installation et configuration de vmware identity manager · les serveurs active directory, les...

Installation et configuration deVMware Identity Manager

VMware Identity Manager 2.9.1

Installation et configuration de VMware Identity Manager

2 VMware, Inc.

Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :

https://docs.vmware.com/fr/

Le site Web de VMware propose également les dernières mises à jour des produits.

N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :

[email protected]

Copyright © 2013 – 2017 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware, Inc.100-101 Quartier Boieldieu92042 Paris La DéfenseFrancewww.vmware.com/fr

https://docs.vmware.com/fr/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Table des matières

À propos de l'installation et de la configuration de VMware Identity Manager 7

1 Préparation de l'installation de VMware Identity Manager 9

Exigences de configuration du système et du réseau 11Préparation au déploiement d' VMware Identity Manager 15

Créer des enregistrements DNS et des adresses IP 15Options de base de données dans VMware Identity Manager 16Connexion à l'annuaire d'entreprise 16Listes de vérification de déploiement 16

Programme d'amélioration du produit 18

2 Déploiement d' VMware Identity Manager 19

Installer le fichier OVA de VMware Identity Manager 19(Facultatif) Ajouter des pools IP 21Configurer les paramètres de VMware Identity Manager 22Paramétrage du serveur proxy pour VMware Identity Manager 30Saisir la clé de licence 31

3 Gestion des paramètres de configuration de système du dispositif 33

Modifier les paramètres de configuration du dispositif 34Connexion à la base de données 34

Configurer une base de données Microsoft SQL 35Configuration d'une base de données Oracle 36Administration de la base de données interne 37Configurer VMware Identity Manager pour utiliser une base de données externe 37

Utilisation des certificats SSL 38Appliquer une autorité de certification publique 39Ajout de certificats SSL 40

Modification de l'URL du service VMware Identity Manager 41Modification de l'URL de connecteur 41Activation du serveur Syslog 42Informations sur le fichier journal 42

Collecter les informations de journalisation 43Gestion des mots de passe de vos dispositifs 43Configurer les paramètres SMTP 44

4 Intégration à votre annuaire d'entreprise 45

Concepts importants relatifs à l'intégration d'annuaire 46Intégration à Active Directory 47

Environnements Active Directory 47À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) 49

VMware, Inc. 3

Gestion des attributs utilisateur synchronisés à partir d'Active Directory 53Autorisations requises pour joindre un domaine 55Configuration de la connexion Active Directory au service 55Autoriser les utilisateurs à modifier des mots de passe Active Directory 60

Intégration à des annuaires LDAP 61Limites de l'intégration d'annuaire LDAP 62Intégrer un annuaire LDAP au service 62

Ajout d'un annuaire après la configuration du basculement et de la redondance 66

5 Utilisation de répertoires locaux 69

Création d'un répertoire local 70Définir des attributs utilisateur au niveau global 71Créer un répertoire local 72Associer le répertoire local à un fournisseur d'identité 74

Modification des paramètres du répertoire local 75Suppression d'un répertoire local 76

6 Configuration avancée du dispositif VMware Identity Manager 79

Utilisation d'un équilibrage de charge ou d'un proxy inverse pour activer l'accès externe àVMware Identity Manager 79Appliquer le certificat racine de VMware Identity Manager à l'équilibrage de charge 81Appliquer le certificat racine d'équilibrage de charge à VMware Identity Manager 82Paramétrage du serveur proxy pour VMware Identity Manager 82

Configuration du basculement et de la redondance dans un centre de données unique 83Nombre de nœuds recommandé dans le cluster VMware Identity Manager 84Modifier le nom de domaine complet de VMware Identity Manager par celui de l'équilibrage

de charge 84Cloner le dispositif virtuel 85Attribuer une nouvelle adresse IP à un dispositif virtuel cloné 86Activation de la synchronisation d'annuaire sur une autre instance de en cas d'échec 88Supprimer un nœud d'un cluster 89

Déploiement de VMware Identity Manager dans un centre de données secondaire pour lebasculement et la redondance 91Configuration d'un centre de données secondaire 93Basculement vers le centre de données secondaire 99Restauration automatique vers le centre de données principal 101Promotion du centre de données secondaire en centre de données principal 101Mise à niveau de VMware Identity Manager sans temps d'arrêt 101

7 Installation de dispositifs de connecteur supplémentaires 103

Générer un code d'activation pour un connecteur 104Déployer le fichier OVA d' Connector 104Configurer les paramètres de Connector 105

8 Utilisation de KDC intégré 107

Initialiser le centre de distribution de clés dans le dispositif 108Création d'entrées DNS publiques pour KDC avec Kerberos intégré 109


4 VMware, Inc.

9 Dépannage durant l'installation et la configuration 111Les utilisateurs ne peuvent pas lancer des applications ou une méthode d'authentification

incorrecte est appliquée dans des environnements à équilibrage de charge 111Le groupe n'affiche aucun membre après la synchronisation de répertoire 112Résolution des problèmes d'Elasticsearch 112

Index 115

Table des matières

VMware, Inc. 5


6 VMware, Inc.

À propos de l'installation et de la configurationde VMware Identity Manager

Installation et configuration de VMware Identity Manager fournit des informations sur le processus d'installationet de configuration du dispositif VMware Identity Manager. Une fois l'installation terminée, vous pouvezutiliser la console d'administration pour octroyer aux utilisateurs un accès géré et multi-périphérique auxapplications de votre organisation, notamment aux applications Windows, aux applications SaaS (softwareas a service) et aux postes de travail View ou Horizon. Le guide explique également comment configurervotre déploiement pour la haute disponibilité.

Public concernéCes informations sont destinées aux administrateurs de VMware Identity Manager. Ces informations ont étérédigées à l'attention d'administrateurs système Windows et Linux expérimentés et connaissant bien lestechnologies VMware, en particulier vCenter™, ESX™, vSphere® et View™, les concepts de mise en réseau,les serveurs Active Directory, les bases de données, les procédures de sauvegarde et de restauration, leprotocole SMTP (Simple Mail Transfer Protocol) et les serveurs NTP. SUSE Linux 11 est le systèmed'exploitation sous-jacent du dispositif virtuel. La connaissance d'autres technologies, telles que VMwareThinApp® et RSA SecurID, est utile si vous prévoyez de mettre en œuvre ces fonctionnalités.

VMware, Inc. 7


8 VMware, Inc.

Préparation de l'installation deVMware Identity Manager 1

Les tâches de déploiement et de configuration de VMware Identity Manager vous obligent à exécuter lesopérations préalables requises, à déployer le fichier OVA VMware Identity Manager et à effectuer laconfiguration à partir de l'Assistant de configuration de VMware Identity Manager.

VMware, Inc. 9

Figure 1‑1. Diagramme de l'architecture de VMware Identity Manager pour des déploiements standards

Ordinateur portable

PC

Ordinateur portable

PC

HTTPS (443)

HTTPS(443)

DMZ

HTTPS (443)

Zone d'entreprise

VDI (HTML)

VDI (PCoIP/RDP)

VMware Identity Manager va

VMware Identity Manager FQDN:myidentitymanager.mycompany.com

HTTPSPCoIP

Serveur de connexion

View

ServicesDNS/NTP

RSASecurID

AD/servicesd'annuaire

Base de donnéesexterne

RéférentielThinApp

ServeurCitrix

Proxy inverse

Utilisateurs du LAN

d'entreprise

TCP/UDP (88)- iOS uniquement

API RESTAirWatch

TCP/UDP (88)- iOS uniquement

Équilibreur de charge internemyidentitymanager.mycompany.com

Périphérique mobile

Internet

Remarque Si vous prévoyez d'activer l'authentification par certificat ou par carte à puce, utilisez leparamètre de relais SSL au niveau de l'équilibrage de charge, au lieu du paramètre pour mettre fin à SSL.Cette configuration permet de s'assurer que la négociation SSL a lieu entre le connecteur, un composant deVMware Identity Manager et le client.

Remarque En fonction de l'emplacement du déploiement d'AirWatch, les API REST AirWatch peuvent setrouver dans le Cloud ou sur site.

Ce chapitre aborde les rubriques suivantes :

n « Exigences de configuration du système et du réseau », page 11

n « Préparation au déploiement d'VMware Identity Manager », page 15

n « Programme d'amélioration du produit », page 18


10 VMware, Inc.

Exigences de configuration du système et du réseauConsidérez l'intégralité de votre déploiement, y compris votre façon d'intégrer des ressources, lorsque vousprenez des décisions concernant les exigences en matériel, en ressources et en matière de réseau.

Versions de vSphere et ESX compatiblesLes versions suivantes de vSphere et du serveur ESX sont prises en charge :

n 5.0 U2 et versions ultérieures

n 5.1 et versions ultérieures



Remarque Vous devez activer la synchronisation horaire au niveau de l'hôte ESX à l'aide d'un serveurNTP. Sinon, il y aura un écart temporel entre les dispositifs virtuels.

Si vous déployez plusieurs dispositifs virtuels sur des hôtes différents, envisagez de désactiver l'optionSynchroniser avec l'hôte pour la synchronisation de l'heure et de configurer le serveur NTP dans chaquedispositif virtuel directement pour vérifier qu'il n'y a pas d'écart temporel entre les dispositifs virtuels.

Configuration matérielle requiseAssurez-vous que vous respectez les exigences pour le nombre de dispositifs virtuelsVMware Identity Manager et les ressources allouées à chaque dispositif.

Nombred'utilisateurs Jusqu’à 1 000

De 1 000 à10 000

De 10 000 à25 000

De 25 000 à50 000

De 50 000 à100 000

Nombre deserveursVMware IdentityManager

1 serveur 3 serveurs àéquilibrage decharge

3 serveurs àéquilibrage decharge



CPU (par serveur) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM (parserveur)

6 Go 6 Go 8 Go 16 Go 32 Go

Espace disque (parserveur)

60 Go 100 Go 100 Go 100 Go 100 Go

Si vous installez des dispositifs virtuels du connecteur supplémentaire externes, assurez-vous que vousrespectez les exigences suivantes.


De 1 000 à10 000

De 10 000 à25 000

De 25 000 à50 000

De 50 000 à100 000

Nombre deserveurs deconnecteur

1 serveur 2 serveurs àéquilibrage decharge




CPU (par serveur) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU

RAM (parserveur)

6 Go 6 Go 8 Go 16 Go 16 Go

Espace disque (parserveur)

60 Go 60 Go 60 Go 60 Go 60 Go

Chapitre 1 Préparation de l'installation de VMware Identity Manager

VMware, Inc. 11

Configuration requise pour la base de donnéesConfigurez VMware Identity Manager avec une base de données externe pour stocker et organiser lesdonnées du serveur. Une base de données PostgreSQL interne est intégrée dans le dispositif virtuel, mais iln'est pas recommandé de l'utiliser avec des déploiements de production.

Pour plus d'informations sur les versions de base de données et les configurations de Service Pack prises encharge, consultez les matrices d'interopérabilité des produits VMware à http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Les conditions suivantes s’appliquent à une base de données de serveur SQL externe.


De 1 000 à10 000

De 10 000 à25 000

De 25 000 à50 000

De 50 000 à100 000

CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM 4 Go 4 Go 8 Go 16 Go 32 Go

Espace disque 50 Go 50 Go 50 Go 100 Go 100 Go

Exigences de configuration réseau

Composant Exigences minimales

Enregistrement DNS et adresse IP Adresse IP et enregistrement DNS

Port du pare-feu Assurez-vous que le port 443 du pare-feu est ouvert pour les utilisateursextérieurs au réseau, pour l'instance de VMware Identity Manager ou l'équilibragede charge.

Proxy inverse Déployez un proxy inverse, tel que F5 Access Policy Manager, dans la zone DMZpour permettre aux utilisateurs d'accéder en toute sécurité au portail utilisateurVMware Identity Manager à distance.

Exigences du portLes ports utilisés dans la configuration du serveur sont décrits ici. Votre déploiement peut n'inclure qu'unsous-ensemble de ces ports. Par exemple :

n Pour synchroniser les utilisateurs et les groupes à partir d'Active Directory, VMware Identity Managerdoit se connecter à Active Directory.

n Pour se synchroniser sur ThinApp, VMware Identity Manager doit joindre le domaine Active Directoryet se connecter au partage de référentiel ThinApp.

Port Portail Source Cible Description

443 HTTPS Équilibrage de charge Dispositif virtuel VMwareIdentity Manager

443 HTTPS Dispositif virtuel VMwareIdentity Manager

Dispositif virtuel VMwareIdentity Manager

443 HTTPS Navigateurs Dispositif virtuel VMwareIdentity Manager


vapp-updates.vmware.com Accès au serveur demise à niveau

8443 HTTPS Navigateurs Dispositif virtuel VMwareIdentity Manager

Port administrateur


12 VMware, Inc.

https://www.vmware.com/resources/compatibility/sim/interop_matrix.php


25 SMTP Dispositif virtuel VMwareIdentity Manager

SMTP Port pour le relais ducourrier sortant

38963632683269

LDAPLDAPSMSFT-GCMSFT-GC-SSL


Active Directory Les valeurs pardéfaut sont affichées.Ces ports sontconfigurables.

445 TCP Dispositif virtuel VMwareIdentity Manager

Référentiel ThinApp VMware Accès au référentielThinApp

5500 UDP Dispositif virtuel VMwareIdentity Manager

Système RSA SecurID La valeur par défautest affichée. Ce portest configurable.

53 TCP/UDP Dispositif virtuel VMwareIdentity Manager

Serveur DNS Chaque dispositifvirtuel doit avoiraccès au serveurDNS sur le port 53 etautoriser le traficSSH entrant sur leport 22.

88, 464, 135 TCP/UDP Dispositif virtuel VMwareIdentity Manager

Contrôleur de domaine

9300–9400 TCP Dispositif virtuel VMwareIdentity Manager


Besoins d'audit

54328 UDP

1433, 5432,1521

TCP Dispositif virtuel VMwareIdentity Manager

Base de données Le port MicrosoftSQL par défautest 1433Le port Oracle pardéfaut est 1521.

443 Dispositif virtuel VMwareIdentity Manager

View Server Accès à View Server

80, 443 TCP Dispositif virtuel VMwareIdentity Manager

Serveur Citrix Integration Broker Connexion à CitrixIntegration Broker.L'option de portvarie selon qu'uncertificat est ou noninstallé sur leserveur IntegrationBroker


API REST AirWatch Pour la vérificationde la conformité depériphérique et pourla méthoded'authentificationpar mot de passeAirWatch CloudConnector, si celle-ciest utilisée.

88 UDP Unified Access Gateway Dispositif virtuel VMwareIdentity Manager

Port UDP à ouvrirpour mobile SSO

5262 TCP Périphérique mobile Android Service de proxy HTTPSAirWatch

Le client AirWatchTunnel dirige letrafic vers le proxyHTTPS pour lespériphériquesAndroid.


VMware, Inc. 13


88 UDP Périphérique mobile iOS Dispositif virtuel VMwareIdentity Manager

Port utilisé pour letrafic Kerberos àpartir depériphériques iOSpour le service decloud hébergé KDC.

443 HTTPS/TCP

Active DirectoryVMware Identity Manager prend en charge Active Directory sous Windows 2008, 2008 R2, 2012 et 2012 R2,avec un niveau fonctionnel Domaine et un niveau fonctionnel Forêt de Windows 2003 et versionsultérieures.

Navigateurs pris en charge pour accéder à la console d'administrationLa console d'administration VMware Identity Manager est une application Web qui vous permet de gérervotre locataire. Vous pouvez accéder à la console d'administration à partir des navigateurs suivants.

n Internet Explorer 11 pour systèmes Windows

n Mozilla Firefox 42.0 ou version ultérieure pour systèmes Windows et Mac

n Mozilla Firefox 40 ou version ultérieure pour les systèmes Windows et Mac

n Safari 6.2.8 et version ultérieure pour les systèmes Mac

Remarque Dans Internet Explorer 11, JavaScript doit être activé et les cookies autorisés pour s'authentifiervia VMware Identity Manager.

Navigateurs pris en charge pour accéder au portail Workspace ONELes utilisateurs finaux peuvent accéder au portail Workspace ONE à partir des navigateurs suivants.

n Mozilla Firefox (dernière version)

n Google Chrome (dernière version)

n Safari (dernière version)

n Internet Explorer 11

n Navigateur Microsoft Edge

n Navigateur natif et Google Chrome sur les périphériques Android

n Safari sur les périphériques iOS

Remarque Dans Internet Explorer 11, JavaScript doit être activé et les cookies autorisés pour s'authentifiervia VMware Identity Manager.


14 VMware, Inc.

Préparation au déploiement d' VMware Identity ManagerAvant de déployer VMware Identity Manager, vous devez préparer votre environnement. Cette préparationinclut le téléchargement du fichier OVA de VMware Identity Manager, la création d'enregistrements DNS etl'obtention d'adresses IP.

Prérequis

Avant de commencer à installer VMware Identity Manager, effectuez les tâches préalables.

n Vous avez besoin d'un ou plusieurs serveurs ESX pour déployer le dispositif virtuelVMware Identity Manager.

Remarque Pour obtenir des informations sur les versions des serveurs vSphere et ESX prises encharge, reportez-vous aux matrices d'interopérabilité des produits VMware à l'adressehttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

n VMware vSphere Client ou vSphere Web Client est requis pour déployer le fichier OVA et pour accéderau dispositif virtuel déployé à distance afin de configurer la mise en réseau.

n Téléchargez le fichier OVA VMware Identity Manager depuis le site Web de VMware.

Créer des enregistrements DNS et des adresses IPLe dispositif virtuel VMware Identity Manager doit disposer d'une entrée DNS et d'une adresse IP statique.Du fait que chaque entreprise administre ses adresses IP et ses enregistrements DNS de manière différente,avant de commencer l'installation, demandez l'enregistrement DNS et les adresses IP à utiliser.

La configuration de la recherche inversée est facultative. Lorsque vous implémentez la recherche inversée,vous devez définir un enregistrement PTR sur le serveur DNS afin que le dispositif virtuel utilise laconfiguration réseau adéquate.

Vous pouvez utiliser l'exemple de liste d'enregistrements DNS suivant lorsque vous parlez avec votreadministrateur réseau. Remplacez les informations de l'exemple par les informations de votreenvironnement. Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution.

Tableau 1‑1. Exemples d'enregistrements DNS et d'adresses IP qui utilisent la résolution

Nom de domaine Type de ressource Adresse IP

myidentitymanager.company.com Aoû 10.28.128.3

Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution inverse

Tableau 1‑2. Exemples d'enregistrements DNS et d'adresses IP qui utilisent la résolution inverse

Adresse IP Type de ressource Nom d'hôte

10.28.128.3 PTR myidentitymanager.company.com

Après avoir terminé la configuration DNS, vérifiez que la résolution DNS inverse est configuréecorrectement. Par exemple, la commande de dispositif virtuel host IPaddress doit être résolue en recherchede nom DNS.


VMware, Inc. 15

Utilisation d'un serveur DNS basé sur Unix/LinuxSi vous utilisez un serveur DNS basé sur Unix ou Linux et prévoyez de joindre VMware Identity Managerau domaine Active Directory, assurez-vous que les enregistrements de la ressource de service (SRV)appropriée sont créés pour chaque contrôleur de domaine Active Directory.

Remarque Si vous disposez d'un équilibrage de charge avec une adresse IP virtuelle (VIP) devant lesserveurs DNS, notez que VMware Identity Manager ne prend pas en charge l'utilisation d'une VIP. Vouspouvez spécifier plusieurs serveurs DNS séparés par une virgule.

Options de base de données dans VMware Identity ManagerConfigurez VMware Identity Manager avec une base de données externe pour stocker et organiser lesdonnées du serveur. Une base de données PostgreSQL interne est intégrée dans le dispositif, mais il n'est pasrecommandé de l'utiliser avec des déploiements de production.

Pour utiliser une base de données externe, votre administrateur de base de données doit préparer une basede données et un schéma externes vides avant de se connecter à la base de données externe dans l'Assistantde configuration. Les utilisateurs sous licence peuvent utiliser un serveur de base de données Microsoft SQLServer ou Oracle pour configurer un environnement de base de données externe haute disponibilité. Voir « Connexion à la base de données », page 34.

Connexion à l'annuaire d'entrepriseVMware Identity Manager utilise votre infrastructure d'annuaire d'entreprise pour l'authentification et lagestion des utilisateurs. Vous pouvez intégrer VMware Identity Manager avec un environnement ActiveDirectory composé d'un seul domaine Active Directory, de plusieurs domaines dans une forêt ActiveDirectory unique, ou de plusieurs domaines dans plusieurs forêts Active Directory. Vous pouvez égalementintégrer VMware Identity Manager à un annuaire LDAP. Pour synchroniser les utilisateurs et les groupes, ledispositif virtuel VMware Identity Manager doit se connecter à l'annuaire.

Votre annuaire doit être accessible sur le même réseau local que celui du dispositif virtuelVMware Identity Manager.

Voir Chapitre 4, « Intégration à votre annuaire d'entreprise », page 45 pour obtenir plus d'informations.

Listes de vérification de déploiementVous pouvez utiliser la liste de vérification du déploiement pour recueillir des informations nécessaires àl'installation du dispositif virtuel VMware Identity Manager.

Informations sur le nom de domaine completTableau 1‑3. Liste de vérification des informations sur le nom de domaine complet (FQDN)

Informations à collecter Afficher les informations

FQDN de VMware Identity Manager

Informations réseau sur le dispositif virtuel VMware Identity ManagerTableau 1‑4. Liste de vérification des informations réseau


adresse IP Vous devez utiliser une adresse IP statique et desenregistrements PTR et A doivent être définis dans le DNS.

Nom DNS de ce dispositif virtuel


16 VMware, Inc.

Tableau 1‑4. Liste de vérification des informations réseau (suite)


Adresse de la passerelle par défaut

Masque réseau ou préfixe

Informations sur le dossierVMware Identity Manager prend en charge l'intégration aux environnements d'annuaire Active Directoryou LDAP.

Tableau 1‑5. Liste de vérification des informations du contrôleur de domaine Active Directory


Nom du serveur Active Directory

Nom du domaine Active Directory

ND de base

Pour Active Directory via LDAP, le nom d'utilisateur et lemot de passe ND Bind

Pour Active Directory avec authentification Windowsintégrée, le nom d'utilisateur et le mot de passe du comptequi dispose de privilèges pour joindre les ordinateurs audomaine.

Tableau 1‑6. Liste de vérification des informations du serveur d'annuaire LDAP


Nom ou adresse IP du serveur d'annuaire LDAP

Numéro de port du serveur d'annuaire LDAP

ND de base

Nom d'utilisateur et mot de passe ND Bind

Filtres de recherche LDAP pour les objets de groupe, lesobjets d'utilisateur Bind et les objets d'utilisateur

Noms d'attribut LDAP pour l'appartenance, l'UUID d'objetet le nom unique

Certificats SSLIl est possible d'ajouter un certificat SSL après avoir déployé le dispositif virtuel VMware Identity Manager.

Tableau 1‑7. Liste de vérification des informations du certificat SSL


certificat SSL

Clé privée


VMware, Inc. 17

Clé de licenceTableau 1‑8. Liste de vérification des informations de la clé de licence VMware Identity Manager


Clé de licence

Remarque Les informations de la clé de licence sont entrées dans la console d'administration sur la pageParamètres du dispositif > Licence lorsque l'installation est terminée.

Base de données externeTableau 1‑9. Liste de vérification des informations de la base de données externe


Nom d'hôte de la base de données

Port

Nom d'utilisateur

Mot de passe

Programme d'amélioration du produitLorsque vous installez le dispositif virtuel VMware Identity Manager, vous pouvez choisir de participer auProgramme d'amélioration du produit de VMware.

Si vous participez au programme, VMware collecte des données anonymes sur votre déploiement afind'améliorer sa réponse aux exigences du client. Aucune donnée identifiant votre organisation n'est collectée.

Avant de collecter les données, VMware rend anonymes tous les champs contenant des informationspropres à votre organisation.

Remarque Si votre réseau est configuré pour accéder à Internet via un proxy HTTP, vous devez ajuster lesparamètres du proxy sur le dispositif virtuel VMware Identity Manager pour pouvoir envoyer cesinformations. Voir « Paramétrage du serveur proxy pour VMware Identity Manager », page 30.


18 VMware, Inc.

Déploiement d'VMware Identity Manager 2

Pour déployer VMware Identity Manager, déployez le modèle OVF à l'aide de vSphere Client ou vSphereWeb Client, mettez le dispositif virtuel VMware Identity Manager sous tension et configurez les paramètres.

Une fois le dispositif virtuel VMware Identity Manager déployé, vous utilisez l'Assistant de configurationpour configurer l'environnement de VMware Identity Manager.

Utilisez les informations de la liste de contrôle du déploiement pour terminer l'installation. Voir « Listes devérification de déploiement », page 16.


n « Installer le fichier OVA de VMware Identity Manager », page 19

n « (Facultatif) Ajouter des pools IP », page 21

n « Configurer les paramètres de VMware Identity Manager », page 22

n « Paramétrage du serveur proxy pour VMware Identity Manager », page 30

n « Saisir la clé de licence », page 31

Installer le fichier OVA de VMware Identity ManagerVous déployez le fichier OVA VMware Identity Manager à l'aide de vSphere Client ou vSphere Web Client.Vous pouvez télécharger et déployer le fichier OVA à partir d'un emplacement local accessible à vSphereClient ou le déployer à partir d'une URL Web.

Remarque Si vous utilisez vSphere Web Client, utilisez des navigateurs Firefox ou Chrome pour déployerle fichier OVA. N'utilisez pas Internet Explorer.

Prérequis

Consultez Chapitre 1, « Préparation de l'installation de VMware Identity Manager », page 9.

Procédure

1 Téléchargez le fichier OVA VMware Identity Manager depuis My VMware.

2 Connectez-vous à vSphere Client ou vSphere Web Client.

3 Sélectionnez Fichier > Déployer le modèle OVA.

VMware, Inc. 19

4 Dans l'assistant Déployer le modèle OVF, spécifiez les informations suivantes.

Page Description

Source Localisez l'emplacement du module OVA ou entrez une URL spécifique.

Détails du modèle OVF Examinez les détails du produit, y compris les exigences de version et detaille.

Contrat de Licence Utilisateur Final Lisez l'accord de licence d'utilisateur final et cliquez sur Accepter.

Nom et emplacement Saisissez un nom pour le dispositif virtuel VMware Identity Manager. Lenom doit être unique dans le dossier d'inventaire et contenir au maximum80 caractères. Les noms sont sensibles à la casse.Sélectionnez un emplacement pour le dispositif virtuel.

Hôte / Cluster Sélectionnez l'hôte ou le cluster sur lequel exécuter le dispositif virtuel.

Pool de ressources Sélectionnez le pool de ressources.

Stockage Sélectionnez le stockage pour les fichiers du dispositif virtuel. Vous pouvezégalement sélectionner un profil de stockage VM.

Format du disque Sélectionnez le format de disque pour les fichiers. Pour les environnementsde production, sélectionnez l'un des formats de provisionnement statique.Utilisez le format de provisionnement fin pour les évaluations et les tests.Au format Provisionnement statique, tout l'espace requis pour le disquevirtuel est alloué au cours du déploiement. Au format Provisionnementdynamique, le disque utilise uniquement la quantité d'espace de stockagedont il a besoin pour ses opérations initiales.

Mappage réseau Mappez les réseaux utilisés dans VMware Identity Manager aux réseauxde votre inventaire.

Propriétés a Dans le champ Paramètre de fuseau horaire, sélectionnez le fuseauhoraire correspondant.

b La case Programme d'amélioration du produit est cochée par défaut.VMware collecte des données anonymes sur votre déploiement afind'améliorer la réponse de VMware aux exigences des utilisateurs.Décochez la case si vous ne voulez pas que les données soientcollectées.

c Dans le champ Nom de l'hôte (FQDN), entrez le nom d'hôte à utiliser.Si ce champ est vide, le DNS inversé est utilisé pour rechercher le nomd'hôte.

d Configurez les propriétés de mise en réseau.n Pour configurer une adresse IP statique pour

VMware Identity Manager, entrez l'adresse dans les champsPasserelle par défaut, DNS, Adresse IP et Masque réseau.Remarque Si vous disposez d'un équilibrage de charge avec uneadresse IP virtuelle (VIP) devant les serveurs DNS, notez queVMware Identity Manager ne prend pas en charge l'utilisationd'une VIP. Vous pouvez spécifier plusieurs serveurs DNS séparéspar une virgule.Important Si l'un des quatre champs d'adresse, y compris Nomd'hôte, est vide, le protocole DHCP est utilisé.

n Pour configurer le protocole DHCP, laissez les champs d'adressevides.

Remarque Les champs Nom de domaine et Chemin de recherche dedomaine ne sont pas utilisés. Vous pouvez laisser ces champs vides.(Facultatif) Une fois VMware Identity Manager installé, vous pouvezconfigurer les pools d'adresses IP. Voir « (Facultatif) Ajouter des pools IP »,page 21.

Prêt à terminer Passez vos sélections en revue et cliquez sur Terminer. Selon la vitesse de votre réseau, le déploiement peut nécessiter plusieurs minutes. Vous pouvez voir laprogression dans la boîte de dialogue de progression qui s'affiche.

5 Une fois le déploiement terminé, cliquez sur Fermer dans la boîte de dialogue de progression.


20 VMware, Inc.

6 Sélectionnez le dispositif virtuel VMware Identity Manager que vous avez déployé, cliquez avec lebouton droit et sélectionnez Alimentation > Mettre sous tension.

Le dispositif virtuel VMware Identity Manager est initialisé. Vous pouvez accéder à l'onglet Consolepour voir les détails. Une fois l'initialisation du dispositif virtuel terminée, l'écran de la console affichela version de VMware Identity Manager, l'adresse IP et les URL pour vous connecter à l'interface Webde VMware Identity Manager et terminer la configuration.

Suivant

n (Facultatif) Ajoutez des pools IP.

n Configurez les paramètres de VMware Identity Manager, notamment la connexion à votre annuaireActive Directory ou LDAP et la sélection d'utilisateurs et de groupes à synchroniser avecVMware Identity Manager.

(Facultatif) Ajouter des pools IPLa configuration réseau avec des pools IP est facultative dans VMware Identity Manager. Vous pouvezajouter manuellement des pools IP au dispositif virtuel VMware Identity Manager après son installation.

Les pools IP agissent comme des serveurs DHCP pour attribuer des adresses IP du pool au dispositif virtuelVMware Identity Manager. Pour utiliser des pools IP, vous modifiez les propriétés de mise en réseau dudispositif virtuel afin de changer les propriétés en propriétés dynamiques et configurez les paramètres demasque réseau, de passerelle et DNS.

Prérequis

Le dispositif virtuel doit être désactivé.

Procédure

1 Dans vSphere Client ou vSphere Web Client, cliquez avec le bouton droit sur le dispositif virtuelVMware Identity Manager et sélectionnez Modifier les paramètres.

2 Sélectionnez l'onglet Options.

3 Sous Options vApp, cliquez sur Avancé.

4 Dans la section Propriétés sur la droite, cliquez sur le bouton Propriétés.

5 Dans la boîte de dialogue Configuration avancée des propriétés, configurez les clés suivantes :

n vami.DNS.WorkspacePortal

n vami.netmask0.WorkspacePortal

n vami.gateway.WorkspacePortal

a Sélectionnez l'une des clés et cliquez sur Modifier.

b Dans la boîte de dialogue Modifier les paramètres de propriété, à côté du champ Type, cliquez surModifier.

c Dans la boîte de dialogue Modifier le type de propriété, sélectionnez Propriété dynamique, puischoisissez dans le menu déroulant la valeur appropriée pour Masque réseau, Adresse de lapasserelle et Serveurs DNS, respectivement.

d Cliquez sur OK, puis de nouveau sur OK.

e Répétez ces étapes pour configurer chaque clé.

6 Mettez sous tension le dispositif virtuel.

Les propriétés sont configurées pour utiliser des pools IP.

Chapitre 2 Déploiement d' VMware Identity Manager

VMware, Inc. 21

Suivant

Configurez les paramètres de VMware Identity Manager.

Configurer les paramètres de VMware Identity ManagerUne fois le fichier OVA VMware Identity Manager déployé, vous utilisez l'Assistant de configuration pourdéfinir des mots de passe et sélectionner une base de données. Ensuite, vous configurez la connexion à votreannuaire Active Directory ou LDAP.

Prérequis

n Le dispositif virtuel VMware Identity Manager est mis sous tension.

n Si vous utilisez une base de données externe, elle est configurée et ses informations de connexion sontdisponibles. Voir « Connexion à la base de données », page 34 pour plus d'informations.

n Examinez Chapitre 4, « Intégration à votre annuaire d'entreprise », page 45, « Intégration à ActiveDirectory », page 47 et « Intégrer un annuaire LDAP au service », page 62 pour voir les exigences etles limites.

n Vous disposez de vos informations sur l'annuaire Active Directory ou LDAP.

n Lorsqu'une instance d'Active Directory à forêts multiples est configurée et que le groupe local dudomaine contient des membres de domaines situés dans différentes forêts, l'utilisateur Bind DN utilisésur la page VMware Identity Manager Directory doit être ajouté au groupe d'administrateurs dudomaine dans lequel réside le groupe local du domaine. Sinon, ces membres ne seront pas présentsdans le groupe local du domaine.

n Vous disposez d'une liste des attributs utilisateur à utiliser comme filtres et d'une liste des groupes àajouter à VMware Identity Manager.

Procédure

1 Accédez à l'URL de VMware Identity Manager qui est affichée sur l'écran bleu dans l'onglet Console.Par exemple, https://hostname.example.com.

2 Acceptez le certificat, si vous y êtes invité.

3 Sur la page Mise en route, cliquez sur Continuer.

4 Sur la page Définir les mots de passe, définissez des mots de passe pour les comptes d'administrateursuivants, qui sont utilisés pour gérer le dispositif, puis cliquez sur Continuer.

Compte

Administrateur du dispositif Définissez le mot de passe pour l'utilisateur admin. Ce nomd'utilisateur ne peut pas être modifié. Le compte d'utilisateur Adminest utilisé pour gérer les paramètres du dispositif.Important Le mot de passe de l'utilisateur Admin doit contenir aumoins 6 caractères.

Racine du dispositif Définissez le mot de passe de l'utilisateur root. L'utilisateur rootdispose de droits complets sur le dispositif.

Utilisateur distant Définissez le mot de passe sshuser, qui est utilisé pour se connecter àdistance au dispositif avec une connexion SSH.


22 VMware, Inc.

5 Sur la page Sélectionner une base de données, sélectionnez la base de données à utiliser.

Voir « Connexion à la base de données », page 34 pour obtenir plus d'informations.

n Si vous utilisez une base de données externe, sélectionnez Base de données externe et entrez lesinformations de connexion de la base de données externe, le nom d'utilisateur et le mot de passe.Pour vérifier que VMware Identity Manager peut se connecter à la base de données, cliquez surTester la connexion.

Après avoir vérifié la connexion, cliquez sur Continuer.

n Si vous utilisez la base de données interne, cliquez sur Continuer.

Remarque Il n'est pas recommandé d'utiliser la base de données interne avec des déploiements deproduction.

La connexion à la base de données est configurée et la base de données est initialisée. Lorsque leprocessus est terminé, la page La configuration est terminée s'affiche.

6 Cliquez sur le lien Connectez-vous à la console d'administration sur la page La configuration estterminée pour vous connecter à la console d'administration afin de configurer la connexion del'annuaire Active Directory ou LDAP.

7 Connectez-vous à la console d'administration en tant qu'utilisateur admin, à l'aide du mot de passe quevous avez défini.

Vous êtes connecté en tant qu'administrateur local. La page Annuaires s'affiche. Avant d'ajouter unannuaire, veillez à examiner Chapitre 4, « Intégration à votre annuaire d'entreprise », page 45, « Intégration à Active Directory », page 47 et « Intégrer un annuaire LDAP au service », page 62 pourvoir les exigences et les limites.

8 Cliquez sur l'onglet Identité et gestion de l'accès.

9 Cliquez sur Configuration > Attributs utilisateur pour sélectionner les attributs utilisateur àsynchroniser avec l'annuaire.

Les attributs par défaut sont répertoriés et vous pouvez sélectionner ceux qui sont obligatoires. Si unattribut est marqué comme requis, seuls les utilisateurs avec cet attribut sont synchronisés avec leservice. Vous pouvez également ajouter d'autres attributs.

Important Une fois l'annuaire créé, il n'est pas possible de modifier un attribut pour le faire passer àl'état obligatoire. Vous devez faire cette sélection maintenant.

De plus, sachez que les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuairesdans le service. Lorsque vous marquez un attribut comme requis, tenez compte de l'effet sur les autresannuaires. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont passynchronisés avec le service.

Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager,vous devez faire de distinguishedName un attribut obligatoire.

10 Cliquez sur Enregistrer.


12 Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire ActiveDirectory sur LDAP/IWA ou Ajouter un annuaire LDAP, en fonction du type d'annuaire que vousintégrez.

Vous pouvez également créer un répertoire local dans le service. Pour plus d'informations surl'utilisation des répertoires locaux, reportez-vous à la section Chapitre 5, « Utilisation de répertoireslocaux », page 69.


VMware, Inc. 23

13 Pour Active Directory, suivez ces étapes.

a Entrez un nom pour l'annuaire que vous créez dans VMware Identity Manager et sélectionnez letype d'annuaire, Active Directory sur LDAP ou Active Directory (authentification Windowsintégrée).

b Fournissez les informations de connexion.

Option Description

Active Directory via LDAP 1 Dans le champ Synchroniser le connecteur, sélectionnez leconnecteur que vous voulez utiliser pour synchroniser desutilisateurs et des groupes d'Active Directory avec l'annuaireVMware Identity Manager.

Un composant de connecteur est toujours disponible avec le serviceVMware Identity Manager par défaut. Ce connecteur apparaît dansla liste déroulante. Si vous installez plusieurs dispositifsVMware Identity Manager pour la haute disponibilité, lecomposant de connecteur de chaque dispositif apparaît dans laliste.

2 Dans le champ Authentification, sélectionnez Oui si vous voulezutiliser cet annuaire Active Directory pour authentifier desutilisateurs.

Si vous voulez utiliser un fournisseur d'identité tiers pourauthentifier des utilisateurs, cliquez sur Non. Après avoir configuréla connexion Active Directory pour synchroniser les utilisateurs etles groupes, accédez à la page Identité et gestion de l'accès > Gérer> Fournisseurs d'identité pour ajouter le fournisseur d'identitétiers à des fins d'authentification.

3 Dans le champ Attribut de recherche d'annuaire, sélectionnezl'attribut de compte qui contient le nom d'utilisateur.

4 Si l'annuaire Active Directory utilise la recherche de l'emplacementdu service DNS, faites les sélections suivantes.n Dans la section Emplacement du serveur, cochez la case Ce

répertoire prend en charge l'emplacement du service DNS.

Un fichier domain_krb.properties, rempli automatiquementavec une liste de contrôleurs de domaine, sera créé lors de lacréation de l'annuaire. Voir « À propos de la sélection descontrôleurs de domaine (fichier domain_krb.properties) »,page 49.

n Si l'annuaire Active Directory requiert le chiffrementSTARTTLS, cochez la case Cet annuaire exige que toutes lesconnexions utilisent SSL dans la section Certificats, puiscopiez et collez le certificat d'autorité de certification racineActive Directory dans le champ Certificat SSL.

Vérifiez que le certificat est au format PEM et incluez les lignes« BEGIN CERTIFICATE » et « END CERTIFICATE ».Remarque Si l'annuaire Active Directory requiert STARTTLSet que vous ne fournissez pas le certificat, vous ne pouvez pascréer l'annuaire.

5 Si l'annuaire Active Directory n'utilise pas la recherche del'emplacement du service DNS, faites les sélections suivantes.n Dans la section Emplacement du serveur, vérifiez que la case

Cet annuaire prend en charge l'emplacement du service DNSn'est pas cochée et entrez le nom d'hôte et le numéro de port duserveur Active Directory.

Pour configurer l'annuaire comme catalogue global, reportez-vous à la section Environnement Active Directory à forêtunique et domaines multiples au chapitre « EnvironnementsActive Directory », page 47.


24 VMware, Inc.

Option Description

n Si l'annuaire Active Directory requiert un accès via SSL, cochezla case Cet annuaire exige que toutes les connexions utilisentSSL dans la section Certificats, puis copiez et collez le certificatd'autorité de certification racine Active Directory dans lechamp Certificat SSL.

Vérifiez que le certificat est au format PEM et incluez les lignes« BEGIN CERTIFICATE » et « END CERTIFICATE ».Remarque Si l'annuaire Active Directory requiert SSL et quevous ne fournissez pas le certificat, vous ne pouvez pas créerl'annuaire.

6 Dans la section Autoriser la modification du mot de passe,sélectionnez Activer la modification du mot de passe si vousvoulez autoriser les utilisateurs à réinitialiser leurs mots de passesur la page de connexion de VMware Identity Manager si le mot depasse expire ou si l'administrateur Active Directory réinitialise lemot de passe de l'utilisateur.

7 Dans le champ ND de base, entrez le ND à partir duquel voussouhaitez lancer les recherches de comptes. Par exemple :OU=myUnit,DC=myCorp,DC=com.

8 Dans le champ ND Bind, entrez le compte pouvant rechercher desutilisateurs. Par exemple :CN=binduser,OU=myUnit,DC=myCorp,DC=com.Remarque Il est recommandé d'utiliser un compte d'utilisateur denom unique de liaison avec un mot de passe sans date d'expiration.

9 Après avoir entré le mot de passe Bind, cliquez sur Tester laconnexion pour vérifier que l'annuaire peut se connecter à votreannuaire Active Directory.

Active Directory (authentificationWindows intégrée)

1 Dans le champ Synchroniser le connecteur, sélectionnez leconnecteur que vous voulez utiliser pour synchroniser desutilisateurs et des groupes d'Active Directory avec l'annuaireVMware Identity Manager.


2 Dans le champ Authentification, si vous voulez utiliser cetannuaire Active Directory pour authentifier des utilisateurs,cliquez sur Oui.

Si vous voulez utiliser un fournisseur d'identité tiers pourauthentifier des utilisateurs, cliquez sur Non. Après avoir configuréla connexion Active Directory pour synchroniser les utilisateurs etles groupes, accédez à la page Identité et gestion de l'accès > Gérer> Fournisseurs d'identité pour ajouter le fournisseur d'identitétiers à des fins d'authentification.

3 Dans le champ Attribut de recherche d'annuaire, sélectionnezl'attribut de compte qui contient le nom d'utilisateur.

4 Si l'annuaire Active Directory requiert le chiffrement STARTTLS,cochez la case Cet annuaire a besoin de toutes les connexionspour pouvoir utiliser STARTTLS dans la section Certificats, puiscopiez et collez le certificat d'autorité de certification racine ActiveDirectory dans le champ Certificat SSL.

Vérifiez que le certificat est au format PEM et incluez les lignes« BEGIN CERTIFICATE » et « END CERTIFICATE ».

Si l'annuaire dispose de plusieurs domaines, ajoutez les certificatsd'autorité de certification racine pour tous les domaines, un par un.


VMware, Inc. 25

Option DescriptionRemarque Si l'annuaire Active Directory requiert STARTTLS etque vous ne fournissez pas le certificat, vous ne pouvez pas créerl'annuaire.

5 Entrez le nom du domaine Active Directory à joindre. Entrez unnom d'utilisateur et un mot de passe disposant des droits pourjoindre le domaine. Voir « Autorisations requises pour joindre undomaine », page 55 pour obtenir plus d'informations.

6 Dans la section Autoriser la modification du mot de passe,sélectionnez Activer la modification du mot de passe si vousvoulez autoriser les utilisateurs à réinitialiser leurs mots de passesur la page de connexion de VMware Identity Manager si le mot depasse expire ou si l'administrateur Active Directory réinitialise lemot de passe de l'utilisateur.

7 Dans le champ UPN de l'utilisateur Bind, entrez le nom principalde l'utilisateur pouvant s'authentifier dans le domaine. Parexemple, [email protected] Il est recommandé d'utiliser un compte d'utilisateur denom unique de liaison avec un mot de passe sans date d'expiration.

8 Entrez le mot de passe de l'utilisateur ND Bind.

c Cliquez sur Enregistrer et Suivant.

La page contenant la liste de domaines apparaît.


26 VMware, Inc.

14 Pour les annuaires LDAP, suivez ces étapes.

a Fournissez les informations de connexion.

Option Description

Nom du répertoire Nom de l'annuaire que vous créez dans VMware Identity Manager.

Synchronisation etauthentification du répertoire

1 Dans le champ Synchroniser le connecteur, sélectionnez leconnecteur que vous voulez utiliser pour synchroniser desutilisateurs et des groupes de l'annuaire LDAP avec l'annuaireVMware Identity Manager.


Vous n'avez pas besoin d'un connecteur séparé pour un annuaireLDAP. Un connecteur peut prendre en charge plusieurs annuaires,qu'il s'agisse d'annuaires Active Directory ou LDAP.

2 Dans le champ Authentification, sélectionnez Oui si vous voulezutiliser cet annuaire LDAP pour authentifier des utilisateurs.

Si vous voulez utiliser un fournisseur d'identité tiers pourauthentifier des utilisateurs, sélectionnez Non. Après avoir ajoutéla connexion d'annuaire pour synchroniser les utilisateurs et lesgroupes, accédez à la page Identité et gestion de l'accès > Gérer >Fournisseurs d'identité pour ajouter le fournisseur d'identité tiersà des fins d'authentification.

3 Dans le champ Attribut de recherche d'annuaire, spécifiezl'attribut d'annuaire LDAP à utiliser pour le nom d'utilisateur. Sil'attribut n'est pas répertorié, sélectionnez Personnalisé et tapez lenom de l'attribut. Par exemple, cn.

Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pourl'hôte de serveur, vous pouvez spécifier le nom de domaine complet oul'adresse IP. Par exemple : myLDAPserver.example.com ou100.00.00.0.Si vous disposez d'un cluster de serveurs derrière un équilibrage decharge, entrez les informations de ce dernier à la place.

Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP queVMware Identity Manager peut utiliser pour interroger votre annuaireLDAP. Les valeurs par défaut sont fournies en fonction du schémaLDAP principal.Requêtes LDAPn Obtenir des groupes : filtre de recherche pour obtenir des objets de

groupe.

Par exemple : (objectClass=group)n Obtenir l'utilisateur Bind : filtre de recherche pour obtenir l'objet

d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaisonà l'annuaire.

Par exemple : (objectClass=person)n Obtenir l'utilisateur : filtre de recherche pour obtenir des

utilisateurs à synchroniser.

Par exemple :(&(objectClass=user)(objectCategory=person))

Attributsn Appartenance : attribut utilisé dans votre annuaire LDAP pour

définir les membres d'un groupe.

Par exemple : membre


VMware, Inc. 27

Option Description

n UUID d'objet : attribut utilisé dans votre annuaire LDAP pourdéfinir l'UUID d'un utilisateur ou d'un groupe.

Par exemple : entryUUIDn Nom unique : attribut utilisé dans votre annuaire LDAP pour le

nom unique d'un utilisateur ou d'un groupe.

Par exemple : entryDN

Certificats Si votre annuaire LDAP requiert un accès sur SSL, sélectionnez Cetannuaire exige que toutes les connexions utilisent SSL, copiez etcollez le certificat SSL d'autorité de certification racine du serveurd'annuaire LDAP. Vérifiez que le certificat est au format PEM et incluezles lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».

Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel voussouhaitez lancer les recherches. Par exemple,cn=users,dc=example,dc=comNom unique Bind : entrez le nom d'utilisateur à utiliser pour établir laliaison à l'annuaire LDAP.Remarque Il est recommandé d'utiliser un compte d'utilisateur denom unique de liaison avec un mot de passe sans date d'expiration.Mot de passe du nom unique de liaison : entrez le mot de passe del'utilisateur de nom unique de liaison.

b Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion.

Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez lesmodifications nécessaires.

c Cliquez sur Enregistrer et Suivant.

La page répertoriant le domaine s'affiche.

15 Pour un annuaire LDAP, le domaine est répertorié et ne peut pas être modifié.

Pour Active Directory sur LDAP, les domaines sont répertoriés et ne peuvent pas être modifiés.

Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent êtreassociés à cette connexion Active Directory.

Remarque Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne ledétecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connecteur doitquitter, puis rejoindre le domaine. Lorsque le connecteur rejoint le domaine, le domaine d'approbationapparaît dans la liste.

Cliquez sur Suivant.

16 Vérifiez que les noms d'attribut de VMware Identity Manager sont mappés sur les bons attributsd'Active Directory ou LDAP et apportez des modifications, si nécessaire.

Important Si vous intégrez un annuaire LDAP, vous devez spécifier un mappage pour l'attributdomain.

17 Cliquez sur Suivant.


28 VMware, Inc.

18 Sélectionnez les groupes que vous souhaitez synchroniser entre l'annuaire Active Directory ou LDAP etl'annuaire VMware Identity Manager.

Option Description

Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe etsélectionnez les groupes situés en dessous.a Cliquez sur + et spécifiez le ND du groupe. Par exemple,

CN=users,DC=example,DC=company,DC=com.Important Spécifiez des ND du groupe qui se trouvent sous le nomunique de base que vous avez entré. Si un ND du groupe se trouve endehors du nom unique de base, les utilisateurs de ce ND serontsynchronisés, mais ne pourront pas se connecter.

b Cliquez sur Rechercher des groupes.

La colonne Groupes à synchroniser répertorie le nombre de groupestrouvés dans le ND.

c Pour sélectionner tous les groupes dans le ND, cliquez surSélectionner tout, sinon cliquez sur Sélectionner et sélectionnez lesgroupes spécifiques à synchroniser.Remarque Si vous disposez de plusieurs groupes avec le même nomdans votre annuaire LDAP, vous devez spécifier des noms uniquesdans VMware Identity Manager. Vous pouvez modifier le nom lors dela sélection du groupe.

Remarque Lorsque vous synchronisez un groupe, les utilisateurs nedisposant pas d'Utilisateurs de domaine comme groupe principal dansActive Directory ne sont pas synchronisés.

Synchroniser les membres dugroupe imbriqué

L'option Synchroniser les membres du groupe imbriqué est activée pardéfaut. Lorsque cette option est activée, tous les utilisateurs quiappartiennent directement au groupe que vous sélectionnez, ainsi que lesutilisateurs qui appartiennent à des groupes imbriqués sous ce groupe,sont synchronisés. Notez que les groupes imbriqués ne sont passynchronisés ; seuls les utilisateurs qui appartiennent aux groupesimbriqués le sont. Dans l'annuaire VMware Identity Manager, cesutilisateurs seront des membres du groupe parent que vous avezsélectionné pour la synchronisation.Si l'option Synchroniser les membres du groupe imbriqué est désactivée,lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs quiappartiennent directement à ce groupe sont synchronisés. Les utilisateursqui appartiennent à des groupes imbriqués sous ce groupe ne sont passynchronisés. La désactivation de cette option est utile pour lesconfigurations Active Directory importantes pour lesquelles parcourir unearborescence de groupes demande beaucoup de ressources et de temps. Sivous désactivez cette option, veillez à sélectionner tous les groupes dontvous voulez synchroniser les utilisateurs.


20 Spécifiez des utilisateurs supplémentaires à synchroniser, si nécessaire.

a Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrezCN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Important Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vousavez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ceND seront synchronisés, mais ne pourront pas se connecter.

b (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains typesd'utilisateurs.

Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.



VMware, Inc. 29

22 Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire etpour voir le planning de synchronisation.

Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation,cliquez sur les liens Modifier.

23 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire.

Remarque Si une erreur de mise en réseau se produit et si le nom d'hôte ne peut pas être résolu de manièreunique à l'aide de la résolution DNS inverse, le processus de configuration s'arrête. Vous devez corriger lesproblèmes de mise en réseau et redémarrer le dispositif virtuel. Vous pouvez ensuite poursuivre leprocessus de déploiement. Les nouveaux paramètres réseau ne seront disponibles qu'après le redémarragedu dispositif virtuel.

Suivant

Pour plus d'informations sur la configuration d'un équilibrage de charge ou de la haute disponibilité,reportez-vous au Chapitre 6, « Configuration avancée du dispositif VMware Identity Manager », page 79.

Vous pouvez personnaliser le catalogue de ressources des applications de votre organisation et activerl'accès utilisateur à ces ressources. Vous pouvez également configurer d'autres ressources, y compris lesapplications View, ThinApp et Citrix. Consultez le document Configuration des ressources dans VMwareIdentity Manager.

Paramétrage du serveur proxy pour VMware Identity ManagerLe dispositif virtuel VMware Identity Manager accède au catalogue d'applications Cloud et à d'autresservices Web sur Internet. Si votre configuration réseau fournit un accès à Internet via un proxy HTTP, vousdevez régler les paramètres de votre proxy sur le dispositif VMware Identity Manager.

Autorisez uniquement la gestion du trafic Internet sur votre serveur proxy. Pour vous assurer que le serveurproxy est correctement configuré, définissez le paramètre du trafic interne sur no-proxy dans le domaine.

Remarque Les serveurs proxy qui requièrent l'authentification ne sont pas pris en charge.

Procédure

1 Dans vSphere Client, connectez-vous en tant qu'utilisateur racine au dispositif virtuelVMware Identity Manager.

2 Entrez YaST sur la ligne de commande pour exécuter l'utilitaire YaST.

3 Sélectionnez Services réseau dans le volet de gauche, puis sélectionnez Proxy.

4 Entrez les URL du serveur proxy dans les champs URL de proxy HTTP et URL de proxy HTTPS.

5 Sélectionnez Terminer et quittez l'utilitaire YaST.

6 Redémarrez le serveur Tomcat sur le dispositif virtuel VMware Identity Manager pour utiliser lesnouveaux paramètres de proxy.

service horizon-workspace restart

Le catalogue d'applications Cloud et autres services Web sont désormais disponibles dansVMware Identity Manager.


30 VMware, Inc.

Saisir la clé de licenceAprès le déploiement du dispositif VMware Identity Manager, saisissez votre clé de licence.

Procédure

1 Connectez-vous à la console d'administration de VMware Identity Manager.

2 Sélectionnez l'onglet Paramètres du dispositif, puis cliquez sur Licence.

3 Sur la page Paramètres de la licence, saisissez la clé de licence et cliquez sur Enregistrer.


VMware, Inc. 31


32 VMware, Inc.

Gestion des paramètres deconfiguration de système dudispositif 3

Une fois la configuration initiale du dispositif terminée, accédez aux pages d'administration du dispositifpour installer des certificats, gérer les mots de passe et suivre les informations système du dispositif virtuel.

Vous pouvez également mettre à jour la base de données, le nom de domaine complet et syslog, ettélécharger les fichiers journaux.

Nom de la page Description du réglage

Connexion à la base de données Le paramètre de connexion à la base de données, interneou externe, est activé. Vous pouvez modifier le type de labase de données. Lorsque vous sélectionnez la base dedonnées externe, vous entrez son URL, son nomd'utilisateur et son mot de passe. Pour configurer une basede données externe, reportez-vous à « Connexion à la basede données », page 34.

Installer le certificat Sur cette page, vous installez un certificat personnalisé ouauto-signé pour VMware Identity Manager et, siVMware Identity Manager est configuré avec unéquilibrage de charge, vous pouvez installer le certificatracine de l'équilibrage de charge. L'emplacement ducertificat de l'autorité de certification racine deVMware Identity Manager est également affiché sur cettepage, dans l'onglet Interrompre SSL sur un équilibrage decharge. Voir « Utilisation des certificats SSL », page 38.

FQDN d'Identity Manager Le FQDN de VMware Identity Manager s'affiche sur cettepage. Vous pouvez le modifier. Le FQDN deVMware Identity Manager correspond à l'URL que lesutilisateurs utilisent pour accéder au service.

Configurer Syslog Sur cette page, vous pouvez activer un serveur syslogexterne. Les journaux de VMware Identity Manager sontenvoyés à ce serveur externe. Voir « Activation du serveurSyslog », page 42.

Changer le mot de passe Sur cette page, vous pouvez changer le mot de passe del'utilisateur administrateur de VMware Identity Manager.

Sécurité du système Sur cette page, vous pouvez changer le mot de passe racinedu dispositif VMware Identity Manager et le mot de passede l'utilisateur ssh utilisé pour se connecter à distance.

Emplacements des fichiers journaux Cette page affiche une liste des fichiers journaux et lesemplacements de leurs répertoires. Vous pouvezrassembler les fichiers journaux dans un fichier compresséà télécharger. Voir « Informations sur le fichier journal »,page 42.

VMware, Inc. 33

Vous pouvez également modifier l'URL du connecteur. Voir « Modification de l'URL de connecteur »,page 41.


n « Modifier les paramètres de configuration du dispositif », page 34

n « Connexion à la base de données », page 34

n « Utilisation des certificats SSL », page 38

n « Modification de l'URL du service VMware Identity Manager », page 41

n « Modification de l'URL de connecteur », page 41

n « Activation du serveur Syslog », page 42

n « Informations sur le fichier journal », page 42

n « Gestion des mots de passe de vos dispositifs », page 43

n « Configurer les paramètres SMTP », page 44

Modifier les paramètres de configuration du dispositifAprès avoir configuré VMware Identity Manager, vous pouvez accéder aux pages Paramètres du dispositifpour mettre à jour la configuration actuelle et surveiller les informations système du dispositif virtuel.

Procédure

1 Connectez-vous à la console d'administration.

2 Sélectionnez l'onglet Paramètres du dispositif et cliquez sur Gérer la configuration.

3 Connectez-vous avec le mot de passe de l'administrateur de service.

4 Dans le volet de gauche, sélectionnez la page à afficher ou à modifier.

Suivant

Vérifiez que les paramètres que vous définissez ou les mises à jour que vous effectuez sont maintenantappliqués.

Connexion à la base de donnéesUne base de données PostgreSQL interne est intégrée dans le dispositif VMware Identity Manager, mais iln'est pas recommandé de l'utiliser avec des déploiements de production. Pour utiliser une base de donnéesexterne avec VMware Identity Manager, votre administrateur de base de données doit préparer une base dedonnées et un schéma vides avant de se connecter à la base de données dans VMware Identity Manager.

Vous pouvez vous connecter à la base de données externe lorsque vous exécutez l'assistant de configurationde VMware Identity Manager. Vous pouvez également accéder à la page Paramètres du dispositif >Configuration VA > Configuration de la connexion à la base de données pour configurer la connexion à labase de données externe.

Les utilisateurs sous licence peuvent utiliser une base de données Oracle externe ou Microsoft SQL Serverpour configurer un environnement de base de données haute disponibilité.


34 VMware, Inc.

Configurer une base de données Microsoft SQLPour utiliser une base de données Microsoft SQL pour VMware Identity Manager, vous devez créer unebase de données sur le serveur Microsoft SQL Server.

Vous créez une base de données nommée saas sur le serveur Microsoft SQL Server et créez un utilisateur deconnexion nommé horizon.

Remarque Le classement par défaut est sensible à la casse.

Prérequis

n Version prise en charge du serveur Microsoft SQL Server installé en tant que serveur de base dedonnées externe.

n Implémentation de l'équilibrage de charge configurée.

n Droits d'administrateur pour accéder et créer les composants de base de données à l'aide de MicrosoftSQL Server Management Studio ou d'un autre client CLI de Microsoft SQL Server.

Procédure

1 Ouvrez une session sur Microsoft SQL Server Management Studio en tant que sysadmin ou utilisateurd'un compte ayant les privilèges sysadmin.

La fenêtre de l'éditeur s'affiche.

2 Dans la barre d'outils, cliquez sur Nouvelle requête.

3 Coupez et collez les commandes suivantes dans la fenêtre de l'éditeur.

Commandes Microsoft SQL

CREATE DATABASE saas

COLLATE Latin1_General_CS_AS;

ALTER DATABASE saas SET READ_COMMITTED_SNAPSHOT ON;

GO

BEGIN

CREATE LOGIN horizon WITH PASSWORD = N'H0rizon!';

END

GO

USE saas;

IF EXISTS (SELECT * FROM sys.database_principals WHERE name = N'horizon')

DROP USER [horizon]

GO

CREATE USER horizon FOR LOGIN horizon

WITH DEFAULT_SCHEMA = saas;

GO

CREATE SCHEMA saas AUTHORIZATION horizon

GRANT ALL ON DATABASE::saas TO horizon;

GO

4 Dans la barre d'outils, cliquez sur!Execute.

Le serveur de base de données Microsoft SQL Server est maintenant prêt à être connecté à la base dedonnées VMware Identity Manager.

Chapitre 3 Gestion des paramètres de configuration de système du dispositif

VMware, Inc. 35

Suivant

Configurez la base de données externe sur le serveur VMware Identity Manager. Dans la consoled'administration de VMware Identity Manager, accédez à la page Paramètres du dispositif > ConfigurationVA > Configuration de la connexion à la base de données. Entrez l'URL JDBCjdbc:sqlserver://<hostname-or-DB_VM_IP_ADDR>;DatabaseName=saas. Entrez le nom d'utilisateur et le motde passe créés pour la base de données. Voir « Configurer VMware Identity Manager pour utiliser une basede données externe », page 37

Configuration d'une base de données OraclePendant l'installation de la base de données Oracle, vous devez spécifier certaines configurations Oraclepour optimiser les performances avec VMware Identity Manager.

Prérequis

La base de données Oracle que vous créez portera le nom saas. VMware Identity Manager nécessite desidentificateurs Oracle entre guillemets pour le nom d'utilisateur et le schéma. Par conséquent, vous devezutiliser des guillemets doubles lors de la création du nom d'utilisateur et du schéma saas Oracle.

Procédure

1 Spécifiez les paramètres suivants lors de la création d'une base de données Oracle.

a Sélectionnez l'option de configuration General Purpose/Transaction Processing Database.

b Cliquez sur Use Unicode > UTF8.

c Utilisez le jeu de caractères national.

2 Connectez-vous à la base de données Oracle une fois l'installation terminée.

3 Connectez-vous à la base de données Oracle en tant qu'utilisateur sys.

4 Augmentez le nombre de connexions de processus. Chaque machine virtuelle de servicesupplémentaire nécessite un minimum de 300 connexions de processus pour fonctionner avecVMware Identity Manager. Par exemple, si votre environnement dispose de deux machines virtuellesde service, exécutez la commande alter en tant qu'utilisateur sys ou system.

a Augmentez le nombre de connexions de processus à l'aide de la commande alter.

alter system set processes=600 scope=spfile

b Redémarrez la base de données.


36 VMware, Inc.

5 Créez un déclencheur de base de données que tous les utilisateurs peuvent utiliser.

Exemple de code SQL de création d'un déclencheur de base de données

CREATE OR REPLACETRIGGER CASE_INSENSITIVE_ONLOGONAFTER LOGON ON DATABASEDECLAREusername VARCHAR2(30);BEGINusername:=SYS_CONTEXT('USERENV','SESSION_USER');IF username = 'saas' THENexecute immediate 'alter session set NLS_SORT=BINARY_CI';execute immediate 'alter session set NLS_COMP=LINGUISTIC';END IF;EXCEPTIONWHEN OTHERS THENNULL;END;

6 Exécutez les commandes Oracle pour créer un schéma d'utilisateur.

Exemple de code SQL de création d'un utilisateur

CREATE USER "saas"IDENTIFIED BY <password>DEFAULT TABLESPACE USERSTEMPORARY TABLESPACE TEMPPROFILE DEFAULTACCOUNT UNLOCK;GRANT RESOURCE TO "saas" ;GRANT CONNECT TO "saas" ;ALTER USER "saas" DEFAULT ROLE ALL;GRANT UNLIMITED TABLESPACE TO "saas";

Administration de la base de données interneLa base de données PostgreSQL interne est configurée et prête à être utilisée par défaut. Notez qu'il n'est pasrecommandé d'utiliser la base de données interne avec des déploiements de production.

Lorsque VMware Identity Manager est installé et activé, lors du processus d'initialisation, un mot de passealéatoire pour l'utilisateur de la base de données interne est généré. Ce mot de passe est unique à chaquedéploiement et il est disponible dans le fichier /usr/local/horizon/conf/db.pwd.

Pour configurer votre base de données interne pour la haute disponibilité, consultez l'article 2094258 de labase de connaissances.

Configurer VMware Identity Manager pour utiliser une base de données externeAprès avoir configuré la base de données dans l'Assistant de configuration de VMware Identity Manager,vous pouvez configurer VMware Identity Manager pour qu'il utilise une base de données différente.

Vous devez faire pointer VMware Identity Manager vers une base de données initialisée et peuplée. Parexemple, vous pouvez utiliser une base de données configurée après une exécution réussie de l'assistantConfiguration d'VMware Identity Manager, une base de donnée provenant d'une sauvegarde ou une basede données existante provenant d'un snapshot restauré.


VMware, Inc. 37

Prérequis

n Installez et configurez l'édition de Microsoft SQL ou Oracle prise en charge comme serveur de base dedonnées externe. Pour plus d'informations sur les versions spécifiques prises en charge parVMware Identity Manager, consultez les matrices d'interopérabilité des produits VMware à l'adressehttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php.

Procédure

1 Dans la console d'administration, cliquez sur Paramètres du dispositif et sélectionnez ConfigurationVA.

2 Cliquez sur Gérer la configuration.

3 Connectez-vous avec le mot de passe d'administrateur de VMware Identity Manager.

4 Sur la page Configuration de la connexion à la base de données, sélectionnez Base de données externecomme type de base de données.

5 Entrez les informations de connexion de la base de données.

a Tapez l'URL JDBC du serveur de base de données.

Microsoft SQL jdbc:sqlserver://hostname_or_IP_address;DatabaseName=horizon

Oracle jdbc:oracle:thin:@//hostname_or_IP_address:port/sid

b Tapez le nom de l'utilisateur disposant de privilèges de lecture et d'écriture sur la base de données.

Microsoft SQL horizon

Oracle “saas”

c Tapez le mot de passe de l'utilisateur que vous avez créé lors de la configuration de la base dedonnées.

6 Cliquez sur Tester la connexion pour vérifier puis enregistrer les informations.

Utilisation des certificats SSLLorsque le dispositif VMware Identity Manager est installé, un certificat de serveur SSL par défaut estgénéré automatiquement. Vous pouvez utiliser ce certificat auto-signé pour effectuer un test général del'installation. VMware vous recommande vivement de générer et d'installer des certificats SSL commerciauxdans votre environnement de production.

Une autorité de certification est une entité approuvée qui garantit l'identité du certificat et de son créateur.Lorsqu'un certificat est signé par une autorité de certification de confiance, les utilisateurs ne reçoivent plusles messages leur demandant de vérifier le certificat.

Si vous déployez VMware Identity Manager avec le certificat SSL auto-signé, le certificat de l'autorité decertification racine doit être disponible en tant qu'autorité de certification de confiance pour les clients quiaccèdent au de VMware Identity Manager. Les clients peuvent inclure les machines des utilisateurs finaux,les équilibreurs de charge, les proxys, etc. Vous pouvez télécharger l'autorité de certification racine àl'adresse https://myconnector.domain.com/horizon_workspace_rootca.pem.

Vous pouvez installer un certificat d'autorité de certification signé depuis la page Paramètres du dispositif >Gérer la configuration > Installer le certificat. Vous pouvez également ajouter le certificat de l'autorité decertification racine de l'équilibrage de charge sur cette page.


38 VMware, Inc.

Appliquer une autorité de certification publiqueLorsque le service VMware Identity Manager est installé, un certificat de serveur SSL par défaut est généré.Vous pouvez utiliser le certificat par défaut à des fins de test. Vous devez générer et installer des certificatsSSL commerciaux pour votre environnement.

Remarque Si le VMware Identity Manager pointe vers un équilibrage de charge, le certificat SSL estappliqué à celui-ci.

Prérequis

Générez une demande de signature de certificat (CSR) pour obtenir un certificat valide et signé d'uneautorité de certification. Si votre entreprise fournit des certificats SSL signés par une autorité de certification,vous pouvez les utiliser. Le certificat doit être au format PEM.

Procédure

1 Dans la console d'administration, cliquez sur Paramètres du dispositif.

La configuration VA est sélectionnée par défaut.


3 Dans la boîte de dialogue qui s'affiche, entrez le mot de passe de l'utilisateur administrateur du serveurVMware Identity Manager.

4 Sélectionnez Installer le certificat.

5 Dans l'onglet Interrompre SSL sur un dispositif Identity Manager, sélectionnez Certificat personnalisé.

6 Dans la zone de texte Chaîne de certificat SSL, collez les certificats hôte, intermédiaire et racine, danscet ordre.

Le certificat SSL ne fonctionne que si vous incluez toute la chaîne de certificat dans le bon ordre. Pourchaque certificat, copiez tout ce qui se trouve entre les lignes -----BEGIN CERTIFICATE----- et -----ENDCERTIFICATE----, en incluant celles-ci.

Vérifiez que le certificat inclut le nom d'hôte FQDN.

7 Collez la clé privée dans la zone de texte Clé privée. Copiez tout ce qui se trouve entre les lignes ----BEGIN RSA PRIVATE KEY et ---END RSA PRIVATE KEY.


Exemple : Exemples de certificat

Exemple de chaîne de certificat

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+.........W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----



VMware, Inc. 39


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+.........O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+.........5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


Exemple de clé privée

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+.........1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

Ajout de certificats SSLLorsque vous appliquez le certificat, assurez-vous d'inclure l'intégralité de la chaîne de certificat. Lecertificat à installer doit être au format PEM.

Le certificat SSL ne fonctionne que si vous incluez l'intégralité de la chaîne de certificat. Pour chaquecertificat, copiez tout ce qui se trouve entre les lignes -----BEGIN CERTIFICATE----- et -----ENDCERTIFICATE---- , en incluant celles-ci.

Important Vous devez ajouter la chaîne de certificat en respectant l'ordre suivant : certificat SSL, certificatsde l'autorité de certification intermédiaire, certificat de l'autorité de certification racine.



Cert SSL - Cert SSL du dispositif



Intermediate/Issuing CA Cert



Certificat de l'autorité de certification racine



40 VMware, Inc.

Modification de l'URL du service VMware Identity ManagerVous pouvez modifier l'URL du service VMware Identity Manager, qui est l'URL dont les utilisateurs seservent pour accéder au service. Par exemple, vous pouvez modifier l'URL en URL d'équilibrage de charge.

Procédure


2 Cliquez sur l'onglet Paramètres du dispositif, puis sélectionnez Configuration VA.

3 Cliquez sur Gérer la configuration et connectez-vous avec le mot de passe de l'utilisateur admin.

4 Cliquez sur FQDN d'Identity Manager et entrez la nouvelle URL dans le champ FQDN d'IdentityManager.

Utilisez le format https://FQDN:port. La spécification d'un port est facultative. Le port par défaut est443.

Par exemple, https://myservice.example.com.


Suivant

Activez la nouvelle interface utilisateur du portail.

1 Rendez-vous sur https://VMwareIdentityManagerURL/admin pour accéder à la console d'administration.

2 Dans la console d'administration, cliquez sur la flèche dans l'onglet Catalogue et sélectionnezParamètres.

3 Sélectionnez Nouvelle interface utilisateur du portail de l'utilisateur final dans le volet de gauche etcliquez sur Activer la nouvelle interface utilisateur du portail.

Modification de l'URL de connecteurVous pouvez modifier l'URL de connecteur en mettant à jour le nom d'hôte du fournisseur d'identité dans laconsole d'administration. Si vous utilisez le connecteur en tant que fournisseur d'identité, l'URL deconnecteur est l'URL de la page de connexion et elle est visible pour les utilisateurs finaux.

Procédure


2 Cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet Fournisseurs d'identité.

3 Sur la page Fournisseurs d'identité, sélectionnez le fournisseur d'identité à mettre à jour.

4 Dans le champ Nom d'hôte IdP, entrez le nouveau nom d'hôte.

Utilisez le format nom d'hôte:port. La spécification d'un port est facultative. Le port par défaut est 443.

Par exemple, vidm.example.com.



VMware, Inc. 41

Activation du serveur SyslogLes événements au niveau de l'application du service peuvent être exportés vers un serveur syslog externe.Les événements du système d'exploitation ne sont pas exportés.

Dans la mesure où la plupart des entreprises ne disposent pas d'un espace disque illimité, le dispositifvirtuel n'enregistre pas l'historique de journalisation complet. Si vous souhaitez enregistrer davantaged'historique ou créer un emplacement centralisé pour votre historique de journalisation, vous pouvezconfigurer un serveur syslog externe.

Si vous ne spécifiez pas un serveur Syslog lors de la configuration initiale, vous pouvez le faireultérieurement sur la page Paramètres du dispositif > Configuration VA > Gérer la configuration >Configuration Syslog.

Prérequis

Configurez un serveur syslog externe. Vous pouvez utiliser n'importe quel serveur syslog standarddisponible. Plusieurs serveurs syslog incluent des fonctions de recherche avancées.

Procédure


2 Cliquez sur l'onglet Paramètres du dispositif, sélectionnez Configuration VA dans le volet de gauche etcliquez sur Gérer la configuration.

3 Sélectionnez Configurer Syslog dans le volet de gauche.

4 Cliquez sur Activer.

5 Entrez l'adresse IP ou le nom de domaine complet du serveur Syslog à l'emplacement dans lequel voussouhaitez stocker les journaux.


Une copie de vos journaux est envoyée au serveur syslog.

Informations sur le fichier journalLes fichiers journaux de VMware Identity Manager peuvent vous aider à effectuer un débogage ou undépannage. Les fichiers journaux répertoriés ci-dessous constituent un point de départ courant. Voustrouverez des journaux supplémentaires dans le répertoire /opt/vmware/horizon/workspace/logs.

Tableau 3‑1. Fichiers journaux

Composant Emplacement du fichier journal Description

Journaux deservice IdentityManager

/opt/vmware/horizon/workspace/logs/horizon.log

Informations sur l'activité de l'applicationVMware Identity Manager, comme les droits d'accès,les utilisateurs et les groupes.

Journaux duProgramme deconfiguration

/opt/vmware/horizon/workspace/logs/configurator.log

Requêtes que Configurator reçoit du client REST et del'interface Web.

JournauxConnector

/opt/vmware/horizon/workspace/logs/connector.log

Enregistrement de chaque demande reçue del'interface Web. Chaque entrée de journal inclutégalement l'URL, l'horodatage et les exceptions de larequête. Aucune action de synchronisation n'estenregistrée.


42 VMware, Inc.

Tableau 3‑1. Fichiers journaux (suite)

Composant Emplacement du fichier journal Description

Mettre à jour lesjournaux

/opt/vmware/var/log/update.log

/opt/vmware/var/log/vami

Enregistrement des messages sortants associés auxdemandes de mise à jour pendant la mise à niveau deVMware Identity Manager .Les fichiers durépertoire /opt/vmware/var/log/vami sont utilespour le dépannage. Vous trouverez ces fichiers surtoutes les machines virtuelles après une mise à niveau.

Journaux ApacheTomcat

/opt/vmware/horizon/workspace/logs/catalina.log

Apache Tomcat enregistre les messages qui ne sontpas enregistrés dans d'autres fichiers journaux.

Collecter les informations de journalisationPendant un essai ou une résolution de problème, les journaux vous fournissent des commentaires surl'activité et les performances des dispositifs virtuels, ainsi que des informations sur tous les problèmes qui seproduisent.

Vous collectez les journaux auprès de chaque dispositif se trouvant dans votre environnement.

Procédure


2 Sélectionnez l'onglet Paramètres du dispositif et cliquez sur Gérer la configuration.

3 Cliquez sur Emplacements des fichiers journaux et cliquez sur Préparer le bundle de journaux.

Les informations sont collectées dans un fichier tar.gz que vous pouvez télécharger.

4 Téléchargez le bundle préparé.

Suivant

Pour collecter tous les journaux, procédez ainsi avec chaque dispositif.

Gestion des mots de passe de vos dispositifsLorsque vous avez configuré le dispositif virtuel, vous avez créé les mots de passe pour l'utilisateuradministrateur, l'utilisateur racine et l'utilisateur ssh. Vous pouvez modifier ces mots de passe à partir despages Paramètres du dispositif.

Assurez-vous de créer des mots de passe forts. Les mots de passe forts doivent contenir au moins huitcaractères, des majuscules et des minuscules et au moins un chiffre ou caractère spécial.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Paramètres du dispositif

2 Cliquez sur Configuration VA > Gérer la configuration.

3 Pour modifier le mot de passe Admin, sélectionnez Modifier le mot de passe. Pour modifier les mots depasse racine ou sshuser, sélectionnez Sécurité du système.

Important Le mot de passe de l'utilisateur Admin doit contenir au moins 6 caractères.

4 Entrez le nouveau mot de passe.



VMware, Inc. 43

Configurer les paramètres SMTPConfigurez les paramètres du serveur SMTP pour recevoir des notifications par e-mail de la part du serviceVMware Identity Manager.

Des e-mails de notification sont envoyés aux nouveaux utilisateurs créés en tant qu'utilisateurs locaux etlorsqu'un mot de passe est réinitialisé dans le service VMware Identity Manager.

Procédure


2 Sélectionnez l'onglet Paramètres du dispositif et cliquez sur SMTP.

3 Entrez le nom d'hôte du serveur SMTP.

Par exemple : smtp.example.com

4 Entrez le numéro de port du serveur SMTP.

Par exemple : 25

5 (Facultatif) Entrez un nom d'utilisateur et un mot de passe, si le serveur SMTP requiertl'authentification.



44 VMware, Inc.

Intégration à votre annuaired'entreprise 4

Vous intégrez VMware Identity Manager à votre annuaire d'entreprise pour synchroniser les utilisateurs etles groupes entre votre annuaire d'entreprise et le service VMware Identity Manager.

Les types d'annuaires suivants sont pris en charge.

n Active Directory via LDAP

n Active Directory, authentification Windows intégrée

n répertoire LDAP

Pour l'intégration à votre annuaire d'entreprise, vous effectuez les tâches suivantes.

n Spécifiez les attributs que vous voulez que les utilisateurs aient dans le serviceVMware Identity Manager.

n Créez un annuaire dans le service VMware Identity Manager du même type que celui de votre annuaired'entreprise et spécifiez les détails de connexion.

n Mappez les attributs VMware Identity Manager aux attributs utilisés dans votre annuaire ActiveDirectory ou LDAP.

n Spécifiez les utilisateurs et les groupes à synchroniser.

n Synchronisez les utilisateurs et les groupes.

Après avoir intégré votre annuaire d'entreprise et effectué la synchronisation initiale, vous pouvez mettre àjour la configuration, configurer un planning de synchronisation régulier ou démarrer une synchronisation àtout moment.


n « Concepts importants relatifs à l'intégration d'annuaire », page 46

n « Intégration à Active Directory », page 47

n « Intégration à des annuaires LDAP », page 61

n « Ajout d'un annuaire après la configuration du basculement et de la redondance », page 66

VMware, Inc. 45

Concepts importants relatifs à l'intégration d'annuairePlusieurs concepts sont essentiels pour comprendre comment le service VMware Identity Manager s'intègreà votre environnement d'annuaire Active Directory ou LDAP.

ConnectorLe connecteur, composant du service, exécute les fonctions suivantes.

n Synchronise les données des utilisateurs et des groupes de votre annuaire Active Directory ou LDAPavec le service.

n Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service.

Le connecteur est le fournisseur d'identité par défaut. Vous pouvez également utiliser les fournisseursd'identité tiers prenant en charge le protocole SAML 2.0. Utilisez un fournisseur d'identité tiers pour untype d'authentification non pris en charge par le connecteur ou si le fournisseur d'identité tiers estpréférable en fonction de la stratégie de sécurité de votre entreprise.

Remarque Si vous utilisez des fournisseurs d'identité tiers, vous pouvez configurer le connecteur poursynchroniser des données utilisateur et groupe ou configurer le provisionnement utilisateur juste-à-temps. Consultez la section Provisionnement utilisateur juste-à-temps dans Administration de VMwareIdentity Manager pour plus d'informations.

AnnuaireLe service VMware Identity Manager dispose de son propre concept d'annuaire, qui correspond à l'annuaireActive Directory ou LDAP dans votre environnement. Cet annuaire utilise des attributs pour définir desutilisateurs et des groupes. Vous devez créer un ou plusieurs annuaires dans le service, puis les synchroniseravec votre annuaire Active Directory ou LDAP. Vous pouvez créer les types d'annuaires suivants dans leservice.

n Active Directory

n Active Directory via LDAP : Créez ce type d'annuaire si vous prévoyez de vous connecter à un seulenvironnement de domaine Active Directory. Pour le type d'annuaire Active Directory via LDAP, leconnecteur se lie à Active Directory via une authentification Bind simple.

n Active Directory, authentification Windows intégrée. Créez ce type d'annuaire si vous prévoyez devous connecter à un environnement Active Directory à forêts et domaines multiples. Le connecteurse lie à Active Directory via l'authentification Windows intégrée.

Le type et le nombre d'annuaires que vous créez varie selon votre environnement Active Directory, parexemple à domaine simple ou multiple, et le type d'approbation utilisé entre les domaines. Dans laplupart des environnements, vous devez créer un seul annuaire.

n Annuaire LDAP

Le service n'a pas un accès direct à votre annuaire Active Directory ou LDAP. Seul le connecteur a un accèsdirect. Par conséquent, vous devez associer chaque annuaire créé dans le service à une connecteur instance.

TravailleurLorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partition pourl'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée à plusieurs travailleurs.Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodesd'authentification pour chaque travailleur.


46 VMware, Inc.

Le connecteur synchronise les données des utilisateurs et des groupes entre votre annuaire Active Directoryou LDAP et le service au moyen d'un ou de plusieurs travailleurs.

Important La même instance de connecteur ne peut pas comporter deux travailleurs d'Active Directory detype Authentification Windows intégrée.

Considérations de sécuritéPour les répertoires d'entreprise intégrés au service VMware Identity Manager, des paramètres de sécurité,tels que les règles de complexité des mots de passe utilisateur et des stratégies de verrouillage de compte,doivent être définis directement dans le répertoire d'entreprise. VMware Identity Manager ne remplace pasces paramètres.

Intégration à Active DirectoryVous pouvez intégrer VMware Identity Manager à votre déploiement d'Active Directory pour synchroniserles utilisateurs et les groupes entre Active Directory et VMware Identity Manager.

Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 46.

Environnements Active DirectoryVous pouvez intégrer le service dans un environnement Active Directory composé d'un seul domaine ActiveDirectory, de plusieurs domaines dans une forêt Active Directory unique, ou de plusieurs domaines dansdifférentes forêts Active Directory.

Environnement à un seul domaine Active DirectoryUn déploiement Active Directory unique vous permet de synchroniser les utilisateurs et les groupes d'unseul domaine Active Directory.

Pour cet environnement, lorsque vous ajoutez un annuaire au service, sélectionnez l'option Active Directoryvia LDAP.

Pour plus d'informations, voir :

n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 49

n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 53

n « Autorisations requises pour joindre un domaine », page 55

n « Configuration de la connexion Active Directory au service », page 55

Environnement Active Directory à domaines multiples, forêt uniqueUn déploiement à domaines multiples, forêt unique vous permet de synchroniser des utilisateurs et desgroupes à partir de multiples domaines Active Directory au sein d'une forêt unique.

Vous pouvez configurer le service pour cet environnement Active Directory en tant qu'annuaire de typeAuthentification Windows intégrée à Active Directory unique ou en tant qu'annuaire de type ActiveDirectory via LDAP configuré avec l'option de catalogue global.

n L'option recommandée consiste à créer un annuaire de type Authentification Windows intégrée àActive Directory unique.

Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory(Authentification Windows intégrée).



Chapitre 4 Intégration à votre annuaire d'entreprise

VMware, Inc. 47




n Si l'authentification Windows intégrée ne fonctionne pas dans votre environnement Active Directory,créez un annuaire de type Active Directory via LDAP et sélectionnez l'option de catalogue global.

Certaines limitations sont définies pour la sélection de l'option de catalogue global, parmi lesquelles :

n Les attributs d'objet Active Directory qui sont répliqués sur le catalogue global sont identifiés dansle schéma Active Directory sous forme d'ensemble d'attributs partiels (PAS) : Seuls ces attributssont disponibles pour le mappage des attributs par le service. Si nécessaire, modifiez le schémapour ajouter ou supprimer les attributs qui sont stockés dans le catalogue global.

n Le catalogue global stocke l'appartenance au groupe (l'attribut membre) des groupes universelsuniquement. Seuls les groupes universels sont synchronisés avec le service. Si nécessaire, vouspouvez modifier la portée d'un groupe d'un domaine local ou passer de global à universel.

n Le compte ND Bind que vous définissez lors de la configuration d'un annuaire dans le service doitdisposer d'autorisations pour lire l'attribut TGGAU (Token-Groups-Global-And-Universal).

Active Directory utilise les ports 389 et 636 pour les requêtes LDAP standard. Pour les requêtes decatalogue global, les ports 3268 et 3269 sont utilisées.

Lorsque vous ajoutez un annuaire pour l'environnement de catalogue global, spécifiez les actionssuivantes lors de la configuration.

n Sélectionnez l'option Active Directory via LDAP.

n Décochez la case correspondant à l'option Cet annuaire prend en charge l'emplacement duservice DNS.

n Sélectionnez l'option Cet annuaire comporte un catalogue global. Lorsque vous sélectionnez cetteoption, le numéro de port du serveur est automatiquement modifié à 3268. Aussi, du fait que le NDde base n'est pas nécessaire lors de la configuration de l'option de catalogue global, la zone de texteND de base n'apparaît pas.

n Ajoutez le nom d'hôte du serveur Active Directory.

n Si votre annuaire Active Directory requiert un accès via SSL, sélectionnez l'option Cet annuaireexige que toutes les connexions utilisent SSL et collez le certificat dans la zone de texte indiquée.Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifiéà 3269.

Environnement Active Directory à forêts multiples avec relations d'approbationUn déploiement Active Directory à forêts multiples avec relations d'approbation vous permet desynchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans desforêts où des relations d'approbation bidirectionnelles existent entre les domaines.

Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory(Authentification Windows intégrée).







48 VMware, Inc.

Environnement Active Directory à forêts multiples sans relations d'approbationUn déploiement Active Directory à forêts multiples sans relations d'approbation vous permet desynchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans desforêts sans relation d'approbation entre les domaines. Dans cet environnement, vous devez créer plusieursannuaires dans le service, à raison d'un annuaire par forêt.

Le type d'annuaire que vous créez dans le service varie selon la forêt. Pour les forêts à plusieurs domaines,sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour une forêt ne comptantqu'un seul domaine, sélectionnez l'option Active Directory via LDAP.






À propos de la sélection des contrôleurs de domaine (fichierdomain_krb.properties)

Le fichier domain_krb.properties détermine les contrôleurs de domaine qui sont utilisés pour les annuairessur lesquels la recherche de l'emplacement du service DNS (enregistrements SRV) est activée. Il contient uneliste de contrôleurs de domaine pour chaque domaine. Le connecteur crée le fichier, et vous devez le gérerpar la suite. Le fichier remplace la recherche de l'emplacement du service DNS (SRV).

La recherche de l'emplacement du service DNS est activée sur les types d'annuaires suivants :

n Active Directory sur LDAP avec l'option Cet annuaire prend en charge l'emplacement du service DNSsélectionnée

n Active Directory (authentification Windows intégrée), pour lequel la recherche de l'emplacement duservice DNS est toujours activée

La première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS estactivée, un fichier domain_krb.properties est automatiquement créé dans lerépertoire /usr/local/horizon/conf de la machine virtuelle, puis rempli avec des contrôleurs de domainepour chaque domaine. Pour remplir le fichier, le connecteur tente de rechercher les contrôleurs de domainequi se trouvent sur le même site que le connecteur et en sélectionne deux qui sont accessibles et quiréagissent le plus vite.

Lorsque vous créez des annuaires supplémentaires sur lesquels la recherche de l'emplacement du serviceDNS est activée, ou lorsque vous ajoutez de nouveaux domaines à un annuaire Authentification Windowsintégrée, les nouveaux domaines, et une liste de leurs contrôleurs de domaine, sont ajoutés au fichier.

Vous pouvez remplacer la sélection par défaut à tout moment en modifiant le fichierdomain_krb.properties. Après avoir créé un annuaire, il vous est conseillé de consulter le fichierdomain_krb.properties et de vérifier que les contrôleurs de domaine répertoriés sont les plus adaptés àvotre configuration. Pour un déploiement Active Directory global avec plusieurs contrôleurs de domainedans différents emplacements géographiques, le fait d'utiliser un contrôleur de domaine proche duconnecteur garantit une communication plus rapide avec Active Directory.


VMware, Inc. 49

Vous devez également mettre à jour le fichier manuellement pour toute autre modification. Les règlessuivantes s'appliquent.

n Le fichier domain_krb.properties est créé dans la machine virtuelle qui contient le connecteur. Dans undéploiement classique, sans connecteurs supplémentaires déployés, le fichier est créé dans la machinevirtuelle de service VMware Identity Manager. Si vous utilisez un connecteur supplémentaire pourl'annuaire, le fichier est créé dans la machine virtuelle de connecteur. Une machine virtuelle ne peutcontenir qu'un seul fichier domain_krb.properties.

n Le fichier est créé et rempli automatiquement avec des contrôleurs de domaine pour chaque domaine,la première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNSest activée.

n Les contrôleurs de domaine de chaque domaine sont classés par ordre de priorité. Pour se connecter àActive Directory, le connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pasaccessible, il teste le deuxième de la liste, etc.

n Le fichier est mis à jour uniquement lorsque vous créez un annuaire sur lequel la recherche del'emplacement du service DNS est activée ou lorsque vous ajoutez un domaine à un annuaireAuthentification Windows intégrée. Le nouveau domaine et une liste de contrôleurs de domaine leconcernant sont ajoutés au fichier.

Notez que si une entrée pour un domaine existe déjà dans le fichier, elle n'est pas mise à jour. Parexemple, si vous avez créé puis supprimé un annuaire, l'entrée de domaine d'origine reste dans lefichier et elle n'est pas mise à jour.

n Le fichier n'est mis à jour automatiquement dans aucun autre scénario. Par exemple, si vous supprimezun annuaire, l'entrée de domaine n'est pas supprimée du fichier.

n Si un contrôleur de domaine répertorié dans le fichier n'est pas accessible, modifiez le fichier etsupprimez-le.

n Si vous ajoutez ou supprimez une entrée de domaine manuellement, vos modifications ne seront pasremplacées.

Pour plus d'informations sur la modification du fichier domain_krb.properties, reportez-vous à la section « Modification du fichier domain_krb.properties », page 51.

Important Le fichier /etc/krb5.conf doit être cohérent avec le fichier domain_krb.properties. Lorsquevous mettez à jour le fichier domain_krb.properties, mettez également à jour le fichier krb5.conf. Pour plusd'informations, consultez la section « Modification du fichier domain_krb.properties », page 51 etl'article 2091744 de la base de connaissances.

Mode de sélection des contrôleurs de domaine pour remplir automatiquement lefichier domain_krb.propertiesPour remplir automatiquement le fichier domain_krb.properties, des contrôleurs de domaine sontsélectionnés en déterminant le sous-réseau sur lequel réside le connecteur (en fonction de l'adresse IP et dumasque de réseau), puis en utilisant la configuration Active Directory afin d'identifier le site de ce sous-réseau, en obtenant la liste de contrôleurs de domaine de ce site, en filtrant la liste pour le domaineapproprié et en choisissant les deux contrôleurs de domaine qui réagissent le plus vite.

Pour détecter les contrôleurs de domaine qui sont les plus proches, VMware Identity Manager a lesexigences suivantes :

n Le sous-réseau du connecteur doit être présent dans la configuration Active Directory, ou un sous-réseau doit être spécifié dans le fichier runtime-config.properties. Voir « Remplacement de la sélectionde sous-réseau par défaut », page 51.

Le sous-réseau est utilisé pour déterminer le site.

n La configuration Active Directory doit être liée au site.


50 VMware, Inc.

https://kb.vmware.com/kb/2091744

Si le sous-réseau ne peut pas être déterminé ou si votre configuration Active Directory n'est pas liée au site,la recherche de l'emplacement du service DNS est utilisée pour rechercher des contrôleurs de domaine, et lefichier est rempli avec quelques contrôleurs de domaine qui sont accessibles. Notez qu'il est possible que cescontrôleurs de domaine ne se trouvent pas dans le même emplacement géographique que le connecteur, cequi peut entraîner des retards ou des délais d'expiration lors de la communication avec Active Directory.Dans ce cas, modifiez le fichier domain_krb.properties manuellement et spécifiez les contrôleurs dedomaine corrects à utiliser pour chaque domaine. Voir « Modification du fichier domain_krb.properties »,page 51.

Exemple de fichier domain_krb.propertiesexample.com=host1.example.com:389,host2.example.com:389

Remplacement de la sélection de sous-réseau par défautPour remplir automatiquement le fichier domain_krb.properties, le connecteur tente de rechercher lescontrôleurs de domaine qui se trouvent sur le même site afin qu'il y ait une latence minimale entre leconnecteur et Active Directory.

Pour rechercher le site, le connecteur détermine le sous-réseau sur lequel il réside, en fonction de sonadresse IP et de son masque de réseau, puis utilise la configuration Active Directory pour identifier le sitepour ce sous-réseau. Si le sous-réseau de la machine virtuelle ne se trouve pas dans Active Directory, ou sivous voulez remplacer la sélection de sous-réseau automatique, vous pouvez spécifier un sous-réseau dansle fichier runtime-config.properties.

Procédure

1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine.

Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à lamachine virtuelle de connecteur.

2 Modifiez le fichier /usr/local/horizon/conf/runtime-config.properties pour ajouter l'attribut suivant.

siteaware.subnet.override=subnet

où subnet est un sous-réseau du site dont vous voulez utiliser les contrôleurs de domaine. Par exemple :

siteaware.subnet.override=10.100.0.0/20

3 Enregistrez et fermez le fichier.

4 Redémarrez le service.


Modification du fichier domain_krb.propertiesLe fichier /usr/local/horizon/conf/domain_krb.properties détermine les contrôleurs de domaine à utiliserpour les annuaires sur lesquels la recherche de l'emplacement du service DNS est activée. Vous pouvezmodifier le fichier à tout moment pour changer la liste de contrôleurs de domaine d'un domaine ou pourajouter ou supprimer des entrées de domaine. Vos modifications ne seront pas remplacées.

Le fichier est créé et rempli automatiquement par le connecteur. Vous devez le mettre à jour manuellementdans les scénarios suivants :

n Si les contrôleurs de domaine sélectionnés par défaut ne sont pas les plus adaptés à votre configuration,modifiez le fichier et spécifiez les contrôleurs de domaine à utiliser.

n Si vous supprimez un répertoire, supprimez l'entrée de domaine correspondante dans le fichier.

n Si des contrôleurs de domaine dans le fichier ne sont pas accessibles, supprimez-les du fichier.


VMware, Inc. 51

Reportez-vous également à la section « À propos de la sélection des contrôleurs de domaine (fichierdomain_krb.properties) », page 49.

Procédure

1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine.

Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à lamachine virtuelle de connecteur.

2 Modifiez les répertoires sur /usr/local/horizon/conf.

3 Modifiez le fichier domain_krb.properties pour ajouter ou modifier la liste de domaine aux valeursd'hôte.

Utilisez le format suivant :

domain=host:port,host2:port,host3:port

Par exemple :

example.com=examplehost1.example.com:389,examplehost2.example.com:389

Répertoriez les contrôleurs de domaine par ordre de priorité. Pour se connecter à Active Directory, leconnecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas accessible, il teste ledeuxième de la liste, etc.

Important Les noms de domaine doivent être en minuscules.

4 Remplacez le propriétaire du fichier domain_krb.properties par horizon et le groupe par www à l'aide dela commande suivante.

chown horizon:www /usr/local/horizon/conf/domain_krb.properties

5 Redémarrez le service.


Suivant

Une fois que vous avez modifié le fichier domain_krb.properties, modifiez le fichier /etc/krb5.conf. Lefichier krb5.conf doit être cohérent avec le fichier domain_krb.properties.

1 Modifiez le fichier /etc/krb5.conf et mettez à jour la section realms pour spécifier les mêmes valeursdomaine-vers-l'hôte qui sont utilisées dans le fichier /usr/local/horizon/conf/domain_krb.properties.Vous n'avez pas besoin de spécifier le numéro de port. Par exemple, si votre fichierdomain_krb.properties contient l'entrée de domaine example.com=examplehost.example.com:389, vousdevez mettre à jour le fichier krb5.conf comme suit.

[realms]

GAUTO-QA.COM = {

auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/


auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-

QA\.COM/GAUTO2QA/

auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/

auth_to_local = DEFAULT

kdc = examplehost.example.com

}

Remarque Il est possible d'avoir plusieurs entrées kdc. Toutefois, il ne s'agit pas d'une obligation, cardans la plupart des cas il n'y a qu'une seule valeur kdc. Si vous choisissez de définir des valeurs kdcsupplémentaires, chaque ligne aura une entrée kdc qui définira un contrôleur de domaine.


52 VMware, Inc.

2 Redémarrez le service workspace.


Consultez également l'article 2091744 de la base de connaissances.

Dépannage du fichier domain_krb.propertiesUtilisez les informations suivantes pour dépanner le fichier domain_krb.properties.

Erreur « Erreur lors de la résolution du domaine »

Si le fichier domain_krb.properties comporte déjà une entrée pour un domaine et si vous tentez de créer unannuaire d'un type différent pour le même domaine, une « Erreur lors de la résolution du domaine » seproduit. Vous devez modifier le fichier domain_krb.properties et supprimer manuellement l'entrée dedomaine avant de créer l'annuaire.

Des contrôleurs de domaine sont inaccessibles

Une fois l'entrée de domaine ajoutée au fichier domain_krb.properties, elle n'est pas mise à jourautomatiquement. Si des contrôleurs de domaine répertoriés dans le fichier deviennent inaccessibles,modifiez le fichier manuellement et supprimez-les.

Gestion des attributs utilisateur synchronisés à partir d'Active DirectoryLors de la configuration d'annuaire du service VMware Identity Manager, vous devez sélectionner desattributs utilisateur et des filtres Active Directory pour spécifier les utilisateurs synchronisés dans l'annuaireVMware Identity Manager. Il est possible de modifier les attributs utilisateur qui se synchronisent avec laconsole d'administration, onglet Gestion des identités et des accès, Configuration > Attributs utilisateur.

Les modifications effectuées et sauvegardées sur la page Attributs utilisateur sont ajoutées sur la pageAttributs mappés dans le répertoire de VMware Identity Manager. Les modifications des attributs sontmises à jour dans le répertoire lors de la synchronisation suivante à Active Directory.

La page Attributs utilisateur répertorie les attributs d'annuaire par défaut pouvant être mappés aux attributsActive Directory. Vous devez sélectionner les attributs requis et ajouter les autres attributs Active Directoryque vous souhaitez synchroniser avec l'annuaire. Lorsque vous ajoutez des attributs, notez que le nomd'attribut que vous entrez est sensible à la casse. Par exemple, adresse, Adresse et ADRESSE sont desattributs différents.

Tableau 4‑1. Attributs Active Directory par défaut à synchroniser avec le répertoire

Nom de l'attribut du répertoire de VMware IdentityManager Mappage par défaut vers l'attribut Active Directory

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeId employeeID

domain canonicalName. Ajoute le nom de domaine complet de l'objet.

disabled (utilisateur externe désactivé) userAccountControl. Indiqué par UF_Account_DisableLorsqu'un compte est désactivé, les utilisateurs ne peuvent passe connecter pour accéder à leurs applications et à leursressources. Comme les ressources attribuées aux utilisateurs nesont pas supprimées du compte, lorsque l'indicateur estsupprimé du compte, les utilisateurs peuvent se connecter etaccéder aux ressources qui leur sont octroyées

phone telephoneNumber

lastName sn

firstName givenName


VMware, Inc. 53


Tableau 4‑1. Attributs Active Directory par défaut à synchroniser avec le répertoire (suite)

Nom de l'attribut du répertoire de VMware IdentityManager Mappage par défaut vers l'attribut Active Directory

email mail

userName sAMAccountName.

Sélection des attributs à synchroniser avec l'annuaireLorsque vous configurez l'annuaire VMware Identity Manager à synchroniser avec Active Directory, vousdevez spécifier les attributs utilisateur qui sont synchronisés avec l'annuaire. Avant de configurer l'annuaire,vous pouvez spécifier sur la page Attributs utilisateur les attributs par défaut requis et ajouter les attributssupplémentaires que vous souhaitez mapper aux attributs Active Directory.

Lorsque vous configurez la page Attributs utilisateur avant la création de l'annuaire, vous pouvez fairepasser les attributs par défaut de l'état obligatoire à l'état facultatif, marquer les attributs si nécessaire etajouter des attributs personnalisés.

Une fois l'annuaire créé, vous pouvez faire passer un attribut obligatoire à l'état facultatif, et vous pouvezsupprimer des attributs personnalisés. Il n'est pas possible de modifier un attribut pour le faire passer à l'étatobligatoire.

Lorsque vous ajoutez d'autres attributs à synchroniser avec l'annuaire, une fois l'annuaire créé, accédez à lapage Attributs mappés de l'annuaire pour mapper ces attributs à ceux d'Active Directory.

Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager,vous devez faire de distinguishedName un attribut obligatoire. Vous devez spécifier cela avant de créerl'annuaire VMware Identity Manager.

Procédure

1 Sur l'onglet Gestion des identités et des accès de la console d'administration, cliquez sur Configuration> Attributs utilisateur.

2 Dans la section Attributs par défaut, examinez la liste d'attributs obligatoires et apportez lesmodifications souhaitées pour refléter les attributs obligatoires.

3 Dans la section Attributs, ajoutez le nom d'attribut de l'annuaire VMware Identity Manager à la liste.


L'état d'attribut par défaut est mis à jour et les attributs que vous avez ajoutés sont ajoutés à la listed'attributs mappés de l'annuaire.

5 Une fois l'annuaire créé, accédez à la page Gérer > Annuaires et sélectionnez l'annuaire.

6 Cliquez sur Paramètres de synchronisation > Attributs mappés.

7 Dans le menu déroulant des attributs que vous avez ajoutés, sélectionnez l'attribut Active Directory àmapper.


L'annuaire est mis à jour lors de sa prochaine synchronisation avec Active Directory.


54 VMware, Inc.

Autorisations requises pour joindre un domaineVous pouvez avoir besoin de joindre le connecteur VMware Identity Manager à un domaine. Pour lesannuaires Active Directory via LDAP, vous pouvez joindre un domaine après la création de l'annuaire. Pourles annuaires de type Active Directory (authentification Windows intégrée), le connecteur est joint audomaine automatiquement lorsque vous créez l'annuaire. Dans les deux scénarios, vous êtes invité à fournirdes informations d'identification.

Pour joindre un domaine, vous avez besoin d'informations d'identification Active Directory avec le privilègepour « joindre un ordinateur au domaine AD ». Cela est configuré dans Active Directory avec les droitssuivants :n Créer des objets Ordinateur

n Supprimer des objets Ordinateur

Lorsque vous joignez un domaine, un objet d'ordinateur est créé dans l'emplacement par défaut dans ActiveDirectory, sauf si vous spécifiez une OU personnalisée.

Si vous ne disposez pas des droits de joindre un domaine, suivez ces étapes.1 Demandez à votre administrateur Active Directory de créer l'objet Ordinateur dans Active Directory,

dans un emplacement déterminé par votre stratégie d'entreprise. Fournissez le nom d'hôte duconnecteur . Vérifiez que vous fournissez le nom de domaine complet, par exemple,serveur.exemple.com.

Conseil Vous pouvez voir le nom d'hôte dans la colonne Nom d'hôte sur la page Connecteurs dans laconsole d'administration. Cliquez sur Identité et gestion de l'accès > Configuration > Connecteurspour afficher la page Connecteurs.

2 Une fois l'objet Ordinateur créé, joignez le domaine à l'aide d'un compte d'utilisateur de domaine dansla console d'administration de VMware Identity Manager.

La commande Joindre le domaine est disponible sur la page Connecteurs, accessible en cliquant surIdentité et gestion de l'accès > Configuration > Connecteurs.

Option Description

Domaine Sélectionnez ou entrez le domaine Active Directory àjoindre. Vérifiez que vous entrez le nom de domainecomplet. Par exemple, server.example.com.

Utilisateur du domaine Nom d'utilisateur d'un utilisateur Active Directorydisposant des droits de joindre des systèmes au domaineActive Directory.

Mot de passe du domaine Mot de passe de l'utilisateur.

Unité d'organisation (OU) (Facultatif) Unité d'organisation (OU) de l'objet ordinateur.Cette option crée un objet ordinateur dans l'OU spécifiéeplutôt que l'OU Ordinateurs par défaut.Par exemple, ou=testou,dc=test,dc=example,dc=com.

Configuration de la connexion Active Directory au serviceLa console d'administration permet de spécifier les informations requises pour vous connecter à votreannuaire Active Directory et de sélectionner les utilisateurs et les groupes à synchroniser avec l'annuaireVMware Identity Manager.

Les options de connexion à Active Directory sont Active Directory via LDAP et Authentification Windowsintégrée à Active Directory. La connexion Active Directory via LDAP prend en charge la recherche del'emplacement du service DNS. Avec l'authentification Windows intégrée à Active Directory, vous devezconfigurer le domaine à joindre.


VMware, Inc. 55

Prérequis

n Sélectionnez les attributs par défaut souhaités et ajoutez des attributs supplémentaires, si nécessaire, surla page Attributs utilisateur. Voir « Sélection des attributs à synchroniser avec l'annuaire », page 54.

Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager,vous devez faire de distinguishedName un attribut requis. Vous devez faire cette sélection avant decréer un annuaire car les attributs ne peuvent pas être modifiés en attributs requis si l'annuaire est déjàcréé.

n Liste des groupes et utilisateurs d'Active Directory à synchroniser depuis Active Directory.

n Pour Active Directory via LDAP, les informations requises incluent le nom unique de base, le nomunique de liaison et le mot de passe du nom unique de liaison.

Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un motde passe sans date d'expiration.

n Pour l'authentification Windows intégrée à Active Directory, les informations requises incluent l'adresseet le mot de passe de l'UPN de l'utilisateur Bind du domaine.


n Si Active Directory requiert un accès via SSL ou STARTTLS, le certificat d'autorité de certification racinedu contrôleur de domaine Active Directory est requis.

n Pour l'authentification Windows intégrée à Active Directory, lorsque vous avez configuré un annuaireActive Directory à forêts multiples et que le groupe local du domaine contient des membres dedomaines provenant de différentes forêts, assurez-vous que l'utilisateur Bind est ajouté au groupeAdministrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres neseront pas présents dans le groupe local du domaine.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.

2 Sur la page Répertoires, cliquez sur Ajouter un répertoire.

3 Entrez un nom pour cet annuaire VMware Identity Manager.


56 VMware, Inc.

4 Sélectionnez le type d'annuaire Active Directory dans votre environnement et configurez lesinformations de connexion.

Option Description

Active Directory via LDAP a Dans le champ Connecteur de synchronisation, sélectionnez leconnecteur à utiliser pour la synchronisation avec Active Directory.

b Dans le champ Authentification, si cet annuaire Active Directory estutilisé pour authentifier des utilisateurs, cliquez sur Oui.

Si un fournisseur d'identité tiers est utilisé pour authentifier lesutilisateurs, cliquez sur Non. Après avoir configuré la connexionActive Directory pour synchroniser les utilisateurs et les groupes,accédez à la page Gestion des identités et des accès > Gérer >Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à desfins d'authentification.

c Dans le champ Attribut de recherche d'annuaire, sélectionnezl'attribut de compte qui contient le nom d'utilisateur.

d Si l'annuaire Active Directory utilise la recherche de l'emplacement duservice DNS, faites les sélections suivantes.n Dans la section Emplacement du serveur, cochez la case Ce

répertoire prend en charge l'emplacement du service DNS.

Un fichier domain_krb.properties, rempli automatiquementavec une liste de contrôleurs de domaine, sera créé lors de lacréation de l'annuaire. Voir « À propos de la sélection descontrôleurs de domaine (fichier domain_krb.properties) », page 49.

n Si l'annuaire Active Directory requiert le chiffrement STARTTLS,cochez la case Cet annuaire exige que toutes les connexionsutilisent SSL dans la section Certificats, puis copiez et collez lecertificat d'autorité de certification racine Active Directory dans lechamp Certificat SSL.

Vérifiez que le certificat est au format PEM et incluez les lignes« BEGIN CERTIFICATE » et « END CERTIFICATE ».Remarque Si l'annuaire Active Directory requiert STARTTLS etque vous ne fournissez pas le certificat, vous ne pouvez pas créerl'annuaire.

e Si l'annuaire Active Directory n'utilise pas la recherche del'emplacement du service DNS, faites les sélections suivantes.n Dans la section Emplacement du serveur, vérifiez que la case Cet

annuaire prend en charge l'emplacement du service DNS n'estpas cochée et entrez le nom d'hôte et le numéro de port du serveurActive Directory.

Pour configurer l'annuaire comme catalogue global, reportez-vousà la section Environnement Active Directory à forêt unique etdomaines multiples au chapitre « Environnements ActiveDirectory », page 47.

n Si l'annuaire Active Directory requiert un accès via SSL, cochez lacase Cet annuaire exige que toutes les connexions utilisent SSLdans la section Certificats, puis copiez et collez le certificatd'autorité de certification racine Active Directory dans le champCertificat SSL.


VMware, Inc. 57

Option DescriptionVérifiez que le certificat est au format PEM et incluez les lignes« BEGIN CERTIFICATE » et « END CERTIFICATE ».Remarque Si l'annuaire Active Directory requiert SSL et quevous ne fournissez pas le certificat, vous ne pouvez pas créerl'annuaire.

f Dans le champ ND de base, entrez le ND à partir duquel voussouhaitez lancer les recherches de comptes. Par exemple :OU=myUnit,DC=myCorp,DC=com.

g Dans le champ ND Bind, entrez le compte pouvant rechercher desutilisateurs. Par exemple :CN=binduser,OU=myUnit,DC=myCorp,DC=com.Remarque Il est recommandé d'utiliser un compte d'utilisateur denom unique de liaison avec un mot de passe sans date d'expiration.

h Après avoir entré le mot de passe Bind, cliquez sur Tester laconnexion pour vérifier que l'annuaire peut se connecter à votreannuaire Active Directory.

Active Directory (authentificationWindows intégrée)

a Dans le champ Connecteur de synchronisation, sélectionnez leconnecteur à utiliser pour la synchronisation avec Active Directory.

b Dans le champ Authentification, si cet annuaire Active Directory estutilisé pour authentifier des utilisateurs, cliquez sur Oui.

Si un fournisseur d'identité tiers est utilisé pour authentifier lesutilisateurs, cliquez sur Non. Après avoir configuré la connexionActive Directory pour synchroniser les utilisateurs et les groupes,accédez à la page Gestion des identités et des accès > Gérer >Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à desfins d'authentification.

c Dans le champ Attribut de recherche d'annuaire, sélectionnezl'attribut de compte qui contient le nom d'utilisateur.

d Si l'annuaire Active Directory requiert le chiffrement STARTTLS,cochez la case Cet annuaire a besoin de toutes les connexions pourpouvoir utiliser STARTTLS dans la section Certificats, puis copiez etcollez le certificat d'autorité de certification racine Active Directorydans le champ Certificat SSL.

Vérifiez que le certificat est au format PEM et incluez les lignes« BEGIN CERTIFICATE » et « END CERTIFICATE ».

Si l'annuaire dispose de plusieurs domaines, ajoutez les certificatsd'autorité de certification racine pour tous les domaines, un par un.Remarque Si l'annuaire Active Directory requiert STARTTLS et quevous ne fournissez pas le certificat, vous ne pouvez pas créerl'annuaire.

e Entrez le nom du domaine Active Directory à joindre. Entrez un nomd'utilisateur et un mot de passe disposant des droits pour joindre ledomaine. Voir « Autorisations requises pour joindre un domaine »,page 55 pour obtenir plus d'informations.

f Dans le champ UPN de l'utilisateur Bind, entrez le nom principal del'utilisateur pouvant s'authentifier dans le domaine. Par exemple,[email protected] Il est recommandé d'utiliser un compte d'utilisateur denom unique de liaison avec un mot de passe sans date d'expiration.

g Entrez le mot de passe de l'utilisateur Bind.

5 Cliquez sur Enregistrer et Suivant.

La page contenant la liste de domaines apparaît.


58 VMware, Inc.

6 Pour Active Directory via LDAP, les domaines sont signalés par une coche.

Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent êtreassociés à cette connexion Active Directory.

Remarque Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne ledétecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connecteur doitquitter, puis rejoindre le domaine. Lorsque le connecteur rejoint le domaine, le domaine d'approbationapparaît dans la liste.


7 Vérifiez que les noms d'attribut de l'annuaire VMware Identity Manager sont mappés aux attributsActive Directory corrects et apportez des modifications, si nécessaire, puis cliquez sur Suivant.

8 Sélectionnez les groupes que vous souhaitez synchroniser entre Active Directory et l'annuaireVMware Identity Manager.

Option Description

Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe etsélectionnez les groupes situés en dessous.a Cliquez sur + et spécifiez le ND du groupe. Par exemple,

CN=users,DC=example,DC=company,DC=com.Important Spécifiez des ND du groupe qui se trouvent sous le nomunique de base que vous avez entré. Si un ND du groupe se trouve endehors du nom unique de base, les utilisateurs de ce ND serontsynchronisés, mais ne pourront pas se connecter.

b Cliquez sur Rechercher des groupes.

La colonne Groupes à synchroniser répertorie le nombre de groupestrouvés dans le ND.

c Pour sélectionner tous les groupes dans le ND, cliquez surSélectionner tout, sinon cliquez sur Sélectionner et sélectionnez lesgroupes spécifiques à synchroniser.

Remarque Lorsque vous synchronisez un groupe, les utilisateurs nedisposant pas d'Utilisateurs de domaine comme groupe principal dansActive Directory ne sont pas synchronisés.

Synchroniser les membres dugroupe imbriqué

L'option Synchroniser les membres du groupe imbriqué est activée pardéfaut. Lorsque cette option est activée, tous les utilisateurs quiappartiennent directement au groupe que vous sélectionnez, ainsi que lesutilisateurs qui appartiennent à des groupes imbriqués sous ce groupe,sont synchronisés. Notez que les groupes imbriqués ne sont passynchronisés ; seuls les utilisateurs qui appartiennent aux groupesimbriqués le sont. Dans l'annuaire VMware Identity Manager, cesutilisateurs seront des membres du groupe parent que vous avezsélectionné pour la synchronisation.Si l'option Synchroniser les membres du groupe imbriqué est désactivée,lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs quiappartiennent directement à ce groupe sont synchronisés. Les utilisateursqui appartiennent à des groupes imbriqués sous ce groupe ne sont passynchronisés. La désactivation de cette option est utile pour lesconfigurations Active Directory importantes pour lesquelles parcourir unearborescence de groupes demande beaucoup de ressources et de temps. Sivous désactivez cette option, veillez à sélectionner tous les groupes dontvous voulez synchroniser les utilisateurs.



VMware, Inc. 59

10 Spécifiez des utilisateurs supplémentaires à synchroniser, si nécessaire.

a Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrezCN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Important Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vousavez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ceND seront synchronisés, mais ne pourront pas se connecter.

b (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains typesd'utilisateurs.

Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.


12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchronisent avec l'annuaire etpour voir le planning de synchronisation.


13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation avec l'annuaire.

La connexion à Active Directory est établie et les utilisateurs et les groupes sont synchronisés entre ActiveDirectory et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôled'administrateur dans VMware Identity Manager par défaut.

Suivant

n Si vous avez créé un annuaire qui prend en charge l'emplacement du service DNS, un fichierdomain_krb.properties a été créé et rempli automatiquement avec une liste de contrôleurs de domaine.Affichez le fichier pour vérifier ou modifier la liste de contrôleurs de domaine. Voir « À propos de lasélection des contrôleurs de domaine (fichier domain_krb.properties) », page 49.

n Configurez les méthodes d'authentification. Une fois les utilisateurs et groupes synchronisés avecl'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer desméthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identitéd'authentification, configurez ce dernier dans le connecteur.

n Examinez la stratégie d'accès par défaut. La stratégie d'accès par défaut est configurée de manière àpermettre à tous les dispositifs de l'ensemble des plages réseau d'accéder au navigateur Web, avec undélai d'expiration de session défini à 8 heures ou pour accéder à une application cliente ayant un délaid'expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défautet lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies.

n Appliquez des informations de marque à la console d'administration, aux pages du portail utilisateur età l'écran de connexion.

Autoriser les utilisateurs à modifier des mots de passe Active DirectoryVous pouvez permettre aux utilisateurs de modifier leurs mots de passe Active Directory à partir du portailou de l'application Workspace ONE à n'importe quel moment. Les utilisateurs peuvent égalementréinitialiser leurs mots de passe Active Directory sur la page de connexion de VMware Identity Manager sile mot de passe a expiré ou si l'administrateur Active Directory a réinitialisé le mot de passe, ce qui forcel'utilisateur à modifier le mot de passe lors de la prochaine connexion.

Activez cette option par répertoire, en sélectionnant l'option Autoriser la modification du mot de passe surla page Paramètres de répertoire.


60 VMware, Inc.

Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE encliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et encliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuventmodifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.

Les mots de passe expirés ou les mots de passe réinitialisés par l'administrateur dans Active Directorypeuvent être modifiés sur la page de connexion. Lorsqu'un utilisateur tente de se connecter avec un mot depasse expiré, il est invité à le réinitialiser. L'utilisateur doit entrer l'ancien mot de passe ainsi que le nouveaumot de passe.

Les exigences du nouveau mot de passe sont déterminées par la stratégie de mot de passe d'ActiveDirectory. Le nombre de tentatives autorisées dépend également de la stratégie de mot de passe d'ActiveDirectory.

Les limites suivantes s'appliquent.

n Si vous utilisez des dispositifs virtuels de connecteur autonomes supplémentaires, notez que l'optionAutoriser la modification du mot de passe n'est disponible qu'avec le connecteur version 2016.11.1 etultérieures.

n Lorsqu'un répertoire est ajouté à VMware Identity Manager en tant que catalogue global, l'optionAutoriser la modification du mot de passe n'est pas disponible. Il est possible d'ajouter des répertoiresen tant qu'annuaires Active Directory sur LDAP ou Authentification Windows intégrée, à l'aide desports 389 ou 636.

n Le mot de passe d'un utilisateur de nom unique de liaison ne peut pas être réinitialisé à partir deVMware Identity Manager, même s'il expire ou si l'administrateur Active Directory le réinitialise.


n Les mots de passe d'utilisateurs dont les noms de connexion comportent des caractères multioctets(caractères non-ASCII) ne peuvent pas être réinitialisés à partir de VMware Identity Manager.

Prérequis

n Le port 464 doit être ouvert entre VMware Identity Manager et les contrôleurs de domaine.

Procédure


2 Dans l'onglet Répertoires, cliquez sur le répertoire.

3 Dans la section Autoriser la modification du mot de passe, cochez la case Activer la modification dumot de passe.

4 Entrez le mot de passe de nom unique de liaison dans la section Détails de l'utilisateur Bind et cliquezsur Enregistrer.

Intégration à des annuaires LDAPVous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser desutilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager.

Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 46.


VMware, Inc. 61

Limites de l'intégration d'annuaire LDAPLes limites suivantes s'appliquent actuellement à la fonctionnalité d'intégration d'annuaire LDAP.

n Vous ne pouvez intégrer qu'un environnement d'annuaire LDAP à un seul domaine.

Pour intégrer plusieurs domaines à partir d'un annuaire LDAP, vous devez créer des annuairesVMware Identity Manager supplémentaires, un pour chaque domaine.

n Les méthodes d'authentification suivantes ne sont pas prises en charge pour les annuairesVMware Identity Manager de type LDAP.

n authentification Kerberos

n RSA Adaptive Authentication

n ADFS en tant que fournisseur d'identité tiers

n SecurID

n Authentification Radius avec serveur Vasco et SMS Passcode

n Vous ne pouvez pas joindre un domaine LDAP.

n L'intégration à des ressources View ou publiées Citrix n'est pas prise en charge pour les annuairesVMware Identity Manager de type LDAP.

n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace,l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.

n Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer desattributs comme requis sur la page Attributs utilisateur, à l'exception de userName, qui peut êtremarqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuairesdans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont passynchronisés avec le service VMware Identity Manager.

n Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devezspécifier des noms uniques dans le service VMware Identity Manager. Vous pouvez spécifier les nomslorsque vous sélectionnez les groupes à synchroniser.

n L'option pour autoriser les utilisateurs à réinitialiser leurs mots de passe expirés n'est pas disponible.

n Le fichier domain_krb.properties n'est pas pris en charge.

Intégrer un annuaire LDAP au serviceVous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser desutilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager.

Pour intégrer votre annuaire LDAP, vous créez un annuaire VMware Identity Manager correspondant etsynchronisez les utilisateurs et les groupes depuis votre annuaire LDAP vers l'annuaireVMware Identity Manager. Vous pouvez configurer un planning de synchronisation régulier pour les misesà jour suivantes.

De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et lesmappez aux attributs VMware Identity Manager.

La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou vous pouvez avoircréé des schémas personnalisés. Vous pouvez également avoir défini des attributs personnalisés. Pour queVMware Identity Manager puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur oude groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votreannuaire LDAP.


62 VMware, Inc.

En particulier, vous devez fournir les informations suivantes.

n Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind

n Noms d'attribut LDAP pour l'appartenance au groupe, l'UUID et le nom unique

Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Voir « Limites del'intégration d'annuaire LDAP », page 62.

Prérequis

n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que la capacité àintégrer des répertoires LDAP n'est disponible qu'avec le connecteur version 2016.6.1 et ultérieures.

n Examinez les attributs sur la page Identité et gestion de l'accès > Configuration > Attributs utilisateuret ajoutez des attributs supplémentaires que vous voulez synchroniser. Vous mappez ces attributs deVMware Identity Manager aux attributs de votre annuaire LDAP ultérieurement lorsque vous créezl'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire.

Remarque Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autresannuaires dans le service. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez àne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué commerequis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service.Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec leservice VMware Identity Manager.

n Un compte d'utilisateur de nom unique de liaison. Il est recommandé d'utiliser un compte d'utilisateurde nom unique de liaison avec un mot de passe sans date d'expiration.

n Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut.

n Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes.

Vous mappez cet attribut à l'attribut VMware Identity Manager domain lorsque vous créez l'annuaireVMware Identity Manager.

n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace,l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.

n Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour lesattributs userPrincipalName et d'adresse électronique.

Procédure


2 Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire LDAP.


VMware, Inc. 63

3 Entrez les informations requises sur la page Ajouter un annuaire LDAP.

Option Description

Nom du répertoire Un nom pour l'annuaire de VMware Identity Manager.

Synchronisation et authentificationdu répertoire

a Dans le champ Synchroniser le connecteur, sélectionnez le connecteurque vous voulez utiliser pour synchroniser des utilisateurs et desgroupes de l'annuaire LDAP avec l'annuaireVMware Identity Manager.

Un composant de connecteur est toujours disponible avec le serviceVMware Identity Manager par défaut. Ce connecteur apparaît dans laliste déroulante. Si vous installez plusieurs dispositifsVMware Identity Manager pour la haute disponibilité, le composantde connecteur de chaque dispositif apparaît dans la liste.

Vous n'avez pas besoin d'un connecteur séparé pour un annuaireLDAP. Un connecteur peut prendre en charge plusieurs annuaires,qu'il s'agisse d'annuaires Active Directory ou LDAP.

Pour les scénarios dans lesquels vous avez besoin de connecteurssupplémentaires, consultez la section « Installation de dispositifs deconnecteur supplémentaires » dans le Guide d'installation de VMwareIdentity Manager.

b Dans le champ Authentification, si vous voulez utiliser cet annuaireLDAP pour authentifier des utilisateurs, sélectionnez Oui.

Si vous voulez utiliser un fournisseur d'identité tiers pour authentifierdes utilisateurs, sélectionnez Non. Après avoir ajouté la connexiond'annuaire pour synchroniser les utilisateurs et les groupes, accédez àla page Identité et gestion de l'accès > Gérer > Fournisseurs d'identitépour ajouter le fournisseur d'identité tiers à des fins d'authentification.

c Dans le champ Attribut de recherche d'annuaire, spécifiez l'attributd'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'estpas répertorié, sélectionnez Personnalisé et tapez le nom de l'attribut.Par exemple, cn.

Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôtede serveur, vous pouvez spécifier le nom de domaine complet ou l'adresseIP. Par exemple : myLDAPserver.example.com ou 100.00.00.0.Si vous disposez d'un cluster de serveurs derrière un équilibrage decharge, entrez les informations de ce dernier à la place.


64 VMware, Inc.

Option Description

Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP queVMware Identity Manager peut utiliser pour interroger votre annuaireLDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAPprincipal.Requêtes LDAPn Obtenir des groupes : filtre de recherche pour obtenir des objets de

groupe.

Par exemple : (objectClass=group)n Obtenir l'utilisateur Bind : filtre de recherche pour obtenir l'objet

d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaison àl'annuaire.

Par exemple : (objectClass=person)n Obtenir l'utilisateur : filtre de recherche pour obtenir des utilisateurs à

synchroniser.

Par exemple :(&(objectClass=user)(objectCategory=person))Attributsn Appartenance : attribut utilisé dans votre annuaire LDAP pour définir

les membres d'un groupe.

Par exemple : membren UUID d'objet : attribut utilisé dans votre annuaire LDAP pour définir

l'UUID d'un utilisateur ou d'un groupe.

Par exemple : entryUUIDn Nom unique : attribut utilisé dans votre annuaire LDAP pour le nom

unique d'un utilisateur ou d'un groupe.

Par exemple : entryDN

Certificats Si votre annuaire LDAP requiert un accès sur SSL, sélectionnez Cetannuaire exige que toutes les connexions utilisent SSL, copiez et collez lecertificat SSL d'autorité de certification racine du serveur d'annuaire LDAP.Vérifiez que le certificat est au format PEM et incluez les lignes « BEGINCERTIFICATE » et « END CERTIFICATE ».

Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel voussouhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=comNom unique Bind : entrez le nom d'utilisateur à utiliser pour établir laliaison à l'annuaire LDAP.Remarque Il est recommandé d'utiliser un compte d'utilisateur de nomunique de liaison avec un mot de passe sans date d'expiration.Mot de passe du nom unique de liaison : entrez le mot de passe del'utilisateur de nom unique de liaison.

4 Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion.

Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les modificationsnécessaires.

5 Cliquez sur Enregistrer et Suivant.

6 Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant.

7 Sur la page Mapper des attributs, vérifiez que les attributs de VMware Identity Manager sont mappésaux bons attributs LDAP.

Important Vous devez spécifier un mappage pour l'attribut domain.

Vous pouvez ajouter des attributs à la liste sur la page Attributs utilisateur.



VMware, Inc. 65

9 Sur la page Groupes, cliquez sur + pour sélectionner les groupes que vous souhaitez synchroniser entrel'annuaire LDAP et l'annuaire VMware Identity Manager.

Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devezspécifier des noms uniques sur la page des groupes.

L'option Synchroniser les utilisateurs du groupe imbriqué est activée par défaut. Lorsque cette optionest activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsique les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notezque les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent auxgroupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs apparaissent entant que membres du groupe de niveau supérieur que vous avez sélectionné pour la synchronisation.En effet, la hiérarchie sous un groupe sélectionné est aplatie et les utilisateurs de tous les niveauxapparaissent dans VMware Identity Manager en tant que membres du groupe sélectionné.

Si cette option est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs quiappartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à desgroupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utilepour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupesdemande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionnertous les groupes dont vous voulez synchroniser les utilisateurs.


11 Cliquez sur + pour ajouter des utilisateurs supplémentaires. Par exemple, entrezCN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vouspouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.


12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire etpour voir le planning de synchronisation par défaut.


13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire.

La connexion à l'annuaire LDAP est établie et les utilisateurs et les groupes sont synchronisés entrel'annuaire LDAP et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison disposed'un rôle d'administrateur dans VMware Identity Manager par défaut.

Ajout d'un annuaire après la configuration du basculement et de laredondance

Si vous ajoutez un nouvel annuaire au service VMware Identity Manager après avoir déjà déployé un clusterpour la haute disponibilité, et que vous voulez que le nouvel annuaire fasse partie de la configuration hautedisponibilité, vous devez ajouter l'annuaire à tous les dispositifs dans votre cluster.

Vous faites cela en ajoutant le composant de connecteur de chaque instance de service au nouvel annuaire.

Procédure


2 Sélectionnez l'onglet Identité et gestion de l'accès, puis l'onglet Fournisseurs d'identité.

3 Sur la page Fournisseurs d'identité, recherchez le fournisseur d'identité du nouvel annuaire et cliquezsur le nom du fournisseur d'identité.


66 VMware, Inc.

4 Dans le champ Nom d'hôte IdP, entrez le nom de domaine complet de l'équilibrage de charge, s'il n'estpas déjà défini sur le nom de domaine complet correct de l'équilibrage de charge.

5 Dans le champ Connecteur(s), sélectionnez le connecteur à ajouter.

6 Entrez le mot de passe et cliquez sur Enregistrer.

7 Sur la page Fournisseurs d'identité, cliquez de nouveau sur le nom du fournisseur d'identité et vérifiezque le champ Nom d'hôte IdP affiche le nom d'hôte correct. Le champ Nom d'hôte IdP doit afficher lenom de domaine complet de l'équilibrage de charge. Si le nom est incorrect, entrez le nom de domainecomplet de l'équilibrage de charge et cliquez sur Enregistrer.

8 Répétez les étapes précédentes pour ajouter tous les connecteurs répertoriés dans le champConnecteur(s).

Remarque Après avoir ajouté chaque connecteur, vérifiez le nom d'hôte IdP et modifiez-le, sinécessaire, comme décrit à l'étape 7.

L'annuaire est maintenant associé à tous les connecteurs dans votre déploiement.


VMware, Inc. 67


68 VMware, Inc.

Utilisation de répertoires locaux 5Un répertoire local est l'un des types de répertoires que vous pouvez créer dans le serviceVMware Identity Manager. Un répertoire local vous permet de provisionner des utilisateurs locaux dans leservice et de leur fournir un accès à des applications spécifiques, sans avoir à les ajouter à votre répertoired'entreprise. Un répertoire local n'est pas connecté à un répertoire d'entreprise et les utilisateurs et lesgroupes ne sont pas synchronisés à partir d'un répertoire d'entreprise. Au lieu de cela, vous créez desutilisateurs locaux directement dans le répertoire local.

Un répertoire local par défaut, nommé Répertoire système, est disponible dans le service. Vous pouvezégalement créer plusieurs répertoires locaux.

Répertoire systèmeLe répertoire système est un répertoire local créé automatiquement dans le service lors de sa premièreconfiguration. Ce répertoire dispose du domaine Domaine système. Vous ne pouvez pas modifier le nom oule domaine du répertoire système, ni lui ajouter de nouveaux domaines. Vous ne pouvez pas non plussupprimer le répertoire système ou le domaine système.

L'utilisateur administrateur local créé lorsque vous configurez le dispositif VMware Identity Managerpourla première fois est créé dans le domaine système du répertoire système.

Vous pouvez ajouter d'autres utilisateurs au répertoire système. Le répertoire système est en général utilisépour configurer quelques utilisateurs administrateurs locaux afin de gérer le service. Pour provisionner desutilisateurs finaux et des administrateurs supplémentaires et les autoriser à accéder à des applications, il estrecommandé de créer un répertoire local.

Répertoires locauxVous pouvez créer plusieurs répertoires locaux. Chaque répertoire local peut disposer d'un ou de plusieursdomaines. Lorsque vous créez un utilisateur local, vous spécifiez le répertoire et le domaine pourl'utilisateur.

Vous pouvez également sélectionner des attributs pour tous les utilisateurs dans un répertoire local. Lesattributs utilisateur tels que userName, lastName et firstName, sont spécifiés au niveau global dans leservice VMware Identity Manager. Une liste par défaut d'attributs est disponible et vous pouvez ajouter desattributs personnalisés. Des attributs utilisateur globaux s'appliquent à tous les répertoires dans le service, ycompris les répertoires locaux. Au niveau du répertoire local, vous pouvez sélectionner les attributs qui sontobligatoires pour le répertoire. Cela vous permet de disposer d'un ensemble personnalisé d'attributs pourdifférents répertoires locaux. Notez que les attributs userName, lastName, firstName et email sont toujoursobligatoires pour les répertoires locaux.

Remarque La capacité de personnaliser les attributs utilisateur au niveau du répertoire n'est disponibleque pour les répertoires locaux, pas pour les répertoires Active Directory ou LDAP.

VMware, Inc. 69

Il est utile de créer des répertoires locaux dans les scénarios suivants.

n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie devotre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour des partenaires,qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accès uniquementaux applications spécifiques dont ils ont besoin.

n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ouméthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer unrépertoire local pour des distributeurs avec des attributs utilisateur tels que région et taille de marché, etun autre répertoire local pour les fournisseurs avec des attributs utilisateur tels que catégorie de produitet type de fournisseur.

Fournisseur d'identité pour un répertoire système et des répertoireslocaux

Par défaut, le répertoire système est associé à un fournisseur d'identité nommé Fournisseur d'identitésystème. La méthode Mot de passe (Cloud Directory) est activée par défaut sur ce fournisseur d'identité ets'applique à la stratégie default_access_policy_set pour la plage réseau TOUTES LES PLAGES et le type depériphérique Navigateur Web. Vous pouvez configurer des méthodes d'authentification supplémentaires etdéfinir des stratégies d'authentification.

Lorsque vous créez un répertoire local, il n'est associé à aucun fournisseur d'identité. Après avoir créé lerépertoire, créez un fournisseur d'identité de type Incorporé et associez-le au répertoire. Activez la méthoded'authentification Mot de passe (Cloud Directory) sur le fournisseur d'identité. Plusieurs répertoires locauxpeuvent être associés au même fournisseur d'identité.

Le connecteur VMware Identity Manager n'est pas requis pour le répertoire système ou pour les répertoireslocaux que vous créez.

Pour plus d'informations, consultez « Configuration de l'authentification utilisateur dans VMware IdentityManager » dans Administration de VMware Identity Manager.

Gestion des mots de passe pour les utilisateurs du répertoire localPar défaut, tous les utilisateurs de répertoires locaux ont la capacité de modifier leur mot de passe dans leportail ou l'application Workspace ONE. Vous pouvez définir une stratégie de mot de passe pour desutilisateurs locaux. Vous pouvez également réinitialiser des mots de passe d'utilisateur local, si nécessaire.

Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE encliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et encliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuventmodifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.

Pour plus d'informations sur la définition de stratégies de mot de passe et sur la réinitialisation des mots depasse d'utilisateur local, consultez « Gestion des utilisateurs et des groupes » dans Administration de VMwareIdentity Manager.


n « Création d'un répertoire local », page 70

n « Modification des paramètres du répertoire local », page 75

n « Suppression d'un répertoire local », page 76

Création d'un répertoire localPour créer un répertoire local, spécifiez les attributs utilisateur pour le répertoire, créez le répertoire etidentifiez-le avec un fournisseur d'identité.


70 VMware, Inc.

1 Définir des attributs utilisateur au niveau global page 71Avant de créer un répertoire local, examinez les attributs utilisateur globaux sur la page Attributsutilisateur et ajoutez des attributs personnalisés, si nécessaire.

2 Créer un répertoire local page 72Après avoir examiné et défini des attributs utilisateur globaux, créez le répertoire local.

3 Associer le répertoire local à un fournisseur d'identité page 74Associez le répertoire local à un fournisseur d'identité de sorte que les utilisateurs dans le répertoirepuissent être authentifiés. Créez un fournisseur d'identité de type Incorporé et activez la méthoded'authentification Mot de passe (répertoire local) dessus.

Définir des attributs utilisateur au niveau globalAvant de créer un répertoire local, examinez les attributs utilisateur globaux sur la page Attributs utilisateuret ajoutez des attributs personnalisés, si nécessaire.

Les attributs utilisateur, tels que firstName, lastName, email et domain, font partie du profil d'un utilisateur.Dans le service VMware Identity Manager, des attributs utilisateur sont définis au niveau global ets'appliquent à tous les répertoires dans le service, notamment des répertoires locaux. Au niveau durépertoire local, vous pouvez remplacer si un attribut est obligatoire ou facultatif pour les utilisateurs dansce répertoire local, mais vous ne pouvez pas ajouter d'attributs personnalisés. Si un attribut est obligatoire,vous devez lui fournir une valeur lorsque vous créez un utilisateur.

Les mots suivants ne peuvent pas être utilisés lorsque vous créez des attributs personnalisés.

Tableau 5‑1. Mots à ne pas utiliser comme noms d'attribut personnalisé

active addresses costCenter

department displayName division

emails employeeNumber droits

externalId groupes id

ims locale manager

meta name nickName

organization mot de passe phoneNumber

photos preferredLanguage profileUrl

rôles timezone title

userName userType x509Certificate

Remarque La capacité de remplacer les attributs utilisateur au niveau du répertoire ne s'applique qu'auxrépertoires locaux, pas aux répertoires Active Directory ou LDAP.

Procédure


2 Cliquez sur Configuration, puis sur l'onglet Attributs utilisateur.

3 Examinez la liste d'attributs utilisateur et ajoutez des attributs supplémentaires, si nécessaire.

Remarque Même si la page vous permet de choisir quels attributs sont obligatoires, il vous estrecommandé de faire la sélection des répertoires locaux au niveau du répertoire local. Si un attribut estmarqué comme obligatoire sur cette page, il s'applique à tous les répertoires dans le service, y comprisles répertoires Active Directory ou LDAP.

Chapitre 5 Utilisation de répertoires locaux

VMware, Inc. 71


Suivant

Créez le répertoire local.

Créer un répertoire localAprès avoir examiné et défini des attributs utilisateur globaux, créez le répertoire local.

Procédure

1 Dans la console d'administration, cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'ongletRépertoires.

2 Cliquez sur Ajouter un répertoire et sélectionnez Ajouter un répertoire d'utilisateur local dans lemenu déroulant.

3 Sur la page Ajouter un répertoire, entrez un nom de répertoire et spécifiez au moins un nom de

domaine.

Le nom de domaine doit être unique dans tous les répertoires du service.

Par exemple :


72 VMware, Inc.


5 Sur la page Répertoires, cliquez sur le nouveau répertoire.

6 Cliquez sur l'onglet Attributs utilisateur.

Tous les attributs de la page Identité et gestion de l'accès > Configuration > Attributs utilisateur sontrépertoriés pour le répertoire local. Les attributs marqués comme obligatoires sur cette page le sontégalement sur la page Répertoire local.

7 Personnalisez les attributs pour le répertoire local.

Vous pouvez spécifier les attributs qui sont obligatoires et ceux qui sont facultatifs. Vous pouvezégalement modifier l'ordre d'affichage des attributs.

Important Les attributs userName, firstName, lastName et email sont toujours obligatoires pour lesrépertoires locaux.

n Pour rendre un attribut obligatoire, cochez la case à côté du nom d'attribut.

n Pour rendre un attribut facultatif, décochez la case à côté du nom d'attribut.

n Pour modifier l'ordre des attributs, cliquez sur l'attribut et faites-le glisser vers le nouvelemplacement.

Si un attribut est obligatoire, lorsque vous créez un utilisateur, vous devez spécifier une valeur pourl'attribut.

Par exemple :


VMware, Inc. 73


Suivant

Associez le répertoire local au fournisseur d'identité que vous voulez utiliser pour authentifier desutilisateurs dans le répertoire.

Associer le répertoire local à un fournisseur d'identitéAssociez le répertoire local à un fournisseur d'identité de sorte que les utilisateurs dans le répertoirepuissent être authentifiés. Créez un fournisseur d'identité de type Incorporé et activez la méthoded'authentification Mot de passe (répertoire local) dessus.

Remarque N'utilisez pas le fournisseur d'identité Intégré. Il n'est pas recommandé d'activer la méthoded'authentification Mot de passe (répertoire local) sur le fournisseur d'identité Intégré.

Procédure

1 Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet Fournisseurs d'identité.

2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP intégré.

3 Entrez les informations suivantes.

Option Description

Nom du fournisseur d'identité Entrez un nom pour le fournisseur d'identité.

Utilisateurs Sélectionnez le répertoire local que vous avez créé.

Réseau Sélectionnez les réseaux depuis lesquels vous pouvez accéder à cefournisseur d'identité.

Méthodes d'authentification Sélectionnez Mot de passe (répertoire local).

Exportation de certificat KDC Vous n'avez pas besoin de télécharger le certificat, sauf si vous configurezMobile SSO pour des périphériques iOS gérés par AirWatch.


74 VMware, Inc.

4 Cliquez sur Ajouter.

Le fournisseur d'identité est créé et associé au répertoire local. Ultérieurement, vous pouvez configurerd'autres méthodes d'authentification sur le fournisseur d'identité. Pour plus d'informations surl'authentification, consultez « Configuration de l'authentification utilisateur dans VMware IdentityManager » dans Administration de VMware Identity Manager.

Vous pouvez utiliser le même fournisseur d'identité pour plusieurs répertoires locaux.

Suivant

Créez des utilisateurs et des groupes locaux. Vous créez des utilisateurs et des groupes locaux dans l'ongletUtilisateurs et groupes de la console d'administration. Pour plus d'informations, consultez « Gestion desutilisateurs et des groupes » dans Administration de VMware Identity Manager.

Modification des paramètres du répertoire localUne fois que vous avez créé un répertoire local, vous pouvez modifier ses paramètres à tout moment.

Vous pouvez modifier les paramètres suivants.

n Modifier le nom du répertoire.

n Ajouter, supprimer ou renommer des domaines.

n Les noms de domaine doivent être uniques dans tous les répertoires du service.

n Lorsque vous modifiez un nom de domaine, les utilisateurs qui étaient associés à l'ancien domainesont associés au nouveau domaine.

n Le répertoire doit contenir au moins un domaine.

n Vous ne pouvez pas ajouter un domaine au répertoire système ou supprimer le répertoire système.

n Ajouter de nouveaux attributs utilisateur ou rendre un attribut existant obligatoire ou facultatif.

n Si le répertoire local ne contient pas encore d'utilisateurs, vous pouvez ajouter de nouveauxattributs avec l'état facultatif ou obligatoire, et rendre des attributs existants obligatoires oufacultatifs.


VMware, Inc. 75

n Si vous avez déjà créé des utilisateurs dans le répertoire local, vous pouvez ajouter de nouveauxattributs en tant qu'attributs facultatifs uniquement, et rendre facultatifs des attributs existantsobligatoires. Vous ne pouvez pas rendre obligatoire un attribut facultatif une fois que lesutilisateurs ont été créés.

n Les attributs userName, firstName, lastName et email sont toujours obligatoires pour lesrépertoires locaux.

n Comme les attributs utilisateur sont définis au niveau global dans le service VMware IdentityManager, les nouveaux attributs que vous ajoutez apparaissent dans tous les répertoires du service.

n Changer l'ordre d'apparition des attributs.

Procédure


2 Sur la page Répertoires, cliquez sur le répertoire que vous voulez modifier.

3 Modifiez les paramètres du répertoire local.

Option Action

Modifier le nom du répertoire a Dans l'onglet Paramètres, modifiez le nom du répertoire.b Cliquez sur Enregistrer.

Ajouter, supprimer ou renommer undomaine

a Dans l'onglet Paramètres, modifiez la liste Domaines.b Pour ajouter un domaine, cliquez sur l'icône verte représentant le signe

plus.c Pour supprimer un domaine, cliquez sur l'icône de suppression rouge.d Pour renommer un domaine, modifiez le nom de domaine dans la

zone de texte.

Ajouter des attributs utilisateur aurépertoire

a Cliquez sur l'onglet Identité et gestion de l'accès et cliquez surConfiguration.

b Cliquez sur l'onglet Attributs utilisateur.c Ajoutez des attributs dans la liste Ajouter d'autres attributs à utiliser

et cliquez sur Enregistrer.

Rendre un attribut obligatoire oufacultatif pour le répertoire

a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'ongletRépertoires.

b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributsutilisateur.

c Cochez la case à côté d'un attribut pour le rendre obligatoire oudécochez la case pour le rendre facultatif.

d Cliquez sur Enregistrer.

Modifier l'ordre des attributs a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'ongletRépertoires.

b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributsutilisateur.

c Cliquez sur les attributs et faites-les glisser vers le nouvelemplacement.

d Cliquez sur Enregistrer.

Suppression d'un répertoire localVous pouvez supprimer un répertoire local que vous avez créé dans le service VMware Identity Manager.Vous ne pouvez pas supprimer le répertoire système, qui est créé par défaut lorsque vous configurez leservice pour la première fois.

Avertissement Lorsque vous supprimez un répertoire, tous les utilisateurs dans le répertoire sontégalement supprimés du service.


76 VMware, Inc.

Procédure

1 Cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet Répertoires.

2 Cliquez sur le répertoire que vous voulez supprimer.

3 Sur la page Répertoire, cliquez sur Supprimer le répertoire.


VMware, Inc. 77


78 VMware, Inc.

Configuration avancée du dispositifVMware Identity Manager 6

Après avoir réalisé l'installation basique du dispositif virtuel VMware Identity Manager, vous pourrezdevoir effectuer d'autres tâches de configuration, telles que l'activation d'un accès externe àVMware Identity Manager et la configuration de la redondance.

Le diagramme de l'architecture de VMware Identity Manager montre comment vous pouvez déployerl'environnement VMware Identity Manager. Voir Chapitre 1, « Préparation de l'installation de VMwareIdentity Manager », page 9 pour un déploiement standard.


n « Utilisation d'un équilibrage de charge ou d'un proxy inverse pour activer l'accès externe à VMwareIdentity Manager », page 79

n « Configuration du basculement et de la redondance dans un centre de données unique », page 83

n « Déploiement de VMware Identity Manager dans un centre de données secondaire pour lebasculement et la redondance », page 91

Utilisation d'un équilibrage de charge ou d'un proxy inverse pouractiver l'accès externe à VMware Identity Manager

Pendant le déploiement, le dispositif virtuel VMware Identity Manager est configuré à l'intérieur du réseauinterne. Si vous voulez fournir l'accès au service aux utilisateurs se connectant depuis des réseaux externes,vous devez installer un équilibrage de charge ou un proxy inverse, tel qu'Apache, nginx ou F5, dans la zoneDMZ.

Si vous n'utilisez pas d'équilibrage de charge ou de proxy inverse, vous ne pouvez pas étendre le nombre dedispositifs VMware Identity Manager ultérieurement. Vous devrez peut-être ajouter des dispositifssupplémentaires pour mettre en place la redondance et l'équilibrage de charge. Le diagramme suivantmontre l'architecture de déploiement de base que vous pouvez utiliser pour activer l'accès externe.

VMware, Inc. 79

Figure 6‑1. Proxy d'équilibrage de charge externe avec une machine virtuelle

Dispositif virtuel

Utilisateurs internes

Utilisateurs externes

Pare-feu DMZ

Port 443 Port 443

VMware Identity Manager

Équilibreur de charge interneNom d'hôte : VMware Identity Manager FQDNExemple d'adresse IP : 10..x.y.zPort : Port de VMware Identity Manager Les en-têtes X-Forwarded-For doivent être activés.

Équilibreur de charge externeNom d'hôte : VMware Identity Manager FQDN Exemple d'adresse IP : 64.x.y.z Port : Port de VMware Identity Manager Les en-têtes X-Forwarded-For doivent être activés.

Dispositif virtuel

Dispositif virtuel

Dispositif virtuel

Spécifiez le nom de domaine complet de VMware Identity Manager pendant ledéploiement.

Pendant le déploiement de la machine virtuelle VMware Identity Manager , vous devez entrer le FQDN et lenuméro du port de VMware Identity Manager . Ces valeurs doivent pointer vers le nom d'hôte auquel vousvoulez que les utilisateurs finaux accèdent.

La machine virtuelle VMware Identity Manager s'exécute toujours sur le port 443. Vous pouvez utiliser unautre numéro de port pour l'équilibreur de charge. Si vous utilisez un numéro de port différent, vous devezle spécifier au moment du déploiement.

Paramètres de l'équilibrage de charge à configurerLes paramètres d'équilibrage de charge à configurer incluent l'activation des en-têtes X-Forwarded-For, ladéfinition correcte du délai d'expiration de l'équilibrage de charge et l'activation des Sticky sessions. Enoutre, la relation d'approbation SSL doit être configurée entre le dispositif virtuel VMware Identity Manageret l'équilibrage de charge.

n En-têtes X-Forwarded-For

Vous devez activer les en-têtes X-Forwarded-For sur votre équilibrage de charge. Cela détermine laméthode d'authentification. Consultez la documentation du fournisseur de votre équilibreur de chargepour plus d'informations.


80 VMware, Inc.

n Délai d'expiration de l'équilibreur de charge

Pour un bon fonctionnement de VMware Identity Manager, vous pouvez avoir besoin d'augmenter lavaleur par défaut du délai d'expiration des demandes d'équilibrage de charge. Cette valeur est définieen minutes. Si le paramétrage du délai d'expiration est trop bas, cette erreur peut se produire : « Erreur502 : Le service est actuellement indisponible. »

n Activer les sessions rémanentes

Vous devez activer le paramètre de session rémanente sur l'équilibrage de charge si votre déploiementdispose de plusieurs dispositifs VMware Identity Manager. L'équilibrage de charge établit ensuite uneliaison entre la session d'un utilisateur et une instance spécifique.

Appliquer le certificat racine de VMware Identity Manager à l'équilibrage decharge

Lorsque le dispositif virtuel VMware Identity Manager est configuré avec un équilibrage de charge, vousdevez établir la relation d'approbation SSL entre l'équilibrage de charge et VMware Identity Manager. Lecertificat racine de VMware Identity Manager doit être copié dans l'équilibrage de charge.

Le certificat VMware Identity Manager peut être téléchargé depuis la console d'administration, sur la pageParamètres du dispositif > Configuration VA > Gérer la configuration.

Si le nom de domaine complet de VMware Identity Manager pointe vers un équilibrage de charge, lecertificat SSL peut uniquement être appliqué à cet équilibrage de charge.

Dans la mesure où l'équilibrage de charge communique avec le dispositif virtuelVMware Identity Manager , vous devez copier le certificat de l'autorité de certification racine deVMware Identity Manager dans l'équilibrage de charge en tant que certificat de confiance racine.

Procédure

1 Dans la console d'administration, sélectionnez l'onglet Paramètres du dispositif et sélectionnezConfiguration VA.


3 Sélectionnez Installer le certificat.

4 Sélectionnez l'onglet Interrompre SSL sur un équilibrage de charge et, dans le champ Certificat del'autorité de certification racine du dispositif, cliquez sur le lienhttps://hostname/horizon_workspace_rootca.pem.

5 Copiez tout ce qui se trouve entre les lignes -----BEGIN CERTIFICATE----- et -----END

CERTIFICATE----, en incluant celles-ci, et collez le certificat racine à l'emplacement adéquat sur chacunde vos équilibrages de charge. Reportez-vous à la documentation fournie par votre fournisseurd'équilibrage de charge.

Chapitre 6 Configuration avancée du dispositif VMware Identity Manager

VMware, Inc. 81

Suivant

Copiez et collez le certificat racine de l'équilibrage de charge sur le dispositifVMware Identity Managerconnecteur.

Appliquer le certificat racine d'équilibrage de charge àVMware Identity Manager

Lorsque le dispositif virtuel VMware Identity Manager est configuré avec un équilibrage de charge, vousdevez établir la relation d'approbation entre l'équilibrage de charge et VMware Identity Manager. En plusde copier le certificat racine de VMware Identity Manager sur l'équilibrage de charge, vous devez copier lecertificat racine de l'équilibrage de charge sur VMware Identity Manager.

Procédure

1 Obtenez le certificat racine de l'équilibrage de charge.

2 Dans la console d'administration de VMware Identity Manager, sélectionnez l'onglet Paramètres dudispositif et sélectionnez Configuration VA.


4 Connectez-vous avec le mot de passe de l'utilisateur administrateur.

5 Sur la page Installer le certificat, sélectionnez l'onglet Interrompre SSL sur un équilibrage de charge.

6 Copiez le texte du certificat de l'équilibrage de charge dans le champ Certificat d'autorité decertification racine.


Paramétrage du serveur proxy pour VMware Identity ManagerLe dispositif virtuel VMware Identity Manager accède au catalogue d'applications Cloud et à d'autresservices Web sur Internet. Si votre configuration réseau fournit un accès à Internet via un proxy HTTP, vousdevez régler les paramètres de votre proxy sur le dispositif VMware Identity Manager.

Autorisez uniquement la gestion du trafic Internet sur votre serveur proxy. Pour vous assurer que le serveurproxy est correctement configuré, définissez le paramètre du trafic interne sur no-proxy dans le domaine.

Remarque Les serveurs proxy qui requièrent l'authentification ne sont pas pris en charge.


82 VMware, Inc.

Procédure

1 Dans vSphere Client, connectez-vous en tant qu'utilisateur racine au dispositif virtuelVMware Identity Manager.

2 Entrez YaST sur la ligne de commande pour exécuter l'utilitaire YaST.

3 Sélectionnez Services réseau dans le volet de gauche, puis sélectionnez Proxy.

4 Entrez les URL du serveur proxy dans les champs URL de proxy HTTP et URL de proxy HTTPS.

5 Sélectionnez Terminer et quittez l'utilitaire YaST.

6 Redémarrez le serveur Tomcat sur le dispositif virtuel VMware Identity Manager pour utiliser lesnouveaux paramètres de proxy.


Le catalogue d'applications Cloud et autres services Web sont désormais disponibles dansVMware Identity Manager.

Configuration du basculement et de la redondance dans un centre dedonnées unique

Pour atteindre le basculement et la redondance, vous pouvez ajouter plusieurs dispositifs virtuelsVMware Identity Manager dans un cluster. Si l'un des dispositifs virtuels workspace-va s'arrête sans raison,VMware Identity Manager est toujours disponible.

Vous commencez par installer et configurer un dispositif virtuel VMware Identity Manager, puis vous leclonez. Le clonage du dispositif virtuel crée un double du dispositif virtuel avec la même configuration quele dispositif d'origine. Vous pouvez personnaliser le dispositif virtuel cloné pour changer son nom, sesparamètres réseau et ses autres propriétés au besoin.

Avant de cloner le dispositif virtuel VMware Identity Manager, vous devez le configurer derrière unéquilibrage de charge et modifier son nom de domaine complet (FQDN) pour qu'il corresponde à celui del'équilibrage de charge. De plus, terminez la configuration d'annuaire dans le serviceVMware Identity Manager avant de cloner le dispositif.

Après le clonage, attribuez au dispositif virtuel cloné une nouvelle adresse IP avant sa mise sous tension.L'adresse IP du dispositif virtuel cloné doit respecter les mêmes recommandations que l'adresse IP dudispositif virtuel d'origine. L'adresse IP doit renvoyer vers un nom d'hôte valide à l'aide de la résolutionDNS normale et inverse.

Tous les nœuds du cluster VMware Identity Manager sont identiques et des copies pratiquement sans étatles uns des autres. La synchronisation avec Active Directory et les ressources configurées, notamment Viewou ThinApp, est désactivée sur les dispositifs virtuels clonés.

1 Nombre de nœuds recommandé dans le cluster VMware Identity Manager page 84Il est recommandé de configurer un cluster VMware Identity Manager avec trois nœuds.

2 Modifier le nom de domaine complet de VMware Identity Manager par celui de l'équilibrage decharge page 84Avant de cloner le dispositif virtuel VMware Identity Manager, vous devez modifier son nom dedomaine complet (FQDN) pour qu'il corresponde à celui de l'équilibrage de charge.

3 Cloner le dispositif virtuel page 85

4 Attribuer une nouvelle adresse IP à un dispositif virtuel cloné page 86Vous devez attribuer une nouvelle adresse IP à chaque dispositif virtuel cloné avant sa mise soustension. Cette adresse IP doit être résolvable dans le DNS. Si l'adresse IP ne se trouve pas dans le DNSinversé, vous devez également attribuer le nom d'hôte.

5 Activation de la synchronisation d'annuaire sur une autre instance de en cas d'échec page 88


VMware, Inc. 83

6 Supprimer un nœud d'un cluster page 89Si un nœud dans le cluster VMware Identity Manager ne fonctionne pas correctement et vous neparvenez pas à récupérer, vous pouvez le supprimer du cluster avec la commande Supprimer lenœud. La commande supprime les entrées de nœud de la base de données VMware Identity Manager.

Nombre de nœuds recommandé dans le cluster VMware Identity ManagerIl est recommandé de configurer un cluster VMware Identity Manager avec trois nœuds.

Le dispositif VMware Identity Manager inclut Elasticsearch, un moteur de recherche et d'analyse.Elasticsearch présente une limite connue avec les clusters de deux nœuds. Pour voir une description de lalimite « Split Brain » d'Elasticsearch, consultez la documentation d'Elasticsearch. Notez que vous n'avez pasbesoin de configurer les paramètres d'Elasticsearch.

Un cluster VMware Identity Manager avec deux nœuds fournit une capacité de basculement avec quelqueslimites liées à Elasticsearch. Si l'un des nœuds s'arrête, les limites suivantes s'appliquent jusqu'à ce que lenœud soit réactivé :

n Le tableau de bord n'affiche aucune donnée.

n La plupart des rapports ne sont pas disponibles.

n Les informations du journal de synchronisation ne s'affichent pas pour les annuaires.

n Le champ de recherche dans le coin supérieur droit de la console d'administration ne renvoie aucunrésultat.

n La saisie semi-automatique n'est pas disponible pour les champs de texte.

Il n'y a aucune perte des données pendant que le nœud est arrêté. Les données des événements d'audit et dejournal de synchronisation sont stockées et seront affichées lorsque le nœud sera restauré.

Modifier le nom de domaine complet de VMware Identity Manager par celui del'équilibrage de charge

Avant de cloner le dispositif virtuel VMware Identity Manager, vous devez modifier son nom de domainecomplet (FQDN) pour qu'il corresponde à celui de l'équilibrage de charge.

Prérequis

n Le dispositif VMware Identity Manager est ajouté à un équilibrage de charge.

n Vous avez appliqué le certificat de l'autorité de certification racine de l'équilibrage de charge à VMwareIdentity Manager.

Procédure


2 Sélectionnez l'onglet Paramètres du dispositif.

3 Sur la page Configuration du dispositif virtuel, cliquez sur Gérer la configuration.

4 Entrez votre mot de passe d'administrateur pour vous connecter.

5 Cliquez sur Configuration d'Identity Manager.

6 Dans le champ FQDN d'Identity Manager, modifiez la partie nom d'hôte de l'URL en remplaçant lenom d'hôte de VMware Identity Manager par le nom d'hôte de l'équilibrage de charge.

Par exemple, si le nom d'hôte de VMware Identity Manager est myservice et que le nom d'hôte de votreéquilibrage de charge est mylb, vous remplacez l'URL

https://myservice.mycompany.com


84 VMware, Inc.

https://www.elastic.co/guide/en/elasticsearch/guide/1.x/_important_configuration_changes.html#_minimum_master_nodes

par ce qui suit :

https://mylb.mycompany.com


n Le FQDN du service est remplacé par le FQDN de l'équilibrage de charge.

n L'URL du fournisseur d'identité est remplacée par l'URL de l'équilibrage de charge.

Suivant

Clonez le dispositif virtuel.

Cloner le dispositif virtuelClonez le dispositif virtuel VMware Identity Manager pour créer plusieurs dispositifs virtuels du mêmetype afin de distribuer le trafic et d'éliminer tout risque d'indisponibilité.

L'utilisation de plusieurs dispositifs virtuels VMware Identity Manager améliore la disponibilité, équilibre lacharge des demandes au service et diminue les temps de réponse à l'utilisateur final.

Prérequis

n Le dispositif virtuel de VMware Identity Manager doit être configuré derrière un équilibrage de charge.Assurez-vous que le port de l'équilibrage de charge est le port 443. N'utilisez pas 8443, car ce numéro deport est le port administratif et est propre à chaque dispositif virtuel.

n Une base de données externe est configurée comme décrit dans « Connexion à la base de données »,page 34.

n Vérifiez que vous avez terminé la configuration d'annuaire dans VMware Identity Manager.

n Connectez-vous à la console du dispositif virtuel en tant qu'utilisateur root et supprimez lefichier /etc/udev/rules.d/70-persistent-net.rules, s'il existe. Si vous ne supprimez pas ce fichieravant le clonage, la mise en réseau n'est pas configurée correctement sur le dispositif virtuel cloné.

Procédure

1 Connectez-vous à vSphere Client ou vSphere Web Client et accédez au dispositif virtuelVMware Identity Manager.

2 Cliquez avec le bouton droit sur le dispositif virtuel et sélectionnez Cloner.

3 Entrez le nom du dispositif virtuel cloné et cliquez sur Suivant.

Il doit être unique dans le dossier de la machine virtuelle.

4 Sélectionnez l'hôte ou le cluster sur lequel exécuter le dispositif virtuel cloné et cliquez sur Suivant.

5 Sélectionnez le pool de ressources dans lequel exécuter le dispositif virtuel, puis cliquez sur Suivant.


VMware, Inc. 85

6 Pour le format de disque virtuel, sélectionnez Même format que la source.

7 Sélectionnez l'emplacement de la banque de données dans laquelle vous souhaitez stocker les fichiersdu dispositif virtuel et cliquez sur Suivant.

8 Sélectionnez Ne pas personnaliser comme option du système d'exploitation invité.

9 Passez en revue les options et cliquez sur Terminer.

Le dispositif virtuel cloné est déployé. Vous ne pouvez pas utiliser ni modifier le dispositif virtuel tant que leclonage n'est pas terminé.

Suivant

Attribuez une adresse IP au dispositif virtuel cloné avant sa mise sous tension et son ajout à l'équilibrage decharge.

Attribuer une nouvelle adresse IP à un dispositif virtuel clonéVous devez attribuer une nouvelle adresse IP à chaque dispositif virtuel cloné avant sa mise sous tension.Cette adresse IP doit être résolvable dans le DNS. Si l'adresse IP ne se trouve pas dans le DNS inversé, vousdevez également attribuer le nom d'hôte.

Procédure

1 Dans vSphere Client ou vSphere Web Client, sélectionnez le dispositif virtuel cloné.

2 Dans l'onglet Résumé, sous Commandes, cliquez sur Modifier les paramètres.

3 Sélectionnez Options et, dans la liste Options vApp, sélectionnez Propriétés.

4 Modifiez l'adresse IP du champ Adresse IP.

5 Si l'adresse IP ne se trouve pas dans le DNS inversé, ajoutez le nom d'hôte dans la zone de texte Nomd'hôte.

6 Cliquez sur OK.

7 Mettez sous tension le dispositif cloné et attendez que l'écran de connexion bleu s'affiche dans l'ongletConsole.

Important Avant de mettre sous tension le dispositif cloné, vérifiez que le dispositif d'origine estcomplètement sous tension.

Suivant

n Attendez quelques minutes que le cluster Elasticsearch soit créé avant d'ajouter le dispositif virtuelcloné à l'équilibrage de charge.

Elasticsearch, moteur de recherche et d'analyse, est intégré dans le dispositif virtuel.

a Connectez-vous au dispositif virtuel cloné.

b Contrôlez le cluster Elasticsearch :

curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

Vérifiez que le résultat correspond au nombre de nœuds.

n Ajoutez le dispositif virtuel cloné à l'équilibrage de charge et configurez l'équilibrage de charge pourqu'il distribue le trafic. Consultez la documentation de fournisseur de votre équilibrage de charge pourplus d'informations.


86 VMware, Inc.

n Si vous avez joint un domaine dans l'instance de service d'origine, vous devez joindre le domaine dansles instances de service clonées.

a Connectez-vous à la console d'administration de VMware Identity Manager.

b Sélectionnez l'onglet Identité et gestion de l'accès et cliquez sur Configuration.

Le composant de connecteur de chaque instance de service clonée est répertorié sur la pageConnecteurs.

c Pour chaque connecteur répertorié, cliquez sur Joindre le domaine et spécifiez les informations dudomaine.

Pour plus d'informations sur Active Directory, reportez-vous à la section « Intégration à ActiveDirectory », page 47.

n Pour les annuaires de type Authentification Windows intégrée (IWA), vous devez exécuter les étapessuivantes :

a Pour les instances de service clonées, joignez le domaine auquel l'annuaire IWA dans l'instance deservice d'origine a été joint.


2 Sélectionnez l'onglet Identité et gestion de l'accès et cliquez sur Configuration.

Le composant de connecteur de chaque instance de service clonée est répertorié sur la pageConnecteurs.

3 Pour chaque connecteur répertorié, cliquez sur Joindre le domaine et spécifiez lesinformations du domaine.

b Enregistrez la configuration d'annuaire IWA.

1 Sélectionnez l'onglet Identité et gestion de l'accès.

2 Sur la page Annuaires, cliquez sur le lien de l'annuaire IWA.

3 Cliquez sur Enregistrer pour enregistrer la configuration de l'annuaire.

n Si vous avez mis à jour manuellement le fichier /etc/krb5.conf dans l'instance de service d'origine, parexemple, pour corriger la défaillance ou la lenteur de la synchronisation View, vous devez mettre à jourle fichier dans l'instance clonée une fois que cette dernière est jointe au domaine. Dans toutes lesinstances de service clonées, effectuez les tâches suivantes.

a Modifiez le fichier /etc/krb5.conf et mettez à jour la section realms pour spécifier les mêmesvaleurs domaine-vers-l'hôte qui sont utilisées dans lefichier /usr/local/horizon/conf/domain_krb.properties. Vous n'avez pas besoin de spécifier lenuméro de port. Par exemple, si votre fichier domain_krb.properties contient l'entrée de domaineexample.com=examplehost.example.com:389, vous devez mettre à jour le fichier krb5.conf commesuit.

[realms]

GAUTO-QA.COM = {



auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-

QA\.COM/GAUTO2QA/


VMware, Inc. 87

auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/

auth_to_local = DEFAULT

kdc = examplehost.example.com

}

Remarque Il est possible d'avoir plusieurs entrées kdc. Toutefois, il ne s'agit pas d'une obligation,car dans la plupart des cas il n'y a qu'une seule valeur kdc. Si vous choisissez de définir des valeurskdc supplémentaires, chaque ligne aura une entrée kdc qui définira un contrôleur de domaine.

b Redémarrez le service workspace.


Remarque Consultez également l'article 2091744 de la base de connaissances.

n Activez les méthodes d'authentification configurées pour connecteur sur chaque instance clonée.Consultez le Guide d'administration de VMware Identity Manager pour plus d'informations.

Le dispositif virtuel de service VMware Identity Manager est maintenant hautement disponible. Le trafic estdistribué aux dispositifs virtuels dans votre cluster en fonction de la configuration de l'équilibrage decharge. L'authentification au service est hautement disponible. Toutefois, pour la synchronisation d'annuairedu service, en cas d'échec de l'instance de service, vous devez activer manuellement la synchronisationd'annuaire sur l'instance de service clonée. La synchronisation d'annuaire est gérée par le composant deconnecteur du service et elle ne peut être activée que sur un connecteur à la fois. Voir « Activation de lasynchronisation d'annuaire sur une autre instance de en cas d'échec », page 88.

Activation de la synchronisation d'annuaire sur une autre instance de en casd'échec

En cas d'échec de l'instance du service, l'authentification est gérée automatiquement par une instance clonée,comme configuré dans l'équilibrage de charge. Toutefois, pour la synchronisation de répertoire, vous devezmodifier les paramètres de répertoire dans le service VMware Identity Manager pour utiliser une instanceclonée. La synchronisation d'annuaire est gérée par le composant du connecteur du service et elle ne peutêtre activée que sur un connecteur à la fois.

Procédure


2 Cliquez sur l'onglet Identité et gestion de l'accès et cliquez sur Répertoires.

3 Cliquez sur le répertoire qui était associé à l'instance du service d'origine.

Vous pouvez voir ces informations sur la page Configuration > Connecteurs. La page répertorie lecomposant de connecteur de chaque dispositif virtuel de service dans votre cluster.

4 Dans la section Synchronisation et authentification du répertoire de la page du répertoire, dans lechamp Connecteur de synchronisation, sélectionnez l'un des autres connecteurs.


88 VMware, Inc.


5 Dans le champ Mot de passe du ND Bind, entrez votre mot de passe de compte Bind Active Directory.


Supprimer un nœud d'un clusterSi un nœud dans le cluster VMware Identity Manager ne fonctionne pas correctement et vous ne parvenezpas à récupérer, vous pouvez le supprimer du cluster avec la commande Supprimer le nœud. La commandesupprime les entrées de nœud de la base de données VMware Identity Manager.

Vous pouvez vérifier la santé des nœuds dans votre cluster en regardant leur état dans le tableau de bordDiagnostics du système. Un message Le nœud actuel est en mauvais état indique que le nœud nefonctionne pas correctement.

Important Utilisez la commande Supprimer le nœud avec parcimonie. Utilisez-la uniquement lorsqu’unnœud est dans un état non récupérable et doit être retiré complètement du déploiementVMware Identity Manager.

Remarque Vous ne pouvez pas utiliser la commande Supprimer le nœud afin de supprimer le derniernœud dans un cluster.

Dissocier le composant de connecteur à partir de domaines, des paramètres desynchronisation d’annuaire et de fournisseur d'identité intégréAvant de pouvoir supprimer un nœud d’un cluster VMware Identity Manager, vous devez vous assurer quele composant de connecteur du nœud n'est joint à aucun domaine, qu'il n'est pas utilisé comme unconnecteur de synchronisation et qu'il n'est pas associé au fournisseur d’identité intégré.

Prérequis

Vous devez vous connecter en tant qu’administrateur locataire, c'est-à-dire un administrateur local sur leservice VMware Identity Manager . Un administrateur de domaine synchronisé à partir de l’annuaired’entreprise ne dispose pas des autorisations nécessaires.

Procédure


2 Cliquez sur l‘onglet Gestion des identités et des accès et cliquez sur Configuration.

La page Connecteurs s’affiche.


VMware, Inc. 89

3 Si le composant de connecteur du nœud est joint au domaine, quittez le domaine.

a Sur la page Connecteurs, localisez le composant de connecteur du nœud à supprimer.

Le composant de connecteur a le même nom que le nœud.

b Si la colonne Actions disponibles affiche un bouton Quitter le domaine , cliquez sur le boutonpour quitter le domaine.

4 Si le composant de connecteur du nœud est utilisé comme connecteur de synchronisation pourn’importe quel annuaire, modifiez le paramètre de connecteur de synchronisation de l’annuaire afind'utiliser un autre connecteur à la place.

a Dans la colonne Annuaire associé de la page connecteurs, affichez les annuaires avec lesquels lecomposant de connecteur est associé.

b Cliquez sur un lien d'annuaire.

c Dans la section Synchronisation et authentification d’annuaire de la page annuaire, vérifiez lavaleur de l’option de Connecteur de synchronisation.

d Si le composant de connecteur est utilisé comme connecteur de synchronisation, sélectionnez unautre connecteur pour l’option Connecteur de synchronisation et cliquez sur Enregistrer.

e Répétez ces étapes pour tous les annuaires avec lesquels le composant de connecteur est associé.

5 Si le composant de connecteur est associé au fournisseur d’identité intégré, supprimez-le du fournisseurd’identité.

a Dans la page connecteurs, dans la colonne Fournisseur d'identité, affichez les fournisseursd’identité avec lesquels le composant de connecteur est associé.

b Si le fournisseur d’identité intégré est répertorié, cliquez sur le lien.

c Sur la page du fournisseur d’identité, dans la section Connecteurs, cliquez sur l’icône desuppression à côté du connecteur.

Suivant

Supprimez le nœud du cluster.

Supprimez le nœud du clusterUne fois que vous dissociez le composant de connecteur du nœud à partir de domaines, de paramètres desynchronisation de répertoire et du fournisseur d’identité intégré, vous pouvez supprimer le nœud ducluster.

Remarque Vous ne pouvez pas utiliser la commande Supprimer pour supprimer le dernier nœud dans uncluster.

Prérequis

n Pour supprimer un nœud, vous devez vous connecter en tant qu'administrateur locataire, c'est-à-dire entant qu'administrateur local sur le service VMware Identity Manager. Un administrateur de domainesynchronisé à partir de l’annuaire d’entreprise ne dispose pas des autorisations nécessaires.

n Vous avez dissociée le composant de connecteur du nœud à partir de domaines, de paramètres desynchronisation de répertoire et du fournisseur d’identité intégré, si nécessaire. Voir « Dissocier lecomposant de connecteur à partir de domaines, des paramètres de synchronisation d’annuaire et defournisseur d'identité intégré », page 89.


90 VMware, Inc.

Procédure

1 Arrêtez la machine virtuelle de nœud.

a Connectez-vous à l'instance du Serveur vCenter.

b Cliquez avec le bouton droit de la souris sur la machine virtuelle de nœud et sélectionnezAlimentation > Mettre hors tension.

2 Supprimez le nœud de l’équilibrage de charge.

3 Dans la console d’administration VMware Identity Manager, supprimez le nœud.

a Connectez-vous à la console de VMware Identity Manager en tant qu'administrateur local.

b Cliquez sur la flèche vers le bas sur l’onglet Tableau de bord et sélectionnez Tableau de bord dediagnostics système.

c Localisez le nœud que vous souhaitez supprimer.

Le nœud affiche l’état suivant :

Le nœud actif est défectueux. Souhaitez-vous le supprimer ?

d Cliquez sur le lien Supprimer qui s’affiche à côté du message.

Le nœud est supprimé du cluster. Les entrées pour le nœud sont supprimées de la base de donnéesVMware Identity Manager. Le nœud est également supprimé des clusters Elasticsearch et Ehcache intégrés.

Suivant

Patientez 5 à 15 minutes le temps que les clusters Elasticsearch et Ehcache intégrés se stabilisent avantd’utiliser d’autres commandes.

Déploiement de VMware Identity Manager dans un centre de donnéessecondaire pour le basculement et la redondance

Pour permettre le basculement si le centre de données VMware Identity Manager principal devientindisponible, VMware Identity Manager doit être déployé dans un centre de données secondaire.

En utilisant un centre de données secondaire, les utilisateurs finaux peuvent se connecter et utiliser desapplications sans temps d'arrêt. Un centre de données secondaire permet également aux administrateurs demettre à niveau VMware Identity Manager vers la version suivante sans temps d'arrêt. Voir « Mise à niveaude VMware Identity Manager sans temps d'arrêt », page 101.

Voici un déploiement classique utilisant un centre de données secondaire.


VMware, Inc. 91

vIDM1vIDM2

(Cloné à partir de vIDM1)

vIDM3(Cloné à partir

de vIDM1)

Architecture Cloud Pod d'Horizon View

Écouteur SQL Server Always On

Référentiel ThinApp (DFS)

XenFarmA

XenFarmB

Espace ViewA

Espace View B

Espace ViewC

Espace ViewD

XenFarmC

XenFarmD

ÉdC global

ÉdC DC1

SQL Server(maître)

Always On


de vIDM1)


de vIDM1)


de vIDM1)

ÉdC DC2

SQL Server(réplica)

Suivez ces directives pour un déploiement de plusieurs centres de données.

n Déploiement de cluster : vous devez déployer un ensemble de trois dispositifs virtuelsVMware Identity Manager ou plus sous la forme d'un cluster dans un centre de données et un autreensemble sous la forme d'un autre cluster dans le second centre de données. Voir « Configuration d'uncentre de données secondaire », page 93 pour obtenir plus d'informations.

n Base de données : VMware Identity Manager utilise la base de données pour stocker des données. Pourun déploiement de plusieurs centres de données, la réplication de la base de données entre les deuxcentres de données est essentielle. Consultez la documentation de votre base de données sur laconfiguration d'une base de données dans plusieurs centres de données. Par exemple, avec SQL Server,il est recommandé d'utiliser un déploiement Always On. Consultez Vue d'ensemble des groupes dedisponibilité Always On (SQL Server) sur le site Web Microsoft pour obtenir plus d'informations. Lesfonctionnalités de VMware Identity Manager prévoit une latence très faible entre la base de données etle dispositif VMware Identity Manager. Par conséquent, il est prévu que les dispositifs dans un centrede données se connectent à la base de données dans le même centre de données.

n Pas Actif-Actif : VMware Identity Manager ne prend pas en charge le déploiement Actif-Actif danslequel les utilisateurs peuvent être servis depuis les deux centres de données en même temps. Le centrede données secondaire est un serveur de secours et il peut être utilisé pour offrir une continuitéd'activité aux utilisateurs finaux. Les dispositifs VMware Identity Manager dans le centre de donnéessecondaire sont en mode lecture seule. Par conséquent, après un basculement vers ce centre de données,la plupart des opérations d'administrateur, comme l'ajout d'utilisateurs ou d'applications, oul'autorisation d'utilisateurs, ne fonctionneront pas.


92 VMware, Inc.

https://msdn.microsoft.com/en-us/library/ff877884.aspx

https://msdn.microsoft.com/en-us/library/ff877884.aspx

n Restauration automatique du principal : dans la plupart des scénarios d'échec, vous pouvez effectuerune restauration automatique vers le centre de données principal une fois qu'il revient à la normale.Voir « Restauration automatique vers le centre de données principal », page 101 pour plusd'informations.

n Promouvoir secondaire en principal : en cas d'échec prolongé d'un centre de données, le centre dedonnées secondaire peut être promu en centre de données principal. Voir « Promotion du centre dedonnées secondaire en centre de données principal », page 101 pour plus d'informations.

n Nom de domaine complet : le nom de domaine complet pour accéder à VMware Identity Manager doitêtre le même dans tous les centres de données.

n Audits : VMware Identity Manager utilise Elasticsearch intégré dans le dispositifVMware Identity Manager pour l'audit, les rapports et les journaux de synchronisation de répertoire.Des clusters Elasticsearch séparés doivent être créés dans chaque centre de données. Voir « Configuration d'un centre de données secondaire », page 93 pour obtenir plus d'informations.

n Active Directory : VMware Identity Manager peut se connecter à Active Directory à l'aide de l'APILDAP ou de l'authentification Windows intégrée. Dans ces deux méthodes, VMware Identity Managerpeut exploiter des enregistrements SRV Active Directory afin d'atteindre le contrôleur de domaineapproprié dans chaque centre de données.

n Applications Windows : VMware Identity Manager prend en charge l'accès à des applications Windowsà l'aide de ThinApp et à des applications et des postes de travail Windows à l'aide des technologiesHorizon View ou Citrix. En général, il est important de fournir ces ressources à partir d'un centre dedonnées plus proche de l'utilisateur, également appelé Géo-affinité. Notez ce qui suit à propos desressources Windows :

n ThinApps : VMware Identity Manager prend en charge les systèmes de fichiers distribuésWindows comme référentiel ThinApp. Utilisez la documentation des systèmes de fichiersdistribués Windows pour configurer des stratégies spécifiques à l'emplacement appropriées.

n Horizon View (avec Architecture Cloud Pod) : VMware Identity Manager prend en chargeArchitecture Cloud Pod d'Horizon. Architecture Cloud Pod d'Horizon fournit la Géo-affinité àl'aide des droits globaux. Consultez « Intégration des déploiements d'Architecture Cloud Pod »dans Configuration des ressources dans VMware Identity Manager pour plus d'informations. Aucunchangement supplémentaire n'est requis pour un déploiement de plusieurs centres de donnéesVMware Identity Manager.

n Horizon View (sans Architecture Cloud Pod) : si Architecture Cloud Pod d'Horizon n'est pasactivée dans votre environnement, vous ne pouvez pas activer la Géo-affinité. Après unbasculement, vous pouvez manuellement changer VMware Identity Manager pour lancer desressources Horizon View à partir des espaces View configurés dans le centre de donnéessecondaire. Voir « Configurer l'ordre de basculement des ressources Horizon View et Citrix »,page 97 pour obtenir plus d'informations.

n Ressources Citrix : semblables à Horizon View (sans Architecture Cloud Pod), vous ne pouvez pasactiver la Géo-affinité pour les ressources Citrix. Après un basculement, vous pouvezmanuellement changer VMware Identity Manager pour lancer des ressources Citrix à partir desXenFarms configurés dans le centre de données secondaire. Voir « Configurer l'ordre debasculement des ressources Horizon View et Citrix », page 97 pour obtenir plus d'informations.

Configuration d'un centre de données secondaireEn général, le centre de données secondaire est géré par un serveur vCenter Server différent. Lorsque vousinstallez le centre de données secondaire, vous pouvez configurer et implémenter les éléments suivants enfonction de vos exigences.

n Dispositifs VMware Identity Manager dans le centre de données secondaire, créés à partir d'un fichierOVA importé depuis le centre de données principal


VMware, Inc. 93

n Un équilibrage de charge pour le centre de données secondaire

n Ressources et droits Horizon View et Citrix en double

n Configuration de la base de données

n Un équilibrage de charge ou une entrée DNS sur les centres de données principal et secondaire à desfins de basculement

Modifier le centre de données principal pour la réplicationAvant de configurer le centre de données secondaire, configurez le centre de données principal pour laduplication d'Elasticsearch et Ehcache sur les clusters.

Elasticsearch et Ehcache sont intégrés dans le dispositif virtuel VMware Identity Manager. Elasticsearch estun moteur de recherche et d'analyse pour l'audit, les rapports et les journaux de synchronisation derépertoire. Ehcache offre des capacités de mise en cache.

Configurez ces modifications dans tous les nœuds du cluster de centre de données principal.

Prérequis

Vous avez configuré un cluster VMware Identity Manager dans le centre de données principal.

Procédure

1 Configurez Elasticsearch pour la réplication.

Apportez ces modifications dans chaque nœud du cluster de centre de données principal.

a Désactivez la tâche cron pour Elasticsearch.

1 Modifiez le fichier /etc/cron.d/hznelasticsearchsync :

vi /etc/cron.d/hznelasticsearchsync

2 Commentez cette ligne :

#*/1 * * * * root /usr/local/horizon/scripts/elasticsearchnodes.hzn

b Ajoutez les adresses IP de tous les nœuds du cluster de centre de données principal.

1 Modifiez le fichier /etc/sysconfig/elasticsearch :

vi /etc/sysconfig/elasticsearch

2 Ajoutez les adresses IP de tous les nœuds du cluster :

ES_UNICAST_HOSTS=IPaddress1,IPaddress2,IPaddress3

c Ajoutez le nom de domaine complet de l'équilibrage de charge du cluster de centre de donnéessecondaire au fichier /usr/local/horizon/conf/runtime-config.properties.

1 Modifiez le fichier /usr/local/horizon/conf/runtime-config.properties.

vi /usr/local/horizon/conf/runtime-config.properties

2 Ajoutez cette ligne au fichier :

analytics.replication.peers=LB_FQDN_of_second_cluster

2 Configurez Ehcache pour la réplication.

Apportez ces modifications dans chaque nœud du cluster de centre de données principal.

a vi /usr/local/horizon/conf/runtime-config.properties


94 VMware, Inc.

b Ajoutez le nom de domaine complet des autres nœuds du cluster. N'ajoutez pas le nom de domainecomplet du nœud que vous modifiez. Séparez les noms de domaine complets par un signe deux-points.

ehcache.replication.rmi.servers=node2FQDN:node3FQDN

Par exemple :

ehcache.replication.rmi.servers=server2.example.com:server3.example.com

3 Redémarrez le service VMware Identity Manager sur tous les nœuds.


4 Vérifiez que le cluster est configuré correctement.

Exécutez ces commandes sur tous les nœuds du premier cluster.

a Vérifiez la santé d'Elasticsearch.

curl 'http://localhost:9200/_cluster/health?pretty'

La commande doit renvoyer un résultat semblable à ce qui suit.

{

"cluster_name" : "horizon",

"status" : "green",

"timed_out" : false,

"number_of_nodes" : 3,

"number_of_data_nodes" : 3,

"active_primary_shards" : 20,

"active_shards" : 40,

"relocating_shards" : 0,

"initializing_shards" : 0,

"unassigned_shards" : 0,

"delayed_unassigned_shards" : 0,

"number_of_pending_tasks" : 0,

"number_of_in_flight_fetch" : 0

}

S'il existe des problèmes, reportez-vous à la section « Résolution des problèmes d'Elasticsearch »,page 112.

b Vérifiez que le fichier /opt/vmware/horizon/workspace/logs/ horizon.log contient cette ligne.

Added ehcache replication peer: //node3.example.com:40002

Les noms d'hôte doivent être ceux des autres nœuds du cluster.

Suivant

Créez un cluster dans le centre de données secondaire. Créez les nœuds en exportant le fichier OVA dupremier dispositif virtuel VMware Identity Manager du cluster de centre de données principal et enl'utilisant pour déployer les nouveaux dispositifs virtuels dans le centre de données secondaire.


VMware, Inc. 95

Créer des dispositifs virtuels VMware Identity Manager dans un centre de donnéessecondairePour configurer un cluster VMware Identity Manager dans le centre de données secondaire, exportez lefichier OVA du dispositif VMware Identity Manager d'origine dans le centre de données principal etutilisez-le pour déployer des dispositifs dans le centre de données secondaire.

Prérequis

n Fichier OVA de VMware Identity Manager qui a été exporté depuis le dispositifVMware Identity Manager d'origine dans le centre de données principal

n Adresses IP et enregistrements DNS pour le centre de données secondaire

Procédure

1 Dans le centre de données principal, exportez le fichier OVA du dispositif VMware Identity Managerd'origine.

Consultez la documentation de vSphere pour plus d'informations.

2 Dans le centre de données secondaire, déployez le fichier OVA VMware Identity Manager qui a étéexporté pour créer les nœuds.

Consultez la documentation de vSphere pour plus d'informations. Consultez également « Installer lefichier OVA de VMware Identity Manager », page 19.

3 Après la mise sous tension des dispositifs VMware Identity Manager, mettez à jour la configuration dechaque dispositif.

Les dispositifs VMware Identity Manager dans le centre de données secondaire sont des copiesidentiques du dispositif VMware Identity Manager d'origine dans le centre de données principal. Lasynchronisation avec Active Directory et les ressources configurées dans le centre de données principalest désactivée.

Suivant

Accédez aux pages de la console d'administration et configurez ce qui suit :

n Activez Joindre le domaine comme configuré dans le dispositif VMware Identity Manager d'originedans le centre de données principal.

n Sur la page Adaptateurs d'authentification, ajoutez les méthodes d'authentification qui sont configuréesdans le centre de données principal.

n Sur la page Méthode d'authentification d'annuaire, activez l'authentification Windows, si configuréedans le centre de données principal.

Accédez à la page Installer le certificat paramètres du dispositif pour ajouter des certificats signés parl'autorité de certification, en dupliquant les certificats dans les dispositifs VMware Identity Manager dans lecentre de données principal. Voir « Utilisation des certificats SSL », page 38.

Configurer des nœuds dans le centre de données secondaireUne fois que vous avez créé des nœuds dans le centre de données secondaire à l'aide du fichier OVA exportédepuis le centre de données principal, configurez les nœuds.

Suivez ces étapes pour chaque nœud dans le centre de données secondaire.


96 VMware, Inc.

Procédure

u Mettez à jour les tableaux d'adresses IP.

a Dans le fichier /usr/local/horizon/scripts/updateiptables.hzn, mettez à jour les adresses IP detous les nœuds dans le centre de données secondaire.

1 vi /usr/local/horizon/scripts/updateiptables.hzn

2 Recherchez et remplacez la ligne ALL_IPS. Spécifiez les adresses IP délimitées par un espace.

ALL_IPS="Node1_IPaddress Node2_IPaddress Node3_IPaddress"

3 Ouvrez des ports en exécutant ce script.

/usr/local/horizon/scripts/updateiptables.hzn

b Configurez les nœuds pour la réplication Elasticsearch et Ehcache, et vérifiez qu'ils sontcorrectement configurés.

Consultez les instructions dans « Modifier le centre de données principal pour la réplication »,page 94 et appliquez-les aux nœuds dans le centre de données secondaire.

Notez que les tâches cron sont déjà désactivées.

Modifier le fichier runtime-config.properties dans le centre de données secondaireSi vous utilisez une base de données qui n'est pas un déploiement SQL Server Always On, vous devezmodifier les fichiers runtime-config.properties pour les dispositifs VMware Identity Manager dans lecentre de données secondaire afin de modifier l'URL JDBC pour pointer vers la base de données dans lecentre de données secondaire et pour configurer le dispositif pour un accès en lecture seule. Si vous utilisezun déploiement SQL Server Always On, cette étape n'est pas requise.

Apportez ces modifications dans chaque dispositif VMware Identity Manager dans le centre de donnéessecondaire.

Procédure

1 À l'aide d'un client ssh, connectez-vous au dispositif VMware Identity Manager en tant qu'utilisateurroot.

2 Ouvrez le fichier runtime-config.properties dans /usr/local/horizon/conf/runtime-config.properties.

3 Modifiez l'URL JDBC pour qu'elle pointe vers la base de données pour le centre de données secondaire.

Voir « Configurer VMware Identity Manager pour utiliser une base de données externe », page 37.

4 Configurez le dispositif VMware Identity Manager pour qu'il ait un accès en lecture seule.

Ajoutez la ligne read.only.service=true.

5 Redémarrez le serveur Tomcat sur le dispositif.


Configurer l'ordre de basculement des ressources Horizon View et CitrixPour les ressources Horizon View et Citrix, vous devez configurer l'ordre de basculement des ressourcesdans les centres de données principal et secondaire pour que les ressources appropriées soient disponiblesdepuis n'importe quel centre de données.

Vous utilisez la commande hznAdminTool pour créer un tableau de base de données avec l'ordre debasculement des ressources dans votre organisation par instance de service. L'ordre de basculementconfiguré est suivi lorsqu'une ressource est lancée. Vous exécutez hznAdminTool failoverConfigurationdans les deux centres de données pour configurer l'ordre de basculement.


VMware, Inc. 97

Prérequis

Lorsque VMware Identity Manager est déployé dans plusieurs centres de données, les mêmes ressourcessont également configurées sur chaque centre de données. Chaque pool d'applications ou de postes detravail dans les espaces View ou les XenFarms Citrix est considéré comme une ressource différente dans lecatalogue VMware Identity Manager. Pour éviter la duplication de la ressource dans le catalogue, vérifiezque vous avez activé Ne pas synchroniser les applications en double dans les pages Pools View ouApplications publiées - Citrix sur la page de la console d'administration.

Procédure


2 Pour voir une liste des instances de serveur, saisissez hznAdminTool serviceInstances.

Une liste des instances de service avec le numéro d'ID affecté s'affiche, comme dans cet exemple.

{"id":103,"hostName":"ws4.domain.com","ipaddress":"10.142.28.92"}{"id":

154,"hostName":"ws3.domain.com","ipaddress":"10.142.28.91"}{"id":

1,"hostName":"ws1.domain.com","ipaddress":"10.143.104.176"}{"id":

52,"hostName":"ws2.domain.com","ipaddress":"10.143.104.177"}

3 Pour chaque instance de service dans votre organisation, configurez l'ordre de basculement desressources View et Citrix.

Pour filtrer les alarmes spécifiques à Virtual SAN, tapez hznAdminTool failoverConfiguration -configType <configType> -configuration <configuration> -serviceInstanceId <serviceInstanceId>

[-orgId <orgId>]

Option Description

-configType Saisissez le type de ressource configuré pour le basculement. Les valeurssont VIEW ou XENAPP.

-configuration Saisissez l'ordre de basculement. Pour VIEW configType, saisissez sousforme de liste séparée par des virgules les noms d'hôte du Serveur deconnexion View principal qui sont répertoriés sur la page Pools View de laconsole d'administration. Pour XENAPP configType, saisissez sous formede liste séparée par des virgules les noms XenFarm.

-serviceInstanceId Saisissez l'ID de l'instance de service pour laquelle la configuration estdéfinie. L'ID est disponible dans la liste affichée à l'étape 2, "id":

-orgId (Facultatif). Si cette option est laissée vide, la configuration est définie pourl'organisation par défaut.

Par exemple, hznAdminTool failoverConfiguration -configType VIEW -configurationpod1vcs1.domain.com,pod2vcs1.hs.trcint.com -orgId 1 -serviceInstanceId 1.

Lorsque vous saisissez cette commande pour des instances de VMware Identity Manager dans le centrede données secondaire, inversez l'ordre des Serveurs de connexion View. Dans cet exemple, lacommande serait hznAdminTool failoverConfiguration -configType VIEW -configurationpod2vcs1.hs.trcint.com, pod1vcs1.domain.com -orgId 1 -serviceInstanceId 103

Le tableau de base de données de basculement des ressources est configuré pour chaque centre de données.

Suivant

Pour la configuration de basculement existante pour chaque ressource View et Citrix, exécutez hznAdminToolfailoverConfigurationList -configType <configtype> -<orgId).

La valeur de <configtype> est VIEW ou XENAPP. Voici un exemple de sortie de hznAdminToolfailoverConfiguraitonList avec configType VIEW.


98 VMware, Inc.

{"idOrganization":1,"serviceInstanceId":

52,"configType":"VIEW","configuration":"pod1vcs1.domain.com,pod2vcs1.domain.com"}





Configurer la base de données pour le basculementPour VMware Identity Manager, la réplication de base de données est configurée pour que les donnéesrestent cohérentes sur les serveurs de base de données dans le centre de données principal et sur le centre dedonnées secondaire.

Vous devez configurer votre base de données externe pour la haute disponibilité. Configurez unearchitecture de base de données maître et esclave, où l'esclave est un réplica exact du maître.

Consultez la documentation de votre base de données externe pour plus d'informations.

Si vous utilisez SQL Server Always On, utilisez le nom d'hôte ou l'adresse IP de l'écouteur SQL Serverlorsque vous configurez la base de données dans chaque dispositif VMware Identity Manager. Par exemple :

jdbc:sqlserver://<nomhôte_écouteur>;DatabaseName=saas

Basculement vers le centre de données secondaireLorsque le centre de données principal échoue, vous pouvez basculer vers le centre de données secondaire.Pour basculer, vous devez modifier l'équilibrage de charge global ou l'enregistrement DNS pour qu'il pointevers l'équilibrage de charge dans le centre de données secondaire.

En fonction de la configuration de votre base de données, les dispositifs VMware Identity Manager dans lecentre de données secondaire sont en mode lecture seule ou en mode lecture-écriture. Pour toutes les basesde données, sauf SQL Server Always On, les dispositifs VMware Identity Manager sont en mode lectureseule. Par conséquent, la plupart des opérations d'administrateur, comme l'ajout d'utilisateurs oud'applications, ou l'autorisation d'utilisateurs, ne sont pas disponibles.

Si vous utilisez un déploiement SQL Server Always On, les dispositifs VMware Identity Manager dans lecentre de données secondaire sont en mode lecture-écriture.

Utilisation d'un enregistrement DNS pour configurer quel data center doit êtreactifSi vous utilisez un enregistrement Domain Name System (DNS) pour acheminer le trafic des utilisateursdans vos data centers, l'enregistrement DNS doit pointer vers un équilibreur de charge du data centerprincipal dans des situations de fonctionnement normales.

Si le data center principal est indisponible, l'enregistrement DNS doit être mis à jour pour pointer versl'équilibreur de charge du data center secondaire.

Lorsque le data center principal est de nouveau disponible, l'enregistrement DNS doit être mis à jour pourpointer vers l'équilibreur de charge du data center primaire.

Réglage de la durée de vie dans l'enregistrement DNS

Le réglage de la durée de vie (time to live, TTL) détermine le délai avant que les informations associées auDNS ne soient rafraîchies dans le cache. Pour un basculement sans difficulté des postes de travail et desapplications View, assurez-vous que le réglage de la durée de vie (TTL) des enregistrements DNS est court.Si le réglage de la TTL est trop long, des utilisateurs pourraient ne pas pouvoir accéder à leurs postes detravail et à leurs applications View immédiatement après le basculement. Pour permettre unrafraîchissement rapide du DNS, réglez la TTL du DNS sur 30 secondes.


VMware, Inc. 99

Activités de VMware Identity Manager non disponibles en mode lecture seuleL'utilisation de VMware Identity Manager en mode lecture seule est conçue pour la haute disponibilité afinde permettre aux utilisateurs finaux d'accéder aux ressources dans leur portail My Apps. Certaines activitésdans la console d'administration de VMware Identity Manager et dans les pages d'autres servicesd'administration peuvent ne pas être disponibles en mode lecture seule. Voici une liste partielle d'activitéscourantes qui ne sont pas disponibles.

Lorsque VMware Identity Manager est exécuté en mode lecture seule, les activités liées à des modificationsdans Active Directory ou la base de données ne peuvent pas être réalisées et la synchronisation avec la basede données VMware Identity Manager ne fonctionne pas.

Les fonctions administratives qui nécessitent d'écrire dans la base de données ne sont pas disponiblespendant cette période. Vous devez attendre que VMware Identity Manager repasse en mode lecture etécriture.

Console d'administration VMware Identity Manager en mode lecture seule

Voici certaines limites de la console d'administration en mode lecture seule.

n Ajout, suppression et modification des utilisateurs et des groupes dans l'onglet Utilisateurs et groupes

n Ajout, suppression et modification des applications dans l'onglet Catalogue

n Ajout, suppression et modification des droits sur les applications

n Modification des informations de marque

n Synchronisation de répertoire pour ajouter, modifier et supprimer des utilisateurs et des groupes

n Modification des informations sur les ressources, y compris View, XenApp et d'autres ressources

n Modification de la page Méthodes d'authentification

Remarque Les composants de connecteur des dispositifs VMware Identity Manager dans le centre dedonnées secondaire apparaissent dans la console d'administration. Veillez à ne pas sélectionner unconnecteur dans le centre de données secondaire comme connecteur de synchronisation.

Pages de configuration du dispositif virtuel en mode lecture seule

Voici certaines limites des pages Configuration du dispositif en mode lecture seule.

n Test de la configuration de connexion à la base de données

n Modification du mot de passe d'administrateur sur la page Modifier le mot de passe

Portail d'applications d'utilisateur final en mode lecture seule

Lorsque VMware Identity Manager est en mode lecture seule, les utilisateurs peuvent se connecter à leurportail VMware Identity Manager et accéder à leurs ressources. La fonctionnalité suivante dans le portaild'utilisateur final n'est pas disponible en mode lecture seule.

n Marquer une ressource comme favorite ou annuler le marquage d'une ressource comme favorite

n Ajouter des ressources de la page Catalogue ou supprimer des ressources de la page Lanceur

n Modifier le mot de passe sur la page de leur portail d'applications

Client Windows VMware Identity Manager en mode lecture seule

Lorsque VMware Identity Manager est en mode lecture seule, les utilisateurs ne peuvent pas configurer denouveaux clients Windows. Les clients Windows existants continuent de fonctionner.


100 VMware, Inc.

Restauration automatique vers le centre de données principalDans la plupart des scénarios d'échec, vous pouvez effectuer une restauration automatique vers le centre dedonnées principal une fois qu'il fonctionne de nouveau.

Procédure

1 Modifiez l'équilibrage de charge global ou l'enregistrement DNS pour qu'il pointe vers l'équilibrage decharge dans le centre de données principal.

Voir « Utilisation d'un enregistrement DNS pour configurer quel data center doit être actif », page 99.

2 Videz le cache du centre de données secondaire.

Vous pouvez utiliser des API REST pour vider le cache.

Chemin d'accès : /SAAS/jersey/manager/api/removeAllCaches

Méthode : POST

Rôles autorisés : OPÉRATEUR uniquement

Promotion du centre de données secondaire en centre de données principalEn cas d'échec prolongé d'un centre de données, le centre de données secondaire peut être promu en centrede données principal.

Pour un déploiement SQL Server Always On, aucune modification n'est requise. Pour les autresconfigurations de base de données, vous devez modifier le fichier runtime-config.properties dans lesdispositifs VMware Identity Manager dans le centre de données secondaire afin de configurer les dispositifspour le mode lecture-écriture.

Apportez ces modifications dans chaque dispositif VMware Identity Manager dans le centre de donnéessecondaire.

Procédure


2 Ouvrez le fichier /usr/local/horizon/conf/runtime-config.properties pour le modifier.

3 Modifiez la ligne read.only.service=true par read.only.service=false.

4 Enregistrez le fichier runtime-config.properties.

5 Redémarrez le serveur Tomcat sur le dispositif.


Mise à niveau de VMware Identity Manager sans temps d'arrêtAvec un déploiement de plusieurs centres de données, vous pouvez mettre à niveauVMware Identity Manager vers la version suivante sans temps d'arrêt. Utilisez cet exemple de workflowpour propager des mises à jour.

Consultez le schéma dans « Déploiement de VMware Identity Manager dans un centre de donnéessecondaire pour le basculement et la redondance », page 91 lorsque vous suivez ces étapes.

Procédure

1 Changez le routage sur l'ÉdC global pour envoyer les demandes à l'ÉdC DC2.

2 Arrêtez la réplication de base de données.


VMware, Inc. 101

3 Mettez à jour le dispositif virtuel vIDM1, puis le dispositif virtuel vIDM2 et le dispositif virtuel vIDM3.

4 Testez les mises à jour à l'aide de l'ÉdC DC1.

5 Une fois satisfait, changez l'ÉdC global pour router les demandes vers l'ÉdC DC1.

6 Mettez à jour le dispositif virtuel vIDM4, puis le dispositif virtuel vIDM5 et le dispositif virtuel vIDM6.

7 Testez les mises à jour à l'aide de l'ÉdC DC2.

8 Démarrez la réplication de base de données.


102 VMware, Inc.

Installation de dispositifs deconnecteur supplémentaires 7

Le connecteur fait partie du service VMware Identity Manager. Lorsque vous installez un dispositif virtuelVMware Identity Manager, un composant de connecteur est toujours inclus par défaut.

Le connecteur exécute les fonctions suivantes.

n Synchronise des données d'utilisateur et de groupe entre votre annuaire d'entreprise et l'annuairecorrespondant que vous créez dans le service.

n Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service.

Le connecteur est le fournisseur d'identité par défaut.

Comme un connecteur est déjà disponible dans le cadre du service, dans des déploiements standard, vousn'avez pas besoin d'installer un connecteur supplémentaire.

Dans certains scénarios, toutefois, vous pouvez avoir besoin d'un connecteur supplémentaire. Par exemple :

n Si vous disposez de plusieurs annuaires de type Active Directory (Authentification Windows intégrée),vous avez besoin d'un connecteur séparé pour chacun d'entre eux.

Une instance de connecteur peut être associée à plusieurs annuaires. Une partition appelée travailleurest créée dans le connecteur pour chaque annuaire. Toutefois, la même instance de connecteur ne peutpas comporter deux travailleurs de type Authentification Windows intégrée.

n Si vous voulez gérer l'accès des utilisateurs selon s'ils se connectent depuis un emplacement interne ouexterne.

n Si vous voulez utiliser l'authentification par certificat, alors que votre équilibrage de charge estconfiguré pour mettre fin à SSL au niveau de l'équilibrage de charge. L'authentification par certificatrequiert un relais SSL au niveau de l'équilibrage de charge.

Pour installer un connecteur supplémentaire, vous effectuez les tâches suivantes.

n Téléchargez le module OVA du connecteur.

n Générez un jeton d'activation dans le service.

n Déployez le dispositif virtuel du connecteur.

n Configurez les paramètres du connecteur.

Tous les connecteurs supplémentaires que vous déployez apparaissent dans l'interface utilisateur du service.


n « Générer un code d'activation pour un connecteur », page 104

n « Déployer le fichier OVA d'Connector », page 104

n « Configurer les paramètres de Connector », page 105

VMware, Inc. 103

Générer un code d'activation pour un connecteurAvant de déployer le dispositif virtuel de connecteur, générez un code d'activation pour le nouveauconnecteur du service VMware Identity Manager. Le code d'activation du connecteur est utilisé pour établirla communication entre le service et le connecteur.

Procédure



3 Cliquez sur Configuration

4 Sur la page Connecteurs, cliquez sur Ajouter un connecteur.

5 Entrez un nom pour la nouvelle instance de connecteur.

6 Cliquez sur Générer un code d'activation.

Le code d'activation s'affiche dans le champ Code d'activation de connecteur.

7 Copiez et enregistrez le code d'activation de connecteur.

Ce code d'activation sera utilisé lors de l'exécution de l'Assistant de configuration du connecteur.

Suivant

Installez le dispositif virtuel du connecteur.

Déployer le fichier OVA d' ConnectorVous pouvez télécharger le fichier OVA d'connecteur et le déployer à l'aide de VMware vSphere Client oude vSphere Web Client.

Prérequis

n Identifiez les enregistrements DNS et le nom d'hôte à utiliser pour le déploiement du fichier OVAd'connecteur.

n Avec vSphere Web Client, utilisez les navigateurs Firefox ou Chrome. N'utilisez pas Internet Explorerpour déployer le fichier OVA.

n Télécharger le fichier OVA du connecteur.

Procédure

1 Dans vSphere Client ou vSphere Web Client, sélectionnez Fichier > Déployer le modèle OVF.

2 Dans les pages Déployer le modèle OVF, entrez les informations spécifiques de votre déploiementd'connecteur.

Page Description

Source Localisez l'emplacement du module OVA ou entrez une URL spécifique.

Détails du module OVA Vérifiez que vous avez sélectionné la version correcte.

Licence Lisez l'accord de licence d'utilisateur final et cliquez sur Accepter.

Nom et emplacement Saisissez un nom pour le dispositif virtuel. Le nom doit être unique dans ledossier d'inventaire et contenir au maximum 80 caractères. Les noms sontsensibles à la casse.Sélectionnez un emplacement pour le dispositif virtuel.

Hôte / Cluster Sélectionnez l'hôte ou le cluster pour exécuter le modèle déployé.

Pool de ressources Sélectionnez le pool de ressources.


104 VMware, Inc.

Page Description

Stockage Sélectionnez l'emplacement de stockage des fichiers des machinesvirtuelles.

Format du disque Sélectionnez le format de disque pour les fichiers. Pour les environnementsde production, sélectionnez le format Provisionnement statique. Utilisezle format Provisionnement dynamique pour les évaluations et les tests.

Mappage réseau Mappez les réseaux de votre environnement vers les réseaux du modèleOVF.

Propriétés a Dans le champ Paramètre de fuseau horaire, sélectionnez le fuseauhoraire correspondant.

b La case Programme d'amélioration du produit est cochée par défaut.VMware collecte des données anonymes sur votre déploiement afind'améliorer la réponse de VMware aux exigences des utilisateurs.Décochez la case si vous ne voulez pas que les données soientcollectées.

c Dans le champ Nom de l'hôte, entrez le nom d'hôte à utiliser. Si cechamp est vide, le DNS inversé est utilisé pour rechercher le nomd'hôte.

d Pour configurer l'adresse IP statique d'connecteur, entrez l'adresse dechacun des éléments suivants : Passerelle par défaut, DNS, Adresse IPet Masque réseau.Important Si l'un des quatre champs d'adresse, y compris Nomd'hôte, est vide, le protocole DHCP est utilisé.

Pour configurer le protocole DHCP, laissez les champs d'adresse vides.

Prêt à terminer Passez vos sélections en revue et cliquez sur Terminer. Selon la vitesse de votre réseau, le déploiement peut nécessiter plusieurs minutes. Vous pouvez voir laprogression dans la boîte de dialogue de progression.

3 Lorsque le déploiement est terminé, sélectionnez le dispositif , cliquez avec le bouton droit etsélectionnez Alimentation > Mettre sous tension.

Le dispositif est initialisé. Vous pouvez accéder à l'onglet Console pour voir les détails. Une foisl'initialisation du dispositif virtuel terminée, l'écran de la console affiche la version du et les URL pourvous connecter à l'Assistant de configuration du , afin de terminer la configuration.

Suivant

Utilisez l'Assistant de configuration pour ajouter le code d'activation et les mots de passe d'administration.

Configurer les paramètres de ConnectorLorsque l'OVA d'connecteur est déployé et installé, exécutez l'Assistant de configuration pour activer ledispositif et configurer les mots de passe de l'administrateur.

Prérequis

n Vous disposez du code d'activation du nouveau connecteur. Voir « Générer un code d'activation pourun connecteur », page 104.

n Assurez-vous que le dispositif connecteur est activé et que vous connaissez l'URL d'connecteur.

n Répertoriez une liste des mots de passe à utiliser pour l'administrateur de connecteur, le compte racineet le compte Sshuser.

Procédure

1 Pour exécuter l'Assistant Configuration, entrez l'URL de connecteur qui s'est affichée dans l'ongletConsole une fois l'OVA déployé.

2 Sur la page d'accueil, cliquez sur Continuer.

Chapitre 7 Installation de dispositifs de connecteur supplémentaires

VMware, Inc. 105

3 Créez des mots de passe forts pour les comptes d'administrateur de dispositif virtuel connecteursuivants.

Les mots de passe forts doivent contenir au moins huit caractères, des majuscules et des minuscules etau moins un chiffre ou caractère spécial.

Option Description

Administrateur du dispositif Créez le mot de passe de l'administrateur du dispositif. Le nomd'utilisateur est admin et ne peut pas être modifié. Vous utilisez ce compteet ce mot de passe pour vous connecter aux services connecteur afin degérer les certificats, les mots de passe des dispositifs et la configurationsyslog.Important Le mot de passe de l'utilisateur Admin doit contenir aumoins 6 caractères.

Compte racine Un mot de passe racine VMware par défaut a été utilisé pour installer ledispositif connecteur. Créez un nouveau mot de passe racine.

Compte sshuser Créez le mot de passe à utiliser pour l'accès à distance au dispositif duconnecteur.

4 Cliquez sur Continuer.

5 Sur la page Activer le connecteur, collez le code d'activation et cliquez sur Continuer.

Le code d'activation est vérifié et la communication entre le service et l'instance du connecteur estétablie.

La configuration du connecteur est terminée.

Suivant

Dans le service, configurez votre environnement selon vos besoins. Par exemple, si vous avez ajouté unconnecteur supplémentaire, car vous voulez synchroniser deux annuaires Authentification Windowsintégrée, créez l'annuaire et associez-le au nouveau connecteur.

Configurez les certificats SSL pour le connecteur. Voir « Utilisation des certificats SSL », page 38.


106 VMware, Inc.

Utilisation de KDC intégré 8Pour l’authentification Mobile SSO pour iOS sur les périphériques iOS gérés par AirWatch, vous pouvezutiliser le KDC intégré. Vous initialisez manuellement le Centre de distribution de clés (KDC) dans ledispositif avant d’activer la méthode d’authentification à partir de la console d’administration.

Remarque Lorsque vous intégrez VMware Identity Manager à AirWatch dans un environnementWindows, utilisez le service hebergé cloud KDC VMware Identity Manager, et non pas le KDC intégré.L'utilisation de KDC dans le cloud requiert de sélectionner le nom de domaine approprié dans la paged’adaptateur d’authentification iOS à partir de la console d’administration. Consultez le Guided’Administration de VMware Identity Manager.

Avant d'initialiser KDC dans VMware Identity Manager, déterminez le nom de domaine du serveur KDC, sivotre déploiement comporte des sous-domaines et si vous voulez utiliser le certificat du serveur KDC pardéfaut ou non.

DomaineLe domaine est le nom d'une entité administrative qui conserve des données d'authentification. Il estimportant de sélectionner un nom descriptif pour le domaine d'authentification Kerberos. Le nom dedomaine doit faire partie d'un domaine DNS que l'entreprise peut configurer.

Le nom de domaine et le nom de domaine complet (FQDN) qui est utilisé pour accéder au service VMwareIdentity Manager sont indépendants. Votre entreprise doit contrôler les domaines DNS pour le nom dedomaine et le FQDN. L'usage consiste à utiliser un nom de domaine identique au FQDN, mais écrit enmajuscules. Parfois, le nom de domaine et le FQDN sont différents. Par exemple, un nom de domaine estEXAMPLE.NET et idm.example.com est le FQDN VMware Identity Manager. Dans ce cas, vous définissez desentrées DNS pour les domaines example.net et example.com.

Le nom de domaine est utilisé par un client Kerberos pour générer des noms DNS. Par exemple, lorsque lenom est example.com, le nom lié Kerberos pour contacter le KDC par TCP est_kerberos._tcp.EXAMPLE.COM.

Utilisation de sous-domainesLe service VMware Identity Manager installé dans un environnement sur site peut utiliser le sous-domainedu FQDN VMware Identity Manager. Si votre site VMware Identity Manager accède à plusieurs domainesDNS, configurez les domaines sous la forme location1.example.com ; location2.example.com ;location3.example.com. Dans ce cas, la valeur du sous-domaine est example.com, saisi en minuscules. Pourconfigurer un sous-domaine dans votre environnement, contactez votre équipe du support du service.

VMware, Inc. 107

Utilisation de certificats du serveur KDCLorsque le KDC est initialisé, un certificat du serveur KDC et un certificat racine auto-signé sont générés pardéfaut. Le certificat est utilisé pour émettre le certificat du serveur KDC. Ce certificat racine est inclus dans leprofil du périphérique pour que le périphérique puisse approuver le KDC.

Vous pouvez générer manuellement le certificat du serveur KDC à l'aide d'un certificat racine ouintermédiaire d'entreprise. Contactez votre équipe du support du service pour obtenir des détails sur cettefonctionnalité.

Téléchargez le certificat racine du serveur KDC depuis la console d'administrationVMware Identity Manager afin d'utiliser la configuration AirWatch du profil de gestion du périphériqueiOS.


n « Initialiser le centre de distribution de clés dans le dispositif », page 108

n « Création d'entrées DNS publiques pour KDC avec Kerberos intégré », page 109

Initialiser le centre de distribution de clés dans le dispositifAvant de pouvoir utiliser la méthode d'authentification Mobile SSO pour iOS, vous devez initialiser le centrede distribution de clés (KDC) dans le dispositif VMware Identity Manager.

Pour initialiser KDC, vous attribuez votre nom d'hôte d'Identity Manager aux domaines Kerberos. Le nomde domaine est entré en majuscules. Si vous configurez plusieurs domaines Kerberos, pour identifier ledomaine, utilisez des noms descriptifs qui se terminent par votre nom de domaine d'Identity Manager. Parexemple SALES.MY-IDENTITYMANAGER.EXAMPLE.COM. Si vous configurez des sous-domaines, tapezle nom du sous-domaine en minuscules.

Prérequis

VMware Identity Manager est installé et configuré.

Nom de domaine identifié. Voir Chapitre 8, « Utilisation de KDC intégré », page 107.

Procédure

1 Connectez-vous avec SSH au dispositif VMware Identity Manager en tant qu'utilisateur racine.

2 Initialisez le KDC. Entrez /etc/init.d/vmware-kdc init --realm {REALM.COM} --subdomain {sva-name.subdomain}.

Par exemple,/etc/init.d/vmware-kdc init --realm MY-IDM.EXAMPLE.COM --subdomain my-idm.example.com

Si vous utilisez un équilibrage de charge avec plusieurs dispositifs Identity Manager, utilisez le nom del'équilibrage de charge dans les deux cas.

3 Redémarrez le service VMWare Identity Manager. Entrez service horizon-workspace restart.

4 Démarrez le service KDC. Entrez service vmware-kdc restart.

Suivant

Créez des entrées DNS publiques. Des enregistrements DNS doivent être provisionnés pour permettre auxclients de trouver le KDC. Voir « Création d'entrées DNS publiques pour KDC avec Kerberos intégré »,page 109.


108 VMware, Inc.

Création d'entrées DNS publiques pour KDC avec Kerberos intégréAprès avoir initialisé KDC dans VMware Identity Manager, vous devez créer des enregistrements DNSpublics afin de permettre aux clients Kerberos de trouver le KDC lorsque la fonctionnalité d'authentificationKerberos intégré est activée.

Le nom de domaine KDC est utilisé dans le cadre du nom DNS pour les entrées du dispositif VMwareIdentity Manager qui sont utilisées pour détecter le service KDC. Un enregistrement DNS SRV estobligatoire pour chaque site VMware Identity Manager et deux entrées d'adresse A.

Remarque La valeur d'entrée AAAA est une adresse IPv6 qui code une adresse IPv4. Si le KDC n'est pasadressable via IPv6 et qu'une adresse IPv4 est utilisée, il peut être nécessaire de spécifier l'entrée AAAAdans une notation IPv6 stricte sous la forme ::ffff:175c:e147 sur le serveur DNS. Vous pouvez utiliser unoutil de conversion IPv4 en IPv6, tel que celui de Neustar.UltraTools, pour convertir la notation d'adresseIPv4 en IPv6.

Exemple : Entrées d'enregistrement DNS pour KDCDans cet exemple d'enregistrement DNS, le domaine est EXAMPLE.COM, le nom de domaine complet deVMware Identity Manager est idm.example.com et l'adresse IP de VMware Identity Manager est 1.2.3.4.

idm.example.com. 1800 IN AAAA ::ffff:1.2.3.4

idm.example.com. 1800 IN A 1.2.3.4

_kerberos._tcp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.

_kerberos._udp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.

Chapitre 8 Utilisation de KDC intégré

VMware, Inc. 109


110 VMware, Inc.

Dépannage durant l'installation et laconfiguration 9

Les rubriques de dépannage décrivent des solutions à des problèmes potentiels que vous pouvez rencontrerlors de l'installation ou de la configuration de VMware Identity Manager.


n « Les utilisateurs ne peuvent pas lancer des applications ou une méthode d'authentification incorrecteest appliquée dans des environnements à équilibrage de charge », page 111

n « Le groupe n'affiche aucun membre après la synchronisation de répertoire », page 112

n « Résolution des problèmes d'Elasticsearch », page 112

Les utilisateurs ne peuvent pas lancer des applications ou uneméthode d'authentification incorrecte est appliquée dans desenvironnements à équilibrage de charge

Les utilisateurs ne peuvent pas lancer d'applications à partir du portail Workspace ONE ou une méthoded'authentification incorrecte est appliquée dans un environnement à équilibrage de charge.

Problème

Dans un environnement à équilibrage de charge, des problèmes comme les suivants peuvent se produire :

n Les utilisateurs ne peuvent pas lancer d'applications à partir du portail Workspace ONE après leurconnexion.

n Une méthode d'authentification incorrecte est présentée aux utilisateurs à des fins d'authentification derelais.

Cause

Ces problèmes peuvent se produire si des stratégies d'accès sont mal déterminées. L'adresse IP du clientdétermine quelle stratégie d'accès s'applique lors de la connexion et lors du lancement d'application. Dansun environnement à équilibrage de charge, VMware Identity Manager utilise l'en-tête X-Forwarded-Forpour déterminer l'adresse IP du client. Dans certains cas, une erreur peut se produire.

Solution

Définissez la propriété service.numberOfLoadBalancers dans le fichier runtime-config.properties danschaque nœud de votre cluster VMware Identity Manager. La propriété spécifie le nombre d'équilibrages decharge devant les instances de VMware Identity Manager.

Remarque La définition de cette propriété est facultative.

1 Connectez-vous au dispositif VMware Identity Manager.

VMware, Inc. 111

2 Modifiez le fichier /usr/local/horizon/conf/runtime-config.properties pour ajouter la propriétésuivante :

service.numberOfLoadBalancers numberOfLBs

où numberOfLBs est le nombre d'équilibrages de charge devant les instances deVMware Identity Manager.

3 Redémarrez le dispositif workspace.


Le groupe n'affiche aucun membre après la synchronisation derépertoire

La synchronisation de répertoire se termine correctement, mais aucun utilisateur n'est affiché dans lesgroupes synchronisés.

Problème

Une fois qu'un répertoire est synchronisé, manuellement ou automatiquement en fonction du planning desynchronisation, le processus de synchronisation se termine correctement, mais aucun utilisateur n'estaffiché dans les groupes synchronisés.

Cause

Ce problème se produit lorsque vous disposez de deux nœuds ou plus dans un cluster et qu'il existe unedifférence de temps de plus de 5 secondes entre les nœuds.

Solution

1 Vérifiez qu'il n'existe pas de différence de temps entre les nœuds. Utilisez le même serveur NTP surtous les nœuds dans le cluster pour synchroniser le temps.

2 Redémarrez le service sur tous les nœuds.


3 (Facultatif) Dans la console d'administration, supprimez le groupe, rajoutez-le dans les paramètres desynchronisation et synchronisez de nouveau le répertoire.

Résolution des problèmes d'ElasticsearchUtilisez ces informations afin de résoudre les problèmes liés à Elasticsearch dans un environnement decluster. Elasticsearch, un moteur de recherche et d'analyse pour l'audit, et les enregistrements desynchronisation de répertoire, est intégré dans le dispositif virtuel VMware Identity Manager.

Résolution des problèmes d'ElasticsearchVous pouvez vérifier la santé d'Elasticsearch en utilisant la commande suivante dans le dispositif VMwareIdentity Manager.

curl 'http://localhost:9200/_cluster/health?pretty'

La commande doit renvoyer un résultat semblable à ce qui suit.

{

"cluster_name" : "horizon",

"status" : "green",

"timed_out" : false,

"number_of_nodes" : 3,

"number_of_data_nodes" : 3,


112 VMware, Inc.

"active_primary_shards" : 20,

"active_shards" : 40,

"relocating_shards" : 0,

"initializing_shards" : 0,

"unassigned_shards" : 0,

"delayed_unassigned_shards" : 0,

"number_of_pending_tasks" : 0,

"number_of_in_flight_fetch" : 0

}

Si Elasticsearch ne démarre pas correctement ou si son état est rouge, suivez ces étapes pour résoudre lesproblèmes.

1 Vérifiez que le port 9300 est ouvert.

a Mettez à jour les détails du nœud en ajoutant les adresses IP de tous les nœuds du cluster aufichier /usr/local/horizon/scripts/updateiptables.hzn :

ALL_IPS="node1IPadd node2IPadd node3IPadd"

b Exécutez le script suivant sur tous les nœuds du cluster.

/usr/local/horizon/scripts/updateiptables.hzn

2 Redémarrez Elasticsearch sur tous les nœuds du cluster.

service elasticsearch restart

3 Consultez les fichiers journaux pour tout complément d'information.

cd /opt/vmware/elasticsearch/logs

tail -f horizon.log

Chapitre 9 Dépannage durant l'installation et la configuration

VMware, Inc. 113


114 VMware, Inc.

Index

Aaccès externe 79Active Directory

authentification Windows intégrée 46intégration 47mappage d'attributs 54

Active Directory à forêt unique 47Active Directory via LDAP 46, 55Adresse IP sur les machines clonées 86ajouter Active Directory 55ajouter des certificats 39amélioration du produit 18annuaire

ajout 55ajouter 45

annuaires LDAPintégration 61, 62limites 62

aperçu, installer 9Assistant de configuration de Connector 105attributs

mappage 54par défaut 53

attributs utilisateur pour répertoires locaux 71authentification Windows intégrée 55autorité de certification 39

Bbasculement 66, 83–85, 88, 99basculement de base de données 99basculement, configurer la base de données

pour 99base de données externe, Configurator 37base de données interne, haute disponibilité 37base de données Microsoft SQL 35base de données oracle 36base de données, mot de passe interne 37bundle de journaux 43

Ccatalogue global Active Directory 47centre de données secondaire 91, 93, 96, 99certificat auto-signé 38certificat SSL, autorité de certification

principale 81certificats, KDC 107

certificats de serveur KDC 107chaîne du certificat 40cluster 84cluster de centre de données secondaire 96code d'activation 104collecter les journaux 43configuration du dispositif 33configuration réseau, exigences 11configurer

journalisation 42machines virtuelles 79

connecteurdissocier de l'annuaire 89Dissocier du fournisseur d’identité 89quitter le domaine 89

Connecteur 105connecteur supplémentaire 104connecteurs, installation supplémentaire 103connector-va 83

Ddata centers multiples, Redirection DNS 99démarrer le KDC de Cloud 108dépannage du fichier domain_krb.properties 53déploiement

listes de vérification 16préparation 15

déploiement de plusieurs centres dedonnées 91, 94, 96, 99, 101

désactiver un compte 53dispositif virtuel, exigences 11dispositifs virtuels multiples 85DNS, Réglage de la TTL 99domaine, KDC 107domaine KDC 107domaine Kerberos 107domaine système 69domaines multiples 47

Ee-mail aux utilisateurs locaux 44e-mail de réinitialisation du mot de passe 44Ehcache 94, 96Elasticsearch 94, 96en-têtes X-forwarded-for 79

VMware, Inc. 115

entrées DNS pour service KDC 109équilibrage de charge 79, 82erreur de lancement 111Espace de travail

déployer 19installer 19

expiration du délai, équilibrage de charge 79externe 16, 35

Ffichier domain_krb.properties 49, 51fichier OVA

déployer 19installer 19

fichier runtime-config.properties 51, 97fournisseur d'identité système 69

Ggateway-va 83

Hhaute disponibilité 66hznAdminTool, basculement des ressources 97

Iimportation de fichiers OVA 96intégration à Active Directory 47intégration d'annuaire 45

JJDBC, modifier sur le centre de données

secondaire 97joindre le domaine 55journalisation 42

KKDC

créer des entrées DNS 109initialiser dans Identity Manager 108

Kerberos, KDC intégré 108

Llicence 31limites d'administration des services connectgor

en mode lecture seule 100limites de la console d'administration en mode

lecture seule 100limites du mode lecture seule 100limites du programme de configuration du

dispositif en mode lecture seule 100limites en mode lecture seule 100Linux

administrateur système 7SUSE 7

liste de vérificationcontrôleur de domaine Active Directory 16

informations réseau, pools IP 16

Mmachines clonées, ajout d'adresse IP 86machines virtuelles multiples 83matériel

ESX 11exigences 11

mettre à niveau sans temps d'arrêt 101mettre en cluster 89mise à niveau 101mise à niveau de plusieurs centres de

données 101mode lecture seule 97mode lecture seule, fonctionnalité d'utilisateur

final 100modifier

mot de passe Admin 43mot de passe racine 43mot de passe sshuser 43

modifier le nom de domaine complet 41modifier un mot de passe Active Directory 60modifier un mot de passe AD 60mot de passe, base de données interne 37mots de passe

expiré 60modifier 43

mots de passe Active Directory expirés 60

Nnœuds dans un cluster 84nom d'hôte IdP 41nom de domaine complet 40

Oordre de basculement des ressources 97

Ppage Attributs utilisateur 53pages d'administration, dispositif 33paramètres de configuration, dispositif 33paramètres de répertoire local 75paramètres de synchronisation 54paramètres du serveur proxy 30, 82pools IP 21portail workspace, OVA 104programme de configuration du dispositif,

paramètres 34propriété service.numberOfLoadBalancers 111propriété siteaware.subnet 51proxy HTTP 30, 82


116 VMware, Inc.

public concerné 7

RRabbitMQ 96recherche de l'emplacement du service DNS 49,

51recherche SRV 49, 51Redirection du serveur DNS 99redondance 66, 83–85, 88Réglages de la TTL pour le DNS 99réinitialiser un mot de passe Active Directory 60répertoire LDAP 46répertoire local

ajouter un domaine 75associer à un fournisseur d'identité 74attributs utilisateur 75changer le nom 75créer 70, 72modifier 75modifier le nom de domaine 75supprimer 76supprimer un domaine 75

répertoire système 69répertoires locaux 69, 70, 74, 75résolution des problèmes

aucun membre dans le groupe 112aucun utilisateur dans les groupes 112synchronisation de répertoire 112utilisateurs manquants 112

résolution des problèmes d'Elasticsearch 112résolution des problèmes de RabbitMQ 112résolution DNS 15résolution DNS inverse 15résolution inverse 15restauration automatique 101

Sserveur SMTP 16Serveur SMTP 44serveur syslog 42service-va 83, 85sessions sticky, équilibrage de charge 79sous-domaine KDC 107supprimer le noeud 89, 90SUSE Linux 7

Ttemps d'arrêt 101travailleur 46

UURL de connecteur 41

URL du service 41URL du service VMware Identity Manager 41utilisateurs, attributs utilisateur 54utilisateurs locaux 69

VvCenter, informations d'identification 16

WWindows, administrateur système 7

Index

VMware, Inc. 117


118 VMware, Inc.

installation et configuration de vmware identity manager · les serveurs active directory, les...

Documents