Distribuzione cloud di VMware Identity Manager. SETT 2018 VMware Identity Manager

Transcript

1 Distribuzione cloud di VMware Identity Manager SETT 2018 VMware Identity Manager

2 È possibile trovare la documentazione tecnica più aggiornata sul sito Web di VMware all'indirizzo: Il sito Web di VMware fornisce, inoltre, gli ultimi aggiornamenti di prodotto. In caso di commenti sulla presente documentazione, inviare un messaggio all'indirizzo: VMware, Inc Hillview Ave. Palo Alto, CA VMware, Inc. Centro Leoni Palazzo A Via Spadolini 5 Ground Floor Milan, MI tel: fax: Copyright VMware, Inc. Tutti i diritti riservati. Informazioni sul copyright e sul marchio commerciale. VMware, Inc. 2

3 Sommario 5 1 Modelli di distribuzione 6 Modello di distribuzione mediante AirWatch Cloud Connector 7 Modello di distribuzione mediante il connettore di VMware Identity Manager nella modalità di connessione in sola uscita 10 2 Preparazione dell'installazione di VMware Identity Manager Connector 13 Requisiti di configurazione di sistema e di rete 13 Creazione di record DNS e indirizzi IP 16 Checklist di distribuzione 17 3 Distribuzione del connettore di VMware Identity Manager 20 Generazione del codice di attivazione per il connettore 21 Installazione e configurazione dell'appliance virtuale del connettore 22 Configurazione di una directory 25 Abilitazione di adattatori di autenticazione in VMware Identity Manager Connector 26 Abilitazione della modalità in uscita per VMware Identity Manager Connector 28 4 Configurazione della disponibilità elevata per VMware Identity Manager Connector 31 Installazione di istanze aggiuntive del connettore 31 Configurazione dell'alta disponibilità per l'autenticazione 33 Abilitazione della sincronizzazione delle directory in un altro connettore in caso di errore 34 5 Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity Manager Connector 35 Configurazione e abilitazione dell'adattatore di autenticazione Kerberos 36 Configurazione della disponibilità elevata per l'autenticazione Kerberos 38 6 Integrazione della directory aziendale con VMware Identity Manager 43 Concetti importanti relativi all'integrazione della directory 43 Integrazione con Active Directory 45 Integrazione con le directory LDAP 59 Aggiunta di una directory in seguito alla configurazione di failover e ridondanza 65 7 Utilizzo delle directory locali 67 Creazione di una directory locale 69 VMware, Inc. 3

4 Modifica delle impostazioni della directory locale 74 Eliminazione di una directory locale 75 8 Gestione delle impostazioni di amministrazione del connettore di VMware Identity Manager 76 Uso di certificati SSL per il connettore 77 Configurazione di un server Syslog per il connettore 79 Gestione delle password del connettore di VMware Identity Manager 80 Visualizzazione dei file di registro 81 Modifica dell'url del connettore 82 9 Eliminazione di un'istanza di VMware Identity Manager Connector 83 VMware, Inc. 4

5 Distribuzione cloud di VMware Identity Manager include informazioni sugli scenari di distribuzione disponibili per l'utilizzo del servizio cloud VMware Identity Manager. Contiene inoltre informazioni sull'installazione e la configurazione dell'appliance virtuale VMware Identity Manager Connector in modalità di connessione in sola uscita. Spiega anche come integrare la directory aziendale, nonché sincronizzare utenti e gruppi con il servizio VMware Identity Manager. Per informazioni sull'installazione e la configurazione dell'appliance virtuale VMware Identity Manager Connector in modalità legacy, vedere Installazione e configurazione di VMware Identity Manager Connector (modalità legacy). Per informazioni sull'utilizzo di VMware Identity Manager con VMware Workspace ONE UEM, vedere le sezioni pertinenti del presente documento, Guida alla distribuzione di Workspace ONEe la documentazione di Workspace ONE UEM. Destinatari Le informazioni sono destinate ad amministratori di sistemi Windows e Linux esperti che hanno familiarità con le tecnologie VMware e in particolare con vcenter, ESX e vsphere, nonché con i concetti relativi alle reti, ad Active Directory e ai database. La conoscenza di altre tecnologie, come l'autenticazione adattiva RSA, RSA SecurID e RADIUS, è inoltre utile se si desidera implementare queste funzionalità. Glossario delle pubblicazioni tecniche di VMware Il sito delle pubblicazioni tecniche di VMware fornisce un glossario di termini che potrebbero risultare poco familiari. Per le definizioni dei termini utilizzati nella documentazione tecnica di VMware, consultare la pagina VMware, Inc. 5

6 Modelli di distribuzione 1 Per utilizzare il tenant di VMware Identity Manager, è necessario un componente locale per l'autenticazione utente e l'integrazione della directory. Sono disponibili due tipi principali di modelli di distribuzione: uno che si integra con una distribuzione di Workspace ONE UEM e uno che non richiede Workspace ONE UEM e utilizza il connettore di VMware Identity Manager. È possibile combinare i modelli di distribuzione se sono necessarie funzionalità che non sono supportate in uno dei modelli. Modello di distribuzione mediante AirWatch Cloud Connector Se si dispone già di una distribuzione di Workspace ONE UEM, è possibile integrare rapidamente il tenant di VMware Identity Manager con tale distribuzione. In questo modello, la sincronizzazione di utenti e gruppi dalla directory aziendale e l'autenticazione degli utenti vengono gestite da Workspace ONE UEM. Non sono necessari altri requisiti di distribuzione per VMware Identity Manager. Si noti che questo modello non supporta l'integrazione di VMware Identity Manager con risorse come Horizon 7 e risorse pubblicate da Citrix. È supportata solo l'integrazione con le applicazioni Web e le applicazioni mobili native. Vedere Modello di distribuzione mediante AirWatch Cloud Connector. Modello di distribuzione mediante il connettore di VMware Identity Manager (nella modalità di connessione in sola uscita) Per utilizzare il tenant di VMware Identity Manager in uno scenario che non richiede una distribuzione di Workspace ONE UEM, è necessario installare l'appliance virtuale del connettore di VMware Identity Manager in locale. Il connettore consente di connettere il tenant con in locale come Active Directory. In questo modello, gli utenti e i gruppi vengono sincronizzati dalla directory aziendale e l'autenticazione degli utenti viene gestita tramite il connettore di VMware Identity Manager. Il connettore viene installato in modalità di connessione in sola uscita e non richiede che la porta 443 del firewall in entrata sia aperta. Vedere Modello di distribuzione mediante il connettore di VMware Identity Manager nella modalità di connessione in sola uscita. Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione VMware, Inc. 6

7 Per gli utenti interni è possibile aggiungere l'autenticazione Kerberos, che richiede la modalità di connessione in entrata, alla distribuzione basata su connettori in modalità di connessione in sola uscita. Vedere Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione. Modello di distribuzione legacy di VMware Identity Manager Il connettore di VMware Identity Manager può essere installato anche in modalità legacy, che richiede l'apertura della porta 443 del firewall in entrata per il connettore. Per informazioni sull'installazione e la configurazione del connettore in questo modello, vedere Installazione e configurazione del connettore di VMware Identity Manager (modalità legacy). Questo capitolo include i seguenti argomenti: Modello di distribuzione mediante AirWatch Cloud Connector Modello di distribuzione mediante il connettore di VMware Identity Manager nella modalità di connessione in sola uscita Modello di distribuzione mediante AirWatch Cloud Connector Se si dispone già di una distribuzione di Workspace ONE UEM, è possibile integrare il tenant di VMware Identity Manager con tale distribuzione. In questo modello, la sincronizzazione di utenti e gruppi dalla directory aziendale e l'autenticazione degli utenti vengono gestite da Workspace ONE UEM. Non sono necessari altri requisiti di distribuzione per VMware Identity Manager. Si noti che questo modello non supporta l'integrazione di VMware Identity Manager con risorse come Horizon 7 o risorse pubblicate da Citrix. È supportata solo l'integrazione con le applicazioni Web e le applicazioni mobili native. VMware, Inc. 7

8 Figura 1 1. Utilizzo di AirWatch Cloud Connector On-premise Tenant VMware Identity Manager sincronizzazione utente/gruppo autenticazione utente Tenant AirWatch richiesta risposta HTTPS 443 (in sola uscita) AirWatch Cloud Connector Active Directory/ altri servizi directory Prerequisiti Devono essere presenti i componenti seguenti. Un tenant di VMware Identity Manager Un tenant di Workspace ONE UEM Un'istanza di AirWatch Cloud Connector distribuita in locale e integrata con la directory aziendale Requisiti delle porte Non sono necessari altri requisiti delle porte per VMware Identity Manager. Il tenant di VMware Identity Manager comunica solo con il tenant di Workspace ONE UEM. Per i requisiti di distribuzione di Workspace ONE UEM, consultare la documentazione di Workspace ONE UEM. Metodi di autenticazione supportati Questo modello di distribuzione supporta i metodi di autenticazione seguenti. Questi metodi sono disponibili mediante il provider di identità integrato di VMware Identity Manager. Password (AirWatch Connector) SSO mobile (per ios) SSO mobile (per Android) VMware, Inc. 8

9 Conformità dispositivo (con AirWatch) Certificato (distribuzione cloud) VMware Verify È inoltre disponibile SAML in entrata mediante un provider di identità di terze parti. Integrazioni di directory supportate Integrare la directory aziendale con Workspace ONE UEM. Per informazioni sui tipi di directory supportati, consultare la documentazione di Workspace ONE UEM. Risorse supportate In questa distribuzione, è possibile integrare i tipi di risorse seguenti con VMware Identity Manager. applicazioni Web Applicazioni mobili native In questa distribuzione, non è possibile integrare le risorse seguenti con VMware Identity Manager. Pool di applicazioni e desktop di VMware Horizon 7, Horizon 6 o View risorse pubblicate da Citrix Applicazioni e desktop di VMware Horizon Cloud Service Applicazioni compresse VMware ThinApp Informazioni aggiuntive Per ulteriori informazioni, consultare la documentazione seguente. Guida alla distribuzione di VMware Workspace ONE Documentazione di Workspace ONE UEM Importante Il resto del presente documento non riguarda il modello di distribuzione di Workspace ONE UEM. Riguarda solo i modelli di distribuzione che utilizzano il connettore di VMware Identity Manager nella modalità di connessione in sola uscita. VMware, Inc. 9

10 Modello di distribuzione mediante il connettore di VMware Identity Manager nella modalità di connessione in sola uscita Per utilizzare il tenant di VMware Identity Manager senza una distribuzione di Workspace ONE UEM, è possibile installare l'appliance virtuale del connettore di VMware Identity Manager in locale nella modalità di connessione in sola uscita. In questo modello, gli utenti e i gruppi vengono sincronizzati dalla directory aziendale e l'autenticazione degli utenti viene gestita tramite il connettore di VMware Identity Manager. Si noti che alcuni metodi di autenticazione non richiedono il connettore e vengono gestiti direttamente dal servizio. Il connettore consente inoltre di sincronizzare risorse, come desktop e applicazioni di Horizon 7, con il servizio VMware Identity Manager. Figura 1 2. Utilizzo del connettore di VMware Identity Manager On-premise 1 1 Tenant VMware Identity Manager 2 3 Canale Websocket richiesta risposta HTTPS 443 (in sola uscita) Connettore VMware Identity Manager Active Directory/ LDAP Servizi facoltativi Autenticazione adattiva RSA SecurID RSA Server RADIUS Server di connessione di View Integration Broker Farm Citrix Requisiti delle porte Il connettore viene installato in modalità di connessione in sola uscita e non richiede che la porta 443 in entrata sia aperta. Il connettore comunica con il servizio VMware Identity Manager tramite un canale di comunicazione basato su Websocket. Per informazioni sull'elenco delle porte utilizzate, vedere Requisiti di configurazione di sistema e di rete. VMware, Inc. 10

11 Metodi di autenticazione supportati Questo modello di distribuzione supporta tutti i metodi di autenticazione. Alcuni di questi metodi di autenticazione non richiedono il connettore e vengono gestiti direttamente dal servizio mediante il provider di identità integrato. Password - Utilizza il connettore Autenticazione adattiva RSA - Utilizza il connettore RSA SecurID - Utilizza il connettore RADIUS - Utilizza il connettore Certificato (distribuzione cloud) - Mediante il provider di identità integrato VMware Verify - Mediante il provider di identità integrato SSO mobile (ios) - Mediante il provider di identità integrato SSO mobile (Android) - Mediante il provider di identità integrato SAML in entrata mediante un provider di identità di terze parti Nota Per informazioni sull'utilizzo di Kerberos, vedere Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione. Integrazioni di directory supportate È possibile integrare i tipi seguenti di directory aziendali con VMware Identity Manager. Active Directory su LDAP Active Directory, Autenticazione integrata di Windows Directory LDAP Se si intende integrare una directory LDAP, vedere innanzitutto Limitazioni dell'integrazione della directory LDAP. In alternativa, è possibile utilizzare il provisioning Just-in-Time per creare utenti nel servizio VMware Identity Manager in modo dinamico all'accesso utilizzando dichiarazioni SAML inviate da un provider di identità di terze parti. Risorse supportate È possibile integrare con VMware Identity Manager i seguenti tipi di risorse: applicazioni Web Pool di applicazioni e desktop di VMware Horizon 7, Horizon 6 o View risorse pubblicate da Citrix Applicazioni e desktop di VMware Horizon Cloud Service VMware, Inc. 11

12 Applicazioni compresse ThinApp Informazioni aggiuntive Il resto del presente documento contiene informazioni sull'installazione e la configurazione del connettore di VMware Identity Manager. Le informazioni si applicano solo per il modello di distribuzione che utilizza il connettore VMware Identity Manager in modalità di connessione in sola uscita. Vedere anche "configurazione dell'autenticazione degli utenti in VMware Identity Manager" nella Guida all'amministrazione di VMware Identity Manager. Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione Per gli utenti interni è possibile aggiungere l'autenticazione Kerberos, che richiede la modalità di connessione in entrata, alla distribuzione basata sui connettori di VMware Identity Manager in modalità di connessione in sola uscita. Gli stessi connettori possono essere configurati in modo da utilizzare l'autenticazione Kerberos per gli utenti che appartengono alla rete interna e un altro metodo di autenticazione per gli utenti che si trovano all'esterno. È possibile ottenere questo risultato definendo criteri di autenticazione basati su intervalli di rete. Nota Il processo per configurare la disponibilità elevata dell'autenticazione Kerberos è diverso. Per ulteriori informazioni, vedere Capitolo 5Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity Manager Connector. VMware, Inc. 12

13 Preparazione dell'installazione di VMware Identity Manager Connector 2 VMware Identity Manager Connector è un'appliance virtuale che viene distribuita nell'ambiente vsphere locale. Prima di distribuire il connettore, esaminare i requisiti ed eseguire le attività necessarie. Questo capitolo include i seguenti argomenti: Requisiti di configurazione di sistema e di rete Creazione di record DNS e indirizzi IP Checklist di distribuzione Requisiti di configurazione di sistema e di rete Quando si prendono decisioni relative ai requisiti hardware, delle risorse e di rete, è consigliabile tenere presente l'intera distribuzione, incluse le risorse che si intende integrare. Versioni supportate di vsphere e ESX Installare l'appliance virtuale in vcenter Server. Sono supportate le seguenti versioni del server vsphere e ESX: 5.5 e versioni successive 6.0 e versioni successive Per distribuire il file OVA e accedere da remoto all'appliance virtuale distribuita, è necessario VMware vsphere Web Client. Requisiti dell'appliance virtuale del connettore di VMware Identity Manager Assicurarsi che vengano soddisfatte le condizioni per il numero di server e le risorse allocate a ogni server. Numero di utenti Fino a Numero di server del connettore 1 server 2 server con bilanciamento del carico 2 server con bilanciamento del carico 2 server con bilanciamento del carico 2 server con bilanciamento del carico CPU (per server) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU VMware, Inc. 13

14 Numero di utenti Fino a RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB Spazio su disco (per server) 60 GB 60 GB 60 GB 60 GB 60 GB Requisiti di configurazione di rete Componente Record DNS e indirizzo IP statico Porta firewall Requisito minimo Vedere Creazione di record DNS e indirizzi IP. Assicurarsi che la porta 443 del firewall in uscita sia aperta dall'istanza del connettore all'url di VMware Identity Manager. Requisiti delle porte Le porte utilizzate nella configurazione del server connettore sono descritte di seguito. La propria distribuzione può includere solo una serie di queste porte. Porta Origine Destinazione Descrizione 443 Appliance virtuale del connettore 443 Appliance virtuale del connettore 443, 80 Appliance virtuale del connettore Host del servizio di VMware Identity Manager Bilanciamento del carico del servizio di VMware Identity Manager vapp-updates.vmware.com HTTPS HTTPS Accesso al server di aggiornamento 8443 Browser Appliance virtuale del connettore 443 Browser Appliance virtuale del connettore HTTPS Porta amministratore HTTPS Questa porta è necessario solo per un connettore utilizzato in modalità in entrata. Se sul connettore è configurata l'autenticazione Kerberos, questa porta è obbligatoria. 389, 636, 3268, 3269 Appliance virtuale del connettore 5500 Appliance virtuale del connettore Active Directory Sistema RSA SecurID Sono mostrati i valori predefiniti. Queste porte sono configurabili. È visualizzato il valore predefinito. Questa porta è configurabile. VMware, Inc. 14

15 Porta Origine Destinazione Descrizione 53 Appliance virtuale del connettore 88, 464, 135, 445 Appliance virtuale del connettore 389, 443 Appliance virtuale del connettore 445 Appliance virtuale del connettore 80, 443 Appliance virtuale del connettore 514 Appliance virtuale del connettore Server DNS Controller del dominio Server di connessione di View Repository di VMware ThinApp Server Integration Broker server syslog TCP/UDP Ogni appliance virtuale deve avere accesso al server DNS sulla porta 53 e consentire il traffico SSH sulla porta 22 TCP/UDP Accesso alle istanze del server di connessione di View per le integrazioni Horizon/View Accesso al repository ThinApp TCP Connessione al server Integration Broker. L'opzione della porta dipende dal fatto che nel server Integration Broker sia installato o meno un certificato. UDP Per server syslog esterno, se configurato Directory supportate L'integrazione di VMware Identity Manager con la directory aziendale consente di sincronizzare utenti e gruppi dalla directory aziendale al servizio. È possibile integrare i tipi di directory seguenti. Un ambiente Active Directory costituito da un singolo dominio di Active Directory, più domini in una singola foresta di Active Directory o più domini in più foreste di Active Directory. VMware Identity Manager supporta Active Directory in Windows 2008, 2008 R2, 2012 e 2012 R2, con un livello di funzionalità del dominio e della foresta di Windows 2003 e versioni successive. Nota Per alcune funzioni può essere necessario un livello più elevato. Ad esempio, per consentire agli utenti di cambiare la password di Active Directory da Workspace ONE, il livello di funzionalità del dominio deve essere Windows 2008 o versione successiva. Una directory LDAP. La directory deve essere accessibile per l'appliance virtuale di connettore. Nota È inoltre possibile creare directory locali nel servizio VMware Identity Manager. VMware, Inc. 15

16 Browser Web supportati per l'accesso alla console di amministrazione La console di amministrazione di VMware Identity Manager è un'applicazione basata su Web utilizzata per gestire il tenant. È possibile accedere a console di amministrazione dalle versioni più recenti di Google Chrome, Mozilla Firefox, Safari, Microsoft Edge e Internet Explorer 11. Nota In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazione tramite VMware Identity Manager. Browser supportati per l'accesso al portale Workspace ONE Gli utenti finali possono accedere al portale Workspace ONE dai seguenti browser. Mozilla Firefox (versione più recente) Google Chrome (versione più recente) Safari (versione più recente) Internet Explorer 11 Browser Microsoft Edge Browser nativo e Google Chrome su dispositivi Android Safari su dispositivi ios Nota In Internet Explorer 11, è necessario attivare JavaScript e permettere i cookie per l'autenticazione tramite VMware Identity Manager. Creazione di record DNS e indirizzi IP Per l'istanza di del connettore devono essere disponibili una voce DNS e un indirizzo IP statico. Poiché ciascuna azienda amministra i suoi indirizzi IP e i record DNS in maniera differente, prima di iniziare l'installazione richiedere il record DNS e gli indirizzi IP da utilizzare. La configurazione della ricerca inversa è facoltativa. Quando si implementa la ricerca inversa, è necessario definire un record PTR sul server DNS in modo che l'appliance virtuale utilizzi la configurazione di rete corretta. È possibile utilizzare il seguente elenco di record DNS di esempio quando si consulta l'amministratore di rete. Sostituire le informazioni di esempio con le informazioni del proprio ambiente. Questo esempio riporta i record DNS di inoltro e gli indirizzi IP. Tabella 2 1. Esempi di record DNS di inoltro e indirizzi IP Nome di dominio Tipo di risorsa Indirizzo IP myidentitymanager.example.com Un VMware, Inc. 16

17 Questo esempio riporta i record DNS inverso e gli indirizzi IP. Tabella 2 2. Esempi di record DNS inverso e indirizzi IP Indirizzo IP Tipo di risorsa Nome host PTR myidentitymanager.example.com Dopo aver completato la configurazione DNS, verificare che la ricerca DNS inversa sia configurata correttamente. Ad esempio, il comando dell'appliance virtuale host IPaddress deve essere risolto sulla ricerca del nome DNS. Pianificazione per l'autenticazione Kerberos Se si intende configurare l'autenticazione Kerberos, si noti che il nome host del connettore deve corrispondere al dominio di Active Directory a cui è stato aggiunto il connettore. Se ad esempio il dominio Active Directory è sales.example.com, il nome host del connettore deve essere connectorhost.sales.example.com. Se non è possibile assegnare un nome host che corrisponda alla struttura di dominio Active Directory, è necessario configurare il connettore e Active Directory manualmente. Consultare la Knowledge Base per informazioni. Uso di un server DNS basato su Unix/Linux Se si utilizza un server DNS basato su Unix o Linux e si desidera inserire l'istanza di del connettore nel dominio di Active Directory, assicurarsi che i record di risorse del servizio appropriati (SRV) siano stati creati per ogni controller del dominio di Active Directory. Nota Se è presente un programma di bilanciamento del carico con un indirizzo IP virtuale (VIP) prima dei server DNS, si noti che VMware Identity Manager non supporta l'utilizzo di un VIP. È possibile specificare più server DNS separati da una virgola. Checklist di distribuzione Utilizzare la checklist di distribuzione per raccogliere le informazioni necessarie per installare l'appliance virtuale di connettore. VMware, Inc. 17

18 Informazioni per il nome di dominio completo Tabella 2 3. Checklist di informazioni per il nome di dominio completo (FQDN, Fully Qualified Domain Name) Informazioni da raccogliere Nome di dominio completo di connettore Visualizzazione delle informazioni Nota Se si intende configurare l'autenticazione Kerberos, il nome host del connettore deve corrispondere al dominio di Active Directory a cui è unito il connettore. Se ad esempio il dominio Active Directory è sales.example.com, il nome host del connettore deve essere connectorhost.sales.example.com. Se non è possibile assegnare un nome host che corrisponda alla struttura di dominio Active Directory, è necessario configurare il connettore e Active Directory manualmente. Consultare la Knowledge Base per informazioni. Informazioni di rete per l'appliance virtuale di Connettore Tabella 2 4. Checklist di informazioni per la rete Informazioni da raccogliere Indirizzo IP Visualizzazione delle informazioni Nota È necessario utilizzare un indirizzo IP statico con un PTR e un record A definiti in DNS. Nome DNS per questa appliance virtuale Indirizzo gateway predefinito Maschera di rete o prefisso Informazioni sulla directory VMware Identity Manager supporta l'integrazione con ambienti di directory Active Directory o LDAP. Tabella 2 5. Checklist di informazioni per il controller del dominio di Active Directory Informazioni da raccogliere Visualizzazione delle informazioni Nome server Active Directory Nome dominio di Active Directory Nome distinto di base Per Active Directory su LDAP, il nome utente e la password di Nome distinto di binding Per Active Directory con l'autenticazione integrata di Windows, il nome utente e la password dell'account con i privilegi per unire i computer al dominio. VMware, Inc. 18

19 Tabella 2 6. Checklist di informazioni per il server di directory LDAP Informazioni da raccogliere Visualizzazione delle informazioni Nome server o indirizzo IP della directory LDAP Numero di porta server di directory LDAP Nome distinto di base Nome utente e password di Nome distinto di binding Filtri di ricerca LDAP per gli oggetti gruppo, gli oggetti dell'utente di binding e gli oggetti utente Nomi di attributi LDAP per l'appartenenza, l'uuid oggetto e il nome distinto (DN, distinguished name) Certificati SSL È possibile aggiungere un certificato SSL dopo aver distribuito l'appliance virtuale di connettore. Tabella 2 7. Checklist di informazioni per i certificati SSL Informazioni da raccogliere Visualizzazione delle informazioni certificato SSL Chiave privata VMware, Inc. 19

20 Distribuzione del connettore di VMware Identity Manager 3 Per distribuire il connettore di VMware Identity Manager, installare l'appliance virtuale del connettore in vcenter Server, accenderla e attivarla utilizzando un codice di attivazione generato nella console di VMware Identity Manager. È inoltre necessario configurare le impostazioni dell'appliance, ad esempio le password. Dopo aver installato e configurato il connettore, passare alla console di VMware Identity Manager per configurare la connessione alla directory aziendale, abilitare gli adattatori di autenticazione nel connettore, nonché abilitare la modalità in uscita per il connettore. 1 Generazione del codice di attivazione per il connettore Prima di installare il connettore di VMware Identity Manager, accedere alla console di amministrazione del tenant di VMware Identity Manager come amministratore locale e generare un codice di attivazione per il connettore. Questo codice di attivazione viene utilizzato per stabilire la comunicazione tra il tenant e l'istanza del connettore. 2 Installazione e configurazione dell'appliance virtuale del connettore Per distribuire il connettore, installare l'appliance virtuale del connettore in vcenter Server mediante vsphere Web Client, accenderla e attivarla utilizzando il codice di attivazione generato nella console di VMware Identity Manager. 3 Configurazione di una directory Dopo aver distribuito l'appliance virtuale del connettore, configurare una directory nella console di VMware Identity Manager. È possibile sincronizzare utenti e gruppi della directory aziendale con il servizio VMware Identity Manager. 4 Abilitazione di adattatori di autenticazione in VMware Identity Manager Connector Sono disponibili diversi adattatori di autenticazione per VMware Identity Manager Connector in modalità in uscita, inclusi PasswordIdpAdapter, RSAAIdpAdapter, SecurIDAdapter e RadiusAuthAdapter. Configurare e abilitare gli adattatori che si intende utilizzare. 5 Abilitazione della modalità in uscita per VMware Identity Manager Connector Per abilitare la modalità di connessione in sola uscita per VMware Identity Manager Connector, associare il connettore al provider di identità integrato. VMware, Inc. 20

21 Generazione del codice di attivazione per il connettore Prima di installare il connettore di VMware Identity Manager, accedere alla console di amministrazione del tenant di VMware Identity Manager come amministratore locale e generare un codice di attivazione per il connettore. Questo codice di attivazione viene utilizzato per stabilire la comunicazione tra il tenant e l'istanza del connettore. Prerequisiti Si dispone dell'indirizzo del tenant di VMware Identity Manager. Ad esempio, mycompany.vmwareidentity.com. Dopo aver ricevuto la conferma, passare all'url del tenant e accedere alla console di VMware Identity Manager utilizzando le credenziali di amministratore locale ricevute. Procedura 1 Accedere alla console di VMware Identity Manager. 2 Fare clic su Accetto per accettare i termini e le condizioni. 3 Selezionare a scheda Gestione identità e accessi. 4 Fare clic su Configura. 5 Nella pagina Connettori, fare clic su Aggiungi connettore. 6 Immettere un nome per connettore. 7 Fare clic su Genera codice di attivazione. Il codice di attivazione verrà visualizzato nella pagina. VMware, Inc. 21

22 8 Copiare il codice di attivazione e salvarlo. Il codice di attivazione sarà necessario al momento della distribuzione del connettore. È ora possibile installare l'appliance virtuale del connettore. Installazione e configurazione dell'appliance virtuale del connettore Per distribuire il connettore, installare l'appliance virtuale del connettore in vcenter Server mediante vsphere Web Client, accenderla e attivarla utilizzando il codice di attivazione generato nella console di VMware Identity Manager. Prerequisiti Scaricare il file OVA del connettore dalla pagina del prodotto VMware Identity Manager su my.vmware.com. Aprire vsphere Web Client utilizzando il browser Firefox o Chrome. Non utilizzare Internet Explorer per distribuire il file OVA. VMware, Inc. 22

23 Identificare i record DNS e il nome host da utilizzare per l'appliance. Nota Se si intende configurare l'autenticazione Kerberos, il nome host del connettore deve corrispondere al dominio di Active Directory a cui è unito il connettore. Se ad esempio il dominio Active Directory è sales.example.com, il nome host del connettore deve essere connectorhost.sales.example.com. Se non è possibile assegnare un nome host che corrisponda alla struttura di dominio Active Directory, è necessario configurare il connettore e Active Directory manualmente. Consultare la Knowledge Base per informazioni. Procedura 1 In vsphere Web Client, fare clic con il pulsante destro del mouse su un oggetto di inventario in cui può essere distribuita una macchina virtuale, ad esempio un host, un cluster o una cartella e selezionare Distribuisci modello OVF. 2 Eseguire la procedura guidata Distribuisci modello OVF per distribuire il modello del connettore di VMware Identity Manager. a b c d e f Nella pagina Seleziona modello, selezionare File locale, fare clic su Sfoglia per selezionare il file OVA del connettore scaricato e fare clic su Avanti. Nella pagina Seleziona nome e posizione, immettere un nome univoco per l'appliance virtuale del connettore, selezionare un data center o una cartella come posizione di distribuzione e fare clic su Avanti. Nella pagina Seleziona risorsa, selezionare l'host, il cluster, il pool di risorse o l'istanza di vapp in cui si desidera eseguire l'appliance virtuale del connettore e fare clic su Avanti. Nella pagina Rivedi dettagli, esaminare i dettagli del modello del connettore e fare clic su Avanti. Nella pagina Accetta contratto di licenza, leggere e accettare il contratto di licenza, quindi fare clic su Avanti. Nella pagina Seleziona storage, selezionare l'archivio dati o il cluster dell'archivio dati in cui archiviare i file dell'appliance virtuale, quindi fare clic su Avanti. Selezionare inoltre il formato del disco virtuale per i file. Per gli ambienti di produzione, selezionare un formato Thick Provision. Utilizzare il formato Thin Provision per la valutazione e il testing. g Nella pagina Seleziona reti, selezionare la rete di destinazione a cui si desidera connettere l'appliance virtuale del connettore, quindi fare clic su Avanti. VMware, Inc. 23

24 h Nella pagina Personalizza modello, impostare le proprietà dell'applicazione e della rete. Opzione Proprietà dell'applicazione Descrizione Partecipa al Programma di Miglioramento dell'esperienza del Cliente VMware Questo prodotto partecipa al Programma di Miglioramento dell'esperienza del Cliente ("CEIP") di VMware. I dettagli relativi ai dati raccolti mediante il programma CEIP e gli scopi per cui vengono utilizzati da VMware sono disponibili sul sito Trust & Assurance Center all'indirizzo Se non si intende partecipare al programma CEIP di VMware per questo prodotto, deselezionare la casella di controllo. È inoltre possibile partecipare o abbandonare il programma CEIP per questo prodotto in qualsiasi momento dopo l'installazione. Nota Se la rete è configurata per accedere a Internet tramite un proxy HTTP, per inviare a VMware i dati raccolti mediante il programma CEIP, è necessario modificare le impostazioni del proxy nell'appliance virtuale del connettore. È possibile modificare le impostazioni del proxy dopo la distribuzione del connettore. Nota Il programma CEIP è applicabile solo per le installazioni locali di VMware Identity Manager. Effettuare le selezioni desiderate quando si installa il servizio VMware Identity Manager. È inoltre possibile partecipare o abbandonare il programma CEIP in qualsiasi momento dalla console di amministrazione dopo l'installazione. Impostazione fuso orario Selezionare il fuso orario corretto. Proprietà di rete Inserire i valori di DNS, Gateway predefinito, Indirizzo IPe Maschera di rete per configurare l'indirizzo IP statico per il connettore. Se uno dei quattro campi relativi agli indirizzi o il campo Nome host viene lasciato vuoto, verrà utilizzato DHCP. Nella casella di testo Nome host (FQDN), immettere il nome host completo da utilizzare per l'appliance virtuale del connettore. Se la casella viene lasciata vuota, la ricerca del nome dell'host viene effettuata mediante il DNS inverso. i Nella pagina Pronto per il completamento, rivedere le selezioni, apportare le modifiche eventualmente necessarie e fare clic su Fine. A seconda della velocità di rete, possono essere necessari alcuni minuti per la distribuzione. 3 Quando la distribuzione è completata e l'appliance virtuale del connettore viene visualizzata sotto l'oggetto di inventario in cui è stata distribuita, fare clic con il pulsante destro del mouse sull'appliance virtuale del connettore e selezionare Accensione > Accendi. L'appliance virtuale del connettore viene inizializzata. È possibile passare alla scheda Riepilogo e fare clic sulla console dell'appliance virtuale per visualizzare i dettagli. Al termine dell'inizializzazione dell'appliance virtuale, nella console vengono visualizzati la versione del connettore e l'url per la Procedura guidata di configurazione. 4 Per eseguire la Procedura guidata di configurazione, immettere nel browser l'url del connettore visualizzato nella console dell'appliance virtuale, ovvero VMware, Inc. 24

25 5 Nella pagina di benvenuto, fare clic su Continua. 6 Creare password complesse per i seguenti account di amministratori dell'appliance virtuale del connettore. Le password complesse devono essere almeno di otto caratteri e comprendere lettere maiuscole e minuscole, nonché almeno un numero e un carattere speciale. Opzione Amministratore dell'appliance Descrizione Creare la password per l'amministratore dell'appliance. Il nome utente è admin e non può essere modificato. L'account e la password consentono di accedere ai servizi del connettore per gestire i certificati, le password dell'appliance e la configurazione di syslog. Importante La password dell'utente admin deve essere di almeno 6 caratteri. Account radice Account dell'utente SSH Per installare l'appliance del connettore, è stata utilizzata una password radice predefinita di VMware. Creare una nuova password radice. Creare la password da utilizzare per l'accesso remoto all'appliance del connettore. 7 Fare clic su Continua. 8 Nella pagina Attiva connettore, incollare il codice di attivazione e fare clic su Continua. Il codice di attivazione viene verificato e viene stabilita la comunicazione tra il servizio VMware Identity Manager e l'istanza del connettore. La configurazione di connettore è completa. Operazioni successive Fare clic sul collegamento nella pagina Configurazione completata per passare alla console di VMware Identity Manager. Accedere con il nome utente e la password dell'amministratore temporanei ricevuti per il tenant. Configurare quindi la connessione della directory. Configurazione di una directory Dopo aver distribuito l'appliance virtuale del connettore, configurare una directory nella console di VMware Identity Manager. È possibile sincronizzare utenti e gruppi della directory aziendale con il servizio VMware Identity Manager. VMware Identity Manager supporta l'integrazione dei tipi di directory seguenti. Active Directory su LDAP Active Directory, Autenticazione integrata di Windows directory LDAP VMware, Inc. 25

26 Vedere Capitolo 6Integrazione della directory aziendale con VMware Identity Manager per ulteriori informazioni. Nota È inoltre possibile creare directory locali nel servizio VMware Identity Manager. Vedere Capitolo 7Utilizzo delle directory locali. Procedura 1 Fare clic sul collegamento nella pagina Configurazione completata, che viene visualizzata dopo l'attivazione del connettore. Verrà visualizzata la scheda Gestione identità e accessi > Directory. 2 Fare clic su Aggiungi directory e selezionare il tipo di directory che si desidera aggiungere. 3 Eseguire la procedura guidata per immettere le informazioni di configurazione della directory, selezionare gli utenti e i gruppi da sincronizzare e sincronizzare gli utenti con il servizio VMware Identity Manager. Per informazioni su come configurare una directory, vedere Capitolo 6Integrazione della directory aziendale con VMware Identity Manager. Operazioni successive Fare clic sulla scheda Utenti e gruppi e verificare che gli utenti siano stati sincronizzati. Abilitazione di adattatori di autenticazione in VMware Identity Manager Connector Sono disponibili diversi adattatori di autenticazione per VMware Identity Manager Connector in modalità in uscita, inclusi PasswordIdpAdapter, RSAAIdpAdapter, SecurIDAdapter e RadiusAuthAdapter. Configurare e abilitare gli adattatori che si intende utilizzare. Quando si crea la directory, il metodo di autenticazione Password viene automaticamente abilitato per la directory. PasswordIdpAdapter viene configurato con le informazioni specificate per la directory. Procedura 1 Nella console di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi. 2 Fare clic su Configura, quindi sulla scheda Connettori. Il connettore distribuito è presente nell'elenco. 3 Fare clic sul collegamento nella colonna Worker. 4 Fare clic sulla scheda Adattatori autenticazione. Tale scheda include un elenco di tutti gli adattatori di autenticazione disponibili per il connettore. Se è già stata configurata una directory, PasswordIdpAdapter è già configurato e abilitato con le informazioni di configurazione specificate durante la creazione della directory. VMware, Inc. 26

27 5 Configurare e abilitare gli adattatori di autenticazione che si desidera utilizzare facendo clic sul relativo collegamento e immettendo le informazioni di configurazione. È necessario abilitare almeno un adattatore di autenticazione. Per informazioni sulla configurazione di adattatori di autenticazione specifici, vedere la guida all'amministrazione di VMware Identity Manager. Ad esempio: VMware, Inc. 27

28 Abilitazione della modalità in uscita per VMware Identity Manager Connector Per abilitare la modalità di connessione in sola uscita per VMware Identity Manager Connector, associare il connettore al provider di identità integrato. Il provider di identità integrato è disponibile per impostazione predefinita nel servizio VMware Identity Manager e fornisce ulteriori metodi di autenticazione integrati come VMware Verify. Per informazioni sul provider di identità integrato, vedere la guida all'amministrazione di VMware Identity Manager. Nota Il connettore può essere utilizzato nella modalità in uscita e nella modalità normale contemporaneamente. Anche se si abilita la modalità in uscita, è comunque possibile configurare l'autenticazione Kerberos per gli utenti interni mediante criteri e metodi di autenticazione. Procedura 1 Nella console di VMware Identity Manager, selezionare la scheda Gestione identità e accessi, quindi fare clic su Configura. 2 Fare clic sulla scheda Provider di identità. 3 Fare clic sul collegamento Integrato. 4 Immettere le informazioni seguenti. Opzione Utenti Rete Connettori Descrizione Selezionare la directory o i domini che utilizzeranno il provider di identità integrato. Selezionare gli intervalli di rete che utilizzeranno il provider di identità integrato. Selezionare il connettore che è stato configurato. Nota Se in seguito si aggiungeranno altri connettori per la disponibilità elevata, selezionarli e aggiungerli tutti qui per associarli al provider di identità integrato. VMware Identity Manager distribuisce automaticamente il traffico tra tutti i connettori associati al provider di identità integrato. Non è necessario utilizzare un programma di bilanciamento del carico. Metodi di autenticazione del connettore Sono elencati i metodi di distribuzione abilitati per il connettore. Selezionare i metodi di autenticazione che si desidera utilizzare. L'adattatore PasswordIdpAdapter, che è stato automaticamente configurato e abilitato durante la creazione di una directory, viene visualizzato in questa pagina come Password (distribuzione cloud), a indicare che viene utilizzato con il connettore in modalità in uscita. Ad esempio: VMware, Inc. 28

29 5 Fare clic su Salva per salvare la configurazione del provider di identità integrato. 6 Modificare i criteri in modo che utilizzino i metodi di autenticazione abilitati. a b c d Nella scheda Gestione identità e accessi fare clic su Gestisci. Fare clic sulla scheda Criteri e quindi sul criterio che si desidera modificare. In Regole del criterio, fare clic sul collegamento nella colonna Metodo di autenticazione per la regola che si desidera modificare. Nella pagina Modifica regola del criterio selezionare il metodo di autenticazione che si desidera utilizzare per questa regola. VMware, Inc. 29

30 e f Fare clic su OK. Fare clic su Salva. Per ulteriori informazioni sulla configurazione dei criteri, vedere la guida all'amministrazione di VMware Identity Manager. La modalità in uscita del connettore è ora abilitata. Quando un utente accede utilizzando uno dei metodi di autenticazione abilitati per il connettore nella pagina del provider di identità integrato, non è necessario alcun reindirizzamento HTTP al connettore. VMware, Inc. 30

31 Configurazione della disponibilità elevata per VMware Identity Manager Connector 4 È possibile configurare VMware Identity Manager Connector per la disponibilità elevata e il failover aggiungendo più istanze del connettore in un cluster. Se per un motivo qualsiasi una delle istanze del connettore non è più disponibile, le altre istanze saranno comunque disponibili. Per creare un cluster, installare nuove istanze del connettore e configurarle esattamente come la prima istanza del connettore. È quindi necessario associare tutte le istanze dei connettori al provider di identità integrato. Il servizio VMware Identity Manager distribuisce automaticamente il traffico tra tutti i connettori associati al provider di identità integrato. Non è necessario utilizzare un programma di bilanciamento del carico. Se uno dei connettori non è più disponibile a causa di un problema di rete, il servizio non indirizza il traffico verso tale connettore. Quando la connettività viene ripristinata, il servizio riprende a indirizzare il traffico verso il connettore. Dopo aver configurato il cluster del connettore, i metodi di autenticazione abilitati nel connettore sono a disponibilità elevata. Se l'istanza di uno dei connettori non è disponibile, l'autenticazione è comunque disponibile. Per la sincronizzazione della directory, tuttavia, nel caso di un errore dell'istanza del connettore, sarà necessario selezionare manualmente un'altra istanza del connettore come connettore di sincronizzazione. La sincronizzazione delle directory può essere abilitata solo su un connettore alla volta. Nota Questa sezione non si applica alla disponibilità elevata dell'autenticazione Kerberos. Vedere Capitolo 5Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity Manager Connector. Questo capitolo include i seguenti argomenti: Installazione di istanze aggiuntive del connettore Configurazione dell'alta disponibilità per l'autenticazione Abilitazione della sincronizzazione delle directory in un altro connettore in caso di errore Installazione di istanze aggiuntive del connettore Dopo aver installato e configurato l'istanza del primo connettore, è possibile aggiungere altri connettori per la disponibilità elevata. Installare nuove appliance virtuali del connettore e configurarle esattamente come la prima istanza del connettore. VMware, Inc. 31

32 Prerequisiti È stata installata e configurata la prima istanza del connettore in base alla procedura descritta in Capitolo 3Distribuzione del connettore di VMware Identity Manager. Procedura 1 Installare e configurare l'istanza di un nuovo connettore utilizzando le istruzioni seguenti. Generazione del codice di attivazione per il connettore Installazione e configurazione dell'appliance virtuale del connettore 2 Associare il nuovo connettore con l'idp workspace dell'istanza del primo connettore. a b c d e Nella console di amministrazione, selezionare la scheda Gestione identità e accessi, quindi selezionare la scheda Provider di identità. Nella pagina Provider di identità, individuare l'idp workspace dell'istanza del primo connettore e fare clic sul collegamento. Nel campo Connettori, selezionare il nuovo connettore. Immettere la password del nome distinto di binding e fare clic su Aggiungi connettore. Fare clic su Salva. 3 Se si fa parte di un dominio di Active Directory nell'istanza del primo connettore, è necessario aggiungere il dominio anche nell'istanza del nuovo connettore. a Nella scheda Gestione identità e accessi fare clic su Configura. L'istanza del nuovo connettore viene inserita nella pagina Connettori. b Fare clic su Entra in dominio accanto al nuovo connettore e specificare le informazioni del dominio. Nota Per le directory di tipo Autenticazione integrata di Windows (IWA), è necessario effettuare le seguenti operazioni. a Aggiungere l'istanza del nuovo connettore al dominio a cui è stata aggiunta la directory IWA dell'istanza del connettore originale. 1 Selezionare la scheda Gestione identità e accessi, quindi fare clic su Configura. L'istanza del nuovo connettore viene inserita nella pagina Connettori. 2 Fare clic su Entra in dominio e specificare le informazioni del dominio. b Salvare la configurazione della directory IWA. 1 Selezionare la scheda Gestione identità e accessi. 2 Sulla pagina Directory, fare clic sul collegamento della directory IWA. 3 Fare clic su Salva per salvare la configurazione della directory. VMware, Inc. 32

33 4 Configurare e abilitare gli adattatori di autenticazione nel nuovo connettore. Importante Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configurati nello stesso modo. In tutti i connettori devono essere abilitati gli stessi metodi di autenticazione. a b c Nella scheda Gestione identità e accessi fare clic su Configura, quindi sulla scheda Connettori. Fare clic sul collegamento nella colonna Worker del nuovo connettore. Fare clic sulla scheda Adattatori autenticazione. Tale scheda include un elenco di tutti gli adattatori di autenticazione disponibili per il connettore. L'adattatore PasswordIdpAdapter è già configurato e abilitato perché il nuovo connettore è stato associato alla directory associata al primo connettore. d Configurare e abilitare gli altri adattatori di autenticazione in modo analogo al primo connettore. Assicurarsi che le informazioni relative alla configurazione siano identiche. Per informazioni sulla configurazione degli adattatori di autenticazione, vedere la Guida all'amministrazione di VMware Identity Manager. Operazioni successive Configurazione dell'alta disponibilità per l'autenticazione Configurazione dell'alta disponibilità per l'autenticazione Dopo aver distribuito e configurato le nuove istanze di VMware Identity Manager Connector, configurare l'alta disponibilità per l'autenticazione aggiungendo le nuove istanze al provider di identità integrato e abilitando gli stessi metodi di autenticazione abilitati nella prima istanza del connettore. VMware Identity Manager distribuisce automaticamente il traffico tra tutti i connettori associati al provider di identità integrato. Procedura 1 Nella scheda Gestione identità e accessi della console di amministrazione di VMware Identity Manager, fare clic su Gestione. 2 Fare clic sulla scheda Provider di identità. 3 Fare clic sul collegamento Integrato. 4 Nel campo Connettori, selezionare il nuovo connettore nell'elenco a discesa e fare clic su Aggiungi connettore. VMware, Inc. 33

34 5 Nella sezione Metodi di autenticazione del connettore abilitare gli stessi metodi di autenticazione abilitati per il primo connettore. Il metodo di autenticazione Password (distribuzione cloud) viene configurato e abilitato automaticamente. È necessario abilitare gli altri metodi di autenticazione. Importante Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configurati nello stesso modo. In tutti i connettori devono essere abilitati gli stessi metodi di autenticazione. Per informazioni sulla configurazione di adattatori di autenticazione specifici, vedere Amministrazione di VMware Identity Manager. 6 Fare clic su Salva per salvare la configurazione del provider di identità integrato. Abilitazione della sincronizzazione delle directory in un altro connettore in caso di errore Se si verifica un errore dell'istanza di un connettore, l'autenticazione viene gestita automaticamente dall'istanza di un altro connettore. Tuttavia, per la sincronizzazione della directory è necessario modificare le impostazioni della directory nel servizio VMware Identity Manager in modo da utilizzare l'istanza di un altro connettore al posto di quella originale. La sincronizzazione delle directory può essere abilitata solo su un connettore alla volta. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Gestione identità e accessi, quindi fare clic su Directory. 3 Fare clic sulla directory che era associata all'istanza del connettore originale. Suggerimento Queste informazioni sono disponibili nella pagina Configura > Connettori. 4 Nella sezione Sincronizzazione e autenticazione directory della pagina della directory, selezionare l'istanza di un altro connettore nell'elenco a discesa Sincronizza connettore. 5 Nella casella di testo Password nome distinto di binding, immettere la password dell'account di binding di Active Directory. 6 Fare clic su Salva. VMware, Inc. 34

35 Aggiunta del supporto dell'autenticazione Kerberos alla distribuzione di VMware Identity Manager Connector 5 Per gli utenti interni è possibile aggiungere l'autenticazione Kerberos, che richiede la modalità di connessione in entrata, alla distribuzione di connettori in modalità di connessione in uscita. Gli stessi connettori possono essere configurati in modo da utilizzare l'autenticazione Kerberos per gli utenti che appartengono alla rete interna e un altro metodo di autenticazione per gli utenti che provengono dalla rete interna. È possibile ottenere questo risultato definendo criteri di autenticazione basati su intervalli di rete. I requisiti e le considerazioni includono: È possibile configurare l'autenticazione Kerberos indipendentemente dal tipo di directory impostata in VMware Identity Manager, Active Directory su LDAP o Active Directory (autenticazione integrata di Windows). Il connettore deve essere aggiunto al dominio di Active Directory. Il nome host del connettore deve corrispondere al dominio Active Directory a cui è unito il connettore. Se ad esempio il dominio Active Directory è sales.example.com, il nome host del connettore deve essere connectorhost.sales.example.com. Se non è possibile assegnare un nome host che corrisponda alla struttura di dominio Active Directory, è necessario configurare il connettore e Active Directory manualmente. Consultare la Knowledge Base per informazioni. Ogni connettore su cui è configurata l'autenticazione Kerberos deve avere un certificato SSL attendibile. È possibile ottenere il certificato da un'autorità di certificazione interna. L'autenticazione Kerberos non funziona con i certificati autofirmati. Certificati SSL attendibili sono obbligatori indipendentemente dal fatto che si attivi Kerberos su un singolo connettore o su più connettori per l'alta disponibilità. Per configurare la disponibilità elevata per l'autenticazione Kerberos, è necessario un programma di bilanciamento del carico. Questo capitolo include i seguenti argomenti: Configurazione e abilitazione dell'adattatore di autenticazione Kerberos Configurazione della disponibilità elevata per l'autenticazione Kerberos VMware, Inc. 35

36 Configurazione e abilitazione dell'adattatore di autenticazione Kerberos Configurare e abilitare KerberosIdpAdapter in VMware Identity Manager Connector. Se è stato distribuito un cluster per la disponibilità elevata, configurare e abilitare l'adattatore in tutti i connettori nel cluster. Importante Gli adattatori di autenticazione di tutti i connettori nel cluster devono essere configurati nello stesso modo. In tutti i connettori è necessario abilitare gli stessi metodi di autenticazione. Per ulteriori informazioni sulla configurazione dell'autenticazione Kerberos, vedere la guida all'amministrazione di VMware Identity Manager. Prerequisiti Il connettore deve essere aggiunto al dominio di Active Directory. Il nome host del connettore deve corrispondere al dominio Active Directory a cui è unito il connettore. Se ad esempio il dominio Active Directory è sales.example.com, il nome host del connettore deve essere connectorhost.sales.example.com. Se non è possibile assegnare un nome host che corrisponda alla struttura di dominio Active Directory, è necessario configurare il connettore e Active Directory manualmente. Consultare la Knowledge Base per informazioni. Procedura 1 Nella console di amministrazione di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi. 2 Fare clic su Configura, quindi sulla scheda Connettori. Sono elencati tutti i connettori distribuiti. 3 Fare clic sul collegamento nella colonna Worker di uno dei connettori. 4 Fare clic sulla scheda Adattatori autenticazione. 5 Fare clic sul collegamento KerberosIdpAdapter, quindi configurare e abilitare l'adattatore. Opzione Nome Attributo UID di directory Abilita autenticazione di Windows Abilita NTLM Descrizione Il nome predefinito dell'adattatore è KerberosIdpAdapter, ma è possibile modificarlo. Attributo dell'account che contiene il nome utente. Selezionare questa opzione. Non è necessario selezionare questa opzione a meno che l'infrastruttura di Active Directory non si basi sull'autenticazione NTLM. Nota Questa opzione è supportata solo su VMware Identity Manager basato su Linux. VMware, Inc. 36

37 Opzione Attiva reindirizzamento Reindirizza nome host Descrizione Se si dispone di più connettori in un cluster e si intende configurare la disponibilità elevata di Kerberos utilizzando un programma di bilanciamento del carico, selezionare questa opzione e specificare un valore per Reindirizza nome host. Se la distribuzione include un solo connettore, non è necessario utilizzare le opzioni Attiva reindirizzamento e Reindirizza nome host. È necessario specificare un valore se è selezionata l'opzione Attiva reindirizzamento. Immettere il nome host del connettore. Ad esempio, se il nome host del connettore è connector1.esempio.com, immettere connector1.esempio.com nella casella di testo. Ad esempio: Per ulteriori informazioni sulla configurazione di KerberosIdPAdapter, vedere la guida all'amministrazione di VMware Identity Manager. 6 Fare clic su Salva. 7 Se è stato distribuito un cluster, configurare KerberosIdPAdapter in tutti i connettori nel cluster. Assicurarsi di configurare l'adattatore in modo identico in tutti i connettori, tranne che per il valore di Reindirizza nome Host, che deve essere specifico per ogni connettore. Operazioni successive Verificare che ogni connettore su cui è abilitato KerberosIdpAdapter disponga di un certificato SSL attendibile. È possibile ottenere il certificato da un'autorità di certificazione interna. L'autenticazione Kerberos non funziona con i certificati autofirmati. Certificati SSL attendibili sono obbligatori indipendentemente dal fatto che si attivi Kerberos su un singolo connettore o su più connettori per l'alta disponibilità. Configurare la disponibilità elevata per l'autenticazione Kerberos, se necessario. A tale scopo, è necessario utilizzare un programma di bilanciamento del carico. VMware, Inc. 37

38 Configurazione della disponibilità elevata per l'autenticazione Kerberos Per configurare la disponibilità elevata per l'autenticazione Kerberos, installare un bilanciamento del carico nel firewall della rete interna e aggiungere le istanze di VMware Identity Manager Connector al bilanciamento del carico. È inoltre necessario configurare determinate impostazioni nel bilanciamento del carico, stabilire l'attendibilità SSL tra il bilanciamento del carico e le istanze del connettore, nonché modificare l'url di autenticazione del connettore in modo che utilizzi il nome host del bilanciamento del carico. Configurazione delle impostazioni del programma di bilanciamento del carico Nel programma di bilanciamento del carico è necessario configurare determinate impostazioni, ad esempio impostando correttamente il timeout del programma di bilanciamento del carico e abilitando le sessioni sticky. Configurare queste impostazioni. Timeout del bilanciamento del carico Perché il VMware Identity Manager Connector funzioni correttamente, potrebbe essere necessario aumentare il valore di timeout richiesta del bilanciamento del carico dal valore predefinito. Il valore è impostato in minuti. Se il valore impostato per il timeout è troppo basso, è possibile che venga visualizzato il messaggio di errore seguente: Errore 502: Il servizio non è al momento disponibile. Abilita sessioni sticky Se nella distribuzione sono presenti più istanze del connettore, è necessario abilitare l'impostazione relativa alle sessioni sticky nel bilanciamento del carico. Il bilanciamento del carico collegherà quindi una sessione utente a una istanza specifica del connettore. Applicazione del certificato root di VMware Identity Manager Connector al bilanciamento del carico Quando VMware Identity Manager Connector è configurato con un bilanciamento del carico, è necessario stabilire una relazione di attendibilità SSL tra il bilanciamento del carico e il connettore. Il certificato root di connettore deve essere copiato nel bilanciamento del carico come certificato root attendibile. Il certificato di VMware Identity Manager Connector può essere scaricato dalle pagine di amministrazione del connettore all'indirizzo Se il nome di dominio del connettore punta al bilanciamento del carico, il certificato SSL può essere applicato solo al bilanciamento del carico. VMware, Inc. 38

39 Procedura 1 Accedere alle pagine di amministrazione del connettore all'indirizzo /cfg/login come utente amministratore. 2 Selezionare Installa certificati SSL. 3 Nella scheda Certificato server, fare clic sul collegamento nel campo Certificati CA root autofirmati dell'appliance. 4 Copiare quanto compreso tra le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE---- e incollare il certificato root nel percorso corretto di ognuno dei bilanciamenti del carico. Fare riferimento alla documentazione relativa al bilanciamento del carico. Operazioni successive Copiare e incollare il certificato root di bilanciamento del carico in VMware Identity Manager Connector. Applicazione del certificato root di bilanciamento del carico a VMware Identity Manager Connector Quando VMware Identity Manager Connector è configurato con un bilanciamento del carico, è necessario stabilire una relazione di attendibilità tra il bilanciamento del carico e il connettore. Oltre a copiare il certificato root del connettore nel bilanciamento del carico, è necessario copiare il certificato root del bilanciamento del carico nel connettore. Procedura 1 Ottenere il certificato root del bilanciamento del carico. VMware, Inc. 39

40 2 Passare alle pagine di amministrazione di VMware Identity Manager Connector all'indirizzo e accedere come utente amministratore. 3 Selezionare la scheda Installa certificati SSL > CA attendibili. 4 Incollare il testo del certificato del bilanciamento del carico nella casella di testo Certificato root o intermedio. 5 Fare clic su Aggiungi. Sostituzione del nome host del provider di identità del connettore con il nome host del programma di bilanciamento del carico Dopo aver aggiunto le istanze di VMware Identity Manager Connector al bilanciamento del carico, è necessario sostituire il nome host del provider di identità nel provider di identità di Workspace di ogni connettore con il nome host del bilanciamento del carico. Prerequisiti Le istanze del connettore vengono configurate con un bilanciamento del carico. Assicurarsi che la porta del bilanciamento del carico sia 443. Non utilizzare 8443 perché è il numero della porta amministrativa. Procedura 1 Accedere alla console di amministrazione di VMware Identity Manager. 2 Selezionare la scheda Gestione identità e accessi. 3 Fare clic sulla scheda Provider di identità. 4 Nella pagina Provider di identità, fare clic sul collegamento del provider di identità di Workspace per l'istanza del connettore. VMware, Inc. 40

41 5 Nella casella di testo Nome host IdP sostituire il nome host del connettore con il nome host del bilanciamento del carico. Ad esempio, se il nome host del connettore è myconnector e il nome host del bilanciamento del carico è mylb, sostituire l'url myconnector.mycompany.com:port VMware, Inc. 41

42 con il seguente: mylb.mycompany.com:port VMware, Inc. 42

43 Integrazione della directory aziendale con VMware Identity Manager 6 L'integrazione della directory aziendale con VMware Identity Manager consente di sincronizzare utenti e gruppi della directory aziendale con il servizio VMware Identity Manager. Sono supportati i seguenti tipi di directory. Active Directory su LDAP Active Directory, Autenticazione integrata di Windows directory LDAP Per integrare la directory aziendale, eseguire i passaggi seguenti. Specificare gli attributi che si desidera assegnare agli utenti nel servizio di VMware Identity Manager. Creare una directory nel servizio VMware Identity Manager dello stesso tipo della directory aziendale e specificare i dettagli della connessione. Associare gli attributi di VMware Identity Manager con gli attributi utilizzati in Active Directory o nella directory LDAP. Specificare gli utenti e i gruppi da sincronizzare. Sincronizzare utenti e gruppi. Dopo aver integrato la directory aziendale ed eseguito la sincronizzazione iniziale, è possibile aggiornare la configurazione, definire la pianificazione delle sincronizzazioni regolari e avviare manualmente una sincronizzazione. Questo capitolo include i seguenti argomenti: Concetti importanti relativi all'integrazione della directory Integrazione con Active Directory Integrazione con le directory LDAP Aggiunta di una directory in seguito alla configurazione di failover e ridondanza Concetti importanti relativi all'integrazione della directory Diversi concetti sono di fondamentale importanza per comprendere il modo in cui il servizio VMware Identity Manager si integra con il proprio ambiente di directory Active Directory o LDAP. VMware, Inc. 43

44 VMware Identity Manager Connector VMware Identity Manager Connector è un componente locale che viene distribuito nella rete aziendale. Il connettore esegue le funzioni indicate di seguito. Sincronizza i dati di utenti e gruppi dalla directory di Active Directory o LDAP con il servizio VMware Identity Manager. Quando viene utilizzato come provider di identità, esegue l'autenticazione degli utenti nel servizio VMware Identity Manager. Il connettore è il provider di identità predefinito. È anche possibile utilizzare provider di identità di terze parti che supportano il protocollo SAML 2.0. Utilizzare un provider di identità di terze parti per un tipo di autenticazione non supportato dal connettore o se il provider di identità di terze parti è preferibile in base ai propri criteri di sicurezza aziendale. Nota Se si utilizzano provider di identità di terze parti, è possibile configurare il connettore per la sincronizzazione dei dati di utenti e gruppi o per configurare il provisioning Just-in-Time degli utenti. Fare riferimento alla sezione Provisioning utente Just-in-Time in Amministrazione di VMware Identity Manager per maggiori informazioni. Directory Il servizio VMware Identity Manager ha il proprio concetto di directory, corrispondente alla directory di Active Directory o LDAP nel proprio ambiente. Questa directory utilizza gli attributi per definire utenti e gruppi. Creare una o più directory nel servizio, quindi sincronizzarle con la propria directory di Active Directory o LDAP. È possibile creare nel servizio i tipi di directory indicati di seguito. Active Directory Active Directory su LDAP. Creare questo tipo di directory se si desidera connettersi a un singolo ambiente di dominio Active Directory. Per il tipo di directory Active Directory su LDAP, il connettore esegue il binding ad Active Directory utilizzando l'autenticazione di binding semplice. Active Directory, Autenticazione integrata di Windows. Creare questo tipo di directory se si desidera connettersi a un ambiente Active Directory con più domini o foreste. Il connettore esegue il binding ad Active Directory utilizzando Autenticazione integrata di Windows. Il tipo e il numero di directory create variano in base all'ambiente Active Directory, ad esempio dominio singolo o più domini, e al tipo di attendibilità utilizzata tra i domini. Nella maggior parte degli ambienti viene creata una directory. Directory LDAP Il servizio non ha accesso diretto alla propria directory di Active Directory o LDAP. Soltanto connettore ha accesso diretto. Pertanto, ogni directory creata nel servizio viene associata ad un'istanza del connettore. VMware, Inc. 44

45 Worker Quando si associa una directory ad un'istanza del connettore, il connettore crea una partizione per la directory associata denominata Worker. A un'istanza del connettore possono essere associati più Worker. Ciascun Worker agisce come provider di identità. Per ogni Worker è necessario definire e configurare i metodi di autenticazione. Il connettore sincronizza i dati di utenti e gruppi tra la directory di Active Directory o LDAP e il servizio tramite uno o più Worker. Importante In un'istanza del connettore non possono essere presenti due Worker del tipo Autenticazione integrata di Windows di Active Directory. Considerazioni relative alla sicurezza Per le directory aziendali integrate con il servizio VMware Identity Manager, le impostazioni di sicurezza, come le regole di complessità della password dell'utente e i criteri di blocco dell'account, devono essere specificate direttamente nella directory aziendale. VMware Identity Manager non ignora queste impostazioni. Integrazione con Active Directory L'integrazione di VMware Identity Manager con la distribuzione di Active Directory consente di sincronizzare utenti e gruppi da Active Directory a VMware Identity Manager. Vedere anche Concetti importanti relativi all'integrazione della directory. Ambienti Active Directory È possibile integrare il servizio in un ambiente Active Directory composto da un singolo dominio Active Directory, più domini in una singola foresta Active Directory o più domini in più foreste Active Directory. Ambiente con singolo dominio Active Directory Una distribuzione di Active Directory singola consente di sincronizzare gli utenti e i gruppi di un singolo dominio Active Directory. Per questo ambiente, quando si aggiunge una directory al servizio, selezionare l'opzione Active Directory su LDAP. Per ulteriori informazioni, vedere: Gestione degli attributi utente sincronizzati da Active Directory Autorizzazioni richieste per l'unione a un dominio (solo per appliance virtuale Linux) Configurazione della connessione di Active Directory al servizio VMware, Inc. 45

46 Ambiente con foresta Active Directory singola e multidominio Una distribuzione con una singola foresta Active Directory e multidominio consente di sincronizzare gli utenti e i gruppi da più domini Active Directory appartenenti a un'unica foresta. È possibile configurare il servizio per questo ambiente Active Directory come tipo di directory con autenticazione integrata di Windows e singola Active Directory oppure, in alternativa, come tipo di directory Active Directory su LDAP configurata con l'opzione di catalogo globale. L'opzione consigliata è creare il tipo di directory con autenticazione integrata di Windows e singola Active Directory. Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Per ulteriori informazioni, vedere: Gestione degli attributi utente sincronizzati da Active Directory Autorizzazioni richieste per l'unione a un dominio (solo per appliance virtuale Linux) Configurazione della connessione di Active Directory al servizio Se l'autenticazione integrata di Windows non funziona nel proprio ambiente di Active Directory, creare un tipo di directory Active Directory su LDAP e selezionare l'opzione del catalogo globale. Tra le limitazioni della selezione dell'opzione del catalogo globale vi sono: Gli attributi dell'oggetto di Active Directory che sono replicati sul catalogo globale sono identificati nello schema Active Directory come serie di attributi parziale (PAS, partial attribute set). Solo questi attributi sono disponibili per l'associazione degli attributi mediante il servizio. Se necessario, modificare lo schema per aggiungere o rimuovere gli attributi memorizzati nel catalogo globale. Il catalogo globale memorizza l'appartenenza al gruppo (l'attributo member) solo dei gruppi universali. Solo i gruppi universali sono sincronizzati con il servizio. Se necessario, modificare l'ambito di un gruppo da un dominio locale o globale a universale. L'account del Nome distinto di binding che viene definito quando si configura una directory nel servizio deve disporre delle autorizzazioni di lettura dell'attributo Token-Groups-Global-And- Universal (TGGAU). Quando Workspace ONE UEM è integrato con VMware Identity Manager e sono configurati più gruppi di organizzazioni di Workspace ONE UEM, l'opzione del catalogo globale di Active Directory non può essere utilizzata. Active Directory utilizza le porte 389 e 636 per le query LDAP standard. Per le query del catalogo globale, vengono invece utilizzate le porte 3268 e Se si aggiunge una directory per l'ambiente del catalogo globale, durante la configurazione specificare quanto riportato di seguito. Selezionare l'opzione Active Directory su LDAP. VMware, Inc. 46

47 Deselezionare la casella di controllo per l'opzione Questa directory supporta la posizione servizio DNS. Selezionare l'opzione Questa directory dispone di un catalogo globale. Se si seleziona questa opzione, il numero di porta del server cambia automaticamente in Inoltre, poiché il Nome distinto di base non è necessario durante la configurazione dell'opzione del catalogo globale, la casella di testo Nome distinto di base non viene visualizzata. Aggiungere il nome host del server Active Directory. Se Active Directory richiede un accesso s SSL, selezionare l'opzione Questa directory richiede che tutte le connessioni utilizzino SSL e incollare il certificato nella casella di testo fornita. Se si seleziona questa opzione, il numero di porta del server cambia automaticamente in Ambiente Active Directory multiforesta con relazioni di trust Una distribuzione Active Directory multiforesta con relazioni di trust consente di sincronizzare gli utenti e i gruppi da più domini Active Directory tra foreste in cui esistono relazioni di trust bidirezionale tra domini. Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Per ulteriori informazioni, vedere: Gestione degli attributi utente sincronizzati da Active Directory Autorizzazioni richieste per l'unione a un dominio (solo per appliance virtuale Linux) Configurazione della connessione di Active Directory al servizio Ambiente Active Directory multiforesta senza relazioni di trust Una distribuzione Active Directory multiforesta senza relazioni di trust consente di sincronizzare gli utenti e i gruppi da più domini Active Directory tra foreste senza una relazione di trust tra domini. Per questo ambiente occorre creare più directory nel servizio, una per ogni foresta. Il tipo di directory create nel servizio dipende dalla foresta. Per foreste con domini multipli, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Per una foresta con dominio singolo, selezionare l'opzione Active Directory su LDAP. Per ulteriori informazioni, vedere: Gestione degli attributi utente sincronizzati da Active Directory Autorizzazioni richieste per l'unione a un dominio (solo per appliance virtuale Linux) Configurazione della connessione di Active Directory al servizio Gestione degli attributi utente sincronizzati da Active Directory Durante la configurazione della directory del servizio VMware Identity Manager, è possibile selezionare filtri e attributi utente di Active Directory per specificare quali utenti sincronizzare nella directory di VMware Identity Manager. È possibile modificare gli attributi utente sincronizzati dalla console di VMware Identity Manager, scheda Gestione identità e accessi, Configurazione > Attributi utente. VMware, Inc. 47

48 Le modifiche apportate e salvate nella pagina Attributi utente vengono aggiunte alla pagina Attributi mappati nella directory di VMware Identity Manager. Le modifiche agli attributi vengono aggiornate nella directory alla successiva sincronizzazione con Active Directory. La pagina Attributi utente elenca gli attributi di directory predefiniti che possono essere mappati con gli attributi di Active Directory. È possibile selezionare gli attributi obbligatori e aggiungere altri attributi che si desidera sincronizzare con la directory. Quando si aggiungono attributi, al nome degli attributi che si immette viene applicata la distinzione tra maiuscole e minuscole. pertanto, ad esempio, indirizzo, Indirizzo e INDIRIZZO sono attributi diversi. Tabella 6 1. Attributi di Active Directory predefiniti da sincronizzazione nella directory Nome attributo directory VMware Identity Manager userprincipalname distinguishedname employeeid domain disabled (utente esterno disabilitato) phone lastname firstname username Mappatura predefinita nell'attributo di Active Directory userprincipalname distinguishedname employeeid canonicalname. Aggiunge il nome di dominio completo dell'oggetto. useraccountcontrol. Con flag UF_Account_Disable Quando un account è disabilitato, gli utenti non possono accedere alle rispettive applicazioni e risorse. Le risorse per cui erano autorizzati gli utenti non vengono rimosse dall'account, così che una volta rimosso il flag dall'account, gli utenti potranno nuovamente effettuare l'accesso e accedere alle risorse autorizzate. telephonenumber sn givenname mail samaccountname. I seguenti attributi non possono essere utilizzati come nomi di attributi personalizzati poiché il servizio VMware Identity Manager li utilizza internamente per la gestione delle identità degli utenti. externaluserdisabled employeenumber Selezione degli attributi per la sincronizzazione con la directory Quando si imposta la directory di VMware Identity Manager per la sincronizzazione con Active Directory, vengono definiti gli attributi degli utenti sincronizzati con la directory. Prima di configurare la directory, è possibile specificare nella pagina Attributi utente quali attributi predefiniti sono obbligatori e aggiungere ulteriori attributi da mappare agli attributi di Active Directory. Quando si configura la pagina Attributi utente prima che venga creata la directory, è possibile modificare gli attributi predefiniti obbligatori rendendoli non obbligatori, contrassegnare gli attributi come obbligatori e aggiungere attributi personalizzati. VMware, Inc. 48

49 Dopo aver creato la directory, è possibile modificare un attributo obbligatorio rendendolo non obbligatorio ed eliminare attributi personalizzati. Non è possibile modificare un attributo per renderlo obbligatorio. Procedura 1 Nella scheda Gestione identità e accessi della console di VMware Identity Manager, fare clic su Attributi utente. 2 Nella sezione Attributi predefiniti esaminare l'elenco di attributi obbligatori e apportare le modifiche appropriate in modo da riflettere gli attributi obbligatori. 3 Fare clic su Salva. Autorizzazioni richieste per l'unione a un dominio (solo per appliance virtuale Linux) In alcuni casi è necessario unire il connettore di VMware Identity Manager a un dominio. Per Active Directory su directory LDAP, è possibile unire un dominio dopo aver creato la directory. Per directory di tipo Active Directory (autenticazione integrata di Windows), il connettore viene automaticamente unito al dominio quando viene creata la directory. In entrambi gli scenari, vengono chiese all'utente delle credenziali. Per effettuare l'unione a un dominio, sono necessarie le credenziali di Active Directory, che hanno il privilegio di unire il computer a un dominio AD. In Active Directory questo è configurato con i seguenti diritti: Creare oggetti computer Eliminare oggetti computer Quando ci si aggiunge a un dominio, nella posizione predefinita di Active Directory viene creato un oggetto computer, a meno che non si specifichi un'unità organizzativa personalizzata. Se non si dispone di autorizzazioni sufficienti per aggiungersi a un dominio, eseguire i passaggi seguenti per aggiungersi al dominio. 1 Chiedere all'amministratore di Active Directory di creare l'oggetto del computer in Active Directory, in una posizione determinata dai criteri dell'azienda. Fornire il nome dell'host del connettore. Assicurarsi di fornire il nome di dominio completo, ad esempio server.example.com. Suggerimento È possibile visualizzare il nome dell'host nella colonna Nome host della pagina Connettori, all'interno della console di amministrazione. Per visualizzare la pagina Connettori, fare clic sul pulsante relativo alla gestione delle identità e degli accessi > Impostazione > Connettori. 2 Una volta creato l'oggetto computer, accedere al dominio utilizzando uno degli account utente del dominio nella console di VMware Identity Manager. Il comando di unione del dominio è disponibile nella pagina Connettori, alla quale si può accedere facendo clic sul pulsante relativo alla gestione delle identità e degli accessi > Impostazione > Connettori. VMware, Inc. 49

50 Opzione Dominio Utente del dominio Password del dominio Unità organizzativa (UO) Descrizione Selezionare o immettere il dominio di Active Directory a cui aggiungersi. Assicurarsi di immettere il nome di dominio completo. Ad esempio, server.example.com. Nome utente di un utente di Active Directory che dispone delle autorizzazione necessarie per aggiungere sistemi al dominio di Active Directory. Password dell'utente. (Facoltativa) Unità organizzativa (UO) dell'oggetto computer. Questa opzione consente di creare un oggetto computer nell'unità organizzativa specificata anziché nell'unità organizzativa dei computer predefinita. Ad esempio, ou=testou,dc=test,dc=example,dc=com. Importante Questo argomento riguarda solo il servizio VMware Identity Manager e le appliance virtuali Linux del connettore. Non riguarda il servizio VMware Identity Manager o il connettore in Windows. Configurazione della connessione di Active Directory al servizio Nella console di VMware Identity Manager, immettere le informazioni richieste per connettersi ad Active Directory e selezionare gli utenti e i gruppi da sincronizzare con la directory di VMware Identity Manager. Le opzioni di connessione di Active Directory sono Active Directory su LDAP o Active Directory (autenticazione integrata di Windows). Una connessione Active Directory su LDAP supporta la ricerca posizione servizio DNS. Prerequisiti (SaaS) Connettore installato e attivato. Nella pagina Attributi utente, selezionare quali attributi sono obbligatori e aggiungere altri attributi. Vedere Selezione degli attributi per la sincronizzazione con la directory. Creare un elenco di utenti e gruppi di Active Directory da sincronizzare da Active Directory. I nomi dei gruppi vengono sincronizzati con la directory immediatamente. I membri di un gruppo non vengono sincronizzati fino a quando il gruppo non viene autorizzato per le risorse o aggiunto a una regola del criterio. Gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo, devono essere aggiunti durante la configurazione iniziale. Per Active Directory su LDAP, è necessario indicare DN di base, DN di binding e password del DN di binding. L'utente DN di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo: Lettura Lettura di tutte le proprietà VMware, Inc. 50

51 Autorizzazioni di lettura Nota L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Per Active Directory (autenticazione integrata di Windows), sono necessari il nome utente e la password dell'utente di binding che dispone dell'autorizzazione per eseguire query in utenti e gruppi dei domini richiesti. L'utente di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo: Lettura Lettura di tutte le proprietà Autorizzazioni di lettura Nota È consigliabile utilizzare un account utente di binding con una password che non scada mai. Se Active Directory richiede l'accesso su SSL o STARTTLS, sono necessari i certificati CA root dei controller di dominio per tutti i domini di Active Directory pertinenti. Per Active Directory (autenticazione integrata di Windows), se sono configurate più foreste di Active Directory e il gruppo Dominio locale contiene membri di domini di altre foreste, assicurarsi che l'utente di binding sia aggiunto al gruppo Amministratori del dominio in cui si trova il gruppo Dominio locale. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale. Per Active Directory (autenticazione integrata di Windows): Per tutti i controller di dominio elencati nei record SRV e i controller di dominio di sola lettura nascosti, nslookup del nome host e indirizzo IP dovrebbero funzionare. Tutti i controller di dominio devono essere raggiungibili in termini di connettività di rete Procedura 1 Nella console di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi. 2 Sulla pagina Directory, fare clic su Aggiungi directory. 3 Immettere un nome per questa directory di VMware Identity Manager. VMware, Inc. 51

52 4 Selezionare il tipo di Active Directory nel proprio ambiente e configurare le informazioni sulla connessione. Opzione Descrizione Active Directory su LDAP a Nella casella di testo Sincronizza connettore, selezionare il connettore da utilizzare per la sincronizzazione con Active Directory. b Nella casella di testo Autenticazione, se questo Active Directory è utilizzato per autenticare gli utenti, fare clic su Sì. c d Se per autenticare gli utenti viene invece utilizzato un provider di identità di terze parti, fare clic su No. Dopo aver configurato la connessione ad Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità per l'autenticazione. Nella casella di testo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente. Se si desidera utilizzare la ricerca della posizione del servizio DNS per Active Directory, effettuare le selezioni riportate di seguito. Nella sezione Posizione server, selezionare la casella di controllo Questa directory supporta la posizione servizio DNS. VMware Identity Manager individua e utilizza i controller di dominio ottimali. Se non si desidera utilizzare la selezione dei controller di dominio ottimizzata, seguire invece le procedure descritte nel passaggio e. Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nella casella di testo Certificato SSL. Assicurarsi che il certificato sia in formato PEM e che includa le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". e Nota Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory. Se non si desidera utilizzare la ricerca della posizione del servizio DNS per Active Directory, effettuare le selezioni riportate di seguito. Nella sezione Posizione server, verificare che la casella di controllo Questa directory supporta posizione servizio DNS non sia selezionata ed immettere il nome host e il numero di porta del server Active Directory. Per configurare la directory come catalogo globale, vedere la sezione Ambiente con foresta Active Directory singola e multidominio in Ambienti Active Directory. Se Active Directory richiede l'accesso su SSL, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nel campo Certificato SSL. Assicurarsi che il certificato sia in formato PEM e che includa le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". VMware, Inc. 52

53 Opzione Descrizione Se la directory ha più domini, aggiungere i certificati CA root di tutti i domini, uno di seguito all'altro. Active Directory (autenticazione integrata di Windows) f g h a b c d e f Nota Se Active Directory richiede SSL e non si fornisce il certificato, non sarà possibile creare la directory. Nel campo Nome distinto di base, immettere il nome distinto da cui iniziare le ricerche degli account. Ad esempio, OU=myUnit,DC=myCorp,DC=com. Nel campo Nome distinto di binding, immettere l'account che può ricercare gli utenti. Ad esempio, CN=binduser,OU=myUnit,DC=myCorp,DC=com. Nota L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Dopo aver immesso la password di binding, fare clic su Test della connessione per verificare che la propria directory possa collegarsi a Active Directory. Nella casella di testo Sincronizza connettore, selezionare il connettore da utilizzare per la sincronizzazione con Active Directory. Nella casella di testo Autenticazione, se questo Active Directory è utilizzato per autenticare gli utenti, fare clic su Sì. Se per autenticare gli utenti viene invece utilizzato un provider di identità di terze parti, fare clic su No. Dopo aver configurato la connessione ad Active Directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità per l'autenticazione. Nella casella di testo Attributo di ricerca directory, selezionare l'attributo dell'account contenente il nome utente. Se Active Directory richiede la crittografia STARTTLS, selezionare la casella di spunta Questa directory richiede che tutte le connessioni utilizzino STARTTLS nella sezione Certificati e copiare e incollare il certificato CA root di Active Directory nella casella di testo Certificato SSL. Assicurarsi che il certificato sia in formato PEM e che includa le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". Se la directory ha più domini, aggiungere i certificati CA root di tutti i domini, uno di seguito all'altro. Nota Se Active Directory richiede STARTTLS e non si fornisce il certificato, non sarà possibile creare la directory. (Solo per Linux) Immettere il nome del dominio di Active Directory da aggiungere. Immettere un nome utente e una password con i diritti per aggiungere il dominio. Vedere Autorizzazioni richieste per l'unione a un dominio (solo per appliance virtuale Linux) per ulteriori informazioni. Nella sezione Dettagli utente di binding, immettere il nome utente e la password dell'utente di binding che dispone dell'autorizzazione per eseguire query in utenti e gruppi dei domini richiesti. Per il nome utente, immettere samaccountname, ad esempio jdoe. Se il dominio dell'utente di binding è diverso da quello immesso in precedenza in Entra in dominio, immettere il nome utente come samaccountname@domain, dove domain è il nome di dominio completo. Ad esempio, jdoe@example.com. Nota È consigliabile utilizzare un account utente di binding con una password che non scada mai. VMware, Inc. 53

54 5 Fare clic su Salva e avanti. Verrà visualizzata la pagina con l'elenco di domini. 6 Per Active Directory su LDAP, i domini sono elencati con un segno di spunta. Per Active Directory (autenticazione integrata di Windows), selezionare i domini da associare a questa connessione ad Active Directory. Nota se si aggiunge un dominio trusting dopo aver creato la directory, il servizio non rileva automaticamente il nuovo dominio trusting. Per consentire al servizio di rilevare il dominio, connettore deve essere tolto e poi aggiunto nuovamente al dominio. Quando connettore si unisce nuovamente al dominio, il dominio trusting comparirà nell'elenco. Fare clic su Avanti. 7 Verificare che i nomi degli attributi della directory di VMware Identity Manager siano mappati agli attributi di Active Directory corretti, apportare le modifiche eventualmente necessarie, quindi fare clic su Avanti. VMware, Inc. 54

55 8 Selezionare i gruppi che si desidera sincronizzare da Active Directory alla directory di VMware Identity Manager. Quando vengono aggiunti gruppi in questo campo, i nomi dei gruppi vengono sincronizzati con la directory. Gli utenti che sono membri del gruppo non vengono sincronizzati con la directory fino a quando il gruppo è autorizzato per un'applicazione o il nome del gruppo viene aggiunto a una regola del criterio di accesso. Tutte le sincronizzazioni pianificate successive trasferiscono informazioni aggiornate da Active Directory per i nomi di questi gruppi. Opzione Specificare i DN gruppo Descrizione Per selezionare i gruppi, specificare uno o più DN e selezionare i gruppi in essi contenuti. a Fare clic su + e specificare il DN del gruppo. Ad esempio, CN=users,DC=example,DC=company,DC=com. b c Importante Specificare i DN dei gruppi contenuti nel DN di base inserito. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login. Fare clic su Trova gruppi. Nella colonna Gruppi da sincronizzare, è presente il numero di gruppi trovati nel DN. Per selezionare tutti i gruppi nel DN, fare clic su Seleziona tutto oppure fare clic su Seleziona e selezionare i gruppi specifici da sincronizzare. Nota Quando si sincronizza un gruppo, gli utenti che non hanno Utenti di dominio come gruppo primario in Active Directory non vengono sincronizzati. Sincronizza membri del gruppo nidificati Per impostazione predefinita, l'opzione Sincronizza membri del gruppo nidificati è abilitata. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati quando il gruppo viene autorizzato. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo principale selezionato per la sincronizzazione. Se l'opzione Sincronizza membri del gruppo nidificati è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo verranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di Active Directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti. 9 Fare clic su Avanti. VMware, Inc. 55

56 10 Specificare gli utenti da sincronizzare. Poiché i membri nei gruppi non vengono sincronizzati con la directory finché il gruppo non viene autorizzato per le applicazioni o aggiunto a una regola del criterio di accesso, aggiungere tutti gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo. a Fare clic su + e inserire i DN degli utenti. Ad esempio, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Importante Specificare i DN degli utenti contenuti nel DN di base inserito. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login. b (Facoltativo) Per escludere utenti, creare un filtro con cui escludere alcuni tipi di utenti. Selezionare l'attributo da utilizzare per filtrare gli utenti, nonché la regola della query da applicare, quindi aggiungere il valore. Nel valore viene fatta distinzione tra maiuscole e minuscole. I seguenti caratteri non possono essere usati nella stringa: *^()?!$. VMware, Inc. 56

57 11 Specificare gli utenti da sincronizzare. Poiché i membri nei gruppi non vengono sincronizzati con la directory finché il gruppo non viene autorizzato per le applicazioni o aggiunto a una regola del criterio di accesso, aggiungere tutti gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo. a Fare clic su + e inserire i DN degli utenti. Ad esempio, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Importante Specificare i DN degli utenti contenuti nel DN di base immesso. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login. b (Facoltativo) Per escludere utenti, creare filtri per escludere utenti in base all'attributo selezionato. È possibile creare più filtri di esclusione. Selezionare l'attributo utente in base al quale applicare il filtro e il filtro di query da applicare al valore definito. Opzione Contiene Non contiene Inizia con Finisce con Descrizione Esclude tutti gli utenti che soddisfano l'attributo e il set di valori. Ad esempio, il nome contiene Jane esclude gli utenti che si chiamano "Jane". Esclude tutti gli utenti, ad eccezione di quelli che soddisfano l'attributo e il set di valori. Ad esempio, telephonenumber non contiene 800 include solo gli utenti con un numero di telefono che include "800". Esclude tutti gli utenti in cui i caratteri iniziano con <xxx> nel valore dell'attributo. Ad esempio, employeeid inizia con ACME0 esclude tutti gli utenti che dispongono di un ID dipendente che inizia con "ACME0". Esclude tutti gli utenti in cui caratteri terminano con <yyy> nel valore dell'attributo. Ad esempio, mail finisce con example1.com esclude tutti gli utenti che dispongono di un indirizzo che termina con "example1.com". Nel valore viene fatta distinzione tra maiuscole e minuscole. La stringa del valore non può contenere i seguenti simboli. Asterisco * Accento circonflesso ^ Parentesi ( ) Punto interrogativo? Punto esclamativo! Simbolo del dollaro $ 12 Fare clic su Avanti. 13 Rivedere la pagina per verificare quanti utenti e gruppi vengono sincronizzati con la directory e visualizzare la pianificazione della sincronizzazione. Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica. VMware, Inc. 57

58 14 Fare clic su Sincronizza directory per avviare la sincronizzazione con la directory. La connessione ad Active Directory viene stabilita e i nomi di gruppi e utenti vengono sincronizzati da Active Directory alla directory di VMware Identity Manager. Per impostazione predefinita, l'utente di binding ha un ruolo da amministratore in VMware Identity Manager. Per ulteriori informazioni su come i gruppi vengono sincronizzati, vedere "Gestione di utenti e gruppi" in Amministrazione di VMware Identity Manager. Operazioni successive Impostare i metodi di autenticazione. Dopo la sincronizzazione dei nomi di gruppi e utenti con la directory, se il connettore è utilizzato anche per l'autenticazione, è possibile impostare metodi di autenticazione aggiuntivi sul connettore. Se il provider di identità di autenticazione è di terze parti, configurare quel provider di identità nel connettore. Riesaminare il criterio di accesso predefinito. Il criterio di accesso predefinito è configurato per consentire a tutte le appliance in tutti gli intervalli di rete di accedere al portale Web, con un timeout di sessione impostato su otto ore, oppure di accedere a un'app client con un timeout di sessione di ore (90 giorni). È possibile modificare il criterio di accesso predefinito e creare nuovi criteri quando si aggiungono applicazioni Web al catalogo. Abilitazione degli utenti alla modifica delle password di Active Directory È possibile consentire agli utenti di modificare la propria password di Active Directory dall'app o dal portale Workspace ONE quando lo desiderano. Gli utenti possono inoltre modificare la propria password di Active Directory dalla pagina di accesso di VMware Identity Manager se la password è scaduta o se l'amministratore di Active Directory l'ha reimpostata, forzando gli utenti a cambiarla all'accesso successivo. È possibile abilitare questa opzione per directory, selezionando l'opzione Consenti modifica password nella pagina Impostazioni directory. Quando sono connessi al portale Workspace ONE, gli utenti possono cambiare la propria password facendo clic sul proprio nome nell'angolo in alto a destra, selezionando Account nel menu a discesa e facendo clic sul collegamento Cambia password. Nell'app Workspace ONE, gli utenti possono cambiare la propria password facendo clic sull'icona del menu con tre barre e selezionando Password. Le password scadute o reimpostate dall'amministratore in Active Directory possono essere cambiate dalla pagina di accesso. Quando un utente prova ad accedere con una password scaduta, gli viene richiesto di reimpostarla. L'utente dovrà quindi specificare la vecchia password così come la nuova password. I requisiti per la nuova password sono determinati dai criteri delle password di Active Directory. Dagli stessi criteri dipende anche il numero di tentativi consentiti. VMware, Inc. 58

59 Si applicano le limitazioni riportate di seguito. Il livello di funzionalità del dominio di Active Directory deve essere impostato su Windows 2008 o versioni successive. Quando una directory viene aggiunta a VMware Identity Manager come catalogo globale, l'opzione Consenti modifica password non è disponibile. Le directory possono essere aggiunte come Active Directory su LDAP o autenticazione integrata di Windows utilizzando le porte 389 o 636. La password di un utente Nome distinto di binding non può essere reimpostata da VMware Identity Manager, anche se è scaduta o se l'amministratore di Active Directory l'ha reimpostata. Nota L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Le password degli utenti i cui nomi di accesso sono costituiti da caratteri multibyte (caratteri non ASCII) non possono essere reimpostate da VMware Identity Manager. Nota L'opzione Consenti modifica password non può essere abilitata per le directory ACC. Prerequisiti La porta 464 deve essere aperta da VMware Identity Manager ai controller di dominio. In una distribuzione SaaS, la porta 464 deve essere aperta dal connettore di VMware Identity Manager ai controller di dominio. L'opzione Consenti modifica password è disponibile solo con il connettore versione e successive. Procedura 1 Nella console di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi. 2 Nella scheda Directory, fare clic sulla directory. 3 Nella sezione Consenti modifica password, selezionare la casella di controllo Attiva modifica password. 4 Immettere la password nome distinto di binding nella sezione Dettagli utente di binding, quindi fare clic su Salva. Integrazione con le directory LDAP È possibile integrare la directory LDAP dell'azienda con VMware Identity Manager per sincronizzare utenti e gruppi dalla directory LDAP al servizio di VMware Identity Manager. Vedere anche Concetti importanti relativi all'integrazione della directory. VMware, Inc. 59

60 Limitazioni dell'integrazione della directory LDAP Correntemente, la funzionalità di integrazione della directory LDAP ha le seguenti limitazioni. È possibile integrare solo una directory LDAP a dominio singolo. Per integrare domini multipli da una directory LDAP è necessario creare directory VMware Identity Manager aggiuntive, una per ogni dominio. VMware Identity Manager supporta solo le implementazioni OpenLDAP che supportano le query di ricerca con paging. Tutte le query di VMware Identity Manager al server di directory hanno il paging. Se il servizio di directory non supporta le query con paging, VMware Identity Manager non può sincronizzare gli utenti. I seguenti metodi di autenticazione non sono supportati per le directory VMware Identity Manager di tipo directory LDAP. autenticazione Kerberos Autenticazione adattiva RSA ADFS come provider di identità di terze parti SecurID Autenticazione Radius con server SMS Passcode e Vasco Non è possibile unire un dominio LDAP. Non è supportata l'integrazione con risorse Horizon o pubblicate da Citrix per le directory VMware Identity Manager di tipo directory LDAP. I nomi utente non devono contenere spazi. Se un nome utente contiene spazi, l'utente viene sincronizzato ma i permessi non saranno disponibili per l'utente. Se si pianifica l'aggiunta di directory sia Active Directory che LDAP, assicurarsi di non contrassegnare alcun attributo come obbligatorio nella pagina Attributi utente, eccetto username, che può essere contrassegnato come obbligatorio. Le impostazioni nella pagina Attributi utente si applica a tutte le directory nel servizio. Se un attributo è contrassegnato come obbligatorio, gli utenti senza l'attributo non vengono sincronizzati nel servizio di VMware Identity Manager. Se nella directory LDAP sono presenti più gruppi con lo stesso nome, è necessario specificare nomi univoci per essi nel servizio VMware Identity Manager. È possibile specificare i nomi quando si selezionano i gruppi da sincronizzare. Non è disponibile l'opzione per consentire agli utenti di reimpostare le password scadute. Integrazione di una directory LDAP con il servizio È possibile integrare la directory LDAP dell'azienda con VMware Identity Manager per sincronizzare utenti e gruppi dalla directory LDAP al servizio di VMware Identity Manager. VMware, Inc. 60

61 Per l'integrazione con la directory LDAP, è necessario creare una directory di VMware Identity Manager corrispondente e sincronizzare utenti e gruppi dalla directory LDAP alla directory di VMware Identity Manager. È possibile impostare una pianificazione di sincronizzazione regolare per gli aggiornamenti successivi. Si possono anche selezionare gli attributi LDAP che si desidera sincronizzare per gli utenti e associarli ad attributi di VMware Identity Manager. La configurazione della directory LDAP potrebbe essere basata su schemi predefiniti o personalizzati. Può inoltre disporre di attributi personalizzati. Affinché VMware Identity Manager possa eseguire query nella directory LDAP per ottenere oggetti utente o gruppo, è necessario fornire i filtri di ricerca LDAP e i nomi degli attributi applicabili alla directory LDAP. Nello specifico, è necessario fornire la seguenti informazioni. Filtri di ricerca LDAP per ottenere gruppi, utenti e l'utente di binding Nomi degli attributi LDAP per l'appartenenza ai gruppi, UUID e nome distinto La funzionalità di integrazione della directory LDAP è soggetta a specifiche limitazioni. Vedere Limitazioni dell'integrazione della directory LDAP. Prerequisiti Riesaminare gli attributi nella pagina Gestione identità e accessi > Configura > Attributi utente e aggiungere gli altri attributi che si desidera sincronizzare. Gli attributi di VMware Identity Manager vengono mappati con quelli della directory LDAP in fase di creazione della directory. Gli attributi vengono sincronizzati per gli utenti nella directory. Nota Quando si apportano modifiche agli attributi degli utenti, considerare l'effetto sulle altre directory nel servizio. Se si pianifica di aggiungere sia Active Directory che directory LDAP, assicurarsi di non contrassegnare alcun attributo come obbligatorio, eccetto username, che può essere contrassegnato come obbligatorio. Le impostazioni nella pagina Attributi utente si applica a tutte le directory nel servizio. Se un attributo è contrassegnato come obbligatorio, gli utenti senza l'attributo non vengono sincronizzati nel servizio di VMware Identity Manager. Un account utente Nome distinto di binding. L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Nella directory LDAP, gli UUID di utenti e gruppi devono essere in formato testo normale. Nella directory LDAP, per tutti gli utenti e i gruppi deve esistere un attributo di dominio. Questo attributo viene associato all'attributo dominio di VMware Identity Manager quando si crea la directory di VMware Identity Manager. I nomi utente non devono contenere spazi. Se un nome utente contiene spazi, l'utente viene sincronizzato ma i permessi non saranno disponibili per l'utente. Se si utilizza l'autenticazione con certificato, per gli utenti devono essere impostati valori per gli attributi userprincipalname e indirizzo . VMware, Inc. 61

62 Procedura 1 Nella console di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi. 2 Nella pagina Directory, fare clic su Aggiungi directory e scegliere Aggiungi directory LDAP. 3 Immettere le informazioni richieste nella pagina Aggiungi directory LDAP. Opzione Nome directory Descrizione Nome della directory di VMware Identity Manager. Sincronizzazione e autenticazione directory a b c Nella casella di testo Sincronizza connettore, selezionare il connettore che si desidera utilizzare per sincronizzare gli utenti e i gruppi dalla directory LDAP alla directory VMware Identity Manager. In una distribuzione locale, un componente connettore è sempre disponibile con il servizio VMware Identity Manager per impostazione predefinita. Questo connettore verrà visualizzato nell'elenco a discesa. Se si installano più istanze di VMware Identity Manager per l'alta disponibilità, nell'elenco viene visualizzato il componente connettore di ciascuna istanza. Sono inoltre elencati connettori esterni aggiuntivi. Non è necessario usare un connettore separato per una directory LDAP. Un connettore può supportare più directory, indipendentemente dal fatto che siano Active Directory o directory LDAP. Per gli scenari in cui sono necessari connettori aggiuntivi, vedere Installazione e configurazione di VMware Identity Manager. Nella casella di testo Autenticazione, scegliere Sì se si desidera utilizzare questa directory LDAP per autenticare gli utenti. Se si desidera utilizzare un provider di identità di terze parti per autenticare gli utenti, fare clic su No. Dopo aver configurato la connessione alla directory per sincronizzare utenti e gruppi, passare alla pagina Gestione identità e accessi > Gestione > Provider di identità per aggiungere il provider di identità di terze parti per l'autenticazione. Nella casella di testo Attributo di ricerca directory specificare l'attributo della directory LDAP da utilizzare per il nome utente. Se l'attributo non è presente, selezionare Personalizzato e immettere il nome dell'attributo. Ad esempio, cn. Posizione server Immettere l'host del server e il numero di porta della directory LDAP. Per l'host del server, è possibile specificare sia il nome di dominio completo che l'indirizzo IP. Ad esempio, serverldap.esempio.com o Se è presente un cluster di server con il bilanciamento del carico, immettere invece le informazioni sul bilanciamento. VMware, Inc. 62

63 Opzione Configurazione LDAP Descrizione Specificare i filtri di ricerca LDAP e gli attributi che possono essere utilizzati da VMware Identity Manager per interrogare la propria directory LDAP. I valori predefiniti sono forniti in base allo schema LDAP principale. Query LDAP Ottieni gruppi: il filtro di ricerca per ottenere gli oggetti gruppo. Ad esempio: (objectclass=group) Ottieni utente bind: il filtro di ricerca per ottenere l'oggetto utente bind, ovvero l'utente che può collegarsi alla directory. Ad esempio: (objectclass=person) Ottieni utente: il filtro di ricerca per ottenere gli utenti da sincronizzare. Ad esempio: (&(objectclass=user)(objectcategory=person)) Attributi Appartenenza: questo attributo è utilizzato nella directory LDAP per definire i membri di un gruppo. Ad esempio: member UUID oggetto: l'attributo utilizzato nella directory LDAP per definire l'uuid di un utente o di un gruppo. Ad esempio: entryuuid DN (Distinguished Name): l'attributo utilizzato nella directory LDAP per il nome distinto (DN) di un utente o un gruppo. Ad esempio: entrydn Certificati Dettagli utente bind Se la directory LDAP richiede l'accesso su SSL, selezionare Questa directory richiede che tutte le connessioni utilizzino SSL e copiare e incollare il certificato SSL CA root del server della directory LDAP. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE". Nome distinto di base: immettere il DN da cui iniziare le ricerche. Ad esempio, cn=users,dc=example,dc=com Nome distinto di binding: immettere il nome utente da utilizzare per collegarsi alla directory LDAP. Nota L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato. Password nome distinto di binding: immettere la password per l'utente Nome distinto di binding 4 Per eseguire il test della connessione al server di directory LDAP, fare clic su Test della connessione. Se la connessione non riesce, controllare le informazioni immesse ed apportare le modifiche necessarie. 5 Fare clic su Salva e avanti. 6 Verificare che il dominio corretto sia elencato nella pagina Domini e fare clic su Avanti. VMware, Inc. 63

64 7 Nella pagina di associazione degli attributi, verificare che gli attributi di VMware Identity Manager siano associati agli attributi di LDAP corretti. Questi attributi saranno sincronizzati per gli utenti. Importante È necessario specificare un'associazione per l'attributo dominio. È possibile aggiungere attributi all'elenco dalla pagina Attributi utente. 8 Fare clic su Avanti. 9 Nella pagina dei gruppi, fare clic su + per selezionare i gruppi che si desidera sincronizzare dalla directory LDAP alla directory di VMware Identity Manager. Quando vengono aggiunti gruppi, i nomi dei gruppi vengono sincronizzati con la directory. Gli utenti che sono membri del gruppo non vengono sincronizzati con la directory fino a quando il gruppo è autorizzato per un'applicazione o il nome del gruppo viene aggiunto a una regola del criterio di accesso. Se nella directory LDAP sono presenti più gruppi con lo stesso nome, sarà necessario specificare nomi univoci sulla relativa pagina. L'opzione Sincronizza membri del gruppo nidificati è attivata per impostazione predefinita. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi nidificati quando il gruppo è autorizzato. Nella directory di VMware Identity Manager, questi utenti saranno membri del gruppo di livello superiore selezionato per la sincronizzazione. La gerarchia inferiore al gruppo selezionato viene di fatto appiattita e in VMware Identity Manager compaiono utenti provenienti da tutti i livelli come membri del gruppo selezionato. Se l'opzione è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo saranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e di tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti. 10 Fare clic su Avanti. VMware, Inc. 64

65 11 Fare clic su + per aggiungere utenti. Ad esempio, immettere CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Poiché i membri nei gruppi non vengono sincronizzati con la directory finché il gruppo non viene autorizzato per le applicazioni o aggiunto a una regola del criterio di accesso, aggiungere tutti gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo. Per escludere alcuni utenti, creare un filtro con cui escludere alcuni tipi di utenti. È possibile selezionare l'attributo da utilizzare per filtrare gli utenti, la regola di query e il valore. Fare clic su Avanti. 12 Esaminare la pagina per sapere quanti nomi di utenti e gruppi verranno sincronizzati nella directory e per conoscere la pianificazione delle sincronizzazioni predefinita. Per apportare modifiche a utenti e gruppi o alla frequenza di sincronizzazione, fare clic sul collegamento Modifica. 13 Fare clic su Sincronizza directory per iniziare la sincronizzazione della directory. La connessione alla directory LDAP viene stabilita ei nomi di utenti e gruppi vengono sincronizzati dalla directory LDAP alla directory di VMware Identity Manager. Per impostazione predefinita, l'utente Nome distinto di binding ha un ruolo da amministratore in VMware Identity Manager. Aggiunta di una directory in seguito alla configurazione di failover e ridondanza Se si aggiunge una nuova directory al servizio VMware Identity Manager dopo aver già distribuito un cluster per l'alta disponibilità e si desidera che questa nuova directory faccia parte della configurazione ad alta disponibilità, è necessario aggiungere la directory a tutte le istanze nel cluster. In una distribuzione locale, è possibile eseguire questa operazione aggiungendo alla nuova directory il componente connettore di ognuna delle istanze del servizio. In una distribuzione SaaS, è possibile eseguire questa operazione aggiungendo alla nuova directory tutte le istanze del connettore. Procedura 1 Accedere alla console di VMware Identity Manager. 2 Selezionare la scheda Gestione identità e accessi, quindi selezionare la scheda Provider di identità. 3 Sulla pagina Provider di identità, individuare il provider di identità per la nuova directory e fare clic sul suo nome. VMware, Inc. 65

66 4 Nel campo Nome host IdP immettere il nome di dominio completo di bilanciamento del carico, se non è già stato definito. Nota Questo passaggio è necessario solo se si utilizza un programma di bilanciamento del carico. In una distribuzione SaaS, non è necessario usare un programma di bilanciamento del carico davanti ai connettori in modalità di connessione in sola uscita. Se tuttavia è stato configurato il bilanciamento del carico per determinati scenari, come l'autenticazione Kerberos, immettere qui il nome di dominio completo del programma di bilanciamento del carico. 5 Nel campo Connettori, selezionare il connettore da aggiungere. 6 Immettere la password e fare clic su Salva. 7 Nella pagina Provider di identità, fare di nuovo clic sul nome del provider di identità e verificare che nel campo Nome host IdP sia presente il nome di dominio completo del programma di bilanciamento del carico. Se il nome non è corretto, specificare il nome di dominio completo giusto e fare clic su Salva. 8 Ripetere i passaggi precedenti per aggiungere tutti i connettori elencati nel campo Connettori. Nota Dopo aver aggiunto ogni connettore, controllare il nome host del provider di identità e modificarlo, se necessario, come descritto nel passo 7. La directory a questo punto sarà associata a tutti i connettori presenti nella propria distribuzione. VMware, Inc. 66

67 Utilizzo delle directory locali 7 La directory locale è uno dei tipi di directory che è possibile creare nel servizio VMware Identity Manager. Una directory locale consente di eseguire il provisioning degli utenti locali nel servizio e permettere loro di accedere ad applicazioni specifiche senza doverli aggiungere alla directory aziendale. La directory locale non è connessa ad alcuna directory aziendale e gli utenti e i gruppi non vengono sincronizzati da una directory aziendale. Gli utenti locali vengono infatti creati direttamente nella directory locale. Nel servizio è disponibile una directory locale predefinita denominata directory di sistema. È inoltre possibile creare più directory locali nuove. Directory di sistema La directory di sistema è una directory locale che viene creata automaticamente nel servizio quando viene configurato per la prima volta. Il dominio di questa directory è il dominio di sistema. Non è possibile modificare il nome o il dominio della directory di sistema o aggiungervi nuovi domini. La directory di sistema e il dominio di sistema non possono essere eliminati. Durante la prima configurazione del tenant, viene creato un utente amministratore locale nel dominio di sistema della directory di sistema. Le credenziali che si ricevono quando si ottiene un nuovo tenant appartengono a questo utente amministratore locale. È possibile aggiungere altri utenti alla directory di sistema. La directory di sistema viene in genere utilizzata per configurare alcuni utenti amministratori locali per la gestione del servizio. Per eseguire il provisioning di utenti finali e amministratori aggiuntivi, nonché concedere loro i permessi per le applicazioni, è consigliabile creare una nuova directory locale. Directory locali È possibile creare più directory locali. Ogni directory locale può avere uno o più domini. Quando si crea un utente locale, è necessario specificare la directory e il dominio per tale utente. È inoltre possibile selezionare attributi per tutti gli utenti di una directory locale. Gli attributi utente, come username, lastname e firstname vengono specificati a livello globale nel servizio VMware Identity Manager. È disponibile un elenco di attributi predefinito a cui è possibile aggiungere attributi personalizzati. Gli attributi utente globali si applicano a tutte le directory del servizio, incluse le VMware, Inc. 67

68 directory locali. Al livello della directory locale, è possibile selezionare quali attributi sono obbligatori per la directory. In questo modo è possibile definire un insieme di attributi personalizzato per ogni directory locale. Si noti che gli attributi username, lastname, firstname e sono sempre obbligatori per le directory locali. Nota La possibilità di personalizzare gli attributi utente a livello della directory è disponibile solo per le directory locali e non per Active Directory o le directory LDAP. La creazione delle directory locali risulta utile in scenari analoghi a quelli descritti di seguito. È possibile creare una directory locale per un tipo di utente specifico che non fa parte della directory aziendale. È ad esempio possibile creare una directory locale per i partner, che in genere non fanno parte della directory aziendale, e consentire loro di accedere solo alle applicazioni di cui necessitano. È consigliabile creare più directory locali se si desidera definire attributi utente o metodi di autenticazione diversi per set di utenti diversi. È ad esempio possibile creare una directory locale per i distributori con attributi utente come area e dimensioni del mercato e un'altra directory locale per i fornitori con attributi utente come categoria prodotto e tipo di fornitore. Provider di identità per la directory di sistema e le directory locali Per impostazione predefinita, la directory di sistema viene associata a un provider di identità denominato provider di identità del sistema. Per impostazione predefinita, in questo provider di identità è abilitato il metodo Password (directory Cloud), che si applica al criterio default_access_policy_set per l'intervallo di rete TUTTI GLI INTERVALLI e il tipo di dispositivo Browser Web. È possibile configurare metodi di autenticazione aggiuntivi e impostare criteri di autenticazione. Quando viene creata, una nuova directory locale non è associata ad alcun provider di identità. Dopo aver creato la directory, creare un nuovo provider di identità di tipo Embedded e associarvi la directory. Nel provider di identità, abilitare il metodo di autenticazione Password (directory Cloud). È possibile associare più directory locali allo stesso provider di identità. Il connettore VMware Identity Manager non è necessario per la directory di sistema e le directory locali create. Per ulteriori informazioni, vedere la sezione relativa alla configurazione dell'autenticazione degli utenti in VMware Identity Manager nella Guida all'amministrazione di VMware Identity Manager. Gestione delle password per gli utenti della directory locale Per impostazione predefinita, tutti gli utenti delle directory locali possono cambiare la propria password nell'app o nel portale Workspace ONE. È possibile impostare criteri per le password degli utenti locali. È inoltre possibile reimpostare le password degli utenti locali in base alle esigenze. VMware, Inc. 68

69 Quando sono connessi al portale Workspace ONE, gli utenti possono cambiare la propria password facendo clic sul proprio nome nell'angolo in alto a destra, selezionando Account nel menu a discesa e facendo clic sul collegamento Cambia password. Nell'app Workspace ONE, gli utenti possono cambiare la propria password facendo clic sull'icona del menu con tre barre e selezionando Password. Per informazioni sull'impostazione di criteri per le password e la reimpostazione delle password degli utenti locali, vedere la sezione relativa alla gestione di utenti e gruppi nella guida all'amministrazione di VMware Identity Manager. Questo capitolo include i seguenti argomenti: Creazione di una directory locale Modifica delle impostazioni della directory locale Eliminazione di una directory locale Creazione di una directory locale Per creare una directory locale, è sufficiente specificare gli attributi utente per la directory, creare la directory e identificarla con un provider di identità. Impostazione degli attributi utente a livello globale Prima di creare una directory locale, verificare gli attributi utente globali nella pagina Attributi utente e aggiungere attributi personalizzati, se necessario. Gli attributi utente, come firstname, lastname, e domain, fanno parte del profilo di un utente. Nel servizio VMware Identity Manager gli attributi utente vengono definiti a livello globale e si applicano a tutte le directory del servizio, incluse le directory locali. A livello della directory locale è possibile ignorare il fatto che un attributo sia obbligatorio o facoltativo per gli utenti della directory, ma non è possibile aggiungere attributi personalizzati. Se un attributo è obbligatorio, è necessario specificare un valore per tale attributo quando si crea un utente. Quando si creano attributi personalizzati, non è possibile utilizzare le parole seguenti. Tabella 7 1. Parole che non possono essere utilizzate come nomi di attributi personalizzati active addresses costcenter department displayname division s employeenumber entitlements externalid groups id ims locale manager meta name nickname organization password phonenumber photos preferredlanguage profileurl VMware, Inc. 69

70 Tabella 7 1. Parole che non possono essere utilizzate come nomi di attributi personalizzati (Continua) roles timezone title username usertype x509certificate Nota La possibilità di ignorare gli attributi utente a livello della directory si applica solo alle directory locali e non alle directory di LDAP o Active Directory. Procedura 1 Nella console di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi. 2 Fare clic su Configura, quindi sulla scheda Attributi utente. 3 Esaminare l'elenco di attributi utente e aggiungere altri attributi, se necessario. Nota Anche se in questa pagina è possibile scegliere quali attributi sono obbligatori, è consigliabile eseguire la selezione per le directory locali a livello delle directory locali stesse. Se un attributo viene contrassegnato come Obbligatorio in questa pagina, la condizione si applica a tutte le directory nel servizio, incluse le directory di Active Directory o LDAP. 4 Fare clic su Salva. Operazioni successive Creare la directory locale. Creazione di una directory locale Dopo aver esaminato e impostato attributi utente globali, creare la directory locale. Procedura 1 Nella console di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi, quindi sulla scheda Directory. 2 Fare clic su Aggiungi directory e selezionare Aggiungi directory utente locale nel menu a discesa. VMware, Inc. 70

71 3 Nella pagina Aggiungi directory, immettere un nome di directory e specificare almeno un nome di dominio. Il nome del dominio deve essere univoco tra tutte le directory nel servizio. Ad esempio: 4 Fare clic su Salva. 5 Nella pagina Directory, fare clic sulla nuova directory. 6 Fare clic sulla scheda Attributi utente. Tutti gli attributi della pagina Gestione identità e accessi > Configura > Attributi utente verranno elencati per la directory locale. Gli attributi contrassegnati come obbligatori in tale pagina vengono elencati come obbligatori anche nella pagina della directory locale. 7 Personalizzare gli attributi per la directory locale. È possibile specificare gli attributi obbligatori e quelli facoltativi. È inoltre possibile modificare l'ordine di visualizzazione degli attributi. Importante Gli attributi username, firstname, lastname e sono sempre obbligatori per le directory locali. Per rendere obbligatorio un attributo, selezionare la casella di controllo accanto al nome dell'attributo. Per rendere facoltativo un attributo, deselezionare la casella di controllo accanto al nome dell'attributo. Per modificare l'ordine degli attributi, fare clic e trascinare gli attributi nella nuova posizione. VMware, Inc. 71

72 Se un attributo è obbligatorio, quando si crea un utente è necessario specificare un valore per tale attributo. Ad esempio: 8 Fare clic su Salva. Operazioni successive Associare la directory locale al provider di identità che si desidera utilizzare per l'autenticazione degli utenti nella directory. VMware, Inc. 72