Vidm 29 Install

Installing and Configuring VMware
Identity Manager
VMware Identity Manager 2.9.1
Installing and Configuring VMware Identity Manager
You can find the most up-to-date technical documentation on the VMware Web site at:
https://docs.vmware.com/
The VMware Web site also provides the latest product updates.
If you have comments about this documentation, submit your feedback to:
docfeedback@vmware.com
Copyright © 2013 – 2017 VMware, Inc. All rights reserved. Copyright and trademark information.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2 VMware, Inc.
Contents
À propos de l'installation et de la configuration de VMware Identity Manager 7
1 Préparation de l'installation de VMware Identity Manager 9

System and Network Configuration Requirements 11
Préparation au déploiement d' VMware Identity Manager 14
Créer des enregistrements DNS et des adresses IP 15
Database Options with VMware Identity Manager 15
Connexion à l'annuaire d'entreprise 16
Listes de vérification de déploiement 16
Programme d'amélioration du produit 17
2 Déploiement d' VMware Identity Manager 19

Installer le fichier OVA de VMware Identity Manager 19
(Facultatif) Ajouter des pools IP 21
Configurer les paramètres de VMware Identity Manager 22
Paramétrage du serveur proxy pour VMware Identity Manager 30
Saisir la clé de licence 31
3 Gestion des paramètres de configuration de système du dispositif 33

Modifier les paramètres de configuration du dispositif 34
Connecting to the Database 34
Configurer une base de données Microsoft SQL 35
Configuration d'une base de données Oracle 36
Administration de la base de données interne 37
Configure VMware Identity Manager to Use an External Database 37
Utilisation des certificats SSL 38
Appliquer une autorité de certification publique 39
Ajout de certificats SSL 40
Modification de l'URL du service VMware Identity Manager 41
Modification de l'URL de connecteur 41
Activation du serveur Syslog 42
Informations sur le fichier journal 42
Collecter les informations de journalisation 43
Gestion des mots de passe de vos dispositifs 43
Configurer les paramètres SMTP 44
4 Intégration à votre annuaire d'entreprise 45

Concepts importants relatifs à l'intégration d'annuaire 46
Intégration à Active Directory 47
Environnements Active Directory 47
À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) 49
VMware, Inc. 3
Gestion des attributs utilisateur synchronisés à partir d'Active Directory 53

Autorisations requises pour joindre un domaine 55
Configuration de la connexion Active Directory au service 55
Autoriser les utilisateurs à modifier des mots de passe Active Directory 60
Intégration à des annuaires LDAP 61
Limites de l'intégration d'annuaire LDAP 62
Intégrer un annuaire LDAP au service 62
Ajout d'un annuaire après la configuration du basculement et de la redondance 66
5 Utilisation de répertoires locaux 69

Création d'un répertoire local 70
Définir des attributs utilisateur au niveau global 71
Créer un répertoire local 72
Associer le répertoire local à un fournisseur d'identité 74
Modification des paramètres du répertoire local 75
Suppression d'un répertoire local 76
6 Configuration avancée du dispositif VMware Identity Manager 79

Utilisation d'un équilibrage de charge ou d'un proxy inverse pour activer l'accès externe à
VMware Identity Manager 79
Appliquer le certificat racine de VMware Identity Manager à l'équilibrage de charge 81
Appliquer le certificat racine d'équilibrage de charge à VMware Identity Manager 82
Paramétrage du serveur proxy pour VMware Identity Manager 82
Configuration du basculement et de la redondance dans un centre de données unique 83
Nombre de nœuds recommandé dans le cluster VMware Identity Manager 84
Modifier le nom de domaine complet de VMware Identity Manager par celui de l'équilibrage
de charge 84
Cloner le dispositif virtuel 85
Attribuer une nouvelle adresse IP à un dispositif virtuel cloné 86
Activation de la synchronisation d'annuaire sur une autre instance de en cas d'échec 88
Supprimer un nœud d'un cluster 89
Déploiement de VMware Identity Manager dans un centre de données secondaire pour le
basculement et la redondance 91
Configuration d'un centre de données secondaire 93
Basculement vers le centre de données secondaire 99
Restauration automatique vers le centre de données principal 100
Promotion du centre de données secondaire en centre de données principal 101
Mise à niveau de VMware Identity Manager sans temps d'arrêt 101
7 Installation de dispositifs de connecteur supplémentaires 103

Générer un code d'activation pour un connecteur 104
Déployer le fichier OVA d' Connector 104
Configurer les paramètres de Connector 105
8 Utilisation de KDC intégré 107

Initialiser le centre de distribution de clés dans le dispositif 108
Création d'entrées DNS publiques pour KDC avec Kerberos intégré 109
4 VMware, Inc.
Contents
9 Dépannage durant l'installation et la configuration 111

Les utilisateurs ne peuvent pas lancer des applications ou une méthode d'authentification
incorrecte est appliquée dans des environnements à équilibrage de charge 111
Le groupe n'affiche aucun membre après la synchronisation de répertoire 112
Résolution des problèmes d'Elasticsearch 112
Index 115
VMware, Inc. 5
6 VMware, Inc.
À propos de l'installation et de la configuration
de VMware Identity Manager
Installation et configuration de VMware Identity Manager fournit des informations sur le processus d'installation
et de configuration du dispositif VMware Identity Manager. Une fois l'installation terminée, vous pouvez
utiliser la console d'administration pour octroyer aux utilisateurs un accès géré et multi-périphérique aux
applications de votre organisation, notamment aux applications Windows, aux applications SaaS (software
as a service) et aux postes de travail View ou Horizon. Le guide explique également comment configurer
votre déploiement pour la haute disponibilité.
Public concerné
Ces informations sont destinées aux administrateurs de VMware Identity Manager. Ces informations ont été
rédigées à l'attention d'administrateurs système Windows et Linux expérimentés et connaissant bien les
®
technologies VMware, en particulier vCenter™, ESX™, vSphere et View™, les concepts de mise en réseau,
les serveurs Active Directory, les bases de données, les procédures de sauvegarde et de restauration, le
protocole SMTP (Simple Mail Transfer Protocol) et les serveurs NTP. SUSE Linux 11 est le système
d'exploitation sous-jacent du dispositif virtuel. La connaissance d'autres technologies, telles que VMware
®
ThinApp et RSA SecurID, est utile si vous prévoyez de mettre en œuvre ces fonctionnalités.
VMware, Inc. 7
8 VMware, Inc.
Préparation de l'installation de
Les tâches de déploiement et de configuration de VMware Identity Manager vous obligent à exécuter les
opérations préalables requises, à déployer le fichier OVA VMware Identity Manager et à effectuer la
configuration à partir de l'Assistant de configuration de VMware Identity Manager.
VMware, Inc. 9
Figure 1‑1. Diagramme de l'architecture de VMware Identity Manager pour des déploiements standards
VMware Identity Manager FQDN: Périphérique mobile

myidentitymanager.mycompany.com
DMZ
HTTPS (443) Internet Ordinateur portable

TCP/UDP (88)
- iOS uniquement PC
Proxy inverse
Zone d'entreprise
Équilibreur de charge interne
myidentitymanager.mycompany.com
Ordinateur portable
HTTPS (443) Utilisateurs
du LAN
HTTPS d'entreprise
PCoIP
PC
TCP/UDP (88) VDI (HTML)

- iOS uniquement
Serveur de VDI (PCoIP/RDP)

connexion
View
VMware
HTTPS
Identity
(443)
Manager va
Services RSA AD/services Base de données Référentiel Serveur API REST

DNS/NTP SecurID d'annuaire externe ThinApp Citrix AirWatch
Remarque Si vous prévoyez d'activer l'authentification par certificat ou par carte à puce, utilisez le
paramètre de relais SSL au niveau de l'équilibrage de charge, au lieu du paramètre pour mettre fin à SSL.
Cette configuration permet de s'assurer que la négociation SSL a lieu entre le connecteur, un composant de
VMware Identity Manager et le client.
Remarque En fonction de l'emplacement du déploiement d'AirWatch, les API REST AirWatch peuvent se
trouver dans le Cloud ou sur site.
Ce chapitre aborde les rubriques suivantes :
n “System and Network Configuration Requirements,” on page 11
n « Préparation au déploiement d'VMware Identity Manager », page 14
n « Programme d'amélioration du produit », page 17
10 VMware, Inc.
Chapitre 1 Préparation de l'installation de VMware Identity Manager
System and Network Configuration Requirements

Consider your entire deployment, including how you integrate resources, when you make decisions about
hardware, resources, and network requirements.
Supported vSphere and ESX Versions

The following versions of vSphere and ESX server are supported:
n 5.0 U2 and later
n 5.1 and later
n 5.5 and later
n 6.0 and later
Note You must turn on time sync at the ESX host level using an NTP server. Otherwise, a time drift occurs
between the virtual appliances.
If you deploy multiple virtual appliances on different hosts, consider disabling the Sync to Host option for
time synchronization and configuring the NTP server in each virtual appliance directly to ensure that there
is no time drift between the virtual appliances.
Hardware Requirements
Ensure that you meet the requirements for the number of VMware Identity Manager virtual appliances and
the resources allocated to each appliance.
Number of Users Up to 1,000 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000
Number of 1 server 3 load-balanced 3 load-balanced 3 load-balanced 3 load-balanced

VMware Identity servers servers servers servers
Manager servers
CPU (per server) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU
RAM (per server) 6 GB 6 GB 8 GB 16 GB 32 GB
Disk space (per 60 GB 100 GB 100 GB 100 GB 100 GB

server)
If you install additional, external connector virtual appliances, ensure that you meet the following
requirements.
Number of 1 server 2 load-balanced 2 load-balanced 2 load-balanced 2 load-balanced

connector servers servers servers servers servers
CPU (per server) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU
RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB
Disk space (per 60 GB 60 GB 60 GB 60 GB 60 GB

server)
Database Requirements
Set up VMware Identity Manager with an external database to store and organize server data. An internal
PostgreSQL database is embedded in the virtual appliance but it is not recommended for use with
production deployments.
VMware, Inc. 11
For information about the database versions and service pack configurations supported, see the VMware
Product Interoperability Matrices at
https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
The following requirements apply to an external SQL Server database.
CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU
RAM 4 GB 4 GB 8 GB 16 GB 32 GB
Disk space 50 GB 50 GB 50 GB 100 GB 100 GB
Network Configuration Requirements

Component Minimum Requirement
DNS record and IP address IP address and DNS record
Firewall port Ensure that the inbound firewall port 443 is open for users outside the network to
the VMware Identity Manager instance or the load balancer.
Reverse Proxy Deploy a reverse proxy such as F5 Access Policy Manager in the DMZ to allow
users to securely access the VMware Identity Manager user portal remotely.
Port Requirements
Ports used in the server configuration are described here. Your deployment might include only a subset of
these ports. For example:
n To sync users and groups from Active Directory, VMware Identity Manager must connect to Active
Directory.
n To sync with ThinApp, the VMware Identity Manager must join the Active Directory domain and
connect to the ThinApp Repository share.
Port Portal Source Target Description
443 HTTPS Load Balancer VMware Identity Manager virtual

appliance
443 HTTPS VMware Identity Manager VMware Identity Manager virtual

virtual appliance appliance
443 HTTPS Browsers VMware Identity Manager virtual

appliance
443 HTTPS VMware Identity Manager vapp-updates.vmware.com Access to the

virtual appliance upgrade server
8443 HTTPS Browsers VMware Identity Manager virtual Administrator Port

appliance
25 SMTP VMware Identity Manager SMTP Port to relay

virtual appliance outbound mail
389 LDAP VMware Identity Manager Active Directory Default values are
636 LDAPS virtual appliance shown. These ports
are configurable.
3268 MSFT-GC
3269 MSFT-GC-
SSL
445 TCP VMware Identity Manager VMware ThinApp repository Access to the
virtual appliance ThinApp repository
12 VMware, Inc.
Port Portal Source Target Description
5500 UDP VMware Identity Manager RSA SecurID system Default value is
virtual appliance shown. This port is
configurable.
53 TCP/UDP VMware Identity Manager DNS server Every virtual

virtual appliance appliance must have
access to the DNS
server on port 53
and allow incoming
SSH traffic on port
22.
88, 464, 135 TCP/UDP VMware Identity Manager Domain controller

virtual appliance
9300–9400 TCP VMware Identity Manager VMware Identity Manager virtual Audit needs
virtual appliance appliance
54328 UDP
1433, 5432, TCP VMware Identity Manager Database Microsoft SQL

1521 virtual appliance default port is 1433
The Oracle default
port is 1521
443 VMware Identity Manager View server Access to View

virtual appliance server
80, 443 TCP VMware Identity Manager Citrix Integration Broker server Connection to the
virtual appliance Citrix Integration
Broker. Port option
depends on whether
a certificate is
installed on the
Integration Broker
server
443 HTTPS VMware Identity Manager AirWatch REST API For device
virtual appliance compliance checking
and for the AirWatch
Cloud Connector
password
authentication
method, if that is
used.
88 UDP Unified Access Gateway VMware Identity Manager virtual UDP port to open
appliance for mobile SSO
5262 TCP Android mobile device AirWatch HTTPS proxy service AirWatch Tunnel
client routes traffic
to the HTTPS proxy
for Android devices.
88 UDP iOS mobile device VMware Identity Manager virtual Port used for
appliance Kerberos traffic from
443 HTTPS/TC iOS devices to the
P hosted cloud KDC
service.
Active Directory
VMware Identity Manager supports Active Directory on Windows 2008, 2008 R2, 2012, and 2012 R2, with a
Domain functional level and Forest functional level of Windows 2003 and later.
VMware, Inc. 13
Navigateurs pris en charge pour accéder à la console d'administration

La console d'administration VMware Identity Manager est une application Web qui vous permet de gérer
votre locataire. Vous pouvez accéder à la console d'administration à partir des navigateurs suivants.
n Internet Explorer 11 pour systèmes Windows
n Mozilla Firefox 42.0 ou version ultérieure pour systèmes Windows et Mac
n Mozilla Firefox 40 ou version ultérieure pour les systèmes Windows et Mac
n Safari 6.2.8 et version ultérieure pour les systèmes Mac
Note Dans Internet Explorer 11, JavaScript doit être activé et les cookies autorisés pour s'authentifier via
VMware Identity Manager.
Navigateurs pris en charge pour accéder au portail Workspace ONE

Les utilisateurs finaux peuvent accéder au portail Workspace ONE à partir des navigateurs suivants.
n Mozilla Firefox (dernière version)
n Google Chrome (dernière version)
n Safari (dernière version)
n Internet Explorer 11
n Navigateur Microsoft Edge
n Navigateur natif et Google Chrome sur les périphériques Android
n Safari sur les périphériques iOS
Note Dans Internet Explorer 11, JavaScript doit être activé et les cookies autorisés pour s'authentifier via
Préparation au déploiement d' VMware Identity Manager

Avant de déployer VMware Identity Manager, vous devez préparer votre environnement. Cette préparation
inclut le téléchargement du fichier OVA de VMware Identity Manager, la création d'enregistrements DNS et
l'obtention d'adresses IP.
Prérequis
Avant de commencer à installer VMware Identity Manager, effectuez les tâches préalables.
n Vous avez besoin d'un ou plusieurs serveurs ESX pour déployer le dispositif virtuel
Remarque Pour obtenir des informations sur les versions des serveurs vSphere et ESX prises en
charge, reportez-vous aux matrices d'interopérabilité des produits VMware à l'adresse
http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
n VMware vSphere Client ou vSphere Web Client est requis pour déployer le fichier OVA et pour accéder
au dispositif virtuel déployé à distance afin de configurer la mise en réseau.
n Téléchargez le fichier OVA VMware Identity Manager depuis le site Web de VMware.
14 VMware, Inc.
Créer des enregistrements DNS et des adresses IP

Le dispositif virtuel VMware Identity Manager doit disposer d'une entrée DNS et d'une adresse IP statique.
Du fait que chaque entreprise administre ses adresses IP et ses enregistrements DNS de manière différente,
avant de commencer l'installation, demandez l'enregistrement DNS et les adresses IP à utiliser.
La configuration de la recherche inversée est facultative. Lorsque vous implémentez la recherche inversée,
vous devez définir un enregistrement PTR sur le serveur DNS afin que le dispositif virtuel utilise la
configuration réseau adéquate.
Vous pouvez utiliser l'exemple de liste d'enregistrements DNS suivant lorsque vous parlez avec votre
administrateur réseau. Remplacez les informations de l'exemple par les informations de votre
environnement. Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution.
Tableau 1‑1. Exemples d'enregistrements DNS et d'adresses IP qui utilisent la résolution

Nom de domaine Type de ressource Adresse IP
myidentitymanager.company.com Aoû 10.28.128.3
Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution inverse
Tableau 1‑2. Exemples d'enregistrements DNS et d'adresses IP qui utilisent la résolution inverse
Adresse IP Type de ressource Nom d'hôte
10.28.128.3 PTR myidentitymanager.company.com
Après avoir terminé la configuration DNS, vérifiez que la résolution DNS inverse est configurée
correctement. Par exemple, la commande de dispositif virtuel host IPaddress doit être résolue en recherche
de nom DNS.
Utilisation d'un serveur DNS basé sur Unix/Linux

Si vous utilisez un serveur DNS basé sur Unix ou Linux et prévoyez de joindre VMware Identity Manager
au domaine Active Directory, assurez-vous que les enregistrements de la ressource de service (SRV)
appropriée sont créés pour chaque contrôleur de domaine Active Directory.
Remarque Si vous disposez d'un équilibrage de charge avec une adresse IP virtuelle (VIP) devant les
serveurs DNS, notez que VMware Identity Manager ne prend pas en charge l'utilisation d'une VIP. Vous
pouvez spécifier plusieurs serveurs DNS séparés par une virgule.
Database Options with VMware Identity Manager

Set up VMware Identity Manager with an external database to store and organize server data. An internal
PostgreSQL database is embedded in the appliance but it is not recommended for use with production
deployments.
To use an external database, your database administrator must prepare an empty external database and
schema before connecting to the external database in the Setup wizard. Licensed users can use a Microsoft
SQL database server or Oracle database server to set up a high availability external database environment.
See “Connecting to the Database,” on page 34.
VMware, Inc. 15
Connexion à l'annuaire d'entreprise

VMware Identity Manager utilise votre infrastructure d'annuaire d'entreprise pour l'authentification et la
gestion des utilisateurs. Vous pouvez intégrer VMware Identity Manager avec un environnement Active
Directory composé d'un seul domaine Active Directory, de plusieurs domaines dans une forêt Active
Directory unique, ou de plusieurs domaines dans plusieurs forêts Active Directory. Vous pouvez également
intégrer VMware Identity Manager à un annuaire LDAP. Pour synchroniser les utilisateurs et les groupes, le
dispositif virtuel VMware Identity Manager doit se connecter à l'annuaire.
Votre annuaire doit être accessible sur le même réseau local que celui du dispositif virtuel
Voir Chapitre 4, « Intégration à votre annuaire d'entreprise », page 45 pour obtenir plus d'informations.
Listes de vérification de déploiement

Vous pouvez utiliser la liste de vérification du déploiement pour recueillir des informations nécessaires à
l'installation du dispositif virtuel VMware Identity Manager.
Informations sur le nom de domaine complet

Tableau 1‑3. Liste de vérification des informations sur le nom de domaine complet (FQDN)
Informations à collecter Afficher les informations
FQDN de VMware Identity Manager
Informations réseau sur le dispositif virtuel VMware Identity Manager

Tableau 1‑4. Liste de vérification des informations réseau
adresse IP Vous devez utiliser une adresse IP statique et des

enregistrements PTR et A doivent être définis dans le DNS.
Nom DNS de ce dispositif virtuel
Adresse de la passerelle par défaut
Masque réseau ou préfixe
Informations sur le dossier

VMware Identity Manager prend en charge l'intégration aux environnements d'annuaire Active Directory
ou LDAP.
Tableau 1‑5. Liste de vérification des informations du contrôleur de domaine Active Directory
Nom du serveur Active Directory
Nom du domaine Active Directory
ND de base
Pour Active Directory via LDAP, le nom d'utilisateur et le

mot de passe ND Bind
Pour Active Directory avec authentification Windows

intégrée, le nom d'utilisateur et le mot de passe du compte
qui dispose de privilèges pour joindre les ordinateurs au
domaine.
16 VMware, Inc.
Tableau 1‑6. Liste de vérification des informations du serveur d'annuaire LDAP

Nom ou adresse IP du serveur d'annuaire LDAP
Numéro de port du serveur d'annuaire LDAP
ND de base
Nom d'utilisateur et mot de passe ND Bind
Filtres de recherche LDAP pour les objets de groupe, les

objets d'utilisateur Bind et les objets d'utilisateur
Noms d'attribut LDAP pour l'appartenance, l'UUID d'objet

et le nom unique
Certificats SSL
Il est possible d'ajouter un certificat SSL après avoir déployé le dispositif virtuel VMware Identity Manager.
Tableau 1‑7. Liste de vérification des informations du certificat SSL

certificat SSL
Clé privée
Clé de licence
Tableau 1‑8. Liste de vérification des informations de la clé de licence VMware Identity Manager
Clé de licence
Remarque Les informations de la clé de licence sont entrées dans la console d'administration sur la page
Paramètres du dispositif > Licence lorsque l'installation est terminée.
Base de données externe

Tableau 1‑9. Liste de vérification des informations de la base de données externe
Nom d'hôte de la base de données
Port
Nom d'utilisateur
Mot de passe
Programme d'amélioration du produit

Lorsque vous installez le dispositif virtuel VMware Identity Manager, vous pouvez choisir de participer au
Programme d'amélioration du produit de VMware.
Si vous participez au programme, VMware collecte des données anonymes sur votre déploiement afin
d'améliorer sa réponse aux exigences du client. Aucune donnée identifiant votre organisation n'est collectée.
VMware, Inc. 17
Avant de collecter les données, VMware rend anonymes tous les champs contenant des informations
propres à votre organisation.
Remarque Si votre réseau est configuré pour accéder à Internet via un proxy HTTP, vous devez ajuster les
paramètres du proxy sur le dispositif virtuel VMware Identity Manager pour pouvoir envoyer ces
informations. Voir « Paramétrage du serveur proxy pour VMware Identity Manager », page 30.
18 VMware, Inc.
Déploiement d'
Pour déployer VMware Identity Manager, déployez le modèle OVF à l'aide de vSphere Client ou vSphere
Web Client, mettez le dispositif virtuel VMware Identity Manager sous tension et configurez les paramètres.
Une fois le dispositif virtuel VMware Identity Manager déployé, vous utilisez l'Assistant de configuration
pour configurer l'environnement de VMware Identity Manager.
Utilisez les informations de la liste de contrôle du déploiement pour terminer l'installation. Voir « Listes de
vérification de déploiement », page 16.
n « Installer le fichier OVA de VMware Identity Manager », page 19
n « (Facultatif) Ajouter des pools IP », page 21
n « Configurer les paramètres de VMware Identity Manager », page 22
n « Paramétrage du serveur proxy pour VMware Identity Manager », page 30
n « Saisir la clé de licence », page 31
Installer le fichier OVA de VMware Identity Manager

Vous déployez le fichier OVA VMware Identity Manager à l'aide de vSphere Client ou vSphere Web Client.
Vous pouvez télécharger et déployer le fichier OVA à partir d'un emplacement local accessible à vSphere
Client ou le déployer à partir d'une URL Web.
Remarque Si vous utilisez vSphere Web Client, utilisez des navigateurs Firefox ou Chrome pour déployer
le fichier OVA. N'utilisez pas Internet Explorer.
Prérequis
Consultez Chapitre 1, « Préparation de l'installation de VMware Identity Manager », page 9.
Procédure
1 Téléchargez le fichier OVA VMware Identity Manager depuis My VMware.
2 Connectez-vous à vSphere Client ou vSphere Web Client.
3 Sélectionnez Fichier > Déployer le modèle OVA.
VMware, Inc. 19
4 Dans l'assistant Déployer le modèle OVF, spécifiez les informations suivantes.
Page Description
Source Localisez l'emplacement du module OVA ou entrez une URL spécifique.
Détails du modèle OVF Examinez les détails du produit, y compris les exigences de version et de
taille.
Contrat de Licence Utilisateur Final Lisez l'accord de licence d'utilisateur final et cliquez sur Accepter.
Nom et emplacement Saisissez un nom pour le dispositif virtuel VMware Identity Manager. Le
nom doit être unique dans le dossier d'inventaire et contenir au maximum
80 caractères. Les noms sont sensibles à la casse.
Sélectionnez un emplacement pour le dispositif virtuel.
Hôte / Cluster Sélectionnez l'hôte ou le cluster sur lequel exécuter le dispositif virtuel.
Pool de ressources Sélectionnez le pool de ressources.
Stockage Sélectionnez le stockage pour les fichiers du dispositif virtuel. Vous pouvez
également sélectionner un profil de stockage VM.
Format du disque Sélectionnez le format de disque pour les fichiers. Pour les environnements
de production, sélectionnez l'un des formats de provisionnement statique.
Utilisez le format de provisionnement fin pour les évaluations et les tests.
Au format Provisionnement statique, tout l'espace requis pour le disque
virtuel est alloué au cours du déploiement. Au format Provisionnement
dynamique, le disque utilise uniquement la quantité d'espace de stockage
dont il a besoin pour ses opérations initiales.
Mappage réseau Mappez les réseaux utilisés dans VMware Identity Manager aux réseaux
de votre inventaire.
Propriétés a Dans le champ Paramètre de fuseau horaire, sélectionnez le fuseau
horaire correspondant.
b La case Programme d'amélioration du produit est cochée par défaut.
VMware collecte des données anonymes sur votre déploiement afin
d'améliorer la réponse de VMware aux exigences des utilisateurs.
Décochez la case si vous ne voulez pas que les données soient
collectées.
c Dans le champ Nom de l'hôte (FQDN), entrez le nom d'hôte à utiliser.
Si ce champ est vide, le DNS inversé est utilisé pour rechercher le nom
d'hôte.
d Configurez les propriétés de mise en réseau.
n Pour configurer une adresse IP statique pour
VMware Identity Manager, entrez l'adresse dans les champs
Passerelle par défaut, DNS, Adresse IP et Masque réseau.
Remarque Si vous disposez d'un équilibrage de charge avec une
adresse IP virtuelle (VIP) devant les serveurs DNS, notez que
VMware Identity Manager ne prend pas en charge l'utilisation
d'une VIP. Vous pouvez spécifier plusieurs serveurs DNS séparés
par une virgule.
Important Si l'un des quatre champs d'adresse, y compris Nom
d'hôte, est vide, le protocole DHCP est utilisé.
n Pour configurer le protocole DHCP, laissez les champs d'adresse
vides.
Remarque Les champs Nom de domaine et Chemin de recherche de
domaine ne sont pas utilisés. Vous pouvez laisser ces champs vides.
(Facultatif) Une fois VMware Identity Manager installé, vous pouvez
configurer les pools d'adresses IP. Voir « (Facultatif) Ajouter des pools IP »,
page 21.
Prêt à terminer Passez vos sélections en revue et cliquez sur Terminer.
Selon la vitesse de votre réseau, le déploiement peut nécessiter plusieurs minutes. Vous pouvez voir la
progression dans la boîte de dialogue de progression qui s'affiche.
5 Une fois le déploiement terminé, cliquez sur Fermer dans la boîte de dialogue de progression.
20 VMware, Inc.
Chapitre 2 Déploiement d' VMware Identity Manager
6 Sélectionnez le dispositif virtuel VMware Identity Manager que vous avez déployé, cliquez avec le
bouton droit et sélectionnez Alimentation > Mettre sous tension.
Le dispositif virtuel VMware Identity Manager est initialisé. Vous pouvez accéder à l'onglet Console
pour voir les détails. Une fois l'initialisation du dispositif virtuel terminée, l'écran de la console affiche
la version de VMware Identity Manager, l'adresse IP et les URL pour vous connecter à l'interface Web
de VMware Identity Manager et terminer la configuration.
Suivant
n (Facultatif) Ajoutez des pools IP.
n Configurez les paramètres de VMware Identity Manager, notamment la connexion à votre annuaire
Active Directory ou LDAP et la sélection d'utilisateurs et de groupes à synchroniser avec
(Facultatif) Ajouter des pools IP

La configuration réseau avec des pools IP est facultative dans VMware Identity Manager. Vous pouvez
ajouter manuellement des pools IP au dispositif virtuel VMware Identity Manager après son installation.
Les pools IP agissent comme des serveurs DHCP pour attribuer des adresses IP du pool au dispositif virtuel
VMware Identity Manager. Pour utiliser des pools IP, vous modifiez les propriétés de mise en réseau du
dispositif virtuel afin de changer les propriétés en propriétés dynamiques et configurez les paramètres de
masque réseau, de passerelle et DNS.
Prérequis
Le dispositif virtuel doit être désactivé.
Procédure
1 Dans vSphere Client ou vSphere Web Client, cliquez avec le bouton droit sur le dispositif virtuel
VMware Identity Manager et sélectionnez Modifier les paramètres.
2 Sélectionnez l'onglet Options.
3 Sous Options vApp, cliquez sur Avancé.
4 Dans la section Propriétés sur la droite, cliquez sur le bouton Propriétés.
5 Dans la boîte de dialogue Configuration avancée des propriétés, configurez les clés suivantes :
n vami.DNS.WorkspacePortal
n vami.netmask0.WorkspacePortal
n vami.gateway.WorkspacePortal
a Sélectionnez l'une des clés et cliquez sur Modifier.
b Dans la boîte de dialogue Modifier les paramètres de propriété, à côté du champ Type, cliquez sur
Modifier.
c Dans la boîte de dialogue Modifier le type de propriété, sélectionnez Propriété dynamique, puis
choisissez dans le menu déroulant la valeur appropriée pour Masque réseau, Adresse de la
passerelle et Serveurs DNS, respectivement.
d Cliquez sur OK, puis de nouveau sur OK.
e Répétez ces étapes pour configurer chaque clé.
6 Mettez sous tension le dispositif virtuel.
Les propriétés sont configurées pour utiliser des pools IP.
VMware, Inc. 21
Suivant
Configurez les paramètres de VMware Identity Manager.
Configurer les paramètres de VMware Identity Manager

Une fois le fichier OVA VMware Identity Manager déployé, vous utilisez l'Assistant de configuration pour
définir des mots de passe et sélectionner une base de données. Ensuite, vous configurez la connexion à votre
annuaire Active Directory ou LDAP.
Prérequis
n Le dispositif virtuel VMware Identity Manager est mis sous tension.
n Si vous utilisez une base de données externe, elle est configurée et ses informations de connexion sont
disponibles. Voir « Connecting to the Database », page 34 pour plus d'informations.
n Examinez Chapitre 4, « Intégration à votre annuaire d'entreprise », page 45, « Intégration à Active
Directory », page 47 et « Intégrer un annuaire LDAP au service », page 62 pour voir les exigences et
les limites.
n Vous disposez de vos informations sur l'annuaire Active Directory ou LDAP.
n Lorsqu'une instance d'Active Directory à forêts multiples est configurée et que le groupe local du
domaine contient des membres de domaines situés dans différentes forêts, l'utilisateur Bind DN utilisé
sur la page VMware Identity Manager Directory doit être ajouté au groupe d'administrateurs du
domaine dans lequel réside le groupe local du domaine. Sinon, ces membres ne seront pas présents
dans le groupe local du domaine.
n Vous disposez d'une liste des attributs utilisateur à utiliser comme filtres et d'une liste des groupes à
ajouter à VMware Identity Manager.
Procédure
1 Accédez à l'URL de VMware Identity Manager qui est affichée sur l'écran bleu dans l'onglet Console.
Par exemple, https://hostname.example.com.
2 Acceptez le certificat, si vous y êtes invité.
3 Sur la page Mise en route, cliquez sur Continuer.
4 Sur la page Définir les mots de passe, définissez des mots de passe pour les comptes d'administrateur
suivants, qui sont utilisés pour gérer le dispositif, puis cliquez sur Continuer.
Compte
Administrateur du dispositif Définissez le mot de passe pour l'utilisateur admin. Ce nom

d'utilisateur ne peut pas être modifié. Le compte d'utilisateur Admin
est utilisé pour gérer les paramètres du dispositif.
Important Le mot de passe de l'utilisateur Admin doit contenir au
moins 6 caractères.
Racine du dispositif Définissez le mot de passe de l'utilisateur root. L'utilisateur root

dispose de droits complets sur le dispositif.
Utilisateur distant Définissez le mot de passe sshuser, qui est utilisé pour se connecter à
distance au dispositif avec une connexion SSH.
22 VMware, Inc.
5 Sur la page Sélectionner une base de données, sélectionnez la base de données à utiliser.
Voir « Connecting to the Database », page 34 pour obtenir plus d'informations.
n Si vous utilisez une base de données externe, sélectionnez Base de données externe et entrez les
informations de connexion de la base de données externe, le nom d'utilisateur et le mot de passe.
Pour vérifier que VMware Identity Manager peut se connecter à la base de données, cliquez sur
Tester la connexion.
Après avoir vérifié la connexion, cliquez sur Continuer.
n Si vous utilisez la base de données interne, cliquez sur Continuer.
Remarque Il n'est pas recommandé d'utiliser la base de données interne avec des déploiements de
production.
La connexion à la base de données est configurée et la base de données est initialisée. Lorsque le
processus est terminé, la page La configuration est terminée s'affiche.
6 Cliquez sur le lien Connectez-vous à la console d'administration sur la page La configuration est
terminée pour vous connecter à la console d'administration afin de configurer la connexion de
l'annuaire Active Directory ou LDAP.
7 Connectez-vous à la console d'administration en tant qu'utilisateur admin, à l'aide du mot de passe que
vous avez défini.
Vous êtes connecté en tant qu'administrateur local. La page Annuaires s'affiche. Avant d'ajouter un
annuaire, veillez à examiner Chapitre 4, « Intégration à votre annuaire d'entreprise », page 45,
« Intégration à Active Directory », page 47 et « Intégrer un annuaire LDAP au service », page 62 pour
voir les exigences et les limites.
8 Cliquez sur l'onglet Identité et gestion de l'accès.
9 Cliquez sur Configuration > Attributs utilisateur pour sélectionner les attributs utilisateur à
synchroniser avec l'annuaire.
Les attributs par défaut sont répertoriés et vous pouvez sélectionner ceux qui sont obligatoires. Si un
attribut est marqué comme requis, seuls les utilisateurs avec cet attribut sont synchronisés avec le
service. Vous pouvez également ajouter d'autres attributs.
Important Une fois l'annuaire créé, il n'est pas possible de modifier un attribut pour le faire passer à
l'état obligatoire. Vous devez faire cette sélection maintenant.
De plus, sachez que les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires
dans le service. Lorsque vous marquez un attribut comme requis, tenez compte de l'effet sur les autres
annuaires. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas
synchronisés avec le service.
Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager,
vous devez faire de distinguishedName un attribut obligatoire.
10 Cliquez sur Enregistrer.
12 Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire Active
Directory sur LDAP/IWA ou Ajouter un annuaire LDAP, en fonction du type d'annuaire que vous
intégrez.
Vous pouvez également créer un répertoire local dans le service. Pour plus d'informations sur
l'utilisation des répertoires locaux, reportez-vous à la section Chapitre 5, « Utilisation de répertoires
locaux », page 69.
VMware, Inc. 23
13 Pour Active Directory, suivez ces étapes.
a Entrez un nom pour l'annuaire que vous créez dans VMware Identity Manager et sélectionnez le
type d'annuaire, Active Directory sur LDAP ou Active Directory (authentification Windows
intégrée).
b Fournissez les informations de connexion.
Option Description
Active Directory via LDAP 1 Dans le champ Synchroniser le connecteur, sélectionnez le
connecteur que vous voulez utiliser pour synchroniser des
utilisateurs et des groupes d'Active Directory avec l'annuaire
Un composant de connecteur est toujours disponible avec le service

VMware Identity Manager par défaut. Ce connecteur apparaît dans
la liste déroulante. Si vous installez plusieurs dispositifs
VMware Identity Manager pour la haute disponibilité, le
composant de connecteur de chaque dispositif apparaît dans la
liste.
2 Dans le champ Authentification, sélectionnez Oui si vous voulez
utiliser cet annuaire Active Directory pour authentifier des
utilisateurs.
Si vous voulez utiliser un fournisseur d'identité tiers pour

authentifier des utilisateurs, cliquez sur Non. Après avoir configuré
la connexion Active Directory pour synchroniser les utilisateurs et
les groupes, accédez à la page Identité et gestion de l'accès > Gérer
> Fournisseurs d'identité pour ajouter le fournisseur d'identité
tiers à des fins d'authentification.
3 Dans le champ Attribut de recherche d'annuaire, sélectionnez
l'attribut de compte qui contient le nom d'utilisateur.
4 Si l'annuaire Active Directory utilise la recherche de l'emplacement
du service DNS, faites les sélections suivantes.
n Dans la section Emplacement du serveur, cochez la case Ce
répertoire prend en charge l'emplacement du service DNS.
Un fichier domain_krb.properties, rempli automatiquement

avec une liste de contrôleurs de domaine, sera créé lors de la
création de l'annuaire. Voir « À propos de la sélection des
contrôleurs de domaine (fichier domain_krb.properties) »,
page 49.
n Si l'annuaire Active Directory requiert le chiffrement
STARTTLS, cochez la case Cet annuaire exige que toutes les
connexions utilisent SSL dans la section Certificats, puis
copiez et collez le certificat d'autorité de certification racine
Active Directory dans le champ Certificat SSL.
Vérifiez que le certificat est au format PEM et incluez les lignes

« BEGIN CERTIFICATE » et « END CERTIFICATE ».
Remarque Si l'annuaire Active Directory requiert STARTTLS
et que vous ne fournissez pas le certificat, vous ne pouvez pas
créer l'annuaire.
5 Si l'annuaire Active Directory n'utilise pas la recherche de
l'emplacement du service DNS, faites les sélections suivantes.
n Dans la section Emplacement du serveur, vérifiez que la case
Cet annuaire prend en charge l'emplacement du service DNS
n'est pas cochée et entrez le nom d'hôte et le numéro de port du
serveur Active Directory.
Pour configurer l'annuaire comme catalogue global, reportez-
vous à la section Environnement Active Directory à forêt
unique et domaines multiples au chapitre « Environnements
Active Directory », page 47.
24 VMware, Inc.
Option Description
n Si l'annuaire Active Directory requiert un accès via SSL, cochez
la case Cet annuaire exige que toutes les connexions utilisent
SSL dans la section Certificats, puis copiez et collez le certificat
d'autorité de certification racine Active Directory dans le
champ Certificat SSL.
Remarque Si l'annuaire Active Directory requiert SSL et que
vous ne fournissez pas le certificat, vous ne pouvez pas créer
l'annuaire.
6 Dans la section Autoriser la modification du mot de passe,
sélectionnez Activer la modification du mot de passe si vous
voulez autoriser les utilisateurs à réinitialiser leurs mots de passe
sur la page de connexion de VMware Identity Manager si le mot de
passe expire ou si l'administrateur Active Directory réinitialise le
mot de passe de l'utilisateur.
7 Dans le champ ND de base, entrez le ND à partir duquel vous
souhaitez lancer les recherches de comptes. Par exemple :
OU=myUnit,DC=myCorp,DC=com.
8 Dans le champ ND Bind, entrez le compte pouvant rechercher des
utilisateurs. Par exemple :
CN=binduser,OU=myUnit,DC=myCorp,DC=com.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de
nom unique de liaison avec un mot de passe sans date d'expiration.
9 Après avoir entré le mot de passe Bind, cliquez sur Tester la
connexion pour vérifier que l'annuaire peut se connecter à votre
annuaire Active Directory.
Active Directory (authentification 1 Dans le champ Synchroniser le connecteur, sélectionnez le
Windows intégrée) connecteur que vous voulez utiliser pour synchroniser des
utilisateurs et des groupes d'Active Directory avec l'annuaire

liste.
2 Dans le champ Authentification, si vous voulez utiliser cet
annuaire Active Directory pour authentifier des utilisateurs,
cliquez sur Oui.
authentifier des utilisateurs, cliquez sur Non. Après avoir configuré
la connexion Active Directory pour synchroniser les utilisateurs et
les groupes, accédez à la page Identité et gestion de l'accès > Gérer
> Fournisseurs d'identité pour ajouter le fournisseur d'identité
tiers à des fins d'authentification.
3 Dans le champ Attribut de recherche d'annuaire, sélectionnez
4 Si l'annuaire Active Directory requiert le chiffrement STARTTLS,
cochez la case Cet annuaire a besoin de toutes les connexions
pour pouvoir utiliser STARTTLS dans la section Certificats, puis
copiez et collez le certificat d'autorité de certification racine Active
Directory dans le champ Certificat SSL.

Si l'annuaire dispose de plusieurs domaines, ajoutez les certificats

d'autorité de certification racine pour tous les domaines, un par un.
VMware, Inc. 25
Option Description
Remarque Si l'annuaire Active Directory requiert STARTTLS et
que vous ne fournissez pas le certificat, vous ne pouvez pas créer
l'annuaire.
5 Entrez le nom du domaine Active Directory à joindre. Entrez un
nom d'utilisateur et un mot de passe disposant des droits pour
joindre le domaine. Voir « Autorisations requises pour joindre un
domaine », page 55 pour obtenir plus d'informations.
6 Dans la section Autoriser la modification du mot de passe,
sélectionnez Activer la modification du mot de passe si vous
voulez autoriser les utilisateurs à réinitialiser leurs mots de passe
sur la page de connexion de VMware Identity Manager si le mot de
passe expire ou si l'administrateur Active Directory réinitialise le
mot de passe de l'utilisateur.
7 Dans le champ UPN de l'utilisateur Bind, entrez le nom principal
de l'utilisateur pouvant s'authentifier dans le domaine. Par
exemple, username@example.com.
8 Entrez le mot de passe de l'utilisateur ND Bind.
c Cliquez sur Enregistrer et Suivant.
La page contenant la liste de domaines apparaît.
26 VMware, Inc.
14 Pour les annuaires LDAP, suivez ces étapes.
a Fournissez les informations de connexion.
Option Description
Nom du répertoire Nom de l'annuaire que vous créez dans VMware Identity Manager.
Synchronisation et 1 Dans le champ Synchroniser le connecteur, sélectionnez le
authentification du répertoire connecteur que vous voulez utiliser pour synchroniser des
utilisateurs et des groupes de l'annuaire LDAP avec l'annuaire

liste.
Vous n'avez pas besoin d'un connecteur séparé pour un annuaire

LDAP. Un connecteur peut prendre en charge plusieurs annuaires,
qu'il s'agisse d'annuaires Active Directory ou LDAP.
2 Dans le champ Authentification, sélectionnez Oui si vous voulez
utiliser cet annuaire LDAP pour authentifier des utilisateurs.

authentifier des utilisateurs, sélectionnez Non. Après avoir ajouté
la connexion d'annuaire pour synchroniser les utilisateurs et les
groupes, accédez à la page Identité et gestion de l'accès > Gérer >
Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers
à des fins d'authentification.
3 Dans le champ Attribut de recherche d'annuaire, spécifiez
l'attribut d'annuaire LDAP à utiliser pour le nom d'utilisateur. Si
l'attribut n'est pas répertorié, sélectionnez Personnalisé et tapez le
nom de l'attribut. Par exemple, cn.
Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour
l'hôte de serveur, vous pouvez spécifier le nom de domaine complet ou
l'adresse IP. Par exemple : myLDAPserver.example.com ou
100.00.00.0.
Si vous disposez d'un cluster de serveurs derrière un équilibrage de
charge, entrez les informations de ce dernier à la place.
Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP que
VMware Identity Manager peut utiliser pour interroger votre annuaire
LDAP. Les valeurs par défaut sont fournies en fonction du schéma
LDAP principal.
Requêtes LDAP
n Obtenir des groupes : filtre de recherche pour obtenir des objets de
groupe.
Par exemple : (objectClass=group)

n Obtenir l'utilisateur Bind : filtre de recherche pour obtenir l'objet
d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaison
à l'annuaire.
Par exemple : (objectClass=person)

n Obtenir l'utilisateur : filtre de recherche pour obtenir des
utilisateurs à synchroniser.
Par exemple :
(&(objectClass=user)(objectCategory=person))
Attributs
n Appartenance : attribut utilisé dans votre annuaire LDAP pour
définir les membres d'un groupe.
Par exemple : membre
VMware, Inc. 27
Option Description
n UUID d'objet : attribut utilisé dans votre annuaire LDAP pour
définir l'UUID d'un utilisateur ou d'un groupe.
Par exemple : entryUUID

n Nom unique : attribut utilisé dans votre annuaire LDAP pour le
nom unique d'un utilisateur ou d'un groupe.
Par exemple : entryDN

Certificats Si votre annuaire LDAP requiert un accès sur SSL, sélectionnez Cet
annuaire exige que toutes les connexions utilisent SSL, copiez et
collez le certificat SSL d'autorité de certification racine du serveur
d'annuaire LDAP. Vérifiez que le certificat est au format PEM et incluez
les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel vous
souhaitez lancer les recherches. Par exemple,
cn=users,dc=example,dc=com
Nom unique Bind : entrez le nom d'utilisateur à utiliser pour établir la
liaison à l'annuaire LDAP.
Mot de passe du nom unique de liaison : entrez le mot de passe de
l'utilisateur de nom unique de liaison.
b Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion.
Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les
modifications nécessaires.
c Cliquez sur Enregistrer et Suivant.
La page répertoriant le domaine s'affiche.
15 Pour un annuaire LDAP, le domaine est répertorié et ne peut pas être modifié.
Pour Active Directory sur LDAP, les domaines sont répertoriés et ne peuvent pas être modifiés.
Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent être
associés à cette connexion Active Directory.
Remarque Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne le

détecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connecteur doit
quitter, puis rejoindre le domaine. Lorsque le connecteur rejoint le domaine, le domaine d'approbation
apparaît dans la liste.
Cliquez sur Suivant.
16 Vérifiez que les noms d'attribut de VMware Identity Manager sont mappés sur les bons attributs
d'Active Directory ou LDAP et apportez des modifications, si nécessaire.
Important Si vous intégrez un annuaire LDAP, vous devez spécifier un mappage pour l'attribut
domain.
17 Cliquez sur Suivant.
28 VMware, Inc.
18 Sélectionnez les groupes que vous souhaitez synchroniser entre l'annuaire Active Directory ou LDAP et
l'annuaire VMware Identity Manager.
Option Description
Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et
sélectionnez les groupes situés en dessous.
a Cliquez sur + et spécifiez le ND du groupe. Par exemple,
CN=users,DC=example,DC=company,DC=com.
Important Spécifiez des ND du groupe qui se trouvent sous le nom
unique de base que vous avez entré. Si un ND du groupe se trouve en
dehors du nom unique de base, les utilisateurs de ce ND seront
synchronisés, mais ne pourront pas se connecter.
b Cliquez sur Rechercher des groupes.
La colonne Groupes à synchroniser répertorie le nombre de groupes

trouvés dans le ND.
c Pour sélectionner tous les groupes dans le ND, cliquez sur
Sélectionner tout, sinon cliquez sur Sélectionner et sélectionnez les
groupes spécifiques à synchroniser.
Remarque Si vous disposez de plusieurs groupes avec le même nom
dans votre annuaire LDAP, vous devez spécifier des noms uniques
dans VMware Identity Manager. Vous pouvez modifier le nom lors de
la sélection du groupe.
Remarque Lorsque vous synchronisez un groupe, les utilisateurs ne
disposant pas d'Utilisateurs de domaine comme groupe principal dans
Active Directory ne sont pas synchronisés.
Synchroniser les membres du L'option Synchroniser les membres du groupe imbriqué est activée par
groupe imbriqué défaut. Lorsque cette option est activée, tous les utilisateurs qui
appartiennent directement au groupe que vous sélectionnez, ainsi que les
utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe,
sont synchronisés. Notez que les groupes imbriqués ne sont pas
synchronisés ; seuls les utilisateurs qui appartiennent aux groupes
imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces
utilisateurs seront des membres du groupe parent que vous avez
sélectionné pour la synchronisation.
Si l'option Synchroniser les membres du groupe imbriqué est désactivée,
lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui
appartiennent directement à ce groupe sont synchronisés. Les utilisateurs
qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas
synchronisés. La désactivation de cette option est utile pour les
configurations Active Directory importantes pour lesquelles parcourir une
arborescence de groupes demande beaucoup de ressources et de temps. Si
vous désactivez cette option, veillez à sélectionner tous les groupes dont
vous voulez synchroniser les utilisateurs.
20 Spécifiez des utilisateurs supplémentaires à synchroniser, si nécessaire.

a Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrez
CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
Important Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vous
avez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ce
ND seront synchronisés, mais ne pourront pas se connecter.
b (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types
d'utilisateurs.
Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.
VMware, Inc. 29
22 Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire et
pour voir le planning de synchronisation.
Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation,
cliquez sur les liens Modifier.
23 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire.
Remarque Si une erreur de mise en réseau se produit et si le nom d'hôte ne peut pas être résolu de manière
unique à l'aide de la résolution DNS inverse, le processus de configuration s'arrête. Vous devez corriger les
problèmes de mise en réseau et redémarrer le dispositif virtuel. Vous pouvez ensuite poursuivre le
processus de déploiement. Les nouveaux paramètres réseau ne seront disponibles qu'après le redémarrage
du dispositif virtuel.
Suivant
Pour plus d'informations sur la configuration d'un équilibrage de charge ou de la haute disponibilité,
reportez-vous au Chapitre 6, « Configuration avancée du dispositif VMware Identity Manager », page 79.
Vous pouvez personnaliser le catalogue de ressources des applications de votre organisation et activer
l'accès utilisateur à ces ressources. Vous pouvez également configurer d'autres ressources, y compris les
applications View, ThinApp et Citrix. Consultez le document Configuration des ressources dans VMware
Identity Manager.
Paramétrage du serveur proxy pour VMware Identity Manager

Le dispositif virtuel VMware Identity Manager accède au catalogue d'applications Cloud et à d'autres
services Web sur Internet. Si votre configuration réseau fournit un accès à Internet via un proxy HTTP, vous
devez régler les paramètres de votre proxy sur le dispositif VMware Identity Manager.
Autorisez uniquement la gestion du trafic Internet sur votre serveur proxy. Pour vous assurer que le serveur
proxy est correctement configuré, définissez le paramètre du trafic interne sur no-proxy dans le domaine.
Remarque Les serveurs proxy qui requièrent l'authentification ne sont pas pris en charge.
Procédure
1 Dans vSphere Client, connectez-vous en tant qu'utilisateur racine au dispositif virtuel
2 Entrez YaST sur la ligne de commande pour exécuter l'utilitaire YaST.
3 Sélectionnez Services réseau dans le volet de gauche, puis sélectionnez Proxy.
4 Entrez les URL du serveur proxy dans les champs URL de proxy HTTP et URL de proxy HTTPS.
5 Sélectionnez Terminer et quittez l'utilitaire YaST.
6 Redémarrez le serveur Tomcat sur le dispositif virtuel VMware Identity Manager pour utiliser les
nouveaux paramètres de proxy.
service horizon-workspace restart
Le catalogue d'applications Cloud et autres services Web sont désormais disponibles dans
30 VMware, Inc.
Saisir la clé de licence

Après le déploiement du dispositif VMware Identity Manager, saisissez votre clé de licence.
Procédure
1 Connectez-vous à la console d'administration de VMware Identity Manager.
2 Sélectionnez l'onglet Paramètres du dispositif, puis cliquez sur Licence.
3 Sur la page Paramètres de la licence, saisissez la clé de licence et cliquez sur Enregistrer.
VMware, Inc. 31
32 VMware, Inc.
Gestion des paramètres de
configuration de système du
dispositif 3
Une fois la configuration initiale du dispositif terminée, accédez aux pages d'administration du dispositif
pour installer des certificats, gérer les mots de passe et suivre les informations système du dispositif virtuel.
Vous pouvez également mettre à jour la base de données, le nom de domaine complet et syslog, et
télécharger les fichiers journaux.
Nom de la page Description du réglage
Connexion à la base de données Le paramètre de connexion à la base de données, interne

ou externe, est activé. Vous pouvez modifier le type de la
base de données. Lorsque vous sélectionnez la base de
données externe, vous entrez son URL, son nom
d'utilisateur et son mot de passe. Pour configurer une base
de données externe, reportez-vous à « Connecting to the
Database », page 34.
Installer le certificat Sur cette page, vous installez un certificat personnalisé ou

auto-signé pour VMware Identity Manager et, si
VMware Identity Manager est configuré avec un
équilibrage de charge, vous pouvez installer le certificat
racine de l'équilibrage de charge. L'emplacement du
certificat de l'autorité de certification racine de
VMware Identity Manager est également affiché sur cette
page, dans l'onglet Interrompre SSL sur un équilibrage de
charge. Voir « Utilisation des certificats SSL », page 38.
FQDN d'Identity Manager Le FQDN de VMware Identity Manager s'affiche sur cette
page. Vous pouvez le modifier. Le FQDN de
VMware Identity Manager correspond à l'URL que les
utilisateurs utilisent pour accéder au service.
Configurer Syslog Sur cette page, vous pouvez activer un serveur syslog
externe. Les journaux de VMware Identity Manager sont
envoyés à ce serveur externe. Voir « Activation du serveur
Syslog », page 42.
Changer le mot de passe Sur cette page, vous pouvez changer le mot de passe de
l'utilisateur administrateur de VMware Identity Manager.
Sécurité du système Sur cette page, vous pouvez changer le mot de passe racine
du dispositif VMware Identity Manager et le mot de passe
de l'utilisateur ssh utilisé pour se connecter à distance.
Emplacements des fichiers journaux Cette page affiche une liste des fichiers journaux et les
emplacements de leurs répertoires. Vous pouvez
rassembler les fichiers journaux dans un fichier compressé
à télécharger. Voir « Informations sur le fichier journal »,
page 42.
VMware, Inc. 33
Vous pouvez également modifier l'URL du connecteur. Voir « Modification de l'URL de connecteur »,
page 41.
n « Modifier les paramètres de configuration du dispositif », page 34
n “Connecting to the Database,” on page 34
n « Utilisation des certificats SSL », page 38
n « Modification de l'URL du service VMware Identity Manager », page 41
n « Modification de l'URL de connecteur », page 41
n « Activation du serveur Syslog », page 42
n « Informations sur le fichier journal », page 42
n « Gestion des mots de passe de vos dispositifs », page 43
n « Configurer les paramètres SMTP », page 44
Modifier les paramètres de configuration du dispositif

Après avoir configuré VMware Identity Manager, vous pouvez accéder aux pages Paramètres du dispositif
pour mettre à jour la configuration actuelle et surveiller les informations système du dispositif virtuel.
Procédure
1 Connectez-vous à la console d'administration.
2 Sélectionnez l'onglet Paramètres du dispositif et cliquez sur Gérer la configuration.
3 Connectez-vous avec le mot de passe de l'administrateur de service.
4 Dans le volet de gauche, sélectionnez la page à afficher ou à modifier.
Suivant
Vérifiez que les paramètres que vous définissez ou les mises à jour que vous effectuez sont maintenant
appliqués.
Connecting to the Database

An internal PostgreSQL database is embedded in the VMware Identity Manager appliance but it is not
recommended for use with production deployments. To use an external database with
VMware Identity Manager, your database administrator must prepare an empty database and schema
before connecting to the database in VMware Identity Manager.
You can connect to the external database connection when you run the VMware Identity Manager Setup
wizard. You can also go to the Appliance Settings > VA Configuration > Database Connection Setup page to
configure the connection to the external database.
Licensed users can use an external Oracle database or Microsoft SQL Server to set up a high availability
database environment.
34 VMware, Inc.
Chapitre 3 Gestion des paramètres de configuration de système du dispositif
Configurer une base de données Microsoft SQL

Pour utiliser une base de données Microsoft SQL pour VMware Identity Manager, vous devez créer une
base de données sur le serveur Microsoft SQL Server.
Vous créez une base de données nommée saas sur le serveur Microsoft SQL Server et créez un utilisateur de
connexion nommé horizon.
Remarque Le classement par défaut est sensible à la casse.
Prérequis
n Version prise en charge du serveur Microsoft SQL Server installé en tant que serveur de base de
données externe.
n Implémentation de l'équilibrage de charge configurée.
n Droits d'administrateur pour accéder et créer les composants de base de données à l'aide de Microsoft
SQL Server Management Studio ou d'un autre client CLI de Microsoft SQL Server.
Procédure
1 Ouvrez une session sur Microsoft SQL Server Management Studio en tant que sysadmin ou utilisateur
d'un compte ayant les privilèges sysadmin.
La fenêtre de l'éditeur s'affiche.
2 Dans la barre d'outils, cliquez sur Nouvelle requête.
3 Coupez et collez les commandes suivantes dans la fenêtre de l'éditeur.
Commandes Microsoft SQL
CREATE DATABASE saas

COLLATE Latin1_General_CS_AS;
ALTER DATABASE saas SET READ_COMMITTED_SNAPSHOT ON;
GO
BEGIN
CREATE LOGIN horizon WITH PASSWORD = N'H0rizon!';
END
GO
USE saas;
IF EXISTS (SELECT * FROM sys.database_principals WHERE name = N'horizon')
DROP USER [horizon]
GO
CREATE USER horizon FOR LOGIN horizon
WITH DEFAULT_SCHEMA = saas;
GO
CREATE SCHEMA saas AUTHORIZATION horizon
GRANT ALL ON DATABASE::saas TO horizon;
GO
4 Dans la barre d'outils, cliquez sur!Execute.
Le serveur de base de données Microsoft SQL Server est maintenant prêt à être connecté à la base de
données VMware Identity Manager.
VMware, Inc. 35
Suivant
Configurez la base de données externe sur le serveur VMware Identity Manager. Dans la console
d'administration de VMware Identity Manager, accédez à la page Paramètres du dispositif > Configuration
VA > Configuration de la connexion à la base de données. Entrez l'URL JDBC
jdbc:sqlserver://<hostname-or-DB_VM_IP_ADDR>;DatabaseName=saas. Entrez le nom d'utilisateur et le mot
de passe créés pour la base de données. Voir « Configure VMware Identity Manager to Use an External
Database », page 37
Configuration d'une base de données Oracle

Pendant l'installation de la base de données Oracle, vous devez spécifier certaines configurations Oracle
pour optimiser les performances avec VMware Identity Manager.
Prérequis
La base de données Oracle que vous créez portera le nom saas. VMware Identity Manager nécessite des
identificateurs Oracle entre guillemets pour le nom d'utilisateur et le schéma. Par conséquent, vous devez
utiliser des guillemets doubles lors de la création du nom d'utilisateur et du schéma saas Oracle.
Procédure
1 Spécifiez les paramètres suivants lors de la création d'une base de données Oracle.
a Sélectionnez l'option de configuration General Purpose/Transaction Processing Database.
b Cliquez sur Use Unicode > UTF8.
c Utilisez le jeu de caractères national.
2 Connectez-vous à la base de données Oracle une fois l'installation terminée.
3 Connectez-vous à la base de données Oracle en tant qu'utilisateur sys.
4 Augmentez le nombre de connexions de processus. Chaque machine virtuelle de service

supplémentaire nécessite un minimum de 300 connexions de processus pour fonctionner avec
VMware Identity Manager. Par exemple, si votre environnement dispose de deux machines virtuelles
de service, exécutez la commande alter en tant qu'utilisateur sys ou system.
a Augmentez le nombre de connexions de processus à l'aide de la commande alter.
alter system set processes=600 scope=spfile
b Redémarrez la base de données.
36 VMware, Inc.
5 Créez un déclencheur de base de données que tous les utilisateurs peuvent utiliser.
Exemple de code SQL de création d'un déclencheur de base de données
CREATE OR REPLACE
TRIGGER CASE_INSENSITIVE_ONLOGON
AFTER LOGON ON DATABASE
DECLARE
username VARCHAR2(30);
BEGIN
username:=SYS_CONTEXT('USERENV','SESSION_USER');
IF username = 'saas' THEN
execute immediate 'alter session set NLS_SORT=BINARY_CI';
execute immediate 'alter session set NLS_COMP=LINGUISTIC';
END IF;
EXCEPTION
WHEN OTHERS THEN
NULL;
END;
6 Exécutez les commandes Oracle pour créer un schéma d'utilisateur.
Exemple de code SQL de création d'un utilisateur
CREATE USER "saas"

IDENTIFIED BY <password>
DEFAULT TABLESPACE USERS
TEMPORARY TABLESPACE TEMP
PROFILE DEFAULT
ACCOUNT UNLOCK;
GRANT RESOURCE TO "saas" ;
GRANT CONNECT TO "saas" ;
ALTER USER "saas" DEFAULT ROLE ALL;
GRANT UNLIMITED TABLESPACE TO "saas";
Administration de la base de données interne

La base de données PostgreSQL interne est configurée et prête à être utilisée par défaut. Notez qu'il n'est pas
recommandé d'utiliser la base de données interne avec des déploiements de production.
Lorsque VMware Identity Manager est installé et activé, lors du processus d'initialisation, un mot de passe
aléatoire pour l'utilisateur de la base de données interne est généré. Ce mot de passe est unique à chaque
déploiement et il est disponible dans le fichier /usr/local/horizon/conf/db.pwd.
Pour configurer votre base de données interne pour la haute disponibilité, consultez l'article 2094258 de la
base de connaissances.
Configure VMware Identity Manager to Use an External Database

After you set up the database in the VMware Identity Manager Setup wizard, you can configure
VMware Identity Manager to use a different database.
You must point VMware Identity Manager to an initialized, populated database. For example, you can use a
database configured as the result of a successful run of the VMware Identity Manager Setup wizard, a
database from a backup, or an existing database from a recovered snapshot.
VMware, Inc. 37
Prerequisites
n Install and configure the supported Microsoft SQL or Oracle edition as the external database server. For
information about specific versions that are supported by VMware Identity Manager, see the VMware
Product Interoperability Matrixes at
http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Procedure
1 In the administration console click Appliance Settings and select VA Configuration.
2 Click Manage Configuration.
3 Log in with the VMware Identity Manager administrator password.
4 On the Database Connection Setup page, select External Database as the database type.
5 Enter information about the database connection.
a Type the JDBC URL of the database server.
Microsoft SQL jdbc:sqlserver://hostname_or_IP_address;DatabaseName=horizon
Oracle jdbc:oracle:thin:@//hostname_or_IP_address:port/sid
b Type the name of the user with read and write privileges to the database.
Microsoft SQL horizon
Oracle “saas”
c Type the password for the user you created when you configured the database.
6 Click Test Connection to verify and save the information.
Utilisation des certificats SSL

Lorsque le dispositif VMware Identity Manager est installé, un certificat de serveur SSL par défaut est
généré automatiquement. Vous pouvez utiliser ce certificat auto-signé pour effectuer un test général de
l'installation. VMware vous recommande vivement de générer et d'installer des certificats SSL commerciaux
dans votre environnement de production.
Une autorité de certification est une entité approuvée qui garantit l'identité du certificat et de son créateur.
Lorsqu'un certificat est signé par une autorité de certification de confiance, les utilisateurs ne reçoivent plus
les messages leur demandant de vérifier le certificat.
Si vous déployez VMware Identity Manager avec le certificat SSL auto-signé, le certificat de l'autorité de
certification racine doit être disponible en tant qu'autorité de certification de confiance pour les clients qui
accèdent au de VMware Identity Manager. Les clients peuvent inclure les machines des utilisateurs finaux,
les équilibreurs de charge, les proxys, etc. Vous pouvez télécharger l'autorité de certification racine à
l'adresse https://myconnector.domain.com/horizon_workspace_rootca.pem.
Vous pouvez installer un certificat d'autorité de certification signé depuis la page Paramètres du dispositif >
Gérer la configuration > Installer le certificat. Vous pouvez également ajouter le certificat de l'autorité de
certification racine de l'équilibrage de charge sur cette page.
38 VMware, Inc.
Appliquer une autorité de certification publique

Lorsque le service VMware Identity Manager est installé, un certificat de serveur SSL par défaut est généré.
Vous pouvez utiliser le certificat par défaut à des fins de test. Vous devez générer et installer des certificats
SSL commerciaux pour votre environnement.
Remarque Si le VMware Identity Manager pointe vers un équilibrage de charge, le certificat SSL est
appliqué à celui-ci.
Prérequis
Générez une demande de signature de certificat (CSR) pour obtenir un certificat valide et signé d'une
autorité de certification. Si votre entreprise fournit des certificats SSL signés par une autorité de certification,
vous pouvez les utiliser. Le certificat doit être au format PEM.
Procédure
1 Dans la console d'administration, cliquez sur Paramètres du dispositif.
La configuration VA est sélectionnée par défaut.
2 Cliquez sur Gérer la configuration.
3 Dans la boîte de dialogue qui s'affiche, entrez le mot de passe de l'utilisateur administrateur du serveur
4 Sélectionnez Installer le certificat.
5 Dans l'onglet Interrompre SSL sur un dispositif Identity Manager, sélectionnez Certificat personnalisé.
6 Dans la zone de texte Chaîne de certificat SSL, collez les certificats hôte, intermédiaire et racine, dans
cet ordre.
Le certificat SSL ne fonctionne que si vous incluez toute la chaîne de certificat dans le bon ordre. Pour
chaque certificat, copiez tout ce qui se trouve entre les lignes -----BEGIN CERTIFICATE----- et -----END
CERTIFICATE----, en incluant celles-ci.
Vérifiez que le certificat inclut le nom d'hôte FQDN.
7 Collez la clé privée dans la zone de texte Clé privée. Copiez tout ce qui se trouve entre les lignes ----
BEGIN RSA PRIVATE KEY et ---END RSA PRIVATE KEY.
Exemple : Exemples de certificat
Exemple de chaîne de certificat
-----BEGIN CERTIFICATE-----
jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+
...
...
...
W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1
-----END CERTIFICATE-----
VMware, Inc. 39
WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+
...
...
...
O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1
dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+
...
...
...
5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1
Exemple de clé privée
-----BEGIN RSA PRIVATE KEY-----
jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+
...
...
...
1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1
-----END RSA PRIVATE KEY-----
Ajout de certificats SSL

Lorsque vous appliquez le certificat, assurez-vous d'inclure l'intégralité de la chaîne de certificat. Le
certificat à installer doit être au format PEM.
Le certificat SSL ne fonctionne que si vous incluez l'intégralité de la chaîne de certificat. Pour chaque
certificat, copiez tout ce qui se trouve entre les lignes -----BEGIN CERTIFICATE----- et -----END
CERTIFICATE---- , en incluant celles-ci.
Important Vous devez ajouter la chaîne de certificat en respectant l'ordre suivant : certificat SSL, certificats
de l'autorité de certification intermédiaire, certificat de l'autorité de certification racine.
Cert SSL - Cert SSL du dispositif
Intermediate/Issuing CA Cert
Certificat de l'autorité de certification racine
40 VMware, Inc.
Modification de l'URL du service VMware Identity Manager

Vous pouvez modifier l'URL du service VMware Identity Manager, qui est l'URL dont les utilisateurs se
servent pour accéder au service. Par exemple, vous pouvez modifier l'URL en URL d'équilibrage de charge.
Procédure
2 Cliquez sur l'onglet Paramètres du dispositif, puis sélectionnez Configuration VA.
3 Cliquez sur Gérer la configuration et connectez-vous avec le mot de passe de l'utilisateur admin.
4 Cliquez sur FQDN d'Identity Manager et entrez la nouvelle URL dans le champ FQDN d'Identity
Manager.
Utilisez le format https://FQDN:port. La spécification d'un port est facultative. Le port par défaut est
443.
Par exemple, https://myservice.example.com.
Suivant
Activez la nouvelle interface utilisateur du portail.
1 Rendez-vous sur https://VMwareIdentityManagerURL/admin pour accéder à la console d'administration.
2 Dans la console d'administration, cliquez sur la flèche dans l'onglet Catalogue et sélectionnez
Paramètres.
3 Sélectionnez Nouvelle interface utilisateur du portail de l'utilisateur final dans le volet de gauche et
cliquez sur Activer la nouvelle interface utilisateur du portail.
Modification de l'URL de connecteur

Vous pouvez modifier l'URL de connecteur en mettant à jour le nom d'hôte du fournisseur d'identité dans la
console d'administration. Si vous utilisez le connecteur en tant que fournisseur d'identité, l'URL de
connecteur est l'URL de la page de connexion et elle est visible pour les utilisateurs finaux.
Procédure
2 Cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet Fournisseurs d'identité.
3 Sur la page Fournisseurs d'identité, sélectionnez le fournisseur d'identité à mettre à jour.
4 Dans le champ Nom d'hôte IdP, entrez le nouveau nom d'hôte.
Utilisez le format nom d'hôte:port. La spécification d'un port est facultative. Le port par défaut est 443.
Par exemple, vidm.example.com.
VMware, Inc. 41
Activation du serveur Syslog

Les événements au niveau de l'application du service peuvent être exportés vers un serveur syslog externe.
Les événements du système d'exploitation ne sont pas exportés.
Dans la mesure où la plupart des entreprises ne disposent pas d'un espace disque illimité, le dispositif
virtuel n'enregistre pas l'historique de journalisation complet. Si vous souhaitez enregistrer davantage
d'historique ou créer un emplacement centralisé pour votre historique de journalisation, vous pouvez
configurer un serveur syslog externe.
Si vous ne spécifiez pas un serveur Syslog lors de la configuration initiale, vous pouvez le faire
ultérieurement sur la page Paramètres du dispositif > Configuration VA > Gérer la configuration >
Configuration Syslog.
Prérequis
Configurez un serveur syslog externe. Vous pouvez utiliser n'importe quel serveur syslog standard
disponible. Plusieurs serveurs syslog incluent des fonctions de recherche avancées.
Procédure
2 Cliquez sur l'onglet Paramètres du dispositif, sélectionnez Configuration VA dans le volet de gauche et
cliquez sur Gérer la configuration.
3 Sélectionnez Configurer Syslog dans le volet de gauche.
4 Cliquez sur Activer.
5 Entrez l'adresse IP ou le nom de domaine complet du serveur Syslog à l'emplacement dans lequel vous
souhaitez stocker les journaux.
Une copie de vos journaux est envoyée au serveur syslog.
Informations sur le fichier journal

Les fichiers journaux de VMware Identity Manager peuvent vous aider à effectuer un débogage ou un
dépannage. Les fichiers journaux répertoriés ci-dessous constituent un point de départ courant. Vous
trouverez des journaux supplémentaires dans le répertoire /opt/vmware/horizon/workspace/logs.
Tableau 3‑1. Fichiers journaux

Composant Emplacement du fichier journal Description
Journaux de /opt/vmware/horizon/workspace/log Informations sur l'activité de l'application

service Identity s/horizon.log VMware Identity Manager, comme les droits d'accès,
Manager les utilisateurs et les groupes.
Journaux du /opt/vmware/horizon/workspace/log Requêtes que Configurator reçoit du client REST et de

Programme de s/configurator.log l'interface Web.
configuration
Journaux /opt/vmware/horizon/workspace/log Enregistrement de chaque demande reçue de

Connector s/connector.log l'interface Web. Chaque entrée de journal inclut
également l'URL, l'horodatage et les exceptions de la
requête. Aucune action de synchronisation n'est
enregistrée.
42 VMware, Inc.
Tableau 3‑1. Fichiers journaux (suite)

Composant Emplacement du fichier journal Description
Mettre à jour les /opt/vmware/var/log/update.log Enregistrement des messages sortants associés aux
journaux /opt/vmware/var/log/vami demandes de mise à jour pendant la mise à niveau de
VMware Identity Manager .
Les fichiers du
répertoire /opt/vmware/var/log/vami sont utiles
pour le dépannage. Vous trouverez ces fichiers sur
toutes les machines virtuelles après une mise à niveau.
Journaux Apache /opt/vmware/horizon/workspace/log Apache Tomcat enregistre les messages qui ne sont
Tomcat s/catalina.log pas enregistrés dans d'autres fichiers journaux.
Collecter les informations de journalisation

Pendant un essai ou une résolution de problème, les journaux vous fournissent des commentaires sur
l'activité et les performances des dispositifs virtuels, ainsi que des informations sur tous les problèmes qui se
produisent.
Vous collectez les journaux auprès de chaque dispositif se trouvant dans votre environnement.
Procédure
2 Sélectionnez l'onglet Paramètres du dispositif et cliquez sur Gérer la configuration.
3 Cliquez sur Emplacements des fichiers journaux et cliquez sur Préparer le bundle de journaux.
Les informations sont collectées dans un fichier tar.gz que vous pouvez télécharger.
4 Téléchargez le bundle préparé.
Suivant
Pour collecter tous les journaux, procédez ainsi avec chaque dispositif.
Gestion des mots de passe de vos dispositifs

Lorsque vous avez configuré le dispositif virtuel, vous avez créé les mots de passe pour l'utilisateur
administrateur, l'utilisateur racine et l'utilisateur ssh. Vous pouvez modifier ces mots de passe à partir des
pages Paramètres du dispositif.
Assurez-vous de créer des mots de passe forts. Les mots de passe forts doivent contenir au moins huit
caractères, des majuscules et des minuscules et au moins un chiffre ou caractère spécial.
Procédure
1 Dans la console d'administration, cliquez sur l'onglet Paramètres du dispositif
2 Cliquez sur Configuration VA > Gérer la configuration.
3 Pour modifier le mot de passe Admin, sélectionnez Modifier le mot de passe. Pour modifier les mots de
passe racine ou sshuser, sélectionnez Sécurité du système.
Important Le mot de passe de l'utilisateur Admin doit contenir au moins 6 caractères.
4 Entrez le nouveau mot de passe.
VMware, Inc. 43
Configurer les paramètres SMTP

Configurez les paramètres du serveur SMTP pour recevoir des notifications par e-mail de la part du service
Des e-mails de notification sont envoyés aux nouveaux utilisateurs créés en tant qu'utilisateurs locaux et
lorsqu'un mot de passe est réinitialisé dans le service VMware Identity Manager.
Procédure
2 Sélectionnez l'onglet Paramètres du dispositif et cliquez sur SMTP.
3 Entrez le nom d'hôte du serveur SMTP.
Par exemple : smtp.example.com
4 Entrez le numéro de port du serveur SMTP.
Par exemple : 25
5 (Facultatif) Entrez un nom d'utilisateur et un mot de passe, si le serveur SMTP requiert

l'authentification.
44 VMware, Inc.
Intégration à votre annuaire
d'entreprise 4
Vous intégrez VMware Identity Manager à votre annuaire d'entreprise pour synchroniser les utilisateurs et
les groupes entre votre annuaire d'entreprise et le service VMware Identity Manager.
Les types d'annuaires suivants sont pris en charge.
n Active Directory via LDAP
n Active Directory, authentification Windows intégrée
n répertoire LDAP
Pour l'intégration à votre annuaire d'entreprise, vous effectuez les tâches suivantes.
n Spécifiez les attributs que vous voulez que les utilisateurs aient dans le service
n Créez un annuaire dans le service VMware Identity Manager du même type que celui de votre annuaire
d'entreprise et spécifiez les détails de connexion.
n Mappez les attributs VMware Identity Manager aux attributs utilisés dans votre annuaire Active
Directory ou LDAP.
n Spécifiez les utilisateurs et les groupes à synchroniser.
n Synchronisez les utilisateurs et les groupes.
Après avoir intégré votre annuaire d'entreprise et effectué la synchronisation initiale, vous pouvez mettre à
jour la configuration, configurer un planning de synchronisation régulier ou démarrer une synchronisation à
tout moment.
n « Concepts importants relatifs à l'intégration d'annuaire », page 46
n « Intégration à Active Directory », page 47
n « Intégration à des annuaires LDAP », page 61
n « Ajout d'un annuaire après la configuration du basculement et de la redondance », page 66
VMware, Inc. 45
Concepts importants relatifs à l'intégration d'annuaire

Plusieurs concepts sont essentiels pour comprendre comment le service VMware Identity Manager s'intègre
à votre environnement d'annuaire Active Directory ou LDAP.
Connector
Le connecteur, composant du service, exécute les fonctions suivantes.
n Synchronise les données des utilisateurs et des groupes de votre annuaire Active Directory ou LDAP
avec le service.
n Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service.
Le connecteur est le fournisseur d'identité par défaut. Vous pouvez également utiliser les fournisseurs
d'identité tiers prenant en charge le protocole SAML 2.0. Utilisez un fournisseur d'identité tiers pour un
type d'authentification non pris en charge par le connecteur ou si le fournisseur d'identité tiers est
préférable en fonction de la stratégie de sécurité de votre entreprise.
Remarque Si vous utilisez des fournisseurs d'identité tiers, vous pouvez configurer le connecteur pour
synchroniser des données utilisateur et groupe ou configurer le provisionnement utilisateur juste-à-
temps. Consultez la section Provisionnement utilisateur juste-à-temps dans Administration de VMware
Identity Manager pour plus d'informations.
Annuaire
Le service VMware Identity Manager dispose de son propre concept d'annuaire, qui correspond à l'annuaire
Active Directory ou LDAP dans votre environnement. Cet annuaire utilise des attributs pour définir des
utilisateurs et des groupes. Vous devez créer un ou plusieurs annuaires dans le service, puis les synchroniser
avec votre annuaire Active Directory ou LDAP. Vous pouvez créer les types d'annuaires suivants dans le
service.
n Active Directory
n Active Directory via LDAP : Créez ce type d'annuaire si vous prévoyez de vous connecter à un seul
environnement de domaine Active Directory. Pour le type d'annuaire Active Directory via LDAP, le
connecteur se lie à Active Directory via une authentification Bind simple.
n Active Directory, authentification Windows intégrée. Créez ce type d'annuaire si vous prévoyez de
vous connecter à un environnement Active Directory à forêts et domaines multiples. Le connecteur
se lie à Active Directory via l'authentification Windows intégrée.
Le type et le nombre d'annuaires que vous créez varie selon votre environnement Active Directory, par
exemple à domaine simple ou multiple, et le type d'approbation utilisé entre les domaines. Dans la
plupart des environnements, vous devez créer un seul annuaire.
n Annuaire LDAP
Le service n'a pas un accès direct à votre annuaire Active Directory ou LDAP. Seul le connecteur a un accès
direct. Par conséquent, vous devez associer chaque annuaire créé dans le service à une connecteur instance.
Travailleur
Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partition pour
l'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée à plusieurs travailleurs.
Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodes
d'authentification pour chaque travailleur.
46 VMware, Inc.
Chapitre 4 Intégration à votre annuaire d'entreprise
Le connecteur synchronise les données des utilisateurs et des groupes entre votre annuaire Active Directory
ou LDAP et le service au moyen d'un ou de plusieurs travailleurs.
Important La même instance de connecteur ne peut pas comporter deux travailleurs d'Active Directory de
type Authentification Windows intégrée.
Considérations de sécurité
Pour les répertoires d'entreprise intégrés au service VMware Identity Manager, des paramètres de sécurité,
tels que les règles de complexité des mots de passe utilisateur et des stratégies de verrouillage de compte,
doivent être définis directement dans le répertoire d'entreprise. VMware Identity Manager ne remplace pas
ces paramètres.
Intégration à Active Directory

Vous pouvez intégrer VMware Identity Manager à votre déploiement d'Active Directory pour synchroniser
les utilisateurs et les groupes entre Active Directory et VMware Identity Manager.
Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 46.
Environnements Active Directory

Vous pouvez intégrer le service dans un environnement Active Directory composé d'un seul domaine Active
Directory, de plusieurs domaines dans une forêt Active Directory unique, ou de plusieurs domaines dans
différentes forêts Active Directory.
Environnement à un seul domaine Active Directory

Un déploiement Active Directory unique vous permet de synchroniser les utilisateurs et les groupes d'un
seul domaine Active Directory.
Pour cet environnement, lorsque vous ajoutez un annuaire au service, sélectionnez l'option Active Directory
via LDAP.
Pour plus d'informations, voir :
n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 49
n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 53
n « Autorisations requises pour joindre un domaine », page 55
n « Configuration de la connexion Active Directory au service », page 55
Environnement Active Directory à domaines multiples, forêt unique

Un déploiement à domaines multiples, forêt unique vous permet de synchroniser des utilisateurs et des
groupes à partir de multiples domaines Active Directory au sein d'une forêt unique.
Vous pouvez configurer le service pour cet environnement Active Directory en tant qu'annuaire de type
Authentification Windows intégrée à Active Directory unique ou en tant qu'annuaire de type Active
Directory via LDAP configuré avec l'option de catalogue global.
n L'option recommandée consiste à créer un annuaire de type Authentification Windows intégrée à

Active Directory unique.
Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory
(Authentification Windows intégrée).
VMware, Inc. 47
n Si l'authentification Windows intégrée ne fonctionne pas dans votre environnement Active Directory,
créez un annuaire de type Active Directory via LDAP et sélectionnez l'option de catalogue global.
Certaines limitations sont définies pour la sélection de l'option de catalogue global, parmi lesquelles :
n Les attributs d'objet Active Directory qui sont répliqués sur le catalogue global sont identifiés dans
le schéma Active Directory sous forme d'ensemble d'attributs partiels (PAS) : Seuls ces attributs
sont disponibles pour le mappage des attributs par le service. Si nécessaire, modifiez le schéma
pour ajouter ou supprimer les attributs qui sont stockés dans le catalogue global.
n Le catalogue global stocke l'appartenance au groupe (l'attribut membre) des groupes universels
uniquement. Seuls les groupes universels sont synchronisés avec le service. Si nécessaire, vous
pouvez modifier la portée d'un groupe d'un domaine local ou passer de global à universel.
n Le compte ND Bind que vous définissez lors de la configuration d'un annuaire dans le service doit
disposer d'autorisations pour lire l'attribut TGGAU (Token-Groups-Global-And-Universal).
Active Directory utilise les ports 389 et 636 pour les requêtes LDAP standard. Pour les requêtes de
catalogue global, les ports 3268 et 3269 sont utilisées.
Lorsque vous ajoutez un annuaire pour l'environnement de catalogue global, spécifiez les actions
suivantes lors de la configuration.
n Sélectionnez l'option Active Directory via LDAP.
n Décochez la case correspondant à l'option Cet annuaire prend en charge l'emplacement du

service DNS.
n Sélectionnez l'option Cet annuaire comporte un catalogue global. Lorsque vous sélectionnez cette
option, le numéro de port du serveur est automatiquement modifié à 3268. Aussi, du fait que le ND
de base n'est pas nécessaire lors de la configuration de l'option de catalogue global, la zone de texte
ND de base n'apparaît pas.
n Ajoutez le nom d'hôte du serveur Active Directory.
n Si votre annuaire Active Directory requiert un accès via SSL, sélectionnez l'option Cet annuaire
exige que toutes les connexions utilisent SSL et collez le certificat dans la zone de texte indiquée.
Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié
à 3269.
Environnement Active Directory à forêts multiples avec relations d'approbation

Un déploiement Active Directory à forêts multiples avec relations d'approbation vous permet de
synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des
forêts où des relations d'approbation bidirectionnelles existent entre les domaines.
Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory
(Authentification Windows intégrée).
48 VMware, Inc.
Environnement Active Directory à forêts multiples sans relations d'approbation

Un déploiement Active Directory à forêts multiples sans relations d'approbation vous permet de
synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des
forêts sans relation d'approbation entre les domaines. Dans cet environnement, vous devez créer plusieurs
annuaires dans le service, à raison d'un annuaire par forêt.
Le type d'annuaire que vous créez dans le service varie selon la forêt. Pour les forêts à plusieurs domaines,
sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour une forêt ne comptant
qu'un seul domaine, sélectionnez l'option Active Directory via LDAP.
À propos de la sélection des contrôleurs de domaine (fichier

domain_krb.properties)
Le fichier domain_krb.properties détermine les contrôleurs de domaine qui sont utilisés pour les annuaires
sur lesquels la recherche de l'emplacement du service DNS (enregistrements SRV) est activée. Il contient une
liste de contrôleurs de domaine pour chaque domaine. Le connecteur crée le fichier, et vous devez le gérer
par la suite. Le fichier remplace la recherche de l'emplacement du service DNS (SRV).
La recherche de l'emplacement du service DNS est activée sur les types d'annuaires suivants :
n Active Directory sur LDAP avec l'option Cet annuaire prend en charge l'emplacement du service DNS
sélectionnée
n Active Directory (authentification Windows intégrée), pour lequel la recherche de l'emplacement du

service DNS est toujours activée
La première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est
activée, un fichier domain_krb.properties est automatiquement créé dans le
répertoire /usr/local/horizon/conf de la machine virtuelle, puis rempli avec des contrôleurs de domaine
pour chaque domaine. Pour remplir le fichier, le connecteur tente de rechercher les contrôleurs de domaine
qui se trouvent sur le même site que le connecteur et en sélectionne deux qui sont accessibles et qui
réagissent le plus vite.
Lorsque vous créez des annuaires supplémentaires sur lesquels la recherche de l'emplacement du service
DNS est activée, ou lorsque vous ajoutez de nouveaux domaines à un annuaire Authentification Windows
intégrée, les nouveaux domaines, et une liste de leurs contrôleurs de domaine, sont ajoutés au fichier.
Vous pouvez remplacer la sélection par défaut à tout moment en modifiant le fichier
domain_krb.properties. Après avoir créé un annuaire, il vous est conseillé de consulter le fichier
domain_krb.properties et de vérifier que les contrôleurs de domaine répertoriés sont les plus adaptés à
votre configuration. Pour un déploiement Active Directory global avec plusieurs contrôleurs de domaine
dans différents emplacements géographiques, le fait d'utiliser un contrôleur de domaine proche du
connecteur garantit une communication plus rapide avec Active Directory.
VMware, Inc. 49
Vous devez également mettre à jour le fichier manuellement pour toute autre modification. Les règles
suivantes s'appliquent.
n Le fichier domain_krb.properties est créé dans la machine virtuelle qui contient le connecteur. Dans un
déploiement classique, sans connecteurs supplémentaires déployés, le fichier est créé dans la machine
virtuelle de service VMware Identity Manager. Si vous utilisez un connecteur supplémentaire pour
l'annuaire, le fichier est créé dans la machine virtuelle de connecteur. Une machine virtuelle ne peut
contenir qu'un seul fichier domain_krb.properties.
n Le fichier est créé et rempli automatiquement avec des contrôleurs de domaine pour chaque domaine,
la première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS
est activée.
n Les contrôleurs de domaine de chaque domaine sont classés par ordre de priorité. Pour se connecter à
Active Directory, le connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas
accessible, il teste le deuxième de la liste, etc.
n Le fichier est mis à jour uniquement lorsque vous créez un annuaire sur lequel la recherche de
l'emplacement du service DNS est activée ou lorsque vous ajoutez un domaine à un annuaire
Authentification Windows intégrée. Le nouveau domaine et une liste de contrôleurs de domaine le
concernant sont ajoutés au fichier.
Notez que si une entrée pour un domaine existe déjà dans le fichier, elle n'est pas mise à jour. Par
exemple, si vous avez créé puis supprimé un annuaire, l'entrée de domaine d'origine reste dans le
fichier et elle n'est pas mise à jour.
n Le fichier n'est mis à jour automatiquement dans aucun autre scénario. Par exemple, si vous supprimez
un annuaire, l'entrée de domaine n'est pas supprimée du fichier.
n Si un contrôleur de domaine répertorié dans le fichier n'est pas accessible, modifiez le fichier et
supprimez-le.
n Si vous ajoutez ou supprimez une entrée de domaine manuellement, vos modifications ne seront pas
remplacées.
Pour plus d'informations sur la modification du fichier domain_krb.properties, reportez-vous à la section

« Modification du fichier domain_krb.properties », page 51.
Important Le fichier /etc/krb5.conf doit être cohérent avec le fichier domain_krb.properties. Lorsque
vous mettez à jour le fichier domain_krb.properties, mettez également à jour le fichier krb5.conf. Pour plus
d'informations, consultez la section « Modification du fichier domain_krb.properties », page 51 et
l'article 2091744 de la base de connaissances.
Mode de sélection des contrôleurs de domaine pour remplir automatiquement le

fichier domain_krb.properties
Pour remplir automatiquement le fichier domain_krb.properties, des contrôleurs de domaine sont
sélectionnés en déterminant le sous-réseau sur lequel réside le connecteur (en fonction de l'adresse IP et du
masque de réseau), puis en utilisant la configuration Active Directory afin d'identifier le site de ce sous-
réseau, en obtenant la liste de contrôleurs de domaine de ce site, en filtrant la liste pour le domaine
approprié et en choisissant les deux contrôleurs de domaine qui réagissent le plus vite.
Pour détecter les contrôleurs de domaine qui sont les plus proches, VMware Identity Manager a les
exigences suivantes :
n Le sous-réseau du connecteur doit être présent dans la configuration Active Directory, ou un sous-
réseau doit être spécifié dans le fichier runtime-config.properties. Voir « Remplacement de la sélection
de sous-réseau par défaut », page 51.
Le sous-réseau est utilisé pour déterminer le site.
n La configuration Active Directory doit être liée au site.
50 VMware, Inc.
Si le sous-réseau ne peut pas être déterminé ou si votre configuration Active Directory n'est pas liée au site,
la recherche de l'emplacement du service DNS est utilisée pour rechercher des contrôleurs de domaine, et le
fichier est rempli avec quelques contrôleurs de domaine qui sont accessibles. Notez qu'il est possible que ces
contrôleurs de domaine ne se trouvent pas dans le même emplacement géographique que le connecteur, ce
qui peut entraîner des retards ou des délais d'expiration lors de la communication avec Active Directory.
Dans ce cas, modifiez le fichier domain_krb.properties manuellement et spécifiez les contrôleurs de
domaine corrects à utiliser pour chaque domaine. Voir « Modification du fichier domain_krb.properties »,
page 51.
Exemple de fichier domain_krb.properties

example.com=host1.example.com:389,host2.example.com:389
Remplacement de la sélection de sous-réseau par défaut

Pour remplir automatiquement le fichier domain_krb.properties, le connecteur tente de rechercher les
contrôleurs de domaine qui se trouvent sur le même site afin qu'il y ait une latence minimale entre le
connecteur et Active Directory.
Pour rechercher le site, le connecteur détermine le sous-réseau sur lequel il réside, en fonction de son
adresse IP et de son masque de réseau, puis utilise la configuration Active Directory pour identifier le site
pour ce sous-réseau. Si le sous-réseau de la machine virtuelle ne se trouve pas dans Active Directory, ou si
vous voulez remplacer la sélection de sous-réseau automatique, vous pouvez spécifier un sous-réseau dans
le fichier runtime-config.properties.
Procédure
1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine.
Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à la

machine virtuelle de connecteur.
2 Modifiez le fichier /usr/local/horizon/conf/runtime-config.properties pour ajouter l'attribut suivant.
siteaware.subnet.override=subnet
où subnet est un sous-réseau du site dont vous voulez utiliser les contrôleurs de domaine. Par exemple :
siteaware.subnet.override=10.100.0.0/20
3 Enregistrez et fermez le fichier.
4 Redémarrez le service.
Modification du fichier domain_krb.properties

Le fichier /usr/local/horizon/conf/domain_krb.properties détermine les contrôleurs de domaine à utiliser
pour les annuaires sur lesquels la recherche de l'emplacement du service DNS est activée. Vous pouvez
modifier le fichier à tout moment pour changer la liste de contrôleurs de domaine d'un domaine ou pour
ajouter ou supprimer des entrées de domaine. Vos modifications ne seront pas remplacées.
Le fichier est créé et rempli automatiquement par le connecteur. Vous devez le mettre à jour manuellement
dans les scénarios suivants :
n Si les contrôleurs de domaine sélectionnés par défaut ne sont pas les plus adaptés à votre configuration,
modifiez le fichier et spécifiez les contrôleurs de domaine à utiliser.
n Si vous supprimez un répertoire, supprimez l'entrée de domaine correspondante dans le fichier.
n Si des contrôleurs de domaine dans le fichier ne sont pas accessibles, supprimez-les du fichier.
VMware, Inc. 51
Reportez-vous également à la section « À propos de la sélection des contrôleurs de domaine (fichier

domain_krb.properties) », page 49.
Procédure
1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine.
Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à la

machine virtuelle de connecteur.
2 Modifiez les répertoires sur /usr/local/horizon/conf.
3 Modifiez le fichier domain_krb.properties pour ajouter ou modifier la liste de domaine aux valeurs
d'hôte.
Utilisez le format suivant :
domain=host:port,host2:port,host3:port
Par exemple :
example.com=examplehost1.example.com:389,examplehost2.example.com:389
Répertoriez les contrôleurs de domaine par ordre de priorité. Pour se connecter à Active Directory, le
connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas accessible, il teste le
deuxième de la liste, etc.
Important Les noms de domaine doivent être en minuscules.
4 Remplacez le propriétaire du fichier domain_krb.properties par horizon et le groupe par www à l'aide de
la commande suivante.
chown horizon:www /usr/local/horizon/conf/domain_krb.properties
5 Redémarrez le service.
Suivant
Une fois que vous avez modifié le fichier domain_krb.properties, modifiez le fichier /etc/krb5.conf. Le
fichier krb5.conf doit être cohérent avec le fichier domain_krb.properties.
1 Modifiez le fichier /etc/krb5.conf et mettez à jour la section realms pour spécifier les mêmes valeurs
domaine-vers-l'hôte qui sont utilisées dans le fichier /usr/local/horizon/conf/domain_krb.properties.
Vous n'avez pas besoin de spécifier le numéro de port. Par exemple, si votre fichier
domain_krb.properties contient l'entrée de domaine example.com=examplehost.example.com:389, vous
devez mettre à jour le fichier krb5.conf comme suit.
[realms]
GAUTO-QA.COM = {
auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/
auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-
QA\.COM/GAUTO2QA/
auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/
auth_to_local = DEFAULT
kdc = examplehost.example.com
}
Remarque Il est possible d'avoir plusieurs entrées kdc. Toutefois, il ne s'agit pas d'une obligation, car
dans la plupart des cas il n'y a qu'une seule valeur kdc. Si vous choisissez de définir des valeurs kdc
supplémentaires, chaque ligne aura une entrée kdc qui définira un contrôleur de domaine.
52 VMware, Inc.
2 Redémarrez le service workspace.
Consultez également l'article 2091744 de la base de connaissances.
Dépannage du fichier domain_krb.properties

Utilisez les informations suivantes pour dépanner le fichier domain_krb.properties.
Erreur « Erreur lors de la résolution du domaine »

Si le fichier domain_krb.properties comporte déjà une entrée pour un domaine et si vous tentez de créer un
annuaire d'un type différent pour le même domaine, une « Erreur lors de la résolution du domaine » se
produit. Vous devez modifier le fichier domain_krb.properties et supprimer manuellement l'entrée de
domaine avant de créer l'annuaire.
Des contrôleurs de domaine sont inaccessibles

Une fois l'entrée de domaine ajoutée au fichier domain_krb.properties, elle n'est pas mise à jour
automatiquement. Si des contrôleurs de domaine répertoriés dans le fichier deviennent inaccessibles,
modifiez le fichier manuellement et supprimez-les.
Gestion des attributs utilisateur synchronisés à partir d'Active Directory

Lors de la configuration d'annuaire du service VMware Identity Manager, vous devez sélectionner des
attributs utilisateur et des filtres Active Directory pour spécifier les utilisateurs synchronisés dans l'annuaire
VMware Identity Manager. Il est possible de modifier les attributs utilisateur qui se synchronisent avec la
console d'administration, onglet Gestion des identités et des accès, Configuration > Attributs utilisateur.
Les modifications effectuées et sauvegardées sur la page Attributs utilisateur sont ajoutées sur la page
Attributs mappés dans le répertoire de VMware Identity Manager. Les modifications des attributs sont
mises à jour dans le répertoire lors de la synchronisation suivante à Active Directory.
La page Attributs utilisateur répertorie les attributs d'annuaire par défaut pouvant être mappés aux attributs
Active Directory. Vous devez sélectionner les attributs requis et ajouter les autres attributs Active Directory
que vous souhaitez synchroniser avec l'annuaire. Lorsque vous ajoutez des attributs, notez que le nom
d'attribut que vous entrez est sensible à la casse. Par exemple, adresse, Adresse et ADRESSE sont des
attributs différents.
Tableau 4‑1. Attributs Active Directory par défaut à synchroniser avec le répertoire
Nom de l'attribut du répertoire de VMware Identity
Manager Mappage par défaut vers l'attribut Active Directory
userPrincipalName userPrincipalName
distinguishedName distinguishedName
employeeId employeeID
domain canonicalName. Ajoute le nom de domaine complet de l'objet.
disabled (utilisateur externe désactivé) userAccountControl. Indiqué par UF_Account_Disable

Lorsqu'un compte est désactivé, les utilisateurs ne peuvent pas
se connecter pour accéder à leurs applications et à leurs
ressources. Comme les ressources attribuées aux utilisateurs ne
sont pas supprimées du compte, lorsque l'indicateur est
supprimé du compte, les utilisateurs peuvent se connecter et
accéder aux ressources qui leur sont octroyées
phone telephoneNumber
lastName sn
firstName givenName
VMware, Inc. 53
Tableau 4‑1. Attributs Active Directory par défaut à synchroniser avec le répertoire (suite)
Nom de l'attribut du répertoire de VMware Identity
Manager Mappage par défaut vers l'attribut Active Directory
email mail
userName sAMAccountName.
Sélection des attributs à synchroniser avec l'annuaire

Lorsque vous configurez l'annuaire VMware Identity Manager à synchroniser avec Active Directory, vous
devez spécifier les attributs utilisateur qui sont synchronisés avec l'annuaire. Avant de configurer l'annuaire,
vous pouvez spécifier sur la page Attributs utilisateur les attributs par défaut requis et ajouter les attributs
supplémentaires que vous souhaitez mapper aux attributs Active Directory.
Lorsque vous configurez la page Attributs utilisateur avant la création de l'annuaire, vous pouvez faire
passer les attributs par défaut de l'état obligatoire à l'état facultatif, marquer les attributs si nécessaire et
ajouter des attributs personnalisés.
Une fois l'annuaire créé, vous pouvez faire passer un attribut obligatoire à l'état facultatif, et vous pouvez
supprimer des attributs personnalisés. Il n'est pas possible de modifier un attribut pour le faire passer à l'état
obligatoire.
Lorsque vous ajoutez d'autres attributs à synchroniser avec l'annuaire, une fois l'annuaire créé, accédez à la
page Attributs mappés de l'annuaire pour mapper ces attributs à ceux d'Active Directory.
vous devez faire de distinguishedName un attribut obligatoire. Vous devez spécifier cela avant de créer
l'annuaire VMware Identity Manager.
Procédure
1 Sur l'onglet Gestion des identités et des accès de la console d'administration, cliquez sur Configuration
> Attributs utilisateur.
2 Dans la section Attributs par défaut, examinez la liste d'attributs obligatoires et apportez les
modifications souhaitées pour refléter les attributs obligatoires.
3 Dans la section Attributs, ajoutez le nom d'attribut de l'annuaire VMware Identity Manager à la liste.
L'état d'attribut par défaut est mis à jour et les attributs que vous avez ajoutés sont ajoutés à la liste
d'attributs mappés de l'annuaire.
5 Une fois l'annuaire créé, accédez à la page Gérer > Annuaires et sélectionnez l'annuaire.
6 Cliquez sur Paramètres de synchronisation > Attributs mappés.

7 Dans le menu déroulant des attributs que vous avez ajoutés, sélectionnez l'attribut Active Directory à
mapper.
L'annuaire est mis à jour lors de sa prochaine synchronisation avec Active Directory.
54 VMware, Inc.
Autorisations requises pour joindre un domaine

Vous pouvez avoir besoin de joindre le connecteur VMware Identity Manager à un domaine. Pour les
annuaires Active Directory via LDAP, vous pouvez joindre un domaine après la création de l'annuaire. Pour
les annuaires de type Active Directory (authentification Windows intégrée), le connecteur est joint au
domaine automatiquement lorsque vous créez l'annuaire. Dans les deux scénarios, vous êtes invité à fournir
des informations d'identification.
Pour joindre un domaine, vous avez besoin d'informations d'identification Active Directory avec le privilège
pour « joindre un ordinateur au domaine AD ». Cela est configuré dans Active Directory avec les droits
suivants :
n Créer des objets Ordinateur
n Supprimer des objets Ordinateur
Lorsque vous joignez un domaine, un objet d'ordinateur est créé dans l'emplacement par défaut dans Active
Directory, sauf si vous spécifiez une OU personnalisée.
Si vous ne disposez pas des droits de joindre un domaine, suivez ces étapes.
1 Demandez à votre administrateur Active Directory de créer l'objet Ordinateur dans Active Directory,
dans un emplacement déterminé par votre stratégie d'entreprise. Fournissez le nom d'hôte du
connecteur . Vérifiez que vous fournissez le nom de domaine complet, par exemple,
serveur.exemple.com.
Conseil Vous pouvez voir le nom d'hôte dans la colonne Nom d'hôte sur la page Connecteurs dans la
console d'administration. Cliquez sur Identité et gestion de l'accès > Configuration > Connecteurs
pour afficher la page Connecteurs.
2 Une fois l'objet Ordinateur créé, joignez le domaine à l'aide d'un compte d'utilisateur de domaine dans
la console d'administration de VMware Identity Manager.
La commande Joindre le domaine est disponible sur la page Connecteurs, accessible en cliquant sur
Identité et gestion de l'accès > Configuration > Connecteurs.
Option Description
Domaine Sélectionnez ou entrez le domaine Active Directory à

joindre. Vérifiez que vous entrez le nom de domaine
complet. Par exemple, server.example.com.
Utilisateur du domaine Nom d'utilisateur d'un utilisateur Active Directory

disposant des droits de joindre des systèmes au domaine
Active Directory.
Mot de passe du domaine Mot de passe de l'utilisateur.
Unité d'organisation (OU) (Facultatif) Unité d'organisation (OU) de l'objet ordinateur.

Cette option crée un objet ordinateur dans l'OU spécifiée
plutôt que l'OU Ordinateurs par défaut.
Par exemple, ou=testou,dc=test,dc=example,dc=com.
Configuration de la connexion Active Directory au service

La console d'administration permet de spécifier les informations requises pour vous connecter à votre
annuaire Active Directory et de sélectionner les utilisateurs et les groupes à synchroniser avec l'annuaire
Les options de connexion à Active Directory sont Active Directory via LDAP et Authentification Windows
intégrée à Active Directory. La connexion Active Directory via LDAP prend en charge la recherche de
l'emplacement du service DNS. Avec l'authentification Windows intégrée à Active Directory, vous devez
configurer le domaine à joindre.
VMware, Inc. 55
Prérequis
n Sélectionnez les attributs par défaut souhaités et ajoutez des attributs supplémentaires, si nécessaire, sur
la page Attributs utilisateur. Voir « Sélection des attributs à synchroniser avec l'annuaire », page 54.
vous devez faire de distinguishedName un attribut requis. Vous devez faire cette sélection avant de
créer un annuaire car les attributs ne peuvent pas être modifiés en attributs requis si l'annuaire est déjà
créé.
n Liste des groupes et utilisateurs d'Active Directory à synchroniser depuis Active Directory.
n Pour Active Directory via LDAP, les informations requises incluent le nom unique de base, le nom
unique de liaison et le mot de passe du nom unique de liaison.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot
de passe sans date d'expiration.
n Pour l'authentification Windows intégrée à Active Directory, les informations requises incluent l'adresse
et le mot de passe de l'UPN de l'utilisateur Bind du domaine.
n Si Active Directory requiert un accès via SSL ou STARTTLS, le certificat d'autorité de certification racine
du contrôleur de domaine Active Directory est requis.
n Pour l'authentification Windows intégrée à Active Directory, lorsque vous avez configuré un annuaire
Active Directory à forêts multiples et que le groupe local du domaine contient des membres de
domaines provenant de différentes forêts, assurez-vous que l'utilisateur Bind est ajouté au groupe
Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne
seront pas présents dans le groupe local du domaine.
Procédure
1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.
2 Sur la page Répertoires, cliquez sur Ajouter un répertoire.
3 Entrez un nom pour cet annuaire VMware Identity Manager.
56 VMware, Inc.
4 Sélectionnez le type d'annuaire Active Directory dans votre environnement et configurez les
informations de connexion.
Option Description
Active Directory via LDAP a Dans le champ Connecteur de synchronisation, sélectionnez le
connecteur à utiliser pour la synchronisation avec Active Directory.
b Dans le champ Authentification, si cet annuaire Active Directory est
utilisé pour authentifier des utilisateurs, cliquez sur Oui.
Si un fournisseur d'identité tiers est utilisé pour authentifier les

utilisateurs, cliquez sur Non. Après avoir configuré la connexion
Active Directory pour synchroniser les utilisateurs et les groupes,
accédez à la page Gestion des identités et des accès > Gérer >
Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des
fins d'authentification.
c Dans le champ Attribut de recherche d'annuaire, sélectionnez
d Si l'annuaire Active Directory utilise la recherche de l'emplacement du
service DNS, faites les sélections suivantes.
n Dans la section Emplacement du serveur, cochez la case Ce
répertoire prend en charge l'emplacement du service DNS.
Un fichier domain_krb.properties, rempli automatiquement

avec une liste de contrôleurs de domaine, sera créé lors de la
création de l'annuaire. Voir « À propos de la sélection des
contrôleurs de domaine (fichier domain_krb.properties) », page 49.
n Si l'annuaire Active Directory requiert le chiffrement STARTTLS,
cochez la case Cet annuaire exige que toutes les connexions
utilisent SSL dans la section Certificats, puis copiez et collez le
certificat d'autorité de certification racine Active Directory dans le
champ Certificat SSL.

Remarque Si l'annuaire Active Directory requiert STARTTLS et
que vous ne fournissez pas le certificat, vous ne pouvez pas créer
l'annuaire.
e Si l'annuaire Active Directory n'utilise pas la recherche de
l'emplacement du service DNS, faites les sélections suivantes.
n Dans la section Emplacement du serveur, vérifiez que la case Cet
annuaire prend en charge l'emplacement du service DNS n'est
pas cochée et entrez le nom d'hôte et le numéro de port du serveur
Active Directory.
Pour configurer l'annuaire comme catalogue global, reportez-vous

à la section Environnement Active Directory à forêt unique et
domaines multiples au chapitre « Environnements Active
Directory », page 47.
n Si l'annuaire Active Directory requiert un accès via SSL, cochez la
case Cet annuaire exige que toutes les connexions utilisent SSL
dans la section Certificats, puis copiez et collez le certificat
d'autorité de certification racine Active Directory dans le champ
Certificat SSL.
VMware, Inc. 57
Option Description
Remarque Si l'annuaire Active Directory requiert SSL et que
l'annuaire.
f Dans le champ ND de base, entrez le ND à partir duquel vous
souhaitez lancer les recherches de comptes. Par exemple :
OU=myUnit,DC=myCorp,DC=com.
g Dans le champ ND Bind, entrez le compte pouvant rechercher des
utilisateurs. Par exemple :
CN=binduser,OU=myUnit,DC=myCorp,DC=com.
h Après avoir entré le mot de passe Bind, cliquez sur Tester la
connexion pour vérifier que l'annuaire peut se connecter à votre
annuaire Active Directory.
Active Directory (authentification a Dans le champ Connecteur de synchronisation, sélectionnez le
Windows intégrée) connecteur à utiliser pour la synchronisation avec Active Directory.
b Dans le champ Authentification, si cet annuaire Active Directory est
utilisé pour authentifier des utilisateurs, cliquez sur Oui.
Si un fournisseur d'identité tiers est utilisé pour authentifier les

utilisateurs, cliquez sur Non. Après avoir configuré la connexion
Active Directory pour synchroniser les utilisateurs et les groupes,
accédez à la page Gestion des identités et des accès > Gérer >
Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des
fins d'authentification.
c Dans le champ Attribut de recherche d'annuaire, sélectionnez
d Si l'annuaire Active Directory requiert le chiffrement STARTTLS,
cochez la case Cet annuaire a besoin de toutes les connexions pour
pouvoir utiliser STARTTLS dans la section Certificats, puis copiez et
collez le certificat d'autorité de certification racine Active Directory
dans le champ Certificat SSL.

Si l'annuaire dispose de plusieurs domaines, ajoutez les certificats

d'autorité de certification racine pour tous les domaines, un par un.
Remarque Si l'annuaire Active Directory requiert STARTTLS et que
l'annuaire.
e Entrez le nom du domaine Active Directory à joindre. Entrez un nom
d'utilisateur et un mot de passe disposant des droits pour joindre le
domaine. Voir « Autorisations requises pour joindre un domaine »,
page 55 pour obtenir plus d'informations.
f Dans le champ UPN de l'utilisateur Bind, entrez le nom principal de
l'utilisateur pouvant s'authentifier dans le domaine. Par exemple,
username@example.com.
g Entrez le mot de passe de l'utilisateur Bind.
5 Cliquez sur Enregistrer et Suivant.
La page contenant la liste de domaines apparaît.
58 VMware, Inc.
6 Pour Active Directory via LDAP, les domaines sont signalés par une coche.
Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent être
associés à cette connexion Active Directory.
Remarque Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne le

détecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connecteur doit
quitter, puis rejoindre le domaine. Lorsque le connecteur rejoint le domaine, le domaine d'approbation
apparaît dans la liste.
7 Vérifiez que les noms d'attribut de l'annuaire VMware Identity Manager sont mappés aux attributs
Active Directory corrects et apportez des modifications, si nécessaire, puis cliquez sur Suivant.
8 Sélectionnez les groupes que vous souhaitez synchroniser entre Active Directory et l'annuaire
Option Description
Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et
sélectionnez les groupes situés en dessous.
a Cliquez sur + et spécifiez le ND du groupe. Par exemple,
CN=users,DC=example,DC=company,DC=com.
Important Spécifiez des ND du groupe qui se trouvent sous le nom
unique de base que vous avez entré. Si un ND du groupe se trouve en
dehors du nom unique de base, les utilisateurs de ce ND seront
synchronisés, mais ne pourront pas se connecter.
b Cliquez sur Rechercher des groupes.
La colonne Groupes à synchroniser répertorie le nombre de groupes

trouvés dans le ND.
c Pour sélectionner tous les groupes dans le ND, cliquez sur
Sélectionner tout, sinon cliquez sur Sélectionner et sélectionnez les
groupes spécifiques à synchroniser.
Remarque Lorsque vous synchronisez un groupe, les utilisateurs ne
disposant pas d'Utilisateurs de domaine comme groupe principal dans
Active Directory ne sont pas synchronisés.
Synchroniser les membres du L'option Synchroniser les membres du groupe imbriqué est activée par
groupe imbriqué défaut. Lorsque cette option est activée, tous les utilisateurs qui
appartiennent directement au groupe que vous sélectionnez, ainsi que les
utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe,
sont synchronisés. Notez que les groupes imbriqués ne sont pas
synchronisés ; seuls les utilisateurs qui appartiennent aux groupes
imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces
utilisateurs seront des membres du groupe parent que vous avez
sélectionné pour la synchronisation.
Si l'option Synchroniser les membres du groupe imbriqué est désactivée,
lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui
appartiennent directement à ce groupe sont synchronisés. Les utilisateurs
qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas
synchronisés. La désactivation de cette option est utile pour les
configurations Active Directory importantes pour lesquelles parcourir une
arborescence de groupes demande beaucoup de ressources et de temps. Si
vous désactivez cette option, veillez à sélectionner tous les groupes dont
vous voulez synchroniser les utilisateurs.
VMware, Inc. 59
10 Spécifiez des utilisateurs supplémentaires à synchroniser, si nécessaire.
a Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrez

Important Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vous
avez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ce
ND seront synchronisés, mais ne pourront pas se connecter.
b (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types
d'utilisateurs.
Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.
12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchronisent avec l'annuaire et
pour voir le planning de synchronisation.
13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation avec l'annuaire.
La connexion à Active Directory est établie et les utilisateurs et les groupes sont synchronisés entre Active
Directory et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle
d'administrateur dans VMware Identity Manager par défaut.
Suivant
n Si vous avez créé un annuaire qui prend en charge l'emplacement du service DNS, un fichier
domain_krb.properties a été créé et rempli automatiquement avec une liste de contrôleurs de domaine.
Affichez le fichier pour vérifier ou modifier la liste de contrôleurs de domaine. Voir « À propos de la
sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 49.
n Configurez les méthodes d'authentification. Une fois les utilisateurs et groupes synchronisés avec
l'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer des
méthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identité
d'authentification, configurez ce dernier dans le connecteur.
n Examinez la stratégie d'accès par défaut. La stratégie d'accès par défaut est configurée de manière à
permettre à tous les dispositifs de l'ensemble des plages réseau d'accéder au navigateur Web, avec un
délai d'expiration de session défini à 8 heures ou pour accéder à une application cliente ayant un délai
d'expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défaut
et lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies.
n Appliquez des informations de marque à la console d'administration, aux pages du portail utilisateur et
à l'écran de connexion.
Autoriser les utilisateurs à modifier des mots de passe Active Directory

Vous pouvez permettre aux utilisateurs de modifier leurs mots de passe Active Directory à partir du portail
ou de l'application Workspace ONE à n'importe quel moment. Les utilisateurs peuvent également
réinitialiser leurs mots de passe Active Directory sur la page de connexion de VMware Identity Manager si
le mot de passe a expiré ou si l'administrateur Active Directory a réinitialisé le mot de passe, ce qui force
l'utilisateur à modifier le mot de passe lors de la prochaine connexion.
Activez cette option par répertoire, en sélectionnant l'option Autoriser la modification du mot de passe sur
la page Paramètres de répertoire.
60 VMware, Inc.
Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en
cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en
cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent
modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.
Les mots de passe expirés ou les mots de passe réinitialisés par l'administrateur dans Active Directory
peuvent être modifiés sur la page de connexion. Lorsqu'un utilisateur tente de se connecter avec un mot de
passe expiré, il est invité à le réinitialiser. L'utilisateur doit entrer l'ancien mot de passe ainsi que le nouveau
mot de passe.
Les exigences du nouveau mot de passe sont déterminées par la stratégie de mot de passe d'Active
Directory. Le nombre de tentatives autorisées dépend également de la stratégie de mot de passe d'Active
Directory.
Les limites suivantes s'appliquent.
n Si vous utilisez des dispositifs virtuels de connecteur autonomes supplémentaires, notez que l'option
Autoriser la modification du mot de passe n'est disponible qu'avec le connecteur version 2016.11.1 et
ultérieures.
n Lorsqu'un répertoire est ajouté à VMware Identity Manager en tant que catalogue global, l'option
Autoriser la modification du mot de passe n'est pas disponible. Il est possible d'ajouter des répertoires
en tant qu'annuaires Active Directory sur LDAP ou Authentification Windows intégrée, à l'aide des
ports 389 ou 636.
n Le mot de passe d'un utilisateur de nom unique de liaison ne peut pas être réinitialisé à partir de
VMware Identity Manager, même s'il expire ou si l'administrateur Active Directory le réinitialise.
n Les mots de passe d'utilisateurs dont les noms de connexion comportent des caractères multioctets
(caractères non-ASCII) ne peuvent pas être réinitialisés à partir de VMware Identity Manager.
Prérequis
n Le port 464 doit être ouvert entre VMware Identity Manager et les contrôleurs de domaine.
Procédure
2 Dans l'onglet Répertoires, cliquez sur le répertoire.

3 Dans la section Autoriser la modification du mot de passe, cochez la case Activer la modification du
mot de passe.
4 Entrez le mot de passe de nom unique de liaison dans la section Détails de l'utilisateur Bind et cliquez
sur Enregistrer.
Intégration à des annuaires LDAP

Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser des
utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager.
Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 46.
VMware, Inc. 61
Limites de l'intégration d'annuaire LDAP

Les limites suivantes s'appliquent actuellement à la fonctionnalité d'intégration d'annuaire LDAP.
n Vous ne pouvez intégrer qu'un environnement d'annuaire LDAP à un seul domaine.
Pour intégrer plusieurs domaines à partir d'un annuaire LDAP, vous devez créer des annuaires
VMware Identity Manager supplémentaires, un pour chaque domaine.
n Les méthodes d'authentification suivantes ne sont pas prises en charge pour les annuaires
VMware Identity Manager de type LDAP.
n authentification Kerberos
n RSA Adaptive Authentication
n ADFS en tant que fournisseur d'identité tiers
n SecurID
n Authentification Radius avec serveur Vasco et SMS Passcode
n Vous ne pouvez pas joindre un domaine LDAP.
n L'intégration à des ressources View ou publiées Citrix n'est pas prise en charge pour les annuaires
VMware Identity Manager de type LDAP.
n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace,
l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.
n Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des
attributs comme requis sur la page Attributs utilisateur, à l'exception de userName, qui peut être
marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires
dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas
synchronisés avec le service VMware Identity Manager.
n Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez
spécifier des noms uniques dans le service VMware Identity Manager. Vous pouvez spécifier les noms
lorsque vous sélectionnez les groupes à synchroniser.
n L'option pour autoriser les utilisateurs à réinitialiser leurs mots de passe expirés n'est pas disponible.
n Le fichier domain_krb.properties n'est pas pris en charge.
Intégrer un annuaire LDAP au service

Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser des
utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager.
Pour intégrer votre annuaire LDAP, vous créez un annuaire VMware Identity Manager correspondant et
synchronisez les utilisateurs et les groupes depuis votre annuaire LDAP vers l'annuaire
VMware Identity Manager. Vous pouvez configurer un planning de synchronisation régulier pour les mises
à jour suivantes.
De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les
mappez aux attributs VMware Identity Manager.
La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou vous pouvez avoir
créé des schémas personnalisés. Vous pouvez également avoir défini des attributs personnalisés. Pour que
VMware Identity Manager puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou
de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre
annuaire LDAP.
62 VMware, Inc.
En particulier, vous devez fournir les informations suivantes.
n Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind
n Noms d'attribut LDAP pour l'appartenance au groupe, l'UUID et le nom unique
Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Voir « Limites de

l'intégration d'annuaire LDAP », page 62.
Prérequis
n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que la capacité à
intégrer des répertoires LDAP n'est disponible qu'avec le connecteur version 2016.6.1 et ultérieures.
n Examinez les attributs sur la page Identité et gestion de l'accès > Configuration > Attributs utilisateur
et ajoutez des attributs supplémentaires que vous voulez synchroniser. Vous mappez ces attributs de
VMware Identity Manager aux attributs de votre annuaire LDAP ultérieurement lorsque vous créez
l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire.
Remarque Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres
annuaires dans le service. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à
ne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué comme
requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service.
Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le
service VMware Identity Manager.
n Un compte d'utilisateur de nom unique de liaison. Il est recommandé d'utiliser un compte d'utilisateur
de nom unique de liaison avec un mot de passe sans date d'expiration.
n Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut.
n Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes.
Vous mappez cet attribut à l'attribut VMware Identity Manager domain lorsque vous créez l'annuaire
n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace,
l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.
n Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les
attributs userPrincipalName et d'adresse électronique.
Procédure
2 Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire LDAP.
VMware, Inc. 63
3 Entrez les informations requises sur la page Ajouter un annuaire LDAP.
Option Description
Nom du répertoire Un nom pour l'annuaire de VMware Identity Manager.
Synchronisation et authentification a Dans le champ Synchroniser le connecteur, sélectionnez le connecteur
du répertoire que vous voulez utiliser pour synchroniser des utilisateurs et des
groupes de l'annuaire LDAP avec l'annuaire

VMware Identity Manager par défaut. Ce connecteur apparaît dans la
liste déroulante. Si vous installez plusieurs dispositifs
VMware Identity Manager pour la haute disponibilité, le composant
de connecteur de chaque dispositif apparaît dans la liste.
Vous n'avez pas besoin d'un connecteur séparé pour un annuaire

LDAP. Un connecteur peut prendre en charge plusieurs annuaires,
qu'il s'agisse d'annuaires Active Directory ou LDAP.
Pour les scénarios dans lesquels vous avez besoin de connecteurs

supplémentaires, consultez la section « Installation de dispositifs de
connecteur supplémentaires » dans le Guide d'installation de VMware
Identity Manager.
b Dans le champ Authentification, si vous voulez utiliser cet annuaire
LDAP pour authentifier des utilisateurs, sélectionnez Oui.
Si vous voulez utiliser un fournisseur d'identité tiers pour authentifier

des utilisateurs, sélectionnez Non. Après avoir ajouté la connexion
d'annuaire pour synchroniser les utilisateurs et les groupes, accédez à
la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité
pour ajouter le fournisseur d'identité tiers à des fins d'authentification.
c Dans le champ Attribut de recherche d'annuaire, spécifiez l'attribut
d'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'est
pas répertorié, sélectionnez Personnalisé et tapez le nom de l'attribut.
Par exemple, cn.
Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôte
de serveur, vous pouvez spécifier le nom de domaine complet ou l'adresse
IP. Par exemple : myLDAPserver.example.com ou 100.00.00.0.
Si vous disposez d'un cluster de serveurs derrière un équilibrage de
charge, entrez les informations de ce dernier à la place.
64 VMware, Inc.
Option Description
Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP que
VMware Identity Manager peut utiliser pour interroger votre annuaire
LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP
principal.
Requêtes LDAP
n Obtenir des groupes : filtre de recherche pour obtenir des objets de
groupe.
Par exemple : (objectClass=group)

n Obtenir l'utilisateur Bind : filtre de recherche pour obtenir l'objet
d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaison à
l'annuaire.
Par exemple : (objectClass=person)

n Obtenir l'utilisateur : filtre de recherche pour obtenir des utilisateurs à
synchroniser.
Par exemple :(&(objectClass=user)(objectCategory=person))

Attributs
n Appartenance : attribut utilisé dans votre annuaire LDAP pour définir
les membres d'un groupe.
Par exemple : membre

n UUID d'objet : attribut utilisé dans votre annuaire LDAP pour définir
l'UUID d'un utilisateur ou d'un groupe.
Par exemple : entryUUID

n Nom unique : attribut utilisé dans votre annuaire LDAP pour le nom
unique d'un utilisateur ou d'un groupe.
Par exemple : entryDN

Certificats Si votre annuaire LDAP requiert un accès sur SSL, sélectionnez Cet
annuaire exige que toutes les connexions utilisent SSL, copiez et collez le
certificat SSL d'autorité de certification racine du serveur d'annuaire LDAP.
Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN
CERTIFICATE » et « END CERTIFICATE ».
Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel vous
souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com
Nom unique Bind : entrez le nom d'utilisateur à utiliser pour établir la
liaison à l'annuaire LDAP.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom
unique de liaison avec un mot de passe sans date d'expiration.
Mot de passe du nom unique de liaison : entrez le mot de passe de
l'utilisateur de nom unique de liaison.
4 Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion.
Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les modifications
nécessaires.
5 Cliquez sur Enregistrer et Suivant.
6 Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant.
7 Sur la page Mapper des attributs, vérifiez que les attributs de VMware Identity Manager sont mappés
aux bons attributs LDAP.
Important Vous devez spécifier un mappage pour l'attribut domain.
Vous pouvez ajouter des attributs à la liste sur la page Attributs utilisateur.
VMware, Inc. 65
9 Sur la page Groupes, cliquez sur + pour sélectionner les groupes que vous souhaitez synchroniser entre
l'annuaire LDAP et l'annuaire VMware Identity Manager.
Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez
spécifier des noms uniques sur la page des groupes.
L'option Synchroniser les utilisateurs du groupe imbriqué est activée par défaut. Lorsque cette option
est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi
que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez
que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux
groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs apparaissent en
tant que membres du groupe de niveau supérieur que vous avez sélectionné pour la synchronisation.
En effet, la hiérarchie sous un groupe sélectionné est aplatie et les utilisateurs de tous les niveaux
apparaissent dans VMware Identity Manager en tant que membres du groupe sélectionné.
Si cette option est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui
appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des
groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile
pour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupes
demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner
tous les groupes dont vous voulez synchroniser les utilisateurs.

11 Cliquez sur + pour ajouter des utilisateurs supplémentaires. Par exemple, entrez
Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vous
pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.
12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire et
pour voir le planning de synchronisation par défaut.
13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire.
La connexion à l'annuaire LDAP est établie et les utilisateurs et les groupes sont synchronisés entre
l'annuaire LDAP et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose
d'un rôle d'administrateur dans VMware Identity Manager par défaut.
Ajout d'un annuaire après la configuration du basculement et de la

redondance
Si vous ajoutez un nouvel annuaire au service VMware Identity Manager après avoir déjà déployé un cluster
pour la haute disponibilité, et que vous voulez que le nouvel annuaire fasse partie de la configuration haute
disponibilité, vous devez ajouter l'annuaire à tous les dispositifs dans votre cluster.
Vous faites cela en ajoutant le composant de connecteur de chaque instance de service au nouvel annuaire.
Procédure
2 Sélectionnez l'onglet Identité et gestion de l'accès, puis l'onglet Fournisseurs d'identité.
3 Sur la page Fournisseurs d'identité, recherchez le fournisseur d'identité du nouvel annuaire et cliquez
sur le nom du fournisseur d'identité.
66 VMware, Inc.
4 Dans le champ Nom d'hôte IdP, entrez le nom de domaine complet de l'équilibrage de charge, s'il n'est
pas déjà défini sur le nom de domaine complet correct de l'équilibrage de charge.
5 Dans le champ Connecteur(s), sélectionnez le connecteur à ajouter.
6 Entrez le mot de passe et cliquez sur Enregistrer.

7 Sur la page Fournisseurs d'identité, cliquez de nouveau sur le nom du fournisseur d'identité et vérifiez
que le champ Nom d'hôte IdP affiche le nom d'hôte correct. Le champ Nom d'hôte IdP doit afficher le
nom de domaine complet de l'équilibrage de charge. Si le nom est incorrect, entrez le nom de domaine
complet de l'équilibrage de charge et cliquez sur Enregistrer.
8 Répétez les étapes précédentes pour ajouter tous les connecteurs répertoriés dans le champ
Connecteur(s).
Remarque Après avoir ajouté chaque connecteur, vérifiez le nom d'hôte IdP et modifiez-le, si
nécessaire, comme décrit à l'étape 7.
L'annuaire est maintenant associé à tous les connecteurs dans votre déploiement.
VMware, Inc. 67
68 VMware, Inc.
Utilisation de répertoires locaux 5
Un répertoire local est l'un des types de répertoires que vous pouvez créer dans le service
VMware Identity Manager. Un répertoire local vous permet de provisionner des utilisateurs locaux dans le
service et de leur fournir un accès à des applications spécifiques, sans avoir à les ajouter à votre répertoire
d'entreprise. Un répertoire local n'est pas connecté à un répertoire d'entreprise et les utilisateurs et les
groupes ne sont pas synchronisés à partir d'un répertoire d'entreprise. Au lieu de cela, vous créez des
utilisateurs locaux directement dans le répertoire local.
Un répertoire local par défaut, nommé Répertoire système, est disponible dans le service. Vous pouvez
également créer plusieurs répertoires locaux.
Répertoire système
Le répertoire système est un répertoire local créé automatiquement dans le service lors de sa première
configuration. Ce répertoire dispose du domaine Domaine système. Vous ne pouvez pas modifier le nom ou
le domaine du répertoire système, ni lui ajouter de nouveaux domaines. Vous ne pouvez pas non plus
supprimer le répertoire système ou le domaine système.
L'utilisateur administrateur local créé lorsque vous configurez le dispositif VMware Identity Managerpour
la première fois est créé dans le domaine système du répertoire système.
Vous pouvez ajouter d'autres utilisateurs au répertoire système. Le répertoire système est en général utilisé
pour configurer quelques utilisateurs administrateurs locaux afin de gérer le service. Pour provisionner des
utilisateurs finaux et des administrateurs supplémentaires et les autoriser à accéder à des applications, il est
recommandé de créer un répertoire local.
Répertoires locaux
Vous pouvez créer plusieurs répertoires locaux. Chaque répertoire local peut disposer d'un ou de plusieurs
domaines. Lorsque vous créez un utilisateur local, vous spécifiez le répertoire et le domaine pour
l'utilisateur.
Vous pouvez également sélectionner des attributs pour tous les utilisateurs dans un répertoire local. Les
attributs utilisateur tels que userName, lastName et firstName, sont spécifiés au niveau global dans le
service VMware Identity Manager. Une liste par défaut d'attributs est disponible et vous pouvez ajouter des
attributs personnalisés. Des attributs utilisateur globaux s'appliquent à tous les répertoires dans le service, y
compris les répertoires locaux. Au niveau du répertoire local, vous pouvez sélectionner les attributs qui sont
obligatoires pour le répertoire. Cela vous permet de disposer d'un ensemble personnalisé d'attributs pour
différents répertoires locaux. Notez que les attributs userName, lastName, firstName et email sont toujours
obligatoires pour les répertoires locaux.
Remarque La capacité de personnaliser les attributs utilisateur au niveau du répertoire n'est disponible
que pour les répertoires locaux, pas pour les répertoires Active Directory ou LDAP.
VMware, Inc. 69
Il est utile de créer des répertoires locaux dans les scénarios suivants.
n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie de
votre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour des partenaires,
qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accès uniquement
aux applications spécifiques dont ils ont besoin.
n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ou
méthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer un
répertoire local pour des distributeurs avec des attributs utilisateur tels que région et taille de marché, et
un autre répertoire local pour les fournisseurs avec des attributs utilisateur tels que catégorie de produit
et type de fournisseur.
Fournisseur d'identité pour un répertoire système et des répertoires

locaux
Par défaut, le répertoire système est associé à un fournisseur d'identité nommé Fournisseur d'identité
système. La méthode Mot de passe (Cloud Directory) est activée par défaut sur ce fournisseur d'identité et
s'applique à la stratégie default_access_policy_set pour la plage réseau TOUTES LES PLAGES et le type de
périphérique Navigateur Web. Vous pouvez configurer des méthodes d'authentification supplémentaires et
définir des stratégies d'authentification.
Lorsque vous créez un répertoire local, il n'est associé à aucun fournisseur d'identité. Après avoir créé le
répertoire, créez un fournisseur d'identité de type Incorporé et associez-le au répertoire. Activez la méthode
d'authentification Mot de passe (Cloud Directory) sur le fournisseur d'identité. Plusieurs répertoires locaux
peuvent être associés au même fournisseur d'identité.
Le connecteur VMware Identity Manager n'est pas requis pour le répertoire système ou pour les répertoires
locaux que vous créez.
Pour plus d'informations, consultez « Configuration de l'authentification utilisateur dans VMware Identity
Manager » dans Administration de VMware Identity Manager.
Gestion des mots de passe pour les utilisateurs du répertoire local

Par défaut, tous les utilisateurs de répertoires locaux ont la capacité de modifier leur mot de passe dans le
portail ou l'application Workspace ONE. Vous pouvez définir une stratégie de mot de passe pour des
utilisateurs locaux. Vous pouvez également réinitialiser des mots de passe d'utilisateur local, si nécessaire.
Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en
cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en
cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent
modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.
Pour plus d'informations sur la définition de stratégies de mot de passe et sur la réinitialisation des mots de
passe d'utilisateur local, consultez « Gestion des utilisateurs et des groupes » dans Administration de VMware
Identity Manager.
n « Création d'un répertoire local », page 70
n « Modification des paramètres du répertoire local », page 75
n « Suppression d'un répertoire local », page 76
Création d'un répertoire local

Pour créer un répertoire local, spécifiez les attributs utilisateur pour le répertoire, créez le répertoire et
identifiez-le avec un fournisseur d'identité.
70 VMware, Inc.
Chapitre 5 Utilisation de répertoires locaux
1 Définir des attributs utilisateur au niveau global page 71

Avant de créer un répertoire local, examinez les attributs utilisateur globaux sur la page Attributs
utilisateur et ajoutez des attributs personnalisés, si nécessaire.
2 Créer un répertoire local page 72

Après avoir examiné et défini des attributs utilisateur globaux, créez le répertoire local.
3 Associer le répertoire local à un fournisseur d'identité page 74

Associez le répertoire local à un fournisseur d'identité de sorte que les utilisateurs dans le répertoire
puissent être authentifiés. Créez un fournisseur d'identité de type Incorporé et activez la méthode
d'authentification Mot de passe (répertoire local) dessus.
Définir des attributs utilisateur au niveau global

Avant de créer un répertoire local, examinez les attributs utilisateur globaux sur la page Attributs utilisateur
et ajoutez des attributs personnalisés, si nécessaire.
Les attributs utilisateur, tels que firstName, lastName, email et domain, font partie du profil d'un utilisateur.
Dans le service VMware Identity Manager, des attributs utilisateur sont définis au niveau global et
s'appliquent à tous les répertoires dans le service, notamment des répertoires locaux. Au niveau du
répertoire local, vous pouvez remplacer si un attribut est obligatoire ou facultatif pour les utilisateurs dans
ce répertoire local, mais vous ne pouvez pas ajouter d'attributs personnalisés. Si un attribut est obligatoire,
vous devez lui fournir une valeur lorsque vous créez un utilisateur.
Les mots suivants ne peuvent pas être utilisés lorsque vous créez des attributs personnalisés.
Tableau 5‑1. Mots à ne pas utiliser comme noms d'attribut personnalisé
active addresses costCenter
department displayName division
emails employeeNumber droits
externalId groupes id
ims locale manager
meta name nickName
organization mot de passe phoneNumber
photos preferredLanguage profileUrl
rôles timezone title
userName userType x509Certificate
Remarque La capacité de remplacer les attributs utilisateur au niveau du répertoire ne s'applique qu'aux
répertoires locaux, pas aux répertoires Active Directory ou LDAP.
Procédure
2 Cliquez sur Configuration, puis sur l'onglet Attributs utilisateur.
3 Examinez la liste d'attributs utilisateur et ajoutez des attributs supplémentaires, si nécessaire.
Remarque Même si la page vous permet de choisir quels attributs sont obligatoires, il vous est
recommandé de faire la sélection des répertoires locaux au niveau du répertoire local. Si un attribut est
marqué comme obligatoire sur cette page, il s'applique à tous les répertoires dans le service, y compris
les répertoires Active Directory ou LDAP.
VMware, Inc. 71
Suivant
Créez le répertoire local.
Créer un répertoire local

Après avoir examiné et défini des attributs utilisateur globaux, créez le répertoire local.
Procédure
1 Dans la console d'administration, cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet
Répertoires.
2 Cliquez sur Ajouter un répertoire et sélectionnez Ajouter un répertoire d'utilisateur local dans le
menu déroulant.
3 Sur la page Ajouter un répertoire, entrez un nom de répertoire et spécifiez au moins un nom de
domaine.
Le nom de domaine doit être unique dans tous les répertoires du service.
Par exemple :
72 VMware, Inc.
5 Sur la page Répertoires, cliquez sur le nouveau répertoire.
6 Cliquez sur l'onglet Attributs utilisateur.
Tous les attributs de la page Identité et gestion de l'accès > Configuration > Attributs utilisateur sont
répertoriés pour le répertoire local. Les attributs marqués comme obligatoires sur cette page le sont
également sur la page Répertoire local.
7 Personnalisez les attributs pour le répertoire local.
Vous pouvez spécifier les attributs qui sont obligatoires et ceux qui sont facultatifs. Vous pouvez
également modifier l'ordre d'affichage des attributs.
Important Les attributs userName, firstName, lastName et email sont toujours obligatoires pour les
répertoires locaux.
n Pour rendre un attribut obligatoire, cochez la case à côté du nom d'attribut.
n Pour rendre un attribut facultatif, décochez la case à côté du nom d'attribut.
n Pour modifier l'ordre des attributs, cliquez sur l'attribut et faites-le glisser vers le nouvel
emplacement.
Si un attribut est obligatoire, lorsque vous créez un utilisateur, vous devez spécifier une valeur pour
l'attribut.
Par exemple :
VMware, Inc. 73
Suivant
Associez le répertoire local au fournisseur d'identité que vous voulez utiliser pour authentifier des
utilisateurs dans le répertoire.
Associer le répertoire local à un fournisseur d'identité

Associez le répertoire local à un fournisseur d'identité de sorte que les utilisateurs dans le répertoire
puissent être authentifiés. Créez un fournisseur d'identité de type Incorporé et activez la méthode
d'authentification Mot de passe (répertoire local) dessus.
Remarque N'utilisez pas le fournisseur d'identité Intégré. Il n'est pas recommandé d'activer la méthode
d'authentification Mot de passe (répertoire local) sur le fournisseur d'identité Intégré.
Procédure
1 Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet Fournisseurs d'identité.
2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP intégré.
3 Entrez les informations suivantes.
Option Description
Nom du fournisseur d'identité Entrez un nom pour le fournisseur d'identité.
Utilisateurs Sélectionnez le répertoire local que vous avez créé.
Réseau Sélectionnez les réseaux depuis lesquels vous pouvez accéder à ce
fournisseur d'identité.
Méthodes d'authentification Sélectionnez Mot de passe (répertoire local).
Exportation de certificat KDC Vous n'avez pas besoin de télécharger le certificat, sauf si vous configurez
Mobile SSO pour des périphériques iOS gérés par AirWatch.
74 VMware, Inc.
4 Cliquez sur Ajouter.
Le fournisseur d'identité est créé et associé au répertoire local. Ultérieurement, vous pouvez configurer
d'autres méthodes d'authentification sur le fournisseur d'identité. Pour plus d'informations sur
l'authentification, consultez « Configuration de l'authentification utilisateur dans VMware Identity
Manager » dans Administration de VMware Identity Manager.
Vous pouvez utiliser le même fournisseur d'identité pour plusieurs répertoires locaux.
Suivant
Créez des utilisateurs et des groupes locaux. Vous créez des utilisateurs et des groupes locaux dans l'onglet
Utilisateurs et groupes de la console d'administration. Pour plus d'informations, consultez « Gestion des
utilisateurs et des groupes » dans Administration de VMware Identity Manager.
Modification des paramètres du répertoire local

Une fois que vous avez créé un répertoire local, vous pouvez modifier ses paramètres à tout moment.
Vous pouvez modifier les paramètres suivants.
n Modifier le nom du répertoire.
n Ajouter, supprimer ou renommer des domaines.
n Les noms de domaine doivent être uniques dans tous les répertoires du service.
n Lorsque vous modifiez un nom de domaine, les utilisateurs qui étaient associés à l'ancien domaine
sont associés au nouveau domaine.
n Le répertoire doit contenir au moins un domaine.
n Vous ne pouvez pas ajouter un domaine au répertoire système ou supprimer le répertoire système.
n Ajouter de nouveaux attributs utilisateur ou rendre un attribut existant obligatoire ou facultatif.
n Si le répertoire local ne contient pas encore d'utilisateurs, vous pouvez ajouter de nouveaux
attributs avec l'état facultatif ou obligatoire, et rendre des attributs existants obligatoires ou
facultatifs.
VMware, Inc. 75
n Si vous avez déjà créé des utilisateurs dans le répertoire local, vous pouvez ajouter de nouveaux
attributs en tant qu'attributs facultatifs uniquement, et rendre facultatifs des attributs existants
obligatoires. Vous ne pouvez pas rendre obligatoire un attribut facultatif une fois que les
utilisateurs ont été créés.
n Les attributs userName, firstName, lastName et email sont toujours obligatoires pour les
répertoires locaux.
n Comme les attributs utilisateur sont définis au niveau global dans le service VMware Identity
Manager, les nouveaux attributs que vous ajoutez apparaissent dans tous les répertoires du service.
n Changer l'ordre d'apparition des attributs.
Procédure
2 Sur la page Répertoires, cliquez sur le répertoire que vous voulez modifier.
3 Modifiez les paramètres du répertoire local.
Option Action
Modifier le nom du répertoire a Dans l'onglet Paramètres, modifiez le nom du répertoire.
b Cliquez sur Enregistrer.
Ajouter, supprimer ou renommer un a Dans l'onglet Paramètres, modifiez la liste Domaines.
domaine b Pour ajouter un domaine, cliquez sur l'icône verte représentant le signe
plus.
c Pour supprimer un domaine, cliquez sur l'icône de suppression rouge.
d Pour renommer un domaine, modifiez le nom de domaine dans la
zone de texte.
Ajouter des attributs utilisateur au a Cliquez sur l'onglet Identité et gestion de l'accès et cliquez sur
répertoire Configuration.
b Cliquez sur l'onglet Attributs utilisateur.
c Ajoutez des attributs dans la liste Ajouter d'autres attributs à utiliser
et cliquez sur Enregistrer.
Rendre un attribut obligatoire ou a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet
facultatif pour le répertoire Répertoires.
b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributs
utilisateur.
c Cochez la case à côté d'un attribut pour le rendre obligatoire ou
décochez la case pour le rendre facultatif.
d Cliquez sur Enregistrer.
Modifier l'ordre des attributs a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet
Répertoires.
b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributs
utilisateur.
c Cliquez sur les attributs et faites-les glisser vers le nouvel
emplacement.
d Cliquez sur Enregistrer.
Suppression d'un répertoire local

Vous pouvez supprimer un répertoire local que vous avez créé dans le service VMware Identity Manager.
Vous ne pouvez pas supprimer le répertoire système, qui est créé par défaut lorsque vous configurez le
service pour la première fois.
Avertissement Lorsque vous supprimez un répertoire, tous les utilisateurs dans le répertoire sont
également supprimés du service.
76 VMware, Inc.
Procédure
1 Cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet Répertoires.
2 Cliquez sur le répertoire que vous voulez supprimer.
3 Sur la page Répertoire, cliquez sur Supprimer le répertoire.
VMware, Inc. 77
78 VMware, Inc.
Configuration avancée du dispositif
Après avoir réalisé l'installation basique du dispositif virtuel VMware Identity Manager, vous pourrez
devoir effectuer d'autres tâches de configuration, telles que l'activation d'un accès externe à
VMware Identity Manager et la configuration de la redondance.
Le diagramme de l'architecture de VMware Identity Manager montre comment vous pouvez déployer
l'environnement VMware Identity Manager. Voir Chapitre 1, « Préparation de l'installation de VMware
Identity Manager », page 9 pour un déploiement standard.
n « Utilisation d'un équilibrage de charge ou d'un proxy inverse pour activer l'accès externe à VMware
Identity Manager », page 79
n « Configuration du basculement et de la redondance dans un centre de données unique », page 83
n « Déploiement de VMware Identity Manager dans un centre de données secondaire pour le

basculement et la redondance », page 91
Utilisation d'un équilibrage de charge ou d'un proxy inverse pour

activer l'accès externe à VMware Identity Manager
Pendant le déploiement, le dispositif virtuel VMware Identity Manager est configuré à l'intérieur du réseau
interne. Si vous voulez fournir l'accès au service aux utilisateurs se connectant depuis des réseaux externes,
vous devez installer un équilibrage de charge ou un proxy inverse, tel qu'Apache, nginx ou F5, dans la zone
DMZ.
Si vous n'utilisez pas d'équilibrage de charge ou de proxy inverse, vous ne pouvez pas étendre le nombre de
dispositifs VMware Identity Manager ultérieurement. Vous devrez peut-être ajouter des dispositifs
supplémentaires pour mettre en place la redondance et l'équilibrage de charge. Le diagramme suivant
montre l'architecture de déploiement de base que vous pouvez utiliser pour activer l'accès externe.
VMware, Inc. 79
Figure 6‑1. Proxy d'équilibrage de charge externe avec une machine virtuelle
Utilisateurs externes
Équilibreur de charge externe

Nom d'hôte : VMware Identity Manager FQDN
Exemple d'adresse IP : 64.x.y.z
Port : Port de VMware Identity Manager
Les en-têtes X-Forwarded-For doivent être activés.
Pare-feu DMZ
Utilisateurs internes
Équilibreur de charge interne

Nom d'hôte : VMware Identity Manager FQDN
Port 443 Port 443 Exemple d'adresse IP : 10..x.y.z
Port : Port de VMware Identity Manager
Les en-têtes X-Forwarded-For doivent être activés.
VMware Identity Manager
Dispositif virtuel
Dispositif virtuel
Dispositif virtuel
Dispositif virtuel
Spécifiez le nom de domaine complet de VMware Identity Manager pendant le

déploiement.
Pendant le déploiement de la machine virtuelle VMware Identity Manager , vous devez entrer le FQDN et le
numéro du port de VMware Identity Manager . Ces valeurs doivent pointer vers le nom d'hôte auquel vous
voulez que les utilisateurs finaux accèdent.
La machine virtuelle VMware Identity Manager s'exécute toujours sur le port 443. Vous pouvez utiliser un
autre numéro de port pour l'équilibreur de charge. Si vous utilisez un numéro de port différent, vous devez
le spécifier au moment du déploiement.
Paramètres de l'équilibrage de charge à configurer

Les paramètres d'équilibrage de charge à configurer incluent l'activation des en-têtes X-Forwarded-For, la
définition correcte du délai d'expiration de l'équilibrage de charge et l'activation des Sticky sessions. En
outre, la relation d'approbation SSL doit être configurée entre le dispositif virtuel VMware Identity Manager
et l'équilibrage de charge.
n En-têtes X-Forwarded-For
Vous devez activer les en-têtes X-Forwarded-For sur votre équilibrage de charge. Cela détermine la
méthode d'authentification. Consultez la documentation du fournisseur de votre équilibreur de charge
pour plus d'informations.
80 VMware, Inc.
Chapitre 6 Configuration avancée du dispositif VMware Identity Manager
n Délai d'expiration de l'équilibreur de charge
Pour un bon fonctionnement de VMware Identity Manager, vous pouvez avoir besoin d'augmenter la
valeur par défaut du délai d'expiration des demandes d'équilibrage de charge. Cette valeur est définie
en minutes. Si le paramétrage du délai d'expiration est trop bas, cette erreur peut se produire : « Erreur
502 : Le service est actuellement indisponible. »
n Activer les sessions rémanentes
Vous devez activer le paramètre de session rémanente sur l'équilibrage de charge si votre déploiement
dispose de plusieurs dispositifs VMware Identity Manager. L'équilibrage de charge établit ensuite une
liaison entre la session d'un utilisateur et une instance spécifique.
Appliquer le certificat racine de VMware Identity Manager à l'équilibrage de

charge
Lorsque le dispositif virtuel VMware Identity Manager est configuré avec un équilibrage de charge, vous
devez établir la relation d'approbation SSL entre l'équilibrage de charge et VMware Identity Manager. Le
certificat racine de VMware Identity Manager doit être copié dans l'équilibrage de charge.
Le certificat VMware Identity Manager peut être téléchargé depuis la console d'administration, sur la page
Paramètres du dispositif > Configuration VA > Gérer la configuration.
Si le nom de domaine complet de VMware Identity Manager pointe vers un équilibrage de charge, le
certificat SSL peut uniquement être appliqué à cet équilibrage de charge.
Dans la mesure où l'équilibrage de charge communique avec le dispositif virtuel

VMware Identity Manager , vous devez copier le certificat de l'autorité de certification racine de
VMware Identity Manager dans l'équilibrage de charge en tant que certificat de confiance racine.
Procédure
1 Dans la console d'administration, sélectionnez l'onglet Paramètres du dispositif et sélectionnez
Configuration VA.
3 Sélectionnez Installer le certificat.
4 Sélectionnez l'onglet Interrompre SSL sur un équilibrage de charge et, dans le champ Certificat de
l'autorité de certification racine du dispositif, cliquez sur le lien
https://hostname/horizon_workspace_rootca.pem.
5 Copiez tout ce qui se trouve entre les lignes -----BEGIN CERTIFICATE----- et -----END
CERTIFICATE----, en incluant celles-ci, et collez le certificat racine à l'emplacement adéquat sur chacun
de vos équilibrages de charge. Reportez-vous à la documentation fournie par votre fournisseur
d'équilibrage de charge.
VMware, Inc. 81
Suivant
Copiez et collez le certificat racine de l'équilibrage de charge sur le dispositif
VMware Identity Managerconnecteur.
Appliquer le certificat racine d'équilibrage de charge à

VMware Identity Manager
Lorsque le dispositif virtuel VMware Identity Manager est configuré avec un équilibrage de charge, vous
devez établir la relation d'approbation entre l'équilibrage de charge et VMware Identity Manager. En plus
de copier le certificat racine de VMware Identity Manager sur l'équilibrage de charge, vous devez copier le
certificat racine de l'équilibrage de charge sur VMware Identity Manager.
Procédure
1 Obtenez le certificat racine de l'équilibrage de charge.
2 Dans la console d'administration de VMware Identity Manager, sélectionnez l'onglet Paramètres du

dispositif et sélectionnez Configuration VA.
4 Connectez-vous avec le mot de passe de l'utilisateur administrateur.

5 Sur la page Installer le certificat, sélectionnez l'onglet Interrompre SSL sur un équilibrage de charge.
6 Copiez le texte du certificat de l'équilibrage de charge dans le champ Certificat d'autorité de

certification racine.
Paramétrage du serveur proxy pour VMware Identity Manager

Le dispositif virtuel VMware Identity Manager accède au catalogue d'applications Cloud et à d'autres
services Web sur Internet. Si votre configuration réseau fournit un accès à Internet via un proxy HTTP, vous
devez régler les paramètres de votre proxy sur le dispositif VMware Identity Manager.
Autorisez uniquement la gestion du trafic Internet sur votre serveur proxy. Pour vous assurer que le serveur
proxy est correctement configuré, définissez le paramètre du trafic interne sur no-proxy dans le domaine.
Remarque Les serveurs proxy qui requièrent l'authentification ne sont pas pris en charge.
82 VMware, Inc.
Procédure
1 Dans vSphere Client, connectez-vous en tant qu'utilisateur racine au dispositif virtuel
2 Entrez YaST sur la ligne de commande pour exécuter l'utilitaire YaST.

3 Sélectionnez Services réseau dans le volet de gauche, puis sélectionnez Proxy.
4 Entrez les URL du serveur proxy dans les champs URL de proxy HTTP et URL de proxy HTTPS.
5 Sélectionnez Terminer et quittez l'utilitaire YaST.
6 Redémarrez le serveur Tomcat sur le dispositif virtuel VMware Identity Manager pour utiliser les
nouveaux paramètres de proxy.
Le catalogue d'applications Cloud et autres services Web sont désormais disponibles dans
Configuration du basculement et de la redondance dans un centre de

données unique
Pour atteindre le basculement et la redondance, vous pouvez ajouter plusieurs dispositifs virtuels
VMware Identity Manager dans un cluster. Si l'un des dispositifs virtuels workspace-va s'arrête sans raison,
VMware Identity Manager est toujours disponible.
Vous commencez par installer et configurer un dispositif virtuel VMware Identity Manager, puis vous le
clonez. Le clonage du dispositif virtuel crée un double du dispositif virtuel avec la même configuration que
le dispositif d'origine. Vous pouvez personnaliser le dispositif virtuel cloné pour changer son nom, ses
paramètres réseau et ses autres propriétés au besoin.
Avant de cloner le dispositif virtuel VMware Identity Manager, vous devez le configurer derrière un
équilibrage de charge et modifier son nom de domaine complet (FQDN) pour qu'il corresponde à celui de
l'équilibrage de charge. De plus, terminez la configuration d'annuaire dans le service
VMware Identity Manager avant de cloner le dispositif.
Après le clonage, attribuez au dispositif virtuel cloné une nouvelle adresse IP avant sa mise sous tension.
L'adresse IP du dispositif virtuel cloné doit respecter les mêmes recommandations que l'adresse IP du
dispositif virtuel d'origine. L'adresse IP doit renvoyer vers un nom d'hôte valide à l'aide de la résolution
DNS normale et inverse.
Tous les nœuds du cluster VMware Identity Manager sont identiques et des copies pratiquement sans état
les uns des autres. La synchronisation avec Active Directory et les ressources configurées, notamment View
ou ThinApp, est désactivée sur les dispositifs virtuels clonés.
1 Nombre de nœuds recommandé dans le cluster VMware Identity Manager page 84

Il est recommandé de configurer un cluster VMware Identity Manager avec trois nœuds.
2 Modifier le nom de domaine complet de VMware Identity Manager par celui de l'équilibrage de
charge page 84
Avant de cloner le dispositif virtuel VMware Identity Manager, vous devez modifier son nom de
domaine complet (FQDN) pour qu'il corresponde à celui de l'équilibrage de charge.
3 Cloner le dispositif virtuel page 85
4 Attribuer une nouvelle adresse IP à un dispositif virtuel cloné page 86

Vous devez attribuer une nouvelle adresse IP à chaque dispositif virtuel cloné avant sa mise sous
tension. Cette adresse IP doit être résolvable dans le DNS. Si l'adresse IP ne se trouve pas dans le DNS
inversé, vous devez également attribuer le nom d'hôte.
5 Activation de la synchronisation d'annuaire sur une autre instance de en cas d'échec page 88
VMware, Inc. 83
6 Supprimer un nœud d'un cluster page 89

Si un nœud dans le cluster VMware Identity Manager ne fonctionne pas correctement et vous ne
parvenez pas à récupérer, vous pouvez le supprimer du cluster avec la commande Supprimer le
nœud. La commande supprime les entrées de nœud de la base de données VMware Identity Manager.
Nombre de nœuds recommandé dans le cluster VMware Identity Manager

Il est recommandé de configurer un cluster VMware Identity Manager avec trois nœuds.
Le dispositif VMware Identity Manager inclut Elasticsearch, un moteur de recherche et d'analyse.

Elasticsearch présente une limite connue avec les clusters de deux nœuds. Pour voir une description de la
limite « Split Brain » d'Elasticsearch, consultez la documentation d'Elasticsearch. Notez que vous n'avez pas
besoin de configurer les paramètres d'Elasticsearch.
Un cluster VMware Identity Manager avec deux nœuds fournit une capacité de basculement avec quelques
limites liées à Elasticsearch. Si l'un des nœuds s'arrête, les limites suivantes s'appliquent jusqu'à ce que le
nœud soit réactivé :
n Le tableau de bord n'affiche aucune donnée.
n La plupart des rapports ne sont pas disponibles.
n Les informations du journal de synchronisation ne s'affichent pas pour les annuaires.
n Le champ de recherche dans le coin supérieur droit de la console d'administration ne renvoie aucun
résultat.
n La saisie semi-automatique n'est pas disponible pour les champs de texte.
Il n'y a aucune perte des données pendant que le nœud est arrêté. Les données des événements d'audit et de
journal de synchronisation sont stockées et seront affichées lorsque le nœud sera restauré.
Modifier le nom de domaine complet de VMware Identity Manager par celui de

l'équilibrage de charge
Avant de cloner le dispositif virtuel VMware Identity Manager, vous devez modifier son nom de domaine
complet (FQDN) pour qu'il corresponde à celui de l'équilibrage de charge.
Prérequis
n Le dispositif VMware Identity Manager est ajouté à un équilibrage de charge.
n Vous avez appliqué le certificat de l'autorité de certification racine de l'équilibrage de charge à VMware
Identity Manager.
Procédure
2 Sélectionnez l'onglet Paramètres du dispositif.
3 Sur la page Configuration du dispositif virtuel, cliquez sur Gérer la configuration.
4 Entrez votre mot de passe d'administrateur pour vous connecter.
5 Cliquez sur Configuration d'Identity Manager.
6 Dans le champ FQDN d'Identity Manager, modifiez la partie nom d'hôte de l'URL en remplaçant le
nom d'hôte de VMware Identity Manager par le nom d'hôte de l'équilibrage de charge.
Par exemple, si le nom d'hôte de VMware Identity Manager est myservice et que le nom d'hôte de votre
équilibrage de charge est mylb, vous remplacez l'URL
https://myservice.mycompany.com
84 VMware, Inc.
par ce qui suit :
https://mylb.mycompany.com
n Le FQDN du service est remplacé par le FQDN de l'équilibrage de charge.
n L'URL du fournisseur d'identité est remplacée par l'URL de l'équilibrage de charge.
Suivant
Clonez le dispositif virtuel.
Cloner le dispositif virtuel

Clonez le dispositif virtuel VMware Identity Manager pour créer plusieurs dispositifs virtuels du même
type afin de distribuer le trafic et d'éliminer tout risque d'indisponibilité.
L'utilisation de plusieurs dispositifs virtuels VMware Identity Manager améliore la disponibilité, équilibre la
charge des demandes au service et diminue les temps de réponse à l'utilisateur final.
Prérequis
n Le dispositif virtuel de VMware Identity Manager doit être configuré derrière un équilibrage de charge.
Assurez-vous que le port de l'équilibrage de charge est le port 443. N'utilisez pas 8443, car ce numéro de
port est le port administratif et est propre à chaque dispositif virtuel.
n Une base de données externe est configurée comme décrit dans « Connecting to the Database », page 34.
n Vérifiez que vous avez terminé la configuration d'annuaire dans VMware Identity Manager.
n Connectez-vous à la console du dispositif virtuel en tant qu'utilisateur root et supprimez le

fichier /etc/udev/rules.d/70-persistent-net.rules, s'il existe. Si vous ne supprimez pas ce fichier
avant le clonage, la mise en réseau n'est pas configurée correctement sur le dispositif virtuel cloné.
Procédure
1 Connectez-vous à vSphere Client ou vSphere Web Client et accédez au dispositif virtuel
2 Cliquez avec le bouton droit sur le dispositif virtuel et sélectionnez Cloner.
3 Entrez le nom du dispositif virtuel cloné et cliquez sur Suivant.
Il doit être unique dans le dossier de la machine virtuelle.
4 Sélectionnez l'hôte ou le cluster sur lequel exécuter le dispositif virtuel cloné et cliquez sur Suivant.
5 Sélectionnez le pool de ressources dans lequel exécuter le dispositif virtuel, puis cliquez sur Suivant.
6 Pour le format de disque virtuel, sélectionnez Même format que la source.
VMware, Inc. 85
7 Sélectionnez l'emplacement de la banque de données dans laquelle vous souhaitez stocker les fichiers
du dispositif virtuel et cliquez sur Suivant.
8 Sélectionnez Ne pas personnaliser comme option du système d'exploitation invité.
9 Passez en revue les options et cliquez sur Terminer.

Le dispositif virtuel cloné est déployé. Vous ne pouvez pas utiliser ni modifier le dispositif virtuel tant que le
clonage n'est pas terminé.
Suivant
Attribuez une adresse IP au dispositif virtuel cloné avant sa mise sous tension et son ajout à l'équilibrage de
charge.
Attribuer une nouvelle adresse IP à un dispositif virtuel cloné

Vous devez attribuer une nouvelle adresse IP à chaque dispositif virtuel cloné avant sa mise sous tension.
Cette adresse IP doit être résolvable dans le DNS. Si l'adresse IP ne se trouve pas dans le DNS inversé, vous
devez également attribuer le nom d'hôte.
Procédure
1 Dans vSphere Client ou vSphere Web Client, sélectionnez le dispositif virtuel cloné.
2 Dans l'onglet Résumé, sous Commandes, cliquez sur Modifier les paramètres.
3 Sélectionnez Options et, dans la liste Options vApp, sélectionnez Propriétés.
4 Modifiez l'adresse IP du champ Adresse IP.
5 Si l'adresse IP ne se trouve pas dans le DNS inversé, ajoutez le nom d'hôte dans la zone de texte Nom
d'hôte.
6 Cliquez sur OK.
7 Mettez sous tension le dispositif cloné et attendez que l'écran de connexion bleu s'affiche dans l'onglet
Console.
Important Avant de mettre sous tension le dispositif cloné, vérifiez que le dispositif d'origine est
complètement sous tension.
Suivant
n Attendez quelques minutes que le cluster Elasticsearch soit créé avant d'ajouter le dispositif virtuel
cloné à l'équilibrage de charge.
Elasticsearch, moteur de recherche et d'analyse, est intégré dans le dispositif virtuel.
a Connectez-vous au dispositif virtuel cloné.
b Contrôlez le cluster Elasticsearch :
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
Vérifiez que le résultat correspond au nombre de nœuds.
n Ajoutez le dispositif virtuel cloné à l'équilibrage de charge et configurez l'équilibrage de charge pour
qu'il distribue le trafic. Consultez la documentation de fournisseur de votre équilibrage de charge pour
plus d'informations.
n Si vous avez joint un domaine dans l'instance de service d'origine, vous devez joindre le domaine dans
les instances de service clonées.
a Connectez-vous à la console d'administration de VMware Identity Manager.
86 VMware, Inc.
b Sélectionnez l'onglet Identité et gestion de l'accès et cliquez sur Configuration.
Le composant de connecteur de chaque instance de service clonée est répertorié sur la page
Connecteurs.
c Pour chaque connecteur répertorié, cliquez sur Joindre le domaine et spécifiez les informations du
domaine.
Pour plus d'informations sur Active Directory, reportez-vous à la section « Intégration à Active
Directory », page 47.
n Pour les annuaires de type Authentification Windows intégrée (IWA), vous devez exécuter les étapes
suivantes :
a Pour les instances de service clonées, joignez le domaine auquel l'annuaire IWA dans l'instance de
service d'origine a été joint.
2 Sélectionnez l'onglet Identité et gestion de l'accès et cliquez sur Configuration.
Le composant de connecteur de chaque instance de service clonée est répertorié sur la page
Connecteurs.
3 Pour chaque connecteur répertorié, cliquez sur Joindre le domaine et spécifiez les
informations du domaine.
b Enregistrez la configuration d'annuaire IWA.
1 Sélectionnez l'onglet Identité et gestion de l'accès.
2 Sur la page Annuaires, cliquez sur le lien de l'annuaire IWA.
3 Cliquez sur Enregistrer pour enregistrer la configuration de l'annuaire.
n Si vous avez mis à jour manuellement le fichier /etc/krb5.conf dans l'instance de service d'origine, par
exemple, pour corriger la défaillance ou la lenteur de la synchronisation View, vous devez mettre à jour
le fichier dans l'instance clonée une fois que cette dernière est jointe au domaine. Dans toutes les
instances de service clonées, effectuez les tâches suivantes.
a Modifiez le fichier /etc/krb5.conf et mettez à jour la section realms pour spécifier les mêmes
valeurs domaine-vers-l'hôte qui sont utilisées dans le
fichier /usr/local/horizon/conf/domain_krb.properties. Vous n'avez pas besoin de spécifier le
numéro de port. Par exemple, si votre fichier domain_krb.properties contient l'entrée de domaine
example.com=examplehost.example.com:389, vous devez mettre à jour le fichier krb5.conf comme
suit.
[realms]
GAUTO-QA.COM = {
auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-
QA\.COM/GAUTO2QA/
auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/
auth_to_local = DEFAULT
kdc = examplehost.example.com
}
Remarque Il est possible d'avoir plusieurs entrées kdc. Toutefois, il ne s'agit pas d'une obligation,
car dans la plupart des cas il n'y a qu'une seule valeur kdc. Si vous choisissez de définir des valeurs
kdc supplémentaires, chaque ligne aura une entrée kdc qui définira un contrôleur de domaine.
VMware, Inc. 87
b Redémarrez le service workspace.
Remarque Consultez également l'article 2091744 de la base de connaissances.
n Activez les méthodes d'authentification configurées pour connecteur sur chaque instance clonée.
Consultez le Guide d'administration de VMware Identity Manager pour plus d'informations.
Le dispositif virtuel de service VMware Identity Manager est maintenant hautement disponible. Le trafic est
distribué aux dispositifs virtuels dans votre cluster en fonction de la configuration de l'équilibrage de
charge. L'authentification au service est hautement disponible. Toutefois, pour la synchronisation d'annuaire
du service, en cas d'échec de l'instance de service, vous devez activer manuellement la synchronisation
d'annuaire sur l'instance de service clonée. La synchronisation d'annuaire est gérée par le composant de
connecteur du service et elle ne peut être activée que sur un connecteur à la fois. Voir « Activation de la
synchronisation d'annuaire sur une autre instance de en cas d'échec », page 88.
Activation de la synchronisation d'annuaire sur une autre instance de en cas

d'échec
En cas d'échec de l'instance du service, l'authentification est gérée automatiquement par une instance clonée,
comme configuré dans l'équilibrage de charge. Toutefois, pour la synchronisation de répertoire, vous devez
modifier les paramètres de répertoire dans le service VMware Identity Manager pour utiliser une instance
clonée. La synchronisation d'annuaire est gérée par le composant du connecteur du service et elle ne peut
être activée que sur un connecteur à la fois.
Procédure
2 Cliquez sur l'onglet Identité et gestion de l'accès et cliquez sur Répertoires.
3 Cliquez sur le répertoire qui était associé à l'instance du service d'origine.
Vous pouvez voir ces informations sur la page Configuration > Connecteurs. La page répertorie le
composant de connecteur de chaque dispositif virtuel de service dans votre cluster.
4 Dans la section Synchronisation et authentification du répertoire de la page du répertoire, dans le

champ Connecteur de synchronisation, sélectionnez l'un des autres connecteurs.
5 Dans le champ Mot de passe du ND Bind, entrez votre mot de passe de compte Bind Active Directory.
88 VMware, Inc.
Supprimer un nœud d'un cluster

Si un nœud dans le cluster VMware Identity Manager ne fonctionne pas correctement et vous ne parvenez
pas à récupérer, vous pouvez le supprimer du cluster avec la commande Supprimer le nœud. La commande
supprime les entrées de nœud de la base de données VMware Identity Manager.
Vous pouvez vérifier la santé des nœuds dans votre cluster en regardant leur état dans le tableau de bord
Diagnostics du système. Un message Le nœud actuel est en mauvais état indique que le nœud ne
fonctionne pas correctement.
Important Utilisez la commande Supprimer le nœud avec parcimonie. Utilisez-la uniquement lorsqu’un
nœud est dans un état non récupérable et doit être retiré complètement du déploiement
Remarque Vous ne pouvez pas utiliser la commande Supprimer le nœud afin de supprimer le dernier
nœud dans un cluster.
Dissocier le composant de connecteur à partir de domaines, des paramètres de

synchronisation d’annuaire et de fournisseur d'identité intégré
Avant de pouvoir supprimer un nœud d’un cluster VMware Identity Manager, vous devez vous assurer que
le composant de connecteur du nœud n'est joint à aucun domaine, qu'il n'est pas utilisé comme un
connecteur de synchronisation et qu'il n'est pas associé au fournisseur d’identité intégré.
Prérequis
Vous devez vous connecter en tant qu’administrateur locataire, c'est-à-dire un administrateur local sur le
service VMware Identity Manager . Un administrateur de domaine synchronisé à partir de l’annuaire
d’entreprise ne dispose pas des autorisations nécessaires.
Procédure
2 Cliquez sur l‘onglet Gestion des identités et des accès et cliquez sur Configuration.
La page Connecteurs s’affiche.
3 Si le composant de connecteur du nœud est joint au domaine, quittez le domaine.
a Sur la page Connecteurs, localisez le composant de connecteur du nœud à supprimer.
Le composant de connecteur a le même nom que le nœud.
b Si la colonne Actions disponibles affiche un bouton Quitter le domaine , cliquez sur le bouton
pour quitter le domaine.
4 Si le composant de connecteur du nœud est utilisé comme connecteur de synchronisation pour

n’importe quel annuaire, modifiez le paramètre de connecteur de synchronisation de l’annuaire afin
d'utiliser un autre connecteur à la place.
a Dans la colonne Annuaire associé de la page connecteurs, affichez les annuaires avec lesquels le
composant de connecteur est associé.
b Cliquez sur un lien d'annuaire.
c Dans la section Synchronisation et authentification d’annuaire de la page annuaire, vérifiez la

valeur de l’option de Connecteur de synchronisation.
VMware, Inc. 89
d Si le composant de connecteur est utilisé comme connecteur de synchronisation, sélectionnez un

autre connecteur pour l’option Connecteur de synchronisation et cliquez sur Enregistrer.
e Répétez ces étapes pour tous les annuaires avec lesquels le composant de connecteur est associé.
5 Si le composant de connecteur est associé au fournisseur d’identité intégré, supprimez-le du fournisseur

d’identité.
a Dans la page connecteurs, dans la colonne Fournisseur d'identité, affichez les fournisseurs
d’identité avec lesquels le composant de connecteur est associé.
b Si le fournisseur d’identité intégré est répertorié, cliquez sur le lien.
c Sur la page du fournisseur d’identité, dans la section Connecteurs, cliquez sur l’icône de
suppression à côté du connecteur.
Suivant
Supprimez le nœud du cluster.
Supprimez le nœud du cluster

Une fois que vous dissociez le composant de connecteur du nœud à partir de domaines, de paramètres de
synchronisation de répertoire et du fournisseur d’identité intégré, vous pouvez supprimer le nœud du
cluster.
Remarque Vous ne pouvez pas utiliser la commande Supprimer pour supprimer le dernier nœud dans un
cluster.
Prérequis
n Pour supprimer un nœud, vous devez vous connecter en tant qu'administrateur locataire, c'est-à-dire en
tant qu'administrateur local sur le service VMware Identity Manager. Un administrateur de domaine
synchronisé à partir de l’annuaire d’entreprise ne dispose pas des autorisations nécessaires.
n Vous avez dissociée le composant de connecteur du nœud à partir de domaines, de paramètres de

synchronisation de répertoire et du fournisseur d’identité intégré, si nécessaire. Voir « Dissocier le
composant de connecteur à partir de domaines, des paramètres de synchronisation d’annuaire et de
fournisseur d'identité intégré », page 89.
Procédure
1 Arrêtez la machine virtuelle de nœud.
a Connectez-vous à l'instance du Serveur vCenter.
b Cliquez avec le bouton droit de la souris sur la machine virtuelle de nœud et sélectionnez
Alimentation > Mettre hors tension.
2 Supprimez le nœud de l’équilibrage de charge.
3 Dans la console d’administration VMware Identity Manager, supprimez le nœud.
a Connectez-vous à la console de VMware Identity Manager en tant qu'administrateur local.
b Cliquez sur la flèche vers le bas sur l’onglet Tableau de bord et sélectionnez Tableau de bord de
diagnostics système.
c Localisez le nœud que vous souhaitez supprimer.
Le nœud affiche l’état suivant :
Le nœud actif est défectueux. Souhaitez-vous le supprimer ?
d Cliquez sur le lien Supprimer qui s’affiche à côté du message.
90 VMware, Inc.
Le nœud est supprimé du cluster. Les entrées pour le nœud sont supprimées de la base de données
VMware Identity Manager. Le nœud est également supprimé des clusters Elasticsearch et Ehcache intégrés.
Suivant
Patientez 5 à 15 minutes le temps que les clusters Elasticsearch et Ehcache intégrés se stabilisent avant
d’utiliser d’autres commandes.
Déploiement de VMware Identity Manager dans un centre de données

secondaire pour le basculement et la redondance
Pour permettre le basculement si le centre de données VMware Identity Manager principal devient
indisponible, VMware Identity Manager doit être déployé dans un centre de données secondaire.
En utilisant un centre de données secondaire, les utilisateurs finaux peuvent se connecter et utiliser des
applications sans temps d'arrêt. Un centre de données secondaire permet également aux administrateurs de
mettre à niveau VMware Identity Manager vers la version suivante sans temps d'arrêt. Voir « Mise à niveau
de VMware Identity Manager sans temps d'arrêt », page 101.
Voici un déploiement classique utilisant un centre de données secondaire.
ÉdC global
ÉdC DC1 ÉdC DC2
vIDM2 vIDM3 vIDM4 vIDM5 vIDM6

vIDM1 (Cloné à partir (Cloné à partir (Cloné à partir (Cloné à partir (Cloné à partir
de vIDM1) de vIDM1) de vIDM1) de vIDM1) de vIDM1)
Écouteur SQL Server Always On
Always On
SQL Server SQL Server

(maître) (réplica)
Référentiel ThinApp (DFS)
Architecture Cloud Pod d'Horizon View
XenFarm XenFarm Espace View Espace View Espace View Espace View XenFarm XenFarm
A B A B C D C D
VMware, Inc. 91
Suivez ces directives pour un déploiement de plusieurs centres de données.
n Déploiement de cluster : vous devez déployer un ensemble de trois dispositifs virtuels

VMware Identity Manager ou plus sous la forme d'un cluster dans un centre de données et un autre
ensemble sous la forme d'un autre cluster dans le second centre de données. Voir « Configuration d'un
centre de données secondaire », page 93 pour obtenir plus d'informations.
n Base de données : VMware Identity Manager utilise la base de données pour stocker des données. Pour
un déploiement de plusieurs centres de données, la réplication de la base de données entre les deux
centres de données est essentielle. Consultez la documentation de votre base de données sur la
configuration d'une base de données dans plusieurs centres de données. Par exemple, avec SQL Server,
il est recommandé d'utiliser un déploiement Always On. Consultez Vue d'ensemble des groupes de
disponibilité Always On (SQL Server) sur le site Web Microsoft pour obtenir plus d'informations. Les
fonctionnalités de VMware Identity Manager prévoit une latence très faible entre la base de données et
le dispositif VMware Identity Manager. Par conséquent, il est prévu que les dispositifs dans un centre
de données se connectent à la base de données dans le même centre de données.
n Pas Actif-Actif : VMware Identity Manager ne prend pas en charge le déploiement Actif-Actif dans
lequel les utilisateurs peuvent être servis depuis les deux centres de données en même temps. Le centre
de données secondaire est un serveur de secours et il peut être utilisé pour offrir une continuité
d'activité aux utilisateurs finaux. Les dispositifs VMware Identity Manager dans le centre de données
secondaire sont en mode lecture seule. Par conséquent, après un basculement vers ce centre de données,
la plupart des opérations d'administrateur, comme l'ajout d'utilisateurs ou d'applications, ou
l'autorisation d'utilisateurs, ne fonctionneront pas.
n Restauration automatique du principal : dans la plupart des scénarios d'échec, vous pouvez effectuer
une restauration automatique vers le centre de données principal une fois qu'il revient à la normale.
Voir « Restauration automatique vers le centre de données principal », page 100 pour plus
d'informations.
n Promouvoir secondaire en principal : en cas d'échec prolongé d'un centre de données, le centre de
données secondaire peut être promu en centre de données principal. Voir « Promotion du centre de
données secondaire en centre de données principal », page 101 pour plus d'informations.
n Nom de domaine complet : le nom de domaine complet pour accéder à VMware Identity Manager doit
être le même dans tous les centres de données.
n Audits : VMware Identity Manager utilise Elasticsearch intégré dans le dispositif

VMware Identity Manager pour l'audit, les rapports et les journaux de synchronisation de répertoire.
Des clusters Elasticsearch séparés doivent être créés dans chaque centre de données. Voir
« Configuration d'un centre de données secondaire », page 93 pour obtenir plus d'informations.
n Active Directory : VMware Identity Manager peut se connecter à Active Directory à l'aide de l'API
LDAP ou de l'authentification Windows intégrée. Dans ces deux méthodes, VMware Identity Manager
peut exploiter des enregistrements SRV Active Directory afin d'atteindre le contrôleur de domaine
approprié dans chaque centre de données.
n Applications Windows : VMware Identity Manager prend en charge l'accès à des applications Windows
à l'aide de ThinApp et à des applications et des postes de travail Windows à l'aide des technologies
Horizon View ou Citrix. En général, il est important de fournir ces ressources à partir d'un centre de
données plus proche de l'utilisateur, également appelé Géo-affinité. Notez ce qui suit à propos des
ressources Windows :
n ThinApps : VMware Identity Manager prend en charge les systèmes de fichiers distribués
Windows comme référentiel ThinApp. Utilisez la documentation des systèmes de fichiers
distribués Windows pour configurer des stratégies spécifiques à l'emplacement appropriées.
92 VMware, Inc.
n Horizon View (avec Architecture Cloud Pod) : VMware Identity Manager prend en charge
Architecture Cloud Pod d'Horizon. Architecture Cloud Pod d'Horizon fournit la Géo-affinité à
l'aide des droits globaux. Consultez « Intégration des déploiements d'Architecture Cloud Pod »
dans Configuration des ressources dans VMware Identity Manager pour plus d'informations. Aucun
changement supplémentaire n'est requis pour un déploiement de plusieurs centres de données
n Horizon View (sans Architecture Cloud Pod) : si Architecture Cloud Pod d'Horizon n'est pas
activée dans votre environnement, vous ne pouvez pas activer la Géo-affinité. Après un
basculement, vous pouvez manuellement changer VMware Identity Manager pour lancer des
ressources Horizon View à partir des espaces View configurés dans le centre de données
secondaire. Voir « Configurer l'ordre de basculement des ressources Horizon View et Citrix »,
page 97 pour obtenir plus d'informations.
n Ressources Citrix : semblables à Horizon View (sans Architecture Cloud Pod), vous ne pouvez pas
activer la Géo-affinité pour les ressources Citrix. Après un basculement, vous pouvez
manuellement changer VMware Identity Manager pour lancer des ressources Citrix à partir des
XenFarms configurés dans le centre de données secondaire. Voir « Configurer l'ordre de
basculement des ressources Horizon View et Citrix », page 97 pour obtenir plus d'informations.
Configuration d'un centre de données secondaire

En général, le centre de données secondaire est géré par un serveur vCenter Server différent. Lorsque vous
installez le centre de données secondaire, vous pouvez configurer et implémenter les éléments suivants en
fonction de vos exigences.
n Dispositifs VMware Identity Manager dans le centre de données secondaire, créés à partir d'un fichier
OVA importé depuis le centre de données principal
n Un équilibrage de charge pour le centre de données secondaire
n Ressources et droits Horizon View et Citrix en double
n Configuration de la base de données
n Un équilibrage de charge ou une entrée DNS sur les centres de données principal et secondaire à des
fins de basculement
Modifier le centre de données principal pour la réplication

Avant de configurer le centre de données secondaire, configurez le centre de données principal pour la
duplication d'Elasticsearch et Ehcache sur les clusters.
Elasticsearch et Ehcache sont intégrés dans le dispositif virtuel VMware Identity Manager. Elasticsearch est
un moteur de recherche et d'analyse pour l'audit, les rapports et les journaux de synchronisation de
répertoire. Ehcache offre des capacités de mise en cache.
Configurez ces modifications dans tous les nœuds du cluster de centre de données principal.
Prérequis
Vous avez configuré un cluster VMware Identity Manager dans le centre de données principal.
VMware, Inc. 93
Procédure
1 Configurez Elasticsearch pour la réplication.
Apportez ces modifications dans chaque nœud du cluster de centre de données principal.
a Désactivez la tâche cron pour Elasticsearch.

1 Modifiez le fichier /etc/cron.d/hznelasticsearchsync :
vi /etc/cron.d/hznelasticsearchsync
2 Commentez cette ligne :
#*/1 * * * * root /usr/local/horizon/scripts/elasticsearchnodes.hzn
b Ajoutez les adresses IP de tous les nœuds du cluster de centre de données principal.
1 Modifiez le fichier /etc/sysconfig/elasticsearch :
vi /etc/sysconfig/elasticsearch
2 Ajoutez les adresses IP de tous les nœuds du cluster :
ES_UNICAST_HOSTS=IPaddress1,IPaddress2,IPaddress3
c Ajoutez le nom de domaine complet de l'équilibrage de charge du cluster de centre de données

secondaire au fichier /usr/local/horizon/conf/runtime-config.properties.
1 Modifiez le fichier /usr/local/horizon/conf/runtime-config.properties.
vi /usr/local/horizon/conf/runtime-config.properties
2 Ajoutez cette ligne au fichier :
analytics.replication.peers=LB_FQDN_of_second_cluster
2 Configurez Ehcache pour la réplication.
Apportez ces modifications dans chaque nœud du cluster de centre de données principal.
a vi /usr/local/horizon/conf/runtime-config.properties
b Ajoutez le nom de domaine complet des autres nœuds du cluster. N'ajoutez pas le nom de domaine
complet du nœud que vous modifiez. Séparez les noms de domaine complets par un signe deux-
points.
ehcache.replication.rmi.servers=node2FQDN:node3FQDN
Par exemple :
ehcache.replication.rmi.servers=server2.example.com:server3.example.com
3 Redémarrez le service VMware Identity Manager sur tous les nœuds.
4 Vérifiez que le cluster est configuré correctement.
Exécutez ces commandes sur tous les nœuds du premier cluster.

a Vérifiez la santé d'Elasticsearch.
curl 'http://localhost:9200/_cluster/health?pretty'
La commande doit renvoyer un résultat semblable à ce qui suit.
{
"cluster_name" : "horizon",
"status" : "green",
"timed_out" : false,
"number_of_nodes" : 3,
94 VMware, Inc.
"number_of_data_nodes" : 3,
"active_primary_shards" : 20,
"active_shards" : 40,
"relocating_shards" : 0,
"initializing_shards" : 0,
"unassigned_shards" : 0,
"delayed_unassigned_shards" : 0,
"number_of_pending_tasks" : 0,
"number_of_in_flight_fetch" : 0
}
S'il existe des problèmes, reportez-vous à la section « Résolution des problèmes d'Elasticsearch »,
page 112.
b Vérifiez que le fichier /opt/vmware/horizon/workspace/logs/ horizon.log contient cette ligne.
Added ehcache replication peer: //node3.example.com:40002
Les noms d'hôte doivent être ceux des autres nœuds du cluster.
Suivant
Créez un cluster dans le centre de données secondaire. Créez les nœuds en exportant le fichier OVA du
premier dispositif virtuel VMware Identity Manager du cluster de centre de données principal et en
l'utilisant pour déployer les nouveaux dispositifs virtuels dans le centre de données secondaire.
Créer des dispositifs virtuels VMware Identity Manager dans un centre de données
secondaire
Pour configurer un cluster VMware Identity Manager dans le centre de données secondaire, exportez le
fichier OVA du dispositif VMware Identity Manager d'origine dans le centre de données principal et
utilisez-le pour déployer des dispositifs dans le centre de données secondaire.
Prérequis
n Fichier OVA de VMware Identity Manager qui a été exporté depuis le dispositif
VMware Identity Manager d'origine dans le centre de données principal
n Adresses IP et enregistrements DNS pour le centre de données secondaire
Procédure
1 Dans le centre de données principal, exportez le fichier OVA du dispositif VMware Identity Manager
d'origine.
Consultez la documentation de vSphere pour plus d'informations.
2 Dans le centre de données secondaire, déployez le fichier OVA VMware Identity Manager qui a été
exporté pour créer les nœuds.
Consultez la documentation de vSphere pour plus d'informations. Consultez également « Installer le

fichier OVA de VMware Identity Manager », page 19.
3 Après la mise sous tension des dispositifs VMware Identity Manager, mettez à jour la configuration de
chaque dispositif.
Les dispositifs VMware Identity Manager dans le centre de données secondaire sont des copies
identiques du dispositif VMware Identity Manager d'origine dans le centre de données principal. La
synchronisation avec Active Directory et les ressources configurées dans le centre de données principal
est désactivée.
VMware, Inc. 95
Suivant
Accédez aux pages de la console d'administration et configurez ce qui suit :
n Activez Joindre le domaine comme configuré dans le dispositif VMware Identity Manager d'origine
dans le centre de données principal.
n Sur la page Adaptateurs d'authentification, ajoutez les méthodes d'authentification qui sont configurées
n Sur la page Méthode d'authentification d'annuaire, activez l'authentification Windows, si configurée

Accédez à la page Installer le certificat paramètres du dispositif pour ajouter des certificats signés par
l'autorité de certification, en dupliquant les certificats dans les dispositifs VMware Identity Manager dans le
centre de données principal. Voir « Utilisation des certificats SSL », page 38.
Configurer des nœuds dans le centre de données secondaire

Une fois que vous avez créé des nœuds dans le centre de données secondaire à l'aide du fichier OVA exporté
depuis le centre de données principal, configurez les nœuds.
Suivez ces étapes pour chaque nœud dans le centre de données secondaire.
Procédure
u Mettez à jour les tableaux d'adresses IP.
a Dans le fichier /usr/local/horizon/scripts/updateiptables.hzn, mettez à jour les adresses IP de

tous les nœuds dans le centre de données secondaire.
1 vi /usr/local/horizon/scripts/updateiptables.hzn
2 Recherchez et remplacez la ligne ALL_IPS. Spécifiez les adresses IP délimitées par un espace.
ALL_IPS="Node1_IPaddress Node2_IPaddress Node3_IPaddress"
3 Ouvrez des ports en exécutant ce script.
/usr/local/horizon/scripts/updateiptables.hzn
b Configurez les nœuds pour la réplication Elasticsearch et Ehcache, et vérifiez qu'ils sont
correctement configurés.
Consultez les instructions dans « Modifier le centre de données principal pour la réplication »,
page 93 et appliquez-les aux nœuds dans le centre de données secondaire.
Notez que les tâches cron sont déjà désactivées.
Modifier le fichier runtime-config.properties dans le centre de données secondaire

Si vous utilisez une base de données qui n'est pas un déploiement SQL Server Always On, vous devez
modifier les fichiers runtime-config.properties pour les dispositifs VMware Identity Manager dans le
centre de données secondaire afin de modifier l'URL JDBC pour pointer vers la base de données dans le
centre de données secondaire et pour configurer le dispositif pour un accès en lecture seule. Si vous utilisez
un déploiement SQL Server Always On, cette étape n'est pas requise.
Apportez ces modifications dans chaque dispositif VMware Identity Manager dans le centre de données
secondaire.
Procédure
1 À l'aide d'un client ssh, connectez-vous au dispositif VMware Identity Manager en tant qu'utilisateur
root.
96 VMware, Inc.
2 Ouvrez le fichier runtime-config.properties dans /usr/local/horizon/conf/runtime-

config.properties.
3 Modifiez l'URL JDBC pour qu'elle pointe vers la base de données pour le centre de données secondaire.
Voir « Configure VMware Identity Manager to Use an External Database », page 37.
4 Configurez le dispositif VMware Identity Manager pour qu'il ait un accès en lecture seule.
Ajoutez la ligne read.only.service=true.
5 Redémarrez le serveur Tomcat sur le dispositif.
Configurer l'ordre de basculement des ressources Horizon View et Citrix

Pour les ressources Horizon View et Citrix, vous devez configurer l'ordre de basculement des ressources
dans les centres de données principal et secondaire pour que les ressources appropriées soient disponibles
depuis n'importe quel centre de données.
Vous utilisez la commande hznAdminTool pour créer un tableau de base de données avec l'ordre de
basculement des ressources dans votre organisation par instance de service. L'ordre de basculement
configuré est suivi lorsqu'une ressource est lancée. Vous exécutez hznAdminTool failoverConfiguration
dans les deux centres de données pour configurer l'ordre de basculement.
Prérequis
Lorsque VMware Identity Manager est déployé dans plusieurs centres de données, les mêmes ressources
sont également configurées sur chaque centre de données. Chaque pool d'applications ou de postes de
travail dans les espaces View ou les XenFarms Citrix est considéré comme une ressource différente dans le
catalogue VMware Identity Manager. Pour éviter la duplication de la ressource dans le catalogue, vérifiez
que vous avez activé Ne pas synchroniser les applications en double dans les pages Pools View ou
Applications publiées - Citrix sur la page de la console d'administration.
Procédure
root.
2 Pour voir une liste des instances de serveur, saisissez hznAdminTool serviceInstances.
Une liste des instances de service avec le numéro d'ID affecté s'affiche, comme dans cet exemple.
{"id":103,"hostName":"ws4.domain.com","ipaddress":"10.142.28.92"}{"id":
154,"hostName":"ws3.domain.com","ipaddress":"10.142.28.91"}{"id":
1,"hostName":"ws1.domain.com","ipaddress":"10.143.104.176"}{"id":
52,"hostName":"ws2.domain.com","ipaddress":"10.143.104.177"}
VMware, Inc. 97
3 Pour chaque instance de service dans votre organisation, configurez l'ordre de basculement des
ressources View et Citrix.
Pour filtrer les alarmes spécifiques à Virtual SAN, tapez hznAdminTool failoverConfiguration -
configType <configType> -configuration <configuration> -serviceInstanceId <serviceInstanceId>
[-orgId <orgId>]
Option Description
-configType Saisissez le type de ressource configuré pour le basculement. Les valeurs
sont VIEW ou XENAPP.
-configuration Saisissez l'ordre de basculement. Pour VIEW configType, saisissez sous
forme de liste séparée par des virgules les noms d'hôte du Serveur de
connexion View principal qui sont répertoriés sur la page Pools View de la
console d'administration. Pour XENAPP configType, saisissez sous forme
de liste séparée par des virgules les noms XenFarm.
-serviceInstanceId Saisissez l'ID de l'instance de service pour laquelle la configuration est
définie. L'ID est disponible dans la liste affichée à l'étape 2, "id":
-orgId (Facultatif). Si cette option est laissée vide, la configuration est définie pour
l'organisation par défaut.
Par exemple, hznAdminTool failoverConfiguration -configType VIEW -configuration

pod1vcs1.domain.com,pod2vcs1.hs.trcint.com -orgId 1 -serviceInstanceId 1.
Lorsque vous saisissez cette commande pour des instances de VMware Identity Manager dans le centre
de données secondaire, inversez l'ordre des Serveurs de connexion View. Dans cet exemple, la
commande serait hznAdminTool failoverConfiguration -configType VIEW -configuration
pod2vcs1.hs.trcint.com, pod1vcs1.domain.com -orgId 1 -serviceInstanceId 103
Le tableau de base de données de basculement des ressources est configuré pour chaque centre de données.
Suivant
Pour la configuration de basculement existante pour chaque ressource View et Citrix, exécutez hznAdminTool
failoverConfigurationList -configType <configtype> -<orgId).
La valeur de <configtype> est VIEW ou XENAPP. Voici un exemple de sortie de hznAdminTool

failoverConfiguraitonList avec configType VIEW.
{"idOrganization":1,"serviceInstanceId":
52,"configType":"VIEW","configuration":"pod1vcs1.domain.com,pod2vcs1.domain.com"}
Configurer la base de données pour le basculement

Pour VMware Identity Manager, la réplication de base de données est configurée pour que les données
restent cohérentes sur les serveurs de base de données dans le centre de données principal et sur le centre de
données secondaire.
Vous devez configurer votre base de données externe pour la haute disponibilité. Configurez une
architecture de base de données maître et esclave, où l'esclave est un réplica exact du maître.
Consultez la documentation de votre base de données externe pour plus d'informations.
Si vous utilisez SQL Server Always On, utilisez le nom d'hôte ou l'adresse IP de l'écouteur SQL Server
lorsque vous configurez la base de données dans chaque dispositif VMware Identity Manager. Par exemple :
jdbc:sqlserver://<nomhôte_écouteur>;DatabaseName=saas
98 VMware, Inc.
Basculement vers le centre de données secondaire

Lorsque le centre de données principal échoue, vous pouvez basculer vers le centre de données secondaire.
Pour basculer, vous devez modifier l'équilibrage de charge global ou l'enregistrement DNS pour qu'il pointe
vers l'équilibrage de charge dans le centre de données secondaire.
En fonction de la configuration de votre base de données, les dispositifs VMware Identity Manager dans le
centre de données secondaire sont en mode lecture seule ou en mode lecture-écriture. Pour toutes les bases
de données, sauf SQL Server Always On, les dispositifs VMware Identity Manager sont en mode lecture
seule. Par conséquent, la plupart des opérations d'administrateur, comme l'ajout d'utilisateurs ou
d'applications, ou l'autorisation d'utilisateurs, ne sont pas disponibles.
Si vous utilisez un déploiement SQL Server Always On, les dispositifs VMware Identity Manager dans le
centre de données secondaire sont en mode lecture-écriture.
Utilisation d'un enregistrement DNS pour configurer quel data center doit être
actif
Si vous utilisez un enregistrement Domain Name System (DNS) pour acheminer le trafic des utilisateurs
dans vos data centers, l'enregistrement DNS doit pointer vers un équilibreur de charge du data center
principal dans des situations de fonctionnement normales.
Si le data center principal est indisponible, l'enregistrement DNS doit être mis à jour pour pointer vers
l'équilibreur de charge du data center secondaire.
Lorsque le data center principal est de nouveau disponible, l'enregistrement DNS doit être mis à jour pour
pointer vers l'équilibreur de charge du data center primaire.
Réglage de la durée de vie dans l'enregistrement DNS

Le réglage de la durée de vie (time to live, TTL) détermine le délai avant que les informations associées au
DNS ne soient rafraîchies dans le cache. Pour un basculement sans difficulté des postes de travail et des
applications View, assurez-vous que le réglage de la durée de vie (TTL) des enregistrements DNS est court.
Si le réglage de la TTL est trop long, des utilisateurs pourraient ne pas pouvoir accéder à leurs postes de
travail et à leurs applications View immédiatement après le basculement. Pour permettre un
rafraîchissement rapide du DNS, réglez la TTL du DNS sur 30 secondes.
Activités de VMware Identity Manager non disponibles en mode lecture seule

L'utilisation de VMware Identity Manager en mode lecture seule est conçue pour la haute disponibilité afin
de permettre aux utilisateurs finaux d'accéder aux ressources dans leur portail My Apps. Certaines activités
dans la console d'administration de VMware Identity Manager et dans les pages d'autres services
d'administration peuvent ne pas être disponibles en mode lecture seule. Voici une liste partielle d'activités
courantes qui ne sont pas disponibles.
Lorsque VMware Identity Manager est exécuté en mode lecture seule, les activités liées à des modifications
dans Active Directory ou la base de données ne peuvent pas être réalisées et la synchronisation avec la base
de données VMware Identity Manager ne fonctionne pas.
Les fonctions administratives qui nécessitent d'écrire dans la base de données ne sont pas disponibles
pendant cette période. Vous devez attendre que VMware Identity Manager repasse en mode lecture et
écriture.
Console d'administration VMware Identity Manager en mode lecture seule

Voici certaines limites de la console d'administration en mode lecture seule.
n Ajout, suppression et modification des utilisateurs et des groupes dans l'onglet Utilisateurs et groupes
n Ajout, suppression et modification des applications dans l'onglet Catalogue
VMware, Inc. 99
n Ajout, suppression et modification des droits sur les applications
n Modification des informations de marque
n Synchronisation de répertoire pour ajouter, modifier et supprimer des utilisateurs et des groupes
n Modification des informations sur les ressources, y compris View, XenApp et d'autres ressources
n Modification de la page Méthodes d'authentification
Remarque Les composants de connecteur des dispositifs VMware Identity Manager dans le centre de
données secondaire apparaissent dans la console d'administration. Veillez à ne pas sélectionner un
connecteur dans le centre de données secondaire comme connecteur de synchronisation.
Pages de configuration du dispositif virtuel en mode lecture seule

Voici certaines limites des pages Configuration du dispositif en mode lecture seule.
n Test de la configuration de connexion à la base de données
n Modification du mot de passe d'administrateur sur la page Modifier le mot de passe
Portail d'applications d'utilisateur final en mode lecture seule

Lorsque VMware Identity Manager est en mode lecture seule, les utilisateurs peuvent se connecter à leur
portail VMware Identity Manager et accéder à leurs ressources. La fonctionnalité suivante dans le portail
d'utilisateur final n'est pas disponible en mode lecture seule.
n Marquer une ressource comme favorite ou annuler le marquage d'une ressource comme favorite
n Ajouter des ressources de la page Catalogue ou supprimer des ressources de la page Lanceur
n Modifier le mot de passe sur la page de leur portail d'applications
Client Windows VMware Identity Manager en mode lecture seule

Lorsque VMware Identity Manager est en mode lecture seule, les utilisateurs ne peuvent pas configurer de
nouveaux clients Windows. Les clients Windows existants continuent de fonctionner.
Restauration automatique vers le centre de données principal

Dans la plupart des scénarios d'échec, vous pouvez effectuer une restauration automatique vers le centre de
données principal une fois qu'il fonctionne de nouveau.
Procédure
1 Modifiez l'équilibrage de charge global ou l'enregistrement DNS pour qu'il pointe vers l'équilibrage de
charge dans le centre de données principal.
Voir « Utilisation d'un enregistrement DNS pour configurer quel data center doit être actif », page 99.
2 Videz le cache du centre de données secondaire.
Vous pouvez utiliser des API REST pour vider le cache.
Chemin d'accès : /SAAS/jersey/manager/api/removeAllCaches
Méthode : POST
Rôles autorisés : OPÉRATEUR uniquement
100 VMware, Inc.

Promotion du centre de données secondaire en centre de données principal

En cas d'échec prolongé d'un centre de données, le centre de données secondaire peut être promu en centre
de données principal.
Pour un déploiement SQL Server Always On, aucune modification n'est requise. Pour les autres
configurations de base de données, vous devez modifier le fichier runtime-config.properties dans les
dispositifs VMware Identity Manager dans le centre de données secondaire afin de configurer les dispositifs
pour le mode lecture-écriture.
Apportez ces modifications dans chaque dispositif VMware Identity Manager dans le centre de données
secondaire.
Procédure
root.
2 Ouvrez le fichier /usr/local/horizon/conf/runtime-config.properties pour le modifier.
3 Modifiez la ligne read.only.service=true par read.only.service=false.
4 Enregistrez le fichier runtime-config.properties.

5 Redémarrez le serveur Tomcat sur le dispositif.
Mise à niveau de VMware Identity Manager sans temps d'arrêt

Avec un déploiement de plusieurs centres de données, vous pouvez mettre à niveau
VMware Identity Manager vers la version suivante sans temps d'arrêt. Utilisez cet exemple de workflow
pour propager des mises à jour.
Consultez le schéma dans « Déploiement de VMware Identity Manager dans un centre de données
secondaire pour le basculement et la redondance », page 91 lorsque vous suivez ces étapes.
Procédure
1 Changez le routage sur l'ÉdC global pour envoyer les demandes à l'ÉdC DC2.
2 Arrêtez la réplication de base de données.

3 Mettez à jour le dispositif virtuel vIDM1, puis le dispositif virtuel vIDM2 et le dispositif virtuel vIDM3.
4 Testez les mises à jour à l'aide de l'ÉdC DC1.
5 Une fois satisfait, changez l'ÉdC global pour router les demandes vers l'ÉdC DC1.
6 Mettez à jour le dispositif virtuel vIDM4, puis le dispositif virtuel vIDM5 et le dispositif virtuel vIDM6.
7 Testez les mises à jour à l'aide de l'ÉdC DC2.
8 Démarrez la réplication de base de données.
VMware, Inc. 101

102 VMware, Inc.

Installation de dispositifs de
connecteur supplémentaires 7
Le connecteur fait partie du service VMware Identity Manager. Lorsque vous installez un dispositif virtuel
VMware Identity Manager, un composant de connecteur est toujours inclus par défaut.
Le connecteur exécute les fonctions suivantes.
n Synchronise des données d'utilisateur et de groupe entre votre annuaire d'entreprise et l'annuaire
correspondant que vous créez dans le service.
n Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service.
Le connecteur est le fournisseur d'identité par défaut.
Comme un connecteur est déjà disponible dans le cadre du service, dans des déploiements standard, vous
n'avez pas besoin d'installer un connecteur supplémentaire.
Dans certains scénarios, toutefois, vous pouvez avoir besoin d'un connecteur supplémentaire. Par exemple :
n Si vous disposez de plusieurs annuaires de type Active Directory (Authentification Windows intégrée),
vous avez besoin d'un connecteur séparé pour chacun d'entre eux.
Une instance de connecteur peut être associée à plusieurs annuaires. Une partition appelée travailleur
est créée dans le connecteur pour chaque annuaire. Toutefois, la même instance de connecteur ne peut
pas comporter deux travailleurs de type Authentification Windows intégrée.
n Si vous voulez gérer l'accès des utilisateurs selon s'ils se connectent depuis un emplacement interne ou
externe.
n Si vous voulez utiliser l'authentification par certificat, alors que votre équilibrage de charge est
configuré pour mettre fin à SSL au niveau de l'équilibrage de charge. L'authentification par certificat
requiert un relais SSL au niveau de l'équilibrage de charge.
Pour installer un connecteur supplémentaire, vous effectuez les tâches suivantes.

n Téléchargez le module OVA du connecteur.
n Générez un jeton d'activation dans le service.
n Déployez le dispositif virtuel du connecteur.
n Configurez les paramètres du connecteur.
Tous les connecteurs supplémentaires que vous déployez apparaissent dans l'interface utilisateur du service.
n « Générer un code d'activation pour un connecteur », page 104
n « Déployer le fichier OVA d'Connector », page 104
n « Configurer les paramètres de Connector », page 105
VMware, Inc. 103

Générer un code d'activation pour un connecteur

Avant de déployer le dispositif virtuel de connecteur, générez un code d'activation pour le nouveau
connecteur du service VMware Identity Manager. Le code d'activation du connecteur est utilisé pour établir
la communication entre le service et le connecteur.
Procédure
3 Cliquez sur Configuration
4 Sur la page Connecteurs, cliquez sur Ajouter un connecteur.
5 Entrez un nom pour la nouvelle instance de connecteur.
6 Cliquez sur Générer un code d'activation.
Le code d'activation s'affiche dans le champ Code d'activation de connecteur.
7 Copiez et enregistrez le code d'activation de connecteur.
Ce code d'activation sera utilisé lors de l'exécution de l'Assistant de configuration du connecteur.
Suivant
Installez le dispositif virtuel du connecteur.
Déployer le fichier OVA d' Connector

Vous pouvez télécharger le fichier OVA d'connecteur et le déployer à l'aide de VMware vSphere Client ou
de vSphere Web Client.
Prérequis
n Identifiez les enregistrements DNS et le nom d'hôte à utiliser pour le déploiement du fichier OVA
d'connecteur.
n Avec vSphere Web Client, utilisez les navigateurs Firefox ou Chrome. N'utilisez pas Internet Explorer
pour déployer le fichier OVA.
n Télécharger le fichier OVA du connecteur.
Procédure
1 Dans vSphere Client ou vSphere Web Client, sélectionnez Fichier > Déployer le modèle OVF.
2 Dans les pages Déployer le modèle OVF, entrez les informations spécifiques de votre déploiement
d'connecteur.
Page Description
Source Localisez l'emplacement du module OVA ou entrez une URL spécifique.
Détails du module OVA Vérifiez que vous avez sélectionné la version correcte.
Licence Lisez l'accord de licence d'utilisateur final et cliquez sur Accepter.
Nom et emplacement Saisissez un nom pour le dispositif virtuel. Le nom doit être unique dans le
dossier d'inventaire et contenir au maximum 80 caractères. Les noms sont
sensibles à la casse.
Sélectionnez un emplacement pour le dispositif virtuel.
Hôte / Cluster Sélectionnez l'hôte ou le cluster pour exécuter le modèle déployé.
Pool de ressources Sélectionnez le pool de ressources.
104 VMware, Inc.

Chapitre 7 Installation de dispositifs de connecteur supplémentaires
Page Description
Stockage Sélectionnez l'emplacement de stockage des fichiers des machines
virtuelles.
Format du disque Sélectionnez le format de disque pour les fichiers. Pour les environnements
de production, sélectionnez le format Provisionnement statique. Utilisez
le format Provisionnement dynamique pour les évaluations et les tests.
Mappage réseau Mappez les réseaux de votre environnement vers les réseaux du modèle
OVF.
Propriétés a Dans le champ Paramètre de fuseau horaire, sélectionnez le fuseau
horaire correspondant.
b La case Programme d'amélioration du produit est cochée par défaut.
VMware collecte des données anonymes sur votre déploiement afin
d'améliorer la réponse de VMware aux exigences des utilisateurs.
Décochez la case si vous ne voulez pas que les données soient
collectées.
c Dans le champ Nom de l'hôte, entrez le nom d'hôte à utiliser. Si ce
champ est vide, le DNS inversé est utilisé pour rechercher le nom
d'hôte.
d Pour configurer l'adresse IP statique d'connecteur, entrez l'adresse de
chacun des éléments suivants : Passerelle par défaut, DNS, Adresse IP
et Masque réseau.
Important Si l'un des quatre champs d'adresse, y compris Nom
d'hôte, est vide, le protocole DHCP est utilisé.
Pour configurer le protocole DHCP, laissez les champs d'adresse vides.
Prêt à terminer Passez vos sélections en revue et cliquez sur Terminer.
Selon la vitesse de votre réseau, le déploiement peut nécessiter plusieurs minutes. Vous pouvez voir la
progression dans la boîte de dialogue de progression.
3 Lorsque le déploiement est terminé, sélectionnez le dispositif , cliquez avec le bouton droit et
sélectionnez Alimentation > Mettre sous tension.
Le dispositif est initialisé. Vous pouvez accéder à l'onglet Console pour voir les détails. Une fois
l'initialisation du dispositif virtuel terminée, l'écran de la console affiche la version du et les URL pour
vous connecter à l'Assistant de configuration du , afin de terminer la configuration.
Suivant
Utilisez l'Assistant de configuration pour ajouter le code d'activation et les mots de passe d'administration.
Configurer les paramètres de Connector

Lorsque l'OVA d'connecteur est déployé et installé, exécutez l'Assistant de configuration pour activer le
dispositif et configurer les mots de passe de l'administrateur.
Prérequis
n Vous disposez du code d'activation du nouveau connecteur. Voir « Générer un code d'activation pour
un connecteur », page 104.
n Assurez-vous que le dispositif connecteur est activé et que vous connaissez l'URL d'connecteur.
n Répertoriez une liste des mots de passe à utiliser pour l'administrateur de connecteur, le compte racine
et le compte Sshuser.
Procédure
1 Pour exécuter l'Assistant Configuration, entrez l'URL de connecteur qui s'est affichée dans l'onglet
Console une fois l'OVA déployé.
2 Sur la page d'accueil, cliquez sur Continuer.
VMware, Inc. 105

3 Créez des mots de passe forts pour les comptes d'administrateur de dispositif virtuel connecteur
suivants.
Les mots de passe forts doivent contenir au moins huit caractères, des majuscules et des minuscules et
au moins un chiffre ou caractère spécial.
Option Description
Administrateur du dispositif Créez le mot de passe de l'administrateur du dispositif. Le nom
d'utilisateur est admin et ne peut pas être modifié. Vous utilisez ce compte
et ce mot de passe pour vous connecter aux services connecteur afin de
gérer les certificats, les mots de passe des dispositifs et la configuration
syslog.
Important Le mot de passe de l'utilisateur Admin doit contenir au
moins 6 caractères.
Compte racine Un mot de passe racine VMware par défaut a été utilisé pour installer le
dispositif connecteur. Créez un nouveau mot de passe racine.
Compte sshuser Créez le mot de passe à utiliser pour l'accès à distance au dispositif du
connecteur.
4 Cliquez sur Continuer.
5 Sur la page Activer le connecteur, collez le code d'activation et cliquez sur Continuer.
Le code d'activation est vérifié et la communication entre le service et l'instance du connecteur est
établie.
La configuration du connecteur est terminée.
Suivant
Dans le service, configurez votre environnement selon vos besoins. Par exemple, si vous avez ajouté un
connecteur supplémentaire, car vous voulez synchroniser deux annuaires Authentification Windows
intégrée, créez l'annuaire et associez-le au nouveau connecteur.
Configurez les certificats SSL pour le connecteur. Voir « Utilisation des certificats SSL », page 38.
106 VMware, Inc.

Utilisation de KDC intégré 8
Pour l’authentification Mobile SSO pour iOS sur les périphériques iOS gérés par AirWatch, vous pouvez
utiliser le KDC intégré. Vous initialisez manuellement le Centre de distribution de clés (KDC) dans le
dispositif avant d’activer la méthode d’authentification à partir de la console d’administration.
Remarque Lorsque vous intégrez VMware Identity Manager à AirWatch dans un environnement
Windows, utilisez le service hebergé cloud KDC VMware Identity Manager, et non pas le KDC intégré.
L'utilisation de KDC dans le cloud requiert de sélectionner le nom de domaine approprié dans la page
d’adaptateur d’authentification iOS à partir de la console d’administration. Consultez le Guide
d’Administration de VMware Identity Manager.
Avant d'initialiser KDC dans VMware Identity Manager, déterminez le nom de domaine du serveur KDC, si
votre déploiement comporte des sous-domaines et si vous voulez utiliser le certificat du serveur KDC par
défaut ou non.
Domaine
Le domaine est le nom d'une entité administrative qui conserve des données d'authentification. Il est
important de sélectionner un nom descriptif pour le domaine d'authentification Kerberos. Le nom de
domaine doit faire partie d'un domaine DNS que l'entreprise peut configurer.
Le nom de domaine et le nom de domaine complet (FQDN) qui est utilisé pour accéder au service VMware
Identity Manager sont indépendants. Votre entreprise doit contrôler les domaines DNS pour le nom de
domaine et le FQDN. L'usage consiste à utiliser un nom de domaine identique au FQDN, mais écrit en
majuscules. Parfois, le nom de domaine et le FQDN sont différents. Par exemple, un nom de domaine est
EXAMPLE.NET et idm.example.com est le FQDN VMware Identity Manager. Dans ce cas, vous définissez des
entrées DNS pour les domaines example.net et example.com.
Le nom de domaine est utilisé par un client Kerberos pour générer des noms DNS. Par exemple, lorsque le
nom est example.com, le nom lié Kerberos pour contacter le KDC par TCP est
_kerberos._tcp.EXAMPLE.COM.
Utilisation de sous-domaines
Le service VMware Identity Manager installé dans un environnement sur site peut utiliser le sous-domaine
du FQDN VMware Identity Manager. Si votre site VMware Identity Manager accède à plusieurs domaines
DNS, configurez les domaines sous la forme location1.example.com ; location2.example.com ;
location3.example.com. Dans ce cas, la valeur du sous-domaine est example.com, saisi en minuscules. Pour
configurer un sous-domaine dans votre environnement, contactez votre équipe du support du service.
VMware, Inc. 107

Utilisation de certificats du serveur KDC

Lorsque le KDC est initialisé, un certificat du serveur KDC et un certificat racine auto-signé sont générés par
défaut. Le certificat est utilisé pour émettre le certificat du serveur KDC. Ce certificat racine est inclus dans le
profil du périphérique pour que le périphérique puisse approuver le KDC.
Vous pouvez générer manuellement le certificat du serveur KDC à l'aide d'un certificat racine ou
intermédiaire d'entreprise. Contactez votre équipe du support du service pour obtenir des détails sur cette
fonctionnalité.
Téléchargez le certificat racine du serveur KDC depuis la console d'administration

VMware Identity Manager afin d'utiliser la configuration AirWatch du profil de gestion du périphérique
iOS.
n « Initialiser le centre de distribution de clés dans le dispositif », page 108
n « Création d'entrées DNS publiques pour KDC avec Kerberos intégré », page 109
Initialiser le centre de distribution de clés dans le dispositif

Avant de pouvoir utiliser la méthode d'authentification Mobile SSO pour iOS, vous devez initialiser le centre
de distribution de clés (KDC) dans le dispositif VMware Identity Manager.
Pour initialiser KDC, vous attribuez votre nom d'hôte d'Identity Manager aux domaines Kerberos. Le nom
de domaine est entré en majuscules. Si vous configurez plusieurs domaines Kerberos, pour identifier le
domaine, utilisez des noms descriptifs qui se terminent par votre nom de domaine d'Identity Manager. Par
exemple SALES.MY-IDENTITYMANAGER.EXAMPLE.COM. Si vous configurez des sous-domaines, tapez
le nom du sous-domaine en minuscules.
Prérequis
VMware Identity Manager est installé et configuré.
Nom de domaine identifié. Voir Chapitre 8, « Utilisation de KDC intégré », page 107.
Procédure
1 Connectez-vous avec SSH au dispositif VMware Identity Manager en tant qu'utilisateur racine.
2 Initialisez le KDC. Entrez /etc/init.d/vmware-kdc init --realm {REALM.COM} --subdomain {sva-

name.subdomain}.
Par exemple,/etc/init.d/vmware-kdc init --realm MY-IDM.EXAMPLE.COM --subdomain my-

idm.example.com
Si vous utilisez un équilibrage de charge avec plusieurs dispositifs Identity Manager, utilisez le nom de
l'équilibrage de charge dans les deux cas.
3 Redémarrez le service VMWare Identity Manager. Entrez service horizon-workspace restart.
4 Démarrez le service KDC. Entrez service vmware-kdc restart.
Suivant
Créez des entrées DNS publiques. Des enregistrements DNS doivent être provisionnés pour permettre aux
clients de trouver le KDC. Voir « Création d'entrées DNS publiques pour KDC avec Kerberos intégré »,
page 109.
108 VMware, Inc.

Chapitre 8 Utilisation de KDC intégré
Création d'entrées DNS publiques pour KDC avec Kerberos intégré

Après avoir initialisé KDC dans VMware Identity Manager, vous devez créer des enregistrements DNS
publics afin de permettre aux clients Kerberos de trouver le KDC lorsque la fonctionnalité d'authentification
Kerberos intégré est activée.
Le nom de domaine KDC est utilisé dans le cadre du nom DNS pour les entrées du dispositif VMware
Identity Manager qui sont utilisées pour détecter le service KDC. Un enregistrement DNS SRV est
obligatoire pour chaque site VMware Identity Manager et deux entrées d'adresse A.
Remarque La valeur d'entrée AAAA est une adresse IPv6 qui code une adresse IPv4. Si le KDC n'est pas
adressable via IPv6 et qu'une adresse IPv4 est utilisée, il peut être nécessaire de spécifier l'entrée AAAA
dans une notation IPv6 stricte sous la forme ::ffff:175c:e147 sur le serveur DNS. Vous pouvez utiliser un
outil de conversion IPv4 en IPv6, tel que celui de Neustar.UltraTools, pour convertir la notation d'adresse
IPv4 en IPv6.
Exemple : Entrées d'enregistrement DNS pour KDC

Dans cet exemple d'enregistrement DNS, le domaine est EXAMPLE.COM, le nom de domaine complet de
VMware Identity Manager est idm.example.com et l'adresse IP de VMware Identity Manager est 1.2.3.4.
idm.example.com. 1800 IN AAAA ::ffff:1.2.3.4
idm.example.com. 1800 IN A 1.2.3.4
_kerberos._tcp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.
_kerberos._udp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.
VMware, Inc. 109

110 VMware, Inc.

Dépannage durant l'installation et la
configuration 9
Les rubriques de dépannage décrivent des solutions à des problèmes potentiels que vous pouvez rencontrer
lors de l'installation ou de la configuration de VMware Identity Manager.
n « Les utilisateurs ne peuvent pas lancer des applications ou une méthode d'authentification incorrecte
est appliquée dans des environnements à équilibrage de charge », page 111
n « Le groupe n'affiche aucun membre après la synchronisation de répertoire », page 112
n « Résolution des problèmes d'Elasticsearch », page 112
Les utilisateurs ne peuvent pas lancer des applications ou une

méthode d'authentification incorrecte est appliquée dans des
environnements à équilibrage de charge
Les utilisateurs ne peuvent pas lancer d'applications à partir du portail Workspace ONE ou une méthode
d'authentification incorrecte est appliquée dans un environnement à équilibrage de charge.
Problème
Dans un environnement à équilibrage de charge, des problèmes comme les suivants peuvent se produire :
n Les utilisateurs ne peuvent pas lancer d'applications à partir du portail Workspace ONE après leur
connexion.
n Une méthode d'authentification incorrecte est présentée aux utilisateurs à des fins d'authentification de
relais.
Cause
Ces problèmes peuvent se produire si des stratégies d'accès sont mal déterminées. L'adresse IP du client
détermine quelle stratégie d'accès s'applique lors de la connexion et lors du lancement d'application. Dans
un environnement à équilibrage de charge, VMware Identity Manager utilise l'en-tête X-Forwarded-For
pour déterminer l'adresse IP du client. Dans certains cas, une erreur peut se produire.
Solution
Définissez la propriété service.numberOfLoadBalancers dans le fichier runtime-config.properties dans

chaque nœud de votre cluster VMware Identity Manager. La propriété spécifie le nombre d'équilibrages de
charge devant les instances de VMware Identity Manager.
Remarque La définition de cette propriété est facultative.
1 Connectez-vous au dispositif VMware Identity Manager.
VMware, Inc. 111

2 Modifiez le fichier /usr/local/horizon/conf/runtime-config.properties pour ajouter la propriété

suivante :
service.numberOfLoadBalancers numberOfLBs
où numberOfLBs est le nombre d'équilibrages de charge devant les instances de

3 Redémarrez le dispositif workspace.
Le groupe n'affiche aucun membre après la synchronisation de

répertoire
La synchronisation de répertoire se termine correctement, mais aucun utilisateur n'est affiché dans les
groupes synchronisés.
Problème
Une fois qu'un répertoire est synchronisé, manuellement ou automatiquement en fonction du planning de
synchronisation, le processus de synchronisation se termine correctement, mais aucun utilisateur n'est
affiché dans les groupes synchronisés.
Cause
Ce problème se produit lorsque vous disposez de deux nœuds ou plus dans un cluster et qu'il existe une
différence de temps de plus de 5 secondes entre les nœuds.
Solution
1 Vérifiez qu'il n'existe pas de différence de temps entre les nœuds. Utilisez le même serveur NTP sur
tous les nœuds dans le cluster pour synchroniser le temps.
2 Redémarrez le service sur tous les nœuds.
3 (Facultatif) Dans la console d'administration, supprimez le groupe, rajoutez-le dans les paramètres de
synchronisation et synchronisez de nouveau le répertoire.
Résolution des problèmes d'Elasticsearch

Utilisez ces informations afin de résoudre les problèmes liés à Elasticsearch dans un environnement de
cluster. Elasticsearch, un moteur de recherche et d'analyse pour l'audit, et les enregistrements de
synchronisation de répertoire, est intégré dans le dispositif virtuel VMware Identity Manager.
Résolution des problèmes d'Elasticsearch

Vous pouvez vérifier la santé d'Elasticsearch en utilisant la commande suivante dans le dispositif VMware
Identity Manager.
curl 'http://localhost:9200/_cluster/health?pretty'
La commande doit renvoyer un résultat semblable à ce qui suit.
{
"cluster_name" : "horizon",
"status" : "green",
"timed_out" : false,
"number_of_nodes" : 3,
"number_of_data_nodes" : 3,
112 VMware, Inc.

Chapitre 9 Dépannage durant l'installation et la configuration
"active_primary_shards" : 20,
"active_shards" : 40,
"relocating_shards" : 0,
"initializing_shards" : 0,
"unassigned_shards" : 0,
"delayed_unassigned_shards" : 0,
"number_of_pending_tasks" : 0,
"number_of_in_flight_fetch" : 0
}
Si Elasticsearch ne démarre pas correctement ou si son état est rouge, suivez ces étapes pour résoudre les
problèmes.
1 Vérifiez que le port 9300 est ouvert.
a Mettez à jour les détails du nœud en ajoutant les adresses IP de tous les nœuds du cluster au
fichier /usr/local/horizon/scripts/updateiptables.hzn :
ALL_IPS="node1IPadd node2IPadd node3IPadd"
b Exécutez le script suivant sur tous les nœuds du cluster.
/usr/local/horizon/scripts/updateiptables.hzn
2 Redémarrez Elasticsearch sur tous les nœuds du cluster.

service elasticsearch restart
3 Consultez les fichiers journaux pour tout complément d'information.
cd /opt/vmware/elasticsearch/logs
tail -f horizon.log
VMware, Inc. 113

114 VMware, Inc.

Index
A certificat SSL, autorité de certification

accès externe 79 principale 81
certificats, KDC 107
Active Directory
authentification Windows intégrée 46 certificats de serveur KDC 107
intégration 47 chaîne du certificat 40
mappage d'attributs 54 cluster 84
Active Directory à forêt unique 47 cluster de centre de données secondaire 95
Active Directory via LDAP 46, 55 code d'activation 104
Adresse IP sur les machines clonées 86 collecter les journaux 43
ajouter Active Directory 55 configuration du dispositif 33
ajouter des certificats 39 configurer
journalisation 42
amélioration du produit 17
machines virtuelles 79
annuaire
connecteur
ajout 55
dissocier de l'annuaire 89
ajouter 45
Dissocier du fournisseur d’identité 89
annuaires LDAP
intégration 61, 62 quitter le domaine 89
limites 62 Connecteur 105
aperçu, installer 9 connecteur supplémentaire 104
Assistant de configuration de Connector 105 connecteurs, installation supplémentaire 103
attributs connector-va 83
mappage 54
par défaut 53 D
attributs utilisateur pour répertoires locaux 71 data centers multiples, Redirection DNS 99
authentification Windows intégrée 55 database 15
autorité de certification 39 démarrer le KDC de Cloud 108
dépannage du fichier domain_krb.properties 53
B déploiement
basculement 66, 83–85, 88, 99 listes de vérification 16
basculement de base de données 98 préparation 14
basculement, configurer la base de données déploiement de plusieurs centres de
pour 98 données 91, 93, 95, 96, 99–101
base de données externe 22 désactiver un compte 53
base de données interne, haute disponibilité 37 dispositifs virtuels multiples 85
base de données Microsoft SQL 35 DNS, Réglage de la TTL 99
domaine, KDC 107
base de données oracle 36
domaine KDC 107
base de données, mot de passe interne 37
domaine Kerberos 107
bundle de journaux 43
domaine système 69
C domaines multiples 47
catalogue global Active Directory 47
E
centre de données secondaire 91, 93, 95, 96,
99 e-mail aux utilisateurs locaux 44
certificat auto-signé 38 e-mail de réinitialisation du mot de passe 44
Ehcache 93, 96
Elasticsearch 93, 96
VMware, Inc. 115

en-têtes X-forwarded-for 79 limites en mode lecture seule 99

entrées DNS pour service KDC 109 Linux
erreur de lancement 111 administrateur système 7
Espace de travail SUSE 7
déployer 19 liste de vérification
installer 19 contrôleur de domaine Active Directory 16
expiration du délai, équilibrage de charge 79 informations réseau, pools IP 16
external database, Configurator 37
externe 35 M
machines clonées, ajout d'adresse IP 86
F machines virtuelles multiples 83
fichier domain_krb.properties 49, 51 mettre à niveau sans temps d'arrêt 101
fichier OVA mettre en cluster 89
déployer 19 mise à niveau 101
installer 19 mise à niveau de plusieurs centres de
fichier runtime-config.properties 51, 96 données 101
fournisseur d'identité système 69 mode lecture seule 96
mode lecture seule, fonctionnalité d'utilisateur
G final 99
gateway-va 83 modifier
mot de passe Admin 43
H mot de passe racine 43
hardware mot de passe sshuser 43
ESX 11 modifier le nom de domaine complet 41
requirements 11 modifier un mot de passe Active Directory 60
haute disponibilité 66 modifier un mot de passe AD 60
hznAdminTool, basculement des ressources 97 mot de passe, base de données interne 37
mots de passe
I expiré 60
importation de fichiers OVA 95 modifier 43
intégration à Active Directory 47 mots de passe Active Directory expirés 60
intégration d'annuaire 45
N
J network configuration, requirements 11
JDBC, modifier sur le centre de données nœuds dans un cluster 84
secondaire 96 nom d'hôte IdP 41
joindre le domaine 55 nom de domaine complet 40
journalisation 42
O
K ordre de basculement des ressources 97
KDC
créer des entrées DNS 109 P
initialiser dans Identity Manager 108 page Attributs utilisateur 53
Kerberos, KDC intégré 108 pages d'administration, dispositif 33
paramètres de configuration, dispositif 33
L paramètres de répertoire local 75
licence 31 paramètres de synchronisation 54
limites d'administration des services connectgor paramètres du serveur proxy 30, 82
en mode lecture seule 99
pools IP 21
limites de la console d'administration en mode
portail workspace, OVA 104
lecture seule 99
programme de configuration du dispositif,
limites du mode lecture seule 99 paramètres 34
limites du programme de configuration du propriété service.numberOfLoadBalancers 111
dispositif en mode lecture seule 99
propriété siteaware.subnet 51
116 VMware, Inc.

Index
proxy HTTP 30, 82 U

public concerné 7 URL de connecteur 41
URL du service 41
R URL du service VMware Identity Manager 41
RabbitMQ 96 utilisateurs, attributs utilisateur 54
recherche de l'emplacement du service DNS 49, utilisateurs locaux 69
51
recherche SRV 49, 51 V
Redirection du serveur DNS 99 vCenter, informations d'identification 16
redondance 66, 83–85, 88 virtual appliance, requirements 11
Réglages de la TTL pour le DNS 99
réinitialiser un mot de passe Active Directory 60 W
répertoire LDAP 46 Windows, administrateur système 7
répertoire local
ajouter un domaine 75
associer à un fournisseur d'identité 74
attributs utilisateur 75
changer le nom 75
créer 70, 72
modifier 75
modifier le nom de domaine 75
supprimer 76
supprimer un domaine 75
répertoire système 69
répertoires locaux 69, 70, 74, 75
résolution des problèmes
aucun membre dans le groupe 112
aucun utilisateur dans les groupes 112
synchronisation de répertoire 112
utilisateurs manquants 112
résolution des problèmes d'Elasticsearch 112
résolution des problèmes de RabbitMQ 112
résolution DNS 15
résolution DNS inverse 15
résolution inverse 15
restauration automatique 100
S
serveur SMTP 16
Serveur SMTP 44
serveur syslog 42
service-va 83, 85
sessions sticky, équilibrage de charge 79
sous-domaine KDC 107
supprimer le noeud 89, 90
SUSE Linux 7
T
temps d'arrêt 101
travailleur 46
VMware, Inc. 117

118 VMware, Inc.

Vidm 29 Install

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Vidm 29 Install

Transféré par

Droits d'auteur :

Formats disponibles

Installing and Configuring VMware

À propos de l'installation et de la configuration de VMware Identity Manager 7

1 Préparation de l'installation de VMware Identity Manager 9

2 Déploiement d' VMware Identity Manager 19

3 Gestion des paramètres de configuration de système du dispositif 33

4 Intégration à votre annuaire d'entreprise 45

Gestion des attributs utilisateur synchronisés à partir d'Active Directory 53

5 Utilisation de répertoires locaux 69

6 Configuration avancée du dispositif VMware Identity Manager 79

7 Installation de dispositifs de connecteur supplémentaires 103

8 Utilisation de KDC intégré 107

9 Dépannage durant l'installation et la configuration 111

VMware Identity Manager FQDN: Périphérique mobile

HTTPS (443) Internet Ordinateur portable

TCP/UDP (88) VDI (HTML)

Serveur de VDI (PCoIP/RDP)

Services RSA AD/services Base de données Référentiel Serveur API REST

Ce chapitre aborde les rubriques suivantes :

n “System and Network Configuration Requirements,” on page 11

n « Préparation au déploiement d'VMware Identity Manager », page 14

n « Programme d'amélioration du produit », page 17

System and Network Configuration Requirements

Supported vSphere and ESX Versions

n 5.0 U2 and later

n 5.1 and later

n 5.5 and later

n 6.0 and later

Number of Users Up to 1,000 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000

Number of 1 server 3 load-balanced 3 load-balanced 3 load-balanced 3 load-balanced

CPU (per server) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

RAM (per server) 6 GB 6 GB 8 GB 16 GB 32 GB

Disk space (per 60 GB 100 GB 100 GB 100 GB 100 GB

Number of Users Up to 1,000 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,1000

Number of 1 server 2 load-balanced 2 load-balanced 2 load-balanced 2 load-balanced

CPU (per server) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU

RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB

Disk space (per 60 GB 60 GB 60 GB 60 GB 60 GB

The following requirements apply to an external SQL Server database.

Number of Users Up to 1,000 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000

CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU

Disk space 50 GB 50 GB 50 GB 100 GB 100 GB

Network Configuration Requirements

DNS record and IP address IP address and DNS record

Port Portal Source Target Description

443 HTTPS Load Balancer VMware Identity Manager virtual

443 HTTPS VMware Identity Manager VMware Identity Manager virtual

443 HTTPS Browsers VMware Identity Manager virtual

443 HTTPS VMware Identity Manager vapp-updates.vmware.com Access to the

8443 HTTPS Browsers VMware Identity Manager virtual Administrator Port

25 SMTP VMware Identity Manager SMTP Port to relay

Port Portal Source Target Description

53 TCP/UDP VMware Identity Manager DNS server Every virtual

88, 464, 135 TCP/UDP VMware Identity Manager Domain controller

1433, 5432, TCP VMware Identity Manager Database Microsoft SQL

443 VMware Identity Manager View server Access to View

Navigateurs pris en charge pour accéder à la console d'administration

n Internet Explorer 11 pour systèmes Windows

n Mozilla Firefox 42.0 ou version ultérieure pour systèmes Windows et Mac

n Mozilla Firefox 40 ou version ultérieure pour les systèmes Windows et Mac

n Safari 6.2.8 et version ultérieure pour les systèmes Mac

Navigateurs pris en charge pour accéder au portail Workspace ONE

n Mozilla Firefox (dernière version)

n Google Chrome (dernière version)

n Safari (dernière version)