interne gebruikers, waarvoor een inkomende verbindingsmodus is vereist, toevoegen aan uw implementatie van connectoren met een uitgaande verbindingsmodus. Dezelfde connectoren kunnen worden geconfigureerd om gebruik te maken van Kerberos-verificatie voor gebruikers die vanuit het interne netwerk komen, en van een andere verificatiemethode voor gebruikers van het externe netwerk. Dit kan worden bereikt door verificatiebeleidsregels te definiëren op basis van netwerkbereiken. Vereisten en overwegingen zijn onder meer: Kerberos-verificatie kan worden geconfigureerd ongeacht het type directory dat u in VMware Identity Manager, Active Directory via LDAP of Active Directory (geïntegreerde Windows-verificatie) instelt. De connector moet worden gekoppeld aan het domein Active Directory. De hostnaam van de connector moet overeenkomen met het Active Directory-domein waaraan de connector is toegevoegd. Bijvoorbeeld: als het Active Directory-domein sales.example.com is, moet de hostnaam van de connector connectorhost.sales.example.com zijn. Als u geen hostnaam kunt toewijzen die overeenkomt met de structuur van het Active Directorydomein, moet u de connector en Active Directory handmatig configureren. Zie de Knowledge Base voor meer informatie. Elke connector waarop Kerberos-verificatie is geconfigureerd, moet een vertrouwd SSL-certificaat hebben. U kunt het certificaat verkrijgen van uw interne certificaatautoriteit. Kerberos-verificatie werkt niet met automatisch ondertekende certificaten. Vertrouwde SSL-certificaten zijn vereist, ongeacht of u Kerberos inschakelt op een afzonderlijke connector of op meerdere connectoren voor hoge beschikbaarheid. Om hoge beschikbaarheid voor Kerberos-verificatie in te stellen, is een load balancer vereist. Dit hoofdstuk omvat de volgende onderwerpen: Kerberos-verificatieadapter configureren en inschakelen Hoge beschikbaarheid voor Kerberos-verificatie configureren VMware, Inc. 35

36 Kerberos-verificatieadapter configureren en inschakelen Configureer KerberosIdpAdapter op VMware Identity Manager Connector en schakel deze in. Wanneer u een cluster voor hoge beschikbaarheid hebt geïmplementeerd, configureert u de adapter en schakelt u deze in op alle connectoren in uw cluster. Belangrijk Verificatieadapters op alle connectoren in uw cluster moeten identiek zijn geconfigureerd. Op alle connectoren moeten dezelfde verificatiemethoden worden geconfigureerd. Raadpleeg de Handleiding VMware Identity Manager-beheer voor informatie over het configureren van Kerberos-verificatie. Voorwaarden De connector moet worden gekoppeld aan het domein Active Directory. De hostnaam van de connector moet overeenkomen met het Active Directory-domein waaraan de connector is toegevoegd. Bijvoorbeeld: als het Active Directory-domein sales.example.com is, moet de hostnaam van de connector connectorhost.sales.example.com zijn. Als u geen hostnaam kunt toewijzen die overeenkomt met de structuur van het Active Directorydomein, moet u de connector en Active Directory handmatig configureren. Zie de Knowledge Base voor meer informatie. Procedure 1 Klik in de VMware Identity Manager-beheerconsole op het tabblad Identiteits- en toegangsbeheer. 2 Klik op Installatie en klik dan op het tabblad Connectoren. Alle connectoren die u hebt geïmplementeerd worden weergegeven. 3 Klik op de koppeling in de kolom Werker van een van de connectoren. 4 Klik op het tabblad Verificatieadapters. 5 Klik op de koppeling KerberosIdpAdapter en configureer de adapter en schakel deze in. Optie Naam Directory-UID-kenmerk Windows-verificatie inschakelen NTLM inschakelen Beschrijving De standaardnaam van de adapter is KerberosIdpAdapter. U kunt deze naam wijzigen. Het accountkenmerk dat de gebruikersnaam bevat. Selecteer deze optie. U hoeft deze optie alleen te selecteren wanneer uw Active Directory-infrastructuur van NTLM-verificatie afhankelijk is. Opmerking Deze optie wordt alleen ondersteund op Linux-gebaseerde VMware Identity Manager. VMware, Inc. 36

37 Optie Omleiden inschakelen Hostnaam doorverwijzen Beschrijving Selecteer deze optie en geef een waarde op voor Hostnaam omleiden wanneer u meerdere connectoren in een cluster hebt en van plan bent om Kerberos-hoge beschikbaarheid in te stellen met behulp van een load balancer. Wanneer uw implementatie slechts één connector heeft, hoeft u de opties Omleiden inschakelen en Hostnaam omleiden niet te gebruiken. Wanneer de optie Omleiden inschakelen is geselecteerd, is een waarde vereist. Voer de eigen hostnaam van de connector in. Wanneer de hostnaam van de connector bijvoorbeeld connector1.voorbeeld.com is, voert u connector1.voorbeeld.com in het tekstvak in. Bijvoorbeeld: Raadpleeg de Handleiding VMware Identity Manager-beheer voor informatie over het configureren van de KerberosIdPAdapter. 6 Klik op Opslaan. 7 Wanneer u een cluster hebt geïmplementeerd, configureert u de KerberosIdPAdapter op alle connectoren in uw cluster. Zorg ervoor dat u de adapter identiek configureert op alle connectoren, met uitzondering van de waarde voor Hostnaam doorverwijzen, die specifiek moet zijn voor elke connector. Wat nu te doen Zorg ervoor dat elke connector waarop de KerberosIdpAdapter is ingeschakeld, een vertrouwd SSLcertificaat heeft. U kunt het certificaat verkrijgen van uw interne certificaatautoriteit. Kerberosverificatie werkt niet met automatisch ondertekende certificaten. Vertrouwde SSL-certificaten zijn vereist, ongeacht of u Kerberos inschakelt op een afzonderlijke connector of op meerdere connectoren voor hoge beschikbaarheid. Stel indien nodig hoge beschikbaarheid in voor Kerberos-verificatie. Kerberos-verificatie is niet maximaal beschikbaar zonder een load balancer. VMware, Inc. 37

38 Hoge beschikbaarheid voor Kerberos-verificatie configureren Om hoge beschikbaarheid voor Kerberos-verificatie te configureren, installeert u een load-balancer in uw interne netwerk binnen de firewall en voegt u VMware Identity Manager Connector-instanties hieraan toe. U moet ook bepaalde instellingen op de load-balancer configureren, SSL-vertrouwen tot stand brengen tussen de load-balancer en de connector, en de URL voor connectorverificatie wijzigen zodat de hostnaam van de load-balancer wordt gebruikt. Load balancer-instellingen configureren U moet bepaalde instellingen op de load balancer configureren, zoals de time-out van de load balancer juist instellen en sticky-sessies inschakelen. Configureer deze instellingen. Time-out van load-balancer Voor een juiste werking van de VMware Identity Manager Connector moet u de standaardtime-out voor load-balancer-verzoeken verhogen. De waarde is ingesteld in minuten. Als de time-out te kort is ingesteld, wordt wellicht de volgende fout weergegeven. 502-fout: De service is momenteel niet beschikbaar Sticky-sessies inschakelen U moet de instelling voor sticky-sessies inschakelen op de load-balancer als uw implementatie meerdere connectorinstanties heeft. De load-balancer bindt vervolgens de sessie van een gebruiker aan een specifieke connectorinstantie. Het basiscertificaat van VMware Identity Manager Connector toepassen op de load-balancer Wanneer VMware Identity Manager Connector is geconfigureerd achter een load-balancer, moet u SSLvertrouwen tot stand brengen tussen de load-balancer en de connector. Het basiscertificaat van Connector moet worden gekopieerd naar de load-balancer als een vertrouwd basiscertificaat. Het certificaat van VMware Identity Manager Connector kan worden gedownload vanaf de beheerpagina's van de connector op Wanneer de domeinnaam van de connector naar de load-balancer wijst, kan het SSL-certificaat uitsluitend worden toegepast op de load-balancer. Procedure 1 Meld u aan bij de beheerpagina's van de connector via als de admingebruiker. 2 Selecteer SSL-certificaten installeren. VMware, Inc. 38

39 3 Klik in het tabblad Servercertificaat op de koppeling in het veld Automatisch ondertekende root- CA-certificaten van appliance. 4 Kopieer alles tussen en inclusief de regels -----BEGIN CERTIFICATE----- en -----END CERTIFICATE----- en plak het basiscertificaat op de juiste locatie op elk van uw load-balancers. Raadpleeg de documentatie over de load-balancer. Wat nu te doen Kopieer het basiscertificaat van de load-balancer en plak dit in VMware Identity Manager Connector. Basiscertificaat van load-balancer toepassen op VMware Identity Manager Connector Wanneer VMware Identity Manager Connector is geconfigureerd achter een load-balancer, moet u vertrouwen tot stand brengen tussen de load-balancer en de connector. Naast het kopiëren van het rootcertificaat van de connector naar de load-balancer, moet u het rootcertificaat van de load-balancer kopiëren naar de connector. Procedure 1 Basiscertificaat van load-balancer verkrijgen 2 Ga naar de beheerpagina's van VMware Identity Manager Connector via /cfg/login en meld u aan als de admingebruiker. 3 Selecteer het tabblad SSL-certificaten installeren > Vertrouwde CA's. VMware, Inc. 39

40 4 Plak de tekst van het certificaat van de load balancer in het tekstvak Root- of tussencertificaat. 5 Klik op Toevoegen. IdP-hostnaam van de connector wijzigen in de hostnaam van de load balancer Nadat u de instanties van VMware Identity Manager Connector aan de load-balancer hebt toegevoegd, moet u de IdP-hostnaam op de Workspace IdP van elke connector wijzigen in de hostnaam van de loadbalancer. Voorwaarden De connectorinstanties zijn geconfigureerd achter een load-balancer. Zorg ervoor dat de poort van de load-balancer 443 is. Gebruik niet het poortnummer 8443 omdat dit het nummer van de beheerspoort is. Procedure 1 Meld u aan op de beheerconsole van VMware Identity Manager. 2 Klik op het tabblad Identiteits- en toegangsbeheer. 3 Klik op het tabblad Identiteitsproviders. 4 Klik in de pagina Identiteitsproviders op de koppeling Workspace IdP voor de connectorinstantie. 5 Wijzig in het tekstvak IdP-hostnaam de hostnaam van de connector in de hostnaam van de loadbalancer. Wanneer bijvoorbeeld de hostnaam van uw connector myconnector is en de hostnaam van uw loadbalancer mylb is, wijzigt u de URLmyconnector.mycompany.com:poort VMware, Inc. 40

41 als volgt: mylb.mycompany.com:poort VMware, Inc. 41

42 Uw bedrijfsdirectory integreren 6 met VMware Identity Manager U kunt uw bedrijfsdirectory integreren met VMware Identity Manager om gebruikers en groepen van uw bedrijfsdirectory te synchroniseren met de VMware Identity Manager-service. De volgende typen directory's worden ondersteund. Active Directory via LDAP Active Directory, Geïntegreerde Windows-verificatie LDAP-directory Voer de volgende taken uit om te integreren met uw bedrijfsdirectory. Specificeer de kenmerken voor de gebruikers in de VMware Identity Manager-service. Maak een map aan in de VMware Identity Manager-service en gebruik daarvoor hetzelfde type map dat uw Enterprise directory heeft en specificeer de informatie over de verbinding. Wijs de VMware Identity Manager-kenmerken toe aan de kenmerken die worden gebruikt in uw Active Directory of in de LDAP-directory. Specificeer de gebruikers en groepen die u wilt synchroniseren. Synchroniseer gebruikers en groepen. Wanneer u uw Enterprise directory hebt geïntegreerd en de eerste synchronisatie hebt uitgevoerd, kunt u de configuratie bijwerken, een synchronisatieschema instellen om regelmatig te synchroniseren, of op een willekeurig moment een synchronisatie starten. Dit hoofdstuk omvat de volgende onderwerpen: Belangrijke concepten met betrekking tot de integratie van directory's Met Active Directory integreren Met LDAP-directory's integreren Een directory toevoegen na configureren van failover en redundantie Belangrijke concepten met betrekking tot de integratie van directory's Bepaalde concepten maken integraal deel uit van begrijpen hoe de VMware Identity Manager-service kan worden geïntegreerd in de omgeving van uw Active Directory of LDAP-directory. VMware, Inc. 42

43 VMware Identity Manager Connector VMware Identity Manager Connector is een lokaal onderdeel dat u kunt implementeren binnen het netwerk van uw organisatie. De Connector voert de volgende functies uit. De gebruikers- en groepsgegevens van uw Active Directory of LDAP-directory worden met de VMware Identity Manager-service gesynchroniseerd. Als deze wordt gebruikt als een identiteitsprovider, verifieert deze gebruikers naar de VMware Identity Manager-service. De Connector is de standaardidentiteitsprovider. U kunt ook identiteitsproviders van derden gebruiken die het SAML 2.0-protocol ondersteunen. Gebruik een externe identiteitsprovider voor een verificatietype dat niet door de Connector wordt ondersteund of als de externe identiteitsprovider de voorkeur heeft op basis van het beveiligingsbeleid van uw bedrijf. Opmerking Als u identiteitsproviders van derden gebruikt, kunt u de Connector configureren om gegevens van gebruikers en groepen te synchroniseren of u kunt Just-in-Time-gebruikersprovisioning configureren. Raadpleeg het gedeelte Just-in-Time-gebruikers-provisioning in VMware Identity Manager-beheer voor meer informatie. Directory De VMware Identity Manager-service heeft een eigen concept van een directory, die overeenkomt met de Active Directory of LDAP-directory in uw omgeving. Deze directory maakt gebruik van kenmerken om gebruikers en groepen te definiëren. U maakt één of meer directory's in de service en vervolgens synchroniseert u deze directory's met uw Active Directory of LDAP-directory. U kunt de volgende directorytypen maken in de service. Active Directory Active Directory via LDAP. Maak dit directorytype als u verbinding wilt maken met één Active Directory-domeinomgeving. Voor het directorytype Active Directory via LDAP verbindt de Connector met Active Directory met behulp van eenvoudige bindingsverificatie. Active Directory, Geïntegreerde Windows-verificatie. Maak dit directorytype als u verbinding wilt maken met een Active Directory-omgeving met meerdere domeinen of meerdere forests. De Connector verbindt met Active Directory met behulp van Geïntegreerde Windows-verificatie. Het type en het aantal directory's dat u maakt, is afhankelijk van uw Active Directory-omgeving, zoals één domein of meerdere domeinen, en van het vertrouwenstype dat tussen de domeinen wordt gebruikt. In de meeste omgevingen maakt u één directory. LDAP-directory De service heeft geen rechtstreekse toegang tot uw Active Directory of LDAP-directory. Alleen de Connector heeft rechtstreekse toegang. Daarom koppelt u elke directory die in de service is gemaakt, aan een Connector-instantie. VMware, Inc. 43

44 Werker Als u een directory koppelt aan een Connector-instantie, maakt de Connector een partitie voor de gekoppelde directory, een werker genaamd. Aan een Connector-instantie kunnen meerdere werkers gekoppeld zijn. Elke werker fungeert als identiteitsprovider. U definieert en configureert verificatiemethoden per werker. De Connector synchroniseert gegevens van gebruikers en groepen tussen uw Active Directory of LDAPdirectory en de service via een of meer werkers. Belangrijk U kunt niet twee werkers van de Active Directory van het type Geïntegreerde Windowsverificatie op dezelfde Connector-instantie hebben. Beveiligingsoverwegingen Voor bedrijfsdirectory's die zijn geïntegreerd met de VMware Identity Manager-service moeten beveiligingsinstellingen, zoals regels voor de complexiteit van gebruikerswachtwoorden en beleid voor accountvergrendeling, rechtstreeks worden geconfigureerd in bedrijfsdirectory. VMware Identity Manager overschrijft deze instellingen niet. Met Active Directory integreren U kunt VMware Identity Manager integreren met uw Active Directory-implementatie om gebruikers en groepen van Active Directory te synchroniseren met VMware Identity Manager. Zie ook Belangrijke concepten met betrekking tot de integratie van directory's. Active Directory-omgevingen U kunt de service integreren met een Active Directory-omgeving die bestaat uit één Active Directorydomein, meerdere domeinen in één Active Directory-forest of meerdere domeinen in meerdere Active Directory-forests. Omgeving met één Active Directory-domein In een implementatie met één Active Directory-domein kunt u gebruikers en groepen van één Active Directory-domein synchroniseren. Selecteer de optie Active Directory via LDAP wanneer u een directory aan de service toevoegt voor deze omgeving. Voor meer informatie raadpleegt u: Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd Rechten vereist voor toevoegen aan een domein (alleen voor Linux-gebaseerde virtual appliance) Verbinding van Active Directory met de service configureren VMware, Inc. 44

45 Active Directory-omgeving met één forest en meerdere domeinen In een Active Directory-implementatie met één forest en meerdere domeinen kunt u gebruikers en groepen van meerdere Active Directory-domeinen binnen één forest synchroniseren. U kunt de service voor deze Active Directory-omgeving configureren als één Active Directorydirectorytype met geïntegreerde Windows-verificatie of, als alternatieve optie, als het directorytype Active Directory via LDAP met de optie voor de globale catalogus geconfigureerd. De aanbevolen optie is om het enkele Active Directory-type met geïntegreerde Windows-verificatie te maken. Wanneer u een directory voor deze omgeving toevoegt, selecteert u de optie Active Directory (geïntegreerde Windows-verificatie). Voor meer informatie raadpleegt u: Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd Rechten vereist voor toevoegen aan een domein (alleen voor Linux-gebaseerde virtual appliance) Verbinding van Active Directory met de service configureren Als Geïntegreerde Windows-verificatie niet werkt in uw Active Directory-omgeving, maakt u een directory van het type Active Directory via LDAP en selecteert u de optie globale catalogus. Hier volgen een aantal beperkingen in verband met het selecteren van de optie globale catalogus: De Active Directory-objectkenmerken die worden gekopieerd naar de globale catalogus worden in het Active Directory-schema vermeld als gedeeltelijke kenmerkreeks (PAS). Alleen deze kenmerken zijn beschikbaar voor het toewijzen van kenmerken door de service. Indien nodig kunt u het schema bewerken of kenmerken die in de globale catalogus zijn opgeslagen, toevoegen of verwijderen. In de globale catalogus wordt uitsluitend het groepslidmaatschap (het lidmaatschapskenmerk) van universele groepen opgeslagen. Er worden alleen universele groepen gesynchroniseerd met de service. Indien nodig wijzigt u het bereik van een groep van een lokaal of globaal domein naar een universeel domein. Het account van de bindings-dn dat u opgeeft wanneer u een directory in de service configureert, moet over toestemmingen beschikken om het kenmerk Token-Groups-Global-And- Universal (TGGAU) te kunnen lezen. Wanneer Workspace ONE UEM met VMware Identity Manager is geïntegreerd en meerdere Workspace ONE UEM-organisatiegroepen worden geconfigureerd, kan de optie Active Directory Global Catalog niet worden gebruikt. Active Directory gebruikt poorten 389 en 636 voor standaard LDAP-query's. Voor globale catalogusquery's worden poorten 3268 en 3269 gebruikt. VMware, Inc. 45

46 Wanneer u een directory toevoegt voor de globale catalogusomgeving, geeft u het volgende op tijdens de configuratie. Selecteer de optie Active Directory via LDAP. Schakel het selectievakje voor de optie Deze directory ondersteunt de locatie van de DNSservice. Selecteer de optie Deze directory heeft een Global Catalog. Wanneer u deze optie selecteert, wordt het serverpoortnummer automatisch gewijzigd in Omdat de basis-dn niet noodzakelijk is tijdens het configureren van de optie globale catalogus, wordt het tekstvak Basis- DN niet weergegeven. Voeg de serverhostnaam van de Active Directory toe. Als voor uw Active Directory toegang via SSL is vereist, selecteert u de optie Voor deze directory is vereist dat alle verbindingen SSL gebruiken en plakt u het certificaat in het daarvoor bestemde tekstvak. Wanneer u deze optie selecteert, wordt het serverpoortnummer automatisch gewijzigd in Active Directory-omgeving met meerdere forests met vertrouwensrelaties In een Active Directory-implementatie met meerdere forests met vertrouwensrelaties kunt u gebruikers en groepen uit meerdere Active Directory-domeinen met meerdere forests synchroniseren als er een vertrouwensrelatie in twee richtingen bestaat tussen de domeinen. Wanneer u een directory voor deze omgeving toevoegt, selecteert u de optie Active Directory (geïntegreerde Windows-verificatie). Voor meer informatie raadpleegt u: Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd Rechten vereist voor toevoegen aan een domein (alleen voor Linux-gebaseerde virtual appliance) Verbinding van Active Directory met de service configureren Active Directory-omgeving met meerdere forests zonder vertrouwensrelaties In een Active Directory-implementatie met meerdere forests zonder vertrouwensrelaties kunt u gebruikers en groepen uit meerdere Active Directory-domeinen met meerdere forests synchroniseren zonder dat er een vertrouwensrelatie in twee richtingen bestaat tussen de domeinen. In deze omgeving kunt u meerdere directory's maken in de service: één directory voor elk forest. Het type directory's dat u in de service maakt, is afhankelijk van het forest. Voor forests met meerdere domeinen selecteert u de optie Active Directory (geïntegreerde Windows-verificatie). Voor een forest met één domein kiest u de optie Active Directory via LDAP. Voor meer informatie raadpleegt u: Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd Rechten vereist voor toevoegen aan een domein (alleen voor Linux-gebaseerde virtual appliance) VMware, Inc. 46

47 Verbinding van Active Directory met de service configureren Gebruikerskenmerken beheren die vanuit Active Directory worden gesynchroniseerd Tijdens de installatie van de VMware Identity Manager-servicedirectory selecteert u Active Directorygebruikerskenmerken en -filters om te selecteren welke gebruikers in de VMware Identity Managerdirectory worden gesynchroniseerd. U kunt de gebruikerskenmerken die worden gesynchroniseerd, wijzigen via de VMware Identity Manager-console, tabblad Identiteits- en toegangsbeheer, Instellen > Gebruikerskenmerken. Wijzigingen die worden gemaakt en opgeslagen op de pagina Gebruikerskenmerken, worden toegevoegd aan de pagina Toegewezen kenmerken in de VMware Identity Manager-directory. De kenmerkwijzigingen worden bijgewerkt naar de directory bij de volgende synchronisatie naar Active Directory. De pagina Gebruikerskenmerken geeft de standaarddirectorykenmerken weer die kunnen worden toegewezen aan Active Directory-kenmerken. U selecteert de kenmerken die vereist zijn en u kunt andere kenmerken toevoegen die u met de directory wilt synchroniseren. Wanneer u kenmerken toevoegt, is de kenmerknaam die u invoert hoofdlettergevoelig. Zo zijn adres, Adres en ADRES verschillende kenmerken. Tabel 6 1. Active Directory-standaardkenmerken om te synchroniseren met de directory Kenmerknaam van de VMware Identity Managerdirectory userprincipalname distinguishedname employeeid domain disabled (externe gebruiker uitgeschakeld) phone lastname firstname username Standaardtoewijzing aan Active Directory-kenmerk userprincipalname distinguishedname employeeid canonicalname. Voegt de Fully Qualified Domain Name van het object toe. useraccountcontrol. Gemarkeerd met UF_Account_Disable Wanneer een account is uitgeschakeld, kunnen gebruikers zich niet aanmelden om toegang te krijgen tot hun applicaties en bronnen. De bronnen waarvoor gebruikers rechten hadden, worden niet uit het account verwijderd, zodat wanneer de markering van het account wordt verwijderd, gebruikers zich kunnen aanmelden en toegang krijgen tot hun bronnen waarvoor rechten zijn verleend telephonenumber sn givenname mail samaccountname. VMware, Inc. 47

48 De volgende kenmerken kunnen niet worden gebruikt als namen voor aangepaste kenmerken omdat de VMware Identity Manager-service deze eigenschappen intern gebruikt voor identiteitsbeheer van gebruikers. externaluserdisabled employeenumber Kenmerken selecteren om te synchroniseren met de directory Wanneer u de VMware Identity Manager-directory instelt om te synchroniseren met Active Directory, geeft u de gebruikerskenmerken op die met de directory moeten worden gesynchroniseerd. Voordat u de directory instelt, kunt u op de pagina Gebruikerskenmerken opgeven welke standaardkenmerken vereist zijn en kunt u aanvullende kenmerken toevoegen die u aan Active Directory-kenmerken wilt toewijzen. Wanneer u de pagina Gebruikerskenmerken configureert voordat de directory is gemaakt, kunt u standaardkenmerken wijzigen van vereist naar niet-vereist, eventueel kenmerken markeren en aangepaste kenmerken toevoegen. Nadat de directory is gemaakt, kunt u een vereist kenmerk wijzigen zodat dit niet-vereist wordt en u kunt aangepaste kenmerken verwijderen. U kunt een kenmerk niet wijzigen zodat het een vereist kenmerk wordt. Procedure 1 Klik in de VMware Identity Manager-console op het tabblad Identiteits- en toegangsbeheer op Gebruikerskenmerken. 2 Controleer in de sectie Standaardkenmerken de lijst met vereiste kenmerken en breng de nodige wijzigingen aan om aan te geven welke kenmerken vereist moeten zijn. 3 Klik op Opslaan. Rechten vereist voor toevoegen aan een domein (alleen voor Linux-gebaseerde virtual appliance) Mogelijk moet u de VMware Identity Manager-connector in sommige gevallen aan een domein toevoegen. Bij Active Directory via LDAP-directory's maakt u eerst de directory en voegt u vervolgens de controller toe aan het domein. Bij directory's van het type Active Directory (Geïntegreerde Windowsverificatie) wordt de connector automatisch aan het domein toegevoegd wanneer u de directory maakt. In beide gevallen moet u verificatiegegevens opgeven. Voor het toevoegen aan een domein hebt u Active Directory-verificatiegegevens nodig met de bevoegdheid "computer lid maken van AD-domein". Deze bevoegdheid wordt in Active Directory ingesteld met de volgende rechten: Computerobjecten maken Computerobjecten verwijderen Wanneer u aan een domein deelneemt, wordt een computerobject gemaakt in de standaardlocatie in Active Directory, tenzij u een aangepaste OU opgeeft. VMware, Inc. 48

49 Volg deze stappen om aan een domein deel te nemen als u geen rechten hebt om aan een domein deel te nemen. 1 Vraag uw Active Directory-beheerder om het computerobject in Active Directory te maken op een locatie die voldoet aan het beleid van uw organisatie. Geef de hostnaam van de connector op. Zorg dat u de volledig gekwalificeerde domeinnaam invoert, bijvoorbeeld server.example.com. Tip U ziet de hostnaam in de kolom Hostnaam op de pagina Connectoren van de beheerconsole. Klik op Identiteits- en toegangsbeheer > Setup > Connectoren om de pagina Connectoren weer te geven. 2 Nadat het computerobject is gemaakt, kunt u de computer aan het domein toevoegen door een domeingebruikersaccount in de VMware Identity Manager -console te gebruiken. De opdracht Aan domein toevoegen is beschikbaar op de pagina Connectoren, die u weergeeft door te klikken op Identiteits- en toegangsbeheer > Setup > Connectoren. Optie Domein Domeingebruiker Domeinwachtwoord Organisatie-eenheid (OU) Beschrijving Selecteer of typ het Active Directory-domein waaraan u wilt deelnemen. Zorg ervoor dat u de volledig gekwalificeerde domeinnaam invoert. Bijvoorbeeld: server.example.com. De gebruikersnaam van een Active Directory-gebruiker die de rechten heeft om systemen aan het Active Directory-domein te koppelen. Het wachtwoord van de gebruiker. (Optioneel) De organisatie-eenheid van het computerobject. Met behulp van deze optie wordt een computerobject gemaakt in de opgegeven OU in plaats van de standaard OU van de computer. Bijvoorbeeld: ou=testou,dc=test,dc=example,dc=com. Belangrijk Dit onderwerp is alleen van toepassing op Linux-gebaseerde virtual appliances van de VMware Identity Manager-service en -connector. Het is niet van toepassing op de VMware Identity Manager-service of -connector in Windows. Verbinding van Active Directory met de service configureren Geef in de VMware Identity Manager-console de informatie op die nodig is om verbinding te maken met uw Active Directory en selecteer gebruikers en groepen om te synchroniseren met de VMware Identity Manager-directory. De verbindingsopties van de Active Directory zijn Active Directory via LDAP of Active Directory via geïntegreerde Windows-verificatie. De verbinding Active Directory via LDAP ondersteunt de opzoekfunctie DNS Service Location. Voorwaarden (SaaS) Connector geïnstalleerd en geactiveerd. VMware, Inc. 49

50 Selecteer welke kenmerken verplicht zijn en voeg extra kenmerken toe op de pagina Gebruikerskenmerken. Zie Kenmerken selecteren om te synchroniseren met de directory. Maak een lijst met de Active Directory-gebruikers en -groepen die u vanuit Active Directory wilt synchroniseren. Groepsnamen worden onmiddellijk gesynchroniseerd naar de directory. Leden van een groep worden niet gesynchroniseerd tot de groep rechten heeft voor bronnen of is toegevoegd aan een beleidsregel. Gebruikers die zich moeten verifiëren voordat groepsrechten worden geconfigureerd, moet worden toegevoegd tijdens de oorspronkelijke configuratie. Voor Active Directory via LDAP is onder andere de Base DN, de Bind DN en het wachtwoord van de Bind DN vereist. De Bind DN-gebruiker moet de volgende machtigingen in Active Directory hebben om toegang te verlenen aan gebruikers en groepsobjecten: Lezen Alle eigenschappen lezen Leesmachtigingen Opmerking Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. Voor Active Directory via geïntegreerde Windows-verificatie heeft u de gebruikersnaam en het wachtwoord nodig van de Bind-gebruiker die is gemachtigd om gebruikers en groepen voor de vereiste domeinen op te vragen. De Bind-gebruiker moet de volgende machtigingen in Active Directory hebben om toegang te verlenen aan gebruikers en groepsobjecten: Lezen Alle eigenschappen lezen Leesmachtigingen Opmerking U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt. Als de Active Directory toegang via SSL of STARTTLS vereist, zijn de root-ca-certificaten van de domeincontrollers voor alle relevante Active Directory-domeinen vereist. Voor Active Directory via geïntegreerde Windows-verificatie met een configuratie van meerdere forests voor Active Directory en een lokale domeingroep met meerdere leden van domeinen in verschillende forests, moet u ervoor zorgen dat de Bind-gebruiker wordt toegevoegd aan de groep Administrators van het domein waarin zich de lokale domeingroep bevindt. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep. Voor Active Directory via geïntegreerde Windows-verificatie: Voor alle domeincontrollers in SRV-records en verborgen RODC's moeten nslookup van hostnaam en IP-adres werken. VMware, Inc. 50

51 Alle domeincontrollers moeten via het netwerk bereikbaar zijn Procedure 1 Klik op het tabblad Identiteits- en toegangsbeheer in de VMware Identity Manager-console. 2 Op de Directorypagina klikt u op Directory toevoegen. 3 Voer een naam in voor deze directory van VMware Identity Manager. VMware, Inc. 51

52 4 Selecteer het type Active Directory in uw omgeving en configureer de verbindingsinformatie. Optie Beschrijving Active Directory via LDAP a Selecteer in het tekstvak Synchronisatieconnector de Connector die u wilt gebruiken voor synchronisatie met Active Directory. b Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het tekstvak Verificatie op Ja. c d Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider. Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerk dat de username bevat. Als u DNS Service Location-opzoekingen voor Active Directory wilt gebruiken, maakt u de volgende selecties. Schakel in de sectie Serverlocatie het selectievakje Deze directory ondersteunt DNS-servicelocatie in. VMware Identity Manager vindt en gebruikt optimale domeincontrollers. Als u geen gebruik wilt maken van de selectie van geoptimaliseerde domeincontrollers, volgt u stap e. Als Active Directory STARTTLS-versleuteling vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het root-cacertificaat van Active Directory in het tekstvak SSL-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen. e Opmerking Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. Als u DNS Service Location-opzoekingen voor Active Directory niet wilt gebruiken, maakt u de volgende selecties. In de sectie Serverlocatie controleert u of het selectievakje Deze directory ondersteunt DNS-servicelocatie niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in. Zie de sectie Multi-domein, Single Forest Active Directory-omgeving in Active Directory-omgevingen om de directory als een globale catalogus te configureren. Als de Active Directory toegang over SSL vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen SSL gebruiken in de sectie Certificaten in en kopieert en plakt u het basis CA-certificaat van de Active Directory in het veld SSL-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen. VMware, Inc. 52

53 Optie Beschrijving Als de directory meerdere domeinen heeft, voegt u een voor een de root- CA-certificaten van alle domeinen toe. Active Directory (geïntegreerde Windows-verificatie) f g h a b c d e f Opmerking Als de Active Directory SSL vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. In het veld Base DN voert u de DN in vanwaar de accountzoekopdrachten moeten starten. Bijvoorbeeld OU=myUnit,DC=myCorp,DC=com. In het veld Bind DN voert u het account in dat naar gebruikers kan zoeken. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com. Opmerking Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. Nadat u het bindingswachtwoord hebt ingevoerd, klikt u op Verbinding testen om te controleren of de directory verbinding kan maken met uw Active Directory. Selecteer in het tekstvak Synchronisatieconnector de Connector die u wilt gebruiken voor synchronisatie met Active Directory. Als deze Active Directory wordt gebruikt om gebruikers te verifiëren, klikt u in het tekstvak Verificatie op Ja. Als een externe identiteitsprovider wordt gebruikt om gebruikers te verifiëren, klikt u op Nee. Nadat u de verbinding van Active Directory hebt geconfigureerd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsprovider. Selecteer in het tekstvak Zoekkenmerk directory het accountkenmerk dat de username bevat. Als Active Directory STARTTLS-versleuteling vereist, schakelt u het selectievakje Deze directory vereist dat alle verbindingen STARTTLS gebruiken in de sectie Certificaten in en kopieert en plakt u het root-cacertificaat van Active Directory in het tekstvak SSL-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen. Als de directory meerdere domeinen heeft, voegt u een voor een de root-cacertificaten van alle domeinen toe. Opmerking Als de Active Directory STARTTLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken. (Alleen voor Linux) Voer de naam in van het Active Directory-domein dat wordt toegevoegd. Voer een gebruikersnaam en wachtwoord in dat de rechten heeft om het domein toe te voegen. Raadpleeg Rechten vereist voor toevoegen aan een domein (alleen voor Linux-gebaseerde virtual appliance) voor meer informatie. Voer in de sectie Gebruikersdetails Bind de gebruikersnaam en het wachtwoord in van de Bind-gebruiker die is gemachtigd om gebruikers en groepen voor de vereiste domeinen op te vragen. Voor de gebruikersnaam voert u de SAM-accountnaam, bijvoorbeeld jjansen in. Als het domein van de VMware, Inc. 53

54 Optie Beschrijving Bind-gebruiker verschilt van het domein voor toevoeging dat eerder is ingevoerd, voert u de gebruikersnaam in als SAMaccountnaam@domein, waarbij domein de volledig gekwalificeerde domeinnaam is. Bijvoorbeeld: jjansen@voorbeeld.nl. Opmerking U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt. 5 Klik op Opslaan en Volgende. De pagina met de lijst domeinen verschijnt. 6 Voor Active Directory over LDAP worden de domeinen vermeld met een vinkje. Voor Active Directory (met geïntegreerde Windows-verificatie) selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding. Opmerking Als u een vertrouwend domein toevoegt nadat de directory is gemaakt, stelt de service niet automatisch het nieuwe vertrouwende domein vast. Als u het vaststellen van het domein voor de service wilt inschakelen, moet Connector het domein verlaten en hieraan opnieuw deelnemen. Wanneer Connector opnieuw deelneemt aan het domein, wordt het vertrouwende domein in de lijst weergegeven. Klik op Volgende. 7 Controleer of de kenmerknamen van de VMware Identity Manager-directory zijn toegewezen aan de juiste Active Directory-kenmerken en breng zo nodig wijzigingen aan. Klik vervolgens op Volgende. VMware, Inc. 54

55 8 Selecteer de groepen die u vanuit Active Directory wilt synchroniseren met de VMware Identity Manager-directory. Wanneer groepen hier worden toegevoegd, worden groepsnamen gesynchroniseerd naar de directory. Gebruikers die lid van de groep zijn, worden pas naar de directory gesynchroniseerd wanneer de groep rechten voor een applicatie heeft of de naam van de groep aan een toegangsbeleidsregel is toegevoegd. Alle volgende geplande synchronisaties leveren bijgewerkte informatie uit Active Directory voor deze groepsnamen. Optie Geef de DN's van de groep op Beschrijving Als u groepen wilt selecteren, kunt u een of meer groeps-dn's opgeven en de onderliggende groepen selecteren. a Klik op + en geef de groeps-dn op. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com. b c Belangrijk Geef de groeps-dn's op onder de basis-dn die u heeft ingevoerd. Als een groeps-dn buiten de basis-dn ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden. Klik op Groepen zoeken. De kolom Te synchroniseren groepen bevat het aantal groepen dat is gevonden in de DN. Als u alle groepen in de DN wilt selecteren, klikt u op Alles selecteren. Of klik op Selecteren en selecteer de specifieke groepen die u wilt synchroniseren. Opmerking Wanneer u een groep synchroniseert, worden gebruikers die geen Domeingebruikers als hun primaire groep in Active Directory hebben, niet gesynchroniseerd. Geneste groepsleden synchroniseren De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers die direct tot de geselecteerde groep horen, en alle gebruikers die tot de geneste groepen eronder behoren, gesynchroniseerd zodra de groep de nodige rechten heeft. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de VMware Identity Manager-directory zijn deze gebruikers leden van de bovenliggende groep die u heeft geselecteerd om te synchroniseren. Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer u een groep opgeeft om te synchroniseren, worden alle gebruikers gesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze functie is handig voor grote Active Directory-configuraties waarbij het doorkruisen van een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren. 9 Klik op Volgende. VMware, Inc. 55

56 10 Geef de gebruikers op die u wilt synchroniseren. Omdat leden in groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd. a Klik op + en voer de gebruikers-dn's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com. Belangrijk Geef de gebruikers-dn's op onder de basis-dn die u heeft ingevoerd. Als een gebruikers-dn buiten de basis-dn ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden. b (Optioneel) Als u gebruikers wilt uitsluiten, maakt u een filter om sommige gebruikerstypen uit te sluiten. U selecteert het gebruikerskenmerk waarop moet worden gefilterd en de queryregel die moet worden gebruikt, en voert de waarde in. De waarde is hoofdlettergevoelig. De volgende tekens mogen niet in de tekenreeks worden gebruikt: *^()?!$. VMware, Inc. 56

57 11 Geef de gebruikers op die u wilt synchroniseren. Omdat leden in groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd. a Klik op + en voer de gebruikers-dn's in. Bijvoorbeeld: CN=gebruikers,CN=Gebruikers,OU=mijnAfdeling,DC=mijnOnderneming,DC=com. Belangrijk Geef de gebruikers-dn's op onder de basis-dn die u heeft ingevoerd. Als een gebruikers-dn buiten de basis-dn ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden. b (Optioneel) Als u gebruikers wilt uitsluiten, maakt u filters om gebruikers uit te sluiten op basis van een gekozen kenmerk. U kunt meerdere uitsluitingsfilters maken. U selecteert het gebruikerskenmerk waarop moet worden gefilterd en het queryfilter dat moet worden toegepast op de waarde die u definieert. Optie Bevat Bevat niet Begint met Eindigt met Beschrijving Alle gebruikers die overeenkomen met de combinatie van kenmerk en waarde, worden uitgesloten. Bijvoorbeeld: naam bevat Jane sluit alle gebruikers met de naam Jane uit. Alle gebruikers behalve diegenen die overeenkomen met de combinatie van kenmerk en waarde, worden uitgesloten. Bijvoorbeeld: telefoonnummer bevat niet 800, sluit alleen gebruikers uit met een telefoonnummer dat 800 bevat. Alle gebruikers waar de tekens die beginnen met <xxx> in de kenmerkwaarde, worden uitgesloten. Bijvoorbeeld: medewerker-id begint met ACME0 sluit alle gebruikers uit die een medewerker-id hebben waarin ACME0 aan het begin van het id-nummer staat. Alle gebruikers die eindigen met de tekens <yyy> in de kenmerkwaarde, worden uitgesloten. Bijvoorbeeld: eindigt met voorbeeld1.nl sluit alle gebruikers uit die een adres hebben dat eindigt op voorbeeld1.nl. De waarde is hoofdlettergevoelig. De volgende symbolen mogen niet worden gebruikt in de waardetekenreeks. Asterisk * Caret ^ Ronde haakjes ( ) Vraagteken? Uitroepteken! Dollarteken $ 12 Klik op Volgende. VMware, Inc. 57

58 13 Neem de pagina door om te zien hoeveel gebruikers en groepen naar de directory worden gesynchroniseerd en om het synchronisatieschema te bekijken. Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie. 14 Klik op Directory synchroniseren om synchroniseren naar de directory te starten. De verbinding met Active Directory is gemaakt en gebruikers en groepsnamen worden van Active Directory gesynchroniseerd naar de VMware Identity Manager-directory. De Bind-gebruiker heeft standaard een beheerdersrol in VMware Identity Manager. Zie 'Gebruikers en groepen beheren' in Beheer VMware Identity Manager voor meer informatie over hoe groepen worden gesynchroniseerd. Wat nu te doen Stel verificatiemethoden in. Nadat gebruikers en groepsnamen naar de directory zijn gesynchroniseerd, kunt u aanvullende verificatiemethoden voor de connector instellen als de connector ook voor verificatie wordt gebruikt. Als de identiteitsprovider voor verificatie een derde is, configureert u de betreffende identiteitsprovider voor de connector. Controleer het standaardtoegangsbeleid. Het standaardtoegangsbeleid is geconfigureerd om alle appliances in alle netwerkbereiken toegang te verlenen tot de webportal, met een sessietime-out ingesteld op acht uur. De andere mogelijkheid is het verlenen van toegang tot een clientapp met een sessietime-out na 2160 uur (90 dagen). U kunt het standaardtoegangsbeleid wijzigen en bij het toevoegen van Webapplicaties aan de catalogus, kunt u nieuw toegangsbeleid maken. Gebruikers de mogelijkheid geven om Active Directorywachtwoorden te wijzigen U kunt gebruikers de mogelijkheid geven om hun Active Directory-wachtwoorden op elk gewenst moment te wijzigen via de Workspace ONE-portal of -app. Gebruikers kunnen ook hun Active Directorywachtwoorden opnieuw instellen vanaf de VMware Identity Manager-aanmeldingspagina als het wachtwoord is verlopen of als de Active Directory-beheerder het wachtwoord opnieuw heeft ingesteld, waardoor de gebruiker het wachtwoord bij de volgende aanmelding moet wijzigen. U kunt deze optie per directory inschakelen door de optie Wijziging van wachtwoord toestaan te selecteren op de pagina Directory-instellingen. Wanneer gebruikers zich hebben aangemeld bij de portal Workspace ONE kunnen zij hun wachtwoord wijzigen door op hun naam in de rechterbovenhoek te klikken, dan Account in het vervolgkeuzemenu te selecteren en vervolgens op de koppeling Wachtwoord wijzigen te klikken. In de app Workspace ONE kunnen gebruikers hun wachtwoord wijzigen door op het menupictogram met drie streepjes te klikken en Wachtwoord te selecteren. Verlopen wachtwoorden of wachtwoorden die door de beheerder in Active Directory opnieuw zijn ingesteld, kunnen vanaf de aanmeldingspagina worden gewijzigd. Wanneer een gebruiker zich probeert aan te melden met een verlopen wachtwoord, wordt de gebruiker gevraagd het wachtwoord opnieuw in te stellen. De gebruiker moet het oude wachtwoord en het nieuwe wachtwoord invoeren. VMware, Inc. 58

59 De vereisten voor het nieuwe wachtwoord worden bepaald aan de hand van het beleid inzake Active Directory-wachtwoorden. Het toegestane aantal pogingen hangt ook af van het beleid inzake Active Directory-wachtwoorden. De volgende beperkingen zijn van toepassing. Het functionaliteitsniveau Active Directory-domein moet worden ingesteld op Windows 2008 of hoger. Wanneer een directory aan VMware Identity Manager wordt toegevoegd als globale catalogus, is de optie Wijziging van wachtwoord toestaan niet beschikbaar. Directory's kunnen worden toegevoegd als Active Directory via LDAP of Geïntegreerde Windows-verificatie, met de poort 389 of 636. Het wachtwoord van een gebruiker van een bindings-dn kan niet opnieuw worden ingesteld via VMware Identity Manager, zelfs niet als het is verlopen of als de Active Directory-beheerder het opnieuw heeft ingesteld. Opmerking Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. Wachtwoorden van gebruikers met aanmeldingsnamen die uit multibyte-tekens (geen ASCII-tekens) bestaan, kunnen niet opnieuw worden ingesteld vanuit VMware Identity Manager. Opmerking De optie Wijziging van wachtwoord toestaan kan niet worden ingeschakeld voor ACCdirectory's. Voorwaarden Poort 464 moet open staan van de VMware Identity Manager naar de domeincontrollers. In een SaaS-implementatie moet poort 464 open staan van de VMware Identity Manager Connector naar de domeincontrollers. De optie Wijziging van wachtwoord toestaan is alleen beschikbaar bij connectorversie en hoger. Procedure 1 Klik in de VMware Identity Manager-console op het tabblad Identiteits- en toegangsbeheer. 2 Op het tabblad Directory's klikt u op de directory. 3 In het gedeelte Wijziging van wachtwoord toestaan schakelt u het selectievakje Wijziging van wachtwoord inschakelen in. 4 Geef het wachtwoord van de bindings-dn op in het gedeelte Details van bindingsgebruiker en klik op Opslaan. Met LDAP-directory's integreren U kunt uw bedrijfs-ldap-directory integreren met VMware Identity Manager om gebruikers en groepen van de LDAP-directory te synchroniseren met de VMware Identity Manager-service. Zie ook Belangrijke concepten met betrekking tot de integratie van directory's. VMware, Inc. 59

60 Beperkingen van LDAP-directory-integratie Voor de integratiefunctie van de LDAP-directory gelden momenteel de volgende beperkingen. U kunt slechts een LDAP-directory van één domein integreren. Om meerdere domeinen van een LDAP-directory te integreren, moet u extra VMware Identity Manager-directory's aanmaken, één voor elk domein. VMware Identity Manager ondersteunt alleen die OpenLDAP-implementaties die ondersteuning bieden voor wisselbare zoekopdrachten. Alle VMware Identity Manager-zoekopdrachten voor de directoryserver zijn wisselbaar. Als de directoryservice wisselbare zoekopdrachten niet ondersteunt, kan VMware Identity Manager gebruikers niet synchroniseren. De volgende verificatiemethoden worden niet ondersteund voor VMware Identity Manager-directory's van het type LDAP-directory. Kerberos-verificatie Adaptieve RSA-verificatie ADFS als een externe identiteitsprovider SecurID Radiusverificatie met Vasco en SMS-wachtwoordcodeserver U kunt niet worden toegevoegd aan een LDAP-domein. Integratie met Horizon of gepubliceerde Citrix-bronnen wordt niet ondersteund voor VMware Identity Manager-directory's van het type LDAP-directory. Gebruikersnamen mogen geen spaties bevatten. Wanneer een gebruikersnaam een spatie bevat, wordt de gebruiker gesynchroniseerd, maar zijn de rechten niet beschikbaar voor de gebruiker. Wanneer u van plan bent om zowel Active Directory als LDAP-directory's toe te voegen, let er dan op dat u geen kenmerken op de pagina Gebruikerskenmerken markeert als zijnde vereist, behalve username dat wel kan worden gemarkeerd als zijnde vereist. De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service. Wanneer een kenmerk als zijnde vereist is gemarkeerd, worden gebruikers zonder dat kenmerk niet gesynchroniseerd met de VMware Identity Manager-service. Wanneer uw LDAP-directory meerdere groepen met dezelfde naam bevat, moet u voor deze groepen unieke namen specificeren in de VMware Identity Manager-service. U kunt de namen specificeren wanneer u de groepen selecteert die moeten worden gesynchroniseerd. De optie die gebruikers toestaat om verlopen wachtwoorden opnieuw in te stellen, is niet beschikbaar. Een LDAP-directory met de service integreren U kunt uw bedrijfs-ldap-directory integreren met VMware Identity Manager om gebruikers en groepen van de LDAP-directory te synchroniseren met de VMware Identity Manager-service. VMware, Inc. 60

61 Om uw LDAP-directory te integreren, maakt u een overeenkomstige VMware Identity Manager-directory en synchroniseert u gebruikers en groepen van uw LDAP-directory met de VMware Identity Managerdirectory. U kunt een planning voor regelmatig synchroniseren instellen voor volgende updates. U kunt ook de LDAP-kenmerken selecteren die u voor gebruikers wilt synchroniseren en deze toewijzen aan VMware Identity Manager-kenmerken. De configuratie van de LDAP-directory kan worden gebaseerd op standaardschema's of aangepaste schema's. Deze kan ook aangepaste kenmerken hebben. Om VMware Identity Manager uw LDAPdirectory te laten vragen om gebruikers- of groepsobjecten te verkrijgen, moet u de LDAP-zoekfilters en namen van kenmerken opgeven die van applicatie zijn op uw LDAP-directory. In het bijzonder dient u de volgende informatie op te geven. LDAP-zoekfilters voor het verkrijgen van groepen, gebruikers en de Bind-gebruiker LDAP-kenmerknamen voor groepslidmaatschap, UUID en distinguished name Voor de integratiefunctie van de LDAP-directory gelden bepaalde beperkingen. Zie Beperkingen van LDAP-directory-integratie. Voorwaarden Controleer de kenmerken op de pagina Identiteits- en toegangsbeheer > Installatie > Gebruikerskenmerken en voeg extra kenmerken toe die u wilt synchroniseren. U wijst de VMware Identity Manager-kenmerken toe aan uw LDAP-directorykenmerken wanneer u de directory aanmaakt. Deze kenmerken worden gesynchroniseerd voor de gebruikers in de directory. Opmerking Wanneer u gebruikerskenmerken wijzigt, houd er dan rekening mee dat deze wijzigingen ook gevolgen kunnen hebben voor andere directory's in de service. Wanneer u van plan bent om zowel Active Directory als LDAP-directory's toe te voegen, let er dan op dat u geen kenmerken markeert als zijnde vereist, behalve het kenmerk username dat wel kan worden gemarkeerd als zijnde vereist. De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service. Wanneer een kenmerk als zijnde vereist is gemarkeerd, worden gebruikers zonder dat kenmerk niet gesynchroniseerd met de VMware Identity Manager-service. Een Bind-DN-gebruikersaccount. Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. In uw LDAP-directory moet de UUID van gebruikers en groepen een standaard tekstindeling hebben. In uw LDAP-directory moet een domeinkenmerk aanwezig zijn voor alle gebruikers en groepen. U kunt dit kenmerk toewijzen aan het kenmerk van het VMware Identity Manager domein wanneer u de VMware Identity Manager-directory aanmaakt. Gebruikersnamen mogen geen spaties bevatten. Wanneer een gebruikersnaam een spatie bevat, wordt de gebruiker gesynchroniseerd, maar zijn de rechten niet beschikbaar voor de gebruiker. Wanneer u certificaatverificatie gebruikt, moeten gebruikers waarden hebben voor userprincipalname en adreskenmerken. VMware, Inc. 61

62 Procedure 1 Klik in de VMware Identity Manager-console op het tabblad Identiteits- en toegangsbeheer. 2 Klik op de pagina Mappen op Map toevoegen en selecteer LDAP-directory toevoegen. 3 Voer de vereiste informatie in op de pagina LDAP-directory toevoegen. Optie Directorynaam Beschrijving Een naam voor de VMware Identity Manager-map. Directory synchroniseren en verificatie a In het tekstvak Synchronisatieconnector selecteert u de connector die u wilt gebruiken om gebruikers en groepen van uw LDAP-directory te synchroniseren naar de VMware Identity Manager-directory. In een implementatie op locatie is er altijd standaard een connectoronderdeel beschikbaar bij de VMware Identity Manager-service. Deze connector verschijnt in het vervolgkeuzemenu. Als u meerdere VMware Identity Manager-instanties installeert voor hoge beschikbaarheid, verschijnt het connectoronderdeel van elk van die instanties in de lijst. Er worden ook externe connectoren weergegeven. b c U hebt geen afzonderlijke connector voor een LDAP-directory nodig. Een connector kan meerdere directory's ondersteunen, ongeacht of het directory's zijn van Active Directory of LDAP. Zie VMware Identity Manager installeren en configureren voor de scenario's waarin u extra connectoren nodig hebt. In het tekstvak Verificatie selecteert u Ja wanneer u deze LDAP-directory wilt gebruiken voor het verifiëren van gebruikers. Als u een externe identiteitsprovider wilt gebruiken om gebruikers te verifiëren, selecteert u Nee. Nadat u de directoryverbinding hebt toegevoegd om gebruikers en groepen te synchroniseren, gaat u naar de pagina Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders om de identiteitsprovider voor verificatie toe te voegen. In het tekstvak Zoekkenmerk directory geeft u het LDAP-directorykenmerk op dat voor de gebruikersnaam moet worden gebruikt. Als het kenmerk niet wordt vermeld, selecteert u Aangepast en typt u de kenmerknaam. Bijvoorbeeld cn. Serverlocatie Voer de serverhost en het poortnummer van de LDAP-directory in. Voor de serverhost kunt u de FQDN of het IP-adres specificeren. Bijvoorbeeld myldapserver.example.com of Als u een cluster servers achter een load-balancer hebt, voert u in plaats daarvan de informatie van de load-balancer in. VMware, Inc. 62

63 Optie LDAP-configuratie Beschrijving Specificeer de zoekfilters en kenmerken van LDAP die VMware Identity Manager kan gebruiken om uw LDAP-directory op te vragen. Standaardwaarden worden verstrekt op basis van het kern-ldap-schema. LDAP-vragen Groepen ophalen: het zoekfilter om groepsobjecten te verkrijgen. Bijvoorbeeld: (objectclass=group) Bindingsgebruiker ophalen: het zoekfilter om een bindingsgebruikerobject te verkrijgen, ofwel de gebruiker die zich aan de directory kan binden. Bijvoorbeeld: (objectclass=person) Gebruiker ophalen: het zoekfilter om gebruikers te verkrijgen om te synchroniseren. Bijvoorbeeld:(&(objectClass=user)(objectCategory=person)) Kenmerken Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory om leden van een groep te definiëren. Bijvoorbeeld: lid Object-UUID: het kenmerk dat wordt gebruikt in uw LDAP-directory om de UUID van een gebruiker of groep te definiëren. Bijvoorbeeld: entryuuid Distinguished Name: het kenmerk dat wordt gebruikt in uw LDAP-directory voor de kenmerkende naam van een gebruiker of groep. Bijvoorbeeld: entrydn Certificaten Gegevens van bindingsgebruiker Als uw LDAP-directory toegang over SSL vereist, selecteert u Deze directory vereist dat alle verbindingen SSL gebruiken en kopieert en plakt u het basis CA-SSL-certificaat van de LDAP-directoryserver. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op. Basis DN: voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld cn=users,dc=example,dc=com Bind DN: voer de gebruikersnaam in die wordt gebruikt om aan de LDAPdirectory te binden. Opmerking Het gebruik van een gebruikersaccount van Bind DN met een wachtwoord dat niet verloopt, wordt aanbevolen. Wachtwoord Bind-DN: voer het wachtwoord in voor de Bind DN-gebruiker. 4 Klik op Verbinding testen om de verbinding met de LDAP-directoryserver te testen. Als de verbinding niet is gelukt, controleert u de informatie die u hebt ingevoerd en brengt u passende wijzigingen aan. 5 Klik op Opslaan en Volgende. 6 Verifieer op de pagina Domeinen of het juiste domein wordt weergegeven en klik dan op Volgende. VMware, Inc. 63

64 7 Verifieer op de pagina Kenmerken toewijzen of de VMware Identity Manager-kenmerken zijn toegewezen aan de juiste LDAP-kenmerken. Deze kenmerken worden gesynchroniseerd voor gebruikers. Belangrijk U moet een toewijzing specificeren voor het domein-kenmerk. U kunt kenmerken toevoegen aan de lijst via de pagina Gebruikerskenmerken. 8 Klik op Volgende. 9 Op de groepspagina klikt u op + om de groepen te selecteren die u van de LDAP-directory wilt synchroniseren met de VMware Identity Manager-directory. Wanneer groepen worden toegevoegd, worden groepsnamen gesynchroniseerd naar de directory. Gebruikers die lid van de groep zijn, worden pas naar de directory gesynchroniseerd wanneer de groep rechten voor een applicatie heeft of de naam van de groep aan een toegangsbeleidsregel is toegevoegd. Als u meerdere groepen hebt met dezelfde naam in uw LDAP-directory, moet u unieke namen ervoor specificeren op de groepspagina. De optie Geneste groepsgebruikers synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers gesynchroniseerd die direct tot de groep behoren die u selecteert en alle gebruikers die tot de geneste groepen eronder behoren. De geneste groepen worden niet gesynchroniseerd, alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd zodra de groep de nodige rechten heeft. In de directory van VMware Identity Manager verschijnen deze gebruikers als leden van de bovenste groep die u hebt geselecteerd om te synchroniseren. Hierdoor wordt de hiërarchie onder een geselecteerde groep platter en worden gebruikers op alle niveaus weergegeven in VMware Identity Manager als leden van de geselecteerde groep. Als deze optie is uitgeschakeld, wanneer u een groep specificeert om te synchroniseren, worden alle gebruikers gesynchroniseerd die direct tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze optie is handig voor grote directoryconfiguraties waar het doorkruisen van een groepsstructuur veel middelen en tijd kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren. 10 Klik op Volgende. VMware, Inc. 64

65 11 Klik op + om gebruikers toe te voegen. Voer bijvoorbeeld CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com in Omdat leden in groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd. Om gebruikers uit te sluiten, maakt u een filter om sommige typen gebruikers uit te sluiten. U selecteert het gebruikerskenmerk waarop moet worden gefilterd, de queryregel en de waarde. Klik op Volgende. 12 Controleer op de pagina hoeveel gebruikers en groepen worden gesynchroniseerd naar de directory en bekijk het standaard synchronisatieschema. Klik op de koppelingen Bewerken om wijzigingen aan te brengen aan gebruikers en groepen of aan de synchronisatiefrequentie. 13 Klik op Directory synchroniseren om de synchronisatie van de directory te starten. De verbinding met de LDAP-directory wordt tot stand gebracht en gebruikers en groepsnamen worden van de LDAP-directory gesynchroniseerd naar de VMware Identity Manager-directory. De Bind DNgebruiker heeft standaard een beheerdersrol in VMware Identity Manager. Een directory toevoegen na configureren van failover en redundantie Als u een nieuwe directory toevoegt aan de VMware Identity Manager-service nadat u al een cluster hebt geïmplementeerd voor hoge beschikbaarheid, en u wilt de nieuwe directory onderdeel maken van de configuratie voor hoge beschikbaarheid, moet u de directory toevoegen aan alle instanties in uw cluster. In een implementatie op locatie doet u dit door het connectoronderdeel van elk van de service-instanties aan de nieuwe directory toe te voegen. In een SaaS-implementatie doet u dit door alle connectorinstanties aan de nieuwe directory toe te voegen. Procedure 1 Meld u aan bij de VMware Identity Manager-console. 2 Selecteer het tabblad Identiteits- en toegangsbeheer en selecteer vervolgens het tabblad Identiteitsproviders. 3 Op de pagina Identiteitsproviders zoekt u de identiteitsprovider voor de nieuwe directory en klikt u op de naam van de identiteitsprovider. VMware, Inc. 65

66 4 In het veld IdP-hostnaam voert u de FQDN van de load balancer in als deze nog niet is ingesteld op de juiste FQDN van de load balancer. Opmerking Deze stap is alleen vereist wanneer u een load balancer gebruikt. In een SaaSimplementatie is het gebruik van een load balancer vóór connectoren in de verbindingsmodus alleen uitgaand geen vereiste. Als u echter een load balancer hebt ingesteld voor bepaalde scenario's zoals Kerberos-verificatie, voert u de FQDN van de load balancer hier in. 5 In het veld Connector(en) selecteert u de toe te voegen connector. 6 Voer het wachtwoord in en klik op Opslaan. 7 Op de pagina Identiteitsproviders klikt u opnieuw op de naam van de identiteitsprovider en controleert u of het veld IdP-hostnaam de FQDN van de load balancer bevat. Als de naam onjuist is, voert u de FQDN van de load balancer in en klikt u op Opslaan. 8 Herhaal de vorige stappen om alle connectoren toe te voegen die in het veld Connector(en) staan vermeld. Opmerking Nadat u elke connector hebt toegevoegd, controleert u de IdP-hostnaam en past u deze, indien nodig, aan zoals beschreven in stap 7. De directory is nu gekoppeld aan alle connectoren in uw implementatie. VMware, Inc. 66

67 Lokale directory's gebruiken 7 Een lokale directory is een van de typen directory's die u in de VMware Identity Manager-service kunt maken. Met een lokale directory kunt u lokale gebruikers in de service inrichten en toegang geven tot specifieke applicaties zonder dat u deze aan uw bedrijfsdirectory hoeft toe te voegen. Een lokale directory is niet verbonden met een bedrijfsdirectory en gebruikers en groepen worden niet via een bedrijfsdirectory gesynchroniseerd. In plaats daarvan maakt u lokale gebruikers rechtstreeks in de lokale directory aan. In de service is een standaard lokale directory met de naam Systeemdirectory beschikbaar. U kunt ook meerdere nieuwe lokale directory's maken. Systeemdirectory De Systeemdirectory is een lokale directory die automatisch in de service wordt gemaakt wanneer deze wordt ingesteld. Deze directory heeft het domein Systeemdomein. U kunt de naam of het domein van de Systeemdirectory niet wijzigen, en geen nieuwe domeinen eraan toevoegen. Bovendien kunt u de Systeemdirectory of het Systeemdomein niet verwijderen. Wanneer de tenant voor het eerst wordt ingesteld, wordt een lokale beheerder in het Systeemdomein van de Systeemdirectory gemaakt. De gegevens die u ontvangt wanneer u een nieuwe tenant krijgt, behoren bij deze lokale beheerder. U kunt andere gebruikers aan de Systeemdirectory toevoegen. Standaard wordt de Systeemdirectory gebruikt om een paar lokale beheerders in te stellen om de service te beheren. Om eindgebruikers en extra beheerders in te richten en deze rechten te geven tot applicaties, raden wij u aan om een nieuwe lokale directory te maken. Lokale directory's U kunt meerdere lokale directory's maken. Elke lokale directory kan een of meerdere domeinen bevatten. Wanneer u een lokale gebruiker maakt, specificeert u de directory en het domein voor de gebruiker. U kunt ook kenmerken selecteren voor alle gebruikers in de lokale directory. Gebruikerskenmerken zoals Gebruikersnaam, Achternaam en Voornaam worden op het algemene niveau in de VMware Identity Manager-service gespecificeerd. Er is een standaardlijst met kenmerken beschikbaar en u kunt aangepaste kenmerken toevoegen. Algemene gebruikerskenmerken gelden voor alle directory's in VMware, Inc. 67

68 de service, inclusief lokale directory's. Op het niveau van de lokale directory kunt u selecteren welke kenmerken vereist zijn voor de directory. Op deze manier kunt u een aangepaste set met kenmerken hebben voor verschillende lokale directory's. Houd er rekening mee dat voor lokale directory's Gebruikersnaam, Achternaam, Voornaam en het adres altijd vereist zijn. Opmerking De mogelijkheid om gebruikerskenmerken op directoryniveau aan te passen, is alleen beschikbaar voor lokale directory's, niet voor Active Directory- of LDAP-directory's. Lokale directory's maken is handig in de volgende scenario's. U kunt een lokale directory maken voor een specifiek type gebruiker dat geen deel uitmaakt van uw bedrijfsdirectory. Bijvoorbeeld: u kunt een lokale directory maken voor partners die doorgaans geen deel uitmaken van uw bedrijfsdirectory en hen toegang geven tot alleen de specifieke applicaties die ze nodig hebben. U kunt meerdere lokale directory's maken als u verschillende gebruikerskenmerken of verificatiemethoden wilt voor verschillende sets gebruikers. U kunt bijvoorbeeld een lokale directory voor distributeurs maken die gebruikerskenmerken bevat zoals regio en marktaandeel, en een andere directory voor leveranciers met kenmerken zoals productcategorie en type leverancier. Identiteitsprovider voor Systeemdirectory en Lokale directory's Standaard wordt de Systeemdirectory die hoort bij een identiteitsprovider, Systeemidentiteitsprovider genoemd. De methode met een wachtwoord (cloud-directory) wordt standaard ingeschakeld bij deze identiteitsprovider en geldt voor het beleid default_access_policy_set voor het netwerkbereik ALL RANGES en het apparaattype Webbrowser. U kunt extra verificatiemethoden configureren en het verificatiebeleid instellen. Wanneer u een nieuwe lokale directory maakt, hoort deze niet bij een identiteitsprovider. Nadat u de directory hebt gemaakt, maakt u een nieuwe identiteitsprovider van het type Embedded en koppelt u de directory aan deze provider. Schakel de verificatiemethode Wachtwoord (clouddirectory) in voor de identiteitsprovider. Meerdere lokale directory's kunnen aan dezelfde identiteitsprovider worden gekoppeld. De VMware Identity Manager-connector is niet vereist voor de Systeemdirectory of voor lokale directory's die u maakt. Raadpleeg "Gebruikersverificatie in VMware Identity Manager configureren" in VMware Identity Managerbeheer voor meer informatie. Wachtwoord beheren voor gebruikers van lokale directory's Standaard kunnen alle gebruikers van lokale directory's hun wachtwoord wijzigen in de portal of app Workspace ONE. U kunt een wachtwoordbeleid voor lokale gebruikers instellen. Indien nodig, kunt u ook wachtwoorden van lokale gebruikers resetten. VMware, Inc. 68

69 Wanneer gebruikers zich hebben aangemeld bij de portal Workspace ONE kunnen zij hun wachtwoord wijzigen door op hun naam in de rechterbovenhoek te klikken, dan Account in het vervolgkeuzemenu te selecteren en vervolgens op de koppeling Wachtwoord wijzigen te klikken. In de app Workspace ONE kunnen gebruikers hun wachtwoord wijzigen door op het menupictogram met drie streepjes te klikken en Wachtwoord te selecteren. Raadpleeg "Gebruikers en Groepen beheren" in VMware Identity Manager-beheer voor informatie over het beleid voor het instellen van wachtwoorden en het resetten van wachtwoorden van lokale gebruikers. Dit hoofdstuk omvat de volgende onderwerpen: Een lokale directory maken Instellingen voor lokale directory wijzigen Een lokale directory verwijderen Een lokale directory maken Als u een lokale directory wilt maken, geeft u de gebruikerskenmerken op voor de directory, maakt u de directory en identificeert u deze met een identiteitsprovider. Gebruikerskenmerken instellen op globaal niveau Voordat u een lokale directory maakt, bekijkt u de globale gebruikerskenmerken op de pagina Gebruikerskenmerken en voegt u zo nodig aangepaste kenmerken toe. Gebruikerskenmerken, zoals voornaam, achternaam, adres en domein, maken deel uit van het profiel van een gebruiker. In de VMware Identity Manager-service worden gebruikerskenmerken gedefinieerd op het globale niveau en toegepast op alle directory's in de service, waaronder lokale directory's. Op het lokale directoryniveau kunt u overschrijven dat een kenmerk vereist of optioneel is voor gebruikers in die lokale directory, maar u kunt geen aangepaste kenmerken toevoegen. Als een kenmerk is vereist, moet u er een waarde voor opgeven wanneer u een gebruiker maakt. De volgende woorden kunnen niet worden gebruikt wanneer u aangepaste kenmerken maakt. Tabel 7 1. Woorden die niet kunnen worden gebruikt als Namen voor aangepaste kenmerken actief adressen kostencentrum afdeling weergavenaam divisie s medewerkersnummer rechten externe id groepen id ims plek manager meta naam bijnaam organisatie wachtwoord telefoonnummer foto's voorkeurstaal profiel-url VMware, Inc. 69

70 Tabel 7 1. Woorden die niet kunnen worden gebruikt als Namen voor aangepaste kenmerken (Vervolgd) rollen tijdzone titel username type gebruiker x509-certificaat Opmerking De mogelijkheid om gebruikerskenmerken over te schrijven op directoryniveau is alleen van toepassing op lokale directory's, niet op Active Directory of LDAP-directory's. Procedure 1 Klik in de VMware Identity Manager-console op het tabblad Identiteits- en toegangsbeheer. 2 Klik op Instellen en klik vervolgens op de tab Gebruikerskenmerken. 3 Bekijk de lijst met gebruikerskenmerken en voeg zo nodig extra kenmerken toe. Opmerking Hoewel u op deze pagina kunt selecteren welke kenmerken zijn vereist, wordt u aanbevolen de selectie voor lokale directory's te maken op het niveau van de lokale directory. Als een kenmerk op deze pagina is gemarkeerd als vereist, is het van toepassing op alle directory's in de service, inclusief Active Directory- of LDAP-directory's. 4 Klik op Opslaan. Wat nu te doen Maak de lokale directory. Lokale directory maken Nadat u de algemene gebruikerskenmerken heeft gecontroleerd en ingesteld, maakt u de lokale directory. Procedure 1 Klik in de VMware Identity Manager-console op het tabblad Identiteits- en toegangsbeheer en klik dan op het tabblad Directory's. 2 Klik op Directory toevoegen en selecteer Lokale gebruikersdirectory toevoegen via het vervolgkeuzemenu. VMware, Inc. 70

71 3 Op de pagina Directory toevoegen, voert u een directorynaam in en specificeert u minimaal één domeinnaam. De domeinnaam moet uniek zijn voor alle directory's in de service. Bijvoorbeeld: 4 Klik op Opslaan. 5 Klik op de pagina Directory's op de nieuwe directory. 6 Klik op het tabblad Gebruikerskenmerken. Alle kenmerken van de pagina Identiteits- en toegangsbeheer > Installatie > Gebruikerskenmerken worden voor de lokale directory vermeld. Kenmerken die op deze pagina als vereist zijn aangeduid, worden ook als vereist weergegeven op de pagina van de lokale directory. 7 Kenmerken voor de lokale directory aanpassen. U kunt specificeren welke kenmerken vereist en welke kenmerken optioneel zijn. U kunt ook de volgorde wijzigen waarin de kenmerken worden weergegeven. Belangrijk De kenmerken Gebruikersnaam, Voornaam, Achternaam en adres zijn altijd vereist voor lokale directory's. Om een kenmerk vereist te maken, selecteert u het selectievakje naast de naam van het kenmerk. Om een kenmerk optioneel te maken, deselecteert u het selectievakje naast de naam van het kenmerk. Om de volgorde van de kenmerken te wijzigen, klikt u op een kenmerk en sleept u het naar de nieuwe locatie. VMware, Inc. 71

72 Wanneer een kenmerk vereist is, moet u een waarde voor het kenmerk specificeren wanneer u een gebruiker maakt. Bijvoorbeeld: 8 Klik op Opslaan. Wat nu te doen Koppel de lokale directory aan de identiteitsprovider die u wilt gebruiken om de gebruikers in de directory te verifiëren. VMware, Inc. 72