Installazione e configurazione di VMware Identity Manager. VMware Identity Manager 2.8

Transcript

1 Installazione e configurazione di VMware Identity Manager VMware Identity Manager 2.8

2 Installazione e configurazione di VMware Identity Manager È possibile consultare la documentazione tecnica più aggiornata sul sito Web all'indirizo: Sul sito Web di VMware sono inoltre disponibili gli aggiornamenti più recenti del prodotto. Inoltrare eventuali commenti sulla documentazione al seguente indirizzo: docfeedback@vmware.com Copyright VMware Inc. Tutti i diritti sono riservati. Informazioni sul copyright e sui marchi. VMware, Inc Hillview Ave. Palo Alto, CA VMware, Inc. P.le Biancamano Milano tel: fax: VMware, Inc.

3 Contenuti Informazioni sull'installazione e la configurazione di VMware Identity Manager 7 1 Preparazione all'installazione di VMware Identity Manager 9 Requisiti di configurazione di sistema e di rete 11 Preparazione alla distribuzione di VMware Identity Manager 14 Creazione di record DNS e indirizzi IP 15 Opzioni del database con VMware Identity Manager 15 Connessione alla directory aziendale 16 Checklist di distribuzione 16 Programma CEIP (Customer Experience Improvement Program) 17 2 Distribuzione di VMware Identity Manager 19 Installazione del file OVA di VMware Identity Manager 19 (Facoltativo) Aggiunta di pool di IP 21 Configurazione delle impostazioni di VMware Identity Manager 22 Configurazione delle impostazioni del server proxy per VMware Identity Manager 30 Specifica della chiave di licenza 31 3 Gestione delle impostazioni di configurazione del sistema dell'appliance 33 Modifica delle impostazioni di configurazione dell'appliance 34 Connessione al database 34 Configurazione di un database Microsoft SQL 34 Configurazione di un database Oracle 36 Amministrazione del database interno 37 Configurazione di VMware Identity Manager per l'utilizzo di un database esterno 37 Uso dei certificati SSL 38 Applicazione di autorità di certificati pubblici 38 Aggiunta di certificati SSL 40 Modifica dell'url del servizio VMware Identity Manager 40 Modifica dell'url del connettore 41 Abilitazione del server syslog 41 Informazioni sui file di registro 41 Raccolta delle informazioni di registro 42 Gestione delle password dell'appliance 42 Configurazione delle impostazioni SMTP 43 4 Integrazione con la directory aziendale 45 Concetti importanti relativi all'integrazione della directory 45 Integrazione con Active Directory 47 Ambienti Active Directory 47 Informazioni sulla selezione dei controller di dominio (file domain_krb.properties) 49 VMware, Inc. 3

4 Installazione e configurazione di VMware Identity Manager Gestione degli attributi utente sincronizzati da Active Directory 53 Permessi richiesti per l'unione a un dominio 54 Configurazione della connessione di Active Directory al servizio 55 Abilitazione degli utenti alla modifica delle password di Active Directory 60 Integrazione con le directory LDAP 61 Limitazioni dell'integrazione della directory LDAP 61 Integrazione di una directory LDAP con il servizio 62 Aggiunta di una directory in seguito alla configurazione di failover e ridondanza 66 5 Utilizzo delle directory locali 69 Creazione di una directory locale 70 Impostazione degli attributi utente a livello globale 71 Creazione di una directory locale 72 Associazione della directory locale a un provider di identità 74 Modifica delle impostazioni della directory locale 75 Eliminazione di una directory locale 76 6 Configurazione avanzata per l'appliance di VMware Identity Manager 79 Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager 79 Applicazione del certificato root di VMware Identity Manager al bilanciamento del carico 81 Applicazione del certificato root di bilanciamento del carico a VMware Identity Manager 82 Configurazione delle impostazioni del server proxy per VMware Identity Manager 82 Configurazione del failover e della ridondanza in un data center singolo 83 Numero di nodi consigliato nel cluster VMware Identity Manager 84 Modifica del nome di dominio di completo di VMware Identity Manager nel nome di dominio completo di bilanciamento del carico 84 Clonazione dell'appliance virtuale 85 Assegnazione di un nuovo indirizzo IP a un'appliance virtuale clonata 86 Abilitazione della sincronizzazione delle directory su un'altra istanza di in caso di errore 88 Distribuzione di VMware Identity Manager in un data center secondario per il failover e la ridondanza 89 Configurazione di un data center secondario 91 Failover nel data center secondario 97 Failback nel data center primario 99 Promozione del data center secondario a data center primario 99 Aggiornamento di VMware Identity Manager senza tempo di inattività 99 7 Installazione di appliance aggiuntive per il connettore 101 Generazione del codice di attivazione per il connettore 102 Distribuzione del file OVA di Connettore 102 Configurazione delle impostazioni di Connettore Preparazione all'uso dell'autenticazione Kerberos su dispositivi ios 105 Decisioni relative alla configurazione pre-kdc 105 Inizializzazione del centro di distribuzione chiavi nell'appliance 106 Creazione di voci DNS pubbliche per il KDC con Kerberos integrato VMware, Inc.

5 Contenuti 9 Risoluzione dei problemi relativi all'installazione e alla configurazione 109 Utenti non in grado di avviare le applicazioni o metodo di autenticazione non corretto applicato negli ambienti con bilanciamento del carico 109 Nel gruppo non viene visualizzato alcun membro dopo la sincronizzazione della directory 110 Risoluzione dei problemi relativi a Elasticsearch e RabbitMQ 110 Indice 113 VMware, Inc. 5

6 Installazione e configurazione di VMware Identity Manager 6 VMware, Inc.

7 Informazioni sull'installazione e la configurazione di VMware Identity Manager Nella sezione Installazione e configurazione di VMware Identity Manager sono riportate le informazioni sul processo di installazione e configurazione dell'appliance di VMware Identity Manager. Una volta terminata l'installazione, sarà possibile utilizzare la console di amministrazione per consentire agli utenti di accedere da più dispositivi alle applicazioni della propria organizzazione, tra cui le applicazioni Windows, le applicazioni SaaS e i desktop View o Horizon. Viene inoltre spiegato come configurare la propria distribuzione per l'alta disponibilità. Destinatari Queste informazioni sono dirette agli amministratori di VMware Identity Manager. Sono state scritte per amministratori di sistemi Windows e Linux esperti di tecnologia VMware, in particolare di vcenter, ESX, vsphere e View, concetti di networking, server di Active Directory, database, procedure di backup e ripristino, SMTP (Simple Mail Transfer Protocol) e server NTP. SUSE Linux 11 è il sistema operativo di base per l'appliance virtuale. La conoscenza di altre tecnologie, come VMware ThinApp e RSA SecurID è utile se si desidera implementare queste funzionalità. VMware, Inc. 7

8 Installazione e configurazione di VMware Identity Manager 8 VMware, Inc.

9 Preparazione all'installazione di 1 VMware Identity Manager Le attività per distribuire e configurare VMware Identity Manager richiedono che vengano soddisfatti alcuni prerequisiti, che venga distribuito il file OVA di VMware Identity Manager e che venga portata a termine la configurazione dalla procedura di configurazione guidata di VMware Identity Manager. VMware, Inc. 9

10 Installazione e configurazione di VMware Identity Manager Figura 1 1. Diagramma di architettura VMware Identity Manager per distribuzioni tipiche Nome di dominio completo di VMware Identity Manager: dentitymanager.società.com Dispositivo mobile DMZ HTTPS (443) Internet Laptop Proxy inverso TCP/UDP (88) - solo ios PC Bilanciamento del carico interno identitymanager.società.com HTTPS (443) HTTPS PCoIP Area aziendale Utenti LAN aziendale PC Laptop TCP/UDP (88) - solo ios VDI (HTML) Visualizza server di conn. VDI (PCoIP/RDP) HTTPS (443) Appliance virtuale di VMware Identity Manager Servizi DNS/NTP SecurID RSA Servizi AD/directory Database esterno Repository ThinApp Server Citrix API REST AirWatch Nota: Se si prevede di abilitare l'autenticazione mediante certificato o smart card, utilizzare l'impostazione del pass-through SSL sul bilanciamento del carico, anziché l'impostazione per terminare SSL. Questa configurazione fa sì che l'handshake SSL avvenga tra il connettore, un componente di VMware Identity Manager, e il client. Nota: In base alla posizione della distribuzione di AirWatch, le API REST di AirWatch possono trovarsi nel cloud o in locale. Questo capitolo include i seguenti argomenti: Requisiti di configurazione di sistema e di rete, pag. 11 Preparazione alla distribuzione di VMware Identity Manager, pag. 14 Programma CEIP (Customer Experience Improvement Program), pag VMware, Inc.

11 Capitolo 1 Preparazione all'installazione di VMware Identity Manager Requisiti di configurazione di sistema e di rete Considerare l'intera distribuzione, compreso il modo in cui si integrano le risorse, quando si prendono decisioni relative ai requisiti hardware, delle risorse e di rete. Versioni supportate di vsphere e ESX Sono supportate le seguenti versioni del server vsphere e ESX: 5.0 U2 e versioni successive 5.1 e versioni successive 5.5 e versioni successive 6.0 e versioni successive Nota: È necessario attivare la sincronizzazione temporale a livello di host ESX mediante un server NTP. In caso contrario, tra le appliance virtuali si verificherà un ritardo. Se si distribuiscono più appliance virtuali su diversi host, considerare la possibilità di disabilitare l'opzione Sincronizza con host per la sincronizzazione temporale e la configurazione del server NTP su ogni appliance virtuale per essere certi che non vi sia alcun ritardo tra le appliance. Requisiti hardware Assicurarsi che vengano soddisfatti i requisiti per il numero di appliance virtuali di VMware Identity Manager e le risorse allocate a ogni appliance. Numero di utenti Fino a Numero di server VMware Identity Manager 1 server 3 server con bilanciamento del carico 3 server con bilanciamento del carico 3 server con bilanciamento del carico 3 server con bilanciamento del carico CPU (per server) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU RAM (per server) 6 GB 6 GB 8 GB 16 GB 32 GB Spazio su disco (per server) 60 GB 100 GB 100 GB 100 GB 100 GB Se si installano appliance virtuali del connettore aggiuntive esterne, assicurarsi che vengano soddisfatti i requisiti seguenti. Numero di utenti Fino a Numero di server del connettore 1 server 2 server con bilanciamento del carico 2 server con bilanciamento del carico 2 server con bilanciamento del carico 2 server con bilanciamento del carico CPU (per server) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB Spazio su disco (per server) 60 GB 60 GB 60 GB 60 GB 60 GB VMware, Inc. 11

12 Installazione e configurazione di VMware Identity Manager Requisiti del database Configurare VMware Identity Manager con un database esterno per memorizzare e organizzare i dati del server. Nell'appliance virtuale è incorporato un database PostgreSQL interno il cui utilizzo non è però consigliato nelle distribuzioni di produzione. Per informazioni sulle versioni del database e le configurazioni dei service pack supportate, vedere VMware Product Interoperability Matrix all'indirizzo I requisiti seguenti si applicano a un database SQL Server esterno. Numero di utenti Fino a CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU RAM 4 GB 4 GB 8 GB 16 GB 32 GB Spazio su disco 50 GB 50 GB 50 GB 100 GB 100 GB Requisiti di configurazione di rete Componente Record DNS e indirizzo IP Porta firewall Proxy inverso Requisito minimo Indirizzo IP e record DNS Assicurarsi che la porta del firewall in entrata 443 sia aperta per gli utenti all'esterno della rete sull'istanza di VMware Identity Manager o sul bilanciamento del carico. Distribuire un proxy inverso come F5 Access Policy Manager nel DMZ per consentire agli utenti l'accesso sicuro al portale utente di VMware Identity Manager da remoto. Requisiti delle porte Le porte utilizzate nella configurazione del server del sono descritte di seguito. È possibile che la distribuzione includa solo una serie di queste porte. Di seguito sono riportati due scenari potenziali: Per sincronizzare utenti e gruppi da Active Directory, VMware Identity Manager deve connettersi a Active Directory. Per la sincronizzazione con ThinApp, VMware Identity Manager deve entrare nel dominio di Active Directory e connettersi alla condivisione del repository ThinApp. Porta Portale Origine Destinazione Descrizione 443 HTTPS Bilanciamento del carico Appliance virtuale di VMware Identity Manager 443 HTTPS Appliance virtuale di VMware Identity Manager Appliance virtuale di VMware Identity Manager 443 HTTPS Browser Appliance virtuale di VMware Identity Manager 443 HTTPS Appliance virtuale di VMware Identity Manager vapp-updates.vmware.com Accesso al server di aggiornamento 8443 HTTPS Browser Appliance virtuale di VMware Identity Manager Porta amministratore 25 SMTP Appliance virtuale di VMware Identity Manager SMTP Porta per l'inoltro della posta in uscita 12 VMware, Inc.

13 Capitolo 1 Preparazione all'installazione di VMware Identity Manager Porta Portale Origine Destinazione Descrizione LDAP LDAPS MSFT-GC MSFT-GC- SSL Appliance virtuale di VMware Identity Manager Active Directory Sono mostrati i valori predefiniti. Queste porte sono configurabili. 445 TCP Appliance virtuale di VMware Identity Manager 5500 UDP Appliance virtuale di VMware Identity Manager 53 TCP/UDP Appliance virtuale di VMware Identity Manager 88, 464, 135 TCP/UDP Appliance virtuale di VMware Identity Manager TCP Appliance virtuale di VMware UDP Identity Manager Repository di VMware ThinApp Sistema RSA SecurID Server DNS Controller del dominio Appliance virtuale di VMware Identity Manager Accesso al repository ThinApp È visualizzato il valore predefinito. Questa porta è configurabile. Ogni appliance virtuale deve poter accedere al server DNS sulla porta 53 e consentire il traffico SSH in ingresso sulla porta 22. Necessità di controllo 1433, 5432, 1521 TCP Appliance virtuale di VMware Identity Manager Database La porta predefinita di Microsoft SQL è la La porta predefinita di Oracle è la Appliance virtuale di VMware Identity Manager 80, 443 TCP Appliance virtuale di VMware Identity Manager 443 HTTPS Appliance virtuale di VMware Identity Manager Server View Server Citrix Integration Broker API REST AirWatch Accesso al server View Connessione a Citrix Integration Broker. L'opzione della porta dipende dal fatto che nel server Integration Broker sia installato o meno un certificato Per il controllo della conformità del dispositivo e per il metodo di autenticazione della password di AirWatch Cloud Connector, se viene utilizzato. 88 TCP/UDP Dispositivo mobile ios Appliance virtuale di VMware Identity Manager Porta utilizzata per il traffico Kerberos dal dispositivo ios al KDC integrato TCP Dispositivo mobile Android Servizio proxy HTTPS AirWatch Il client AirWatch Tunnel instrada il traffico verso il proxy HTTPS per i dispositivi Android. VMware, Inc. 13

14 Installazione e configurazione di VMware Identity Manager Active Directory VMware Identity Manager supporta Active Directory in Windows 2008, 2008 R2, 2012 e 2012 R2, con un livello di funzionalità del dominio e della foresta di Windows 2003 e versioni successive. Browser Web supportati per l'accesso alla console di amministrazione La console di amministrazione di VMware Identity Manager è un'applicazione basata su Web utilizzata per gestire il tenant. È possibile accedere a console di amministrazione dai browser seguenti. Internet Explorer 11 per sistemi Windows Google Chrome 42.0 o versione successiva per sistemi Windows e Mac Mozilla Firefox 40 o versione successiva per sistemi Windows e Mac Safari o versione successiva per sistemi Mac Nota: In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazione tramite VMware Identity Manager. Browser supportati per l'accesso al portale Workspace ONE Gli utenti finali possono accedere al portale Workspace ONE dai seguenti browser. Mozilla Firefox (versione più recente) Google Chrome (versione più recente) Safari (versione più recente) Internet Explorer 11 Browser Microsoft Edge Browser nativo e Google Chrome su dispositivi Android Safari su dispositivi ios Nota: In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazione tramite VMware Identity Manager. Preparazione alla distribuzione di VMware Identity Manager Prima di poter distribuire VMware Identity Manager, è necessario preparare il proprio ambiente. Questa preparazione include il download del file OVA di VMware Identity Manager, la creazione dei record DNS e il recupero degli indirizzi IP. Prerequisiti Prima di iniziare a installare VMware Identity Manager completare le attività prerequisite. Per distribuire l'appliace virtuale di VMware Identity Manager sono necessari uno o più server ESX. Nota: Per informazioni sulle versioni dei server vsphere e ESX supportate, fare riferimento a VMware Product Interoperability Matrixes all'indirizzo Per distribuire il file OVA e accedere all'appliance virtuale distribuita in remoto per configurare la rete, è necessario VMware vsphere Client o vsphere Web Client. Scaricare il file OVA di VMware Identity Manager dal sito Web di VMware. 14 VMware, Inc.

15 Capitolo 1 Preparazione all'installazione di VMware Identity Manager Creazione di record DNS e indirizzi IP Per l'istanza di VMware Identity Manager del devono essere disponibili una voce DNS e un indirizzo IP statico. Poiché ciascuna azienda amministra i suoi indirizzi IP e i record DNS in maniera differente, prima di iniziare l'installazione richiedere il record DNS e gli indirizzi IP da utilizzare. La configurazione della ricerca inversa è facoltativa. Quando si implementa la ricerca inversa, è necessario definire un record PTR sul server DNS in modo che l'appliance virtuale utilizzi la configurazione di rete corretta. È possibile utilizzare il seguente elenco di record DNS di esempio quando si consulta l'amministratore di rete. Sostituire le informazioni di esempio con le informazioni del proprio ambiente. Questo esempio riporta i record DNS di inoltro e gli indirizzi IP. Tavola 1 1. Esempi di record DNS di inoltro e indirizzi IP Nome di dominio Tipo di risorsa Indirizzo IP myidentitymanager.company.com Un Questo esempio riporta i record DNS inverso e gli indirizzi IP. Tavola 1 2. Esempi di record DNS inverso e indirizzi IP Indirizzo IP Tipo di risorsa Nome host PTR myidentitymanager.company.com Dopo aver completato la configurazione DNS, verificare che la ricerca DNS inversa sia configurata correttamente. Ad esempio, il comando dell'appliance virtuale host IPaddress deve essere risolto sulla ricerca del nome DNS. Uso di un server DNS basato su Unix/Linux Se si utilizza un server DNS basato su Unix o Linux e si desidera inserire l'istanza di VMware Identity Manager del nel dominio di Active Directory, assicurarsi che i record di risorse del servizio appropriati (SRV) siano stati creati per ogni controller del dominio di Active Directory. Nota: Se è presente un programma di bilanciamento del carico con un indirizzo IP virtuale (VIP) prima dei server DNS, si noti che VMware Identity Manager non supporta l'utilizzo di un VIP. È possibile specificare più server DNS separati da una virgola. Opzioni del database con VMware Identity Manager Configurare VMware Identity Manager con un database esterno per memorizzare e organizzare i dati del server. Nell'appliance è incorporato un database PostgreSQL interno il cui utilizzo non è però consigliato nelle distribuzioni di produzione. Per utilizzare un database esterno, il responsabile del database dovrà preparare uno database esterno vuoto e uno schema prima di collegarsi al database esterno utilizzando la procedura guidata di impostazione. Gli utenti con licenza possono utilizzare un server di database Microsoft SQL o Oracle per configurare un ambiente di database esterno ad alta disponibilità. Vedere Connessione al database, pag. 34. VMware, Inc. 15

16 Installazione e configurazione di VMware Identity Manager Connessione alla directory aziendale VMware Identity Manager utilizza l'infrastruttura di directory dell'azienda per l'autenticazione e la gestione degli utenti. È possibile integrare VMware Identity Manager con un ambiente Active Directory costituito da un singolo dominio di Active Directory, più domini ina singola foresta di Active Directory o più domini su più foreste di Active Directory. VMware Identity Manager può essere integrato anche con una directory LDAP. Per sincronizzare gli utenti e i gruppi, l'appliance virtuale di VMware Identity Manager deve connettersi alla directory. La directory deve essere accessibile nella stessa rete LAN dell'appliance virtuale di VMware Identity Manager. Vedere Capitolo 4, Integrazione con la directory aziendale, pag. 45 per ulteriori informazioni. Checklist di distribuzione Utilizzare la checklist di distribuzione per raccogliere le informazioni necessarie per installare l'appliance virtuale di VMware Identity Manager. Informazioni per il nome di dominio completo Tavola 1 3. Checklist di informazioni per il nome di dominio completo (FQDN, Fully Qualified Domain Name) Informazioni da raccogliere Visualizzazione delle informazioni Nome di dominio completo di VMware Identity Manager Informazioni di rete per l'appliance virtuale di VMware Identity Manager Tavola 1 4. Checklist di informazioni per la rete Informazioni da raccogliere Indirizzo IP Visualizzazione delle informazioni È necessario utilizzare un indirizzo IP statico con un PTR e un record A definiti in DNS. Nome DNS per questa appliance virtuale Indirizzo gateway predefinito Maschera di rete o prefisso Informazioni sulla directory VMware Identity Manager supporta l'integrazione con ambienti di directory Active Directory o LDAP. Tavola 1 5. Checklist di informazioni per il controller del dominio di Active Directory Informazioni da raccogliere Visualizzazione delle informazioni Nome server Active Directory Nome dominio di Active Directory Nome distinto di base Per Active Directory su LDAP, il nome utente e la password di Nome distinto di binding Per Active Directory con l'autenticazione integrata di Windows, il nome utente e la password dell'account con i privilegi per unire i computer al dominio. 16 VMware, Inc.

17 Capitolo 1 Preparazione all'installazione di VMware Identity Manager Tavola 1 6. Checklist di informazioni per il server di directory LDAP Informazioni da raccogliere Visualizzazione delle informazioni Nome server o indirizzo IP della directory LDAP Numero di porta server di directory LDAP Nome distinto di base Nome utente e password di Nome distinto di binding Filtri di ricerca LDAP per gli oggetti gruppo, gli oggetti dell'utente di binding e gli oggetti utente Nomi di attributi LDAP per l'appartenenza, l'uuid oggetto e il nome distinto (DN, distinguished name) Certificati SSL È possibile aggiungere un certificato SSL dopo aver distribuito l'appliance virtuale di VMware Identity Manager. Tavola 1 7. Checklist di informazioni per i certificati SSL Informazioni da raccogliere Visualizzazione delle informazioni certificato SSL Chiave privata Chiave di licenza Tavola 1 8. Checklist di informazioni per la chiave di licenza di VMware Identity Manager Informazioni da raccogliere Visualizzazione delle informazioni Chiave di licenza Nota: Le informazioni sulla chiave di licenza sono specificate nella console di amministrazione sulla pagina Impostazioni dell'appliance > Licenza una volta completata l'installazione. Database esterno Tavola 1 9. Checklist di informazioni per il database esterno Informazioni da raccogliere Visualizzazione delle informazioni Nome host database Porta Nome utente Password Programma CEIP (Customer Experience Improvement Program) Quando si installa l'appliance virtuale VMware Identity Manager si può scegliere di partecipare al programma Customer Experience Improvement Program di VMware. Quando si partecipa al programma, VMware raccoglie dati anonimi sulla distribuzione con lo scopo di migliorare l'esperienza dell'utente sulla base dei requisiti espressi. Non viene raccolto alcun dati che possa permettere l'identificazione dell'organizzazione. VMware, Inc. 17

18 Installazione e configurazione di VMware Identity Manager Prima di raccogliere i dati, VMware rende anonimi tutti i campi che contengono informazioni specifiche per l'organizzazione. Nota: Se la rete è configurata per accedere a Internet attraverso un proxy HTTP, per inviare queste informazioni è necessario regolare le impostazioni del proxy nell'appliance virtuale VMware Identity Manager. Vedere Configurazione delle impostazioni del server proxy per VMware Identity Manager, pag VMware, Inc.

19 Distribuzione di 2 VMware Identity Manager Per distribuire VMware Identity Manager, viene distribuito il modello OVF mediante vsphere Client o vsphere Web Client, viene accesa la appliance virtuale di VMware Identity Manager e vengono configurate le impostazioni. Una volta distribuita l'appliance virtuale di VMware Identity Manager, utilizzare la procedura guidata di impostazione per configurare l'ambiente di VMware Identity Manager. Utilizzare le informazioni riportate nella checklist di distribuzione per completare l'installazione. Vedere Checklist di distribuzione, pag. 16. Questo capitolo include i seguenti argomenti: Installazione del file OVA di VMware Identity Manager, pag. 19 (Facoltativo) Aggiunta di pool di IP, pag. 21 Configurazione delle impostazioni di VMware Identity Manager, pag. 22 Configurazione delle impostazioni del server proxy per VMware Identity Manager, pag. 30 Specifica della chiave di licenza, pag. 31 Installazione del file OVA di VMware Identity Manager Distribuire il file OVA di VMware Identity Manager utilizzando vsphere Client o vsphere Web Client. È possibile scaricare e distribuire il file OVA da un percorso accessibile al vsphere Client o distribuirlo da un URL Web. Nota: Se si utilizza vsphere Web Client, utilizzare i browser Firefox o Chrome per distribuire il file OVA. Non utilizzare Internet Explorer. Prerequisiti Rivedere Capitolo 1, Preparazione all'installazione di VMware Identity Manager, pag. 9. Procedura 1 Scaricare il file OVA di VMware Identity Manager da My VMware Downloads. 2 Accedere a vsphere Client o a vsphere Web Client. 3 Selezionare File > Distribuisci modello OVF. VMware, Inc. 19

20 Installazione e configurazione di VMware Identity Manager 4 Nella procedura guidata Distribuisci modello OVF, specificare le seguenti informazioni. Pagina Origine Dettagli del modello OVF Accordo di licenza con l'utente finale Nome e posizione Host/Cluster Pool di risorse Storage Formato disco Mappatura di rete Descrizione Selezionare la posizione del pacchetto OVA oppure immettere un URL specifico. Rivedere i dettagli del prodotto, i requisiti di versione e dimensione. Leggere l'accordo di licenza con l'utente finale e fare clic sul pulsante per accettare. Immettere un nome per l'appliance virtuale di VMware Identity Manager. Il nome deve essere univoco all'interno della cartella dell'inventario e può contenere fino a 80 caratteri. Per i nomi viene fatta distinzione tra lettere maiuscole e minuscole. Selezionare una posizione per l'appliance virtuale. Selezionare l'host o il cluster su cui eseguire l'appliance virtuale. Selezionare il pool di risorse. Selezionare l'archivio dei file dell'appliance virtuale. È possibile selezionare anche un profilo di archiviazione della macchina virtuale. Selezionare il formato del disco relativo ai file. Per gli ambienti di produzione, selezionare uno dei formati Thick Provision. Utilizzare il formato Thin Provision per la valutazione e il testing. Nel formato Thick Provision, tutto lo spazio richiesto per il disco virtuale viene assegnato durante la distribuzione. Nel formato Thin Provision invece, il disco utilizza solo la quantità di spazio di archiviazione necessario per le operazioni iniziali. Mappare le reti utilizzate in VMware Identity Manager alle reti nel proprio inventario. Proprietà a Nel campo Impostazioni fuso orario, selezionare il fuso orario corretto. Completamento b c d Per impostazione predefinita, la casella di spunta CEIP (Customer Experience Improvement Program) è selezionata. I dati anonimi sulla distribuzione vengono raccolti da VMware per migliorare l'esperienza dell'utente sulla base dei requisiti espressi. Se l'utente preferisce che i dati non vengano raccolti, deselezionare la casella di controllo. Nella casella di testo Nome host (nome di dominio completo), immettere il nome host da utilizzare. Se la casella viene lasciata vuota, la ricerca del nome dell'host viene effettuata mediante il DNS inverso. Configurare le proprietà di networking. Per configurare un indirizzo IP statico per VMware Identity Manager, immettere l'indirizzo per i campi Gateway predefinito, DNS, Indirizzo IP e Maschera di rete. Nota: Se è presente un programma di bilanciamento del carico con un indirizzo IP virtuale (VIP) prima dei server DNS, si noti che VMware Identity Manager non supporta l'utilizzo di un VIP. È possibile specificare più server DNS separati da una virgola. Importante: Se uno dei quattro campi relativi agli indirizzi viene lasciato vuoto, incluso Nome host, sarà utilizzato il DHCP. Per configurare il DHCP, lasciare vuoti i campi relativi agli indirizzi. Nota: I campi Nome dominio e Percorso di ricerca del dominio non sono utilizzati. È possibile lasciare vuoti questi campi. (Facoltativo) Una volta installato VMware Identity Manager, è possibile configurare i pool di IP. Vedere (Facoltativo) Aggiunta di pool di IP, pag. 21. Rivedere le selezioni e fare clic su Fine. A seconda della velocità di rete, possono essere necessari alcuni minuti per la distribuzione. È possibile visualizzare l'avanzamento nella relativa finestra di dialogo. 20 VMware, Inc.

21 Capitolo 2 Distribuzione di VMware Identity Manager 5 Una volta completata la distribuzione, fare clic su Chiudi nella finestra di dialogo di avanzamento. 6 Selezionare l'appliance virtuale di VMware Identity Manager distribuita, fare clic con il pulsante destro del mouse e selezionare Accensione/spegnimento > Accendi. L'appliance virtuale di VMware Identity Manager viene inizializzata. È possibile andare nella scheda della console per visualizzare i dettagli. Una volta terminata l'inizializzazione dell'appliance virtuale, sullo schermo della console vengono visualizzati la versione di VMware Identity Manager, l'indirizzo IP e gli URL per accedere all'interfaccia Web di VMware Identity Manager e completare la configurazione. Passi successivi (Facoltativo) Aggiungere pool di IP. Configurare le impostazioni di VMware Identity Manager, compresa la connessione a Active Directory o alla directory LDAP e selezionare gli utenti e i gruppi da sincronizzare con VMware Identity Manager. (Facoltativo) Aggiunta di pool di IP La configurazione di rete con pool di IP è un processo facoltativo in VMware Identity Manager. È possibile aggiungere manualmente i pool di IP all'appliance virtuale di VMware Identity Manager una volta installata. I pool di IP funzionano come server DHCP per assegnare gli indirizzi IP dal pool all'appliance virtuale di VMware Identity Manager. Per utilizzare i pool di IP, vengono modificate le proprietà di networking dell'appliance virtuale e si configurano le impostazioni di maschera di rete, gateway e DNS. Prerequisiti L'appliance virtuale deve essere spenta. Procedura 1 In vsphere Client o vsphere Web Client, fare clic con il pulsante destro del mouse sull'appliance virtuale di VMware Identity Manager e selezionare Modifica impostazioni. 2 Selezionare la scheda Opzioni. 3 In Opzioni vapp, fare clic su Avanzate. 4 Nella sezione Proprietà sulla destra, fare clic sul pulsante Proprietà. 5 Nella finestra di dialogo Configurazione delle proprietà avanzate, configurare le seguenti chiavi: vami.dns.workspaceportal vami.netmask0.workspaceportal vami.gateway.workspaceportal a b c d e Selezionare una delle chiavi e fare clic su Modifica. Nella finestra di dialogo Modifica impostazioni della proprietà, accanto al campo Tipo, fare clic su Modifica. Nella finestra di dialogo Modifica tipo della proprietà, selezionare Proprietà dinamica e selezionare il valore appropriato dal menu a discesa per Maschera di rete, Indirizzo gateway e Server DNS rispettivamente. Fare clic su OK e poi ancora su OK. Ripetere questi passi per configurare ciascuna chiave. 6 Accendere l'appliance virtuale. VMware, Inc. 21

22 Installazione e configurazione di VMware Identity Manager Le proprietà saranno configurate per l'uso di pool di IP. Passi successivi Configurare le impostazioni di VMware Identity Manager. Configurazione delle impostazioni di VMware Identity Manager Una volta distribuito il file OVA di VMware Identity Manager, sarà possibile utilizzare la procedura guidata di impostazione per impostare le password e selezionare un database. Quindi, sarà possibile configurare la connessione alla directory Active Directory o LDAP. Prerequisiti L'appliance virtuale di VMware Identity Manager deve essere accesa. Se si utilizza un database esterno, questo database deve essere configurato e le informazioni di connessione dovranno essere disponibili. Vedere Connessione al database, pag. 34 per informazioni. Rivedere Capitolo 4, Integrazione con la directory aziendale, pag. 45, Integrazione con Active Directory, pag. 47 e Integrazione di una directory LDAP con il servizio, pag. 62 per i requisiti e le limitazioni. Le informazioni sulla directory Active Directory o LDAP devono essere disponibili. Quando è configurato un Active Directory multi-foresta e il gruppo Dominio locale contiene membri da domini in foreste differenti, l'utente Nome distinto di binding utilizzato sulla pagina Directory di VMware Identity Manager deve essere aggiunto al gruppo Amministratori del dominio in cui si trova il gruppo Dominio locale, altrimenti i membri non saranno presenti nel gruppo locale di dominio. È presente un elenco di attributi utente da poter utilizzare come filtri e un elenco dei gruppi che possono essere aggiunti a VMware Identity Manager. Procedura 1 Passare all'url di VMware Identity Manager riportato sulla schermata blu nella scheda Console. Ad esempio, 2 Accettare il certificato, se richiesto. 3 Sulla pagina Inizia, fare clic su Continua. 4 Sulla pagina Imposta password, impostare le password per gli account amministratore riportati, utilizzati per gestire l'appliance, quindi fare clic su Continua. Account Amministratore dell'appliance Root appliance Utente remoto Impostare la password per l'utente amministratore. Questo nome utente non può essere modificato. L'account utente amministratore admin è utilizzato per gestire le impostazioni dell'appliance. Importante: La password dell'utente admin deve essere di almeno 6 caratteri. Impostare la password dell'utente root. L'utente root ha i diritti completi per l'appliance. Impostare la password per sshuser, utilizzato per collegarsi in remoto all'appliance con una connessione SSH. 22 VMware, Inc.

23 Capitolo 2 Distribuzione di VMware Identity Manager 5 Sulla pagina Seleziona database, selezionare il database da utilizzare. Vedere Connessione al database, pag. 34 per ulteriori informazioni. Se si utilizza un database esterno, selezionare Database esterno ed immettere le relative informazioni, il nome utente e la password. Per verificare che VMware Identity Manager possa connettersi al database, fare clic su Test della connessione. Una volta eseguito il test della connessione, fare clic su Continua. Se si utilizza il database interno, fare clic su Continua. Nota: Non è consigliabile utilizzare il database interno per l'utilizzo con le distribuzioni di produzione. La connessione al database verrà configurata e il database verrà inizializzato. Una volta completato il processo, verrà visualizzata la pagina Configurazione completata. 6 Fare clic sul collegamento Accedere alla console di amministrazione sulla pagina Configurazione completata per accedere alla console in modo da configurare la connessione ad Active Directory o alla directory LDAP. 7 Accedere alla console di amministrazione come utente amministratore utilizzando la password configurata. L'utente sarà collegato come Amministratore locale. Verrà visualizzata la pagina Directory. Prima di aggiungere una directory, consultare Capitolo 4, Integrazione con la directory aziendale, pag. 45, Integrazione con Active Directory, pag. 47 e Integrazione di una directory LDAP con il servizio, pag. 62 per i requisiti e le limitazioni. 8 Selezionare la scheda Gestione identità e accessi. 9 Fare clic su Configura > Attributi utente per selezionare gli attributi utente per la sincronizzazione con la directory. Verranno visualizzati gli attributi predefiniti e potranno essere selezionati quelli necessari. Se un attributo è contrassegnato come obbligatorio, soltanto gli utenti con quell'attributo saranno sincronizzati con il servizio. Sarà inoltre possibile aggiungere altri attributi. Importante: Una volta creata una directory, non sarà possibile modificare un attributo in modo che sia obbligatorio. È necessario definire questa impostazione ora. Inoltre, tenere presente che le impostazioni sulla pagina Attributi utente si applicano a tutte le directory nel servizio. Quando si contrassegna un attributo come obbligatorio, considerarne l'effetto su altre directory. Se un attributo è contrassegnato come obbligatorio, gli utenti senza quell'attributo non saranno sincronizzati con il servizio. Importante: Se si prevede di sincronizzare le risorse di XenApp con VMware Identity Manager, è necessario impostare distinguishedname come attributo obbligatorio. 10 Fare clic su Salva. 11 Selezionare la scheda Gestione identità e accessi. 12 Sulla pagina Directory, fare clic su Aggiungi directory e selezionare Aggiungi Active Directory su LDAP/IWA o Aggiungi directory LDAP, in base al tipo di directory che si sta integrando. È inoltre possibile creare una directory locale nel servizio. Per ulteriori informazioni sull'utilizzo delle directory locali, vedere Capitolo 5, Utilizzo delle directory locali, pag. 69. VMware, Inc. 23

24 Installazione e configurazione di VMware Identity Manager 13 Per Active Directory, effettuare le operazioni riportate di seguito. a b Immettere un nome per la directory che si sta creando in VMware Identity Manager quindi selezionare il tipo di directory, Active Directory su LDAP o Active Directory (Autenticazione integrata di Windows). Specificare le informazioni sulla connessione. Opzione Descrizione Active Directory su LDAP 1 Nel campo Sincronizza connettore, selezionare il connettore che si desidera utilizzare per sincronizzare gli utenti e i gruppi da Active Directory alla directory VMware Identity Manager. Per impostazione predefinita, un componente del connettore è sempre disponibile con il servizio VMware Identity Manager. Questo connettore verrà visualizzato nell'elenco a discesa. Se si installano più appliance di VMware Identity Manager per la disponibilità elevata, nell'elenco verrà visualizzato il componente del connettore di ciascuna appliance. 2 Nel campo Autenticazione, selezionare Sì se si desidera utilizzare questo Active Directory per autenticare gli utenti. Se si desidera utilizzare un provider di identità di terze parti per autenticare gli utenti, fare clic su No. Dopo aver configurato la connessione a Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità di terze parti per l'autenticazione. 3 Nel campo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente. 4 Se Active Directory utilizza la ricerca DNS posizione servizio, effettuare le selezioni riportate di seguito. Nella sezione Posizione server, selezionare la casella di spunta Questa directory supporta la posizione servizio DNS. Quando viene creata la directory, sarà creato un file domain_krb.properties, completato automaticamente con un elenco di controller del dominio. Vedere Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 49. Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory. 5 Se Active Directory non utilizza la ricerca posizione servizio DNS, effettuare le selezioni riportate di seguito. Nella sezione Posizione server, verificare che la casella di spunta Questa directory supporta posizione servizio DNS non sia selezionata ed immettere il nome host e il numero di porta del server Active Directory. Per configurare la directory come catalogo globale, vedere la sezione Ambiente con foresta Active Directory singola e multidominio in Ambienti Active Directory, pag. 47. Se Active Directory richiede l'accesso su SSL, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL. 24 VMware, Inc.

25 Capitolo 2 Distribuzione di VMware Identity Manager Opzione Active Directory (autenticazione integrata di Windows) Descrizione Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". Nota: Se Active Directory richiede SSL e non si fornisce il certificato, non sarà possibile creare la directory. 6 Nella sezione Consenti modifica password selezionare Attiva modifica password se si desidera che gli utenti possano reimpostare le loro password dalla pagina di accesso a VMware Identity Manager se la password scade o se l'amministratore di Active Directory la reimposta. 7 Nel campo Nome distinto di base, immettere il nome distinto da cui iniziare le ricerche degli account. Ad esempio, OU=myUnit,DC=myCorp,DC=com. 8 Nel campo Nome distinto di binding, immettere l'account che può ricercare gli utenti. Ad esempio, CN=binduser,OU=myUnit,DC=myCorp,DC=com. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. 9 Dopo aver immesso la password di binding, fare clic su Test della connessione per verificare che la propria directory possa collegarsi a Active Directory. 1 Nel campo Sincronizza connettore, selezionare il connettore che si desidera utilizzare per sincronizzare gli utenti e i gruppi da Active Directory alla directory VMware Identity Manager. Per impostazione predefinita, un componente del connettore è sempre disponibile con il servizio VMware Identity Manager. Questo connettore verrà visualizzato nell'elenco a discesa. Se si installano più appliance di VMware Identity Manager per la disponibilità elevata, nell'elenco verrà visualizzato il componente del connettore di ciascuna appliance. 2 Nel campo Autenticazione, selezionare Sì se si desidera utilizzare questa Active Directory per autenticare gli utenti. Se si desidera utilizzare un provider di identità di terze parti per autenticare gli utenti, fare clic su No. Dopo aver configurato la connessione a Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità di terze parti per l'autenticazione. 3 Nel campo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente. 4 Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino STARTTLS nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". Se la directory ha più domini, aggiungere i certificati CA root per tutti i domini, uno alla volta. Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory. 5 Immettere il nome del dominio di Active Directory da aggiungere. Immettere un nome utente e una password con i diritti per aggiungere il dominio. Vedere Permessi richiesti per l'unione a un dominio, pag. 54 per ulteriori informazioni. 6 Nella sezione Consenti modifica password selezionare Attiva modifica password se si desidera che gli utenti possano reimpostare le loro password dalla pagina di accesso a VMware Identity Manager se la password scade o se l'amministratore di Active Directory la reimposta. VMware, Inc. 25

26 Installazione e configurazione di VMware Identity Manager Opzione Descrizione 7 Nella casella di testo UPN utente di binding, immettere il nome dell'entità utente che si autenticherà nel dominio. Ad esempio username@esempio.com. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. 8 Specificare la password dell'utente Nome distinto di binding. c Fare clic su Salva e avanti. Verrà visualizzata la pagina con l'elenco di domini. 26 VMware, Inc.

27 Capitolo 2 Distribuzione di VMware Identity Manager 14 Per le directory LDAP, effettuare le operazioni riportate di seguito. a Specificare le informazioni sulla connessione. Opzione Nome directory Sincronizzazione e autenticazione directory Descrizione Un nome per la directory che si sta creando in VMware Identity Manager. 1 Nel campo Sincronizza connettore, selezionare il connettore che si desidera utilizzare per sincronizzare gli utenti e i gruppi dalla directory LDAP alla directory VMware Identity Manager. Per impostazione predefinita, un componente del connettore è sempre disponibile con il servizio VMware Identity Manager. Questo connettore verrà visualizzato nell'elenco a discesa. Se si installano più appliance di VMware Identity Manager per la disponibilità elevata, nell'elenco verrà visualizzato il componente del connettore di ciascuna appliance. Non è necessario un connettore separato per una directory LDAP. Un connettore può supportare più directory, indipendentemente dal fatto che siano Active Directory o directory LDAP. 2 Nel campo Autenticazione, selezionare Sì se si desidera utilizzare questa directory LDAP per autenticare gli utenti. Posizione server Configurazione LDAP Se si desidera utilizzare un provider di identità di terze parti per autenticare gli utenti, fare clic su No. Dopo aver configurato la connessione alla directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità di terze parti per l'autenticazione. 3 Nel campo Attributo di ricerca directory specificare l'attributo della directory LDAP da utilizzare per il nome utente. Se l'attributo non è presente, selezionare Personalizzato e immettere il nome dell'attributo. Ad esempio, cn. Immettere l'host del server e il numero di porta della directory LDAP. Per l'host del server, è possibile specificare sia il nome di dominio completo che l'indirizzo IP. Ad esempio, serverldap.esempio.com o Se è presente un cluster di server con il bilanciamento del carico, immettere invece le informazioni sul bilanciamento. Specificare i filtri di ricerca LDAP e gli attributi che possono essere utilizzati da VMware Identity Manager per interrogare la propria directory LDAP. I valori predefiniti sono forniti in base allo schema LDAP principale. Query LDAP Ottieni gruppi: il filtro di ricerca per ottenere gli oggetti gruppo. Ad esempio: (objectclass=group) Ottieni utente bind: il filtro di ricerca per ottenere l'oggetto utente bind, ovvero l'utente che può collegarsi alla directory. Ad esempio: (objectclass=person) Ottieni utente: il filtro di ricerca per ottenere gli utenti da sincronizzare. Ad esempio: (&(objectclass=user)(objectcategory=person)) Attributi Appartenenza: questo attributo è utilizzato nella directory LDAP per definire i membri di un gruppo. Ad esempio: member VMware, Inc. 27

28 Installazione e configurazione di VMware Identity Manager Opzione Descrizione UUID oggetto: l'attributo utilizzato nella directory LDAP per definire l'uuid di un utente o di un gruppo. Ad esempio: entryuuid DN (Distinguished Name): l'attributo utilizzato nella directory LDAP per il nome distinto (DN) di un utente o un gruppo. Ad esempio: entrydn Certificati Dettagli utente bind Se la directory LDAP richiede l'accesso su SSL, selezionare Questa directory richiede che tutte le connessioni utilizzino SSL e copiare e incollare il certificato SSL CA root del server della directory LDAP. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". Nome distinto di base: immettere il DN da cui iniziare le ricerche. Ad esempio, cn=users,dc=example,dc=com Nome distinto di binding: immettere il nome utente da utilizzare per collegarsi alla directory LDAP. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Password nome distinto di binding: immettere la password per l'utente Nome distinto di binding b Per eseguire il test della connessione al server di directory LDAP, fare clic su Test della connessione. Se la connessione non riesce, controllare le informazioni immesse ed apportare le modifiche necessarie. c Fare clic su Salva e avanti. Verrà visualizzata la pagina in cui è riportato il dominio. 15 Per una directory LDAP, viene riportato il dominio (che non potrà essere modificato). Per Active Directory su LDAP, vengono riportati i domini (che non possono essere modificati). Per Active Directory (autenticazione integrata di Windows), selezionare i domini da associare a questa connessione ad Active Directory. Nota: se si aggiunge un dominio trusting dopo aver creato la directory, il servizio non rileva automaticamente il nuovo dominio trusting. Per consentire al servizio di rilevare il dominio, connettore deve essere tolto e poi aggiunto nuovamente al dominio. Quando connettore si unisce nuovamente al dominio, il dominio trusting comparirà nell'elenco. Fare clic su Avanti. 16 Verificare che i nomi di attributo di VMware Identity Manager siano mappati agli attributi di Active Directory o LDAP corretti e apportare le modifiche eventualmente necessarie. Importante: Se si sta integrando una directory LDAP, è necessario specificare una mappatura per l'attributo domain. 17 Fare clic su Avanti. 28 VMware, Inc.

29 Capitolo 2 Distribuzione di VMware Identity Manager 18 Selezionare i gruppi che si desidera sincronizzare dalla directory di Active Directory o LDAP alla directory di VMware Identity Manager. Opzione Specificare i DN gruppo Sincronizza membri del gruppo nidificati Descrizione Per selezionare i gruppi, specificare uno o più DN e selezionare i gruppi in essi contenuti. a b c Fare clic su + e specificare il DN del gruppo. Ad esempio, CN=users,DC=example,DC=company,DC=com. Importante: Specificare i DN dei gruppi contenuti nel DN di base inserito. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login. Fare clic su Trova gruppi. Nella colonna Gruppi da sincronizzare, è presente il numero di gruppi trovati nel DN. Per selezionare tutti i gruppi nel DN, fare clic su Seleziona tutto oppure fare clic su Seleziona e selezionare i gruppi specifici da sincronizzare. Nota: Se nella directory LDAP sono presenti più gruppi con lo stesso nome, è necessario specificare nomi univoci per tali gruppi in VMware Identity Manager. È possibile modificare il nome mentre si seleziona il gruppo. Nota: Quando si sincronizza un gruppo, gli utenti che non hanno Utenti di dominio come gruppo primario in Active Directory non vengono sincronizzati. Per impostazione predefinita, l'opzione Sincronizza membri del gruppo nidificati è abilitata. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo principale selezionato per la sincronizzazione. Se l'opzione Sincronizza membri del gruppo nidificati è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo verranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di Active Directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti. 19 Fare clic su Avanti. 20 Specificare altri utenti da sincronizzare, se necessario. a Fare clic su + e inserire i DN degli utenti. Ad esempio, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Importante: Specificare i DN degli utenti contenuti nel DN di base inserito. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login. b (Facoltativo) Per escludere utenti, creare un filtro con cui escludere alcuni tipi di utenti. È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore. 21 Fare clic su Avanti. VMware, Inc. 29

30 Installazione e configurazione di VMware Identity Manager 22 Rivedere la pagina per verificare quanti utenti e gruppi verranno sincronizzati con la directory e visualizzare la pianificazione della sincronizzazione. Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica. 23 Fare clic su Sincronizza directory per iniziare la sincronizzazione della directory. Nota: Se si verifica un errore di rete e il nome host non può essere risolto in maniera univoca utilizzando il DNS inverso, il processo di configurazione verrà interrotto. Correggere i problemi di rete e riavviare l'appliance virtuale. Sarà quindi possibile continuare il processo di distribuzione. Le nuove impostazioni di rete non saranno disponibili fino al riavvio dell'appliance virtuale. Passi successivi Per informazioni sull'impostazione di un bilanciamento del carico o di una configurazione ad alta disponibilità, vedere Capitolo 6, Configurazione avanzata per l'appliance di VMware Identity Manager, pag. 79. È possibile personalizzare il catalogo delle risorse per le applicazioni della propria organizzazione e consentire l'accesso utente a tali risorse. È inoltre possibile configurare altre risorse, tra cui le View, ThinApp e le applicazioni basate su Citrix. Vedere Impostazione delle risorse in VMware Identity Manager. Configurazione delle impostazioni del server proxy per VMware Identity Manager L'appliance virtuale VMware Identity Manager accede al catalogo di applicazioni cloud e altri servizi Web su Internet. Se la configurazione di rete offre accesso a internet tramite un proxy HTTP, è necessario modificare le impostazioni del proxy per l'appliance VMware Identity Manager. Consentire al proxy di gestire solo il traffico Internet. Affinché il proxy sia configurato correttamente, impostare il parametro per il traffico interno su no-proxy nel dominio. Nota: I server proxy che richiedono autenticazione non sono supportati. Procedura 1 Da vsphere Client, accedere come utente root all'appliance virtuale VMware Identity Manager. 2 Immettere YaST nella riga di comando per eseguire la utility YaST. 3 Selezionare Servizi di rete nel riquadro a sinistra, quindi selezionare Proxy. 4 Immettere gli URL del server proxy nei campi URP proxy HTTP e URL proxy HTTPS. 5 Selezionare Fine e uscire dalla utility YaST. 6 Riavviare il server Tomcat sull'appliance virtuale VMware Identity Manager per utilizzare le nuove impostazioni proxy. service horizon-workspace restart Il catalogo delle applicazioni cloud e altri servizi Web risultano ora disponibili in VMware Identity Manager. 30 VMware, Inc.

31 Capitolo 2 Distribuzione di VMware Identity Manager Specifica della chiave di licenza Dopo aver distribuito l'appliance di VMware Identity Manager, è necessario specificare la propria chiave di licenza. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Impostazioni dell'appliance e fare clic su Licenza. 3 Sulla pagina Impostazioni della licenza, immettere la chiave di licenza e fare clic su Salva. VMware, Inc. 31

32 Installazione e configurazione di VMware Identity Manager 32 VMware, Inc.

33 Gestione delle impostazioni di configurazione del sistema dell'appliance 3 Una volta completata la configurazione iniziale dell'appliance, è possibile passare alle pagine di amministrazione dell'appliance per installare i certificati, gestire le password e monitorare le informazioni del sistema per l'appliance virtuale. È inoltre possibile aggiornare il database, il nome di dominio completo e il syslog e scaricare i file di registro. Nome pagina Connessione al database Installa certificato Nome di dominio completo di Identity Manager Configura syslog Modifica password Sicurezza del sistema Percorsi dei file di registro Descrizione dell'impostazione L'impostazione di connessione al database, sia esso interno o esterno, è abilitata. È possibile modificare il tipo di database. Se si seleziona Database esterno, è necessario immettere l'url del database esterno, il nome utente e la password. Per configurare un database esterno, vedere Connessione al database, pag. 34. Su questa pagina viene installato un certificato personalizzato o autofirmato per VMware Identity Manager e, se VMware Identity Manager è stato configurato con un bilanciamento del carico, sarà possibile installare anche il certificato root del bilanciamento del carico. Su questa pagina è visualizzato anche il percorso del certificato CA root di VMware Identity Manager, sulla scheda Termina SSL su un bilanciamento del carico. Vedere Uso dei certificati SSL, pag. 38. Su questa pagina è visualizzato il nome di dominio completo di VMware Identity Manager. È possibile modificare tale nome. Il nome di dominio completo di VMware Identity Manager è l'url utilizzato dagli utenti per accedere al servizio. Su questa pagina, è possibile abilitare un server syslog esterno. I registri di VMware Identity Manager vengono inviati a questo server esterno. Vedere Abilitazione del server syslog, pag. 41. Su questa pagina è possibile modificare la password dell'utente amministratore di VMware Identity Manager. Su questa pagina è possibile modificare la password root per l'appliance di VMware Identity Manager e la password dell'utente ssh per accedere in remoto. Su questa pagina è riportato un elenco dei file di registro e i percorsi delle relative directory. È possibile accorpare i file di registro in un file zip per il download. Vedere Informazioni sui file di registro, pag. 41. È inoltre possibile modificare l'url del connettore. Vedere Modifica dell'url del connettore, pag. 41. VMware, Inc. 33

34 Installazione e configurazione di VMware Identity Manager Questo capitolo include i seguenti argomenti: Modifica delle impostazioni di configurazione dell'appliance, pag. 34 Connessione al database, pag. 34 Uso dei certificati SSL, pag. 38 Modifica dell'url del servizio VMware Identity Manager, pag. 40 Modifica dell'url del connettore, pag. 41 Abilitazione del server syslog, pag. 41 Informazioni sui file di registro, pag. 41 Gestione delle password dell'appliance, pag. 42 Configurazione delle impostazioni SMTP, pag. 43 Modifica delle impostazioni di configurazione dell'appliance Dopo aver configurato VMware Identity Manager, è possibile passare alle pagine Impostazioni dell'appliance per aggiornare la configurazione corrente e monitorare le informazioni di sistema per l'appliance virtuale. Procedura 1 Accedere alla console di amministrazione. 2 Selezionare la scheda Impostazioni dell'appliance e fare clic su Gestisci configurazione. 3 Accedere con la password dell'utente amministratore del servizio. 4 Dal riquadro di sinistra, selezionare la pagina da visualizzare o modificare. Passi successivi Verificare che le impostazioni o gli aggiornamenti apportati vengano applicati. Connessione al database Nell'appliance VMware Identity Manager è incorporato un database PostgreSQL interno il cui utilizzo non è però consigliato nelle distribuzioni di produzione. Per utilizzare un database esterno con VMware Identity Manager, l'amministratore del database deve preparare un database vuoto e uno schema prima di effettuare la connessione al database in VMware Identity Manager. È possibile connettersi alla connessione del database esterno quando si esegue la configurazione guidata di VMware Identity Manager. La configurazione del database esterno può essere eseguita anche da Impostazioni appliance > Configurazione VA > pagina Configurazione della connessione al database. Gli utenti con licenza possono utilizzare un database Oracle esterno o un'istanza di Microsoft SQL Server esterna per configurare un ambiente di database ad alta disponibilità. Configurazione di un database Microsoft SQL Per utilizzare un database Microsoft SQL per VMware Identity Manager, è necessario prima creare un nuovo database sul server Microsoft SQL. Creare un database denominato saas sul server Microsoft SQL e creare un utente di accesso denominato horizon. Nota: La raccolta predefinita è sensibile al maiuscolo/minuscolo. 34 VMware, Inc.

35 Capitolo 3 Gestione delle impostazioni di configurazione del sistema dell'appliance Prerequisiti La versione supportata del server Microsoft SQL deve essere stata installata come server di database esterno. Deve essere stata configurata un'implementazione del bilanciamento del carico. Devono essere disponibili i diritti da amministratore per accedere e creare i componenti del database utilizzando Microsoft SQL Server Management Studio o un altro client dell CLI server di Microsoft SQL. Procedura 1 Accedere alla sessione di Microsoft SQL Server Management Studio come sysadmin o con un account utente con privilegi sysadmin. Verrà visualizzata la finestra dell'editor. 2 Sulla barra degli strumenti, fare clic su Nuova query. 3 Tagliare e incollare i seguenti comandi nella finestra dell'editor. Comandi di Microsoft SQL CREATE DATABASE saas COLLATE Latin1_General_CS_AS; ALTER DATABASE saas SET READ_COMMITTED_SNAPSHOT ON; GO BEGIN CREATE LOGIN horizon WITH PASSWORD = N'H0rizon!'; END GO USE saas; IF EXISTS (SELECT * FROM sys.database_principals WHERE name = N'horizon') DROP USER [horizon] GO CREATE USER horizon FOR LOGIN horizon WITH DEFAULT_SCHEMA = saas; GO CREATE SCHEMA saas AUTHORIZATION horizon GRANT ALL ON DATABASE::saas TO horizon; GO 4 Sulla barra degli strumenti, fare clic su!execute. Il server del database Microsoft SQL sarà adesso pronto per la connessione al database di VMware Identity Manager. Passi successivi Configurare il database esterno sul server VMware Identity Manager. Passare alla console di amministrazione di VMware Identity Manager selezionando Impostazioni dell'appliance > Configurazione appliance virtuale > Configurazione connessione al database. Immettere l'url di JDBC come jdbc:sqlserver://<nomeutente-o-indir_ip_vm_db>;databasename=saas. Specificare il nome utente e la password creati per il database. Vedere Configurazione di VMware Identity Manager per l'utilizzo di un database esterno, pag. 37 VMware, Inc. 35

36 Installazione e configurazione di VMware Identity Manager Configurazione di un database Oracle Durante l'installazione di un database Oracle, è necessario specificare determinate configurazioni Oracle per il funzionamento ottimale con VMware Identity Manager. Prerequisiti Il database Oracle che viene creato sarà chiamato saas. VMware Identity Manager richiede identificativi Oracle racchiusi tra virgolette per nome utente e schema. Pertanto, sarà necessario utilizzare le virgolette doppie quando si creano il nome utente e lo schema del database saas Oracle. Procedura 1 Quando si crea un database Oracle, specificare le impostazioni riportate di seguito. a b c Selezionare l'opzione di configurazione Database di scopo generale/elaborazione transazione. Fare clic su Usa Unicode > UTF8. Utilizzare il set di caratteri nazionale. 2 Una volta terminata l'installazione, collegarsi al database Oracle. 3 Accedere al database Oracle come utente sys. 4 Aumentare le connessioni del processo. Per funzionare con VMware Identity Manager, ogni macchina virtuale di servizio aggiuntiva richiede almeno 300 connessioni al processo. Ad esempio, se il proprio ambiente ha due macchine virtuali di servizio, eseguire il comando alter come utente sys o system. a Aumentare il numero di connessioni del processo utilizzando il comando alter. alter system set processes=600 scope=spfile b Riavviare il database. 5 Creare un trigger di database che possa essere utilizzato da tutti gli utenti. SQL di esempio per la creazione di un trigger di database CREATE OR REPLACE TRIGGER CASE_INSENSITIVE_ONLOGON AFTER LOGON ON DATABASE DECLARE username VARCHAR2(30); BEGIN username:=sys_context('userenv','session_user'); IF username = 'saas' THEN execute immediate 'alter session set NLS_SORT=BINARY_CI'; execute immediate 'alter session set NLS_COMP=LINGUISTIC'; END IF; EXCEPTION WHEN OTHERS THEN NULL; END; 36 VMware, Inc.

37 Capitolo 3 Gestione delle impostazioni di configurazione del sistema dell'appliance 6 Eseguire i comandi Oracle per creare un nuovo schema utente. SQL di esempio per la creazione di un nuovo utente CREATE USER "saas" IDENTIFIED BY <password> DEFAULT TABLESPACE USERS TEMPORARY TABLESPACE TEMP PROFILE DEFAULT ACCOUNT UNLOCK; GRANT RESOURCE TO "saas" ; GRANT CONNECT TO "saas" ; ALTER USER "saas" DEFAULT ROLE ALL; GRANT UNLIMITED TABLESPACE TO "saas"; Amministrazione del database interno Per impostazione predefinita, il database PostgreSQL interno è configurato e pronto per l'uso. Si noti che il database interno non è consigliato per l'utilizzo con le distribuzioni di produzione. Quando VMware Identity Manager è installato e attivo, durante il processo di inizializzazione viene creata una password casuale per l'utente database interno. Questa password è univoca per ogni distribuzione e si trova nel file /usr/local/horizon/conf/db.pwd. Per configurare il database interno per l'alta disponibilità, vedere KB Configurazione di VMware Identity Manager per l'utilizzo di un database esterno Dopo aver configurato il database nella procedura guidata di impostazione di VMware Identity Manager, è possibile configurare VMware Identity Manager in modo che utilizzi un database differente. È necessario che VMware Identity Manager faccia riferimento a un database già completo e inizializzato. Ad esempio, è possibile utilizzare un database configurato come risultato di un'esecuzione riuscita dalla procedura guidata di impostazione di VMware Identity Manager, a database da un backup o un database esistente da un'istantanea ripristinata. Prerequisiti Installare e configurare la versione supportata di Microsoft SQL o Oracle come server del database esterno. Per informazioni sulle versioni specifiche supportate da VMware Identity Manager, vedere VMware Product Interoperability Matrixes all'indirizzo Procedura 1 Nella console di amministrazione, fare clic su Impostazioni dell'appliance e selezionare Configurazione appliance virtuale. 2 Fare clic su Gestisci configurazione. 3 Accedere con la password dell'utente amministratore di VMware Identity Manager. 4 Sulla pagina Configurazione connessione al database, selezionare Database esterno come tipo di database. VMware, Inc. 37

38 Installazione e configurazione di VMware Identity Manager 5 Immettere le informazioni sulla connessione al database. a Immettere l'url JDBC del server di database. Microsoft SQL Oracle jdbc:sqlserver://hostname_or_ip_address;databasename=horizon jdbc:oracle:thin:@//hostname_or_ip_address:port/sid b Immettere il nome dell'utente con privilegi di lettura e scrittura al database. Microsoft SQL Oracle horizon saas c Immettere la password per l'utente creato quando è stato configurato il database. 6 Fare clic su Test della connessione per verificare e salvare le informazioni. Uso dei certificati SSL Quando si installa l'appliance di VMware Identity Manager, viene generato un certificato del server SSL predefinito. È possibile utilizzare questo certificato autofirmato a scopo di test generale della propria implementazione. VMware consiglia caldamente di generare e installare i certificati SSL commerciali nell'ambiente di produzione. Un'autorità di certificato (CA) è un'entità sicura che garantisce l'identità del certificato e il relativo creatore. Quando un certificato è firmato da una CA, gli utenti non ricevono più i messaggi in cui si richiede di verificare il certificato. Se VMware Identity Manager viene distribuito con il certificato SSL autofirmato, il certificato CA root deve essere disponibile come CA sicura per qualsiasi client che accede a VMware Identity Manager. I client possono includere le macchine degli utenti finali, i bilanciamenti del carico, i proxy e così via. È possibile scaricare la CA root da È possibile installare un certificato CA firmato dalla pagina Impostazioni dell'appliance > Gestisci configurazione > Installa certificato. Su questa pagina è possibile aggiungere anche il certificato CA root del bilanciamento del carico. Applicazione di autorità di certificati pubblici Quando si installa il servizio VMware Identity Manager, viene generato un certificato del server SSL predefinito. È possibile utilizzare il certificato predefinito a scopo di test. È necessario che l'utente generi e installi i certificati SSL commerciali per l'ambiente. Nota: Se sceglie un bilanciamento del carico per il VMware Identity Manager, il certificato SSL viene applicato al bilanciamento del carico. Prerequisiti Generare una richiesta di firma del certificato e ottenere un certificato valido e firmato da un'autorità di certificazione. È possibile utilizzare anche certificati SSL firmati da un'autorità di certificazione forniti dall'organizzazione. Il formato del certificato deve essere PEM. Procedura 1 Nella console di amministrazione, fare clic sulle impostazioni dell'appliance. La configurazione dell'appliance virtuale viene selezionata per impostazione predefinita. 2 Fare clic su Gestisci configurazione. 3 Nella finestra di dialogo visualizzata, immettere la password dell'utente amministratore per il server di VMware Identity Manager. 38 VMware, Inc.

39 Capitolo 3 Gestione delle impostazioni di configurazione del sistema dell'appliance 4 Selezionare l'opzione per installare il certificato. 5 Nella scheda per terminare l'ssl nell'identity Manager Appliance, selezionare il pulsante per personalizzare il certificato. 6 Nella casella di testo della catena di certificati SSL, incollare i certificati dell'host, intermedi e radice in questo ordine. Il certificato SSL funziona solo se la catena di certificati viene specificata nell'ordine corretto. Per ciascun certificato, copiare tutto il contenuto presente tra le righe -----BEGIN CERTIFICATE----- ed -----END CERTIFICATE---- Assicurarsi che nel certificato sia incluso il nome dell'host per il nome di dominio completo. 7 Incollare la chiave privata nella casella di testo Chiave privata. Copiare tutto il contenuto presente tra le righe ----BEGIN RSA PRIVATE KEY---- ed ---END RSA PRIVATE KEY Fare clic su Salva. Esempio: esempi di certificati Esempio di catena di certificati -----BEGIN CERTIFICATE----- jlqvt9wdr9vpg3wqt5+c3hu17buowvhp/r W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK END CERTIFICATE BEGIN CERTIFICATE----- WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK END CERTIFICATE BEGIN CERTIFICATE----- dr9vpg3wqtjlqvt9w5+c3hu17buowvhp/r j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK END CERTIFICATE----- Esempio di chiave privata -----BEGIN RSA PRIVATE KEY----- jlqvtg3wqt5+c3hu17bu9wdr9vpowvhp/r lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK END RSA PRIVATE KEY----- VMware, Inc. 39

40 Installazione e configurazione di VMware Identity Manager Aggiunta di certificati SSL Quando si applica il certificato, assicurarsi di includere l'intera catena di certificati. Il certificato da installare deve avere il formato PEM. Il certificato SSL funziona solo se si include l'intera catena di certificati. Per ciascun certificato, copiare tutto il contenuto compreso tra -----BEGIN CERTIFICATE----- e -----END CERTIFICATE----. Importante: Aggiungere la catena di certificati nell'ordine: certificato SSL, certificati CA intermedi, certificato CA root. Esempio di catena di certificati -----BEGIN CERTIFICATE----- SSL Cert - Appliance SSL Cert -----END CERTIFICATE BEGIN CERTIFICATE----- Intermediate/Issuing CA Cert -----END CERTIFICATE BEGIN CERTIFICATE----- Root CA Cert -----END CERTIFICATE----- Modifica dell'url del servizio VMware Identity Manager È possibile modificare l'url del servizio VMware Identity Manager, ovvero l'url che gli utenti utilizzano per accedere al servizio. Ad esempio, è possibile cambiarlo impostando l'url di un bilanciamento del carico. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Impostazioni dell'appliance, quindi selezionare Configurazione appliance virtuale. 3 Fare clic su Gestisci configurazione e accedere con la password dell'utente admin. 4 Fare clic su Nome di dominio completo di Identity Manager ed immettere il nuovo URL nel campo Nome di dominio completo di Identity Manager. Utilizzare il formato di dominio completo:porta. La specifica della porta è facoltativa. La porta predefinita è 443. Ad esempio, 5 Fare clic su Salva. Passi successivi Abilitare la nuova interfaccia utente del portale. 1 Passare a per accedere alla console di amministrazione. 2 Nella console, fare clic sulla freccia sulla scheda Catalogo e selezionare Impostazioni. 3 Selezionare Nuova IU del portale per l'utente finale nel riquadro di sinistra e fare clic su Abilita nuova IU del portale. 40 VMware, Inc.

41 Capitolo 3 Gestione delle impostazioni di configurazione del sistema dell'appliance Modifica dell'url del connettore È possibile modificare l'url del connettore aggiornando il nome host del provider di identità nella console di amministrazione. Se si utilizza il connettore come provider di identità, l'url del connettore è l'url della pagina di accesso ed è visibile agli utenti finali. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Gestione identità e accessi, quindi selezionare la scheda Provider di identità. 3 Nella pagina Provider di identità, selezionare il provider da aggiornare. 4 Nel campo Nome host provider di identità specificare il nuovo nome host. Utilizzare il formato nome host:porta. La specifica della porta è facoltativa. La porta predefinita è 443. Ad esempio, vidm.example.com. 5 Fare clic su Salva. Abilitazione del server syslog Gli eventi a livello di applicazione dal servizio possono essere esportati su un server syslog esterno. Gli eventi del sistema operativo non sono esportati. Poiché la maggior parte delle aziende non ha spazio su disco illimitato, la appliance virtuale non salva la cronologia di registrazione completa. Se si desidera salvare più cronologia o creare un percorso centralizzato per la cronologia, è possibile configurare un server syslog esterno. Se non si specifica un server syslog durante la configurazione iniziale, è possibile configurarlo in un secondo momento dalla pagina Impostazioni appliance > Configurazione VA > Gestisci configurazione > Configurazione syslog. Prerequisiti Configurare un server syslog esterno. È possibile utilizzare uno qualsiasi dei server syslog standard disponibili. Diversi server syslog includono funzionalità di ricerca avanzata. Procedura 1 Accedere alla console di amministrazione. 2 Fare clic sulla scheda Impostazioni appliance, selezionare Configurazione VA nel riquadro sinistro e fare clic su Gestisci configurazione. 3 Selezionare Configura syslog nel riquadro sinistro. 4 Fare clic su Abilita. 5 Immettere l'indirizzo IP o il nome di dominio completo del server syslog in cui si desidera memorizzare i registri. 6 Fare clic su Salva. Una copia dei registri sarà inviata al server syslog. Informazioni sui file di registro I file di registro di VMware Identity Manager consentono di eseguire il debug e di risolvere i problemi. I file di registro riportati di seguito sono un punto di partenza comune. Altri registri sono presenti nella directory /opt/vmware/horizon/workspace/logs. VMware, Inc. 41

42 Installazione e configurazione di VMware Identity Manager Tavola 3 1. File di registro Componente Percorso del file di registro Descrizione Registro del servizio Identity Manager Registri configuratore Registri connettore Registri di aggiornamento Registri di Apache Tomcat /opt/vmware/horizon/workspace/log s/horizon.log /opt/vmware/horizon/workspace/log s/configurator.log /opt/vmware/horizon/workspace/log s/connector.log /opt/vmware/var/log/update.log /opt/vmware/var/log/vami /opt/vmware/horizon/workspace/log s/catalina.log Informazioni sull'attività sull'applicazione VMware Identity Manager, come permessi, utenti e gruppi. Richieste che il configuratore riceve dal client REST e dall'interfaccia Web. Un record di ogni richiesta ricevuta dall'interfaccia Web. Ogni voce del registro include anche l'url della richiesta, il formato data/ora e le eccezioni. Nessuna azione di sincronizzazione viene registrata. Un record dei messaggi di output relativi alle richieste di aggiornamento durante un aggiornamento di VMware Identity Manager. I file nella directory /opt/vmware/var/log/vami sono utili per la risoluzione dei problemi. Questi file sono disponibili su tutte le macchine virtuali in seguito a un aggiornamento. I record Apache Tomcat dei messaggi che non sono registrati in altri file di registro. Raccolta delle informazioni di registro Durante i test o la risoluzione dei problemi, i registri possono fornire un feedback sull'attività e le prestazioni dell'appliance virtuale e restituire le informazioni sugli eventuali problemi che si verificano. I registri vengono raccolti da ogni appliance presente nel proprio ambiente. Procedura 1 Accedere alla console di amministrazione. 2 Selezionare la scheda Impostazioni dell'appliance e fare clic su Gestisci configurazione. 3 Fare clic su Percorsi dei file di registro e selezionare Prepara bundle di registri. Le informazioni vengono raccolte in un file tar.gz che può essere scaricato. 4 Scaricare il bundle preparato. Passi successivi Per raccogliere tutti i registri, effettuare queste operazioni su ogni appliance. Gestione delle password dell'appliance Quando è stata configurata l'appliance virtuale, sono state create le password per l'utente amministratore, per l'utente root e per sshuser. È possibile modificare queste password dalle pagine Impostazioni dell'appliance. Assicurarsi di creare password complesse. Le password complesse devono essere almeno di otto caratteri e comprendere lettere maiuscole e minuscole, nonché almeno un numero e un carattere speciale. Procedura 1 Nella console di amministrazione, selezionare la scheda Impostazioni dell'appliance. 2 Fare clic su Configurazione appliance virtuale > Gestisci configurazione. 42 VMware, Inc.

43 Capitolo 3 Gestione delle impostazioni di configurazione del sistema dell'appliance 3 Per modificare la password dell'amministratore, selezionare Modifica password. Per modificare la password root o sshuser, selezionare Sicurezza del sistema. Importante: La password dell'utente amministratore deve contenere almeno 6 caratteri. 4 Immettere la nuova password. 5 Fare clic su Salva. Configurazione delle impostazioni SMTP Configurare le impostazioni del server SMTP per ricevere notifiche dal servizio VMware Identity Manager. Le notifiche vengono inviate ai nuovi utenti creati come utenti locali e quando una password viene reimpostata nel servizio VMware Identity Manager. Procedura 1 Accedere alla console di amministrazione. 2 Selezionare la scheda Impostazioni dell'appliance e fare clic su SMTP. 3 Specificare il nome host del server SMTP. Ad esempio: smtp.example.com 4 Specificare il numero di porta del server SMTP. Ad esempio: 25 5 (Facoltativo) Specificare un nome utente e una password, se il server SMTP richiede l'autenticazione. 6 Fare clic su Salva. VMware, Inc. 43

44 Installazione e configurazione di VMware Identity Manager 44 VMware, Inc.

45 Integrazione con la directory 4 aziendale L'integrazione di VMware Identity Manager con la directory aziendale consente di sincronizzare utenti e gruppi dalla directory aziendale al servizio di VMware Identity Manager. Sono supportati i seguenti tipi di directory. Active Directory su LDAP Active Directory, Autenticazione integrata di Windows directory LDAP Attenersi alla procedura seguente per integrare con la directory aziendale. Specificare gli attributi che si desidera assegnare agli utenti nel servizio di VMware Identity Manager. Creare una directory nel servizio VMware Identity Manager dello stesso tipo della directory aziendale e specificare i dettagli della connessione. Associare gli attributi di VMware Identity Manager con gli attributi utilizzati in Active Directory o nella directory LDAP. Specificare gli utenti e i gruppi da sincronizzare. Sincronizzare utenti e gruppi. Dopo aver integrato la directory aziendale ed eseguito la sincronizzazione iniziale, è possibile aggiornare la configurazione, definire la pianificazione delle sincronizzazioni regolari e avviare manualmente una sincronizzazione. Questo capitolo include i seguenti argomenti: Concetti importanti relativi all'integrazione della directory, pag. 45 Integrazione con Active Directory, pag. 47 Integrazione con le directory LDAP, pag. 61 Aggiunta di una directory in seguito alla configurazione di failover e ridondanza, pag. 66 Concetti importanti relativi all'integrazione della directory Diversi concetti sono di fondamentale importanza per comprendere il modo in cui il servizio VMware Identity Manager si integra con il proprio ambiente di directory Active Directory o LDAP. Connettore Il connettore, un componente del servizio, esegue le funzioni indicate di seguito. Esso sincronizza i dati di utenti e gruppi dalla directory Active Directory o LDAP al servizio. VMware, Inc. 45

46 Installazione e configurazione di VMware Identity Manager Quando viene utilizzato come provider di identità, autentica gli utenti nel servizio. Il connettore è il provider di identità predefinito. È anche possibile utilizzare provider di identità di terze parti che supportano il protocollo SAML 2.0. Utilizzare un provider di identità di terze parti per un tipo di autenticazione non supportato dal connettore o se il provider di identità di terze parti è preferibile in base ai propri criteri di sicurezza aziendale. Nota: Se si utilizzano provider di identità di terze parti, è possibile configurare il connettore per la sincronizzazione dei dati di utenti e gruppi o per configurare il provisioning Just-in-Time degli utenti. Fare riferimento alla sezione Provisioning utente Just-in-Time in Amministrazione di VMware Identity Manager per maggiori informazioni. Directory Worker Il servizio VMware Identity Manager ha il proprio concetto di directory, corrispondente alla directory di Active Directory o LDAP nel proprio ambiente. Questa directory utilizza gli attributi per definire utenti e gruppi. Creare una o più directory nel servizio, quindi sincronizzarle con la propria directory di Active Directory o LDAP. È possibile creare nel servizio i tipi di directory indicati di seguito. Active Directory Active Directory su LDAP. Creare questo tipo di directory se si desidera connettersi a un singolo ambiente di dominio Active Directory. Per il tipo di directory Active Directory su LDAP, il connettore esegue il binding ad Active Directory utilizzando l'autenticazione di binding semplice. Active Directory, Autenticazione integrata di Windows. Creare questo tipo di directory se si desidera connettersi a un ambiente Active Directory con più domini o foreste. Il connettore esegue il binding ad Active Directory utilizzando Autenticazione integrata di Windows. Il tipo e il numero di directory create variano in base all'ambiente Active Directory, ad esempio dominio singolo o più domini, e al tipo di attendibilità utilizzata tra i domini. Nella maggior parte degli ambienti viene creata una directory. Directory LDAP Il servizio non ha accesso diretto alla propria directory di Active Directory o LDAP. Soltanto connettore ha accesso diretto. Pertanto, ogni directory creata nel servizio viene associata ad un'istanza del connettore. Quando si associa una directory ad un'istanza del connettore, il connettore crea una partizione per la directory associata denominata Worker. A un'istanza del connettore possono essere associati più Worker. Ciascun Worker agisce come provider di identità. Per ogni Worker è necessario definire e configurare i metodi di autenticazione. Il connettore sincronizza i dati di utenti e gruppi tra la directory di Active Directory o LDAP e il servizio tramite uno o più Worker. Importante: In un'istanza del connettore non possono essere presenti due Worker del tipo Autenticazione integrata di Windows di Active Directory. Considerazioni relative alla sicurezza Per le directory aziendali integrate con il servizio VMware Identity Manager, le impostazioni di sicurezza, come le regole di complessità della password dell'utente e i criteri di blocco dell'account, devono essere specificate direttamente nella directory aziendale. VMware Identity Manager non ignora queste impostazioni. 46 VMware, Inc.

47 Capitolo 4 Integrazione con la directory aziendale Integrazione con Active Directory L'integrazione di VMware Identity Manager con la distribuzione di Active Directory consente di sincronizzare utenti e gruppi da Active Directory a VMware Identity Manager. Vedere anche Concetti importanti relativi all'integrazione della directory, pag. 45. Ambienti Active Directory È possibile integrare il servizio in un ambiente Active Directory composto da un singolo dominio Active Directory, più domini in una singola foresta Active Directory o più domini in più foreste Active Directory. Ambiente con singolo dominio Active Directory Una distribuzione di Active Directory singola consente di sincronizzare gli utenti e i gruppi di un singolo dominio Active Directory. Per questo ambiente, quando si aggiunge una directory al servizio, selezionare l'opzione Active Directory su LDAP. Per ulteriori informazioni, vedere: Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 49 Gestione degli attributi utente sincronizzati da Active Directory, pag. 53 Permessi richiesti per l'unione a un dominio, pag. 54 Configurazione della connessione di Active Directory al servizio, pag. 55 Ambiente con foresta Active Directory singola e multidominio Una distribuzione con una singola foresta Active Directory e multidominio consente di sincronizzare gli utenti e i gruppi da più domini Active Directory appartenenti a un'unica foresta. È possibile configurare il servizio per questo ambiente Active Directory come tipo di directory con autenticazione integrata di Windows e singola Active Directory oppure, in alternativa, come tipo di directory Active Directory su LDAP configurata con l'opzione di catalogo globale. L'opzione consigliata è creare il tipo di directory con autenticazione integrata di Windows e singola Active Directory. Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Per ulteriori informazioni, vedere: Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 49 Gestione degli attributi utente sincronizzati da Active Directory, pag. 53 Permessi richiesti per l'unione a un dominio, pag. 54 Configurazione della connessione di Active Directory al servizio, pag. 55 Se l'autenticazione integrata di Windows non funziona nel proprio ambiente di Active Directory, creare un tipo di directory Active Directory su LDAP e selezionare l'opzione del catalogo globale. Tra le limitazioni della selezione dell'opzione del catalogo globale vi sono: Gli attributi dell'oggetto di Active Directory che sono replicati sul catalogo globale sono identificati nello schema Active Directory come serie di attributi parziale (PAS, partial attribute set). Solo questi attributi sono disponibili per l'associazione degli attributi mediante il servizio. Se necessario, modificare lo schema per aggiungere o rimuovere gli attributi memorizzati nel catalogo globale. VMware, Inc. 47

48 Installazione e configurazione di VMware Identity Manager Il catalogo globale memorizza l'appartenenza al gruppo (l'attributo member) solo dei gruppi universali. Solo i gruppi universali sono sincronizzati con il servizio. Se necessario, modificare l'ambito di un gruppo da un dominio locale o globale a universale. L'account del Nome distinto di binding che viene definito quando si configura una directory nel servizio deve disporre delle autorizzazioni di lettura dell'attributo Token-Groups-Global-And- Universal (TGGAU). Active Directory utilizza le porte 389 e 636 per le query LDAP standard. Per le query del catalogo globale, vengono invece utilizzate le porte 3268 e Se si aggiunge una directory per l'ambiente del catalogo globale, durante la configurazione specificare quanto riportato di seguito. Selezionare l'opzione Active Directory su LDAP. Deselezionare la casella di controllo per l'opzione Questa directory supporta la posizione servizio DNS. Selezionare l'opzione Questa directory dispone di un catalogo globale. Se si seleziona questa opzione, il numero di porta del server cambia automaticamente in Inoltre, poiché il Nome distinto di base non è necessario durante la configurazione dell'opzione del catalogo globale, la casella di testo Nome distinto di base non viene visualizzata. Aggiungere il nome host del server Active Directory. Se Active Directory richiede un accesso s SSL, selezionare l'opzione Questa directory richiede che tutte le connessioni utilizzino SSL e incollare il certificato nella casella di testo fornita. Se si seleziona questa opzione, il numero di porta del server cambia automaticamente in Ambiente Active Directory multiforesta con relazioni di trust Una distribuzione Active Directory multiforesta con relazioni di trust consente di sincronizzare gli utenti e i gruppi da più domini Active Directory tra foreste in cui esistono relazioni di trust bidirezionale tra domini. Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Per ulteriori informazioni, vedere: Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 49 Gestione degli attributi utente sincronizzati da Active Directory, pag. 53 Permessi richiesti per l'unione a un dominio, pag. 54 Configurazione della connessione di Active Directory al servizio, pag. 55 Ambiente Active Directory multiforesta senza relazioni di trust Una distribuzione Active Directory multiforesta senza relazioni di trust consente di sincronizzare gli utenti e i gruppi da più domini Active Directory tra foreste senza una relazione di trust tra domini. Per questo ambiente occorre creare più directory nel servizio, una per ogni foresta. Il tipo di directory create nel servizio dipende dalla foresta. Per foreste con domini multipli, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Per una foresta con dominio singolo, selezionare l'opzione Active Directory su LDAP. Per ulteriori informazioni, vedere: Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 49 Gestione degli attributi utente sincronizzati da Active Directory, pag. 53 Permessi richiesti per l'unione a un dominio, pag VMware, Inc.

49 Capitolo 4 Integrazione con la directory aziendale Configurazione della connessione di Active Directory al servizio, pag. 55 Informazioni sulla selezione dei controller di dominio (file domain_krb.properties) Il file domain_krb.properties determina i controller di dominio che vengono utilizzati per le directory in cui è abilitata la ricerca della Posizione servizio DNS (record SRV). Contiene un elenco dei controller di dominio relativi a ciascun dominio. Il connettore crea inizialmente il file e l'utente deve successivamente mantenerlo. Il file sovrascrive la ricerca della posizione del servizio DNS (SRV). La ricerca della Posizione servizio DNS è abilitata nei seguenti tipi di directory: Active Directory su LDAP con l'opzione relativa al supporto della posizione del servizio DNS da parte della directory selezionata Active Directory (autenticazione integrata di Windows), dove la ricerca della posizione del servizio DNS è sempre abilitata La prima volta che si crea una directory con la ricerca della posizione del servizio DNS abilitata, viene automaticamente creato un file domain_krb.properties nella directory /usr/local/horizon/conf della macchina virtuale e viene popolato in automatico con i controller di dominio relativi a ciascun dominio. Per popolare il file, il connettore tenta di trovare i controller di dominio che si trovano sullo stesso sito del connettore e ne seleziona due tra quelli raggiungibili e con la risposta più rapida. Quando si creano ulteriori directory con la posizione del servizio DNS abilitata o si aggiungono nuovi domini a una directory Autenticazione integrata di Windows, i nuovi domini vengono aggiunti al file insieme a un elenco dei relativi controller di dominio. È possibile sovrascrivere la selezione predefinita in qualsiasi momento modificando il file domain_krb.properties. Come procedura consigliata, visualizzare il file domain_krb.properties dopo aver creato una directory e verificare che i controller di dominio elencati siano ottimali per la configurazione. Per una distribuzione globale di Active Directory con più controller di dominio in diverse posizioni geografiche, l'utilizzo di un controller di dominio in prossimità del connettore garantisce una comunicazione più veloce con Active Directory. In caso di altre modifiche, è necessario inoltre aggiornare manualmente il file. Sono valide le seguenti regole. Il file domain_krb.properties viene creato nella macchina virtuale che contiene il connettore. In una distribuzione tipica, senza altri connettori distribuiti, il file viene creato nella macchina virtuale del servizio di VMware Identity Manager. Se si sta utilizzando un connettore aggiuntivo per la directory, il file viene creato nella macchina virtuale del connettore. Una macchina virtuale può avere solo un file domain_krb.properties. La prima volta che viene creata una directory con la ricerca della posizione del servizio DNS abilitata, il file viene creato e popolato automaticamente con i controller di dominio relativi a ciascun dominio. I controller di dominio relativi a ciascun dominio sono elencati in ordine di priorità. Per collegarsi ad Active Directory, il connettore prova a utilizzare il primo controller di dominio dell'elenco. Se non è raggiungibile, prova con il secondo e così via. Il file viene aggiornato solo quando si crea una nuova directory con la ricerca della Posizione servizio DNS abilitata o quando si aggiunge un dominio a una directory Autenticazione integrata di Windows. Il nuovo dominio viene aggiunto al file insieme a un elenco dei relativi controller di dominio. La voce corrispondente a un dominio, se esiste già nel file, non viene aggiornata. Ad esempio, se si crea una directory e poi la si elimina, la voce del dominio originale resta nel file e non viene aggiornata. In qualsiasi altro scenario, il file non viene aggiornato automaticamente. Ad esempio, eliminando una directory, la voce del dominio non viene eliminata dal file. Se il controller di un dominio elencato nel file non è raggiungibile, modificare il file e rimuoverlo. VMware, Inc. 49

50 Installazione e configurazione di VMware Identity Manager Se la voce di un dominio viene aggiunta o modificata manualmente, le modifiche non saranno sovrascritte. Per informazioni sulla modifica del file domain_krb.properties, vedere Modifica del file domain_krb.properties, pag. 51. Importante: Il file /etc/krb5.conf deve essere coerente con il file domain_krb.properties. Ogni volta che si aggiorna il file domain_krb.properties, è necessario aggiornare anche il file krb5.conf. Per ulteriori informazioni, vedere Modifica del file domain_krb.properties, pag. 51 e l'articolo della Knowledge Base. Selezione dei controller di dominio per popolare automaticamente il file domain_krb.properties Per popolare automaticamente il file domain_krb.properties, i controller di dominio vengono innanzitutto selezionati determinando la subnet in cui risiede il connettore (sulla base dell'indirizzo IP e della netmask); poi si utilizza la configurazione di Active Directory per identificare il sito della subnet, ottenendo l'elenco dei controller di dominio relativi al sito in questione; è necessario infine filtrare l'elenco a seconda del dominio adeguato e scegliere i due controller di dominio con la risposta più rapida. I requisiti di VMware Identity Manager per rilevare i controller di dominio più vicini sono i seguenti: La subnet del connettore deve essere presente nella configurazione di Active Directory oppure è necessario specificare una subnet nel file runtime-config.properties. Vedere Sovrascrittura della selezione predefinita della subnet, pag. 50. La subnet viene utilizzata per determinare il sito. La configurazione di Active Directory deve disporre di informazioni sulla presenza del sito. Se non è possibile determinare la subnet o se la configurazione di Active Directory non dispone di informazioni sulla presenza del sito, la ricerca della posizione del servizio DNS viene utilizzata per trovare i controller di dominio e il file viene popolate con alcuni controller di dominio raggiungibili. Questi controller di dominio potrebbero non trovarsi nella stessa posizione geografica del connettore e potrebbero di conseguenza verificarsi ritardi o timeout durante la comunicazione con Active Directory. In questo caso, modificare manualmente il file domain_krb.properties e specificare i controller di dominio corretti da utilizzare per ciascun dominio. Vedere Modifica del file domain_krb.properties, pag. 51. File domain_krb.properties di esempio example.com=host1.example.com:389,host2.example.com:389 Sovrascrittura della selezione predefinita della subnet Per popolare automaticamente il file domain_krb.properties, il connettore tenta di trovare i controller di dominio che si trovano nello stesso sito, in modo che la latenza tra il connettore e Active Directory sia minima. Per individuare il sito, il connettore determina la subnet in cui risiede sulla base del suo indirizzo IP e della netmask, quindi utilizza la configurazione di Active Directory per identificare il sito della subnet. Se la subnet della macchina virtuale non si trova in Active Directory oppure se si desidera sovrascrivere la selezione automatica della subnet, è possibile specificare una subnet nel file runtime-config.properties. Procedura 1 Accedere alla macchina virtuale del di VMware Identity Manager come utente radice. Nota: Se si sta utilizzando un connettore aggiuntivo per la directory, accedere alla macchina virtuale del connettore. 50 VMware, Inc.

51 Capitolo 4 Integrazione con la directory aziendale 2 Modificare il file /usr/local/horizon/conf/runtime-config.properties per aggiungere il seguente attributo. siteaware.subnet.override=subnet dove subnet è una subnet del sito di cui l'utente desidera utilizzare i controller di dominio. Ad esempio: siteaware.subnet.override= /20 3 Salvare e chiudere il file. 4 Riavviare il servizio. service horizon-workspace restart Modifica del file domain_krb.properties Il file /usr/local/horizon/conf/domain_krb.properties determina quali controller di dominio utilizzare per le directory che dispongono della ricerca della posizione del servizio DNS abilitata. È possibile modificare il file in qualsiasi momento per aggiornare l'elenco dei controller relativi a un dominio oppure per aggiungere o eliminare le voci di dominio. Le modifiche non saranno sovrascritte. Il connettore crea inizialmente il file e lo popola automaticamente. È necessario aggiornarlo manualmente in casi simili al seguente: Se i controller di dominio selezionati per impostazione predefinita non sono ottimali per la configurazione dell'utente, modificare il file e specificare i controller di dominio da utilizzare. Se una directory viene eliminata, eliminare dal file la voce di dominio corrispondente. Se alcuni controller di dominio presenti nel file non sono raggiungibili, rimuoverli dal file. Vedere anche Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 49. Procedura 1 Accedere alla macchina virtuale del di VMware Identity Manager come utente radice. Nota: Se si sta utilizzando un connettore aggiuntivo per la directory, accedere alla macchina virtuale del connettore. 2 Modificare le directory in /usr/local/horizon/conf. 3 Modificare il file domain_krb.properties per aggiungere o aggiornare l'elenco dei valori da dominio a host. Utilizzare il seguente formato: dominio=host:porta,host2:porta,host3:porta Ad esempio: example.com=examplehost1.example.com:389,examplehost2.example.com:389 Elencare i controller di dominio in ordine di priorità. Per collegarsi ad Active Directory, il connettore prova a utilizzare il primo controller di dominio dell'elenco. Se non è raggiungibile, prova con il secondo e così via. Importante: I nomi dei domini devono essere in minuscolo. 4 Modificare il proprietario del file domain_krb.properties in horizon e il gruppo in www attraverso il seguente comando. chown horizon:www /usr/local/horizon/conf/domain_krb.properties VMware, Inc. 51

52 Installazione e configurazione di VMware Identity Manager 5 Riavviare il servizio. service horizon-workspace restart Passi successivi Dopo aver modificato il file domain_krb.properties, modificare il file /etc/krb5.conf. Il file krb5.conf deve essere coerente con il file domain_krb.properties. 1 Modificare il file /etc/krb5.conf e aggiornare la sezione realms specificando gli stessi valori da dominio a host utilizzati nel file /usr/local/horizon/conf/domain_krb.properties. Non è necessario specificare il numero della porta. Ad esempio, se nel file domain_krb.properties è presente la voce di dominio example.com=examplehost.example.com:389, sarà necessario aggiornare il file krb5.conf nel modo seguente. [realms] GAUTO-QA.COM = { auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/ auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/ auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO- QA\.COM/GAUTO2QA/ auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/ auth_to_local = DEFAULT kdc = examplehost.example.com } Nota: È possibile che siano presenti più voci kdc, ma non è un requisito necessario. Nella maggior parte dei casi è infatti presente un singolo valore kdc. Se si sceglie di definire valori kdc aggiuntivi, in ogni riga sarà presente una voce kdc che definisce un controller di dominio. 2 Riavviare il servizio workspace. service horizon-workspace restart Vedere anche l'articolo della Knowledge Base. Risoluzione dei problemi relativi a domain_krb.properties Utilizzare le informazioni seguenti per risolvere i problemi relativi al file domain_krb.properties. Errore di risoluzione del dominio Se il file domain_krb.properties include già una voce di dominio e si cerca di creare una nuova directory di un tipo diverso per lo stesso dominio, viene visualizzato un messaggio che indica che si è verificato un errore durante la risoluzione del dominio. È necessario modificare il file domain_krb.properties e rimuovere manualmente la voce di dominio prima di creare la nuova directory. I controller di dominio non sono raggiungibili Una volta aggiunta la voce di dominio al file domain_krb.properties, questo non viene aggiornato automaticamente. Se uno dei controller di dominio elencati nel file non è raggiungibile, modificare il file manualmente e rimuoverlo. 52 VMware, Inc.

53 Capitolo 4 Integrazione con la directory aziendale Gestione degli attributi utente sincronizzati da Active Directory Nella configurazione della directory del servizio di VMware Identity Manager è possibile selezionare filtri e attributi di utenti di Active Directory per specificare quali utenti sincronizzare nella directory di VMware Identity Manager. È possibile cambiare gli attributi degli utenti sincronizzati dalla console di gestione, scheda Gestione identità e accessi, Impostazione > Attributi utente. Le modifiche apportate e salvate nella pagina Attributi utente vengono aggiunte alla pagina Attributi mappati nella directory di VMware Identity Manager. Le modifiche agli attributi vengono aggiornate nella directory alla successiva sincronizzazione con Active Directory. La pagina Attributi utente elenca gli attributi di directory predefiniti che possono essere mappati con gli attributi di Active Directory. È possibile selezionare gli attributi necessari e aggiungere altri attributi di Active Directory che si desidera sincronizzare con la directory. Quando si aggiungono attributi, si osservi che per il nome dell'attributo immesso viene fatta distinzione tra maiuscole e minuscole, pertanto, ad esempio, indirizzo, Indirizzo e INDIRIZZO sono attributi diversi. Tavola 4 1. Attributi di Active Directory predefiniti da sincronizzazione nella directory Nome attributo directory VMware Identity Manager userprincipalname distinguishedname employeeid domain disabled (utente esterno disabilitato) phone lastname firstname username Mappatura predefinita nell'attributo di Active Directory userprincipalname distinguishedname employeeid canonicalname. Aggiunge il nome di dominio completo dell'oggetto. useraccountcontrol. Con flag UF_Account_Disable Quando un account è disabilitato, gli utenti non possono accedere alle rispettive applicazioni e risorse. Le risorse per cui erano autorizzati gli utenti non vengono rimosse dall'account, così che una volta rimosso il flag dall'account, gli utenti potranno nuovamente effettuare l'accesso e accedere alle risorse autorizzate. telephonenumber sn givenname mail samaccountname. Selezione degli attributi per la sincronizzazione con la directory Quando si imposta la directory di VMware Identity Manager per la sincronizzazione con Active Directory, vengono definiti gli attributi degli utenti sincronizzati con la directory. Prima di configurare la directory, è possibile specificare nella pagina Attributi utente quali attributi predefiniti sono obbligatori e aggiungere ulteriori attributi da mappare agli attributi di Active Directory. Quando si configura la pagina Attributi utente prima che venga creata la directory, è possibile modificare gli attributi predefiniti obbligatori rendendoli non obbligatori, contrassegnare gli attributi come obbligatori e aggiungere attributi personalizzati. Dopo aver creato la directory, è possibile modificare un attributo obbligatorio rendendolo non obbligatorio ed eliminare attributi personalizzati. Non è possibile modificare un attributo per renderlo obbligatorio. VMware, Inc. 53

54 Installazione e configurazione di VMware Identity Manager Quando si aggiungono altri attributi per la sincronizzazione con la directory, dopo aver creato la directory, passare alla pagina Attributi mappati della directory per mappare questi attributi agli attributi di Active Directory. Importante: Se si prevede di sincronizzare le risorse di XenApp con VMware Identity Manager, è necessario impostare distinguishedname come attributo obbligatorio. In questo caso, specificarlo prima di creare la directory VMware Identity Manager. Procedura 1 Nella scheda Gestione accesso e identità della console di amministrazione fare clic su Impostazione > Attributi utente. 2 Nella sezione Attributi predefiniti esaminare l'elenco di attributi obbligatori e apportare le modifiche appropriate in modo da riflettere gli attributi obbligatori. 3 Nella sezione Attributi aggiungere il nome dell'attributo della directory di VMware Identity Manager all'elenco. 4 Fare clic su Salva. Lo stato dell'attributo predefinito viene aggiornato e gli attributi aggiunti vengono aggiunti nell'elenco Attributi mappati della directory. 5 Dopo aver creato la directory, passare alla pagina Gestione > Directory e selezionare la directory. 6 Fare clic su Impostazioni di sincronizzazione > Attributi mappati. 7 Nel menu a discesa relativo agli attributi aggiunti, selezionare l'attributo di Active Directory con cui mappare. 8 Fare clic su Salva. La directory viene aggiornata alla successiva sincronizzazione con Active Directory. Permessi richiesti per l'unione a un dominio In alcuni casi è necessario unire il connettore di VMware Identity Manager a un dominio. Per Active Directory su directory LDAP, è possibile unire un dominio dopo aver creato la directory. Per directory di tipo Active Directory (autenticazione integrata di Windows), il connettore viene automaticamente unito al dominio quando viene creata la directory. In entrambi gli scenari, vengono chiese all'utente delle credenziali. Per effettuare l'unione a un dominio, sono necessarie le credenziali di Active Directory, che hanno il privilegio di unire il computer a un dominio AD. In Active Directory questo è configurato con i seguenti diritti: Creare oggetti computer Eliminare oggetti computer Quando ci si aggiunge a un dominio, nella posizione predefinita di Active Directory viene creato un oggetto computer, a meno che non si specifichi un'unità organizzativa personalizzata. Se non si dispone di autorizzazioni sufficienti per aggiungersi a un dominio, eseguire i passaggi seguenti per aggiungersi al dominio. 1 Chiedere all'amministratore di Active Directory di creare l'oggetto del computer in Active Directory, in una posizione determinata dai criteri dell'azienda. Fornire il nome dell'host del connettore. Assicurarsi di fornire il nome di dominio completo, ad esempio server.example.com. Tip È possibile visualizzare il nome dell'host nella colonna Nome host della pagina Connettori, all'interno della console di amministrazione. Per visualizzare la pagina Connettori, fare clic sul pulsante relativo alla gestione delle identità e degli accessi > Impostazione > Connettori. 54 VMware, Inc.

55 Capitolo 4 Integrazione con la directory aziendale 2 Una volta creato l'oggetto del computer, unire il dominio utilizzando uno degli account dell'utente di dominio nella console di amministrazione VMware Identity Manager. Il comando di unione del dominio è disponibile nella pagina Connettori, alla quale si può accedere facendo clic sul pulsante relativo alla gestione delle identità e degli accessi > Impostazione > Connettori. Opzione Dominio Utente del dominio Password del dominio Unità organizzativa (UO) Descrizione Selezionare o immettere il dominio di Active Directory a cui aggiungersi. Assicurarsi di immettere il nome di dominio completo. Ad esempio, server.example.com. Nome utente di un utente di Active Directory che dispone delle autorizzazione necessarie per aggiungere sistemi al dominio di Active Directory. Password dell'utente. (Facoltativa) Unità organizzativa (UO) dell'oggetto computer. Questa opzione consente di creare un oggetto computer nell'unità organizzativa specificata anziché nell'unità organizzativa dei computer predefinita. Ad esempio, ou=testou,dc=test,dc=example,dc=com. Configurazione della connessione di Active Directory al servizio Nella console di amministrazione, specificare le informazioni richieste per collegarsi ad Active Directory e selezionare gli utenti e i gruppi da sincronizzare con la directory di VMware Identity Manager. Le opzioni di connessione di Active Directory sono Active Directory su LDAP o l'autenticazione integrata di Windows per Active Directory. Una connessione Active Directory su LDAP supporta la ricerca posizione servizio DNS. Con l'autenticazione integrata di Windows per Active Directory viene configurato il dominio da aggiungere. Prerequisiti Nella pagina Attributi utente, selezionare quali attributi sono obbligatori e aggiungere altri attributi, se necessario. Vedere Selezione degli attributi per la sincronizzazione con la directory, pag. 53. Importante: Se si pianifica la sincronizzazione delle risorse XenApp con VMware Identity Manager, è necessario rendere distinguishedname un attributo obbligatorio. Questa selezione deve essere effettuata prima di creare una directory in quanto gli attributi non possono essere modificati in obbligatori una volta creata la directory. Elenco di gruppi e utenti Active Directory da sincronizzare da Active Directory. Per Active Directory su LDAP, le informazioni obbligatorie includono Nome distinto di base, Nome distinto di binding e Password nome distinto di binding. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Per l'autenticazione integrata di Windows in Active Directory, le informazioni obbligatorie sono l'indirizzo UPN utente di binding del dominio e la relativa password. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Se Active Directory richiede l'accesso su SSL o STARTTLS, il certificato CA root del controller del dominio di Active Directory è obbligatorio. VMware, Inc. 55

56 Installazione e configurazione di VMware Identity Manager Per l'autenticazione integrata di Windows in Active Directory, se sono configurate più foreste Active Directory e il gruppo Dominio locale contiene membri di domini di foreste diverse, verificare che l'utente di binding sia aggiunto al gruppo Administrators del dominio in cui risiede il gruppo Dominio locale. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale. Procedura 1 Nella console di amministrazione, selezionare la scheda Gestione identità e accessi. 2 Sulla pagina Directory, fare clic su Aggiungi directory. 3 Immettere un nome per questa directory di VMware Identity Manager. 56 VMware, Inc.

57 Capitolo 4 Integrazione con la directory aziendale 4 Selezionare il tipo di Active Directory nel proprio ambiente e configurare le informazioni sulla connessione. Opzione Descrizione Active Directory su LDAP a Nel campo Sincronizza connettore, selezionare il connettore da utilizzare per la sincronizzazione con Active Directory. b Nel campo Autenticazione, se questo Active Directory è utilizzato per autenticare gli utenti, fare clic su Sì. c d Se per autenticare gli utenti viene invece utilizzato un provider di identità di terze parti, fare clic su No. Dopo aver configurato la connessione ad Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità per l'autenticazione. Nel campo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente. Se Active Directory utilizza la ricerca DNS posizione servizio, effettuare le selezioni riportate di seguito. Nella sezione Posizione server, selezionare la casella di spunta Questa directory supporta la posizione servizio DNS. Quando viene creata la directory, sarà creato un file domain_krb.properties, completato automaticamente con un elenco di controller del dominio. Vedere Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 49. Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL. e Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory. Se Active Directory non utilizza la ricerca posizione servizio DNS, effettuare le selezioni riportate di seguito. Nella sezione Posizione server, verificare che la casella di spunta Questa directory supporta posizione servizio DNS non sia selezionata ed immettere il nome host e il numero di porta del server Active Directory. Per configurare la directory come catalogo globale, vedere la sezione Ambiente con foresta Active Directory singola e multidominio in Ambienti Active Directory, pag. 47. Se Active Directory richiede l'accesso su SSL, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL. VMware, Inc. 57

58 Installazione e configurazione di VMware Identity Manager Opzione Active Directory (autenticazione integrata di Windows) Descrizione f g h a b Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". Nota: Se Active Directory richiede SSL e non si fornisce il certificato, non sarà possibile creare la directory. Nel campo Nome distinto di base, immettere il nome distinto da cui iniziare le ricerche degli account. Ad esempio, OU=myUnit,DC=myCorp,DC=com. Nel campo Nome distinto di binding, immettere l'account che può ricercare gli utenti. Ad esempio, CN=binduser,OU=myUnit,DC=myCorp,DC=com. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Dopo aver immesso la password di binding, fare clic su Test della connessione per verificare che la propria directory possa collegarsi a Active Directory. Nel campo Sincronizza connettore, selezionare il connettore da utilizzare per la sincronizzazione con Active Directory. Nel campo Autenticazione, se questo Active Directory è utilizzato per autenticare gli utenti, fare clic su Sì. c d Se per autenticare gli utenti viene invece utilizzato un provider di identità di terze parti, fare clic su No. Dopo aver configurato la connessione ad Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità per l'autenticazione. Nel campo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente. Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino STARTTLS nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". e f g Se la directory ha più domini, aggiungere i certificati CA root per tutti i domini, uno alla volta. Nota: Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory. Immettere il nome del dominio di Active Directory da aggiungere. Immettere un nome utente e una password con i diritti per aggiungere il dominio. Vedere Permessi richiesti per l'unione a un dominio, pag. 54 per ulteriori informazioni. Nella casella di testo UPN utente di binding, immettere il nome dell'entità utente che si autenticherà nel dominio. Ad esempio username@esempio.com. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Specificare la password dell'utente Binding. 5 Fare clic su Salva e avanti. Verrà visualizzata la pagina con l'elenco di domini. 58 VMware, Inc.

59 Capitolo 4 Integrazione con la directory aziendale 6 Per Active Directory su LDAP, i domini sono elencati con un segno di spunta. Per Active Directory (autenticazione integrata di Windows), selezionare i domini da associare a questa connessione ad Active Directory. Nota: se si aggiunge un dominio trusting dopo aver creato la directory, il servizio non rileva automaticamente il nuovo dominio trusting. Per consentire al servizio di rilevare il dominio, connettore deve essere tolto e poi aggiunto nuovamente al dominio. Quando connettore si unisce nuovamente al dominio, il dominio trusting comparirà nell'elenco. Fare clic su Avanti. 7 Verificare che i nomi degli attributi della directory di VMware Identity Manager siano mappati agli attributi di Active Directory corretti, apportare le modifiche eventualmente necessarie, quindi fare clic su Avanti. 8 Selezionare i gruppi che si desidera sincronizzare da Active Directory alla directory di VMware Identity Manager. Opzione Specificare i DN gruppo Sincronizza membri del gruppo nidificati Descrizione Per selezionare i gruppi, specificare uno o più DN e selezionare i gruppi in essi contenuti. a b c Fare clic su + e specificare il DN del gruppo. Ad esempio, CN=users,DC=example,DC=company,DC=com. Importante: Specificare i DN dei gruppi contenuti nel DN di base inserito. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login. Fare clic su Trova gruppi. Nella colonna Gruppi da sincronizzare, è presente il numero di gruppi trovati nel DN. Per selezionare tutti i gruppi nel DN, fare clic su Seleziona tutto oppure fare clic su Seleziona e selezionare i gruppi specifici da sincronizzare. Nota: Quando si sincronizza un gruppo, gli utenti che non hanno Utenti di dominio come gruppo primario in Active Directory non vengono sincronizzati. Per impostazione predefinita, l'opzione Sincronizza membri del gruppo nidificati è abilitata. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo principale selezionato per la sincronizzazione. Se l'opzione Sincronizza membri del gruppo nidificati è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo verranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di Active Directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti. 9 Fare clic su Avanti. VMware, Inc. 59

60 Installazione e configurazione di VMware Identity Manager 10 Specificare altri utenti da sincronizzare, se necessario. a Fare clic su + e inserire i DN degli utenti. Ad esempio, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Importante: Specificare i DN degli utenti contenuti nel DN di base inserito. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login. b (Facoltativo) Per escludere utenti, creare un filtro con cui escludere alcuni tipi di utenti. È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore. 11 Fare clic su Avanti. 12 Rivedere la pagina per verificare quanti utenti e gruppi vengono sincronizzati con la directory e visualizzare la pianificazione della sincronizzazione. Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica. 13 Fare clic su Sincronizza directory per avviare la sincronizzazione con la directory. La connessione a Active Directory viene stabilita e gli utenti e i gruppi vengono sincronizzati da Active Directory alla directory VMware Identity Manager. Per impostazione predefinita, l'utente Nome distinto di binding ha un ruolo da amministratore in VMware Identity Manager. Passi successivi Se è stata creata una directory che supporta la posizione servizio DNS, viene creato un file domain_krb.properties completato automaticamente con un elenco di controller del dominio. Visualizzare il file per verificare o modificare l'elenco di controller del dominio. Vedere Informazioni sulla selezione dei controller di dominio (file domain_krb.properties), pag. 49. Impostare i metodi di autenticazione. Dopo la sincronizzazione di utenti e gruppi con la directory, se il connettore è utilizzato anche per l'autenticazione, è possibile impostare metodi di autenticazione aggiuntivi sul connettore. Se il provider di identità di autenticazione è di terze parti, configurare quel provider di identità nel connettore. Riesaminare il criterio di accesso predefinito. Il criterio di accesso predefinito è configurato per consentire l'accesso al browser Web da parte di tutte le appliance in tutti gli intervalli di rete, con un timeout di sessione impostato a otto ore, oppure l'accesso a un'app client con un timeout di sessione di ore (90 giorni). È possibile modificare il criterio di accesso predefinito e creare nuovi criteri quando si aggiungono applicazioni Web al catalogo. Applicare un branding personalizzato alla console di amministrazione, alle pagine del portale degli utenti e alla schermata di accesso. Abilitazione degli utenti alla modifica delle password di Active Directory È possibile consentire agli utenti di modificare la propria password di Active Directory dall'app o dal portale Workspace ONE quando lo desiderano. Gli utenti possono inoltre modificare la propria password di Active Directory dalla pagina di accesso di VMware Identity Manager se la password è scaduta o se l'amministratore di Active Directory l'ha reimpostata, forzando gli utenti a cambiarla all'accesso successivo. È possibile abilitare questa opzione per directory, selezionando l'opzione Consenti modifica password nella pagina Impostazioni directory. Quando sono connessi al portale Workspace ONE, gli utenti possono cambiare la propria password facendo clic sul proprio nome nell'angolo in alto a destra, selezionando Account nel menu a discesa e facendo clic sul collegamento Cambia password. Nell'app Workspace ONE, gli utenti possono cambiare la propria password facendo clic sull'icona del menu con tre barre e selezionando Password. 60 VMware, Inc.

61 Capitolo 4 Integrazione con la directory aziendale Le password scadute o reimpostate dall'amministratore in Active Directory possono essere cambiate dalla pagina di accesso. Quando un utente prova ad accedere con una password scaduta, gli viene richiesto di reimpostarla. L'utente dovrà quindi specificare la vecchia password così come la nuova password. I requisiti per la nuova password sono determinati dai criteri delle password di Active Directory. Dagli stessi criteri dipende anche il numero di tentativi consentiti. Si applicano le limitazioni riportate di seguito. Se si utilizzano appliance virtuali del connettore autonome aggiuntive, si tenga presente che l'opzione Consenti modifica password è disponibile solo nella versione del connettore o successiva. Quando una directory viene aggiunta a VMware Identity Manager come catalogo globale, l'opzione Consenti modifica password non è disponibile. Le directory possono essere aggiunte come Active Directory su LDAP o autenticazione integrata di Windows utilizzando le porte 389 o 636. La password di un utente Nome distinto di binding non può essere reimpostata da VMware Identity Manager, anche se è scaduta o se l'amministratore di Active Directory l'ha reimpostata. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Le password degli utenti i cui nomi di accesso sono costituiti da caratteri multibyte (caratteri non ASCII) non possono essere reimpostate da VMware Identity Manager. Prerequisiti La porta 464 deve essere aperta da VMware Identity Manager ai controller di dominio. Procedura 1 Nella console di amministrazione, selezionare la scheda Gestione identità e accessi. 2 Nella scheda Directory, fare clic sulla directory. 3 Nella sezione Consenti modifica password, selezionare la casella di controllo Attiva modifica password. 4 Immettere la password nome distinto di binding nella sezione Dettagli utente di binding, quindi fare clic su Salva. Integrazione con le directory LDAP È possibile integrare la directory LDAP dell'azienda con VMware Identity Manager per sincronizzare utenti e gruppi dalla directory LDAP al servizio di VMware Identity Manager. Vedere anche Concetti importanti relativi all'integrazione della directory, pag. 45. Limitazioni dell'integrazione della directory LDAP Correntemente, la funzionalità di integrazione della directory LDAP ha le seguenti limitazioni. È possibile integrare solo un ambiente con directory LDAP a dominio singolo. Per integrare domini multipli da una directory LDAP è necessario creare directory VMware Identity Manager aggiuntive, una per ogni dominio. I seguenti metodi di autenticazione non sono supportati per le directory VMware Identity Manager di tipo directory LDAP. autenticazione Kerberos Autenticazione adattiva RSA VMware, Inc. 61

62 Installazione e configurazione di VMware Identity Manager ADFS come provider di identità di terze parti SecurID Autenticazione Radius con server SMS Passcode e Vasco Non è possibile unire un dominio LDAP. Non è supportata l'integrazione con risorse View o pubblicate da Citrix per le directory VMware Identity Manager di tipo directory LDAP. I nomi utente non devono contenere spazi. Se un nome utente contiene spazi, l'utente viene sincronizzato ma i permessi non saranno disponibili per l'utente. Se si pianifica l'aggiunta di directory sia Active Directory che LDAP, assicurarsi di non contrassegnare alcun attributo come obbligatorio nella pagina Attributi utente, eccetto username, che può essere contrassegnato come obbligatorio. Le impostazioni nella pagina Attributi utente si applica a tutte le directory nel servizio. Se un attributo è contrassegnato come obbligatorio, gli utenti senza l'attributo non vengono sincronizzati nel servizio di VMware Identity Manager. Se nella directory LDAP sono presenti più gruppi con lo stesso nome, è necessario specificare nomi univoci per essi nel servizio VMware Identity Manager. È possibile specificare i nomi quando si selezionano i gruppi da sincronizzare. Non è disponibile l'opzione per consentire agli utenti di reimpostare le password scadute. Il file domain_krb.properties non è supportato. Integrazione di una directory LDAP con il servizio È possibile integrare la directory LDAP dell'azienda con VMware Identity Manager per sincronizzare utenti e gruppi dalla directory LDAP al servizio di VMware Identity Manager. Per l'integrazione con la directory LDAP, è necessario creare una directory di VMware Identity Manager corrispondente e sincronizzare utenti e gruppi dalla directory LDAP alla directory di VMware Identity Manager. È possibile impostare una pianificazione di sincronizzazione regolare per gli aggiornamenti successivi. Si possono anche selezionare gli attributi LDAP che si desidera sincronizzare per gli utenti e associarli ad attributi di VMware Identity Manager. La configurazione della directory LDAP può essere basata su schemi predefiniti, ma si possono creare anche schermi personalizzati. Inoltre si possono definire attributi personalizzati. Affinché VMware Identity Manager possa eseguire query nella directory LDAP per ottenere oggetti utente o gruppo, è necessario fornire i filtri di ricerca LDAP e i nomi degli attributi applicabili alla directory LDAP. Nello specifico, è necessario fornire la seguenti informazioni. Filtri di ricerca LDAP per ottenere gruppi, utenti e l'utente di binding Nomi degli attributi LDAP per l'appartenenza ai gruppi, UUID e nome distinto La funzionalità di integrazione della directory LDAP è soggetta a specifiche limitazioni. Vedere Limitazioni dell'integrazione della directory LDAP, pag. 61. Prerequisiti Se si utilizzano ulteriori appliance virtuali di un connettore esterno, si noti che è possibile integrare le directory LDAP solo con il connettore versione e successive. 62 VMware, Inc.

63 Capitolo 4 Integrazione con la directory aziendale Riesaminare gli attributi nella pagina Gestione identità e accessi > Configura > Attributi utente e aggiungere gli altri attributi che si desidera sincronizzare. La mappatura di questi attributi di VMware Identity Manager a quelli della directory LDAP viene eseguita in un secondo momento in fase di creazione della directory. Gli attributi vengono sincronizzati per gli utenti nella directory. Nota: Quando si apportano modifiche agli attributi degli utenti, considerare l'effetto sulle altre directory nel servizio. Se si pianifica di aggiungere sia Active Directory che directory LDAP, assicurarsi di non contrassegnare alcun attributo come obbligatorio, eccetto username, che può essere contrassegnato come obbligatorio. Le impostazioni nella pagina Attributi utente si applica a tutte le directory nel servizio. Se un attributo è contrassegnato come obbligatorio, gli utenti senza l'attributo non vengono sincronizzati nel servizio di VMware Identity Manager. Un account utente Nome distinto di binding. L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Nella directory LDAP, gli UUID di utenti e gruppi devono essere in formato testo normale. Nella directory LDAP, per tutti gli utenti e i gruppi deve esistere un attributo di dominio. Questo attributo viene associato all'attributo dominio di VMware Identity Manager quando si crea la directory di VMware Identity Manager. I nomi utente non devono contenere spazi. Se un nome utente contiene spazi, l'utente viene sincronizzato ma i permessi non saranno disponibili per l'utente. Se si utilizza l'autenticazione con certificato, per gli utenti devono essere impostati valori per gli attributi userprincipalname e indirizzo . Procedura 1 Nella console di amministrazione, selezionare la scheda Gestione identità e accessi. 2 Nella pagina Directory, fare clic su Aggiungi directory e scegliere Aggiungi directory LDAP. VMware, Inc. 63

64 Installazione e configurazione di VMware Identity Manager 3 Immettere le informazioni richieste nella pagina Aggiungi directory LDAP. Opzione Nome directory Sincronizzazione e autenticazione directory Descrizione Nome della directory di VMware Identity Manager. a Nel campo Sincronizza connettore, selezionare il connettore che si desidera utilizzare per sincronizzare gli utenti e i gruppi dalla directory LDAP alla directory VMware Identity Manager. Per impostazione predefinita, un componente del connettore è sempre disponibile con il servizio VMware Identity Manager. Questo connettore verrà visualizzato nell'elenco a discesa. Se si installano più appliance di VMware Identity Manager per la disponibilità elevata, nell'elenco verrà visualizzato il componente del connettore di ciascuna appliance. Non è necessario un connettore separato per una directory LDAP. Un connettore può supportare più directory, indipendentemente dal fatto che siano Active Directory o directory LDAP. b Per gli scenari in cui sono necessari connettori aggiuntivi, vedere "Installazione delle appliance di connettori aggiuntivi" nella guida all'installazione di VMware Identity Manager. Nel campo Autenticazione, scegliere Sì se si desidera utilizzare questa directory LDAP per autenticare gli utenti. Posizione server c Se si desidera utilizzare un provider di identità di terze parti per autenticare gli utenti, fare clic su No. Dopo aver configurato la connessione alla directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità di terze parti per l'autenticazione. Nel campo Attributo di ricerca directory specificare l'attributo della directory LDAP da utilizzare per il nome utente. Se l'attributo non è presente, selezionare Personalizzato e immettere il nome dell'attributo. Ad esempio, cn. Immettere l'host del server e il numero di porta della directory LDAP. Per l'host del server, è possibile specificare sia il nome di dominio completo che l'indirizzo IP. Ad esempio, serverldap.esempio.com o Se è presente un cluster di server con il bilanciamento del carico, immettere invece le informazioni sul bilanciamento. 64 VMware, Inc.

65 Capitolo 4 Integrazione con la directory aziendale Opzione Configurazione LDAP Descrizione Specificare i filtri di ricerca LDAP e gli attributi che possono essere utilizzati da VMware Identity Manager per interrogare la propria directory LDAP. I valori predefiniti sono forniti in base allo schema LDAP principale. Query LDAP Ottieni gruppi: il filtro di ricerca per ottenere gli oggetti gruppo. Ad esempio: (objectclass=group) Ottieni utente bind: il filtro di ricerca per ottenere l'oggetto utente bind, ovvero l'utente che può collegarsi alla directory. Ad esempio: (objectclass=person) Ottieni utente: il filtro di ricerca per ottenere gli utenti da sincronizzare. Ad esempio: (&(objectclass=user)(objectcategory=person)) Attributi Appartenenza: questo attributo è utilizzato nella directory LDAP per definire i membri di un gruppo. Ad esempio: member UUID oggetto: l'attributo utilizzato nella directory LDAP per definire l'uuid di un utente o di un gruppo. Ad esempio: entryuuid DN (Distinguished Name): l'attributo utilizzato nella directory LDAP per il nome distinto (DN) di un utente o un gruppo. Ad esempio: entrydn Certificati Dettagli utente bind Se la directory LDAP richiede l'accesso su SSL, selezionare Questa directory richiede che tutte le connessioni utilizzino SSL e copiare e incollare il certificato SSL CA root del server della directory LDAP. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". Nome distinto di base: immettere il DN da cui iniziare le ricerche. Ad esempio, cn=users,dc=example,dc=com Nome distinto di binding: immettere il nome utente da utilizzare per collegarsi alla directory LDAP. Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Password nome distinto di binding: immettere la password per l'utente Nome distinto di binding 4 Per eseguire il test della connessione al server di directory LDAP, fare clic su Test della connessione. Se la connessione non riesce, controllare le informazioni immesse ed apportare le modifiche necessarie. 5 Fare clic su Salva e avanti. 6 Verificare che il dominio corretto sia elencato nella pagina Domini e fare clic su Avanti. 7 Nella pagina di associazione degli attributi, verificare che gli attributi di VMware Identity Manager siano associati agli attributi di LDAP corretti. Importante: È necessario specificare un'associazione per l'attributo dominio. È possibile aggiungere attributi all'elenco dalla pagina Attributi utente. 8 Fare clic su Avanti. VMware, Inc. 65

66 Installazione e configurazione di VMware Identity Manager 9 Nella pagina dei gruppi, fare clic su + per selezionare i gruppi che si desidera sincronizzare dalla directory LDAP alla directory di VMware Identity Manager. Se nella directory LDAP sono presenti più gruppi con lo stesso nome, sarà necessario specificare nomi univoci sulla relativa pagina. L'opzione Sincronizza membri del gruppo nidificati è attivata per impostazione predefinita. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo di livello superiore selezionato per la sincronizzazione. La gerarchia inferiore al gruppo selezionato viene di fatto appiattita e in VMware Identity Manager compaiono utenti provenienti da tutti i livelli come membri del gruppo selezionato. Se l'opzione è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo saranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e di tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti. 10 Fare clic su Avanti. 11 Fare clic su + per aggiungere altri utenti. Ad esempio, immettere CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Per escludere alcuni utenti, creare un filtro con cui escludere alcuni tipi di utenti. È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore. Fare clic su Avanti. 12 Esaminare la pagina per sapere quanti utenti e gruppi verranno sincronizzati nella directory e per conoscere la pianificazione delle sincronizzazioni predefinita. Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica. 13 Fare clic su Sincronizza directory per iniziare la sincronizzazione della directory. La connessione alla directory LDAP viene stabilita ed utenti e gruppi vengono sincronizzati dalla directory LDAP alla directory di VMware Identity Manager. Per impostazione predefinita, l'utente Nome distinto di binding ha un ruolo da amministratore in VMware Identity Manager. Aggiunta di una directory in seguito alla configurazione di failover e ridondanza Se si aggiunge una nuova directory al servizio VMware Identity Manager dopo aver già distribuito un cluster per l'alta disponibilità e si desidera che questa nuova directory faccia parte della configurazione ad alta disponibilità, è necessario aggiungere la directory a tutte le appliance nel cluster. Ciò è possibile aggiungendo il componente connettore di ognuna delle istanze del servizio alla nuova directory, Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Gestione identità e accessi, quindi selezionare la scheda Provider di identità. 3 Sulla pagina Provider di identità, individuare il provider di identità per la nuova directory e fare clic sul suo nome. 66 VMware, Inc.

67 Capitolo 4 Integrazione con la directory aziendale 4 Nel campo Nome host provider di identità immettere il nome di dominio completo di bilanciamento del carico, se non è già stato definito. 5 Nel campo Connettori, selezionare il connettore da aggiungere. 6 Immettere la password e fare clic su Salva. 7 Sulla pagina Provider di identità, fare di nuovo clic sul nome del provider di identità e verificare che nel campo Nome host provider di identità sia riportato il nome host corretto. Il campo Nome host provider di identità dovrebbe riportare il nome di dominio completo del bilanciamento del carico. Se il nome non è corretto, specificare il nome di dominio completo giusto e fare clic su Salva. 8 Ripetere i passi precedenti per aggiungere tutti i connettori riportati nel campo Connettori. Nota: Dopo aver aggiunto ogni connettore, controllare il nome host del provider di identità e modificarlo, se necessario, come descritto nel passo 7. La directory a questo punto sarà associata a tutti i connettori presenti nella propria distribuzione. VMware, Inc. 67

68 Installazione e configurazione di VMware Identity Manager 68 VMware, Inc.

69 Utilizzo delle directory locali 5 La directory locale è uno dei tipi di directory che è possibile creare nel servizio VMware Identity Manager. Una directory locale consente di eseguire il provisioning degli utenti locali nel servizio e permettere loro di accedere ad applicazioni specifiche senza doverli aggiungere alla directory aziendale. La directory locale non è connessa ad alcuna directory aziendale e gli utenti e i gruppi non vengono sincronizzati da una directory aziendale. Gli utenti locali vengono infatti creati direttamente nella directory locale. Nel servizio è disponibile una directory locale predefinita denominata directory di sistema. È inoltre possibile creare più directory locali nuove. Directory di sistema La directory di sistema è una directory locale che viene creata automaticamente nel servizio quando viene configurato per la prima volta. Il dominio di questa directory è il dominio di sistema. Non è possibile modificare il nome o il dominio della directory di sistema o aggiungervi nuovi domini. La directory di sistema e il dominio di sistema non possono essere eliminati. L'utente amministratore locale creato durante la prima configurazione dell'appliance VMware Identity Manager viene creato nel dominio di sistema della directory di sistema. È possibile aggiungere altri utenti alla directory di sistema. La directory di sistema viene in genere utilizzata per configurare alcuni utenti amministratori locali per la gestione del servizio. Per eseguire il provisioning di utenti finali e amministratori aggiuntivi, nonché concedere loro i permessi per le applicazioni, è consigliabile creare una nuova directory locale. Directory locali È possibile creare più directory locali. Ogni directory locale può avere uno o più domini. Quando si crea un utente locale, è necessario specificare la directory e il dominio per tale utente. È inoltre possibile selezionare attributi per tutti gli utenti di una directory locale. Gli attributi utente, come username, lastname e firstname vengono specificati a livello globale nel servizio VMware Identity Manager. È disponibile un elenco di attributi predefinito a cui è possibile aggiungere attributi personalizzati. Gli attributi utente globali si applicano a tutte le directory del servizio, incluse le directory locali. Al livello della directory locale, è possibile selezionare quali attributi sono obbligatori per la directory. In questo modo è possibile definire un insieme di attributi personalizzato per ogni directory locale. Si noti che gli attributi username, lastname, firstname e sono sempre obbligatori per le directory locali. Nota: La possibilità di personalizzare gli attributi utente a livello della directory è disponibile solo per le directory locali e non per Active Directory o le directory LDAP. VMware, Inc. 69

70 Installazione e configurazione di VMware Identity Manager La creazione delle directory locali risulta utile in scenari analoghi a quelli descritti di seguito. È possibile creare una directory locale per un tipo di utente specifico che non fa parte della directory aziendale. È ad esempio possibile creare una directory locale per i partner, che in genere non fanno parte della directory aziendale, e consentire loro di accedere solo alle applicazioni di cui necessitano. È consigliabile creare più directory locali se si desidera definire attributi utente o metodi di autenticazione diversi per set di utenti diversi. È ad esempio possibile creare una directory locale per i distributori con attributi utente come area e dimensioni del mercato e un'altra directory locale per i fornitori con attributi utente come categoria prodotto e tipo di fornitore. Provider di identità per la directory di sistema e le directory locali Per impostazione predefinita, la directory di sistema viene associata a un provider di identità denominato provider di identità del sistema. Per impostazione predefinita, in questo provider di identità è abilitato il metodo Password (directory Cloud), che si applica al criterio default_access_policy_set per l'intervallo di rete TUTTI GLI INTERVALLI e il tipo di dispositivo Browser Web. È possibile configurare metodi di autenticazione aggiuntivi e impostare criteri di autenticazione. Quando viene creata, una nuova directory locale non è associata ad alcun provider di identità. Dopo aver creato la directory, creare un nuovo provider di identità di tipo Embedded e associarvi la directory. Nel provider di identità, abilitare il metodo di autenticazione Password (directory Cloud). È possibile associare più directory locali allo stesso provider di identità. Il connettore VMware Identity Manager non è necessario per la directory di sistema e le directory locali create. Per ulteriori informazioni, vedere la sezione relativa alla configurazione dell'autenticazione degli utenti in VMware Identity Manager nella Guida all'amministrazione di VMware Identity Manager. Gestione delle password per gli utenti della directory locale Per impostazione predefinita, tutti gli utenti delle directory locali possono cambiare la propria password nell'app o nel portale Workspace ONE. È possibile impostare criteri per le password degli utenti locali. È inoltre possibile reimpostare le password degli utenti locali in base alle esigenze. Quando sono connessi al portale Workspace ONE, gli utenti possono cambiare la propria password facendo clic sul proprio nome nell'angolo in alto a destra, selezionando Account nel menu a discesa e facendo clic sul collegamento Cambia password. Nell'app Workspace ONE, gli utenti possono cambiare la propria password facendo clic sull'icona del menu con tre barre e selezionando Password. Per informazioni sull'impostazione di criteri per le password e la reimpostazione delle password degli utenti locali, vedere la sezione relativa alla gestione di utenti e gruppi nella guida all'amministrazione di VMware Identity Manager. Questo capitolo include i seguenti argomenti: Creazione di una directory locale, pag. 70 Modifica delle impostazioni della directory locale, pag. 75 Eliminazione di una directory locale, pag. 76 Creazione di una directory locale Per creare una directory locale, è sufficiente specificare gli attributi utente per la directory, creare la directory e identificarla con un provider di identità. 70 VMware, Inc.

71 Capitolo 5 Utilizzo delle directory locali 1 Impostazione degli attributi utente a livello globale pag. 71 Prima di creare una directory locale, verificare gli attributi utente globali nella pagina Attributi utente e aggiungere attributi personalizzati, se necessario. 2 Creazione di una directory locale pag. 72 Dopo aver esaminato e impostato attributi utente globali, creare la directory locale. 3 Associazione della directory locale a un provider di identità pag. 74 Associare la directory locale a un provider di identità in modo che sia possibile eseguire l'autenticazione degli utenti della directory. Creare un nuovo provider di identità di tipo Embedded e abilitare il metodo di autenticazione Password (directory locale) in tale provider. Impostazione degli attributi utente a livello globale Prima di creare una directory locale, verificare gli attributi utente globali nella pagina Attributi utente e aggiungere attributi personalizzati, se necessario. Gli attributi utente, come firstname, lastname, e domain, fanno parte del profilo di un utente. Nel servizio VMware Identity Manager gli attributi utente vengono definiti a livello globale e si applicano a tutte le directory del servizio, incluse le directory locali. A livello della directory locale è possibile ignorare il fatto che un attributo sia obbligatorio o facoltativo per gli utenti della directory, ma non è possibile aggiungere attributi personalizzati. Se un attributo è obbligatorio, è necessario specificare un valore per tale attributo quando si crea un utente. Quando si creano attributi personalizzati, non è possibile utilizzare le parole seguenti. Tavola 5 1. Parole che non possono essere utilizzate come nomi di attributi personalizzati active addresses costcenter department displayname division s employeenumber entitlements externalid groups id ims locale manager meta name nickname organization password phonenumber photos preferredlanguage profileurl roles timezone title username usertype x509certificate Nota: La possibilità di ignorare gli attributi utente a livello della directory si applica solo alle directory locali e non alle directory di LDAP o Active Directory. Procedura 1 Nella console di amministrazione, fare clic sulla scheda Gestione identità e accessi. 2 Fare clic su Configura, quindi sulla scheda Attributi utente. 3 Esaminare l'elenco di attributi utente e aggiungere altri attributi, se necessario. Nota: Anche se in questa pagina è possibile scegliere quali attributi sono obbligatori, è consigliabile eseguire la selezione per le directory locali a livello delle directory locali stesse. Se un attributo viene contrassegnato come Obbligatorio in questa pagina, la condizione si applica a tutte le directory nel servizio, incluse le directory di Active Directory o LDAP. VMware, Inc. 71

72 Installazione e configurazione di VMware Identity Manager 4 Fare clic su Salva. Passi successivi Creare la directory locale. Creazione di una directory locale Dopo aver esaminato e impostato attributi utente globali, creare la directory locale. Procedura 1 Nella console di amministrazione, fare clic sulla scheda Gestione identità e accessi, quindi sulla scheda Directory. 2 Fare clic su Aggiungi directory e selezionare Aggiungi directory utente locale nel menu a discesa. 3 Nella pagina Aggiungi directory, immettere un nome di directory e specificare almeno un nome di dominio. Il nome del dominio deve essere univoco tra tutte le directory nel servizio. Ad esempio: 72 VMware, Inc.

73 Capitolo 5 Utilizzo delle directory locali 4 Fare clic su Salva. 5 Nella pagina Directory, fare clic sulla nuova directory. 6 Fare clic sulla scheda Attributi utente. Tutti gli attributi della pagina Gestione identità e accessi > Configura > Attributi utente verranno elencati per la directory locale. Gli attributi contrassegnati come obbligatori in tale pagina vengono elencati come obbligatori anche nella pagina della directory locale. 7 Personalizzare gli attributi per la directory locale. È possibile specificare gli attributi obbligatori e quelli facoltativi. È inoltre possibile modificare l'ordine di visualizzazione degli attributi. Importante: Gli attributi username, firstname, lastname e sono sempre obbligatori per le directory locali. Per rendere obbligatorio un attributo, selezionare la casella di controllo accanto al nome dell'attributo. Per rendere facoltativo un attributo, deselezionare la casella di controllo accanto al nome dell'attributo. Per modificare l'ordine degli attributi, fare clic e trascinare gli attributi nella nuova posizione. VMware, Inc. 73

74 Installazione e configurazione di VMware Identity Manager Se un attributo è obbligatorio, quando si crea un utente è necessario specificare un valore per tale attributo. Ad esempio: 8 Fare clic su Salva. Passi successivi Associare la directory locale al provider di identità che si desidera utilizzare per l'autenticazione degli utenti nella directory. Associazione della directory locale a un provider di identità Associare la directory locale a un provider di identità in modo che sia possibile eseguire l'autenticazione degli utenti della directory. Creare un nuovo provider di identità di tipo Embedded e abilitare il metodo di autenticazione Password (directory locale) in tale provider. Nota: Non utilizzare il provider di identità integrato. Non è infatti consigliabile abilitare il metodo di autenticazione Password (directory locale) nel provider di identità integrato. Procedura 1 Nella scheda Gestione identità e accessi fare clic sulla scheda Provider di identità. 2 Fare clic su Aggiungi provider di identità e selezionare Crea provider di identità integrato. 3 Immettere le informazioni seguenti. Opzione Nome del provider di identità Utenti Rete Metodi di autenticazione Esportazione certificato KDC Descrizione Immettere un nome per il provider di identità. Selezionare la directory locale creata. Selezionare le reti da cui è possibile accedere al provider di identità. Selezionare Password (directory locale). Non è necessario scaricare il certificato a meno che non si stia configurando SSO mobile per i dispositivi ios gestiti da AirWatch. 74 VMware, Inc.

75 Capitolo 5 Utilizzo delle directory locali 4 Fare clic su Aggiungi. Il provider di identità viene creato e associato alla directory locale. Nel provider di identità è possibile configurare altri metodi di autenticazione in un secondo momento. Per ulteriori informazioni sull'autenticazione, vedere la sezione relativa alla configurazione dell'autenticazione utente in VMware Identity Manager di VMware Identity Manager Administration. È possibile utilizzare lo stesso provider di identità per più directory locali. Passi successivi Creare utenti e gruppi locali. È possibile creare utenti e gruppi locali nella scheda Utenti e gruppi della console di amministrazione. Per ulteriori informazioni, vedere la sezione relativa alla gestione di utenti e gruppi di VMware Identity Manager Administration. Modifica delle impostazioni della directory locale Dopo aver creato una directory locale, è possibile modificarne le impostazioni in qualsiasi momento. È possibile modificare le impostazioni seguenti. Modificare il nome della directory. Aggiungere, eliminare o rinominare i domini. I nomi dei domini devono essere univoci in tutte le directory nel servizio. Quando si modifica il nome di un dominio, gli utenti associati al vecchio dominio vengono associati al nuovo dominio. La directory deve includere almeno un dominio. Non è possibile aggiungere un dominio alla directory di sistema o eliminare il dominio di sistema. Aggiungere nuovi attributi utente o rendere un attributo esistente obbligatorio o facoltativo. Se la directory locale non include ancora alcun utente, è possibile aggiungere nuovi attributi obbligatori o facoltativi e modificare gli attributi esistenti rendendoli obbligatori o facoltativi. Se sono già stati creati utenti nella directory locale, è possibile aggiungere solo attributi facoltativi e modificare gli attributi esistenti rendendoli da obbligatori a facoltativi. Non è possibile rendere obbligatorio un attributo facoltativo dopo aver creato gli utenti. VMware, Inc. 75

76 Installazione e configurazione di VMware Identity Manager Gli attributi username, firstname, lastname e sono sempre obbligatori per le directory locali. Poiché gli attributi utente vengono definiti a livello globale nel servizio VMware Identity Manager, ogni nuovo attributo aggiunto verrà incluso in tutte le directory nel servizio. Modificare l'ordine di visualizzazione degli attributi. Procedura 1 Fare clic sulla scheda Gestione identità e accessi. 2 Nella pagina Directory, fare clic sulla directory che si desidera modificare. 3 Modificare le impostazioni della directory locale. Opzione Azione Modificare il nome della directory a Nella scheda Impostazioni modificare il nome della directory. b Fare clic su Salva. Aggiungere, eliminare o rinominare un dominio Aggiungere attributi utente alla directory Rendere un attributo obbligatorio o facoltativo per la directory a b c d a b c a b c d Nella scheda Impostazioni modificare l'elenco Domini. Per aggiungere un dominio, fare clic sull'icona a forma di segno più verde. Per eliminare un dominio, fare clic sull'icona di eliminazione rossa. Per rinominare un dominio, modificare il nome del dominio nella casella di testo. Fare clic sulla scheda Gestione identità e accessi, quindi fare clic su Configura. Fare clic sulla scheda Attributi utente. Aggiungere attributi nell'elenco Aggiungere altri attributi da utilizzare e fare clic su Salva. Nella scheda Gestione identità e accessi, fare clic sulla scheda Directory. Fare clic sul nome della directory locale e sulla scheda Attributi utente. Selezionare la casella di controllo accanto a un attributo per renderlo obbligatorio oppure deselezionare la casella di controllo per renderlo facoltativo. Fare clic su Salva. Modificare l'ordine degli attributi a Nella scheda Gestione identità e accessi, fare clic sulla scheda Directory. b c d Fare clic sul nome della directory locale e sulla scheda Attributi utente. Fare clic sugli attributi e trascinarli nella nuova posizione. Fare clic su Salva. Eliminazione di una directory locale È possibile eliminare una directory locale creata nel servizio VMware Identity Manager. Non è invece consentito eliminare la directory di sistema, che viene creata per impostazione predefinita alla prima configurazione del servizio. Attenzione: Quando si elimina una directory dal servizio, vengono eliminati anche tutti gli utenti inclusi nella directory. Procedura 1 Fare clic sulla scheda Gestione identità e accessi, quindi fare clic sulla scheda Directory. 2 Fare clic sulla directory che si desidera eliminare. 76 VMware, Inc.

77 Capitolo 5 Utilizzo delle directory locali 3 Nella pagina della directory, fare clic su Elimina directory. VMware, Inc. 77

78 Installazione e configurazione di VMware Identity Manager 78 VMware, Inc.

79 Configurazione avanzata per l'appliance di VMware Identity Manager 6 Dopo aver completato l'installazione di base dell'appliance virtuale di VMware Identity Manager, potrebbe essere necessario completare altre attività di configurazione, come ad esempio l'abilitazione dell'accesso esterno a VMware Identity Manager e la configurazione della ridondanza. Il diagramma dell'architettura di VMware Identity Manager mostra come poter distribuire l'ambiente di VMware Identity Manager. Vedere Capitolo 1, Preparazione all'installazione di VMware Identity Manager, pag. 9 per una distribuzione tipica. Questo capitolo include i seguenti argomenti: Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager, pag. 79 Configurazione del failover e della ridondanza in un data center singolo, pag. 83 Distribuzione di VMware Identity Manager in un data center secondario per il failover e la ridondanza, pag. 89 Utilizzo di un programma di bilanciamento del carico o di un proxy inverso per abilitare l'accesso esterno a VMware Identity Manager Durante la distribuzione, l'appliance virtuale di VMware Identity Manager viene configurata nella rete interna. Se si desidera fornire l'accesso al servizio per gli utenti che si collegano da reti esterne, è necessario installare un programma di bilanciamento del carico come Apache, nginx o F5 nel DMZ. Se non si utilizza un programma di bilanciamento del carico o un proxy inverso, non sarà possibile espandere il numero di appliance di VMware Identity Manager in un secondo momento. Per garantire ridondanza e bilanciamento del carico potrebbe essere necessario aggiungere altre appliance. Il seguente diagramma mostra l'architettura di distribuzione di base che è possibile utilizzare per consentire l'accesso esterno. VMware, Inc. 79

80 Installazione e configurazione di VMware Identity Manager Figura 6 1. Proxy esterno di bilanciamento del carico con macchina virtuale Utenti esterni Bilanciamento del carico esterno Nome host: Nome di dominio completo di VMware Identity Manager Indirizzo IP di esempio: 64.x.y.z Porta: Porta di VMware Identity Manager Deve abilitare le intestazioni X-Forwarded-For. Firewall DMZ Utenti interni Porta 443 Porta 443 Bilanciamento del carico interno Nome host: Nome di dominio completo di VMware Identity Manager Indirizzo IP di esempio: 10.x.y.z Porta: Porta di VMware Identity Manager Deve abilitare le intestazioni X-Forwarded-For. VMware Identity Manager Appliance virtuale Appliance virtuale Appliance virtuale Appliance virtuale Specifica del nome di dominio completo di VMware Identity Manager durante la distribuzione Durante la distribuzione della macchina virtuale di VMware Identity Manager, viene specificato il nome di dominio completo di VMware Identity Manager e il relativo numero di porta. Questi valori devono fare riferimento al nome host che si desidera sia utilizzato dagli utenti finali per accedere. La macchina virtuale di VMware Identity Manager viene eseguita sempre sulla porta 443. È possibile utilizzare un numero di porta differente per il bilanciamento del carico. Se si utilizza un numero di porta differente, sarà necessario specificarlo durante la distribuzione. Impostazioni del bilanciamento del carico da configurare Le impostazioni del bilanciamento del carico da configurare includono l'abilitazione delle intestazioni X- Forwarded-For, l'impostazione del timeout corretto del bilanciamento del carico e l'abilitazione di sessioni sticky. Inoltre, è necessario configurare una relazione SSL sicura tra l'appliance virtuale di VMware Identity Manager e il bilanciamento del carico. Intestazioni X-forwarded-for È necessario abilitare le intestazioni X-Forwarded-For sul proprio bilanciamento del carico. Ciò determina il metodo di autenticazione. Fare riferimento alla documentazione del fornitore del bilanciamento del carico per maggiori informazioni. 80 VMware, Inc.

81 Capitolo 6 Configurazione avanzata per l'appliance di VMware Identity Manager Timeout del bilanciamento del carico Perché VMware Identity Manager funzioni correttamente, potrebbe essere necessario aumentare il valore di timeout richiesta del bilanciamento del carico dal valore predefinito. Il valore è impostato in minuti. Se il valore di timeout è troppo basso, è possibile che sia visualizzato l'errore Errore 502: il servizio al momento non è disponibile. Abilita sessioni sticky L'impostazione delle sessioni sticky sul bilanciamento del carico va eseguita se nella propria distribuzione sono presenti più appliance di VMware Identity Manager. Il bilanciamento del carico collegherà quindi una sessione utente a una istanza specifica. Applicazione del certificato root di VMware Identity Manager al bilanciamento del carico Quando l'appliance virtuale di VMware Identity Manager è configurata con un bilanciamento del carico, è necessario stabilire una connessione sicura SSL tra il bilanciamento del carico e VMware Identity Manager. Il certificato root di VMware Identity Manager deve essere copiato sul bilanciamento del carico. Il certificato di VMware Identity Manager può essere scaricato dalla console di amministrazione, dalla pagina Impostazioni dell'appliance > Configurazione appliance virtuale > Gestisci configurazione. Se il nome di dominio completo d ivmware Identity Manager fa riferimento a un bilanciamento del carico, il certificato SSL può essere applicato solo al bilanciamento del carico. Poiché il bilanciamento del carico comunica con l'appliance virtuale di VMware Identity Manager, è necessario copiare il certificato CA root di VMware Identity Manager al bilanciamento del carico come certificato root sicuro. Procedura 1 Nella console di amministrazione, selezionare la scheda Impostazioni dell'appliance e selezionare Configurazione appliance virtuale. 2 Fare clic su Gestisci configurazione. 3 Selezionare l'opzione per installare il certificato. 4 Selezionare la scheda Termina SSL su un bilanciamento del carico e nel campo Certificato CA root dell'appliance, fare clic sul collegamento 5 Copiare quanto compreso tra le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE---- e incollare il certificato root nel percorso corretto di ognuno dei bilanciamenti del carico. Fare riferimento alla documentazione fornita dal fornitore del bilanciamento del carico. VMware, Inc. 81

82 Installazione e configurazione di VMware Identity Manager Passi successivi Copiare e incollare il certificato root di bilanciamento del carico sull'appliance di VMware Identity Managerconnettore. Applicazione del certificato root di bilanciamento del carico a VMware Identity Manager Quando l'appliance virtuale di VMware Identity Manager è configurata con un bilanciamento del carico, è necessario stabilire una connessione sicura tra il bilanciamento del carico a VMware Identity Manager. Inoltre, copiare il certificato root di VMware Identity Manager sul bilanciamento del carico in VMware Identity Manager. Procedura 1 Ottenere il certificato root del bilanciamento del carico. 2 Nella console di amministrazione di VMware Identity Manager, selezionare la scheda Impostazioni dell'appliance e selezionare Configurazione appliance virtuale. 3 Fare clic su Gestisci configurazione. 4 Accedere con la password dell'utente amministratore. 5 Sulla pagina Installa certificato selezionare la scheda Termina SSL su un bilanciamento del carico. 6 Incollare il testo del certificato del bilanciamento del carico nel campo Certificato CA root. 7 Fare clic su Salva. Configurazione delle impostazioni del server proxy per VMware Identity Manager L'appliance virtuale VMware Identity Manager accede al catalogo di applicazioni cloud e altri servizi Web su Internet. Se la configurazione di rete offre accesso a internet tramite un proxy HTTP, è necessario modificare le impostazioni del proxy per l'appliance VMware Identity Manager. Consentire al proxy di gestire solo il traffico Internet. Affinché il proxy sia configurato correttamente, impostare il parametro per il traffico interno su no-proxy nel dominio. Nota: I server proxy che richiedono autenticazione non sono supportati. 82 VMware, Inc.

83 Capitolo 6 Configurazione avanzata per l'appliance di VMware Identity Manager Procedura 1 Da vsphere Client, accedere come utente root all'appliance virtuale VMware Identity Manager. 2 Immettere YaST nella riga di comando per eseguire la utility YaST. 3 Selezionare Servizi di rete nel riquadro a sinistra, quindi selezionare Proxy. 4 Immettere gli URL del server proxy nei campi URP proxy HTTP e URL proxy HTTPS. 5 Selezionare Fine e uscire dalla utility YaST. 6 Riavviare il server Tomcat sull'appliance virtuale VMware Identity Manager per utilizzare le nuove impostazioni proxy. service horizon-workspace restart Il catalogo delle applicazioni cloud e altri servizi Web risultano ora disponibili in VMware Identity Manager. Configurazione del failover e della ridondanza in un data center singolo Per implementare il failover e la ridondanza, è possibile aggiungere più appliance virtuali di VMware Identity Manager in un cluster. Se per un qualsiasi motivo una delle appliance virtuali viene arrestata, VMware Identity Manager sarà comunque disponibile. È innanzitutto necessario installare e configurare un'appliance virtuale di VMware Identity Manager e quindi clonarla. Il processo di clonazione dell'appliance crea un duplicato dell'appliance con la stessa configurazione dell'originale. È possibile personalizzare l'appliance virtuale clonata e modificarne il nome, le impostazioni di rete e altre proprietà in base alle proprie necessità. Prima di clonare l'appliance virtuale di VMware Identity Manager, sarà necessario configurarne l'uso con un bilanciamento del carico e modificarne il nome di dominio completo in modo che corrisponda al nome di dominio completo del bilanciamento. Inoltre, prima di clonare l'appliance, completare la configurazione della directory nel servizio VMware Identity Manager. In seguito alla clonazione, assegnare all'appliance virtuale clonata un nuovo indirizzo IP e poi accenderla. L'indirizzo IP dell'appliance virtuale clonata deve seguire le stesse regole dell'indirizzo IP dell'appliance virtuale originale. L'indirizzo IP deve essere risolto su un nome host valido che utilizza il DNS di inoltro e inverso. Tutti i nodi nel cluster VMware Identity Manager devono essere identici e possibilmente copie senza stato l'uno dell'altro. La sincronizzazione con Active Directory e con le risorse configurate, come View o ThinApp, è disabilitata sulle appliance virtuali clonate. 1 Numero di nodi consigliato nel cluster VMware Identity Manager pag. 84 L'impostazione di un cluster VMware Identity Manager con tre nodi è consigliata. 2 Modifica del nome di dominio di completo di VMware Identity Manager nel nome di dominio completo di bilanciamento del carico pag. 84 Prima di clonare l'appliance virtuale di VMware Identity Manager, è necessario modificarne il nome di dominio completo in modo che corrisponda a quello del bilanciamento del carico. 3 Clonazione dell'appliance virtuale pag Assegnazione di un nuovo indirizzo IP a un'appliance virtuale clonata pag. 86 Prima di poter accedere una nuova appliance virtuale clonata, è necessario aggiungervi un nuovo indirizzo IP. Tale indirizzo IP deve essere risolvibile in DNS. Se l'indirizzo non si trova nel DNS inverso, è necessario assegnare anche il nome host. 5 Abilitazione della sincronizzazione delle directory su un'altra istanza di in caso di errore pag. 88 VMware, Inc. 83

84 Installazione e configurazione di VMware Identity Manager Numero di nodi consigliato nel cluster VMware Identity Manager L'impostazione di un cluster VMware Identity Manager con tre nodi è consigliata. L'appliance di VMware Identity Manager include Elasticsearch, un motore di ricerca e analisi. Elasticsearch ha una limitazione nota con i cluster a due nodi. Per una descrizione della limitazione "split brain" di Elasticsearch, consultare la documentazione di Elasticsearch. Tenere presente che non è necessario configurare alcuna impostazione di Elasticsearch. Un cluster di VMware Identity Manager con due nodi fornisce funzionalità di failover con qualche limitazione dovuta a Elasticsearch. Se uno dei nodi viene arrestato, si applicano le seguenti limitazioni fino a che il nodo non torna attivo: Il dashboard non visualizza i dati. La maggior parte dei report non è disponibile. Le informazioni del registro di sincronizzazione non sono visualizzate per le directory. Il campo di ricerca nell'angolo in alto a destra della console di amministrazione non restituisce alcun risultato. La funzione di completamento automatico non è disponibile per i campi di testo. Non vi è alcuna perdita di dati durante il periodo di tempo in cui il nodo è inattivo. I dati dei registri di sincronizzazione e degli eventi di controllo vengono memorizzati e saranno visualizzati una volta ripristinato il nodo. Modifica del nome di dominio di completo di VMware Identity Manager nel nome di dominio completo di bilanciamento del carico Prima di clonare l'appliance virtuale di VMware Identity Manager, è necessario modificarne il nome di dominio completo in modo che corrisponda a quello del bilanciamento del carico. Prerequisiti L'appliance di VMware Identity Manager sia stata aggiunta a un bilanciamento del carico. Sia stato applicato il certificato CA root del bilanciamento del carico a VMware Identity Manager. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Impostazioni dell'appliance. 3 Sulla pagina Configurazione dell'appliance virtuale, fare clic su Gestisci configurazione. 4 Immettere la password dell'amministratore per accedere. 5 Fare clic su Configurazione di Identity Manager. 6 Nel campo Nome di dominio completo di Identity Manager, modificare il nome host dell'url dal nome host di VMware Identity Manager al nome host del bilanciamento del carico. Ad esempio, se il nome host di VMware Identity Manager è myservice e il nome host del bilanciamento del carico è mylb, l'url dovrà essere cambiato in: 84 VMware, Inc.

85 Capitolo 6 Configurazione avanzata per l'appliance di VMware Identity Manager 7 Fare clic su Salva. Il nome di dominio completo del servizio sarà cambiato nel nome di dominio completo del programma di bilanciamento del carico. L'URL del provider di identità sarà cambiato nell'url del bilanciamento del carico. Passi successivi Clonare l'appliance virtuale. Clonazione dell'appliance virtuale Clonare VMware Identity Manager l'appliance virtuale per creare più appliance virtuali dello stesso tipo per distribuire il traffico ed eliminare potenziali tempi di inattività. L'uso di più VMware Identity Manager appliance virtuali aumenta la disponibilità, bilancia le richieste al servizio e diminuisce i tempi di risposta per l'utente finale. Prerequisiti L'appliance VMware Identity Manager virtuale deve essere configurato con un bilanciamento del carico. Assicurarsi che la porta del bilanciamento del carico sia 443. Non utilizzare la porta 8443 in quanto questo numero di porta è la porta di amministrazione ed è univoca per ogni appliance virtuale. Un database esterno viene configurato come descritto in Connessione al database, pag. 34. Assicurarsi di aver completato la configurazione della directory in VMware Identity Manager. Accedere alla console dell'appliance virtuale come root ed eliminare il file /etc/udev/rules.d/70- persistent-net.rules, se presente. Se non si elimina il file prima della clonazione, il networking non sarà configurato correttamente sull'appliance virtuale clonata. Procedura 1 Accedere a vsphere Client o a vsphere Web Client e passare VMware Identity Manager all'appliance virtuale. 2 Fare clic con il pulsante destro del mouse sull'appliance virtuale e selezionare Clona. 3 Immettere il nome per l'appliance virtuale clonata e fare clic su Avanti. Il nome deve essere univoco all'interno della cartella VM. 4 Selezionare l'host o il cluster su cui eseguire l'appliance virtuale clonata e fare clic su Avanti. 5 Selezionare il pool di risorse in cui eseguire l'appliance virtuale e fare clic su Avanti. 6 Per il formato del disco virtuale, selezionare Stesso formato dell'origine. 7 Selezionare il percorso dell'archivio dati in cui memorizzare i file dell'appliance virtuale e fare clic su Avanti. VMware, Inc. 85