SlideShare une entreprise Scribd logo
Administration de VMware Identity
Manager
VMware Identity Manager 2.8
Administration de VMware Identity Manager
2 VMware, Inc.
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
https://docs.vmware.com/fr/
Le site Web de VMware propose également les dernières mises à jour des produits.
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
docfeedback@vmware.com
Copyright ©
2013 – 2016 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Défense
France
www.vmware.com/fr
Table des matières
À propos de l'administration de VMware Identity Manager 7
1 Utilisation de la console d'administration de VMware Identity Manager 9
Navigation dans la console d'administration 9
Présentation des paramètres de gestion des identités et des accès 10
2 Intégration à votre annuaire d'entreprise 15
Concepts importants relatifs à l'intégration d'annuaire 15
3 Intégration à Active Directory 17
Environnements Active Directory 17
À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) 19
Gestion des attributs utilisateur synchronisés à partir d'Active Directory 24
Autorisations requises pour joindre un domaine 25
Configuration de la connexion Active Directory au service 26
Autoriser les utilisateurs à modifier des mots de passe Active Directory 31
Configuration de la sécurité des synchronisations d'annuaire 33
4 Intégration à des annuaires LDAP 35
Limites de l'intégration d'annuaire LDAP 35
Intégrer un annuaire LDAP au service 36
5 Utilisation de répertoires locaux 41
Création d'un répertoire local 43
Modification des paramètres du répertoire local 47
Suppression d'un répertoire local 48
Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système 49
6 Provisionnement d'utilisateurs juste-à-temps 51
À propos du provisionnement d'utilisateurs juste-à-temps 51
Préparation du provisionnement juste-à-temps 52
Configuration du provisionnement d'utilisateurs juste-à-temps 54
Exigences des assertions SAML 55
Désactivation du provisionnement d'utilisateurs juste-à-temps 56
Suppression d'un répertoire juste-à-temps 56
Messages d'erreur 57
7 Configuration de l'authentification des utilisateurs dans
VMware Identity Manager 59
Configuration de Kerberos pour VMware Identity Manager 61
Configuration de SecurID pour VMware Identity Manager 65
VMware, Inc. 3
Configuration de RADIUS pour VMware Identity Manager 67
Configuration de RSA Adaptive Authentication dans VMware Identity Manager 70
Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager 72
Configuration de VMware Verify pour l'authentification à deux facteurs 76
Configuration d'un fournisseur d'identité intégré 78
Configurer des fournisseurs d'identité Workspace supplémentaires 80
Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs 81
Gestion des méthodes d'authentification à appliquer aux utilisateurs 83
8 Gestion des stratégies d'accès 87
Configuration de paramètres de stratégie d'accès 87
Gestion des stratégies spécifiques à une application Web et de poste de travail 90
Ajouter une stratégie spécifique à une application Web ou de poste de travail 92
Configurer le message d'erreur d'accès refusé personnalisé 92
Modifier une stratégie d'accès 93
Activation du cookie persistant sur des périphériques mobiles 94
9 Gestion des utilisateurs et des groupes 95
Types d'utilisateurs et de groupes 95
À propos des noms d'utilisateur et des noms de groupe 96
Gestion des utilisateurs 97
Créer des groupes et configurer des règles de groupe 98
Modifier les règles du groupe 101
Ajouter des ressources à des groupes 101
Créer des utilisateurs locaux 102
Gestion des mots de passe 104
10 Gestion du catalogue 107
Gestion des ressources dans le catalogue 108
Groupement des ressources en catégories 111
Gestion des paramètres du catalogue 113
11 Utiliser le tableau de bord de la console d'administration 119
Surveiller les utilisateurs et l'utilisation des ressources avec le tableau de bord 119
Surveiller les informations système et la santé 120
Consultation des rapports 121
12 Personnaliser les informations de marque des services VMware Identity
Manager 123
Personnalisation des informations de marque dans VMware Identity Manager 123
Personnaliser les informations de marque pour le portail de l'utilisateur 125
Personnaliser des informations de marque pour l'application VMware Verify 126
13 Intégration d'AirWatch à VMware Identity Manager 127
Configuration d'AirWatch pour l'intégrer à VMware Identity Manager 127
Configuration d'une instance d'AirWatch dans VMware Identity Manager 131
Activer le catalogue unifié pour AirWatch 132
Implémentation de l'authentification avec AirWatch Cloud Connector 133
Administration de VMware Identity Manager
4 VMware, Inc.
Implémentation de l'authentification unique mobile pour des périphériques iOS gérés par
AirWatch 135
Implémentation de l'authentification Mobile SSO pour périphériques Android 143
Activer la vérification de la conformité pour les périphériques gérés par AirWatch 149
Index 151
Table des matières
VMware, Inc. 5
Administration de VMware Identity Manager
6 VMware, Inc.
À propos de l'administration de VMware Identity
Manager
Administration de VMware Identity Manager fournit des informations et des instructions sur l'utilisation et
la maintenance des services VMware Identity Manager. Avec VMware Identity Manager™, vous pouvez
configurer et gérer des méthodes d'authentification et des stratégies d'accès, personnaliser un catalogue de
ressources pour les applications de votre entreprise et fournir un accès sécurisé, multi-périphérique géré par
l'utilisateur à ces ressources. Ces ressources comprennent des applications Web, des applications Windows
capturées sous forme de modules ThinApp, des applications Citrix et des pools de postes de travail et
d'applications View.
Public concerné
Ces informations sont destinées à toute personne souhaitant configurer et administrer
VMware Identity Manager. Ces informations sont écrites à l'intention des administrateurs Windows ou
Linux expérimentés et familiers avec la technologie des machines virtuelles, de la gestion d'identité, de
Kerberos et des services de dossiers. La connaissance d'autres technologies, telles que VMware ThinApp
®
,
View, la virtualisation d'applications Citrix et les méthodes d'authentification, telles que RSA SecurID, est
utile si vous prévoyez de mettre en œuvre ces fonctionnalités.
VMware, Inc. 7
Administration de VMware Identity Manager
8 VMware, Inc.
Utilisation de la console
d'administration de
VMware Identity Manager 1
La console d'administration de VMware Identity Manager™ fournit une console de gestion centralisée avec
laquelle vous pouvez gérer des utilisateurs et des groupes, ajouter des ressources au catalogue, gérer des
droits pour des ressources dans le catalogue, configurer l'intégration AirWatch et configurer et gérer des
stratégies d'authentification et d'accès.
Les tâches importantes que vous réalisez depuis la console d'administration sont la gestion des stratégies
d'authentification et d'accès et l'octroi de ressources à des utilisateurs. D'autres tâches soutiennent cette
tâche principale en vous fournissant un contrôle plus précis sur les utilisateurs ou groupes qui sont attribués
à certaines ressources sous certaines conditions.
Les utilisateurs finaux peuvent se connecter à leur portail VMware Workspace™ ONE™ à partir de leurs
périphériques de poste de travail ou mobiles pour accéder à des ressources de travail, notamment des postes
de travail, des navigateurs, des documents d'entreprise partagés et divers types d'applications que vous leur
octroyez.
Ce chapitre aborde les rubriques suivantes :
n « Navigation dans la console d'administration », page 9
n « Présentation des paramètres de gestion des identités et des accès », page 10
Navigation dans la console d'administration
Les tâches de la console d'administration sont organisées par onglets.
Onglet Description
Tableau de bord Le tableau de bord Engagement de l'utilisateur permet de surveiller les utilisateurs et l'utilisation des
ressources. Ce tableau de bord affiche des informations sur les utilisateurs connectés, les applications
utilisées et leur fréquence d'utilisation.
Le tableau de bord Diagnostics du système affiche une présentation détaillée du service dans votre
environnement et d'autres informations sur les services.
Vous pouvez créer des rapports pour suivre les activités des utilisateurs et des groupes, l'utilisation
des ressources et des dispositifs, et les événements d'audit par utilisateur.
Utilisateurs et
groupes
Dans l'onglet Utilisateurs et groupes, vous pouvez gérer et surveiller les utilisateurs et les groupes
importés depuis votre annuaire Active Directory ou LDAP, créer des utilisateurs et des groupes et
autoriser des utilisateurs et des groupes à utiliser des ressources. Vous pouvez configurer la stratégie
de mot de passe pour des utilisateurs locaux.
Catalogue Votre catalogue est le référentiel de toutes les ressources que vous pouvez attribuer aux utilisateurs.
Dans l'onglet Catalogue, vous pouvez ajouter des applications Web, des modules ThinApp, des pools
et des applications View, des postes de travail Horizon Air et des applications Citrix. Vous pouvez
créer une application, regrouper des applications en catégories et accéder à des informations sur
chaque ressource. Sur la page Paramètres du catalogue, vous pouvez télécharger des certificats SAML,
gérer des configurations de ressource et personnaliser l'apparence du portail utilisateur.
VMware, Inc. 9
Onglet Description
Gestion des
identités et des
accès
Dans l'onglet Identité et gestion de l'accès, vous pouvez configurer le service de connecteur, configurer
l'intégration AirWatch, configurer des méthodes d'authentification et appliquer des informations de
marque personnalisées à la page de connexion et à la console d'administration. Vous pouvez gérer des
paramètres de répertoire, des fournisseurs d'identité et des stratégies d'accès. Vous pouvez également
configurer des fournisseurs d'identité tiers.
Paramètres du
dispositif
Dans l'onglet Paramètres du dispositif, vous pouvez gérer la configuration du dispositif, notamment
la configuration des certificats SSL du dispositif, modifier les mots de passe d'administrateur et
système des services et gérer d'autres fonctions d'infrastructure. Vous pouvez également mettre à jour
les paramètres de licence et configurer des paramètres SMTP.
Navigateurs pris en charge pour accéder à la console d'administration
La console d'administration VMware Identity Manager est une application Web qui vous permet de gérer
votre locataire. Vous pouvez accéder à la console d'administration à partir des navigateurs suivants.
n Internet Explorer 11 pour systèmes Windows
n Mozilla Firefox 42.0 ou version ultérieure pour systèmes Windows et Mac
n Mozilla Firefox 40 ou version ultérieure pour les systèmes Windows et Mac
n Safari 6.2.8 et version ultérieure pour les systèmes Mac
Remarque Dans Internet Explorer 11, JavaScript doit être activé et les cookies autorisés pour s'authentifier
via VMware Identity Manager.
Composants de l'utilisateur final de VMware Identity Manager
Les utilisateurs peuvent accéder aux ressources auxquelles ils ont droit depuis leur portail Workspace ONE.
Ils peuvent accéder aux applications Windows virtualisées capturées sous forme de modules ThinApp
depuis Identity Manager Desktop.
Tableau 1‑1. Composants client utilisateur
Composant utilisateur Description
Points de terminaison
disponibles
Portail d'applications de
l'utilisateur Workspace ONE
Le portail d'applications est une application Web sans
agent. Il s'agit de l'interface par défaut utilisée lorsque
les utilisateurs accèdent avec un navigateur aux
ressources qui leur ont été octroyées.
Si un utilisateur final dispose d'applications ThinApp
autorisées et emploie un ordinateur Windows sur
lequel l'application Identity Manager Desktop est
installée et active, il peut voir et lancer les modules
ThinApp qui lui ont été octroyés à l'aide de ce portail
d'applications.
Le portail des applications
Web est disponible sur tous
les points de terminaison
système pris en charge, tels
que les ordinateurs
Windows, les ordinateurs
Mac, les périphériques iOS
et les périphériques
Android.
Identity Manager Desktop Lorsque ce programme est installé sur les ordinateurs
Windows des utilisateurs, ces derniers peuvent
travailler avec leurs applications Windows virtualisées
capturées sous forme de modules ThinApp.
Ordinateurs Windows
Présentation des paramètres de gestion des identités et des accès
Dans l'onglet Identité et gestion de l'accès de la console d'administration, vous pouvez configurer et gérer les
méthodes d'authentification, les stratégies d'accès, le service d'annuaire, et personnaliser l'apparence du
portail de l'utilisateur final et de la console d'administration.
Voici une description des paramètres de configuration dans l'onglet Identité et gestion de l'accès.
Administration de VMware Identity Manager
10 VMware, Inc.
Figure 1‑1. Pages Configuration de l'onglet Identité et gestion de l'accès
Tableau 1‑2. Paramètres de configuration de l'onglet Identité et gestion de l'accès
Paramètre Description
Configuration >
Connecteurs
La page Connecteurs répertorie les connecteurs qui sont déployés dans votre réseau
d'entreprise. Le connecteur est utilisé pour synchroniser les données des utilisateurs et des
groupes entre votre répertoire d'entreprise et le service, et lorsqu'il est utilisé comme
fournisseur d'identité, il authentifie les utilisateurs sur le service.
Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une
partition pour l'annuaire associé, appelée travailleur. Une instance de connecteur peut être
associée à plusieurs travailleurs. Chaque travailleur fait office de fournisseur d'identité.
Vous devez définir et configurer les méthodes d'authentification pour chaque travailleur.
Le connecteur synchronise les données des utilisateurs et des groupes entre votre répertoire
d'entreprise et le service au moyen d'un ou de plusieurs travailleurs.
n Dans la colonne Travailleur, sélectionnez un travailleur pour consulter les détails du
connecteur et accédez à la page Adaptateurs d'authentification pour afficher l'état des
méthodes d'authentification disponibles. Pour de plus amples informations sur
l'authentification, reportez-vous au Chapitre 7, « Configuration de l'authentification
des utilisateurs dans VMware Identity Manager », page 59.
n Dans la colonne Fournisseur d'identité, sélectionnez l'IdP à afficher, modifier ou
désactiver. Voir « Ajouter et configurer une instance de fournisseur d'identité »,
page 81.
n Dans la colonne Annuaire associé, accédez à l'annuaire associé à ce travailleur.
Avant de pouvoir ajouter un nouveau connecteur, vous devez cliquer sur Ajouter un
connecteur pour générer un code d'activation que vous collez dans l'Assistant
Configuration pour établir une connexion avec le connecteur.
Lien Joindre le domaine
n Vous devez cliquer sur Joindre le domaine pour joindre le connecteur à un domaine
Active Directory spécifique. Par exemple, lorsque vous configurez l'authentification
Kerberos, vous devez joindre le domaine Active Directory contenant des utilisateurs ou
ayant une relation d'approbation avec les domaines contenant des utilisateurs.
n Lorsque vous configurez un annuaire avec un environnement Active Directory à
authentification Windows intégrée, le connecteur joint le domaine en fonction des
détails de configuration.
Configuration >
Informations de marque
personnalisées
Sur la page Informations de marque personnalisées, vous pouvez personnaliser l'apparence
de l'en-tête de la console d'administration et de l'écran de connexion. Voir
« Personnalisation des informations de marque dans VMware Identity Manager »,
page 123.
Pour personnaliser le portail Web de l'utilisateur final, les vues Mobile et Tablette, accédez à
Catalogue > Paramètres > Informations de marque du portail de l'utilisateur. Voir
« Personnaliser les informations de marque pour le portail de l'utilisateur », page 125.
Configuration > Attributs
utilisateur
La page Attributs utilisateur répertorie les attributs utilisateur par défaut qui sont
synchronisés dans l'annuaire et vous pouvez ajouter d'autres attributs et les mapper aux
attributs Active Directory. Voir « Sélection des attributs à synchroniser avec l'annuaire »,
page 24.
Configuration > Plages
réseau
Cette page répertorie les plages réseau que vous avez ajoutées. Vous pouvez configurer une
plage réseau pour accorder un accès aux utilisateurs via ces adresses IP. Vous pouvez
ajouter des plages réseau supplémentaires et modifier les plages existantes. Voir « Ajout ou
modification d'une plage réseau », page 83.
Chapitre 1 Utilisation de la console d'administration de VMware Identity Manager
VMware, Inc. 11
Tableau 1‑2. Paramètres de configuration de l'onglet Identité et gestion de l'accès (suite)
Paramètre Description
Configuration >
Découverte automatique
Lorsque VMware Identity Manager et AirWatch sont intégrés, vous pouvez intégrer le
service Découverte automatique de Windows que vous avez déployé dans votre
configuration d'AirWatch au service VMware Identity Manager. Pour plus de détails sur la
configuration de la découverte automatique dans AirWatch, consultez la documentation
d'AirWatch « VMware AirWatch Windows Autodiscovery Service Installation Guide »,
disponible sur le site Web d'AirWatch, http://air-watch.com
Enregistrez votre domaine de messagerie pour utiliser le service de découverte
automatique afin de faciliter l'accès des utilisateurs à leur portail d'applications avec
Workspace ONE. Les utilisateurs finaux peuvent entrer leurs adresses e-mail au lieu de
l'URL de l'organisation lorsqu'ils accèdent à leur portail d'applications via Workspace ONE.
Pour plus d'informations sur la découverte automatique, consultez le guide Configuration
de l'application VMware Workspace ONE sur des périphériques.
Configuration > AirWatch Sur cette page, vous pouvez configurer l'intégration à AirWatch. Une fois l'intégration
configurée et enregistrée, vous pouvez activer le catalogue unifié pour fusionner des
applications paramétrées dans le catalogue AirWatch avec le catalogue unifié, activer la
vérification de la conformité afin de vérifier que les périphériques gérés respectent les
stratégies de conformité d'AirWatch et activer l'authentification par mot de passe utilisateur
via AirWatch Cloud Connector (ACC). Voir Chapitre 13, « Intégration d'AirWatch à
VMware Identity Manager », page 127.
Configuration >
Préférences
La page Préférences affiche des fonctionnalités que l'administrateur peut activer. Cela inclut
n Les cookies persistants peuvent être activés sur cette page. Voir « Activer le cookie
persistant », page 94.
n Lorsque des utilisateurs locaux sont configurés dans votre service, pour afficher
Utilisateurs locaux sous la forme d'une option de domaine sur la page de connexion,
activez Afficher les utilisateurs locaux sur la page de connexion.
Voici une description des paramètres utilisés pour gérer les services dans l'onglet Identité et gestion de
l'accès.
Figure 1‑2. Pages Gérer de l'onglet Identité et gestion de l'accès
Administration de VMware Identity Manager
12 VMware, Inc.
Tableau 1‑3. Paramètres de gestion de l'onglet Identité et gestion de l'accès
Paramètre Description
Gérer > Annuaires La page Annuaires répertorie les annuaires que vous avez créés. Vous devez créer un ou
plusieurs répertoires, puis les synchroniser avec le déploiement de votre répertoire
d'entreprise. Cette page présente le nombre de groupes et d'utilisateurs qui sont
synchronisés avec l'annuaire ainsi que l'heure de la dernière synchronisation. Vous pouvez
cliquer sur Synchroniser maintenant afin de lancer la synchronisation de l'annuaire.
Voir Chapitre 2, « Intégration à votre annuaire d'entreprise », page 15.
Lorsque vous cliquez sur le nom d'un annuaire, vous pouvez modifier les paramètres de
synchronisation, accéder à la page Fournisseurs d'identité et consulter le journal de
synchronisation.
Sur la page des paramètres de synchronisation des répertoires, vous pouvez programmer la
fréquence de synchronisation, voir la liste de domaines associés à ce répertoire, modifier la
liste d'attributs mappés, mettre à jour la liste des utilisateurs et des groupes qui se
synchronisent et définir les cibles de protection.
Gérer > Fournisseurs
d'identité
La page Fournisseurs d'identité répertorie les fournisseurs d'identité que vous avez
configurés. Le connecteur est le fournisseur d'identité initial. Vous pouvez ajouter des
instances de fournisseurs d'identité tiers ou avoir une combinaison des deux. Le
fournisseur d'identité intégré de VMware Identity Manager peut être configuré pour
l'authentification.
Voir « Ajouter et configurer une instance de fournisseur d'identité », page 81.
Gérer > Assistant
Récupération de mot de
passe
Sur la page Assistant Récupération de mot de passe, vous pouvez modifier le
comportement par défaut lorsque l'utilisateur final clique sur le bouton « Mot de passe
oublié » de l'écran de connexion.
Gérer > Stratégies La page Stratégies répertorie la stratégie d'accès par défaut et toute autre stratégie d'accès
aux applications Web que vous avez créées. Les stratégies sont des ensembles de règles qui
spécifient les critères à respecter pour que les utilisateurs accèdent à leur portail Mes
applications ou pour lancer des applications Web spécialement activées pour ces derniers.
Vous pouvez modifier la stratégie par défaut et, si des applications Web sont ajoutées au
catalogue, vous pouvez ajouter de nouvelles stratégies pour gérer l'accès à ces applications
Web. Voir Chapitre 8, « Gestion des stratégies d'accès », page 87.
Chapitre 1 Utilisation de la console d'administration de VMware Identity Manager
VMware, Inc. 13
Administration de VMware Identity Manager
14 VMware, Inc.
Intégration à votre annuaire
d'entreprise 2
Vous intégrez VMware Identity Manager à votre annuaire d'entreprise pour synchroniser les utilisateurs et
les groupes entre votre annuaire d'entreprise et le service VMware Identity Manager.
Les types d'annuaires suivants sont pris en charge.
n Active Directory via LDAP
n Active Directory, authentification Windows intégrée
n répertoire LDAP
Pour l'intégration à votre annuaire d'entreprise, vous effectuez les tâches suivantes.
n Spécifiez les attributs que vous voulez que les utilisateurs aient dans le service
VMware Identity Manager.
n Créez un annuaire dans le service VMware Identity Manager du même type que celui de votre annuaire
d'entreprise et spécifiez les détails de connexion.
n Mappez les attributs VMware Identity Manager aux attributs utilisés dans votre annuaire Active
Directory ou LDAP.
n Spécifiez les utilisateurs et les groupes à synchroniser.
n Synchronisez les utilisateurs et les groupes.
Après avoir intégré votre annuaire d'entreprise et effectué la synchronisation initiale, vous pouvez mettre à
jour la configuration, configurer un planning de synchronisation régulier ou démarrer une synchronisation à
tout moment.
Concepts importants relatifs à l'intégration d'annuaire
Plusieurs concepts sont essentiels pour comprendre comment le service VMware Identity Manager s'intègre
à votre environnement d'annuaire Active Directory ou LDAP.
Connector
Le connecteur, composant du service, exécute les fonctions suivantes.
n Synchronise les données des utilisateurs et des groupes de votre annuaire Active Directory ou LDAP
avec le service.
n Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service.
VMware, Inc. 15
Le connecteur est le fournisseur d'identité par défaut. Vous pouvez également utiliser les fournisseurs
d'identité tiers prenant en charge le protocole SAML 2.0. Utilisez un fournisseur d'identité tiers pour un
type d'authentification non pris en charge par le connecteur ou si le fournisseur d'identité tiers est
préférable en fonction de la stratégie de sécurité de votre entreprise.
Remarque Si vous utilisez des fournisseurs d'identité tiers, vous pouvez configurer le connecteur pour
synchroniser des données utilisateur et groupe ou configurer le provisionnement utilisateur juste-à-
temps. Consultez la section Provisionnement utilisateur juste-à-temps dans Administration de VMware
Identity Manager pour plus d'informations.
Annuaire
Le service VMware Identity Manager dispose de son propre concept d'annuaire, qui correspond à l'annuaire
Active Directory ou LDAP dans votre environnement. Cet annuaire utilise des attributs pour définir des
utilisateurs et des groupes. Vous devez créer un ou plusieurs annuaires dans le service, puis les synchroniser
avec votre annuaire Active Directory ou LDAP. Vous pouvez créer les types d'annuaires suivants dans le
service.
n Active Directory
n Active Directory via LDAP : Créez ce type d'annuaire si vous prévoyez de vous connecter à un seul
environnement de domaine Active Directory. Pour le type d'annuaire Active Directory via LDAP, le
connecteur se lie à Active Directory via une authentification Bind simple.
n Active Directory, authentification Windows intégrée. Créez ce type d'annuaire si vous prévoyez de
vous connecter à un environnement Active Directory à forêts et domaines multiples. Le connecteur
se lie à Active Directory via l'authentification Windows intégrée.
Le type et le nombre d'annuaires que vous créez varie selon votre environnement Active Directory, par
exemple à domaine simple ou multiple, et le type d'approbation utilisé entre les domaines. Dans la
plupart des environnements, vous devez créer un seul annuaire.
n Annuaire LDAP
Le service n'a pas un accès direct à votre annuaire Active Directory ou LDAP. Seul le connecteur a un accès
direct. Par conséquent, vous devez associer chaque annuaire créé dans le service à une connecteur instance.
Travailleur
Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partition pour
l'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée à plusieurs travailleurs.
Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodes
d'authentification pour chaque travailleur.
Le connecteur synchronise les données des utilisateurs et des groupes entre votre annuaire Active Directory
ou LDAP et le service au moyen d'un ou de plusieurs travailleurs.
Important La même instance de connecteur ne peut pas comporter deux travailleurs d'Active Directory de
type Authentification Windows intégrée.
Considérations de sécurité
Pour les répertoires d'entreprise intégrés au service VMware Identity Manager, des paramètres de sécurité,
tels que les règles de complexité des mots de passe utilisateur et des stratégies de verrouillage de compte,
doivent être définis directement dans le répertoire d'entreprise. VMware Identity Manager ne remplace pas
ces paramètres.
Administration de VMware Identity Manager
16 VMware, Inc.
Intégration à Active Directory 3
Vous pouvez intégrer VMware Identity Manager à votre déploiement d'Active Directory pour synchroniser
les utilisateurs et les groupes entre Active Directory et VMware Identity Manager.
Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 15.
Ce chapitre aborde les rubriques suivantes :
n « Environnements Active Directory », page 17
n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19
n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24
n « Autorisations requises pour joindre un domaine », page 25
n « Configuration de la connexion Active Directory au service », page 26
n « Autoriser les utilisateurs à modifier des mots de passe Active Directory », page 31
n « Configuration de la sécurité des synchronisations d'annuaire », page 33
Environnements Active Directory
Vous pouvez intégrer le service dans un environnement Active Directory composé d'un seul domaine Active
Directory, de plusieurs domaines dans une forêt Active Directory unique, ou de plusieurs domaines dans
différentes forêts Active Directory.
Environnement à un seul domaine Active Directory
Un déploiement Active Directory unique vous permet de synchroniser les utilisateurs et les groupes d'un
seul domaine Active Directory.
Pour cet environnement, lorsque vous ajoutez un annuaire au service, sélectionnez l'option Active Directory
via LDAP.
Pour plus d'informations, voir :
n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19
n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24
n « Autorisations requises pour joindre un domaine », page 25
n « Configuration de la connexion Active Directory au service », page 26
VMware, Inc. 17
Environnement Active Directory à domaines multiples, forêt unique
Un déploiement à domaines multiples, forêt unique vous permet de synchroniser des utilisateurs et des
groupes à partir de multiples domaines Active Directory au sein d'une forêt unique.
Vous pouvez configurer le service pour cet environnement Active Directory en tant qu'annuaire de type
Authentification Windows intégrée à Active Directory unique ou en tant qu'annuaire de type Active
Directory via LDAP configuré avec l'option de catalogue global.
n L'option recommandée consiste à créer un annuaire de type Authentification Windows intégrée à
Active Directory unique.
Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory
(Authentification Windows intégrée).
Pour plus d'informations, voir :
n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19
n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24
n « Autorisations requises pour joindre un domaine », page 25
n « Configuration de la connexion Active Directory au service », page 26
n Si l'authentification Windows intégrée ne fonctionne pas dans votre environnement Active Directory,
créez un annuaire de type Active Directory via LDAP et sélectionnez l'option de catalogue global.
Certaines limitations sont définies pour la sélection de l'option de catalogue global, parmi lesquelles :
n Les attributs d'objet Active Directory qui sont répliqués sur le catalogue global sont identifiés dans
le schéma Active Directory sous forme d'ensemble d'attributs partiels (PAS) : Seuls ces attributs
sont disponibles pour le mappage des attributs par le service. Si nécessaire, modifiez le schéma
pour ajouter ou supprimer les attributs qui sont stockés dans le catalogue global.
n Le catalogue global stocke l'appartenance au groupe (l'attribut membre) des groupes universels
uniquement. Seuls les groupes universels sont synchronisés avec le service. Si nécessaire, vous
pouvez modifier la portée d'un groupe d'un domaine local ou passer de global à universel.
n Le compte ND Bind que vous définissez lors de la configuration d'un annuaire dans le service doit
disposer d'autorisations pour lire l'attribut TGGAU (Token-Groups-Global-And-Universal).
Active Directory utilise les ports 389 et 636 pour les requêtes LDAP standard. Pour les requêtes de
catalogue global, les ports 3268 et 3269 sont utilisées.
Lorsque vous ajoutez un annuaire pour l'environnement de catalogue global, spécifiez les actions
suivantes lors de la configuration.
n Sélectionnez l'option Active Directory via LDAP.
n Décochez la case correspondant à l'option Cet annuaire prend en charge l'emplacement du
service DNS.
n Sélectionnez l'option Cet annuaire comporte un catalogue global. Lorsque vous sélectionnez cette
option, le numéro de port du serveur est automatiquement modifié à 3268. Aussi, du fait que le ND
de base n'est pas nécessaire lors de la configuration de l'option de catalogue global, la zone de texte
ND de base n'apparaît pas.
n Ajoutez le nom d'hôte du serveur Active Directory.
n Si votre annuaire Active Directory requiert un accès via SSL, sélectionnez l'option Cet annuaire
exige que toutes les connexions utilisent SSL et collez le certificat dans la zone de texte indiquée.
Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié
à 3269.
Administration de VMware Identity Manager
18 VMware, Inc.
Environnement Active Directory à forêts multiples avec relations d'approbation
Un déploiement Active Directory à forêts multiples avec relations d'approbation vous permet de
synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des
forêts où des relations d'approbation bidirectionnelles existent entre les domaines.
Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory
(Authentification Windows intégrée).
Pour plus d'informations, voir :
n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19
n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24
n « Autorisations requises pour joindre un domaine », page 25
n « Configuration de la connexion Active Directory au service », page 26
Environnement Active Directory à forêts multiples sans relations d'approbation
Un déploiement Active Directory à forêts multiples sans relations d'approbation vous permet de
synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des
forêts sans relation d'approbation entre les domaines. Dans cet environnement, vous devez créer plusieurs
annuaires dans le service, à raison d'un annuaire par forêt.
Le type d'annuaire que vous créez dans le service varie selon la forêt. Pour les forêts à plusieurs domaines,
sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour une forêt ne comptant
qu'un seul domaine, sélectionnez l'option Active Directory via LDAP.
Pour plus d'informations, voir :
n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19
n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24
n « Autorisations requises pour joindre un domaine », page 25
n « Configuration de la connexion Active Directory au service », page 26
À propos de la sélection des contrôleurs de domaine (fichier
domain_krb.properties)
Le fichier domain_krb.properties détermine les contrôleurs de domaine qui sont utilisés pour les annuaires
sur lesquels la recherche de l'emplacement du service DNS (enregistrements SRV) est activée. Il contient une
liste de contrôleurs de domaine pour chaque domaine. Le connecteur crée le fichier, et vous devez le gérer
par la suite. Le fichier remplace la recherche de l'emplacement du service DNS (SRV).
La recherche de l'emplacement du service DNS est activée sur les types d'annuaires suivants :
n Active Directory sur LDAP avec l'option Cet annuaire prend en charge l'emplacement du service DNS
sélectionnée
n Active Directory (authentification Windows intégrée), pour lequel la recherche de l'emplacement du
service DNS est toujours activée
La première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est
activée, un fichier domain_krb.properties est automatiquement créé dans le
répertoire /usr/local/horizon/conf de la machine virtuelle, puis rempli avec des contrôleurs de domaine
pour chaque domaine. Pour remplir le fichier, le connecteur tente de rechercher les contrôleurs de domaine
qui se trouvent sur le même site que le connecteur et en sélectionne deux qui sont accessibles et qui
réagissent le plus vite.
Chapitre 3 Intégration à Active Directory
VMware, Inc. 19
Lorsque vous créez des annuaires supplémentaires sur lesquels la recherche de l'emplacement du service
DNS est activée, ou lorsque vous ajoutez de nouveaux domaines à un annuaire Authentification Windows
intégrée, les nouveaux domaines, et une liste de leurs contrôleurs de domaine, sont ajoutés au fichier.
Vous pouvez remplacer la sélection par défaut à tout moment en modifiant le fichier
domain_krb.properties. Après avoir créé un annuaire, il vous est conseillé de consulter le fichier
domain_krb.properties et de vérifier que les contrôleurs de domaine répertoriés sont les plus adaptés à
votre configuration. Pour un déploiement Active Directory global avec plusieurs contrôleurs de domaine
dans différents emplacements géographiques, le fait d'utiliser un contrôleur de domaine proche du
connecteur garantit une communication plus rapide avec Active Directory.
Vous devez également mettre à jour le fichier manuellement pour toute autre modification. Les règles
suivantes s'appliquent.
n Le fichier domain_krb.properties est créé dans la machine virtuelle qui contient le connecteur. Dans un
déploiement classique, sans connecteurs supplémentaires déployés, le fichier est créé dans la machine
virtuelle de service VMware Identity Manager. Si vous utilisez un connecteur supplémentaire pour
l'annuaire, le fichier est créé dans la machine virtuelle de connecteur. Une machine virtuelle ne peut
contenir qu'un seul fichier domain_krb.properties.
n Le fichier est créé et rempli automatiquement avec des contrôleurs de domaine pour chaque domaine,
la première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS
est activée.
n Les contrôleurs de domaine de chaque domaine sont classés par ordre de priorité. Pour se connecter à
Active Directory, le connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas
accessible, il teste le deuxième de la liste, etc.
n Le fichier est mis à jour uniquement lorsque vous créez un annuaire sur lequel la recherche de
l'emplacement du service DNS est activée ou lorsque vous ajoutez un domaine à un annuaire
Authentification Windows intégrée. Le nouveau domaine et une liste de contrôleurs de domaine le
concernant sont ajoutés au fichier.
Notez que si une entrée pour un domaine existe déjà dans le fichier, elle n'est pas mise à jour. Par
exemple, si vous avez créé puis supprimé un annuaire, l'entrée de domaine d'origine reste dans le
fichier et elle n'est pas mise à jour.
n Le fichier n'est mis à jour automatiquement dans aucun autre scénario. Par exemple, si vous supprimez
un annuaire, l'entrée de domaine n'est pas supprimée du fichier.
n Si un contrôleur de domaine répertorié dans le fichier n'est pas accessible, modifiez le fichier et
supprimez-le.
n Si vous ajoutez ou supprimez une entrée de domaine manuellement, vos modifications ne seront pas
remplacées.
Pour plus d'informations sur la modification du fichier domain_krb.properties, reportez-vous à la section
« Modification du fichier domain_krb.properties », page 22.
Important Le fichier /etc/krb5.conf doit être cohérent avec le fichier domain_krb.properties. Lorsque
vous mettez à jour le fichier domain_krb.properties, mettez également à jour le fichier krb5.conf. Pour plus
d'informations, consultez la section « Modification du fichier domain_krb.properties », page 22 et
l'article 2091744 de la base de connaissances.
Administration de VMware Identity Manager
20 VMware, Inc.
Mode de sélection des contrôleurs de domaine pour remplir automatiquement
le fichier domain_krb.properties
Pour remplir automatiquement le fichier domain_krb.properties, des contrôleurs de domaine sont
sélectionnés en déterminant le sous-réseau sur lequel réside le connecteur (en fonction de l'adresse IP et du
masque de réseau), puis en utilisant la configuration Active Directory afin d'identifier le site de ce sous-
réseau, en obtenant la liste de contrôleurs de domaine de ce site, en filtrant la liste pour le domaine
approprié et en choisissant les deux contrôleurs de domaine qui réagissent le plus vite.
Pour détecter les contrôleurs de domaine qui sont les plus proches, VMware Identity Manager a les
exigences suivantes :
n Le sous-réseau du connecteur doit être présent dans la configuration Active Directory, ou un sous-
réseau doit être spécifié dans le fichier runtime-config.properties. Voir « Remplacement de la sélection
de sous-réseau par défaut », page 21.
Le sous-réseau est utilisé pour déterminer le site.
n La configuration Active Directory doit être liée au site.
Si le sous-réseau ne peut pas être déterminé ou si votre configuration Active Directory n'est pas liée au site,
la recherche de l'emplacement du service DNS est utilisée pour rechercher des contrôleurs de domaine, et le
fichier est rempli avec quelques contrôleurs de domaine qui sont accessibles. Notez qu'il est possible que ces
contrôleurs de domaine ne se trouvent pas dans le même emplacement géographique que le connecteur, ce
qui peut entraîner des retards ou des délais d'expiration lors de la communication avec Active Directory.
Dans ce cas, modifiez le fichier domain_krb.properties manuellement et spécifiez les contrôleurs de
domaine corrects à utiliser pour chaque domaine. Voir « Modification du fichier domain_krb.properties »,
page 22.
Exemple de fichier domain_krb.properties
example.com=host1.example.com:389,host2.example.com:389
Remplacement de la sélection de sous-réseau par défaut
Pour remplir automatiquement le fichier domain_krb.properties, le connecteur tente de rechercher les
contrôleurs de domaine qui se trouvent sur le même site afin qu'il y ait une latence minimale entre le
connecteur et Active Directory.
Pour rechercher le site, le connecteur détermine le sous-réseau sur lequel il réside, en fonction de son
adresse IP et de son masque de réseau, puis utilise la configuration Active Directory pour identifier le site
pour ce sous-réseau. Si le sous-réseau de la machine virtuelle ne se trouve pas dans Active Directory, ou si
vous voulez remplacer la sélection de sous-réseau automatique, vous pouvez spécifier un sous-réseau dans
le fichier runtime-config.properties.
Procédure
1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine.
Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à la
machine virtuelle de connecteur.
2 Modifiez le fichier /usr/local/horizon/conf/runtime-config.properties pour ajouter l'attribut suivant.
siteaware.subnet.override=subnet
où subnet est un sous-réseau du site dont vous voulez utiliser les contrôleurs de domaine. Par exemple :
siteaware.subnet.override=10.100.0.0/20
Chapitre 3 Intégration à Active Directory
VMware, Inc. 21
3 Enregistrez et fermez le fichier.
4 Redémarrez le service.
service horizon-workspace restart
Modification du fichier domain_krb.properties
Le fichier /usr/local/horizon/conf/domain_krb.properties détermine les contrôleurs de domaine à utiliser
pour les annuaires sur lesquels la recherche de l'emplacement du service DNS est activée. Vous pouvez
modifier le fichier à tout moment pour changer la liste de contrôleurs de domaine d'un domaine ou pour
ajouter ou supprimer des entrées de domaine. Vos modifications ne seront pas remplacées.
Le fichier est créé et rempli automatiquement par le connecteur. Vous devez le mettre à jour manuellement
dans les scénarios suivants.
n Si les contrôleurs de domaine sélectionnés par défaut ne sont pas les plus adaptés à votre configuration,
modifiez le fichier et spécifiez les contrôleurs de domaine à utiliser.
n Si vous supprimez un répertoire, supprimez l'entrée de domaine correspondante dans le fichier.
n Si des contrôleurs de domaine dans le fichier ne sont pas accessibles, supprimez-les du fichier.
Reportez-vous également à la section « À propos de la sélection des contrôleurs de domaine (fichier
domain_krb.properties) », page 19.
Procédure
1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine.
Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à la
machine virtuelle de connecteur.
2 Modifiez les répertoires sur /usr/local/horizon/conf.
3 Modifiez le fichier domain_krb.properties pour ajouter ou modifier la liste de domaine aux valeurs
d'hôte.
Utilisez le format suivant :
domain=host:port,host2:port,host3:port
Par exemple :
example.com=examplehost1.example.com:389,examplehost2.example.com:389
Répertoriez les contrôleurs de domaine par ordre de priorité. Pour se connecter à Active Directory, le
connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas accessible, il teste le
deuxième de la liste, etc.
Important Les noms de domaine doivent être en minuscules.
4 Remplacez le propriétaire du fichier domain_krb.properties par horizon et le groupe par www à l'aide de
la commande suivante.
chown horizon:www /usr/local/horizon/conf/domain_krb.properties
5 Redémarrez le service.
service horizon-workspace restart
Administration de VMware Identity Manager
22 VMware, Inc.
Suivant
Une fois que vous avez modifié le fichier domain_krb.properties, modifiez le fichier /etc/krb5.conf. Le
fichier krb5.conf doit être cohérent avec le fichier domain_krb.properties.
1 Modifiez le fichier /etc/krb5.conf et mettez à jour la section realms pour spécifier les mêmes valeurs
domaine-vers-l'hôte qui sont utilisées dans le fichier /usr/local/horizon/conf/domain_krb.properties.
Vous n'avez pas besoin de spécifier le numéro de port. Par exemple, si votre fichier
domain_krb.properties contient l'entrée de domaine example.com=examplehost.example.com:389, vous
devez mettre à jour le fichier krb5.conf comme suit.
[realms]
GAUTO-QA.COM = {
auth_to_local = RULE:[1:$0$1](^GAUTO-QA.COM.*)s/^GAUTO-QA.COM/GAUTO-QA/
auth_to_local = RULE:[1:$0$1](^GAUTO-QA.COM.*)s/^GAUTO-QA.COM/GAUTO-QA/
auth_to_local = RULE:[1:$0$1](^GAUTO2QA.GAUTO-QA.COM.*)s/^GAUTO2QA.GAUTO-
QA.COM/GAUTO2QA/
auth_to_local = RULE:[1:$0$1](^GLOBEQE.NET.*)s/^GLOBEQE.NET/GLOBEQE/
auth_to_local = DEFAULT
kdc = examplehost.example.com
}
Remarque Il est possible d'avoir plusieurs entrées kdc. Toutefois, il ne s'agit pas d'une obligation, car
dans la plupart des cas il n'y a qu'une seule valeur kdc. Si vous choisissez de définir des valeurs kdc
supplémentaires, chaque ligne aura une entrée kdc qui définira un contrôleur de domaine.
2 Redémarrez le service workspace.
service horizon-workspace restart
Consultez également l'article 2091744 de la base de connaissances.
Dépannage du fichier domain_krb.properties
Utilisez les informations suivantes pour dépanner le fichier domain_krb.properties.
Erreur « Erreur lors de la résolution du domaine »
Si le fichier domain_krb.properties comporte déjà une entrée pour un domaine et si vous tentez de créer un
annuaire d'un type différent pour le même domaine, une « Erreur lors de la résolution du domaine » se
produit. Vous devez modifier le fichier domain_krb.properties et supprimer manuellement l'entrée de
domaine avant de créer l'annuaire.
Des contrôleurs de domaine sont inaccessibles
Une fois l'entrée de domaine ajoutée au fichier domain_krb.properties, elle n'est pas mise à jour
automatiquement. Si des contrôleurs de domaine répertoriés dans le fichier deviennent inaccessibles,
modifiez le fichier manuellement et supprimez-les.
Chapitre 3 Intégration à Active Directory
VMware, Inc. 23
Gestion des attributs utilisateur synchronisés à partir d'Active
Directory
Lors de la configuration de répertoire du service VMware Identity Manager, vous devez sélectionner des
attributs utilisateur et des filtres Active Directory pour sélectionner les utilisateurs à synchroniser dans le
répertoire VMware Identity Manager. Il est possible de modifier les attributs utilisateur qui se synchronisent
avec la console d'administration, onglet Gestion des identités et des accès, Configuration > Attributs
utilisateur.
Les modifications effectuées et sauvegardées sur la page Attributs utilisateur sont ajoutées sur la page
Attributs mappés dans le répertoire de VMware Identity Manager. Les modifications des attributs sont
mises à jour dans le répertoire lors de la synchronisation suivante à Active Directory.
La page Attributs utilisateur répertorie les attributs d'annuaire par défaut pouvant être mappés aux attributs
Active Directory. Vous devez sélectionner les attributs obligatoires et ajouter les autres attributs que vous
souhaitez synchroniser avec le répertoire. Lorsque vous ajoutez des attributs, le nom d'attribut que vous
entrez est sensible à la casse. Par exemple, adresse, Adresse et ADRESSE sont des attributs différents.
Tableau 3‑1. Attributs Active Directory par défaut à synchroniser avec le répertoire
Nom de l'attribut du répertoire de VMware Identity
Manager Mappage par défaut vers l'attribut Active Directory
userPrincipalName userPrincipalName
distinguishedName distinguishedName
employeeId employeeID
domaine canonicalName. Ajoute le nom de domaine complet de l'objet.
disabled (utilisateur externe désactivé) userAccountControl. Indiqué par UF_Account_Disable
Lorsqu'un compte est désactivé, les utilisateurs ne peuvent pas
se connecter pour accéder à leurs applications et à leurs
ressources. Comme les ressources attribuées aux utilisateurs ne
sont pas supprimées du compte, lorsque l'indicateur est
supprimé du compte, les utilisateurs peuvent se connecter et
accéder aux ressources qui leur sont octroyées
phone telephoneNumber
lastName sn
firstName givenName
email mail
userName sAMAccountName.
Sélection des attributs à synchroniser avec l'annuaire
Lorsque vous configurez l'annuaire VMware Identity Manager à synchroniser avec Active Directory, vous
devez spécifier les attributs utilisateur qui sont synchronisés avec l'annuaire. Avant de configurer l'annuaire,
vous pouvez spécifier sur la page Attributs utilisateur les attributs par défaut requis et ajouter les attributs
supplémentaires que vous souhaitez mapper aux attributs Active Directory.
Lorsque vous configurez la page Attributs utilisateur avant la création de l'annuaire, vous pouvez faire
passer les attributs par défaut de l'état obligatoire à l'état facultatif, marquer les attributs si nécessaire et
ajouter des attributs personnalisés.
Une fois l'annuaire créé, vous pouvez faire passer un attribut obligatoire à l'état facultatif, et vous pouvez
supprimer des attributs personnalisés. Il n'est pas possible de modifier un attribut pour le faire passer à l'état
obligatoire.
Administration de VMware Identity Manager
24 VMware, Inc.
Lorsque vous ajoutez d'autres attributs à synchroniser avec l'annuaire, une fois l'annuaire créé, accédez à la
page Attributs mappés de l'annuaire pour mapper ces attributs à ceux d'Active Directory.
Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager,
vous devez faire de distinguishedName un attribut obligatoire. Vous devez spécifier cela avant de créer
l'annuaire VMware Identity Manager.
Procédure
1 Sur l'onglet Gestion des identités et des accès de la console d'administration, cliquez sur Configuration
> Attributs utilisateur.
2 Dans la section Attributs par défaut, examinez la liste d'attributs obligatoires et apportez les
modifications souhaitées pour refléter les attributs obligatoires.
3 Dans la section Attributs, ajoutez le nom d'attribut de l'annuaire VMware Identity Manager à la liste.
4 Cliquez sur Enregistrer.
L'état d'attribut par défaut est mis à jour et les attributs que vous avez ajoutés sont ajoutés à la liste
d'attributs mappés de l'annuaire.
5 Une fois l'annuaire créé, accédez à la page Gérer > Annuaires et sélectionnez l'annuaire.
6 Cliquez sur Paramètres de synchronisation > Attributs mappés.
7 Dans le menu déroulant des attributs que vous avez ajoutés, sélectionnez l'attribut Active Directory à
mapper.
8 Cliquez sur Enregistrer.
L'annuaire est mis à jour lors de sa prochaine synchronisation avec Active Directory.
Autorisations requises pour joindre un domaine
Vous pouvez avoir besoin de joindre le connecteur VMware Identity Manager à un domaine. Pour les
annuaires Active Directory via LDAP, vous pouvez joindre un domaine après la création de l'annuaire. Pour
les annuaires de type Active Directory (authentification Windows intégrée), le connecteur est joint au
domaine automatiquement lorsque vous créez l'annuaire. Dans les deux scénarios, vous êtes invité à fournir
des informations d'identification.
Pour joindre un domaine, vous avez besoin d'informations d'identification Active Directory avec le privilège
pour « joindre un ordinateur au domaine AD ». Cela est configuré dans Active Directory avec les droits
suivants :
n Créer des objets Ordinateur
n Supprimer des objets Ordinateur
Lorsque vous joignez un domaine, un objet d'ordinateur est créé dans l'emplacement par défaut dans Active
Directory, sauf si vous spécifiez une OU personnalisée.
Si vous ne disposez pas des droits de joindre un domaine, suivez ces étapes.
1 Demandez à votre administrateur Active Directory de créer l'objet Ordinateur dans Active Directory,
dans un emplacement déterminé par votre stratégie d'entreprise. Fournissez le nom d'hôte du
connecteur . Vérifiez que vous fournissez le nom de domaine complet, par exemple,
serveur.exemple.com.
Conseil Vous pouvez voir le nom d'hôte dans la colonne Nom d'hôte sur la page Connecteurs dans la
console d'administration. Cliquez sur Identité et gestion de l'accès > Configuration > Connecteurs
pour afficher la page Connecteurs.
Chapitre 3 Intégration à Active Directory
VMware, Inc. 25
2 Une fois l'objet Ordinateur créé, joignez le domaine à l'aide d'un compte d'utilisateur de domaine dans
la console d'administration de VMware Identity Manager.
La commande Joindre le domaine est disponible sur la page Connecteurs, accessible en cliquant sur
Identité et gestion de l'accès > Configuration > Connecteurs.
Option Description
Domaine Sélectionnez ou entrez le domaine Active Directory à
joindre. Vérifiez que vous entrez le nom de domaine
complet. Par exemple, server.example.com.
Utilisateur du domaine Nom d'utilisateur d'un utilisateur Active Directory
disposant des droits de joindre des systèmes au domaine
Active Directory.
Mot de passe du domaine Mot de passe de l'utilisateur.
Unité d'organisation (OU) (Facultatif) Unité d'organisation (OU) de l'objet ordinateur.
Cette option crée un objet ordinateur dans l'OU spécifiée
plutôt que l'OU Ordinateurs par défaut.
Par exemple, ou=testou,dc=test,dc=example,dc=com.
Configuration de la connexion Active Directory au service
La console d'administration permet de spécifier les informations requises pour vous connecter à votre
annuaire Active Directory et de sélectionner les utilisateurs et les groupes à synchroniser avec l'annuaire
VMware Identity Manager.
Les options de connexion à Active Directory sont Active Directory via LDAP et Authentification Windows
intégrée à Active Directory. La connexion Active Directory via LDAP prend en charge la recherche de
l'emplacement du service DNS. Avec l'authentification Windows intégrée à Active Directory, vous devez
configurer le domaine à joindre.
Prérequis
n Sélectionnez les attributs par défaut souhaités et ajoutez des attributs supplémentaires, si nécessaire, sur
la page Attributs utilisateur. Voir « Sélection des attributs à synchroniser avec l'annuaire », page 24.
Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager,
vous devez faire de distinguishedName un attribut requis. Vous devez faire cette sélection avant de
créer un annuaire car les attributs ne peuvent pas être modifiés en attributs requis si l'annuaire est déjà
créé.
n Liste des groupes et utilisateurs d'Active Directory à synchroniser depuis Active Directory.
n Pour Active Directory via LDAP, les informations requises incluent le nom unique de base, le nom
unique de liaison et le mot de passe du nom unique de liaison.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot
de passe sans date d'expiration.
n Pour l'authentification Windows intégrée à Active Directory, les informations requises incluent l'adresse
et le mot de passe de l'UPN de l'utilisateur Bind du domaine.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot
de passe sans date d'expiration.
n Si Active Directory requiert un accès via SSL ou STARTTLS, le certificat d'autorité de certification racine
du contrôleur de domaine Active Directory est requis.
Administration de VMware Identity Manager
26 VMware, Inc.
n Pour l'authentification Windows intégrée à Active Directory, lorsque vous avez configuré un annuaire
Active Directory à forêts multiples et que le groupe local du domaine contient des membres de
domaines provenant de différentes forêts, assurez-vous que l'utilisateur Bind est ajouté au groupe
Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne
seront pas présents dans le groupe local du domaine.
Procédure
1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.
2 Sur la page Répertoires, cliquez sur Ajouter un répertoire.
3 Entrez un nom pour cet annuaire VMware Identity Manager.
Chapitre 3 Intégration à Active Directory
VMware, Inc. 27
4 Sélectionnez le type d'annuaire Active Directory dans votre environnement et configurez les
informations de connexion.
Option Description
Active Directory via LDAP a Dans le champ Connecteur de synchronisation, sélectionnez le
connecteur à utiliser pour la synchronisation avec Active Directory.
b Dans le champ Authentification, si cet annuaire Active Directory est
utilisé pour authentifier des utilisateurs, cliquez sur Oui.
Si un fournisseur d'identité tiers est utilisé pour authentifier les
utilisateurs, cliquez sur Non. Après avoir configuré la connexion
Active Directory pour synchroniser les utilisateurs et les groupes,
accédez à la page Gestion des identités et des accès > Gérer >
Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des
fins d'authentification.
c Dans le champ Attribut de recherche d'annuaire, sélectionnez
l'attribut de compte qui contient le nom d'utilisateur.
d Si l'annuaire Active Directory utilise la recherche de l'emplacement du
service DNS, faites les sélections suivantes.
n Dans la section Emplacement du serveur, cochez la case Ce
répertoire prend en charge l'emplacement du service DNS.
Un fichier domain_krb.properties, rempli automatiquement
avec une liste de contrôleurs de domaine, sera créé lors de la
création de l'annuaire. Voir « À propos de la sélection des
contrôleurs de domaine (fichier domain_krb.properties) », page 19.
n Si l'annuaire Active Directory requiert le chiffrement STARTTLS,
cochez la case Cet annuaire exige que toutes les connexions
utilisent SSL dans la section Certificats, puis copiez et collez le
certificat d'autorité de certification racine Active Directory dans le
champ Certificat SSL.
Vérifiez que le certificat est au format PEM et incluez les lignes
« BEGIN CERTIFICATE » et « END CERTIFICATE ».
Remarque Si l'annuaire Active Directory requiert STARTTLS et
que vous ne fournissez pas le certificat, vous ne pouvez pas créer
l'annuaire.
e Si l'annuaire Active Directory n'utilise pas la recherche de
l'emplacement du service DNS, faites les sélections suivantes.
n Dans la section Emplacement du serveur, vérifiez que la case Cet
annuaire prend en charge l'emplacement du service DNS n'est
pas cochée et entrez le nom d'hôte et le numéro de port du serveur
Active Directory.
Pour configurer l'annuaire comme catalogue global, reportez-vous
à la section Environnement Active Directory à forêt unique et
domaines multiples au chapitre « Environnements Active
Directory », page 17.
n Si l'annuaire Active Directory requiert un accès via SSL, cochez la
case Cet annuaire exige que toutes les connexions utilisent SSL
dans la section Certificats, puis copiez et collez le certificat
d'autorité de certification racine Active Directory dans le champ
Certificat SSL.
Administration de VMware Identity Manager
28 VMware, Inc.
Option Description
Vérifiez que le certificat est au format PEM et incluez les lignes
« BEGIN CERTIFICATE » et « END CERTIFICATE ».
Remarque Si l'annuaire Active Directory requiert SSL et que
vous ne fournissez pas le certificat, vous ne pouvez pas créer
l'annuaire.
f Dans le champ ND de base, entrez le ND à partir duquel vous
souhaitez lancer les recherches de comptes. Par exemple :
OU=myUnit,DC=myCorp,DC=com.
g Dans le champ ND Bind, entrez le compte pouvant rechercher des
utilisateurs. Par exemple :
CN=binduser,OU=myUnit,DC=myCorp,DC=com.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de
nom unique de liaison avec un mot de passe sans date d'expiration.
h Après avoir entré le mot de passe Bind, cliquez sur Tester la
connexion pour vérifier que l'annuaire peut se connecter à votre
annuaire Active Directory.
Active Directory (authentification
Windows intégrée)
a Dans le champ Connecteur de synchronisation, sélectionnez le
connecteur à utiliser pour la synchronisation avec Active Directory.
b Dans le champ Authentification, si cet annuaire Active Directory est
utilisé pour authentifier des utilisateurs, cliquez sur Oui.
Si un fournisseur d'identité tiers est utilisé pour authentifier les
utilisateurs, cliquez sur Non. Après avoir configuré la connexion
Active Directory pour synchroniser les utilisateurs et les groupes,
accédez à la page Gestion des identités et des accès > Gérer >
Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des
fins d'authentification.
c Dans le champ Attribut de recherche d'annuaire, sélectionnez
l'attribut de compte qui contient le nom d'utilisateur.
d Si l'annuaire Active Directory requiert le chiffrement STARTTLS,
cochez la case Cet annuaire a besoin de toutes les connexions pour
pouvoir utiliser STARTTLS dans la section Certificats, puis copiez et
collez le certificat d'autorité de certification racine Active Directory
dans le champ Certificat SSL.
Vérifiez que le certificat est au format PEM et incluez les lignes
« BEGIN CERTIFICATE » et « END CERTIFICATE ».
Si l'annuaire dispose de plusieurs domaines, ajoutez les certificats
d'autorité de certification racine pour tous les domaines, un par un.
Remarque Si l'annuaire Active Directory requiert STARTTLS et que
vous ne fournissez pas le certificat, vous ne pouvez pas créer
l'annuaire.
e Entrez le nom du domaine Active Directory à joindre. Entrez un nom
d'utilisateur et un mot de passe disposant des droits pour joindre le
domaine. Voir « Autorisations requises pour joindre un domaine »,
page 25 pour obtenir plus d'informations.
f Dans le champ UPN de l'utilisateur Bind, entrez le nom principal de
l'utilisateur pouvant s'authentifier dans le domaine. Par exemple,
username@example.com.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de
nom unique de liaison avec un mot de passe sans date d'expiration.
g Entrez le mot de passe de l'utilisateur Bind.
5 Cliquez sur Enregistrer et Suivant.
La page contenant la liste de domaines apparaît.
Chapitre 3 Intégration à Active Directory
VMware, Inc. 29
6 Pour Active Directory via LDAP, les domaines sont signalés par une coche.
Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent être
associés à cette connexion Active Directory.
Remarque Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne le
détecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connecteur doit
quitter, puis rejoindre le domaine. Lorsque le connecteur rejoint le domaine, le domaine d'approbation
apparaît dans la liste.
Cliquez sur Suivant.
7 Vérifiez que les noms d'attribut de l'annuaire VMware Identity Manager sont mappés aux attributs
Active Directory corrects et apportez des modifications, si nécessaire, puis cliquez sur Suivant.
8 Sélectionnez les groupes que vous souhaitez synchroniser entre Active Directory et l'annuaire
VMware Identity Manager.
Option Description
Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et
sélectionnez les groupes situés en dessous.
a Cliquez sur + et spécifiez le ND du groupe. Par exemple,
CN=users,DC=example,DC=company,DC=com.
Important Spécifiez des ND du groupe qui se trouvent sous le nom
unique de base que vous avez entré. Si un ND du groupe se trouve en
dehors du nom unique de base, les utilisateurs de ce ND seront
synchronisés, mais ne pourront pas se connecter.
b Cliquez sur Rechercher des groupes.
La colonne Groupes à synchroniser répertorie le nombre de groupes
trouvés dans le ND.
c Pour sélectionner tous les groupes dans le ND, cliquez sur
Sélectionner tout, sinon cliquez sur Sélectionner et sélectionnez les
groupes spécifiques à synchroniser.
Remarque Lorsque vous synchronisez un groupe, les utilisateurs ne
disposant pas d'Utilisateurs de domaine comme groupe principal dans
Active Directory ne sont pas synchronisés.
Synchroniser les membres du
groupe imbriqué
L'option Synchroniser les membres du groupe imbriqué est activée par
défaut. Lorsque cette option est activée, tous les utilisateurs qui
appartiennent directement au groupe que vous sélectionnez, ainsi que les
utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe,
sont synchronisés. Notez que les groupes imbriqués ne sont pas
synchronisés ; seuls les utilisateurs qui appartiennent aux groupes
imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces
utilisateurs seront des membres du groupe parent que vous avez
sélectionné pour la synchronisation.
Si l'option Synchroniser les membres du groupe imbriqué est désactivée,
lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui
appartiennent directement à ce groupe sont synchronisés. Les utilisateurs
qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas
synchronisés. La désactivation de cette option est utile pour les
configurations Active Directory importantes pour lesquelles parcourir une
arborescence de groupes demande beaucoup de ressources et de temps. Si
vous désactivez cette option, veillez à sélectionner tous les groupes dont
vous voulez synchroniser les utilisateurs.
9 Cliquez sur Suivant.
Administration de VMware Identity Manager
30 VMware, Inc.
10 Spécifiez des utilisateurs supplémentaires à synchroniser, si nécessaire.
a Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrez
CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
Important Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vous
avez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ce
ND seront synchronisés, mais ne pourront pas se connecter.
b (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types
d'utilisateurs.
Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.
11 Cliquez sur Suivant.
12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchronisent avec l'annuaire et
pour voir le planning de synchronisation.
Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation,
cliquez sur les liens Modifier.
13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation avec l'annuaire.
La connexion à Active Directory est établie et les utilisateurs et les groupes sont synchronisés entre Active
Directory et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle
d'administrateur dans VMware Identity Manager par défaut.
Suivant
n Si vous avez créé un annuaire qui prend en charge l'emplacement du service DNS, un fichier
domain_krb.properties a été créé et rempli automatiquement avec une liste de contrôleurs de domaine.
Affichez le fichier pour vérifier ou modifier la liste de contrôleurs de domaine. Voir « À propos de la
sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19.
n Configurez les méthodes d'authentification. Une fois les utilisateurs et groupes synchronisés avec
l'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer des
méthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identité
d'authentification, configurez ce dernier dans le connecteur.
n Examinez la stratégie d'accès par défaut. La stratégie d'accès par défaut est configurée de manière à
permettre à tous les dispositifs de l'ensemble des plages réseau d'accéder au navigateur Web, avec un
délai d'expiration de session défini à 8 heures ou pour accéder à une application cliente ayant un délai
d'expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défaut
et lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies.
n Appliquez des informations de marque à la console d'administration, aux pages du portail utilisateur et
à l'écran de connexion.
Autoriser les utilisateurs à modifier des mots de passe Active
Directory
Vous pouvez permettre aux utilisateurs de modifier leurs mots de passe Active Directory à partir du portail
ou de l'application Workspace ONE à n'importe quel moment. Les utilisateurs peuvent également
réinitialiser leurs mots de passe Active Directory sur la page de connexion de VMware Identity Manager si
le mot de passe a expiré ou si l'administrateur Active Directory a réinitialisé le mot de passe, ce qui force
l'utilisateur à modifier le mot de passe lors de la prochaine connexion.
Activez cette option par répertoire, en sélectionnant l'option Autoriser la modification du mot de passe sur
la page Paramètres de répertoire.
Chapitre 3 Intégration à Active Directory
VMware, Inc. 31
Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en
cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en
cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent
modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.
Les mots de passe expirés ou les mots de passe réinitialisés par l'administrateur dans Active Directory
peuvent être modifiés sur la page de connexion. Lorsqu'un utilisateur tente de se connecter avec un mot de
passe expiré, il est invité à le réinitialiser. L'utilisateur doit entrer l'ancien mot de passe ainsi que le nouveau
mot de passe.
Les exigences du nouveau mot de passe sont déterminées par la stratégie de mot de passe d'Active
Directory. Le nombre de tentatives autorisées dépend également de la stratégie de mot de passe d'Active
Directory.
Les limites suivantes s'appliquent.
n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que l'option
Autoriser la modification du mot de passe n'est disponible qu'avec le connecteur version 2016.11.1 et
ultérieures.
n Lorsqu'un répertoire est ajouté à VMware Identity Manager en tant que catalogue global, l'option
Autoriser la modification du mot de passe n'est pas disponible. Il est possible d'ajouter des répertoires
en tant qu'annuaires Active Directory sur LDAP ou Authentification Windows intégrée, à l'aide des
ports 389 ou 636.
n Le mot de passe d'un utilisateur de nom unique de liaison ne peut pas être réinitialisé à partir de
VMware Identity Manager, même s'il expire ou si l'administrateur Active Directory le réinitialise.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot
de passe sans date d'expiration.
n Les mots de passe d'utilisateurs dont les noms de connexion comportent des caractères multioctets
(caractères non-ASCII) ne peuvent pas être réinitialisés à partir de VMware Identity Manager.
Prérequis
n Pour activer l'option Autoriser la modification du mot de passe, vous devez utiliser un compte
d'utilisateur de nom unique de liaison et disposer d'autorisations d'accès en écriture pour Active
Directory.
n Le port 464 doit être ouvert sur le contrôleur de domaine.
Procédure
1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.
2 Dans l'onglet Répertoires, cliquez sur le répertoire.
3 Dans la section Autoriser la modification du mot de passe, cochez la case Activer la modification du
mot de passe.
4 Entrez le mot de passe de nom unique de liaison dans la section Détails de l'utilisateur Bind et cliquez
sur Enregistrer.
Administration de VMware Identity Manager
32 VMware, Inc.
Configuration de la sécurité des synchronisations d'annuaire
Des limites de seuil de sécurité de synchronisation peuvent être configurées dans l'annuaire pour éviter
toute modification accidentelle de la configuration par les utilisateurs et les groupes qui se synchronisent
avec l'annuaire à partir d'Active Directory.
Les seuils de sécurité de synchronisation définis limitent le nombre de modifications pouvant être apportées
aux utilisateurs et aux groupes lorsque l'annuaire se synchronise. Si un seuil de sécurité d'annuaire est
atteint, la synchronisation d'annuaire s'arrête et un message s'affiche sur la page Journal de synchronisation
de l'annuaire. Lorsque SMTP est configuré dans la console d'administration de VMware Identity Manager,
vous recevez un e-mail lorsque la synchronisation échoue en raison d'une violation de la sécurité.
Lorsque la synchronisation échoue, vous pouvez accéder à la page Paramètres de synchronisation > Journal
de synchronisation de l'annuaire pour voir une description du type de violation de la sécurité.
Pour terminer correctement la synchronisation, vous pouvez augmenter le pourcentage de seuil de la
sécurité sur la page de paramètres Sécurité des synchronisations ou vous pouvez planifier une exécution de
test de la synchronisation et cocher Ignorer la sécurité. Lorsque vous choisissez d'ignorer la valeur de seuil
de la sécurité, les valeurs de sécurité ne sont pas appliquées pour cette session de synchronisation
uniquement.
Lors de la première synchronisation d'annuaire, les valeurs de sécurité de la synchronisation ne sont pas
appliquées.
Remarque Si vous ne voulez pas utiliser la fonctionnalité de protections de synchronisation, supprimez les
valeurs du menu déroulant. Lorsque les zones de texte de seuil de protection de synchronisation sont vides,
les protections de synchronisation ne sont pas activées.
Configurer des protections de synchronisation d'annuaire
Configurez les paramètres de seuil de protection de synchronisation pour limiter le nombre de
modifications pouvant être apportées aux utilisateurs et aux groupes lorsque l'annuaire se synchronise.
Remarque Si vous ne voulez pas utiliser la fonctionnalité de protections de synchronisation, supprimez les
valeurs du menu déroulant. Lorsque les zones de texte de seuil de protection de synchronisation sont vides,
les protections de synchronisation ne sont pas activées.
Procédure
1 Pour modifier les paramètres de protection, dans l'onglet Gestion des identités et des accès, sélectionnez
Gérer > Annuaires.
2 Sélectionnez l'annuaire pour définir les protections et cliquez sur Paramètres de synchronisation
3 Cliquez sur Protections.
4 Définissez le pourcentage de modifications pour déclencher la synchronisation.
5 Cliquez sur Enregistrer.
Chapitre 3 Intégration à Active Directory
VMware, Inc. 33
Ignorer les paramètres de sécurité pour terminer la synchronisation avec
l'annuaire
Lorsque vous recevez une notification indiquant que la synchronisation ne s'est pas terminée en raison
d'une violation de la sécurité, vous pouvez planifier une exécution de test de la synchronisation et cocher la
case Ignorer la sécurité pour remplacer le paramètre de sécurité et terminer la synchronisation.
Procédure
1 Dans l'onglet Identité et gestion de l'accès, sélectionnez Gérer > Annuaires.
2 Sélectionnez l'annuaire qui n'a pas terminé la synchronisation et accédez à la page Journal de
synchronisation.
3 Pour voir le type de violation de la sécurité, dans la colonne Détails de la synchronisation, cliquez sur
Échec de l'exécution de la synchronisation. Vérifiez la sécurité.
4 Cliquez sur OK.
5 Pour continuer la synchronisation sans modifier les paramètres de sécurité, cliquez sur Synchroniser
maintenant.
6 Sur la page Vérification, cochez la case Ignorer la sécurité.
7 Cliquez sur Synchroniser l'annuaire.
La synchronisation d'annuaire est exécutée et les paramètres de seuil de sécurité sont ignorés pour cette
session de synchronisation uniquement.
Administration de VMware Identity Manager
34 VMware, Inc.
Intégration à des annuaires LDAP 4
Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser des
utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager.
Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 15.
Ce chapitre aborde les rubriques suivantes :
n « Limites de l'intégration d'annuaire LDAP », page 35
n « Intégrer un annuaire LDAP au service », page 36
Limites de l'intégration d'annuaire LDAP
Les limites suivantes s'appliquent actuellement à la fonctionnalité d'intégration d'annuaire LDAP.
n Vous ne pouvez intégrer qu'un environnement d'annuaire LDAP à un seul domaine.
Pour intégrer plusieurs domaines à partir d'un annuaire LDAP, vous devez créer des annuaires
VMware Identity Manager supplémentaires, un pour chaque domaine.
n Les méthodes d'authentification suivantes ne sont pas prises en charge pour les annuaires
VMware Identity Manager de type LDAP.
n authentification Kerberos
n RSA Adaptive Authentication
n ADFS en tant que fournisseur d'identité tiers
n SecurID
n Authentification Radius avec serveur Vasco et SMS Passcode
n Vous ne pouvez pas joindre un domaine LDAP.
n L'intégration à des ressources View ou publiées Citrix n'est pas prise en charge pour les annuaires
VMware Identity Manager de type LDAP.
n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace,
l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.
n Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des
attributs comme requis sur la page Attributs utilisateur, à l'exception de userName, qui peut être
marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires
dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas
synchronisés avec le service VMware Identity Manager.
VMware, Inc. 35
n Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez
spécifier des noms uniques dans le service VMware Identity Manager. Vous pouvez spécifier les noms
lorsque vous sélectionnez les groupes à synchroniser.
n L'option pour autoriser les utilisateurs à réinitialiser leurs mots de passe expirés n'est pas disponible.
n Le fichier domain_krb.properties n'est pas pris en charge.
Intégrer un annuaire LDAP au service
Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser des
utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager.
Pour intégrer votre annuaire LDAP, vous créez un annuaire VMware Identity Manager correspondant et
synchronisez les utilisateurs et les groupes depuis votre annuaire LDAP vers l'annuaire
VMware Identity Manager. Vous pouvez configurer un planning de synchronisation régulier pour les mises
à jour suivantes.
De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les
mappez aux attributs VMware Identity Manager.
La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou vous pouvez avoir
créé des schémas personnalisés. Vous pouvez également avoir défini des attributs personnalisés. Pour que
VMware Identity Manager puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou
de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre
annuaire LDAP.
En particulier, vous devez fournir les informations suivantes.
n Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind
n Noms d'attribut LDAP pour l'appartenance au groupe, l'UUID et le nom unique
Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Voir « Limites de
l'intégration d'annuaire LDAP », page 35.
Prérequis
n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que la capacité à
intégrer des répertoires LDAP n'est disponible qu'avec le connecteur version 2016.6.1 et ultérieures.
n Examinez les attributs sur la page Identité et gestion de l'accès > Configuration > Attributs utilisateur
et ajoutez des attributs supplémentaires que vous voulez synchroniser. Vous mappez ces attributs de
VMware Identity Manager aux attributs de votre annuaire LDAP ultérieurement lorsque vous créez
l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire.
Remarque Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres
annuaires dans le service. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à
ne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué comme
requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service.
Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le
service VMware Identity Manager.
n Un compte d'utilisateur de nom unique de liaison. Il est recommandé d'utiliser un compte d'utilisateur
de nom unique de liaison avec un mot de passe sans date d'expiration.
n Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut.
n Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes.
Vous mappez cet attribut à l'attribut VMware Identity Manager domain lorsque vous créez l'annuaire
VMware Identity Manager.
Administration de VMware Identity Manager
36 VMware, Inc.
n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace,
l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.
n Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les
attributs userPrincipalName et d'adresse électronique.
Procédure
1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.
2 Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire LDAP.
3 Entrez les informations requises sur la page Ajouter un annuaire LDAP.
Option Description
Nom du répertoire Un nom pour l'annuaire de VMware Identity Manager.
Synchronisation et authentification
du répertoire
a Dans le champ Synchroniser le connecteur, sélectionnez le connecteur
que vous voulez utiliser pour synchroniser des utilisateurs et des
groupes de l'annuaire LDAP avec l'annuaire
VMware Identity Manager.
Un composant de connecteur est toujours disponible avec le service
VMware Identity Manager par défaut. Ce connecteur apparaît dans la
liste déroulante. Si vous installez plusieurs dispositifs
VMware Identity Manager pour la haute disponibilité, le composant
de connecteur de chaque dispositif apparaît dans la liste.
Vous n'avez pas besoin d'un connecteur séparé pour un annuaire
LDAP. Un connecteur peut prendre en charge plusieurs annuaires,
qu'il s'agisse d'annuaires Active Directory ou LDAP.
Pour les scénarios dans lesquels vous avez besoin de connecteurs
supplémentaires, consultez la section « Installation de dispositifs de
connecteur supplémentaires » dans le Guide d'installation de VMware
Identity Manager.
b Dans le champ Authentification, si vous voulez utiliser cet annuaire
LDAP pour authentifier des utilisateurs, sélectionnez Oui.
Si vous voulez utiliser un fournisseur d'identité tiers pour authentifier
des utilisateurs, sélectionnez Non. Après avoir ajouté la connexion
d'annuaire pour synchroniser les utilisateurs et les groupes, accédez à
la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité
pour ajouter le fournisseur d'identité tiers à des fins d'authentification.
c Dans le champ Attribut de recherche d'annuaire, spécifiez l'attribut
d'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'est
pas répertorié, sélectionnez Personnalisé et tapez le nom de l'attribut.
Par exemple, cn.
Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôte
de serveur, vous pouvez spécifier le nom de domaine complet ou l'adresse
IP. Par exemple : myLDAPserver.example.com ou 100.00.00.0.
Si vous disposez d'un cluster de serveurs derrière un équilibrage de
charge, entrez les informations de ce dernier à la place.
Chapitre 4 Intégration à des annuaires LDAP
VMware, Inc. 37
Option Description
Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP que
VMware Identity Manager peut utiliser pour interroger votre annuaire
LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP
principal.
Requêtes LDAP
n Obtenir des groupes : filtre de recherche pour obtenir des objets de
groupe.
Par exemple : (objectClass=group)
n Obtenir l'utilisateur Bind : filtre de recherche pour obtenir l'objet
d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaison à
l'annuaire.
Par exemple : (objectClass=person)
n Obtenir l'utilisateur : filtre de recherche pour obtenir des utilisateurs à
synchroniser.
Par exemple :(&(objectClass=user)(objectCategory=person))
Attributs
n Appartenance : attribut utilisé dans votre annuaire LDAP pour définir
les membres d'un groupe.
Par exemple : membre
n UUID d'objet : attribut utilisé dans votre annuaire LDAP pour définir
l'UUID d'un utilisateur ou d'un groupe.
Par exemple : entryUUID
n Nom unique : attribut utilisé dans votre annuaire LDAP pour le nom
unique d'un utilisateur ou d'un groupe.
Par exemple : entryDN
Certificats Si votre annuaire LDAP requiert un accès sur SSL, sélectionnez Cet
annuaire exige que toutes les connexions utilisent SSL, copiez et collez le
certificat SSL d'autorité de certification racine du serveur d'annuaire LDAP.
Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN
CERTIFICATE » et « END CERTIFICATE ».
Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel vous
souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com
Nom unique Bind : entrez le nom d'utilisateur à utiliser pour établir la
liaison à l'annuaire LDAP.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom
unique de liaison avec un mot de passe sans date d'expiration.
Mot de passe du nom unique de liaison : entrez le mot de passe de
l'utilisateur de nom unique de liaison.
4 Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion.
Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les modifications
nécessaires.
5 Cliquez sur Enregistrer et Suivant.
6 Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant.
7 Sur la page Mapper des attributs, vérifiez que les attributs de VMware Identity Manager sont mappés
aux bons attributs LDAP.
Important Vous devez spécifier un mappage pour l'attribut domain.
Vous pouvez ajouter des attributs à la liste sur la page Attributs utilisateur.
8 Cliquez sur Suivant.
Administration de VMware Identity Manager
38 VMware, Inc.
9 Sur la page Groupes, cliquez sur + pour sélectionner les groupes que vous souhaitez synchroniser entre
l'annuaire LDAP et l'annuaire VMware Identity Manager.
Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez
spécifier des noms uniques sur la page des groupes.
L'option Synchroniser les utilisateurs du groupe imbriqué est activée par défaut. Lorsque cette option
est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi
que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez
que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux
groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs apparaissent en
tant que membres du groupe de niveau supérieur que vous avez sélectionné pour la synchronisation.
En effet, la hiérarchie sous un groupe sélectionné est aplatie et les utilisateurs de tous les niveaux
apparaissent dans VMware Identity Manager en tant que membres du groupe sélectionné.
Si cette option est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui
appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des
groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile
pour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupes
demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner
tous les groupes dont vous voulez synchroniser les utilisateurs.
10 Cliquez sur Suivant.
11 Cliquez sur + pour ajouter des utilisateurs supplémentaires. Par exemple, entrez
CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vous
pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.
Cliquez sur Suivant.
12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire et
pour voir le planning de synchronisation par défaut.
Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation,
cliquez sur les liens Modifier.
13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire.
La connexion à l'annuaire LDAP est établie et les utilisateurs et les groupes sont synchronisés entre
l'annuaire LDAP et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose
d'un rôle d'administrateur dans VMware Identity Manager par défaut.
Chapitre 4 Intégration à des annuaires LDAP
VMware, Inc. 39
Administration de VMware Identity Manager
40 VMware, Inc.
Utilisation de répertoires locaux 5
Un répertoire local est l'un des types de répertoires que vous pouvez créer dans le service
VMware Identity Manager. Un répertoire local vous permet de provisionner des utilisateurs locaux dans le
service et de leur fournir un accès à des applications spécifiques, sans avoir à les ajouter à votre répertoire
d'entreprise. Un répertoire local n'est pas connecté à un répertoire d'entreprise et les utilisateurs et les
groupes ne sont pas synchronisés à partir d'un répertoire d'entreprise. Au lieu de cela, vous créez des
utilisateurs locaux directement dans le répertoire local.
Un répertoire local par défaut, nommé Répertoire système, est disponible dans le service. Vous pouvez
également créer plusieurs répertoires locaux.
Répertoire système
Le répertoire système est un répertoire local créé automatiquement dans le service lors de sa première
configuration. Ce répertoire dispose du domaine Domaine système. Vous ne pouvez pas modifier le nom ou
le domaine du répertoire système, ni lui ajouter de nouveaux domaines. Vous ne pouvez pas non plus
supprimer le répertoire système ou le domaine système.
L'utilisateur administrateur local créé lorsque vous configurez le dispositif VMware Identity Managerpour
la première fois est créé dans le domaine système du répertoire système.
Vous pouvez ajouter d'autres utilisateurs au répertoire système. Le répertoire système est en général utilisé
pour configurer quelques utilisateurs administrateurs locaux afin de gérer le service. Pour provisionner des
utilisateurs finaux et des administrateurs supplémentaires et les autoriser à accéder à des applications, il est
recommandé de créer un répertoire local.
Répertoires locaux
Vous pouvez créer plusieurs répertoires locaux. Chaque répertoire local peut disposer d'un ou de plusieurs
domaines. Lorsque vous créez un utilisateur local, vous spécifiez le répertoire et le domaine pour
l'utilisateur.
Vous pouvez également sélectionner des attributs pour tous les utilisateurs dans un répertoire local. Les
attributs utilisateur tels que userName, lastName et firstName, sont spécifiés au niveau global dans le
service VMware Identity Manager. Une liste par défaut d'attributs est disponible et vous pouvez ajouter des
attributs personnalisés. Des attributs utilisateur globaux s'appliquent à tous les répertoires dans le service, y
compris les répertoires locaux. Au niveau du répertoire local, vous pouvez sélectionner les attributs qui sont
obligatoires pour le répertoire. Cela vous permet de disposer d'un ensemble personnalisé d'attributs pour
différents répertoires locaux. Notez que les attributs userName, lastName, firstName et email sont toujours
obligatoires pour les répertoires locaux.
Remarque La capacité de personnaliser les attributs utilisateur au niveau du répertoire n'est disponible
que pour les répertoires locaux, pas pour les répertoires Active Directory ou LDAP.
VMware, Inc. 41
Il est utile de créer des répertoires locaux dans les scénarios suivants.
n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie de
votre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour des partenaires,
qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accès uniquement
aux applications spécifiques dont ils ont besoin.
n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ou
méthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer un
répertoire local pour des distributeurs avec des attributs utilisateur tels que région et taille de marché, et
un autre répertoire local pour les fournisseurs avec des attributs utilisateur tels que catégorie de produit
et type de fournisseur.
Fournisseur d'identité pour un répertoire système et des répertoires
locaux
Par défaut, le répertoire système est associé à un fournisseur d'identité nommé Fournisseur d'identité
système. La méthode Mot de passe (Cloud Directory) est activée par défaut sur ce fournisseur d'identité et
s'applique à la stratégie default_access_policy_set pour la plage réseau TOUTES LES PLAGES et le type de
périphérique Navigateur Web. Vous pouvez configurer des méthodes d'authentification supplémentaires et
définir des stratégies d'authentification.
Lorsque vous créez un répertoire local, il n'est associé à aucun fournisseur d'identité. Après avoir créé le
répertoire, créez un fournisseur d'identité de type Incorporé et associez-le au répertoire. Activez la méthode
d'authentification Mot de passe (Cloud Directory) sur le fournisseur d'identité. Plusieurs répertoires locaux
peuvent être associés au même fournisseur d'identité.
Le connecteur VMware Identity Manager n'est pas requis pour le répertoire système ou pour les répertoires
locaux que vous créez.
Pour plus d'informations, consultez « Configuration de l'authentification utilisateur dans VMware Identity
Manager » dans Administration de VMware Identity Manager.
Gestion des mots de passe pour les utilisateurs du répertoire local
Par défaut, tous les utilisateurs de répertoires locaux ont la capacité de modifier leur mot de passe dans le
portail ou l'application Workspace ONE. Vous pouvez définir une stratégie de mot de passe pour des
utilisateurs locaux. Vous pouvez également réinitialiser des mots de passe d'utilisateur local, si nécessaire.
Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en
cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en
cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent
modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.
Pour plus d'informations sur la définition de stratégies de mot de passe et sur la réinitialisation des mots de
passe d'utilisateur local, consultez « Gestion des utilisateurs et des groupes » dans Administration de VMware
Identity Manager.
Ce chapitre aborde les rubriques suivantes :
n « Création d'un répertoire local », page 43
n « Modification des paramètres du répertoire local », page 47
n « Suppression d'un répertoire local », page 48
n « Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système »,
page 49
Administration de VMware Identity Manager
42 VMware, Inc.
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator
Idm 28-administrator

Contenu connexe

Tendances

Mise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireMise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaire
Jeff Hermann Ela Aba
 
Implémenter de l’authentification forte pour vos environnements Cloud
Implémenter de l’authentification forte pour vos environnements CloudImplémenter de l’authentification forte pour vos environnements Cloud
Implémenter de l’authentification forte pour vos environnements Cloud
Microsoft Décideurs IT
 
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec AdaxesSimplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Kyos
 
Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010
LINAGORA
 
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Microsoft Technet France
 
LinPKI
LinPKILinPKI
LinPKI
LINAGORA
 
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 ParisEstelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
AZUG FR
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
Microsoft Décideurs IT
 
Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008
fabricemeillon
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
Microsoft Technet France
 
Services de bureaux distants dans Windows Server 2012 R2 et Azure
Services de bureaux distants dans Windows Server 2012 R2 et AzureServices de bureaux distants dans Windows Server 2012 R2 et Azure
Services de bureaux distants dans Windows Server 2012 R2 et Azure
Microsoft Technet France
 
Projet Pki Etapes Clefs
Projet Pki   Etapes ClefsProjet Pki   Etapes Clefs
Projet Pki Etapes Clefs
fabricemeillon
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LINAGORA
 
radius
radiusradius
Active Directory Sur Windows 2008 R2
Active  Directory Sur  Windows 2008  R2Active  Directory Sur  Windows 2008  R2
Active Directory Sur Windows 2008 R2SIMOES AUGUSTO
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Microsoft Technet France
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2
Georgeot Cédric
 
AD Audit Plus
AD Audit PlusAD Audit Plus
AD Audit Plus
PGSoftware
 
Alphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm.com Formation Elastic : Maitriser les fondamentauxAlphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm
 
Hébergement du protocole kerberos dans un cloud
Hébergement du protocole kerberos dans un cloudHébergement du protocole kerberos dans un cloud
Hébergement du protocole kerberos dans un cloud
MouadNahri
 

Tendances (20)

Mise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaireMise en place d’un gestionnaire d’annuaire
Mise en place d’un gestionnaire d’annuaire
 
Implémenter de l’authentification forte pour vos environnements Cloud
Implémenter de l’authentification forte pour vos environnements CloudImplémenter de l’authentification forte pour vos environnements Cloud
Implémenter de l’authentification forte pour vos environnements Cloud
 
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec AdaxesSimplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
 
Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010
 
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
 
LinPKI
LinPKILinPKI
LinPKI
 
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 ParisEstelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
 
Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
Services de bureaux distants dans Windows Server 2012 R2 et Azure
Services de bureaux distants dans Windows Server 2012 R2 et AzureServices de bureaux distants dans Windows Server 2012 R2 et Azure
Services de bureaux distants dans Windows Server 2012 R2 et Azure
 
Projet Pki Etapes Clefs
Projet Pki   Etapes ClefsProjet Pki   Etapes Clefs
Projet Pki Etapes Clefs
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
 
radius
radiusradius
radius
 
Active Directory Sur Windows 2008 R2
Active  Directory Sur  Windows 2008  R2Active  Directory Sur  Windows 2008  R2
Active Directory Sur Windows 2008 R2
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2
 
AD Audit Plus
AD Audit PlusAD Audit Plus
AD Audit Plus
 
Alphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm.com Formation Elastic : Maitriser les fondamentauxAlphorm.com Formation Elastic : Maitriser les fondamentaux
Alphorm.com Formation Elastic : Maitriser les fondamentaux
 
Hébergement du protocole kerberos dans un cloud
Hébergement du protocole kerberos dans un cloudHébergement du protocole kerberos dans un cloud
Hébergement du protocole kerberos dans un cloud
 

Similaire à Idm 28-administrator

Vsomft formation-vmware-vsphere-with-operations-management-fast-track
Vsomft formation-vmware-vsphere-with-operations-management-fast-trackVsomft formation-vmware-vsphere-with-operations-management-fast-track
Vsomft formation-vmware-vsphere-with-operations-management-fast-trackCERTyou Formation
 
Vmcmvim formation-vmware-vcenter-configuration-manager-for-virtual-infrastruc...
Vmcmvim formation-vmware-vcenter-configuration-manager-for-virtual-infrastruc...Vmcmvim formation-vmware-vcenter-configuration-manager-for-virtual-infrastruc...
Vmcmvim formation-vmware-vcenter-configuration-manager-for-virtual-infrastruc...CERTyou Formation
 
Ws811 g formation-ibm-websphere-service-registry-and-repository-v8-0-for-admi...
Ws811 g formation-ibm-websphere-service-registry-and-repository-v8-0-for-admi...Ws811 g formation-ibm-websphere-service-registry-and-repository-v8-0-for-admi...
Ws811 g formation-ibm-websphere-service-registry-and-repository-v8-0-for-admi...CERTyou Formation
 
Vmview formation-vmware-horizon-view-install-configure-manage
Vmview formation-vmware-horizon-view-install-configure-manageVmview formation-vmware-horizon-view-install-configure-manage
Vmview formation-vmware-horizon-view-install-configure-manageCERTyou Formation
 
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemAcs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemCERTyou Formation
 
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private CloudLe Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Microsoft Technet France
 
M10755 formation-mettre-en-oeuvre-et-gerer-la-virtualisation-de-serveurs-micr...
M10755 formation-mettre-en-oeuvre-et-gerer-la-virtualisation-de-serveurs-micr...M10755 formation-mettre-en-oeuvre-et-gerer-la-virtualisation-de-serveurs-micr...
M10755 formation-mettre-en-oeuvre-et-gerer-la-virtualisation-de-serveurs-micr...CERTyou Formation
 
[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix
Cellenza
 
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceSwsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceCERTyou Formation
 
Wa380 g formation-websphere-application-server-v8-administration-for-windows
Wa380 g formation-websphere-application-server-v8-administration-for-windowsWa380 g formation-websphere-application-server-v8-administration-for-windows
Wa380 g formation-websphere-application-server-v8-administration-for-windowsCERTyou Formation
 
Wa855 g formation-websphere-application-server-v8-5-5-administration
Wa855 g formation-websphere-application-server-v8-5-5-administrationWa855 g formation-websphere-application-server-v8-5-5-administration
Wa855 g formation-websphere-application-server-v8-5-5-administrationCERTyou Formation
 
La Sécurité dans Azure
La Sécurité dans AzureLa Sécurité dans Azure
La Sécurité dans Azure
Estelle Auberix
 
M10750 formation-piloter-et-controler-un-cloud-prive-avec-microsoft-system-ce...
M10750 formation-piloter-et-controler-un-cloud-prive-avec-microsoft-system-ce...M10750 formation-piloter-et-controler-un-cloud-prive-avec-microsoft-system-ce...
M10750 formation-piloter-et-controler-un-cloud-prive-avec-microsoft-system-ce...CERTyou Formation
 
We620 g formation-administration-de-ibm-websphere-datapower-soa-appliances
We620 g formation-administration-de-ibm-websphere-datapower-soa-appliancesWe620 g formation-administration-de-ibm-websphere-datapower-soa-appliances
We620 g formation-administration-de-ibm-websphere-datapower-soa-appliancesCERTyou Formation
 
Vsicm formation-vmware-vsphere-installation-configuration-et-administration
Vsicm formation-vmware-vsphere-installation-configuration-et-administrationVsicm formation-vmware-vsphere-installation-configuration-et-administration
Vsicm formation-vmware-vsphere-installation-configuration-et-administrationCERTyou Formation
 
Deploiement de la virtualisation des postes de travail sous vmware
Deploiement de la virtualisation des postes de travail sous vmwareDeploiement de la virtualisation des postes de travail sous vmware
Deploiement de la virtualisation des postes de travail sous vmware
Mame Cheikh Ibra Niang
 
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
fabricemeillon
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Technet France
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Décideurs IT
 
Wa370 g formation-ibm-websphere-application-server-v7-administration-on-windows
Wa370 g formation-ibm-websphere-application-server-v7-administration-on-windowsWa370 g formation-ibm-websphere-application-server-v7-administration-on-windows
Wa370 g formation-ibm-websphere-application-server-v7-administration-on-windowsCERTyou Formation
 

Similaire à Idm 28-administrator (20)

Vsomft formation-vmware-vsphere-with-operations-management-fast-track
Vsomft formation-vmware-vsphere-with-operations-management-fast-trackVsomft formation-vmware-vsphere-with-operations-management-fast-track
Vsomft formation-vmware-vsphere-with-operations-management-fast-track
 
Vmcmvim formation-vmware-vcenter-configuration-manager-for-virtual-infrastruc...
Vmcmvim formation-vmware-vcenter-configuration-manager-for-virtual-infrastruc...Vmcmvim formation-vmware-vcenter-configuration-manager-for-virtual-infrastruc...
Vmcmvim formation-vmware-vcenter-configuration-manager-for-virtual-infrastruc...
 
Ws811 g formation-ibm-websphere-service-registry-and-repository-v8-0-for-admi...
Ws811 g formation-ibm-websphere-service-registry-and-repository-v8-0-for-admi...Ws811 g formation-ibm-websphere-service-registry-and-repository-v8-0-for-admi...
Ws811 g formation-ibm-websphere-service-registry-and-repository-v8-0-for-admi...
 
Vmview formation-vmware-horizon-view-install-configure-manage
Vmview formation-vmware-horizon-view-install-configure-manageVmview formation-vmware-horizon-view-install-configure-manage
Vmview formation-vmware-horizon-view-install-configure-manage
 
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemAcs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
 
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private CloudLe Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
Le Cloud Privé, de la théorie à la réalité avec Microsoft Private Cloud
 
M10755 formation-mettre-en-oeuvre-et-gerer-la-virtualisation-de-serveurs-micr...
M10755 formation-mettre-en-oeuvre-et-gerer-la-virtualisation-de-serveurs-micr...M10755 formation-mettre-en-oeuvre-et-gerer-la-virtualisation-de-serveurs-micr...
M10755 formation-mettre-en-oeuvre-et-gerer-la-virtualisation-de-serveurs-micr...
 
[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix[GAB2016] La sécurité dans Azure - Estelle Auberix
[GAB2016] La sécurité dans Azure - Estelle Auberix
 
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-applianceSwsa formation-securiser-le-web-avec-cisco-web-security-appliance
Swsa formation-securiser-le-web-avec-cisco-web-security-appliance
 
Wa380 g formation-websphere-application-server-v8-administration-for-windows
Wa380 g formation-websphere-application-server-v8-administration-for-windowsWa380 g formation-websphere-application-server-v8-administration-for-windows
Wa380 g formation-websphere-application-server-v8-administration-for-windows
 
Wa855 g formation-websphere-application-server-v8-5-5-administration
Wa855 g formation-websphere-application-server-v8-5-5-administrationWa855 g formation-websphere-application-server-v8-5-5-administration
Wa855 g formation-websphere-application-server-v8-5-5-administration
 
La Sécurité dans Azure
La Sécurité dans AzureLa Sécurité dans Azure
La Sécurité dans Azure
 
M10750 formation-piloter-et-controler-un-cloud-prive-avec-microsoft-system-ce...
M10750 formation-piloter-et-controler-un-cloud-prive-avec-microsoft-system-ce...M10750 formation-piloter-et-controler-un-cloud-prive-avec-microsoft-system-ce...
M10750 formation-piloter-et-controler-un-cloud-prive-avec-microsoft-system-ce...
 
We620 g formation-administration-de-ibm-websphere-datapower-soa-appliances
We620 g formation-administration-de-ibm-websphere-datapower-soa-appliancesWe620 g formation-administration-de-ibm-websphere-datapower-soa-appliances
We620 g formation-administration-de-ibm-websphere-datapower-soa-appliances
 
Vsicm formation-vmware-vsphere-installation-configuration-et-administration
Vsicm formation-vmware-vsphere-installation-configuration-et-administrationVsicm formation-vmware-vsphere-installation-configuration-et-administration
Vsicm formation-vmware-vsphere-installation-configuration-et-administration
 
Deploiement de la virtualisation des postes de travail sous vmware
Deploiement de la virtualisation des postes de travail sous vmwareDeploiement de la virtualisation des postes de travail sous vmware
Deploiement de la virtualisation des postes de travail sous vmware
 
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Wa370 g formation-ibm-websphere-application-server-v7-administration-on-windows
Wa370 g formation-ibm-websphere-application-server-v7-administration-on-windowsWa370 g formation-ibm-websphere-application-server-v7-administration-on-windows
Wa370 g formation-ibm-websphere-application-server-v7-administration-on-windows
 

Idm 28-administrator

  • 1. Administration de VMware Identity Manager VMware Identity Manager 2.8
  • 2. Administration de VMware Identity Manager 2 VMware, Inc. Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse : https://docs.vmware.com/fr/ Le site Web de VMware propose également les dernières mises à jour des produits. N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante : docfeedback@vmware.com Copyright © 2013 – 2016 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques. VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com VMware, Inc. 100-101 Quartier Boieldieu 92042 Paris La Défense France www.vmware.com/fr
  • 3. Table des matières À propos de l'administration de VMware Identity Manager 7 1 Utilisation de la console d'administration de VMware Identity Manager 9 Navigation dans la console d'administration 9 Présentation des paramètres de gestion des identités et des accès 10 2 Intégration à votre annuaire d'entreprise 15 Concepts importants relatifs à l'intégration d'annuaire 15 3 Intégration à Active Directory 17 Environnements Active Directory 17 À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) 19 Gestion des attributs utilisateur synchronisés à partir d'Active Directory 24 Autorisations requises pour joindre un domaine 25 Configuration de la connexion Active Directory au service 26 Autoriser les utilisateurs à modifier des mots de passe Active Directory 31 Configuration de la sécurité des synchronisations d'annuaire 33 4 Intégration à des annuaires LDAP 35 Limites de l'intégration d'annuaire LDAP 35 Intégrer un annuaire LDAP au service 36 5 Utilisation de répertoires locaux 41 Création d'un répertoire local 43 Modification des paramètres du répertoire local 47 Suppression d'un répertoire local 48 Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système 49 6 Provisionnement d'utilisateurs juste-à-temps 51 À propos du provisionnement d'utilisateurs juste-à-temps 51 Préparation du provisionnement juste-à-temps 52 Configuration du provisionnement d'utilisateurs juste-à-temps 54 Exigences des assertions SAML 55 Désactivation du provisionnement d'utilisateurs juste-à-temps 56 Suppression d'un répertoire juste-à-temps 56 Messages d'erreur 57 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager 59 Configuration de Kerberos pour VMware Identity Manager 61 Configuration de SecurID pour VMware Identity Manager 65 VMware, Inc. 3
  • 4. Configuration de RADIUS pour VMware Identity Manager 67 Configuration de RSA Adaptive Authentication dans VMware Identity Manager 70 Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager 72 Configuration de VMware Verify pour l'authentification à deux facteurs 76 Configuration d'un fournisseur d'identité intégré 78 Configurer des fournisseurs d'identité Workspace supplémentaires 80 Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs 81 Gestion des méthodes d'authentification à appliquer aux utilisateurs 83 8 Gestion des stratégies d'accès 87 Configuration de paramètres de stratégie d'accès 87 Gestion des stratégies spécifiques à une application Web et de poste de travail 90 Ajouter une stratégie spécifique à une application Web ou de poste de travail 92 Configurer le message d'erreur d'accès refusé personnalisé 92 Modifier une stratégie d'accès 93 Activation du cookie persistant sur des périphériques mobiles 94 9 Gestion des utilisateurs et des groupes 95 Types d'utilisateurs et de groupes 95 À propos des noms d'utilisateur et des noms de groupe 96 Gestion des utilisateurs 97 Créer des groupes et configurer des règles de groupe 98 Modifier les règles du groupe 101 Ajouter des ressources à des groupes 101 Créer des utilisateurs locaux 102 Gestion des mots de passe 104 10 Gestion du catalogue 107 Gestion des ressources dans le catalogue 108 Groupement des ressources en catégories 111 Gestion des paramètres du catalogue 113 11 Utiliser le tableau de bord de la console d'administration 119 Surveiller les utilisateurs et l'utilisation des ressources avec le tableau de bord 119 Surveiller les informations système et la santé 120 Consultation des rapports 121 12 Personnaliser les informations de marque des services VMware Identity Manager 123 Personnalisation des informations de marque dans VMware Identity Manager 123 Personnaliser les informations de marque pour le portail de l'utilisateur 125 Personnaliser des informations de marque pour l'application VMware Verify 126 13 Intégration d'AirWatch à VMware Identity Manager 127 Configuration d'AirWatch pour l'intégrer à VMware Identity Manager 127 Configuration d'une instance d'AirWatch dans VMware Identity Manager 131 Activer le catalogue unifié pour AirWatch 132 Implémentation de l'authentification avec AirWatch Cloud Connector 133 Administration de VMware Identity Manager 4 VMware, Inc.
  • 5. Implémentation de l'authentification unique mobile pour des périphériques iOS gérés par AirWatch 135 Implémentation de l'authentification Mobile SSO pour périphériques Android 143 Activer la vérification de la conformité pour les périphériques gérés par AirWatch 149 Index 151 Table des matières VMware, Inc. 5
  • 6. Administration de VMware Identity Manager 6 VMware, Inc.
  • 7. À propos de l'administration de VMware Identity Manager Administration de VMware Identity Manager fournit des informations et des instructions sur l'utilisation et la maintenance des services VMware Identity Manager. Avec VMware Identity Manager™, vous pouvez configurer et gérer des méthodes d'authentification et des stratégies d'accès, personnaliser un catalogue de ressources pour les applications de votre entreprise et fournir un accès sécurisé, multi-périphérique géré par l'utilisateur à ces ressources. Ces ressources comprennent des applications Web, des applications Windows capturées sous forme de modules ThinApp, des applications Citrix et des pools de postes de travail et d'applications View. Public concerné Ces informations sont destinées à toute personne souhaitant configurer et administrer VMware Identity Manager. Ces informations sont écrites à l'intention des administrateurs Windows ou Linux expérimentés et familiers avec la technologie des machines virtuelles, de la gestion d'identité, de Kerberos et des services de dossiers. La connaissance d'autres technologies, telles que VMware ThinApp ® , View, la virtualisation d'applications Citrix et les méthodes d'authentification, telles que RSA SecurID, est utile si vous prévoyez de mettre en œuvre ces fonctionnalités. VMware, Inc. 7
  • 8. Administration de VMware Identity Manager 8 VMware, Inc.
  • 9. Utilisation de la console d'administration de VMware Identity Manager 1 La console d'administration de VMware Identity Manager™ fournit une console de gestion centralisée avec laquelle vous pouvez gérer des utilisateurs et des groupes, ajouter des ressources au catalogue, gérer des droits pour des ressources dans le catalogue, configurer l'intégration AirWatch et configurer et gérer des stratégies d'authentification et d'accès. Les tâches importantes que vous réalisez depuis la console d'administration sont la gestion des stratégies d'authentification et d'accès et l'octroi de ressources à des utilisateurs. D'autres tâches soutiennent cette tâche principale en vous fournissant un contrôle plus précis sur les utilisateurs ou groupes qui sont attribués à certaines ressources sous certaines conditions. Les utilisateurs finaux peuvent se connecter à leur portail VMware Workspace™ ONE™ à partir de leurs périphériques de poste de travail ou mobiles pour accéder à des ressources de travail, notamment des postes de travail, des navigateurs, des documents d'entreprise partagés et divers types d'applications que vous leur octroyez. Ce chapitre aborde les rubriques suivantes : n « Navigation dans la console d'administration », page 9 n « Présentation des paramètres de gestion des identités et des accès », page 10 Navigation dans la console d'administration Les tâches de la console d'administration sont organisées par onglets. Onglet Description Tableau de bord Le tableau de bord Engagement de l'utilisateur permet de surveiller les utilisateurs et l'utilisation des ressources. Ce tableau de bord affiche des informations sur les utilisateurs connectés, les applications utilisées et leur fréquence d'utilisation. Le tableau de bord Diagnostics du système affiche une présentation détaillée du service dans votre environnement et d'autres informations sur les services. Vous pouvez créer des rapports pour suivre les activités des utilisateurs et des groupes, l'utilisation des ressources et des dispositifs, et les événements d'audit par utilisateur. Utilisateurs et groupes Dans l'onglet Utilisateurs et groupes, vous pouvez gérer et surveiller les utilisateurs et les groupes importés depuis votre annuaire Active Directory ou LDAP, créer des utilisateurs et des groupes et autoriser des utilisateurs et des groupes à utiliser des ressources. Vous pouvez configurer la stratégie de mot de passe pour des utilisateurs locaux. Catalogue Votre catalogue est le référentiel de toutes les ressources que vous pouvez attribuer aux utilisateurs. Dans l'onglet Catalogue, vous pouvez ajouter des applications Web, des modules ThinApp, des pools et des applications View, des postes de travail Horizon Air et des applications Citrix. Vous pouvez créer une application, regrouper des applications en catégories et accéder à des informations sur chaque ressource. Sur la page Paramètres du catalogue, vous pouvez télécharger des certificats SAML, gérer des configurations de ressource et personnaliser l'apparence du portail utilisateur. VMware, Inc. 9
  • 10. Onglet Description Gestion des identités et des accès Dans l'onglet Identité et gestion de l'accès, vous pouvez configurer le service de connecteur, configurer l'intégration AirWatch, configurer des méthodes d'authentification et appliquer des informations de marque personnalisées à la page de connexion et à la console d'administration. Vous pouvez gérer des paramètres de répertoire, des fournisseurs d'identité et des stratégies d'accès. Vous pouvez également configurer des fournisseurs d'identité tiers. Paramètres du dispositif Dans l'onglet Paramètres du dispositif, vous pouvez gérer la configuration du dispositif, notamment la configuration des certificats SSL du dispositif, modifier les mots de passe d'administrateur et système des services et gérer d'autres fonctions d'infrastructure. Vous pouvez également mettre à jour les paramètres de licence et configurer des paramètres SMTP. Navigateurs pris en charge pour accéder à la console d'administration La console d'administration VMware Identity Manager est une application Web qui vous permet de gérer votre locataire. Vous pouvez accéder à la console d'administration à partir des navigateurs suivants. n Internet Explorer 11 pour systèmes Windows n Mozilla Firefox 42.0 ou version ultérieure pour systèmes Windows et Mac n Mozilla Firefox 40 ou version ultérieure pour les systèmes Windows et Mac n Safari 6.2.8 et version ultérieure pour les systèmes Mac Remarque Dans Internet Explorer 11, JavaScript doit être activé et les cookies autorisés pour s'authentifier via VMware Identity Manager. Composants de l'utilisateur final de VMware Identity Manager Les utilisateurs peuvent accéder aux ressources auxquelles ils ont droit depuis leur portail Workspace ONE. Ils peuvent accéder aux applications Windows virtualisées capturées sous forme de modules ThinApp depuis Identity Manager Desktop. Tableau 1‑1. Composants client utilisateur Composant utilisateur Description Points de terminaison disponibles Portail d'applications de l'utilisateur Workspace ONE Le portail d'applications est une application Web sans agent. Il s'agit de l'interface par défaut utilisée lorsque les utilisateurs accèdent avec un navigateur aux ressources qui leur ont été octroyées. Si un utilisateur final dispose d'applications ThinApp autorisées et emploie un ordinateur Windows sur lequel l'application Identity Manager Desktop est installée et active, il peut voir et lancer les modules ThinApp qui lui ont été octroyés à l'aide de ce portail d'applications. Le portail des applications Web est disponible sur tous les points de terminaison système pris en charge, tels que les ordinateurs Windows, les ordinateurs Mac, les périphériques iOS et les périphériques Android. Identity Manager Desktop Lorsque ce programme est installé sur les ordinateurs Windows des utilisateurs, ces derniers peuvent travailler avec leurs applications Windows virtualisées capturées sous forme de modules ThinApp. Ordinateurs Windows Présentation des paramètres de gestion des identités et des accès Dans l'onglet Identité et gestion de l'accès de la console d'administration, vous pouvez configurer et gérer les méthodes d'authentification, les stratégies d'accès, le service d'annuaire, et personnaliser l'apparence du portail de l'utilisateur final et de la console d'administration. Voici une description des paramètres de configuration dans l'onglet Identité et gestion de l'accès. Administration de VMware Identity Manager 10 VMware, Inc.
  • 11. Figure 1‑1. Pages Configuration de l'onglet Identité et gestion de l'accès Tableau 1‑2. Paramètres de configuration de l'onglet Identité et gestion de l'accès Paramètre Description Configuration > Connecteurs La page Connecteurs répertorie les connecteurs qui sont déployés dans votre réseau d'entreprise. Le connecteur est utilisé pour synchroniser les données des utilisateurs et des groupes entre votre répertoire d'entreprise et le service, et lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service. Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partition pour l'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée à plusieurs travailleurs. Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodes d'authentification pour chaque travailleur. Le connecteur synchronise les données des utilisateurs et des groupes entre votre répertoire d'entreprise et le service au moyen d'un ou de plusieurs travailleurs. n Dans la colonne Travailleur, sélectionnez un travailleur pour consulter les détails du connecteur et accédez à la page Adaptateurs d'authentification pour afficher l'état des méthodes d'authentification disponibles. Pour de plus amples informations sur l'authentification, reportez-vous au Chapitre 7, « Configuration de l'authentification des utilisateurs dans VMware Identity Manager », page 59. n Dans la colonne Fournisseur d'identité, sélectionnez l'IdP à afficher, modifier ou désactiver. Voir « Ajouter et configurer une instance de fournisseur d'identité », page 81. n Dans la colonne Annuaire associé, accédez à l'annuaire associé à ce travailleur. Avant de pouvoir ajouter un nouveau connecteur, vous devez cliquer sur Ajouter un connecteur pour générer un code d'activation que vous collez dans l'Assistant Configuration pour établir une connexion avec le connecteur. Lien Joindre le domaine n Vous devez cliquer sur Joindre le domaine pour joindre le connecteur à un domaine Active Directory spécifique. Par exemple, lorsque vous configurez l'authentification Kerberos, vous devez joindre le domaine Active Directory contenant des utilisateurs ou ayant une relation d'approbation avec les domaines contenant des utilisateurs. n Lorsque vous configurez un annuaire avec un environnement Active Directory à authentification Windows intégrée, le connecteur joint le domaine en fonction des détails de configuration. Configuration > Informations de marque personnalisées Sur la page Informations de marque personnalisées, vous pouvez personnaliser l'apparence de l'en-tête de la console d'administration et de l'écran de connexion. Voir « Personnalisation des informations de marque dans VMware Identity Manager », page 123. Pour personnaliser le portail Web de l'utilisateur final, les vues Mobile et Tablette, accédez à Catalogue > Paramètres > Informations de marque du portail de l'utilisateur. Voir « Personnaliser les informations de marque pour le portail de l'utilisateur », page 125. Configuration > Attributs utilisateur La page Attributs utilisateur répertorie les attributs utilisateur par défaut qui sont synchronisés dans l'annuaire et vous pouvez ajouter d'autres attributs et les mapper aux attributs Active Directory. Voir « Sélection des attributs à synchroniser avec l'annuaire », page 24. Configuration > Plages réseau Cette page répertorie les plages réseau que vous avez ajoutées. Vous pouvez configurer une plage réseau pour accorder un accès aux utilisateurs via ces adresses IP. Vous pouvez ajouter des plages réseau supplémentaires et modifier les plages existantes. Voir « Ajout ou modification d'une plage réseau », page 83. Chapitre 1 Utilisation de la console d'administration de VMware Identity Manager VMware, Inc. 11
  • 12. Tableau 1‑2. Paramètres de configuration de l'onglet Identité et gestion de l'accès (suite) Paramètre Description Configuration > Découverte automatique Lorsque VMware Identity Manager et AirWatch sont intégrés, vous pouvez intégrer le service Découverte automatique de Windows que vous avez déployé dans votre configuration d'AirWatch au service VMware Identity Manager. Pour plus de détails sur la configuration de la découverte automatique dans AirWatch, consultez la documentation d'AirWatch « VMware AirWatch Windows Autodiscovery Service Installation Guide », disponible sur le site Web d'AirWatch, http://air-watch.com Enregistrez votre domaine de messagerie pour utiliser le service de découverte automatique afin de faciliter l'accès des utilisateurs à leur portail d'applications avec Workspace ONE. Les utilisateurs finaux peuvent entrer leurs adresses e-mail au lieu de l'URL de l'organisation lorsqu'ils accèdent à leur portail d'applications via Workspace ONE. Pour plus d'informations sur la découverte automatique, consultez le guide Configuration de l'application VMware Workspace ONE sur des périphériques. Configuration > AirWatch Sur cette page, vous pouvez configurer l'intégration à AirWatch. Une fois l'intégration configurée et enregistrée, vous pouvez activer le catalogue unifié pour fusionner des applications paramétrées dans le catalogue AirWatch avec le catalogue unifié, activer la vérification de la conformité afin de vérifier que les périphériques gérés respectent les stratégies de conformité d'AirWatch et activer l'authentification par mot de passe utilisateur via AirWatch Cloud Connector (ACC). Voir Chapitre 13, « Intégration d'AirWatch à VMware Identity Manager », page 127. Configuration > Préférences La page Préférences affiche des fonctionnalités que l'administrateur peut activer. Cela inclut n Les cookies persistants peuvent être activés sur cette page. Voir « Activer le cookie persistant », page 94. n Lorsque des utilisateurs locaux sont configurés dans votre service, pour afficher Utilisateurs locaux sous la forme d'une option de domaine sur la page de connexion, activez Afficher les utilisateurs locaux sur la page de connexion. Voici une description des paramètres utilisés pour gérer les services dans l'onglet Identité et gestion de l'accès. Figure 1‑2. Pages Gérer de l'onglet Identité et gestion de l'accès Administration de VMware Identity Manager 12 VMware, Inc.
  • 13. Tableau 1‑3. Paramètres de gestion de l'onglet Identité et gestion de l'accès Paramètre Description Gérer > Annuaires La page Annuaires répertorie les annuaires que vous avez créés. Vous devez créer un ou plusieurs répertoires, puis les synchroniser avec le déploiement de votre répertoire d'entreprise. Cette page présente le nombre de groupes et d'utilisateurs qui sont synchronisés avec l'annuaire ainsi que l'heure de la dernière synchronisation. Vous pouvez cliquer sur Synchroniser maintenant afin de lancer la synchronisation de l'annuaire. Voir Chapitre 2, « Intégration à votre annuaire d'entreprise », page 15. Lorsque vous cliquez sur le nom d'un annuaire, vous pouvez modifier les paramètres de synchronisation, accéder à la page Fournisseurs d'identité et consulter le journal de synchronisation. Sur la page des paramètres de synchronisation des répertoires, vous pouvez programmer la fréquence de synchronisation, voir la liste de domaines associés à ce répertoire, modifier la liste d'attributs mappés, mettre à jour la liste des utilisateurs et des groupes qui se synchronisent et définir les cibles de protection. Gérer > Fournisseurs d'identité La page Fournisseurs d'identité répertorie les fournisseurs d'identité que vous avez configurés. Le connecteur est le fournisseur d'identité initial. Vous pouvez ajouter des instances de fournisseurs d'identité tiers ou avoir une combinaison des deux. Le fournisseur d'identité intégré de VMware Identity Manager peut être configuré pour l'authentification. Voir « Ajouter et configurer une instance de fournisseur d'identité », page 81. Gérer > Assistant Récupération de mot de passe Sur la page Assistant Récupération de mot de passe, vous pouvez modifier le comportement par défaut lorsque l'utilisateur final clique sur le bouton « Mot de passe oublié » de l'écran de connexion. Gérer > Stratégies La page Stratégies répertorie la stratégie d'accès par défaut et toute autre stratégie d'accès aux applications Web que vous avez créées. Les stratégies sont des ensembles de règles qui spécifient les critères à respecter pour que les utilisateurs accèdent à leur portail Mes applications ou pour lancer des applications Web spécialement activées pour ces derniers. Vous pouvez modifier la stratégie par défaut et, si des applications Web sont ajoutées au catalogue, vous pouvez ajouter de nouvelles stratégies pour gérer l'accès à ces applications Web. Voir Chapitre 8, « Gestion des stratégies d'accès », page 87. Chapitre 1 Utilisation de la console d'administration de VMware Identity Manager VMware, Inc. 13
  • 14. Administration de VMware Identity Manager 14 VMware, Inc.
  • 15. Intégration à votre annuaire d'entreprise 2 Vous intégrez VMware Identity Manager à votre annuaire d'entreprise pour synchroniser les utilisateurs et les groupes entre votre annuaire d'entreprise et le service VMware Identity Manager. Les types d'annuaires suivants sont pris en charge. n Active Directory via LDAP n Active Directory, authentification Windows intégrée n répertoire LDAP Pour l'intégration à votre annuaire d'entreprise, vous effectuez les tâches suivantes. n Spécifiez les attributs que vous voulez que les utilisateurs aient dans le service VMware Identity Manager. n Créez un annuaire dans le service VMware Identity Manager du même type que celui de votre annuaire d'entreprise et spécifiez les détails de connexion. n Mappez les attributs VMware Identity Manager aux attributs utilisés dans votre annuaire Active Directory ou LDAP. n Spécifiez les utilisateurs et les groupes à synchroniser. n Synchronisez les utilisateurs et les groupes. Après avoir intégré votre annuaire d'entreprise et effectué la synchronisation initiale, vous pouvez mettre à jour la configuration, configurer un planning de synchronisation régulier ou démarrer une synchronisation à tout moment. Concepts importants relatifs à l'intégration d'annuaire Plusieurs concepts sont essentiels pour comprendre comment le service VMware Identity Manager s'intègre à votre environnement d'annuaire Active Directory ou LDAP. Connector Le connecteur, composant du service, exécute les fonctions suivantes. n Synchronise les données des utilisateurs et des groupes de votre annuaire Active Directory ou LDAP avec le service. n Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service. VMware, Inc. 15
  • 16. Le connecteur est le fournisseur d'identité par défaut. Vous pouvez également utiliser les fournisseurs d'identité tiers prenant en charge le protocole SAML 2.0. Utilisez un fournisseur d'identité tiers pour un type d'authentification non pris en charge par le connecteur ou si le fournisseur d'identité tiers est préférable en fonction de la stratégie de sécurité de votre entreprise. Remarque Si vous utilisez des fournisseurs d'identité tiers, vous pouvez configurer le connecteur pour synchroniser des données utilisateur et groupe ou configurer le provisionnement utilisateur juste-à- temps. Consultez la section Provisionnement utilisateur juste-à-temps dans Administration de VMware Identity Manager pour plus d'informations. Annuaire Le service VMware Identity Manager dispose de son propre concept d'annuaire, qui correspond à l'annuaire Active Directory ou LDAP dans votre environnement. Cet annuaire utilise des attributs pour définir des utilisateurs et des groupes. Vous devez créer un ou plusieurs annuaires dans le service, puis les synchroniser avec votre annuaire Active Directory ou LDAP. Vous pouvez créer les types d'annuaires suivants dans le service. n Active Directory n Active Directory via LDAP : Créez ce type d'annuaire si vous prévoyez de vous connecter à un seul environnement de domaine Active Directory. Pour le type d'annuaire Active Directory via LDAP, le connecteur se lie à Active Directory via une authentification Bind simple. n Active Directory, authentification Windows intégrée. Créez ce type d'annuaire si vous prévoyez de vous connecter à un environnement Active Directory à forêts et domaines multiples. Le connecteur se lie à Active Directory via l'authentification Windows intégrée. Le type et le nombre d'annuaires que vous créez varie selon votre environnement Active Directory, par exemple à domaine simple ou multiple, et le type d'approbation utilisé entre les domaines. Dans la plupart des environnements, vous devez créer un seul annuaire. n Annuaire LDAP Le service n'a pas un accès direct à votre annuaire Active Directory ou LDAP. Seul le connecteur a un accès direct. Par conséquent, vous devez associer chaque annuaire créé dans le service à une connecteur instance. Travailleur Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partition pour l'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée à plusieurs travailleurs. Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodes d'authentification pour chaque travailleur. Le connecteur synchronise les données des utilisateurs et des groupes entre votre annuaire Active Directory ou LDAP et le service au moyen d'un ou de plusieurs travailleurs. Important La même instance de connecteur ne peut pas comporter deux travailleurs d'Active Directory de type Authentification Windows intégrée. Considérations de sécurité Pour les répertoires d'entreprise intégrés au service VMware Identity Manager, des paramètres de sécurité, tels que les règles de complexité des mots de passe utilisateur et des stratégies de verrouillage de compte, doivent être définis directement dans le répertoire d'entreprise. VMware Identity Manager ne remplace pas ces paramètres. Administration de VMware Identity Manager 16 VMware, Inc.
  • 17. Intégration à Active Directory 3 Vous pouvez intégrer VMware Identity Manager à votre déploiement d'Active Directory pour synchroniser les utilisateurs et les groupes entre Active Directory et VMware Identity Manager. Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 15. Ce chapitre aborde les rubriques suivantes : n « Environnements Active Directory », page 17 n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 n « Autoriser les utilisateurs à modifier des mots de passe Active Directory », page 31 n « Configuration de la sécurité des synchronisations d'annuaire », page 33 Environnements Active Directory Vous pouvez intégrer le service dans un environnement Active Directory composé d'un seul domaine Active Directory, de plusieurs domaines dans une forêt Active Directory unique, ou de plusieurs domaines dans différentes forêts Active Directory. Environnement à un seul domaine Active Directory Un déploiement Active Directory unique vous permet de synchroniser les utilisateurs et les groupes d'un seul domaine Active Directory. Pour cet environnement, lorsque vous ajoutez un annuaire au service, sélectionnez l'option Active Directory via LDAP. Pour plus d'informations, voir : n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 VMware, Inc. 17
  • 18. Environnement Active Directory à domaines multiples, forêt unique Un déploiement à domaines multiples, forêt unique vous permet de synchroniser des utilisateurs et des groupes à partir de multiples domaines Active Directory au sein d'une forêt unique. Vous pouvez configurer le service pour cet environnement Active Directory en tant qu'annuaire de type Authentification Windows intégrée à Active Directory unique ou en tant qu'annuaire de type Active Directory via LDAP configuré avec l'option de catalogue global. n L'option recommandée consiste à créer un annuaire de type Authentification Windows intégrée à Active Directory unique. Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour plus d'informations, voir : n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 n Si l'authentification Windows intégrée ne fonctionne pas dans votre environnement Active Directory, créez un annuaire de type Active Directory via LDAP et sélectionnez l'option de catalogue global. Certaines limitations sont définies pour la sélection de l'option de catalogue global, parmi lesquelles : n Les attributs d'objet Active Directory qui sont répliqués sur le catalogue global sont identifiés dans le schéma Active Directory sous forme d'ensemble d'attributs partiels (PAS) : Seuls ces attributs sont disponibles pour le mappage des attributs par le service. Si nécessaire, modifiez le schéma pour ajouter ou supprimer les attributs qui sont stockés dans le catalogue global. n Le catalogue global stocke l'appartenance au groupe (l'attribut membre) des groupes universels uniquement. Seuls les groupes universels sont synchronisés avec le service. Si nécessaire, vous pouvez modifier la portée d'un groupe d'un domaine local ou passer de global à universel. n Le compte ND Bind que vous définissez lors de la configuration d'un annuaire dans le service doit disposer d'autorisations pour lire l'attribut TGGAU (Token-Groups-Global-And-Universal). Active Directory utilise les ports 389 et 636 pour les requêtes LDAP standard. Pour les requêtes de catalogue global, les ports 3268 et 3269 sont utilisées. Lorsque vous ajoutez un annuaire pour l'environnement de catalogue global, spécifiez les actions suivantes lors de la configuration. n Sélectionnez l'option Active Directory via LDAP. n Décochez la case correspondant à l'option Cet annuaire prend en charge l'emplacement du service DNS. n Sélectionnez l'option Cet annuaire comporte un catalogue global. Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié à 3268. Aussi, du fait que le ND de base n'est pas nécessaire lors de la configuration de l'option de catalogue global, la zone de texte ND de base n'apparaît pas. n Ajoutez le nom d'hôte du serveur Active Directory. n Si votre annuaire Active Directory requiert un accès via SSL, sélectionnez l'option Cet annuaire exige que toutes les connexions utilisent SSL et collez le certificat dans la zone de texte indiquée. Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié à 3269. Administration de VMware Identity Manager 18 VMware, Inc.
  • 19. Environnement Active Directory à forêts multiples avec relations d'approbation Un déploiement Active Directory à forêts multiples avec relations d'approbation vous permet de synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des forêts où des relations d'approbation bidirectionnelles existent entre les domaines. Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour plus d'informations, voir : n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 Environnement Active Directory à forêts multiples sans relations d'approbation Un déploiement Active Directory à forêts multiples sans relations d'approbation vous permet de synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des forêts sans relation d'approbation entre les domaines. Dans cet environnement, vous devez créer plusieurs annuaires dans le service, à raison d'un annuaire par forêt. Le type d'annuaire que vous créez dans le service varie selon la forêt. Pour les forêts à plusieurs domaines, sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour une forêt ne comptant qu'un seul domaine, sélectionnez l'option Active Directory via LDAP. Pour plus d'informations, voir : n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) Le fichier domain_krb.properties détermine les contrôleurs de domaine qui sont utilisés pour les annuaires sur lesquels la recherche de l'emplacement du service DNS (enregistrements SRV) est activée. Il contient une liste de contrôleurs de domaine pour chaque domaine. Le connecteur crée le fichier, et vous devez le gérer par la suite. Le fichier remplace la recherche de l'emplacement du service DNS (SRV). La recherche de l'emplacement du service DNS est activée sur les types d'annuaires suivants : n Active Directory sur LDAP avec l'option Cet annuaire prend en charge l'emplacement du service DNS sélectionnée n Active Directory (authentification Windows intégrée), pour lequel la recherche de l'emplacement du service DNS est toujours activée La première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est activée, un fichier domain_krb.properties est automatiquement créé dans le répertoire /usr/local/horizon/conf de la machine virtuelle, puis rempli avec des contrôleurs de domaine pour chaque domaine. Pour remplir le fichier, le connecteur tente de rechercher les contrôleurs de domaine qui se trouvent sur le même site que le connecteur et en sélectionne deux qui sont accessibles et qui réagissent le plus vite. Chapitre 3 Intégration à Active Directory VMware, Inc. 19
  • 20. Lorsque vous créez des annuaires supplémentaires sur lesquels la recherche de l'emplacement du service DNS est activée, ou lorsque vous ajoutez de nouveaux domaines à un annuaire Authentification Windows intégrée, les nouveaux domaines, et une liste de leurs contrôleurs de domaine, sont ajoutés au fichier. Vous pouvez remplacer la sélection par défaut à tout moment en modifiant le fichier domain_krb.properties. Après avoir créé un annuaire, il vous est conseillé de consulter le fichier domain_krb.properties et de vérifier que les contrôleurs de domaine répertoriés sont les plus adaptés à votre configuration. Pour un déploiement Active Directory global avec plusieurs contrôleurs de domaine dans différents emplacements géographiques, le fait d'utiliser un contrôleur de domaine proche du connecteur garantit une communication plus rapide avec Active Directory. Vous devez également mettre à jour le fichier manuellement pour toute autre modification. Les règles suivantes s'appliquent. n Le fichier domain_krb.properties est créé dans la machine virtuelle qui contient le connecteur. Dans un déploiement classique, sans connecteurs supplémentaires déployés, le fichier est créé dans la machine virtuelle de service VMware Identity Manager. Si vous utilisez un connecteur supplémentaire pour l'annuaire, le fichier est créé dans la machine virtuelle de connecteur. Une machine virtuelle ne peut contenir qu'un seul fichier domain_krb.properties. n Le fichier est créé et rempli automatiquement avec des contrôleurs de domaine pour chaque domaine, la première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est activée. n Les contrôleurs de domaine de chaque domaine sont classés par ordre de priorité. Pour se connecter à Active Directory, le connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas accessible, il teste le deuxième de la liste, etc. n Le fichier est mis à jour uniquement lorsque vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est activée ou lorsque vous ajoutez un domaine à un annuaire Authentification Windows intégrée. Le nouveau domaine et une liste de contrôleurs de domaine le concernant sont ajoutés au fichier. Notez que si une entrée pour un domaine existe déjà dans le fichier, elle n'est pas mise à jour. Par exemple, si vous avez créé puis supprimé un annuaire, l'entrée de domaine d'origine reste dans le fichier et elle n'est pas mise à jour. n Le fichier n'est mis à jour automatiquement dans aucun autre scénario. Par exemple, si vous supprimez un annuaire, l'entrée de domaine n'est pas supprimée du fichier. n Si un contrôleur de domaine répertorié dans le fichier n'est pas accessible, modifiez le fichier et supprimez-le. n Si vous ajoutez ou supprimez une entrée de domaine manuellement, vos modifications ne seront pas remplacées. Pour plus d'informations sur la modification du fichier domain_krb.properties, reportez-vous à la section « Modification du fichier domain_krb.properties », page 22. Important Le fichier /etc/krb5.conf doit être cohérent avec le fichier domain_krb.properties. Lorsque vous mettez à jour le fichier domain_krb.properties, mettez également à jour le fichier krb5.conf. Pour plus d'informations, consultez la section « Modification du fichier domain_krb.properties », page 22 et l'article 2091744 de la base de connaissances. Administration de VMware Identity Manager 20 VMware, Inc.
  • 21. Mode de sélection des contrôleurs de domaine pour remplir automatiquement le fichier domain_krb.properties Pour remplir automatiquement le fichier domain_krb.properties, des contrôleurs de domaine sont sélectionnés en déterminant le sous-réseau sur lequel réside le connecteur (en fonction de l'adresse IP et du masque de réseau), puis en utilisant la configuration Active Directory afin d'identifier le site de ce sous- réseau, en obtenant la liste de contrôleurs de domaine de ce site, en filtrant la liste pour le domaine approprié et en choisissant les deux contrôleurs de domaine qui réagissent le plus vite. Pour détecter les contrôleurs de domaine qui sont les plus proches, VMware Identity Manager a les exigences suivantes : n Le sous-réseau du connecteur doit être présent dans la configuration Active Directory, ou un sous- réseau doit être spécifié dans le fichier runtime-config.properties. Voir « Remplacement de la sélection de sous-réseau par défaut », page 21. Le sous-réseau est utilisé pour déterminer le site. n La configuration Active Directory doit être liée au site. Si le sous-réseau ne peut pas être déterminé ou si votre configuration Active Directory n'est pas liée au site, la recherche de l'emplacement du service DNS est utilisée pour rechercher des contrôleurs de domaine, et le fichier est rempli avec quelques contrôleurs de domaine qui sont accessibles. Notez qu'il est possible que ces contrôleurs de domaine ne se trouvent pas dans le même emplacement géographique que le connecteur, ce qui peut entraîner des retards ou des délais d'expiration lors de la communication avec Active Directory. Dans ce cas, modifiez le fichier domain_krb.properties manuellement et spécifiez les contrôleurs de domaine corrects à utiliser pour chaque domaine. Voir « Modification du fichier domain_krb.properties », page 22. Exemple de fichier domain_krb.properties example.com=host1.example.com:389,host2.example.com:389 Remplacement de la sélection de sous-réseau par défaut Pour remplir automatiquement le fichier domain_krb.properties, le connecteur tente de rechercher les contrôleurs de domaine qui se trouvent sur le même site afin qu'il y ait une latence minimale entre le connecteur et Active Directory. Pour rechercher le site, le connecteur détermine le sous-réseau sur lequel il réside, en fonction de son adresse IP et de son masque de réseau, puis utilise la configuration Active Directory pour identifier le site pour ce sous-réseau. Si le sous-réseau de la machine virtuelle ne se trouve pas dans Active Directory, ou si vous voulez remplacer la sélection de sous-réseau automatique, vous pouvez spécifier un sous-réseau dans le fichier runtime-config.properties. Procédure 1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine. Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à la machine virtuelle de connecteur. 2 Modifiez le fichier /usr/local/horizon/conf/runtime-config.properties pour ajouter l'attribut suivant. siteaware.subnet.override=subnet où subnet est un sous-réseau du site dont vous voulez utiliser les contrôleurs de domaine. Par exemple : siteaware.subnet.override=10.100.0.0/20 Chapitre 3 Intégration à Active Directory VMware, Inc. 21
  • 22. 3 Enregistrez et fermez le fichier. 4 Redémarrez le service. service horizon-workspace restart Modification du fichier domain_krb.properties Le fichier /usr/local/horizon/conf/domain_krb.properties détermine les contrôleurs de domaine à utiliser pour les annuaires sur lesquels la recherche de l'emplacement du service DNS est activée. Vous pouvez modifier le fichier à tout moment pour changer la liste de contrôleurs de domaine d'un domaine ou pour ajouter ou supprimer des entrées de domaine. Vos modifications ne seront pas remplacées. Le fichier est créé et rempli automatiquement par le connecteur. Vous devez le mettre à jour manuellement dans les scénarios suivants. n Si les contrôleurs de domaine sélectionnés par défaut ne sont pas les plus adaptés à votre configuration, modifiez le fichier et spécifiez les contrôleurs de domaine à utiliser. n Si vous supprimez un répertoire, supprimez l'entrée de domaine correspondante dans le fichier. n Si des contrôleurs de domaine dans le fichier ne sont pas accessibles, supprimez-les du fichier. Reportez-vous également à la section « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19. Procédure 1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine. Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à la machine virtuelle de connecteur. 2 Modifiez les répertoires sur /usr/local/horizon/conf. 3 Modifiez le fichier domain_krb.properties pour ajouter ou modifier la liste de domaine aux valeurs d'hôte. Utilisez le format suivant : domain=host:port,host2:port,host3:port Par exemple : example.com=examplehost1.example.com:389,examplehost2.example.com:389 Répertoriez les contrôleurs de domaine par ordre de priorité. Pour se connecter à Active Directory, le connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas accessible, il teste le deuxième de la liste, etc. Important Les noms de domaine doivent être en minuscules. 4 Remplacez le propriétaire du fichier domain_krb.properties par horizon et le groupe par www à l'aide de la commande suivante. chown horizon:www /usr/local/horizon/conf/domain_krb.properties 5 Redémarrez le service. service horizon-workspace restart Administration de VMware Identity Manager 22 VMware, Inc.
  • 23. Suivant Une fois que vous avez modifié le fichier domain_krb.properties, modifiez le fichier /etc/krb5.conf. Le fichier krb5.conf doit être cohérent avec le fichier domain_krb.properties. 1 Modifiez le fichier /etc/krb5.conf et mettez à jour la section realms pour spécifier les mêmes valeurs domaine-vers-l'hôte qui sont utilisées dans le fichier /usr/local/horizon/conf/domain_krb.properties. Vous n'avez pas besoin de spécifier le numéro de port. Par exemple, si votre fichier domain_krb.properties contient l'entrée de domaine example.com=examplehost.example.com:389, vous devez mettre à jour le fichier krb5.conf comme suit. [realms] GAUTO-QA.COM = { auth_to_local = RULE:[1:$0$1](^GAUTO-QA.COM.*)s/^GAUTO-QA.COM/GAUTO-QA/ auth_to_local = RULE:[1:$0$1](^GAUTO-QA.COM.*)s/^GAUTO-QA.COM/GAUTO-QA/ auth_to_local = RULE:[1:$0$1](^GAUTO2QA.GAUTO-QA.COM.*)s/^GAUTO2QA.GAUTO- QA.COM/GAUTO2QA/ auth_to_local = RULE:[1:$0$1](^GLOBEQE.NET.*)s/^GLOBEQE.NET/GLOBEQE/ auth_to_local = DEFAULT kdc = examplehost.example.com } Remarque Il est possible d'avoir plusieurs entrées kdc. Toutefois, il ne s'agit pas d'une obligation, car dans la plupart des cas il n'y a qu'une seule valeur kdc. Si vous choisissez de définir des valeurs kdc supplémentaires, chaque ligne aura une entrée kdc qui définira un contrôleur de domaine. 2 Redémarrez le service workspace. service horizon-workspace restart Consultez également l'article 2091744 de la base de connaissances. Dépannage du fichier domain_krb.properties Utilisez les informations suivantes pour dépanner le fichier domain_krb.properties. Erreur « Erreur lors de la résolution du domaine » Si le fichier domain_krb.properties comporte déjà une entrée pour un domaine et si vous tentez de créer un annuaire d'un type différent pour le même domaine, une « Erreur lors de la résolution du domaine » se produit. Vous devez modifier le fichier domain_krb.properties et supprimer manuellement l'entrée de domaine avant de créer l'annuaire. Des contrôleurs de domaine sont inaccessibles Une fois l'entrée de domaine ajoutée au fichier domain_krb.properties, elle n'est pas mise à jour automatiquement. Si des contrôleurs de domaine répertoriés dans le fichier deviennent inaccessibles, modifiez le fichier manuellement et supprimez-les. Chapitre 3 Intégration à Active Directory VMware, Inc. 23
  • 24. Gestion des attributs utilisateur synchronisés à partir d'Active Directory Lors de la configuration de répertoire du service VMware Identity Manager, vous devez sélectionner des attributs utilisateur et des filtres Active Directory pour sélectionner les utilisateurs à synchroniser dans le répertoire VMware Identity Manager. Il est possible de modifier les attributs utilisateur qui se synchronisent avec la console d'administration, onglet Gestion des identités et des accès, Configuration > Attributs utilisateur. Les modifications effectuées et sauvegardées sur la page Attributs utilisateur sont ajoutées sur la page Attributs mappés dans le répertoire de VMware Identity Manager. Les modifications des attributs sont mises à jour dans le répertoire lors de la synchronisation suivante à Active Directory. La page Attributs utilisateur répertorie les attributs d'annuaire par défaut pouvant être mappés aux attributs Active Directory. Vous devez sélectionner les attributs obligatoires et ajouter les autres attributs que vous souhaitez synchroniser avec le répertoire. Lorsque vous ajoutez des attributs, le nom d'attribut que vous entrez est sensible à la casse. Par exemple, adresse, Adresse et ADRESSE sont des attributs différents. Tableau 3‑1. Attributs Active Directory par défaut à synchroniser avec le répertoire Nom de l'attribut du répertoire de VMware Identity Manager Mappage par défaut vers l'attribut Active Directory userPrincipalName userPrincipalName distinguishedName distinguishedName employeeId employeeID domaine canonicalName. Ajoute le nom de domaine complet de l'objet. disabled (utilisateur externe désactivé) userAccountControl. Indiqué par UF_Account_Disable Lorsqu'un compte est désactivé, les utilisateurs ne peuvent pas se connecter pour accéder à leurs applications et à leurs ressources. Comme les ressources attribuées aux utilisateurs ne sont pas supprimées du compte, lorsque l'indicateur est supprimé du compte, les utilisateurs peuvent se connecter et accéder aux ressources qui leur sont octroyées phone telephoneNumber lastName sn firstName givenName email mail userName sAMAccountName. Sélection des attributs à synchroniser avec l'annuaire Lorsque vous configurez l'annuaire VMware Identity Manager à synchroniser avec Active Directory, vous devez spécifier les attributs utilisateur qui sont synchronisés avec l'annuaire. Avant de configurer l'annuaire, vous pouvez spécifier sur la page Attributs utilisateur les attributs par défaut requis et ajouter les attributs supplémentaires que vous souhaitez mapper aux attributs Active Directory. Lorsque vous configurez la page Attributs utilisateur avant la création de l'annuaire, vous pouvez faire passer les attributs par défaut de l'état obligatoire à l'état facultatif, marquer les attributs si nécessaire et ajouter des attributs personnalisés. Une fois l'annuaire créé, vous pouvez faire passer un attribut obligatoire à l'état facultatif, et vous pouvez supprimer des attributs personnalisés. Il n'est pas possible de modifier un attribut pour le faire passer à l'état obligatoire. Administration de VMware Identity Manager 24 VMware, Inc.
  • 25. Lorsque vous ajoutez d'autres attributs à synchroniser avec l'annuaire, une fois l'annuaire créé, accédez à la page Attributs mappés de l'annuaire pour mapper ces attributs à ceux d'Active Directory. Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager, vous devez faire de distinguishedName un attribut obligatoire. Vous devez spécifier cela avant de créer l'annuaire VMware Identity Manager. Procédure 1 Sur l'onglet Gestion des identités et des accès de la console d'administration, cliquez sur Configuration > Attributs utilisateur. 2 Dans la section Attributs par défaut, examinez la liste d'attributs obligatoires et apportez les modifications souhaitées pour refléter les attributs obligatoires. 3 Dans la section Attributs, ajoutez le nom d'attribut de l'annuaire VMware Identity Manager à la liste. 4 Cliquez sur Enregistrer. L'état d'attribut par défaut est mis à jour et les attributs que vous avez ajoutés sont ajoutés à la liste d'attributs mappés de l'annuaire. 5 Une fois l'annuaire créé, accédez à la page Gérer > Annuaires et sélectionnez l'annuaire. 6 Cliquez sur Paramètres de synchronisation > Attributs mappés. 7 Dans le menu déroulant des attributs que vous avez ajoutés, sélectionnez l'attribut Active Directory à mapper. 8 Cliquez sur Enregistrer. L'annuaire est mis à jour lors de sa prochaine synchronisation avec Active Directory. Autorisations requises pour joindre un domaine Vous pouvez avoir besoin de joindre le connecteur VMware Identity Manager à un domaine. Pour les annuaires Active Directory via LDAP, vous pouvez joindre un domaine après la création de l'annuaire. Pour les annuaires de type Active Directory (authentification Windows intégrée), le connecteur est joint au domaine automatiquement lorsque vous créez l'annuaire. Dans les deux scénarios, vous êtes invité à fournir des informations d'identification. Pour joindre un domaine, vous avez besoin d'informations d'identification Active Directory avec le privilège pour « joindre un ordinateur au domaine AD ». Cela est configuré dans Active Directory avec les droits suivants : n Créer des objets Ordinateur n Supprimer des objets Ordinateur Lorsque vous joignez un domaine, un objet d'ordinateur est créé dans l'emplacement par défaut dans Active Directory, sauf si vous spécifiez une OU personnalisée. Si vous ne disposez pas des droits de joindre un domaine, suivez ces étapes. 1 Demandez à votre administrateur Active Directory de créer l'objet Ordinateur dans Active Directory, dans un emplacement déterminé par votre stratégie d'entreprise. Fournissez le nom d'hôte du connecteur . Vérifiez que vous fournissez le nom de domaine complet, par exemple, serveur.exemple.com. Conseil Vous pouvez voir le nom d'hôte dans la colonne Nom d'hôte sur la page Connecteurs dans la console d'administration. Cliquez sur Identité et gestion de l'accès > Configuration > Connecteurs pour afficher la page Connecteurs. Chapitre 3 Intégration à Active Directory VMware, Inc. 25
  • 26. 2 Une fois l'objet Ordinateur créé, joignez le domaine à l'aide d'un compte d'utilisateur de domaine dans la console d'administration de VMware Identity Manager. La commande Joindre le domaine est disponible sur la page Connecteurs, accessible en cliquant sur Identité et gestion de l'accès > Configuration > Connecteurs. Option Description Domaine Sélectionnez ou entrez le domaine Active Directory à joindre. Vérifiez que vous entrez le nom de domaine complet. Par exemple, server.example.com. Utilisateur du domaine Nom d'utilisateur d'un utilisateur Active Directory disposant des droits de joindre des systèmes au domaine Active Directory. Mot de passe du domaine Mot de passe de l'utilisateur. Unité d'organisation (OU) (Facultatif) Unité d'organisation (OU) de l'objet ordinateur. Cette option crée un objet ordinateur dans l'OU spécifiée plutôt que l'OU Ordinateurs par défaut. Par exemple, ou=testou,dc=test,dc=example,dc=com. Configuration de la connexion Active Directory au service La console d'administration permet de spécifier les informations requises pour vous connecter à votre annuaire Active Directory et de sélectionner les utilisateurs et les groupes à synchroniser avec l'annuaire VMware Identity Manager. Les options de connexion à Active Directory sont Active Directory via LDAP et Authentification Windows intégrée à Active Directory. La connexion Active Directory via LDAP prend en charge la recherche de l'emplacement du service DNS. Avec l'authentification Windows intégrée à Active Directory, vous devez configurer le domaine à joindre. Prérequis n Sélectionnez les attributs par défaut souhaités et ajoutez des attributs supplémentaires, si nécessaire, sur la page Attributs utilisateur. Voir « Sélection des attributs à synchroniser avec l'annuaire », page 24. Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager, vous devez faire de distinguishedName un attribut requis. Vous devez faire cette sélection avant de créer un annuaire car les attributs ne peuvent pas être modifiés en attributs requis si l'annuaire est déjà créé. n Liste des groupes et utilisateurs d'Active Directory à synchroniser depuis Active Directory. n Pour Active Directory via LDAP, les informations requises incluent le nom unique de base, le nom unique de liaison et le mot de passe du nom unique de liaison. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. n Pour l'authentification Windows intégrée à Active Directory, les informations requises incluent l'adresse et le mot de passe de l'UPN de l'utilisateur Bind du domaine. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. n Si Active Directory requiert un accès via SSL ou STARTTLS, le certificat d'autorité de certification racine du contrôleur de domaine Active Directory est requis. Administration de VMware Identity Manager 26 VMware, Inc.
  • 27. n Pour l'authentification Windows intégrée à Active Directory, lorsque vous avez configuré un annuaire Active Directory à forêts multiples et que le groupe local du domaine contient des membres de domaines provenant de différentes forêts, assurez-vous que l'utilisateur Bind est ajouté au groupe Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne seront pas présents dans le groupe local du domaine. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Sur la page Répertoires, cliquez sur Ajouter un répertoire. 3 Entrez un nom pour cet annuaire VMware Identity Manager. Chapitre 3 Intégration à Active Directory VMware, Inc. 27
  • 28. 4 Sélectionnez le type d'annuaire Active Directory dans votre environnement et configurez les informations de connexion. Option Description Active Directory via LDAP a Dans le champ Connecteur de synchronisation, sélectionnez le connecteur à utiliser pour la synchronisation avec Active Directory. b Dans le champ Authentification, si cet annuaire Active Directory est utilisé pour authentifier des utilisateurs, cliquez sur Oui. Si un fournisseur d'identité tiers est utilisé pour authentifier les utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification. c Dans le champ Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur. d Si l'annuaire Active Directory utilise la recherche de l'emplacement du service DNS, faites les sélections suivantes. n Dans la section Emplacement du serveur, cochez la case Ce répertoire prend en charge l'emplacement du service DNS. Un fichier domain_krb.properties, rempli automatiquement avec une liste de contrôleurs de domaine, sera créé lors de la création de l'annuaire. Voir « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19. n Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Remarque Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. e Si l'annuaire Active Directory n'utilise pas la recherche de l'emplacement du service DNS, faites les sélections suivantes. n Dans la section Emplacement du serveur, vérifiez que la case Cet annuaire prend en charge l'emplacement du service DNS n'est pas cochée et entrez le nom d'hôte et le numéro de port du serveur Active Directory. Pour configurer l'annuaire comme catalogue global, reportez-vous à la section Environnement Active Directory à forêt unique et domaines multiples au chapitre « Environnements Active Directory », page 17. n Si l'annuaire Active Directory requiert un accès via SSL, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL. Administration de VMware Identity Manager 28 VMware, Inc.
  • 29. Option Description Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Remarque Si l'annuaire Active Directory requiert SSL et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. f Dans le champ ND de base, entrez le ND à partir duquel vous souhaitez lancer les recherches de comptes. Par exemple : OU=myUnit,DC=myCorp,DC=com. g Dans le champ ND Bind, entrez le compte pouvant rechercher des utilisateurs. Par exemple : CN=binduser,OU=myUnit,DC=myCorp,DC=com. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. h Après avoir entré le mot de passe Bind, cliquez sur Tester la connexion pour vérifier que l'annuaire peut se connecter à votre annuaire Active Directory. Active Directory (authentification Windows intégrée) a Dans le champ Connecteur de synchronisation, sélectionnez le connecteur à utiliser pour la synchronisation avec Active Directory. b Dans le champ Authentification, si cet annuaire Active Directory est utilisé pour authentifier des utilisateurs, cliquez sur Oui. Si un fournisseur d'identité tiers est utilisé pour authentifier les utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification. c Dans le champ Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur. d Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire a besoin de toutes les connexions pour pouvoir utiliser STARTTLS dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Si l'annuaire dispose de plusieurs domaines, ajoutez les certificats d'autorité de certification racine pour tous les domaines, un par un. Remarque Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. e Entrez le nom du domaine Active Directory à joindre. Entrez un nom d'utilisateur et un mot de passe disposant des droits pour joindre le domaine. Voir « Autorisations requises pour joindre un domaine », page 25 pour obtenir plus d'informations. f Dans le champ UPN de l'utilisateur Bind, entrez le nom principal de l'utilisateur pouvant s'authentifier dans le domaine. Par exemple, username@example.com. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. g Entrez le mot de passe de l'utilisateur Bind. 5 Cliquez sur Enregistrer et Suivant. La page contenant la liste de domaines apparaît. Chapitre 3 Intégration à Active Directory VMware, Inc. 29
  • 30. 6 Pour Active Directory via LDAP, les domaines sont signalés par une coche. Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent être associés à cette connexion Active Directory. Remarque Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne le détecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connecteur doit quitter, puis rejoindre le domaine. Lorsque le connecteur rejoint le domaine, le domaine d'approbation apparaît dans la liste. Cliquez sur Suivant. 7 Vérifiez que les noms d'attribut de l'annuaire VMware Identity Manager sont mappés aux attributs Active Directory corrects et apportez des modifications, si nécessaire, puis cliquez sur Suivant. 8 Sélectionnez les groupes que vous souhaitez synchroniser entre Active Directory et l'annuaire VMware Identity Manager. Option Description Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et sélectionnez les groupes situés en dessous. a Cliquez sur + et spécifiez le ND du groupe. Par exemple, CN=users,DC=example,DC=company,DC=com. Important Spécifiez des ND du groupe qui se trouvent sous le nom unique de base que vous avez entré. Si un ND du groupe se trouve en dehors du nom unique de base, les utilisateurs de ce ND seront synchronisés, mais ne pourront pas se connecter. b Cliquez sur Rechercher des groupes. La colonne Groupes à synchroniser répertorie le nombre de groupes trouvés dans le ND. c Pour sélectionner tous les groupes dans le ND, cliquez sur Sélectionner tout, sinon cliquez sur Sélectionner et sélectionnez les groupes spécifiques à synchroniser. Remarque Lorsque vous synchronisez un groupe, les utilisateurs ne disposant pas d'Utilisateurs de domaine comme groupe principal dans Active Directory ne sont pas synchronisés. Synchroniser les membres du groupe imbriqué L'option Synchroniser les membres du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs seront des membres du groupe parent que vous avez sélectionné pour la synchronisation. Si l'option Synchroniser les membres du groupe imbriqué est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations Active Directory importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs. 9 Cliquez sur Suivant. Administration de VMware Identity Manager 30 VMware, Inc.
  • 31. 10 Spécifiez des utilisateurs supplémentaires à synchroniser, si nécessaire. a Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Important Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vous avez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ce ND seront synchronisés, mais ne pourront pas se connecter. b (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur. 11 Cliquez sur Suivant. 12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchronisent avec l'annuaire et pour voir le planning de synchronisation. Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation, cliquez sur les liens Modifier. 13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation avec l'annuaire. La connexion à Active Directory est établie et les utilisateurs et les groupes sont synchronisés entre Active Directory et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle d'administrateur dans VMware Identity Manager par défaut. Suivant n Si vous avez créé un annuaire qui prend en charge l'emplacement du service DNS, un fichier domain_krb.properties a été créé et rempli automatiquement avec une liste de contrôleurs de domaine. Affichez le fichier pour vérifier ou modifier la liste de contrôleurs de domaine. Voir « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19. n Configurez les méthodes d'authentification. Une fois les utilisateurs et groupes synchronisés avec l'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer des méthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identité d'authentification, configurez ce dernier dans le connecteur. n Examinez la stratégie d'accès par défaut. La stratégie d'accès par défaut est configurée de manière à permettre à tous les dispositifs de l'ensemble des plages réseau d'accéder au navigateur Web, avec un délai d'expiration de session défini à 8 heures ou pour accéder à une application cliente ayant un délai d'expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défaut et lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies. n Appliquez des informations de marque à la console d'administration, aux pages du portail utilisateur et à l'écran de connexion. Autoriser les utilisateurs à modifier des mots de passe Active Directory Vous pouvez permettre aux utilisateurs de modifier leurs mots de passe Active Directory à partir du portail ou de l'application Workspace ONE à n'importe quel moment. Les utilisateurs peuvent également réinitialiser leurs mots de passe Active Directory sur la page de connexion de VMware Identity Manager si le mot de passe a expiré ou si l'administrateur Active Directory a réinitialisé le mot de passe, ce qui force l'utilisateur à modifier le mot de passe lors de la prochaine connexion. Activez cette option par répertoire, en sélectionnant l'option Autoriser la modification du mot de passe sur la page Paramètres de répertoire. Chapitre 3 Intégration à Active Directory VMware, Inc. 31
  • 32. Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe. Les mots de passe expirés ou les mots de passe réinitialisés par l'administrateur dans Active Directory peuvent être modifiés sur la page de connexion. Lorsqu'un utilisateur tente de se connecter avec un mot de passe expiré, il est invité à le réinitialiser. L'utilisateur doit entrer l'ancien mot de passe ainsi que le nouveau mot de passe. Les exigences du nouveau mot de passe sont déterminées par la stratégie de mot de passe d'Active Directory. Le nombre de tentatives autorisées dépend également de la stratégie de mot de passe d'Active Directory. Les limites suivantes s'appliquent. n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que l'option Autoriser la modification du mot de passe n'est disponible qu'avec le connecteur version 2016.11.1 et ultérieures. n Lorsqu'un répertoire est ajouté à VMware Identity Manager en tant que catalogue global, l'option Autoriser la modification du mot de passe n'est pas disponible. Il est possible d'ajouter des répertoires en tant qu'annuaires Active Directory sur LDAP ou Authentification Windows intégrée, à l'aide des ports 389 ou 636. n Le mot de passe d'un utilisateur de nom unique de liaison ne peut pas être réinitialisé à partir de VMware Identity Manager, même s'il expire ou si l'administrateur Active Directory le réinitialise. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. n Les mots de passe d'utilisateurs dont les noms de connexion comportent des caractères multioctets (caractères non-ASCII) ne peuvent pas être réinitialisés à partir de VMware Identity Manager. Prérequis n Pour activer l'option Autoriser la modification du mot de passe, vous devez utiliser un compte d'utilisateur de nom unique de liaison et disposer d'autorisations d'accès en écriture pour Active Directory. n Le port 464 doit être ouvert sur le contrôleur de domaine. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Dans l'onglet Répertoires, cliquez sur le répertoire. 3 Dans la section Autoriser la modification du mot de passe, cochez la case Activer la modification du mot de passe. 4 Entrez le mot de passe de nom unique de liaison dans la section Détails de l'utilisateur Bind et cliquez sur Enregistrer. Administration de VMware Identity Manager 32 VMware, Inc.
  • 33. Configuration de la sécurité des synchronisations d'annuaire Des limites de seuil de sécurité de synchronisation peuvent être configurées dans l'annuaire pour éviter toute modification accidentelle de la configuration par les utilisateurs et les groupes qui se synchronisent avec l'annuaire à partir d'Active Directory. Les seuils de sécurité de synchronisation définis limitent le nombre de modifications pouvant être apportées aux utilisateurs et aux groupes lorsque l'annuaire se synchronise. Si un seuil de sécurité d'annuaire est atteint, la synchronisation d'annuaire s'arrête et un message s'affiche sur la page Journal de synchronisation de l'annuaire. Lorsque SMTP est configuré dans la console d'administration de VMware Identity Manager, vous recevez un e-mail lorsque la synchronisation échoue en raison d'une violation de la sécurité. Lorsque la synchronisation échoue, vous pouvez accéder à la page Paramètres de synchronisation > Journal de synchronisation de l'annuaire pour voir une description du type de violation de la sécurité. Pour terminer correctement la synchronisation, vous pouvez augmenter le pourcentage de seuil de la sécurité sur la page de paramètres Sécurité des synchronisations ou vous pouvez planifier une exécution de test de la synchronisation et cocher Ignorer la sécurité. Lorsque vous choisissez d'ignorer la valeur de seuil de la sécurité, les valeurs de sécurité ne sont pas appliquées pour cette session de synchronisation uniquement. Lors de la première synchronisation d'annuaire, les valeurs de sécurité de la synchronisation ne sont pas appliquées. Remarque Si vous ne voulez pas utiliser la fonctionnalité de protections de synchronisation, supprimez les valeurs du menu déroulant. Lorsque les zones de texte de seuil de protection de synchronisation sont vides, les protections de synchronisation ne sont pas activées. Configurer des protections de synchronisation d'annuaire Configurez les paramètres de seuil de protection de synchronisation pour limiter le nombre de modifications pouvant être apportées aux utilisateurs et aux groupes lorsque l'annuaire se synchronise. Remarque Si vous ne voulez pas utiliser la fonctionnalité de protections de synchronisation, supprimez les valeurs du menu déroulant. Lorsque les zones de texte de seuil de protection de synchronisation sont vides, les protections de synchronisation ne sont pas activées. Procédure 1 Pour modifier les paramètres de protection, dans l'onglet Gestion des identités et des accès, sélectionnez Gérer > Annuaires. 2 Sélectionnez l'annuaire pour définir les protections et cliquez sur Paramètres de synchronisation 3 Cliquez sur Protections. 4 Définissez le pourcentage de modifications pour déclencher la synchronisation. 5 Cliquez sur Enregistrer. Chapitre 3 Intégration à Active Directory VMware, Inc. 33
  • 34. Ignorer les paramètres de sécurité pour terminer la synchronisation avec l'annuaire Lorsque vous recevez une notification indiquant que la synchronisation ne s'est pas terminée en raison d'une violation de la sécurité, vous pouvez planifier une exécution de test de la synchronisation et cocher la case Ignorer la sécurité pour remplacer le paramètre de sécurité et terminer la synchronisation. Procédure 1 Dans l'onglet Identité et gestion de l'accès, sélectionnez Gérer > Annuaires. 2 Sélectionnez l'annuaire qui n'a pas terminé la synchronisation et accédez à la page Journal de synchronisation. 3 Pour voir le type de violation de la sécurité, dans la colonne Détails de la synchronisation, cliquez sur Échec de l'exécution de la synchronisation. Vérifiez la sécurité. 4 Cliquez sur OK. 5 Pour continuer la synchronisation sans modifier les paramètres de sécurité, cliquez sur Synchroniser maintenant. 6 Sur la page Vérification, cochez la case Ignorer la sécurité. 7 Cliquez sur Synchroniser l'annuaire. La synchronisation d'annuaire est exécutée et les paramètres de seuil de sécurité sont ignorés pour cette session de synchronisation uniquement. Administration de VMware Identity Manager 34 VMware, Inc.
  • 35. Intégration à des annuaires LDAP 4 Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser des utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager. Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 15. Ce chapitre aborde les rubriques suivantes : n « Limites de l'intégration d'annuaire LDAP », page 35 n « Intégrer un annuaire LDAP au service », page 36 Limites de l'intégration d'annuaire LDAP Les limites suivantes s'appliquent actuellement à la fonctionnalité d'intégration d'annuaire LDAP. n Vous ne pouvez intégrer qu'un environnement d'annuaire LDAP à un seul domaine. Pour intégrer plusieurs domaines à partir d'un annuaire LDAP, vous devez créer des annuaires VMware Identity Manager supplémentaires, un pour chaque domaine. n Les méthodes d'authentification suivantes ne sont pas prises en charge pour les annuaires VMware Identity Manager de type LDAP. n authentification Kerberos n RSA Adaptive Authentication n ADFS en tant que fournisseur d'identité tiers n SecurID n Authentification Radius avec serveur Vasco et SMS Passcode n Vous ne pouvez pas joindre un domaine LDAP. n L'intégration à des ressources View ou publiées Citrix n'est pas prise en charge pour les annuaires VMware Identity Manager de type LDAP. n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur. n Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis sur la page Attributs utilisateur, à l'exception de userName, qui peut être marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service VMware Identity Manager. VMware, Inc. 35
  • 36. n Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez spécifier des noms uniques dans le service VMware Identity Manager. Vous pouvez spécifier les noms lorsque vous sélectionnez les groupes à synchroniser. n L'option pour autoriser les utilisateurs à réinitialiser leurs mots de passe expirés n'est pas disponible. n Le fichier domain_krb.properties n'est pas pris en charge. Intégrer un annuaire LDAP au service Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser des utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager. Pour intégrer votre annuaire LDAP, vous créez un annuaire VMware Identity Manager correspondant et synchronisez les utilisateurs et les groupes depuis votre annuaire LDAP vers l'annuaire VMware Identity Manager. Vous pouvez configurer un planning de synchronisation régulier pour les mises à jour suivantes. De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les mappez aux attributs VMware Identity Manager. La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou vous pouvez avoir créé des schémas personnalisés. Vous pouvez également avoir défini des attributs personnalisés. Pour que VMware Identity Manager puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre annuaire LDAP. En particulier, vous devez fournir les informations suivantes. n Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind n Noms d'attribut LDAP pour l'appartenance au groupe, l'UUID et le nom unique Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Voir « Limites de l'intégration d'annuaire LDAP », page 35. Prérequis n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que la capacité à intégrer des répertoires LDAP n'est disponible qu'avec le connecteur version 2016.6.1 et ultérieures. n Examinez les attributs sur la page Identité et gestion de l'accès > Configuration > Attributs utilisateur et ajoutez des attributs supplémentaires que vous voulez synchroniser. Vous mappez ces attributs de VMware Identity Manager aux attributs de votre annuaire LDAP ultérieurement lorsque vous créez l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire. Remarque Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres annuaires dans le service. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service VMware Identity Manager. n Un compte d'utilisateur de nom unique de liaison. Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. n Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut. n Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes. Vous mappez cet attribut à l'attribut VMware Identity Manager domain lorsque vous créez l'annuaire VMware Identity Manager. Administration de VMware Identity Manager 36 VMware, Inc.
  • 37. n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur. n Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les attributs userPrincipalName et d'adresse électronique. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire LDAP. 3 Entrez les informations requises sur la page Ajouter un annuaire LDAP. Option Description Nom du répertoire Un nom pour l'annuaire de VMware Identity Manager. Synchronisation et authentification du répertoire a Dans le champ Synchroniser le connecteur, sélectionnez le connecteur que vous voulez utiliser pour synchroniser des utilisateurs et des groupes de l'annuaire LDAP avec l'annuaire VMware Identity Manager. Un composant de connecteur est toujours disponible avec le service VMware Identity Manager par défaut. Ce connecteur apparaît dans la liste déroulante. Si vous installez plusieurs dispositifs VMware Identity Manager pour la haute disponibilité, le composant de connecteur de chaque dispositif apparaît dans la liste. Vous n'avez pas besoin d'un connecteur séparé pour un annuaire LDAP. Un connecteur peut prendre en charge plusieurs annuaires, qu'il s'agisse d'annuaires Active Directory ou LDAP. Pour les scénarios dans lesquels vous avez besoin de connecteurs supplémentaires, consultez la section « Installation de dispositifs de connecteur supplémentaires » dans le Guide d'installation de VMware Identity Manager. b Dans le champ Authentification, si vous voulez utiliser cet annuaire LDAP pour authentifier des utilisateurs, sélectionnez Oui. Si vous voulez utiliser un fournisseur d'identité tiers pour authentifier des utilisateurs, sélectionnez Non. Après avoir ajouté la connexion d'annuaire pour synchroniser les utilisateurs et les groupes, accédez à la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification. c Dans le champ Attribut de recherche d'annuaire, spécifiez l'attribut d'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'est pas répertorié, sélectionnez Personnalisé et tapez le nom de l'attribut. Par exemple, cn. Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôte de serveur, vous pouvez spécifier le nom de domaine complet ou l'adresse IP. Par exemple : myLDAPserver.example.com ou 100.00.00.0. Si vous disposez d'un cluster de serveurs derrière un équilibrage de charge, entrez les informations de ce dernier à la place. Chapitre 4 Intégration à des annuaires LDAP VMware, Inc. 37
  • 38. Option Description Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP que VMware Identity Manager peut utiliser pour interroger votre annuaire LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP principal. Requêtes LDAP n Obtenir des groupes : filtre de recherche pour obtenir des objets de groupe. Par exemple : (objectClass=group) n Obtenir l'utilisateur Bind : filtre de recherche pour obtenir l'objet d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaison à l'annuaire. Par exemple : (objectClass=person) n Obtenir l'utilisateur : filtre de recherche pour obtenir des utilisateurs à synchroniser. Par exemple :(&(objectClass=user)(objectCategory=person)) Attributs n Appartenance : attribut utilisé dans votre annuaire LDAP pour définir les membres d'un groupe. Par exemple : membre n UUID d'objet : attribut utilisé dans votre annuaire LDAP pour définir l'UUID d'un utilisateur ou d'un groupe. Par exemple : entryUUID n Nom unique : attribut utilisé dans votre annuaire LDAP pour le nom unique d'un utilisateur ou d'un groupe. Par exemple : entryDN Certificats Si votre annuaire LDAP requiert un accès sur SSL, sélectionnez Cet annuaire exige que toutes les connexions utilisent SSL, copiez et collez le certificat SSL d'autorité de certification racine du serveur d'annuaire LDAP. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel vous souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com Nom unique Bind : entrez le nom d'utilisateur à utiliser pour établir la liaison à l'annuaire LDAP. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. Mot de passe du nom unique de liaison : entrez le mot de passe de l'utilisateur de nom unique de liaison. 4 Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion. Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les modifications nécessaires. 5 Cliquez sur Enregistrer et Suivant. 6 Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant. 7 Sur la page Mapper des attributs, vérifiez que les attributs de VMware Identity Manager sont mappés aux bons attributs LDAP. Important Vous devez spécifier un mappage pour l'attribut domain. Vous pouvez ajouter des attributs à la liste sur la page Attributs utilisateur. 8 Cliquez sur Suivant. Administration de VMware Identity Manager 38 VMware, Inc.
  • 39. 9 Sur la page Groupes, cliquez sur + pour sélectionner les groupes que vous souhaitez synchroniser entre l'annuaire LDAP et l'annuaire VMware Identity Manager. Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez spécifier des noms uniques sur la page des groupes. L'option Synchroniser les utilisateurs du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs apparaissent en tant que membres du groupe de niveau supérieur que vous avez sélectionné pour la synchronisation. En effet, la hiérarchie sous un groupe sélectionné est aplatie et les utilisateurs de tous les niveaux apparaissent dans VMware Identity Manager en tant que membres du groupe sélectionné. Si cette option est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs. 10 Cliquez sur Suivant. 11 Cliquez sur + pour ajouter des utilisateurs supplémentaires. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur. Cliquez sur Suivant. 12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire et pour voir le planning de synchronisation par défaut. Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation, cliquez sur les liens Modifier. 13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire. La connexion à l'annuaire LDAP est établie et les utilisateurs et les groupes sont synchronisés entre l'annuaire LDAP et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle d'administrateur dans VMware Identity Manager par défaut. Chapitre 4 Intégration à des annuaires LDAP VMware, Inc. 39
  • 40. Administration de VMware Identity Manager 40 VMware, Inc.
  • 41. Utilisation de répertoires locaux 5 Un répertoire local est l'un des types de répertoires que vous pouvez créer dans le service VMware Identity Manager. Un répertoire local vous permet de provisionner des utilisateurs locaux dans le service et de leur fournir un accès à des applications spécifiques, sans avoir à les ajouter à votre répertoire d'entreprise. Un répertoire local n'est pas connecté à un répertoire d'entreprise et les utilisateurs et les groupes ne sont pas synchronisés à partir d'un répertoire d'entreprise. Au lieu de cela, vous créez des utilisateurs locaux directement dans le répertoire local. Un répertoire local par défaut, nommé Répertoire système, est disponible dans le service. Vous pouvez également créer plusieurs répertoires locaux. Répertoire système Le répertoire système est un répertoire local créé automatiquement dans le service lors de sa première configuration. Ce répertoire dispose du domaine Domaine système. Vous ne pouvez pas modifier le nom ou le domaine du répertoire système, ni lui ajouter de nouveaux domaines. Vous ne pouvez pas non plus supprimer le répertoire système ou le domaine système. L'utilisateur administrateur local créé lorsque vous configurez le dispositif VMware Identity Managerpour la première fois est créé dans le domaine système du répertoire système. Vous pouvez ajouter d'autres utilisateurs au répertoire système. Le répertoire système est en général utilisé pour configurer quelques utilisateurs administrateurs locaux afin de gérer le service. Pour provisionner des utilisateurs finaux et des administrateurs supplémentaires et les autoriser à accéder à des applications, il est recommandé de créer un répertoire local. Répertoires locaux Vous pouvez créer plusieurs répertoires locaux. Chaque répertoire local peut disposer d'un ou de plusieurs domaines. Lorsque vous créez un utilisateur local, vous spécifiez le répertoire et le domaine pour l'utilisateur. Vous pouvez également sélectionner des attributs pour tous les utilisateurs dans un répertoire local. Les attributs utilisateur tels que userName, lastName et firstName, sont spécifiés au niveau global dans le service VMware Identity Manager. Une liste par défaut d'attributs est disponible et vous pouvez ajouter des attributs personnalisés. Des attributs utilisateur globaux s'appliquent à tous les répertoires dans le service, y compris les répertoires locaux. Au niveau du répertoire local, vous pouvez sélectionner les attributs qui sont obligatoires pour le répertoire. Cela vous permet de disposer d'un ensemble personnalisé d'attributs pour différents répertoires locaux. Notez que les attributs userName, lastName, firstName et email sont toujours obligatoires pour les répertoires locaux. Remarque La capacité de personnaliser les attributs utilisateur au niveau du répertoire n'est disponible que pour les répertoires locaux, pas pour les répertoires Active Directory ou LDAP. VMware, Inc. 41
  • 42. Il est utile de créer des répertoires locaux dans les scénarios suivants. n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie de votre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour des partenaires, qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accès uniquement aux applications spécifiques dont ils ont besoin. n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ou méthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer un répertoire local pour des distributeurs avec des attributs utilisateur tels que région et taille de marché, et un autre répertoire local pour les fournisseurs avec des attributs utilisateur tels que catégorie de produit et type de fournisseur. Fournisseur d'identité pour un répertoire système et des répertoires locaux Par défaut, le répertoire système est associé à un fournisseur d'identité nommé Fournisseur d'identité système. La méthode Mot de passe (Cloud Directory) est activée par défaut sur ce fournisseur d'identité et s'applique à la stratégie default_access_policy_set pour la plage réseau TOUTES LES PLAGES et le type de périphérique Navigateur Web. Vous pouvez configurer des méthodes d'authentification supplémentaires et définir des stratégies d'authentification. Lorsque vous créez un répertoire local, il n'est associé à aucun fournisseur d'identité. Après avoir créé le répertoire, créez un fournisseur d'identité de type Incorporé et associez-le au répertoire. Activez la méthode d'authentification Mot de passe (Cloud Directory) sur le fournisseur d'identité. Plusieurs répertoires locaux peuvent être associés au même fournisseur d'identité. Le connecteur VMware Identity Manager n'est pas requis pour le répertoire système ou pour les répertoires locaux que vous créez. Pour plus d'informations, consultez « Configuration de l'authentification utilisateur dans VMware Identity Manager » dans Administration de VMware Identity Manager. Gestion des mots de passe pour les utilisateurs du répertoire local Par défaut, tous les utilisateurs de répertoires locaux ont la capacité de modifier leur mot de passe dans le portail ou l'application Workspace ONE. Vous pouvez définir une stratégie de mot de passe pour des utilisateurs locaux. Vous pouvez également réinitialiser des mots de passe d'utilisateur local, si nécessaire. Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe. Pour plus d'informations sur la définition de stratégies de mot de passe et sur la réinitialisation des mots de passe d'utilisateur local, consultez « Gestion des utilisateurs et des groupes » dans Administration de VMware Identity Manager. Ce chapitre aborde les rubriques suivantes : n « Création d'un répertoire local », page 43 n « Modification des paramètres du répertoire local », page 47 n « Suppression d'un répertoire local », page 48 n « Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système », page 49 Administration de VMware Identity Manager 42 VMware, Inc.