Académique Documents
Professionnel Documents
Culture Documents
Identity Manager
VMware Identity Manager 2.9.1
Installing and Configuring VMware Identity Manager
You can find the most up-to-date technical documentation on the VMware Web site at:
https://docs.vmware.com/
The VMware Web site also provides the latest product updates.
If you have comments about this documentation, submit your feedback to:
docfeedback@vmware.com
Copyright © 2013 – 2017 VMware, Inc. All rights reserved. Copyright and trademark information.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2 VMware, Inc.
Contents
VMware, Inc. 3
Installing and Configuring VMware Identity Manager
4 VMware, Inc.
Contents
Index 115
VMware, Inc. 5
Installing and Configuring VMware Identity Manager
6 VMware, Inc.
À propos de l'installation et de la configuration
de VMware Identity Manager
Installation et configuration de VMware Identity Manager fournit des informations sur le processus d'installation
et de configuration du dispositif VMware Identity Manager. Une fois l'installation terminée, vous pouvez
utiliser la console d'administration pour octroyer aux utilisateurs un accès géré et multi-périphérique aux
applications de votre organisation, notamment aux applications Windows, aux applications SaaS (software
as a service) et aux postes de travail View ou Horizon. Le guide explique également comment configurer
votre déploiement pour la haute disponibilité.
Public concerné
Ces informations sont destinées aux administrateurs de VMware Identity Manager. Ces informations ont été
rédigées à l'attention d'administrateurs système Windows et Linux expérimentés et connaissant bien les
®
technologies VMware, en particulier vCenter™, ESX™, vSphere et View™, les concepts de mise en réseau,
les serveurs Active Directory, les bases de données, les procédures de sauvegarde et de restauration, le
protocole SMTP (Simple Mail Transfer Protocol) et les serveurs NTP. SUSE Linux 11 est le système
d'exploitation sous-jacent du dispositif virtuel. La connaissance d'autres technologies, telles que VMware
®
ThinApp et RSA SecurID, est utile si vous prévoyez de mettre en œuvre ces fonctionnalités.
VMware, Inc. 7
Installing and Configuring VMware Identity Manager
8 VMware, Inc.
Préparation de l'installation de
VMware Identity Manager 1
Les tâches de déploiement et de configuration de VMware Identity Manager vous obligent à exécuter les
opérations préalables requises, à déployer le fichier OVA VMware Identity Manager et à effectuer la
configuration à partir de l'Assistant de configuration de VMware Identity Manager.
VMware, Inc. 9
Installing and Configuring VMware Identity Manager
Figure 1‑1. Diagramme de l'architecture de VMware Identity Manager pour des déploiements standards
DMZ
Zone d'entreprise
Équilibreur de charge interne
myidentitymanager.mycompany.com
Ordinateur portable
HTTPS (443) Utilisateurs
du LAN
HTTPS d'entreprise
PCoIP
PC
VMware
HTTPS
Identity
(443)
Manager va
Remarque Si vous prévoyez d'activer l'authentification par certificat ou par carte à puce, utilisez le
paramètre de relais SSL au niveau de l'équilibrage de charge, au lieu du paramètre pour mettre fin à SSL.
Cette configuration permet de s'assurer que la négociation SSL a lieu entre le connecteur, un composant de
VMware Identity Manager et le client.
Remarque En fonction de l'emplacement du déploiement d'AirWatch, les API REST AirWatch peuvent se
trouver dans le Cloud ou sur site.
10 VMware, Inc.
Chapitre 1 Préparation de l'installation de VMware Identity Manager
Note You must turn on time sync at the ESX host level using an NTP server. Otherwise, a time drift occurs
between the virtual appliances.
If you deploy multiple virtual appliances on different hosts, consider disabling the Sync to Host option for
time synchronization and configuring the NTP server in each virtual appliance directly to ensure that there
is no time drift between the virtual appliances.
Hardware Requirements
Ensure that you meet the requirements for the number of VMware Identity Manager virtual appliances and
the resources allocated to each appliance.
If you install additional, external connector virtual appliances, ensure that you meet the following
requirements.
Database Requirements
Set up VMware Identity Manager with an external database to store and organize server data. An internal
PostgreSQL database is embedded in the virtual appliance but it is not recommended for use with
production deployments.
VMware, Inc. 11
Installing and Configuring VMware Identity Manager
For information about the database versions and service pack configurations supported, see the VMware
Product Interoperability Matrices at
https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
RAM 4 GB 4 GB 8 GB 16 GB 32 GB
Firewall port Ensure that the inbound firewall port 443 is open for users outside the network to
the VMware Identity Manager instance or the load balancer.
Reverse Proxy Deploy a reverse proxy such as F5 Access Policy Manager in the DMZ to allow
users to securely access the VMware Identity Manager user portal remotely.
Port Requirements
Ports used in the server configuration are described here. Your deployment might include only a subset of
these ports. For example:
n To sync users and groups from Active Directory, VMware Identity Manager must connect to Active
Directory.
n To sync with ThinApp, the VMware Identity Manager must join the Active Directory domain and
connect to the ThinApp Repository share.
389 LDAP VMware Identity Manager Active Directory Default values are
636 LDAPS virtual appliance shown. These ports
are configurable.
3268 MSFT-GC
3269 MSFT-GC-
SSL
445 TCP VMware Identity Manager VMware ThinApp repository Access to the
virtual appliance ThinApp repository
12 VMware, Inc.
Chapitre 1 Préparation de l'installation de VMware Identity Manager
5500 UDP VMware Identity Manager RSA SecurID system Default value is
virtual appliance shown. This port is
configurable.
9300–9400 TCP VMware Identity Manager VMware Identity Manager virtual Audit needs
virtual appliance appliance
54328 UDP
80, 443 TCP VMware Identity Manager Citrix Integration Broker server Connection to the
virtual appliance Citrix Integration
Broker. Port option
depends on whether
a certificate is
installed on the
Integration Broker
server
443 HTTPS VMware Identity Manager AirWatch REST API For device
virtual appliance compliance checking
and for the AirWatch
Cloud Connector
password
authentication
method, if that is
used.
88 UDP Unified Access Gateway VMware Identity Manager virtual UDP port to open
appliance for mobile SSO
5262 TCP Android mobile device AirWatch HTTPS proxy service AirWatch Tunnel
client routes traffic
to the HTTPS proxy
for Android devices.
88 UDP iOS mobile device VMware Identity Manager virtual Port used for
appliance Kerberos traffic from
443 HTTPS/TC iOS devices to the
P hosted cloud KDC
service.
Active Directory
VMware Identity Manager supports Active Directory on Windows 2008, 2008 R2, 2012, and 2012 R2, with a
Domain functional level and Forest functional level of Windows 2003 and later.
VMware, Inc. 13
Installing and Configuring VMware Identity Manager
Note Dans Internet Explorer 11, JavaScript doit être activé et les cookies autorisés pour s'authentifier via
VMware Identity Manager.
n Internet Explorer 11
Note Dans Internet Explorer 11, JavaScript doit être activé et les cookies autorisés pour s'authentifier via
VMware Identity Manager.
Prérequis
Avant de commencer à installer VMware Identity Manager, effectuez les tâches préalables.
n Vous avez besoin d'un ou plusieurs serveurs ESX pour déployer le dispositif virtuel
VMware Identity Manager.
Remarque Pour obtenir des informations sur les versions des serveurs vSphere et ESX prises en
charge, reportez-vous aux matrices d'interopérabilité des produits VMware à l'adresse
http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
n VMware vSphere Client ou vSphere Web Client est requis pour déployer le fichier OVA et pour accéder
au dispositif virtuel déployé à distance afin de configurer la mise en réseau.
n Téléchargez le fichier OVA VMware Identity Manager depuis le site Web de VMware.
14 VMware, Inc.
Chapitre 1 Préparation de l'installation de VMware Identity Manager
La configuration de la recherche inversée est facultative. Lorsque vous implémentez la recherche inversée,
vous devez définir un enregistrement PTR sur le serveur DNS afin que le dispositif virtuel utilise la
configuration réseau adéquate.
Vous pouvez utiliser l'exemple de liste d'enregistrements DNS suivant lorsque vous parlez avec votre
administrateur réseau. Remplacez les informations de l'exemple par les informations de votre
environnement. Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution.
Cet exemple montre des enregistrements DNS et des adresses IP qui utilisent la résolution inverse
Tableau 1‑2. Exemples d'enregistrements DNS et d'adresses IP qui utilisent la résolution inverse
Adresse IP Type de ressource Nom d'hôte
Après avoir terminé la configuration DNS, vérifiez que la résolution DNS inverse est configurée
correctement. Par exemple, la commande de dispositif virtuel host IPaddress doit être résolue en recherche
de nom DNS.
Remarque Si vous disposez d'un équilibrage de charge avec une adresse IP virtuelle (VIP) devant les
serveurs DNS, notez que VMware Identity Manager ne prend pas en charge l'utilisation d'une VIP. Vous
pouvez spécifier plusieurs serveurs DNS séparés par une virgule.
To use an external database, your database administrator must prepare an empty external database and
schema before connecting to the external database in the Setup wizard. Licensed users can use a Microsoft
SQL database server or Oracle database server to set up a high availability external database environment.
See “Connecting to the Database,” on page 34.
VMware, Inc. 15
Installing and Configuring VMware Identity Manager
Votre annuaire doit être accessible sur le même réseau local que celui du dispositif virtuel
VMware Identity Manager.
Voir Chapitre 4, « Intégration à votre annuaire d'entreprise », page 45 pour obtenir plus d'informations.
Tableau 1‑5. Liste de vérification des informations du contrôleur de domaine Active Directory
Informations à collecter Afficher les informations
ND de base
16 VMware, Inc.
Chapitre 1 Préparation de l'installation de VMware Identity Manager
ND de base
Certificats SSL
Il est possible d'ajouter un certificat SSL après avoir déployé le dispositif virtuel VMware Identity Manager.
certificat SSL
Clé privée
Clé de licence
Tableau 1‑8. Liste de vérification des informations de la clé de licence VMware Identity Manager
Informations à collecter Afficher les informations
Clé de licence
Remarque Les informations de la clé de licence sont entrées dans la console d'administration sur la page
Paramètres du dispositif > Licence lorsque l'installation est terminée.
Port
Nom d'utilisateur
Mot de passe
Si vous participez au programme, VMware collecte des données anonymes sur votre déploiement afin
d'améliorer sa réponse aux exigences du client. Aucune donnée identifiant votre organisation n'est collectée.
VMware, Inc. 17
Installing and Configuring VMware Identity Manager
Avant de collecter les données, VMware rend anonymes tous les champs contenant des informations
propres à votre organisation.
Remarque Si votre réseau est configuré pour accéder à Internet via un proxy HTTP, vous devez ajuster les
paramètres du proxy sur le dispositif virtuel VMware Identity Manager pour pouvoir envoyer ces
informations. Voir « Paramétrage du serveur proxy pour VMware Identity Manager », page 30.
18 VMware, Inc.
Déploiement d'
VMware Identity Manager 2
Pour déployer VMware Identity Manager, déployez le modèle OVF à l'aide de vSphere Client ou vSphere
Web Client, mettez le dispositif virtuel VMware Identity Manager sous tension et configurez les paramètres.
Une fois le dispositif virtuel VMware Identity Manager déployé, vous utilisez l'Assistant de configuration
pour configurer l'environnement de VMware Identity Manager.
Utilisez les informations de la liste de contrôle du déploiement pour terminer l'installation. Voir « Listes de
vérification de déploiement », page 16.
Remarque Si vous utilisez vSphere Web Client, utilisez des navigateurs Firefox ou Chrome pour déployer
le fichier OVA. N'utilisez pas Internet Explorer.
Prérequis
Consultez Chapitre 1, « Préparation de l'installation de VMware Identity Manager », page 9.
Procédure
1 Téléchargez le fichier OVA VMware Identity Manager depuis My VMware.
VMware, Inc. 19
Installing and Configuring VMware Identity Manager
Page Description
Source Localisez l'emplacement du module OVA ou entrez une URL spécifique.
Détails du modèle OVF Examinez les détails du produit, y compris les exigences de version et de
taille.
Contrat de Licence Utilisateur Final Lisez l'accord de licence d'utilisateur final et cliquez sur Accepter.
Nom et emplacement Saisissez un nom pour le dispositif virtuel VMware Identity Manager. Le
nom doit être unique dans le dossier d'inventaire et contenir au maximum
80 caractères. Les noms sont sensibles à la casse.
Sélectionnez un emplacement pour le dispositif virtuel.
Hôte / Cluster Sélectionnez l'hôte ou le cluster sur lequel exécuter le dispositif virtuel.
Pool de ressources Sélectionnez le pool de ressources.
Stockage Sélectionnez le stockage pour les fichiers du dispositif virtuel. Vous pouvez
également sélectionner un profil de stockage VM.
Format du disque Sélectionnez le format de disque pour les fichiers. Pour les environnements
de production, sélectionnez l'un des formats de provisionnement statique.
Utilisez le format de provisionnement fin pour les évaluations et les tests.
Au format Provisionnement statique, tout l'espace requis pour le disque
virtuel est alloué au cours du déploiement. Au format Provisionnement
dynamique, le disque utilise uniquement la quantité d'espace de stockage
dont il a besoin pour ses opérations initiales.
Mappage réseau Mappez les réseaux utilisés dans VMware Identity Manager aux réseaux
de votre inventaire.
Propriétés a Dans le champ Paramètre de fuseau horaire, sélectionnez le fuseau
horaire correspondant.
b La case Programme d'amélioration du produit est cochée par défaut.
VMware collecte des données anonymes sur votre déploiement afin
d'améliorer la réponse de VMware aux exigences des utilisateurs.
Décochez la case si vous ne voulez pas que les données soient
collectées.
c Dans le champ Nom de l'hôte (FQDN), entrez le nom d'hôte à utiliser.
Si ce champ est vide, le DNS inversé est utilisé pour rechercher le nom
d'hôte.
d Configurez les propriétés de mise en réseau.
n Pour configurer une adresse IP statique pour
VMware Identity Manager, entrez l'adresse dans les champs
Passerelle par défaut, DNS, Adresse IP et Masque réseau.
Remarque Si vous disposez d'un équilibrage de charge avec une
adresse IP virtuelle (VIP) devant les serveurs DNS, notez que
VMware Identity Manager ne prend pas en charge l'utilisation
d'une VIP. Vous pouvez spécifier plusieurs serveurs DNS séparés
par une virgule.
Important Si l'un des quatre champs d'adresse, y compris Nom
d'hôte, est vide, le protocole DHCP est utilisé.
n Pour configurer le protocole DHCP, laissez les champs d'adresse
vides.
Remarque Les champs Nom de domaine et Chemin de recherche de
domaine ne sont pas utilisés. Vous pouvez laisser ces champs vides.
(Facultatif) Une fois VMware Identity Manager installé, vous pouvez
configurer les pools d'adresses IP. Voir « (Facultatif) Ajouter des pools IP »,
page 21.
Prêt à terminer Passez vos sélections en revue et cliquez sur Terminer.
Selon la vitesse de votre réseau, le déploiement peut nécessiter plusieurs minutes. Vous pouvez voir la
progression dans la boîte de dialogue de progression qui s'affiche.
5 Une fois le déploiement terminé, cliquez sur Fermer dans la boîte de dialogue de progression.
20 VMware, Inc.
Chapitre 2 Déploiement d' VMware Identity Manager
6 Sélectionnez le dispositif virtuel VMware Identity Manager que vous avez déployé, cliquez avec le
bouton droit et sélectionnez Alimentation > Mettre sous tension.
Le dispositif virtuel VMware Identity Manager est initialisé. Vous pouvez accéder à l'onglet Console
pour voir les détails. Une fois l'initialisation du dispositif virtuel terminée, l'écran de la console affiche
la version de VMware Identity Manager, l'adresse IP et les URL pour vous connecter à l'interface Web
de VMware Identity Manager et terminer la configuration.
Suivant
n (Facultatif) Ajoutez des pools IP.
n Configurez les paramètres de VMware Identity Manager, notamment la connexion à votre annuaire
Active Directory ou LDAP et la sélection d'utilisateurs et de groupes à synchroniser avec
VMware Identity Manager.
Les pools IP agissent comme des serveurs DHCP pour attribuer des adresses IP du pool au dispositif virtuel
VMware Identity Manager. Pour utiliser des pools IP, vous modifiez les propriétés de mise en réseau du
dispositif virtuel afin de changer les propriétés en propriétés dynamiques et configurez les paramètres de
masque réseau, de passerelle et DNS.
Prérequis
Le dispositif virtuel doit être désactivé.
Procédure
1 Dans vSphere Client ou vSphere Web Client, cliquez avec le bouton droit sur le dispositif virtuel
VMware Identity Manager et sélectionnez Modifier les paramètres.
5 Dans la boîte de dialogue Configuration avancée des propriétés, configurez les clés suivantes :
n vami.DNS.WorkspacePortal
n vami.netmask0.WorkspacePortal
n vami.gateway.WorkspacePortal
b Dans la boîte de dialogue Modifier les paramètres de propriété, à côté du champ Type, cliquez sur
Modifier.
c Dans la boîte de dialogue Modifier le type de propriété, sélectionnez Propriété dynamique, puis
choisissez dans le menu déroulant la valeur appropriée pour Masque réseau, Adresse de la
passerelle et Serveurs DNS, respectivement.
VMware, Inc. 21
Installing and Configuring VMware Identity Manager
Suivant
Configurez les paramètres de VMware Identity Manager.
Prérequis
n Le dispositif virtuel VMware Identity Manager est mis sous tension.
n Si vous utilisez une base de données externe, elle est configurée et ses informations de connexion sont
disponibles. Voir « Connecting to the Database », page 34 pour plus d'informations.
n Examinez Chapitre 4, « Intégration à votre annuaire d'entreprise », page 45, « Intégration à Active
Directory », page 47 et « Intégrer un annuaire LDAP au service », page 62 pour voir les exigences et
les limites.
n Lorsqu'une instance d'Active Directory à forêts multiples est configurée et que le groupe local du
domaine contient des membres de domaines situés dans différentes forêts, l'utilisateur Bind DN utilisé
sur la page VMware Identity Manager Directory doit être ajouté au groupe d'administrateurs du
domaine dans lequel réside le groupe local du domaine. Sinon, ces membres ne seront pas présents
dans le groupe local du domaine.
n Vous disposez d'une liste des attributs utilisateur à utiliser comme filtres et d'une liste des groupes à
ajouter à VMware Identity Manager.
Procédure
1 Accédez à l'URL de VMware Identity Manager qui est affichée sur l'écran bleu dans l'onglet Console.
Par exemple, https://hostname.example.com.
4 Sur la page Définir les mots de passe, définissez des mots de passe pour les comptes d'administrateur
suivants, qui sont utilisés pour gérer le dispositif, puis cliquez sur Continuer.
Compte
Utilisateur distant Définissez le mot de passe sshuser, qui est utilisé pour se connecter à
distance au dispositif avec une connexion SSH.
22 VMware, Inc.
Chapitre 2 Déploiement d' VMware Identity Manager
5 Sur la page Sélectionner une base de données, sélectionnez la base de données à utiliser.
n Si vous utilisez une base de données externe, sélectionnez Base de données externe et entrez les
informations de connexion de la base de données externe, le nom d'utilisateur et le mot de passe.
Pour vérifier que VMware Identity Manager peut se connecter à la base de données, cliquez sur
Tester la connexion.
Remarque Il n'est pas recommandé d'utiliser la base de données interne avec des déploiements de
production.
La connexion à la base de données est configurée et la base de données est initialisée. Lorsque le
processus est terminé, la page La configuration est terminée s'affiche.
6 Cliquez sur le lien Connectez-vous à la console d'administration sur la page La configuration est
terminée pour vous connecter à la console d'administration afin de configurer la connexion de
l'annuaire Active Directory ou LDAP.
7 Connectez-vous à la console d'administration en tant qu'utilisateur admin, à l'aide du mot de passe que
vous avez défini.
Vous êtes connecté en tant qu'administrateur local. La page Annuaires s'affiche. Avant d'ajouter un
annuaire, veillez à examiner Chapitre 4, « Intégration à votre annuaire d'entreprise », page 45,
« Intégration à Active Directory », page 47 et « Intégrer un annuaire LDAP au service », page 62 pour
voir les exigences et les limites.
9 Cliquez sur Configuration > Attributs utilisateur pour sélectionner les attributs utilisateur à
synchroniser avec l'annuaire.
Les attributs par défaut sont répertoriés et vous pouvez sélectionner ceux qui sont obligatoires. Si un
attribut est marqué comme requis, seuls les utilisateurs avec cet attribut sont synchronisés avec le
service. Vous pouvez également ajouter d'autres attributs.
Important Une fois l'annuaire créé, il n'est pas possible de modifier un attribut pour le faire passer à
l'état obligatoire. Vous devez faire cette sélection maintenant.
De plus, sachez que les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires
dans le service. Lorsque vous marquez un attribut comme requis, tenez compte de l'effet sur les autres
annuaires. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas
synchronisés avec le service.
Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager,
vous devez faire de distinguishedName un attribut obligatoire.
12 Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire Active
Directory sur LDAP/IWA ou Ajouter un annuaire LDAP, en fonction du type d'annuaire que vous
intégrez.
Vous pouvez également créer un répertoire local dans le service. Pour plus d'informations sur
l'utilisation des répertoires locaux, reportez-vous à la section Chapitre 5, « Utilisation de répertoires
locaux », page 69.
VMware, Inc. 23
Installing and Configuring VMware Identity Manager
a Entrez un nom pour l'annuaire que vous créez dans VMware Identity Manager et sélectionnez le
type d'annuaire, Active Directory sur LDAP ou Active Directory (authentification Windows
intégrée).
b Fournissez les informations de connexion.
Option Description
Active Directory via LDAP 1 Dans le champ Synchroniser le connecteur, sélectionnez le
connecteur que vous voulez utiliser pour synchroniser des
utilisateurs et des groupes d'Active Directory avec l'annuaire
VMware Identity Manager.
24 VMware, Inc.
Chapitre 2 Déploiement d' VMware Identity Manager
Option Description
n Si l'annuaire Active Directory requiert un accès via SSL, cochez
la case Cet annuaire exige que toutes les connexions utilisent
SSL dans la section Certificats, puis copiez et collez le certificat
d'autorité de certification racine Active Directory dans le
champ Certificat SSL.
Vérifiez que le certificat est au format PEM et incluez les lignes
« BEGIN CERTIFICATE » et « END CERTIFICATE ».
Remarque Si l'annuaire Active Directory requiert SSL et que
vous ne fournissez pas le certificat, vous ne pouvez pas créer
l'annuaire.
6 Dans la section Autoriser la modification du mot de passe,
sélectionnez Activer la modification du mot de passe si vous
voulez autoriser les utilisateurs à réinitialiser leurs mots de passe
sur la page de connexion de VMware Identity Manager si le mot de
passe expire ou si l'administrateur Active Directory réinitialise le
mot de passe de l'utilisateur.
7 Dans le champ ND de base, entrez le ND à partir duquel vous
souhaitez lancer les recherches de comptes. Par exemple :
OU=myUnit,DC=myCorp,DC=com.
8 Dans le champ ND Bind, entrez le compte pouvant rechercher des
utilisateurs. Par exemple :
CN=binduser,OU=myUnit,DC=myCorp,DC=com.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de
nom unique de liaison avec un mot de passe sans date d'expiration.
9 Après avoir entré le mot de passe Bind, cliquez sur Tester la
connexion pour vérifier que l'annuaire peut se connecter à votre
annuaire Active Directory.
Active Directory (authentification 1 Dans le champ Synchroniser le connecteur, sélectionnez le
Windows intégrée) connecteur que vous voulez utiliser pour synchroniser des
utilisateurs et des groupes d'Active Directory avec l'annuaire
VMware Identity Manager.
VMware, Inc. 25
Installing and Configuring VMware Identity Manager
Option Description
Remarque Si l'annuaire Active Directory requiert STARTTLS et
que vous ne fournissez pas le certificat, vous ne pouvez pas créer
l'annuaire.
5 Entrez le nom du domaine Active Directory à joindre. Entrez un
nom d'utilisateur et un mot de passe disposant des droits pour
joindre le domaine. Voir « Autorisations requises pour joindre un
domaine », page 55 pour obtenir plus d'informations.
6 Dans la section Autoriser la modification du mot de passe,
sélectionnez Activer la modification du mot de passe si vous
voulez autoriser les utilisateurs à réinitialiser leurs mots de passe
sur la page de connexion de VMware Identity Manager si le mot de
passe expire ou si l'administrateur Active Directory réinitialise le
mot de passe de l'utilisateur.
7 Dans le champ UPN de l'utilisateur Bind, entrez le nom principal
de l'utilisateur pouvant s'authentifier dans le domaine. Par
exemple, username@example.com.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de
nom unique de liaison avec un mot de passe sans date d'expiration.
8 Entrez le mot de passe de l'utilisateur ND Bind.
26 VMware, Inc.
Chapitre 2 Déploiement d' VMware Identity Manager
Option Description
Nom du répertoire Nom de l'annuaire que vous créez dans VMware Identity Manager.
Synchronisation et 1 Dans le champ Synchroniser le connecteur, sélectionnez le
authentification du répertoire connecteur que vous voulez utiliser pour synchroniser des
utilisateurs et des groupes de l'annuaire LDAP avec l'annuaire
VMware Identity Manager.
Par exemple :
(&(objectClass=user)(objectCategory=person))
Attributs
n Appartenance : attribut utilisé dans votre annuaire LDAP pour
définir les membres d'un groupe.
VMware, Inc. 27
Installing and Configuring VMware Identity Manager
Option Description
n UUID d'objet : attribut utilisé dans votre annuaire LDAP pour
définir l'UUID d'un utilisateur ou d'un groupe.
b Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion.
Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les
modifications nécessaires.
15 Pour un annuaire LDAP, le domaine est répertorié et ne peut pas être modifié.
Pour Active Directory sur LDAP, les domaines sont répertoriés et ne peuvent pas être modifiés.
Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent être
associés à cette connexion Active Directory.
16 Vérifiez que les noms d'attribut de VMware Identity Manager sont mappés sur les bons attributs
d'Active Directory ou LDAP et apportez des modifications, si nécessaire.
Important Si vous intégrez un annuaire LDAP, vous devez spécifier un mappage pour l'attribut
domain.
28 VMware, Inc.
Chapitre 2 Déploiement d' VMware Identity Manager
18 Sélectionnez les groupes que vous souhaitez synchroniser entre l'annuaire Active Directory ou LDAP et
l'annuaire VMware Identity Manager.
Option Description
Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et
sélectionnez les groupes situés en dessous.
a Cliquez sur + et spécifiez le ND du groupe. Par exemple,
CN=users,DC=example,DC=company,DC=com.
Important Spécifiez des ND du groupe qui se trouvent sous le nom
unique de base que vous avez entré. Si un ND du groupe se trouve en
dehors du nom unique de base, les utilisateurs de ce ND seront
synchronisés, mais ne pourront pas se connecter.
b Cliquez sur Rechercher des groupes.
Important Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vous
avez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ce
ND seront synchronisés, mais ne pourront pas se connecter.
b (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types
d'utilisateurs.
VMware, Inc. 29
Installing and Configuring VMware Identity Manager
22 Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire et
pour voir le planning de synchronisation.
Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation,
cliquez sur les liens Modifier.
23 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire.
Remarque Si une erreur de mise en réseau se produit et si le nom d'hôte ne peut pas être résolu de manière
unique à l'aide de la résolution DNS inverse, le processus de configuration s'arrête. Vous devez corriger les
problèmes de mise en réseau et redémarrer le dispositif virtuel. Vous pouvez ensuite poursuivre le
processus de déploiement. Les nouveaux paramètres réseau ne seront disponibles qu'après le redémarrage
du dispositif virtuel.
Suivant
Pour plus d'informations sur la configuration d'un équilibrage de charge ou de la haute disponibilité,
reportez-vous au Chapitre 6, « Configuration avancée du dispositif VMware Identity Manager », page 79.
Vous pouvez personnaliser le catalogue de ressources des applications de votre organisation et activer
l'accès utilisateur à ces ressources. Vous pouvez également configurer d'autres ressources, y compris les
applications View, ThinApp et Citrix. Consultez le document Configuration des ressources dans VMware
Identity Manager.
Autorisez uniquement la gestion du trafic Internet sur votre serveur proxy. Pour vous assurer que le serveur
proxy est correctement configuré, définissez le paramètre du trafic interne sur no-proxy dans le domaine.
Remarque Les serveurs proxy qui requièrent l'authentification ne sont pas pris en charge.
Procédure
1 Dans vSphere Client, connectez-vous en tant qu'utilisateur racine au dispositif virtuel
VMware Identity Manager.
2 Entrez YaST sur la ligne de commande pour exécuter l'utilitaire YaST.
4 Entrez les URL du serveur proxy dans les champs URL de proxy HTTP et URL de proxy HTTPS.
6 Redémarrez le serveur Tomcat sur le dispositif virtuel VMware Identity Manager pour utiliser les
nouveaux paramètres de proxy.
Le catalogue d'applications Cloud et autres services Web sont désormais disponibles dans
VMware Identity Manager.
30 VMware, Inc.
Chapitre 2 Déploiement d' VMware Identity Manager
Procédure
1 Connectez-vous à la console d'administration de VMware Identity Manager.
3 Sur la page Paramètres de la licence, saisissez la clé de licence et cliquez sur Enregistrer.
VMware, Inc. 31
Installing and Configuring VMware Identity Manager
32 VMware, Inc.
Gestion des paramètres de
configuration de système du
dispositif 3
Une fois la configuration initiale du dispositif terminée, accédez aux pages d'administration du dispositif
pour installer des certificats, gérer les mots de passe et suivre les informations système du dispositif virtuel.
Vous pouvez également mettre à jour la base de données, le nom de domaine complet et syslog, et
télécharger les fichiers journaux.
FQDN d'Identity Manager Le FQDN de VMware Identity Manager s'affiche sur cette
page. Vous pouvez le modifier. Le FQDN de
VMware Identity Manager correspond à l'URL que les
utilisateurs utilisent pour accéder au service.
Configurer Syslog Sur cette page, vous pouvez activer un serveur syslog
externe. Les journaux de VMware Identity Manager sont
envoyés à ce serveur externe. Voir « Activation du serveur
Syslog », page 42.
Changer le mot de passe Sur cette page, vous pouvez changer le mot de passe de
l'utilisateur administrateur de VMware Identity Manager.
Sécurité du système Sur cette page, vous pouvez changer le mot de passe racine
du dispositif VMware Identity Manager et le mot de passe
de l'utilisateur ssh utilisé pour se connecter à distance.
Emplacements des fichiers journaux Cette page affiche une liste des fichiers journaux et les
emplacements de leurs répertoires. Vous pouvez
rassembler les fichiers journaux dans un fichier compressé
à télécharger. Voir « Informations sur le fichier journal »,
page 42.
VMware, Inc. 33
Installing and Configuring VMware Identity Manager
Vous pouvez également modifier l'URL du connecteur. Voir « Modification de l'URL de connecteur »,
page 41.
Procédure
1 Connectez-vous à la console d'administration.
Suivant
Vérifiez que les paramètres que vous définissez ou les mises à jour que vous effectuez sont maintenant
appliqués.
You can connect to the external database connection when you run the VMware Identity Manager Setup
wizard. You can also go to the Appliance Settings > VA Configuration > Database Connection Setup page to
configure the connection to the external database.
Licensed users can use an external Oracle database or Microsoft SQL Server to set up a high availability
database environment.
34 VMware, Inc.
Chapitre 3 Gestion des paramètres de configuration de système du dispositif
Vous créez une base de données nommée saas sur le serveur Microsoft SQL Server et créez un utilisateur de
connexion nommé horizon.
Prérequis
n Version prise en charge du serveur Microsoft SQL Server installé en tant que serveur de base de
données externe.
n Droits d'administrateur pour accéder et créer les composants de base de données à l'aide de Microsoft
SQL Server Management Studio ou d'un autre client CLI de Microsoft SQL Server.
Procédure
1 Ouvrez une session sur Microsoft SQL Server Management Studio en tant que sysadmin ou utilisateur
d'un compte ayant les privilèges sysadmin.
Le serveur de base de données Microsoft SQL Server est maintenant prêt à être connecté à la base de
données VMware Identity Manager.
VMware, Inc. 35
Installing and Configuring VMware Identity Manager
Suivant
Configurez la base de données externe sur le serveur VMware Identity Manager. Dans la console
d'administration de VMware Identity Manager, accédez à la page Paramètres du dispositif > Configuration
VA > Configuration de la connexion à la base de données. Entrez l'URL JDBC
jdbc:sqlserver://<hostname-or-DB_VM_IP_ADDR>;DatabaseName=saas. Entrez le nom d'utilisateur et le mot
de passe créés pour la base de données. Voir « Configure VMware Identity Manager to Use an External
Database », page 37
Prérequis
La base de données Oracle que vous créez portera le nom saas. VMware Identity Manager nécessite des
identificateurs Oracle entre guillemets pour le nom d'utilisateur et le schéma. Par conséquent, vous devez
utiliser des guillemets doubles lors de la création du nom d'utilisateur et du schéma saas Oracle.
Procédure
1 Spécifiez les paramètres suivants lors de la création d'une base de données Oracle.
a Sélectionnez l'option de configuration General Purpose/Transaction Processing Database.
36 VMware, Inc.
Chapitre 3 Gestion des paramètres de configuration de système du dispositif
5 Créez un déclencheur de base de données que tous les utilisateurs peuvent utiliser.
CREATE OR REPLACE
TRIGGER CASE_INSENSITIVE_ONLOGON
AFTER LOGON ON DATABASE
DECLARE
username VARCHAR2(30);
BEGIN
username:=SYS_CONTEXT('USERENV','SESSION_USER');
IF username = 'saas' THEN
execute immediate 'alter session set NLS_SORT=BINARY_CI';
execute immediate 'alter session set NLS_COMP=LINGUISTIC';
END IF;
EXCEPTION
WHEN OTHERS THEN
NULL;
END;
Lorsque VMware Identity Manager est installé et activé, lors du processus d'initialisation, un mot de passe
aléatoire pour l'utilisateur de la base de données interne est généré. Ce mot de passe est unique à chaque
déploiement et il est disponible dans le fichier /usr/local/horizon/conf/db.pwd.
Pour configurer votre base de données interne pour la haute disponibilité, consultez l'article 2094258 de la
base de connaissances.
You must point VMware Identity Manager to an initialized, populated database. For example, you can use a
database configured as the result of a successful run of the VMware Identity Manager Setup wizard, a
database from a backup, or an existing database from a recovered snapshot.
VMware, Inc. 37
Installing and Configuring VMware Identity Manager
Prerequisites
n Install and configure the supported Microsoft SQL or Oracle edition as the external database server. For
information about specific versions that are supported by VMware Identity Manager, see the VMware
Product Interoperability Matrixes at
http://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Procedure
1 In the administration console click Appliance Settings and select VA Configuration.
4 On the Database Connection Setup page, select External Database as the database type.
Oracle jdbc:oracle:thin:@//hostname_or_IP_address:port/sid
b Type the name of the user with read and write privileges to the database.
Oracle “saas”
c Type the password for the user you created when you configured the database.
Une autorité de certification est une entité approuvée qui garantit l'identité du certificat et de son créateur.
Lorsqu'un certificat est signé par une autorité de certification de confiance, les utilisateurs ne reçoivent plus
les messages leur demandant de vérifier le certificat.
Si vous déployez VMware Identity Manager avec le certificat SSL auto-signé, le certificat de l'autorité de
certification racine doit être disponible en tant qu'autorité de certification de confiance pour les clients qui
accèdent au de VMware Identity Manager. Les clients peuvent inclure les machines des utilisateurs finaux,
les équilibreurs de charge, les proxys, etc. Vous pouvez télécharger l'autorité de certification racine à
l'adresse https://myconnector.domain.com/horizon_workspace_rootca.pem.
Vous pouvez installer un certificat d'autorité de certification signé depuis la page Paramètres du dispositif >
Gérer la configuration > Installer le certificat. Vous pouvez également ajouter le certificat de l'autorité de
certification racine de l'équilibrage de charge sur cette page.
38 VMware, Inc.
Chapitre 3 Gestion des paramètres de configuration de système du dispositif
Remarque Si le VMware Identity Manager pointe vers un équilibrage de charge, le certificat SSL est
appliqué à celui-ci.
Prérequis
Générez une demande de signature de certificat (CSR) pour obtenir un certificat valide et signé d'une
autorité de certification. Si votre entreprise fournit des certificats SSL signés par une autorité de certification,
vous pouvez les utiliser. Le certificat doit être au format PEM.
Procédure
1 Dans la console d'administration, cliquez sur Paramètres du dispositif.
3 Dans la boîte de dialogue qui s'affiche, entrez le mot de passe de l'utilisateur administrateur du serveur
VMware Identity Manager.
5 Dans l'onglet Interrompre SSL sur un dispositif Identity Manager, sélectionnez Certificat personnalisé.
6 Dans la zone de texte Chaîne de certificat SSL, collez les certificats hôte, intermédiaire et racine, dans
cet ordre.
Le certificat SSL ne fonctionne que si vous incluez toute la chaîne de certificat dans le bon ordre. Pour
chaque certificat, copiez tout ce qui se trouve entre les lignes -----BEGIN CERTIFICATE----- et -----END
CERTIFICATE----, en incluant celles-ci.
7 Collez la clé privée dans la zone de texte Clé privée. Copiez tout ce qui se trouve entre les lignes ----
BEGIN RSA PRIVATE KEY et ---END RSA PRIVATE KEY.
-----BEGIN CERTIFICATE-----
jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+
...
...
...
W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
VMware, Inc. 39
Installing and Configuring VMware Identity Manager
WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+
...
...
...
O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+
...
...
...
5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1
-----END CERTIFICATE-----
jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+
...
...
...
1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1
Le certificat SSL ne fonctionne que si vous incluez l'intégralité de la chaîne de certificat. Pour chaque
certificat, copiez tout ce qui se trouve entre les lignes -----BEGIN CERTIFICATE----- et -----END
CERTIFICATE---- , en incluant celles-ci.
Important Vous devez ajouter la chaîne de certificat en respectant l'ordre suivant : certificat SSL, certificats
de l'autorité de certification intermédiaire, certificat de l'autorité de certification racine.
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate/Issuing CA Cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
40 VMware, Inc.
Chapitre 3 Gestion des paramètres de configuration de système du dispositif
Procédure
1 Connectez-vous à la console d'administration de VMware Identity Manager.
3 Cliquez sur Gérer la configuration et connectez-vous avec le mot de passe de l'utilisateur admin.
4 Cliquez sur FQDN d'Identity Manager et entrez la nouvelle URL dans le champ FQDN d'Identity
Manager.
Utilisez le format https://FQDN:port. La spécification d'un port est facultative. Le port par défaut est
443.
Suivant
Activez la nouvelle interface utilisateur du portail.
2 Dans la console d'administration, cliquez sur la flèche dans l'onglet Catalogue et sélectionnez
Paramètres.
3 Sélectionnez Nouvelle interface utilisateur du portail de l'utilisateur final dans le volet de gauche et
cliquez sur Activer la nouvelle interface utilisateur du portail.
Procédure
1 Connectez-vous à la console d'administration de VMware Identity Manager.
2 Cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet Fournisseurs d'identité.
Utilisez le format nom d'hôte:port. La spécification d'un port est facultative. Le port par défaut est 443.
VMware, Inc. 41
Installing and Configuring VMware Identity Manager
Dans la mesure où la plupart des entreprises ne disposent pas d'un espace disque illimité, le dispositif
virtuel n'enregistre pas l'historique de journalisation complet. Si vous souhaitez enregistrer davantage
d'historique ou créer un emplacement centralisé pour votre historique de journalisation, vous pouvez
configurer un serveur syslog externe.
Si vous ne spécifiez pas un serveur Syslog lors de la configuration initiale, vous pouvez le faire
ultérieurement sur la page Paramètres du dispositif > Configuration VA > Gérer la configuration >
Configuration Syslog.
Prérequis
Configurez un serveur syslog externe. Vous pouvez utiliser n'importe quel serveur syslog standard
disponible. Plusieurs serveurs syslog incluent des fonctions de recherche avancées.
Procédure
1 Connectez-vous à la console d'administration.
2 Cliquez sur l'onglet Paramètres du dispositif, sélectionnez Configuration VA dans le volet de gauche et
cliquez sur Gérer la configuration.
5 Entrez l'adresse IP ou le nom de domaine complet du serveur Syslog à l'emplacement dans lequel vous
souhaitez stocker les journaux.
42 VMware, Inc.
Chapitre 3 Gestion des paramètres de configuration de système du dispositif
Mettre à jour les /opt/vmware/var/log/update.log Enregistrement des messages sortants associés aux
journaux /opt/vmware/var/log/vami demandes de mise à jour pendant la mise à niveau de
VMware Identity Manager .
Les fichiers du
répertoire /opt/vmware/var/log/vami sont utiles
pour le dépannage. Vous trouverez ces fichiers sur
toutes les machines virtuelles après une mise à niveau.
Journaux Apache /opt/vmware/horizon/workspace/log Apache Tomcat enregistre les messages qui ne sont
Tomcat s/catalina.log pas enregistrés dans d'autres fichiers journaux.
Vous collectez les journaux auprès de chaque dispositif se trouvant dans votre environnement.
Procédure
1 Connectez-vous à la console d'administration.
3 Cliquez sur Emplacements des fichiers journaux et cliquez sur Préparer le bundle de journaux.
Les informations sont collectées dans un fichier tar.gz que vous pouvez télécharger.
Suivant
Pour collecter tous les journaux, procédez ainsi avec chaque dispositif.
Assurez-vous de créer des mots de passe forts. Les mots de passe forts doivent contenir au moins huit
caractères, des majuscules et des minuscules et au moins un chiffre ou caractère spécial.
Procédure
1 Dans la console d'administration, cliquez sur l'onglet Paramètres du dispositif
3 Pour modifier le mot de passe Admin, sélectionnez Modifier le mot de passe. Pour modifier les mots de
passe racine ou sshuser, sélectionnez Sécurité du système.
VMware, Inc. 43
Installing and Configuring VMware Identity Manager
Des e-mails de notification sont envoyés aux nouveaux utilisateurs créés en tant qu'utilisateurs locaux et
lorsqu'un mot de passe est réinitialisé dans le service VMware Identity Manager.
Procédure
1 Connectez-vous à la console d'administration.
Par exemple : 25
44 VMware, Inc.
Intégration à votre annuaire
d'entreprise 4
Vous intégrez VMware Identity Manager à votre annuaire d'entreprise pour synchroniser les utilisateurs et
les groupes entre votre annuaire d'entreprise et le service VMware Identity Manager.
n répertoire LDAP
Pour l'intégration à votre annuaire d'entreprise, vous effectuez les tâches suivantes.
n Spécifiez les attributs que vous voulez que les utilisateurs aient dans le service
VMware Identity Manager.
n Créez un annuaire dans le service VMware Identity Manager du même type que celui de votre annuaire
d'entreprise et spécifiez les détails de connexion.
n Mappez les attributs VMware Identity Manager aux attributs utilisés dans votre annuaire Active
Directory ou LDAP.
Après avoir intégré votre annuaire d'entreprise et effectué la synchronisation initiale, vous pouvez mettre à
jour la configuration, configurer un planning de synchronisation régulier ou démarrer une synchronisation à
tout moment.
VMware, Inc. 45
Installing and Configuring VMware Identity Manager
Connector
Le connecteur, composant du service, exécute les fonctions suivantes.
n Synchronise les données des utilisateurs et des groupes de votre annuaire Active Directory ou LDAP
avec le service.
n Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service.
Le connecteur est le fournisseur d'identité par défaut. Vous pouvez également utiliser les fournisseurs
d'identité tiers prenant en charge le protocole SAML 2.0. Utilisez un fournisseur d'identité tiers pour un
type d'authentification non pris en charge par le connecteur ou si le fournisseur d'identité tiers est
préférable en fonction de la stratégie de sécurité de votre entreprise.
Remarque Si vous utilisez des fournisseurs d'identité tiers, vous pouvez configurer le connecteur pour
synchroniser des données utilisateur et groupe ou configurer le provisionnement utilisateur juste-à-
temps. Consultez la section Provisionnement utilisateur juste-à-temps dans Administration de VMware
Identity Manager pour plus d'informations.
Annuaire
Le service VMware Identity Manager dispose de son propre concept d'annuaire, qui correspond à l'annuaire
Active Directory ou LDAP dans votre environnement. Cet annuaire utilise des attributs pour définir des
utilisateurs et des groupes. Vous devez créer un ou plusieurs annuaires dans le service, puis les synchroniser
avec votre annuaire Active Directory ou LDAP. Vous pouvez créer les types d'annuaires suivants dans le
service.
n Active Directory
n Active Directory via LDAP : Créez ce type d'annuaire si vous prévoyez de vous connecter à un seul
environnement de domaine Active Directory. Pour le type d'annuaire Active Directory via LDAP, le
connecteur se lie à Active Directory via une authentification Bind simple.
n Active Directory, authentification Windows intégrée. Créez ce type d'annuaire si vous prévoyez de
vous connecter à un environnement Active Directory à forêts et domaines multiples. Le connecteur
se lie à Active Directory via l'authentification Windows intégrée.
Le type et le nombre d'annuaires que vous créez varie selon votre environnement Active Directory, par
exemple à domaine simple ou multiple, et le type d'approbation utilisé entre les domaines. Dans la
plupart des environnements, vous devez créer un seul annuaire.
n Annuaire LDAP
Le service n'a pas un accès direct à votre annuaire Active Directory ou LDAP. Seul le connecteur a un accès
direct. Par conséquent, vous devez associer chaque annuaire créé dans le service à une connecteur instance.
Travailleur
Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partition pour
l'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée à plusieurs travailleurs.
Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodes
d'authentification pour chaque travailleur.
46 VMware, Inc.
Chapitre 4 Intégration à votre annuaire d'entreprise
Le connecteur synchronise les données des utilisateurs et des groupes entre votre annuaire Active Directory
ou LDAP et le service au moyen d'un ou de plusieurs travailleurs.
Important La même instance de connecteur ne peut pas comporter deux travailleurs d'Active Directory de
type Authentification Windows intégrée.
Considérations de sécurité
Pour les répertoires d'entreprise intégrés au service VMware Identity Manager, des paramètres de sécurité,
tels que les règles de complexité des mots de passe utilisateur et des stratégies de verrouillage de compte,
doivent être définis directement dans le répertoire d'entreprise. VMware Identity Manager ne remplace pas
ces paramètres.
Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 46.
Pour cet environnement, lorsque vous ajoutez un annuaire au service, sélectionnez l'option Active Directory
via LDAP.
Vous pouvez configurer le service pour cet environnement Active Directory en tant qu'annuaire de type
Authentification Windows intégrée à Active Directory unique ou en tant qu'annuaire de type Active
Directory via LDAP configuré avec l'option de catalogue global.
Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory
(Authentification Windows intégrée).
VMware, Inc. 47
Installing and Configuring VMware Identity Manager
n Si l'authentification Windows intégrée ne fonctionne pas dans votre environnement Active Directory,
créez un annuaire de type Active Directory via LDAP et sélectionnez l'option de catalogue global.
Certaines limitations sont définies pour la sélection de l'option de catalogue global, parmi lesquelles :
n Les attributs d'objet Active Directory qui sont répliqués sur le catalogue global sont identifiés dans
le schéma Active Directory sous forme d'ensemble d'attributs partiels (PAS) : Seuls ces attributs
sont disponibles pour le mappage des attributs par le service. Si nécessaire, modifiez le schéma
pour ajouter ou supprimer les attributs qui sont stockés dans le catalogue global.
n Le catalogue global stocke l'appartenance au groupe (l'attribut membre) des groupes universels
uniquement. Seuls les groupes universels sont synchronisés avec le service. Si nécessaire, vous
pouvez modifier la portée d'un groupe d'un domaine local ou passer de global à universel.
n Le compte ND Bind que vous définissez lors de la configuration d'un annuaire dans le service doit
disposer d'autorisations pour lire l'attribut TGGAU (Token-Groups-Global-And-Universal).
Active Directory utilise les ports 389 et 636 pour les requêtes LDAP standard. Pour les requêtes de
catalogue global, les ports 3268 et 3269 sont utilisées.
Lorsque vous ajoutez un annuaire pour l'environnement de catalogue global, spécifiez les actions
suivantes lors de la configuration.
n Sélectionnez l'option Cet annuaire comporte un catalogue global. Lorsque vous sélectionnez cette
option, le numéro de port du serveur est automatiquement modifié à 3268. Aussi, du fait que le ND
de base n'est pas nécessaire lors de la configuration de l'option de catalogue global, la zone de texte
ND de base n'apparaît pas.
n Si votre annuaire Active Directory requiert un accès via SSL, sélectionnez l'option Cet annuaire
exige que toutes les connexions utilisent SSL et collez le certificat dans la zone de texte indiquée.
Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié
à 3269.
48 VMware, Inc.
Chapitre 4 Intégration à votre annuaire d'entreprise
Le type d'annuaire que vous créez dans le service varie selon la forêt. Pour les forêts à plusieurs domaines,
sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour une forêt ne comptant
qu'un seul domaine, sélectionnez l'option Active Directory via LDAP.
La recherche de l'emplacement du service DNS est activée sur les types d'annuaires suivants :
n Active Directory sur LDAP avec l'option Cet annuaire prend en charge l'emplacement du service DNS
sélectionnée
La première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est
activée, un fichier domain_krb.properties est automatiquement créé dans le
répertoire /usr/local/horizon/conf de la machine virtuelle, puis rempli avec des contrôleurs de domaine
pour chaque domaine. Pour remplir le fichier, le connecteur tente de rechercher les contrôleurs de domaine
qui se trouvent sur le même site que le connecteur et en sélectionne deux qui sont accessibles et qui
réagissent le plus vite.
Lorsque vous créez des annuaires supplémentaires sur lesquels la recherche de l'emplacement du service
DNS est activée, ou lorsque vous ajoutez de nouveaux domaines à un annuaire Authentification Windows
intégrée, les nouveaux domaines, et une liste de leurs contrôleurs de domaine, sont ajoutés au fichier.
Vous pouvez remplacer la sélection par défaut à tout moment en modifiant le fichier
domain_krb.properties. Après avoir créé un annuaire, il vous est conseillé de consulter le fichier
domain_krb.properties et de vérifier que les contrôleurs de domaine répertoriés sont les plus adaptés à
votre configuration. Pour un déploiement Active Directory global avec plusieurs contrôleurs de domaine
dans différents emplacements géographiques, le fait d'utiliser un contrôleur de domaine proche du
connecteur garantit une communication plus rapide avec Active Directory.
VMware, Inc. 49
Installing and Configuring VMware Identity Manager
Vous devez également mettre à jour le fichier manuellement pour toute autre modification. Les règles
suivantes s'appliquent.
n Le fichier domain_krb.properties est créé dans la machine virtuelle qui contient le connecteur. Dans un
déploiement classique, sans connecteurs supplémentaires déployés, le fichier est créé dans la machine
virtuelle de service VMware Identity Manager. Si vous utilisez un connecteur supplémentaire pour
l'annuaire, le fichier est créé dans la machine virtuelle de connecteur. Une machine virtuelle ne peut
contenir qu'un seul fichier domain_krb.properties.
n Le fichier est créé et rempli automatiquement avec des contrôleurs de domaine pour chaque domaine,
la première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS
est activée.
n Les contrôleurs de domaine de chaque domaine sont classés par ordre de priorité. Pour se connecter à
Active Directory, le connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas
accessible, il teste le deuxième de la liste, etc.
n Le fichier est mis à jour uniquement lorsque vous créez un annuaire sur lequel la recherche de
l'emplacement du service DNS est activée ou lorsque vous ajoutez un domaine à un annuaire
Authentification Windows intégrée. Le nouveau domaine et une liste de contrôleurs de domaine le
concernant sont ajoutés au fichier.
Notez que si une entrée pour un domaine existe déjà dans le fichier, elle n'est pas mise à jour. Par
exemple, si vous avez créé puis supprimé un annuaire, l'entrée de domaine d'origine reste dans le
fichier et elle n'est pas mise à jour.
n Le fichier n'est mis à jour automatiquement dans aucun autre scénario. Par exemple, si vous supprimez
un annuaire, l'entrée de domaine n'est pas supprimée du fichier.
n Si un contrôleur de domaine répertorié dans le fichier n'est pas accessible, modifiez le fichier et
supprimez-le.
n Si vous ajoutez ou supprimez une entrée de domaine manuellement, vos modifications ne seront pas
remplacées.
Important Le fichier /etc/krb5.conf doit être cohérent avec le fichier domain_krb.properties. Lorsque
vous mettez à jour le fichier domain_krb.properties, mettez également à jour le fichier krb5.conf. Pour plus
d'informations, consultez la section « Modification du fichier domain_krb.properties », page 51 et
l'article 2091744 de la base de connaissances.
Pour détecter les contrôleurs de domaine qui sont les plus proches, VMware Identity Manager a les
exigences suivantes :
n Le sous-réseau du connecteur doit être présent dans la configuration Active Directory, ou un sous-
réseau doit être spécifié dans le fichier runtime-config.properties. Voir « Remplacement de la sélection
de sous-réseau par défaut », page 51.
50 VMware, Inc.
Chapitre 4 Intégration à votre annuaire d'entreprise
Si le sous-réseau ne peut pas être déterminé ou si votre configuration Active Directory n'est pas liée au site,
la recherche de l'emplacement du service DNS est utilisée pour rechercher des contrôleurs de domaine, et le
fichier est rempli avec quelques contrôleurs de domaine qui sont accessibles. Notez qu'il est possible que ces
contrôleurs de domaine ne se trouvent pas dans le même emplacement géographique que le connecteur, ce
qui peut entraîner des retards ou des délais d'expiration lors de la communication avec Active Directory.
Dans ce cas, modifiez le fichier domain_krb.properties manuellement et spécifiez les contrôleurs de
domaine corrects à utiliser pour chaque domaine. Voir « Modification du fichier domain_krb.properties »,
page 51.
Pour rechercher le site, le connecteur détermine le sous-réseau sur lequel il réside, en fonction de son
adresse IP et de son masque de réseau, puis utilise la configuration Active Directory pour identifier le site
pour ce sous-réseau. Si le sous-réseau de la machine virtuelle ne se trouve pas dans Active Directory, ou si
vous voulez remplacer la sélection de sous-réseau automatique, vous pouvez spécifier un sous-réseau dans
le fichier runtime-config.properties.
Procédure
1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine.
siteaware.subnet.override=subnet
où subnet est un sous-réseau du site dont vous voulez utiliser les contrôleurs de domaine. Par exemple :
siteaware.subnet.override=10.100.0.0/20
4 Redémarrez le service.
Le fichier est créé et rempli automatiquement par le connecteur. Vous devez le mettre à jour manuellement
dans les scénarios suivants :
n Si les contrôleurs de domaine sélectionnés par défaut ne sont pas les plus adaptés à votre configuration,
modifiez le fichier et spécifiez les contrôleurs de domaine à utiliser.
n Si des contrôleurs de domaine dans le fichier ne sont pas accessibles, supprimez-les du fichier.
VMware, Inc. 51
Installing and Configuring VMware Identity Manager
Procédure
1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine.
3 Modifiez le fichier domain_krb.properties pour ajouter ou modifier la liste de domaine aux valeurs
d'hôte.
domain=host:port,host2:port,host3:port
Par exemple :
example.com=examplehost1.example.com:389,examplehost2.example.com:389
Répertoriez les contrôleurs de domaine par ordre de priorité. Pour se connecter à Active Directory, le
connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas accessible, il teste le
deuxième de la liste, etc.
4 Remplacez le propriétaire du fichier domain_krb.properties par horizon et le groupe par www à l'aide de
la commande suivante.
5 Redémarrez le service.
Suivant
Une fois que vous avez modifié le fichier domain_krb.properties, modifiez le fichier /etc/krb5.conf. Le
fichier krb5.conf doit être cohérent avec le fichier domain_krb.properties.
1 Modifiez le fichier /etc/krb5.conf et mettez à jour la section realms pour spécifier les mêmes valeurs
domaine-vers-l'hôte qui sont utilisées dans le fichier /usr/local/horizon/conf/domain_krb.properties.
Vous n'avez pas besoin de spécifier le numéro de port. Par exemple, si votre fichier
domain_krb.properties contient l'entrée de domaine example.com=examplehost.example.com:389, vous
devez mettre à jour le fichier krb5.conf comme suit.
[realms]
GAUTO-QA.COM = {
auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/
auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/
auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-
QA\.COM/GAUTO2QA/
auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/
auth_to_local = DEFAULT
kdc = examplehost.example.com
}
Remarque Il est possible d'avoir plusieurs entrées kdc. Toutefois, il ne s'agit pas d'une obligation, car
dans la plupart des cas il n'y a qu'une seule valeur kdc. Si vous choisissez de définir des valeurs kdc
supplémentaires, chaque ligne aura une entrée kdc qui définira un contrôleur de domaine.
52 VMware, Inc.
Chapitre 4 Intégration à votre annuaire d'entreprise
Les modifications effectuées et sauvegardées sur la page Attributs utilisateur sont ajoutées sur la page
Attributs mappés dans le répertoire de VMware Identity Manager. Les modifications des attributs sont
mises à jour dans le répertoire lors de la synchronisation suivante à Active Directory.
La page Attributs utilisateur répertorie les attributs d'annuaire par défaut pouvant être mappés aux attributs
Active Directory. Vous devez sélectionner les attributs requis et ajouter les autres attributs Active Directory
que vous souhaitez synchroniser avec l'annuaire. Lorsque vous ajoutez des attributs, notez que le nom
d'attribut que vous entrez est sensible à la casse. Par exemple, adresse, Adresse et ADRESSE sont des
attributs différents.
Tableau 4‑1. Attributs Active Directory par défaut à synchroniser avec le répertoire
Nom de l'attribut du répertoire de VMware Identity
Manager Mappage par défaut vers l'attribut Active Directory
userPrincipalName userPrincipalName
distinguishedName distinguishedName
employeeId employeeID
phone telephoneNumber
lastName sn
firstName givenName
VMware, Inc. 53
Installing and Configuring VMware Identity Manager
Tableau 4‑1. Attributs Active Directory par défaut à synchroniser avec le répertoire (suite)
Nom de l'attribut du répertoire de VMware Identity
Manager Mappage par défaut vers l'attribut Active Directory
email mail
userName sAMAccountName.
Lorsque vous configurez la page Attributs utilisateur avant la création de l'annuaire, vous pouvez faire
passer les attributs par défaut de l'état obligatoire à l'état facultatif, marquer les attributs si nécessaire et
ajouter des attributs personnalisés.
Une fois l'annuaire créé, vous pouvez faire passer un attribut obligatoire à l'état facultatif, et vous pouvez
supprimer des attributs personnalisés. Il n'est pas possible de modifier un attribut pour le faire passer à l'état
obligatoire.
Lorsque vous ajoutez d'autres attributs à synchroniser avec l'annuaire, une fois l'annuaire créé, accédez à la
page Attributs mappés de l'annuaire pour mapper ces attributs à ceux d'Active Directory.
Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager,
vous devez faire de distinguishedName un attribut obligatoire. Vous devez spécifier cela avant de créer
l'annuaire VMware Identity Manager.
Procédure
1 Sur l'onglet Gestion des identités et des accès de la console d'administration, cliquez sur Configuration
> Attributs utilisateur.
2 Dans la section Attributs par défaut, examinez la liste d'attributs obligatoires et apportez les
modifications souhaitées pour refléter les attributs obligatoires.
3 Dans la section Attributs, ajoutez le nom d'attribut de l'annuaire VMware Identity Manager à la liste.
L'état d'attribut par défaut est mis à jour et les attributs que vous avez ajoutés sont ajoutés à la liste
d'attributs mappés de l'annuaire.
5 Une fois l'annuaire créé, accédez à la page Gérer > Annuaires et sélectionnez l'annuaire.
L'annuaire est mis à jour lors de sa prochaine synchronisation avec Active Directory.
54 VMware, Inc.
Chapitre 4 Intégration à votre annuaire d'entreprise
Pour joindre un domaine, vous avez besoin d'informations d'identification Active Directory avec le privilège
pour « joindre un ordinateur au domaine AD ». Cela est configuré dans Active Directory avec les droits
suivants :
n Créer des objets Ordinateur
Lorsque vous joignez un domaine, un objet d'ordinateur est créé dans l'emplacement par défaut dans Active
Directory, sauf si vous spécifiez une OU personnalisée.
Si vous ne disposez pas des droits de joindre un domaine, suivez ces étapes.
1 Demandez à votre administrateur Active Directory de créer l'objet Ordinateur dans Active Directory,
dans un emplacement déterminé par votre stratégie d'entreprise. Fournissez le nom d'hôte du
connecteur . Vérifiez que vous fournissez le nom de domaine complet, par exemple,
serveur.exemple.com.
Conseil Vous pouvez voir le nom d'hôte dans la colonne Nom d'hôte sur la page Connecteurs dans la
console d'administration. Cliquez sur Identité et gestion de l'accès > Configuration > Connecteurs
pour afficher la page Connecteurs.
2 Une fois l'objet Ordinateur créé, joignez le domaine à l'aide d'un compte d'utilisateur de domaine dans
la console d'administration de VMware Identity Manager.
La commande Joindre le domaine est disponible sur la page Connecteurs, accessible en cliquant sur
Identité et gestion de l'accès > Configuration > Connecteurs.
Option Description
Les options de connexion à Active Directory sont Active Directory via LDAP et Authentification Windows
intégrée à Active Directory. La connexion Active Directory via LDAP prend en charge la recherche de
l'emplacement du service DNS. Avec l'authentification Windows intégrée à Active Directory, vous devez
configurer le domaine à joindre.
VMware, Inc. 55
Installing and Configuring VMware Identity Manager
Prérequis
n Sélectionnez les attributs par défaut souhaités et ajoutez des attributs supplémentaires, si nécessaire, sur
la page Attributs utilisateur. Voir « Sélection des attributs à synchroniser avec l'annuaire », page 54.
Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager,
vous devez faire de distinguishedName un attribut requis. Vous devez faire cette sélection avant de
créer un annuaire car les attributs ne peuvent pas être modifiés en attributs requis si l'annuaire est déjà
créé.
n Liste des groupes et utilisateurs d'Active Directory à synchroniser depuis Active Directory.
n Pour Active Directory via LDAP, les informations requises incluent le nom unique de base, le nom
unique de liaison et le mot de passe du nom unique de liaison.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot
de passe sans date d'expiration.
n Pour l'authentification Windows intégrée à Active Directory, les informations requises incluent l'adresse
et le mot de passe de l'UPN de l'utilisateur Bind du domaine.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot
de passe sans date d'expiration.
n Si Active Directory requiert un accès via SSL ou STARTTLS, le certificat d'autorité de certification racine
du contrôleur de domaine Active Directory est requis.
n Pour l'authentification Windows intégrée à Active Directory, lorsque vous avez configuré un annuaire
Active Directory à forêts multiples et que le groupe local du domaine contient des membres de
domaines provenant de différentes forêts, assurez-vous que l'utilisateur Bind est ajouté au groupe
Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne
seront pas présents dans le groupe local du domaine.
Procédure
1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.
56 VMware, Inc.
Chapitre 4 Intégration à votre annuaire d'entreprise
4 Sélectionnez le type d'annuaire Active Directory dans votre environnement et configurez les
informations de connexion.
Option Description
Active Directory via LDAP a Dans le champ Connecteur de synchronisation, sélectionnez le
connecteur à utiliser pour la synchronisation avec Active Directory.
b Dans le champ Authentification, si cet annuaire Active Directory est
utilisé pour authentifier des utilisateurs, cliquez sur Oui.
VMware, Inc. 57
Installing and Configuring VMware Identity Manager
Option Description
Vérifiez que le certificat est au format PEM et incluez les lignes
« BEGIN CERTIFICATE » et « END CERTIFICATE ».
Remarque Si l'annuaire Active Directory requiert SSL et que
vous ne fournissez pas le certificat, vous ne pouvez pas créer
l'annuaire.
f Dans le champ ND de base, entrez le ND à partir duquel vous
souhaitez lancer les recherches de comptes. Par exemple :
OU=myUnit,DC=myCorp,DC=com.
g Dans le champ ND Bind, entrez le compte pouvant rechercher des
utilisateurs. Par exemple :
CN=binduser,OU=myUnit,DC=myCorp,DC=com.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de
nom unique de liaison avec un mot de passe sans date d'expiration.
h Après avoir entré le mot de passe Bind, cliquez sur Tester la
connexion pour vérifier que l'annuaire peut se connecter à votre
annuaire Active Directory.
Active Directory (authentification a Dans le champ Connecteur de synchronisation, sélectionnez le
Windows intégrée) connecteur à utiliser pour la synchronisation avec Active Directory.
b Dans le champ Authentification, si cet annuaire Active Directory est
utilisé pour authentifier des utilisateurs, cliquez sur Oui.
58 VMware, Inc.
Chapitre 4 Intégration à votre annuaire d'entreprise
6 Pour Active Directory via LDAP, les domaines sont signalés par une coche.
Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent être
associés à cette connexion Active Directory.
7 Vérifiez que les noms d'attribut de l'annuaire VMware Identity Manager sont mappés aux attributs
Active Directory corrects et apportez des modifications, si nécessaire, puis cliquez sur Suivant.
8 Sélectionnez les groupes que vous souhaitez synchroniser entre Active Directory et l'annuaire
VMware Identity Manager.
Option Description
Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et
sélectionnez les groupes situés en dessous.
a Cliquez sur + et spécifiez le ND du groupe. Par exemple,
CN=users,DC=example,DC=company,DC=com.
Important Spécifiez des ND du groupe qui se trouvent sous le nom
unique de base que vous avez entré. Si un ND du groupe se trouve en
dehors du nom unique de base, les utilisateurs de ce ND seront
synchronisés, mais ne pourront pas se connecter.
b Cliquez sur Rechercher des groupes.
VMware, Inc. 59
Installing and Configuring VMware Identity Manager
Important Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vous
avez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ce
ND seront synchronisés, mais ne pourront pas se connecter.
b (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types
d'utilisateurs.
12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchronisent avec l'annuaire et
pour voir le planning de synchronisation.
Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation,
cliquez sur les liens Modifier.
La connexion à Active Directory est établie et les utilisateurs et les groupes sont synchronisés entre Active
Directory et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle
d'administrateur dans VMware Identity Manager par défaut.
Suivant
n Si vous avez créé un annuaire qui prend en charge l'emplacement du service DNS, un fichier
domain_krb.properties a été créé et rempli automatiquement avec une liste de contrôleurs de domaine.
Affichez le fichier pour vérifier ou modifier la liste de contrôleurs de domaine. Voir « À propos de la
sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 49.
n Configurez les méthodes d'authentification. Une fois les utilisateurs et groupes synchronisés avec
l'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer des
méthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identité
d'authentification, configurez ce dernier dans le connecteur.
n Examinez la stratégie d'accès par défaut. La stratégie d'accès par défaut est configurée de manière à
permettre à tous les dispositifs de l'ensemble des plages réseau d'accéder au navigateur Web, avec un
délai d'expiration de session défini à 8 heures ou pour accéder à une application cliente ayant un délai
d'expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défaut
et lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies.
n Appliquez des informations de marque à la console d'administration, aux pages du portail utilisateur et
à l'écran de connexion.
Activez cette option par répertoire, en sélectionnant l'option Autoriser la modification du mot de passe sur
la page Paramètres de répertoire.
60 VMware, Inc.
Chapitre 4 Intégration à votre annuaire d'entreprise
Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en
cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en
cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent
modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.
Les mots de passe expirés ou les mots de passe réinitialisés par l'administrateur dans Active Directory
peuvent être modifiés sur la page de connexion. Lorsqu'un utilisateur tente de se connecter avec un mot de
passe expiré, il est invité à le réinitialiser. L'utilisateur doit entrer l'ancien mot de passe ainsi que le nouveau
mot de passe.
Les exigences du nouveau mot de passe sont déterminées par la stratégie de mot de passe d'Active
Directory. Le nombre de tentatives autorisées dépend également de la stratégie de mot de passe d'Active
Directory.
n Si vous utilisez des dispositifs virtuels de connecteur autonomes supplémentaires, notez que l'option
Autoriser la modification du mot de passe n'est disponible qu'avec le connecteur version 2016.11.1 et
ultérieures.
n Lorsqu'un répertoire est ajouté à VMware Identity Manager en tant que catalogue global, l'option
Autoriser la modification du mot de passe n'est pas disponible. Il est possible d'ajouter des répertoires
en tant qu'annuaires Active Directory sur LDAP ou Authentification Windows intégrée, à l'aide des
ports 389 ou 636.
n Le mot de passe d'un utilisateur de nom unique de liaison ne peut pas être réinitialisé à partir de
VMware Identity Manager, même s'il expire ou si l'administrateur Active Directory le réinitialise.
Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot
de passe sans date d'expiration.
n Les mots de passe d'utilisateurs dont les noms de connexion comportent des caractères multioctets
(caractères non-ASCII) ne peuvent pas être réinitialisés à partir de VMware Identity Manager.
Prérequis
n Le port 464 doit être ouvert entre VMware Identity Manager et les contrôleurs de domaine.
Procédure
1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.
4 Entrez le mot de passe de nom unique de liaison dans la section Détails de l'utilisateur Bind et cliquez
sur Enregistrer.
Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 46.
VMware, Inc. 61
Installing and Configuring VMware Identity Manager
Pour intégrer plusieurs domaines à partir d'un annuaire LDAP, vous devez créer des annuaires
VMware Identity Manager supplémentaires, un pour chaque domaine.
n Les méthodes d'authentification suivantes ne sont pas prises en charge pour les annuaires
VMware Identity Manager de type LDAP.
n authentification Kerberos
n SecurID
n L'intégration à des ressources View ou publiées Citrix n'est pas prise en charge pour les annuaires
VMware Identity Manager de type LDAP.
n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace,
l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.
n Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des
attributs comme requis sur la page Attributs utilisateur, à l'exception de userName, qui peut être
marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires
dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas
synchronisés avec le service VMware Identity Manager.
n Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez
spécifier des noms uniques dans le service VMware Identity Manager. Vous pouvez spécifier les noms
lorsque vous sélectionnez les groupes à synchroniser.
n L'option pour autoriser les utilisateurs à réinitialiser leurs mots de passe expirés n'est pas disponible.
Pour intégrer votre annuaire LDAP, vous créez un annuaire VMware Identity Manager correspondant et
synchronisez les utilisateurs et les groupes depuis votre annuaire LDAP vers l'annuaire
VMware Identity Manager. Vous pouvez configurer un planning de synchronisation régulier pour les mises
à jour suivantes.
De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les
mappez aux attributs VMware Identity Manager.
La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou vous pouvez avoir
créé des schémas personnalisés. Vous pouvez également avoir défini des attributs personnalisés. Pour que
VMware Identity Manager puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou
de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre
annuaire LDAP.
62 VMware, Inc.
Chapitre 4 Intégration à votre annuaire d'entreprise
n Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind
Prérequis
n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que la capacité à
intégrer des répertoires LDAP n'est disponible qu'avec le connecteur version 2016.6.1 et ultérieures.
n Examinez les attributs sur la page Identité et gestion de l'accès > Configuration > Attributs utilisateur
et ajoutez des attributs supplémentaires que vous voulez synchroniser. Vous mappez ces attributs de
VMware Identity Manager aux attributs de votre annuaire LDAP ultérieurement lorsque vous créez
l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire.
Remarque Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres
annuaires dans le service. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à
ne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué comme
requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service.
Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le
service VMware Identity Manager.
n Un compte d'utilisateur de nom unique de liaison. Il est recommandé d'utiliser un compte d'utilisateur
de nom unique de liaison avec un mot de passe sans date d'expiration.
n Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut.
n Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes.
Vous mappez cet attribut à l'attribut VMware Identity Manager domain lorsque vous créez l'annuaire
VMware Identity Manager.
n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace,
l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.
n Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les
attributs userPrincipalName et d'adresse électronique.
Procédure
1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.
2 Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire LDAP.
VMware, Inc. 63
Installing and Configuring VMware Identity Manager
Option Description
Nom du répertoire Un nom pour l'annuaire de VMware Identity Manager.
Synchronisation et authentification a Dans le champ Synchroniser le connecteur, sélectionnez le connecteur
du répertoire que vous voulez utiliser pour synchroniser des utilisateurs et des
groupes de l'annuaire LDAP avec l'annuaire
VMware Identity Manager.
64 VMware, Inc.
Chapitre 4 Intégration à votre annuaire d'entreprise
Option Description
Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP que
VMware Identity Manager peut utiliser pour interroger votre annuaire
LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP
principal.
Requêtes LDAP
n Obtenir des groupes : filtre de recherche pour obtenir des objets de
groupe.
4 Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion.
Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les modifications
nécessaires.
6 Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant.
7 Sur la page Mapper des attributs, vérifiez que les attributs de VMware Identity Manager sont mappés
aux bons attributs LDAP.
Vous pouvez ajouter des attributs à la liste sur la page Attributs utilisateur.
VMware, Inc. 65
Installing and Configuring VMware Identity Manager
9 Sur la page Groupes, cliquez sur + pour sélectionner les groupes que vous souhaitez synchroniser entre
l'annuaire LDAP et l'annuaire VMware Identity Manager.
Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez
spécifier des noms uniques sur la page des groupes.
L'option Synchroniser les utilisateurs du groupe imbriqué est activée par défaut. Lorsque cette option
est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi
que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez
que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux
groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs apparaissent en
tant que membres du groupe de niveau supérieur que vous avez sélectionné pour la synchronisation.
En effet, la hiérarchie sous un groupe sélectionné est aplatie et les utilisateurs de tous les niveaux
apparaissent dans VMware Identity Manager en tant que membres du groupe sélectionné.
Si cette option est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui
appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des
groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile
pour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupes
demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner
tous les groupes dont vous voulez synchroniser les utilisateurs.
Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vous
pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur.
12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire et
pour voir le planning de synchronisation par défaut.
Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation,
cliquez sur les liens Modifier.
La connexion à l'annuaire LDAP est établie et les utilisateurs et les groupes sont synchronisés entre
l'annuaire LDAP et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose
d'un rôle d'administrateur dans VMware Identity Manager par défaut.
Vous faites cela en ajoutant le composant de connecteur de chaque instance de service au nouvel annuaire.
Procédure
1 Connectez-vous à la console d'administration de VMware Identity Manager.
3 Sur la page Fournisseurs d'identité, recherchez le fournisseur d'identité du nouvel annuaire et cliquez
sur le nom du fournisseur d'identité.
66 VMware, Inc.
Chapitre 4 Intégration à votre annuaire d'entreprise
4 Dans le champ Nom d'hôte IdP, entrez le nom de domaine complet de l'équilibrage de charge, s'il n'est
pas déjà défini sur le nom de domaine complet correct de l'équilibrage de charge.
8 Répétez les étapes précédentes pour ajouter tous les connecteurs répertoriés dans le champ
Connecteur(s).
Remarque Après avoir ajouté chaque connecteur, vérifiez le nom d'hôte IdP et modifiez-le, si
nécessaire, comme décrit à l'étape 7.
L'annuaire est maintenant associé à tous les connecteurs dans votre déploiement.
VMware, Inc. 67
Installing and Configuring VMware Identity Manager
68 VMware, Inc.
Utilisation de répertoires locaux 5
Un répertoire local est l'un des types de répertoires que vous pouvez créer dans le service
VMware Identity Manager. Un répertoire local vous permet de provisionner des utilisateurs locaux dans le
service et de leur fournir un accès à des applications spécifiques, sans avoir à les ajouter à votre répertoire
d'entreprise. Un répertoire local n'est pas connecté à un répertoire d'entreprise et les utilisateurs et les
groupes ne sont pas synchronisés à partir d'un répertoire d'entreprise. Au lieu de cela, vous créez des
utilisateurs locaux directement dans le répertoire local.
Un répertoire local par défaut, nommé Répertoire système, est disponible dans le service. Vous pouvez
également créer plusieurs répertoires locaux.
Répertoire système
Le répertoire système est un répertoire local créé automatiquement dans le service lors de sa première
configuration. Ce répertoire dispose du domaine Domaine système. Vous ne pouvez pas modifier le nom ou
le domaine du répertoire système, ni lui ajouter de nouveaux domaines. Vous ne pouvez pas non plus
supprimer le répertoire système ou le domaine système.
L'utilisateur administrateur local créé lorsque vous configurez le dispositif VMware Identity Managerpour
la première fois est créé dans le domaine système du répertoire système.
Vous pouvez ajouter d'autres utilisateurs au répertoire système. Le répertoire système est en général utilisé
pour configurer quelques utilisateurs administrateurs locaux afin de gérer le service. Pour provisionner des
utilisateurs finaux et des administrateurs supplémentaires et les autoriser à accéder à des applications, il est
recommandé de créer un répertoire local.
Répertoires locaux
Vous pouvez créer plusieurs répertoires locaux. Chaque répertoire local peut disposer d'un ou de plusieurs
domaines. Lorsque vous créez un utilisateur local, vous spécifiez le répertoire et le domaine pour
l'utilisateur.
Vous pouvez également sélectionner des attributs pour tous les utilisateurs dans un répertoire local. Les
attributs utilisateur tels que userName, lastName et firstName, sont spécifiés au niveau global dans le
service VMware Identity Manager. Une liste par défaut d'attributs est disponible et vous pouvez ajouter des
attributs personnalisés. Des attributs utilisateur globaux s'appliquent à tous les répertoires dans le service, y
compris les répertoires locaux. Au niveau du répertoire local, vous pouvez sélectionner les attributs qui sont
obligatoires pour le répertoire. Cela vous permet de disposer d'un ensemble personnalisé d'attributs pour
différents répertoires locaux. Notez que les attributs userName, lastName, firstName et email sont toujours
obligatoires pour les répertoires locaux.
Remarque La capacité de personnaliser les attributs utilisateur au niveau du répertoire n'est disponible
que pour les répertoires locaux, pas pour les répertoires Active Directory ou LDAP.
VMware, Inc. 69
Installing and Configuring VMware Identity Manager
Il est utile de créer des répertoires locaux dans les scénarios suivants.
n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie de
votre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour des partenaires,
qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accès uniquement
aux applications spécifiques dont ils ont besoin.
n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ou
méthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer un
répertoire local pour des distributeurs avec des attributs utilisateur tels que région et taille de marché, et
un autre répertoire local pour les fournisseurs avec des attributs utilisateur tels que catégorie de produit
et type de fournisseur.
Lorsque vous créez un répertoire local, il n'est associé à aucun fournisseur d'identité. Après avoir créé le
répertoire, créez un fournisseur d'identité de type Incorporé et associez-le au répertoire. Activez la méthode
d'authentification Mot de passe (Cloud Directory) sur le fournisseur d'identité. Plusieurs répertoires locaux
peuvent être associés au même fournisseur d'identité.
Le connecteur VMware Identity Manager n'est pas requis pour le répertoire système ou pour les répertoires
locaux que vous créez.
Pour plus d'informations, consultez « Configuration de l'authentification utilisateur dans VMware Identity
Manager » dans Administration de VMware Identity Manager.
Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en
cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en
cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent
modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.
Pour plus d'informations sur la définition de stratégies de mot de passe et sur la réinitialisation des mots de
passe d'utilisateur local, consultez « Gestion des utilisateurs et des groupes » dans Administration de VMware
Identity Manager.
70 VMware, Inc.
Chapitre 5 Utilisation de répertoires locaux
Les attributs utilisateur, tels que firstName, lastName, email et domain, font partie du profil d'un utilisateur.
Dans le service VMware Identity Manager, des attributs utilisateur sont définis au niveau global et
s'appliquent à tous les répertoires dans le service, notamment des répertoires locaux. Au niveau du
répertoire local, vous pouvez remplacer si un attribut est obligatoire ou facultatif pour les utilisateurs dans
ce répertoire local, mais vous ne pouvez pas ajouter d'attributs personnalisés. Si un attribut est obligatoire,
vous devez lui fournir une valeur lorsque vous créez un utilisateur.
Les mots suivants ne peuvent pas être utilisés lorsque vous créez des attributs personnalisés.
externalId groupes id
Remarque La capacité de remplacer les attributs utilisateur au niveau du répertoire ne s'applique qu'aux
répertoires locaux, pas aux répertoires Active Directory ou LDAP.
Procédure
1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès.
Remarque Même si la page vous permet de choisir quels attributs sont obligatoires, il vous est
recommandé de faire la sélection des répertoires locaux au niveau du répertoire local. Si un attribut est
marqué comme obligatoire sur cette page, il s'applique à tous les répertoires dans le service, y compris
les répertoires Active Directory ou LDAP.
VMware, Inc. 71
Installing and Configuring VMware Identity Manager
Suivant
Créez le répertoire local.
Procédure
1 Dans la console d'administration, cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet
Répertoires.
2 Cliquez sur Ajouter un répertoire et sélectionnez Ajouter un répertoire d'utilisateur local dans le
menu déroulant.
3 Sur la page Ajouter un répertoire, entrez un nom de répertoire et spécifiez au moins un nom de
domaine.
Le nom de domaine doit être unique dans tous les répertoires du service.
Par exemple :
72 VMware, Inc.
Chapitre 5 Utilisation de répertoires locaux
Tous les attributs de la page Identité et gestion de l'accès > Configuration > Attributs utilisateur sont
répertoriés pour le répertoire local. Les attributs marqués comme obligatoires sur cette page le sont
également sur la page Répertoire local.
Vous pouvez spécifier les attributs qui sont obligatoires et ceux qui sont facultatifs. Vous pouvez
également modifier l'ordre d'affichage des attributs.
Important Les attributs userName, firstName, lastName et email sont toujours obligatoires pour les
répertoires locaux.
n Pour modifier l'ordre des attributs, cliquez sur l'attribut et faites-le glisser vers le nouvel
emplacement.
Si un attribut est obligatoire, lorsque vous créez un utilisateur, vous devez spécifier une valeur pour
l'attribut.
Par exemple :
VMware, Inc. 73
Installing and Configuring VMware Identity Manager
Suivant
Associez le répertoire local au fournisseur d'identité que vous voulez utiliser pour authentifier des
utilisateurs dans le répertoire.
Remarque N'utilisez pas le fournisseur d'identité Intégré. Il n'est pas recommandé d'activer la méthode
d'authentification Mot de passe (répertoire local) sur le fournisseur d'identité Intégré.
Procédure
1 Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet Fournisseurs d'identité.
Option Description
Nom du fournisseur d'identité Entrez un nom pour le fournisseur d'identité.
Utilisateurs Sélectionnez le répertoire local que vous avez créé.
Réseau Sélectionnez les réseaux depuis lesquels vous pouvez accéder à ce
fournisseur d'identité.
Méthodes d'authentification Sélectionnez Mot de passe (répertoire local).
Exportation de certificat KDC Vous n'avez pas besoin de télécharger le certificat, sauf si vous configurez
Mobile SSO pour des périphériques iOS gérés par AirWatch.
74 VMware, Inc.
Chapitre 5 Utilisation de répertoires locaux
Le fournisseur d'identité est créé et associé au répertoire local. Ultérieurement, vous pouvez configurer
d'autres méthodes d'authentification sur le fournisseur d'identité. Pour plus d'informations sur
l'authentification, consultez « Configuration de l'authentification utilisateur dans VMware Identity
Manager » dans Administration de VMware Identity Manager.
Vous pouvez utiliser le même fournisseur d'identité pour plusieurs répertoires locaux.
Suivant
Créez des utilisateurs et des groupes locaux. Vous créez des utilisateurs et des groupes locaux dans l'onglet
Utilisateurs et groupes de la console d'administration. Pour plus d'informations, consultez « Gestion des
utilisateurs et des groupes » dans Administration de VMware Identity Manager.
n Les noms de domaine doivent être uniques dans tous les répertoires du service.
n Lorsque vous modifiez un nom de domaine, les utilisateurs qui étaient associés à l'ancien domaine
sont associés au nouveau domaine.
n Vous ne pouvez pas ajouter un domaine au répertoire système ou supprimer le répertoire système.
n Si le répertoire local ne contient pas encore d'utilisateurs, vous pouvez ajouter de nouveaux
attributs avec l'état facultatif ou obligatoire, et rendre des attributs existants obligatoires ou
facultatifs.
VMware, Inc. 75
Installing and Configuring VMware Identity Manager
n Si vous avez déjà créé des utilisateurs dans le répertoire local, vous pouvez ajouter de nouveaux
attributs en tant qu'attributs facultatifs uniquement, et rendre facultatifs des attributs existants
obligatoires. Vous ne pouvez pas rendre obligatoire un attribut facultatif une fois que les
utilisateurs ont été créés.
n Les attributs userName, firstName, lastName et email sont toujours obligatoires pour les
répertoires locaux.
n Comme les attributs utilisateur sont définis au niveau global dans le service VMware Identity
Manager, les nouveaux attributs que vous ajoutez apparaissent dans tous les répertoires du service.
Procédure
1 Cliquez sur l'onglet Identité et gestion de l'accès.
2 Sur la page Répertoires, cliquez sur le répertoire que vous voulez modifier.
Option Action
Modifier le nom du répertoire a Dans l'onglet Paramètres, modifiez le nom du répertoire.
b Cliquez sur Enregistrer.
Ajouter, supprimer ou renommer un a Dans l'onglet Paramètres, modifiez la liste Domaines.
domaine b Pour ajouter un domaine, cliquez sur l'icône verte représentant le signe
plus.
c Pour supprimer un domaine, cliquez sur l'icône de suppression rouge.
d Pour renommer un domaine, modifiez le nom de domaine dans la
zone de texte.
Ajouter des attributs utilisateur au a Cliquez sur l'onglet Identité et gestion de l'accès et cliquez sur
répertoire Configuration.
b Cliquez sur l'onglet Attributs utilisateur.
c Ajoutez des attributs dans la liste Ajouter d'autres attributs à utiliser
et cliquez sur Enregistrer.
Rendre un attribut obligatoire ou a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet
facultatif pour le répertoire Répertoires.
b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributs
utilisateur.
c Cochez la case à côté d'un attribut pour le rendre obligatoire ou
décochez la case pour le rendre facultatif.
d Cliquez sur Enregistrer.
Modifier l'ordre des attributs a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet
Répertoires.
b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributs
utilisateur.
c Cliquez sur les attributs et faites-les glisser vers le nouvel
emplacement.
d Cliquez sur Enregistrer.
Avertissement Lorsque vous supprimez un répertoire, tous les utilisateurs dans le répertoire sont
également supprimés du service.
76 VMware, Inc.
Chapitre 5 Utilisation de répertoires locaux
Procédure
1 Cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet Répertoires.
VMware, Inc. 77
Installing and Configuring VMware Identity Manager
78 VMware, Inc.
Configuration avancée du dispositif
VMware Identity Manager 6
Après avoir réalisé l'installation basique du dispositif virtuel VMware Identity Manager, vous pourrez
devoir effectuer d'autres tâches de configuration, telles que l'activation d'un accès externe à
VMware Identity Manager et la configuration de la redondance.
Le diagramme de l'architecture de VMware Identity Manager montre comment vous pouvez déployer
l'environnement VMware Identity Manager. Voir Chapitre 1, « Préparation de l'installation de VMware
Identity Manager », page 9 pour un déploiement standard.
n « Utilisation d'un équilibrage de charge ou d'un proxy inverse pour activer l'accès externe à VMware
Identity Manager », page 79
Si vous n'utilisez pas d'équilibrage de charge ou de proxy inverse, vous ne pouvez pas étendre le nombre de
dispositifs VMware Identity Manager ultérieurement. Vous devrez peut-être ajouter des dispositifs
supplémentaires pour mettre en place la redondance et l'équilibrage de charge. Le diagramme suivant
montre l'architecture de déploiement de base que vous pouvez utiliser pour activer l'accès externe.
VMware, Inc. 79
Installing and Configuring VMware Identity Manager
Figure 6‑1. Proxy d'équilibrage de charge externe avec une machine virtuelle
Utilisateurs externes
Pare-feu DMZ
Utilisateurs internes
Dispositif virtuel
Dispositif virtuel
Dispositif virtuel
Dispositif virtuel
La machine virtuelle VMware Identity Manager s'exécute toujours sur le port 443. Vous pouvez utiliser un
autre numéro de port pour l'équilibreur de charge. Si vous utilisez un numéro de port différent, vous devez
le spécifier au moment du déploiement.
n En-têtes X-Forwarded-For
Vous devez activer les en-têtes X-Forwarded-For sur votre équilibrage de charge. Cela détermine la
méthode d'authentification. Consultez la documentation du fournisseur de votre équilibreur de charge
pour plus d'informations.
80 VMware, Inc.
Chapitre 6 Configuration avancée du dispositif VMware Identity Manager
Pour un bon fonctionnement de VMware Identity Manager, vous pouvez avoir besoin d'augmenter la
valeur par défaut du délai d'expiration des demandes d'équilibrage de charge. Cette valeur est définie
en minutes. Si le paramétrage du délai d'expiration est trop bas, cette erreur peut se produire : « Erreur
502 : Le service est actuellement indisponible. »
Vous devez activer le paramètre de session rémanente sur l'équilibrage de charge si votre déploiement
dispose de plusieurs dispositifs VMware Identity Manager. L'équilibrage de charge établit ensuite une
liaison entre la session d'un utilisateur et une instance spécifique.
Le certificat VMware Identity Manager peut être téléchargé depuis la console d'administration, sur la page
Paramètres du dispositif > Configuration VA > Gérer la configuration.
Si le nom de domaine complet de VMware Identity Manager pointe vers un équilibrage de charge, le
certificat SSL peut uniquement être appliqué à cet équilibrage de charge.
Procédure
1 Dans la console d'administration, sélectionnez l'onglet Paramètres du dispositif et sélectionnez
Configuration VA.
4 Sélectionnez l'onglet Interrompre SSL sur un équilibrage de charge et, dans le champ Certificat de
l'autorité de certification racine du dispositif, cliquez sur le lien
https://hostname/horizon_workspace_rootca.pem.
5 Copiez tout ce qui se trouve entre les lignes -----BEGIN CERTIFICATE----- et -----END
CERTIFICATE----, en incluant celles-ci, et collez le certificat racine à l'emplacement adéquat sur chacun
de vos équilibrages de charge. Reportez-vous à la documentation fournie par votre fournisseur
d'équilibrage de charge.
VMware, Inc. 81
Installing and Configuring VMware Identity Manager
Suivant
Copiez et collez le certificat racine de l'équilibrage de charge sur le dispositif
VMware Identity Managerconnecteur.
Procédure
1 Obtenez le certificat racine de l'équilibrage de charge.
Autorisez uniquement la gestion du trafic Internet sur votre serveur proxy. Pour vous assurer que le serveur
proxy est correctement configuré, définissez le paramètre du trafic interne sur no-proxy dans le domaine.
Remarque Les serveurs proxy qui requièrent l'authentification ne sont pas pris en charge.
82 VMware, Inc.
Chapitre 6 Configuration avancée du dispositif VMware Identity Manager
Procédure
1 Dans vSphere Client, connectez-vous en tant qu'utilisateur racine au dispositif virtuel
VMware Identity Manager.
4 Entrez les URL du serveur proxy dans les champs URL de proxy HTTP et URL de proxy HTTPS.
6 Redémarrez le serveur Tomcat sur le dispositif virtuel VMware Identity Manager pour utiliser les
nouveaux paramètres de proxy.
Le catalogue d'applications Cloud et autres services Web sont désormais disponibles dans
VMware Identity Manager.
Vous commencez par installer et configurer un dispositif virtuel VMware Identity Manager, puis vous le
clonez. Le clonage du dispositif virtuel crée un double du dispositif virtuel avec la même configuration que
le dispositif d'origine. Vous pouvez personnaliser le dispositif virtuel cloné pour changer son nom, ses
paramètres réseau et ses autres propriétés au besoin.
Avant de cloner le dispositif virtuel VMware Identity Manager, vous devez le configurer derrière un
équilibrage de charge et modifier son nom de domaine complet (FQDN) pour qu'il corresponde à celui de
l'équilibrage de charge. De plus, terminez la configuration d'annuaire dans le service
VMware Identity Manager avant de cloner le dispositif.
Après le clonage, attribuez au dispositif virtuel cloné une nouvelle adresse IP avant sa mise sous tension.
L'adresse IP du dispositif virtuel cloné doit respecter les mêmes recommandations que l'adresse IP du
dispositif virtuel d'origine. L'adresse IP doit renvoyer vers un nom d'hôte valide à l'aide de la résolution
DNS normale et inverse.
Tous les nœuds du cluster VMware Identity Manager sont identiques et des copies pratiquement sans état
les uns des autres. La synchronisation avec Active Directory et les ressources configurées, notamment View
ou ThinApp, est désactivée sur les dispositifs virtuels clonés.
2 Modifier le nom de domaine complet de VMware Identity Manager par celui de l'équilibrage de
charge page 84
Avant de cloner le dispositif virtuel VMware Identity Manager, vous devez modifier son nom de
domaine complet (FQDN) pour qu'il corresponde à celui de l'équilibrage de charge.
5 Activation de la synchronisation d'annuaire sur une autre instance de en cas d'échec page 88
VMware, Inc. 83
Installing and Configuring VMware Identity Manager
Un cluster VMware Identity Manager avec deux nœuds fournit une capacité de basculement avec quelques
limites liées à Elasticsearch. Si l'un des nœuds s'arrête, les limites suivantes s'appliquent jusqu'à ce que le
nœud soit réactivé :
n Le champ de recherche dans le coin supérieur droit de la console d'administration ne renvoie aucun
résultat.
Il n'y a aucune perte des données pendant que le nœud est arrêté. Les données des événements d'audit et de
journal de synchronisation sont stockées et seront affichées lorsque le nœud sera restauré.
Prérequis
n Le dispositif VMware Identity Manager est ajouté à un équilibrage de charge.
n Vous avez appliqué le certificat de l'autorité de certification racine de l'équilibrage de charge à VMware
Identity Manager.
Procédure
1 Connectez-vous à la console d'administration de VMware Identity Manager.
6 Dans le champ FQDN d'Identity Manager, modifiez la partie nom d'hôte de l'URL en remplaçant le
nom d'hôte de VMware Identity Manager par le nom d'hôte de l'équilibrage de charge.
Par exemple, si le nom d'hôte de VMware Identity Manager est myservice et que le nom d'hôte de votre
équilibrage de charge est mylb, vous remplacez l'URL
https://myservice.mycompany.com
84 VMware, Inc.
Chapitre 6 Configuration avancée du dispositif VMware Identity Manager
https://mylb.mycompany.com
Suivant
Clonez le dispositif virtuel.
L'utilisation de plusieurs dispositifs virtuels VMware Identity Manager améliore la disponibilité, équilibre la
charge des demandes au service et diminue les temps de réponse à l'utilisateur final.
Prérequis
n Le dispositif virtuel de VMware Identity Manager doit être configuré derrière un équilibrage de charge.
Assurez-vous que le port de l'équilibrage de charge est le port 443. N'utilisez pas 8443, car ce numéro de
port est le port administratif et est propre à chaque dispositif virtuel.
n Une base de données externe est configurée comme décrit dans « Connecting to the Database », page 34.
n Vérifiez que vous avez terminé la configuration d'annuaire dans VMware Identity Manager.
Procédure
1 Connectez-vous à vSphere Client ou vSphere Web Client et accédez au dispositif virtuel
VMware Identity Manager.
4 Sélectionnez l'hôte ou le cluster sur lequel exécuter le dispositif virtuel cloné et cliquez sur Suivant.
5 Sélectionnez le pool de ressources dans lequel exécuter le dispositif virtuel, puis cliquez sur Suivant.
VMware, Inc. 85
Installing and Configuring VMware Identity Manager
7 Sélectionnez l'emplacement de la banque de données dans laquelle vous souhaitez stocker les fichiers
du dispositif virtuel et cliquez sur Suivant.
Suivant
Attribuez une adresse IP au dispositif virtuel cloné avant sa mise sous tension et son ajout à l'équilibrage de
charge.
Procédure
1 Dans vSphere Client ou vSphere Web Client, sélectionnez le dispositif virtuel cloné.
2 Dans l'onglet Résumé, sous Commandes, cliquez sur Modifier les paramètres.
5 Si l'adresse IP ne se trouve pas dans le DNS inversé, ajoutez le nom d'hôte dans la zone de texte Nom
d'hôte.
7 Mettez sous tension le dispositif cloné et attendez que l'écran de connexion bleu s'affiche dans l'onglet
Console.
Important Avant de mettre sous tension le dispositif cloné, vérifiez que le dispositif d'origine est
complètement sous tension.
Suivant
n Attendez quelques minutes que le cluster Elasticsearch soit créé avant d'ajouter le dispositif virtuel
cloné à l'équilibrage de charge.
n Ajoutez le dispositif virtuel cloné à l'équilibrage de charge et configurez l'équilibrage de charge pour
qu'il distribue le trafic. Consultez la documentation de fournisseur de votre équilibrage de charge pour
plus d'informations.
n Si vous avez joint un domaine dans l'instance de service d'origine, vous devez joindre le domaine dans
les instances de service clonées.
86 VMware, Inc.
Chapitre 6 Configuration avancée du dispositif VMware Identity Manager
Le composant de connecteur de chaque instance de service clonée est répertorié sur la page
Connecteurs.
c Pour chaque connecteur répertorié, cliquez sur Joindre le domaine et spécifiez les informations du
domaine.
Pour plus d'informations sur Active Directory, reportez-vous à la section « Intégration à Active
Directory », page 47.
n Pour les annuaires de type Authentification Windows intégrée (IWA), vous devez exécuter les étapes
suivantes :
a Pour les instances de service clonées, joignez le domaine auquel l'annuaire IWA dans l'instance de
service d'origine a été joint.
Le composant de connecteur de chaque instance de service clonée est répertorié sur la page
Connecteurs.
3 Pour chaque connecteur répertorié, cliquez sur Joindre le domaine et spécifiez les
informations du domaine.
b Enregistrez la configuration d'annuaire IWA.
n Si vous avez mis à jour manuellement le fichier /etc/krb5.conf dans l'instance de service d'origine, par
exemple, pour corriger la défaillance ou la lenteur de la synchronisation View, vous devez mettre à jour
le fichier dans l'instance clonée une fois que cette dernière est jointe au domaine. Dans toutes les
instances de service clonées, effectuez les tâches suivantes.
a Modifiez le fichier /etc/krb5.conf et mettez à jour la section realms pour spécifier les mêmes
valeurs domaine-vers-l'hôte qui sont utilisées dans le
fichier /usr/local/horizon/conf/domain_krb.properties. Vous n'avez pas besoin de spécifier le
numéro de port. Par exemple, si votre fichier domain_krb.properties contient l'entrée de domaine
example.com=examplehost.example.com:389, vous devez mettre à jour le fichier krb5.conf comme
suit.
[realms]
GAUTO-QA.COM = {
auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/
auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/
auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-
QA\.COM/GAUTO2QA/
auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/
auth_to_local = DEFAULT
kdc = examplehost.example.com
}
Remarque Il est possible d'avoir plusieurs entrées kdc. Toutefois, il ne s'agit pas d'une obligation,
car dans la plupart des cas il n'y a qu'une seule valeur kdc. Si vous choisissez de définir des valeurs
kdc supplémentaires, chaque ligne aura une entrée kdc qui définira un contrôleur de domaine.
VMware, Inc. 87
Installing and Configuring VMware Identity Manager
n Activez les méthodes d'authentification configurées pour connecteur sur chaque instance clonée.
Consultez le Guide d'administration de VMware Identity Manager pour plus d'informations.
Le dispositif virtuel de service VMware Identity Manager est maintenant hautement disponible. Le trafic est
distribué aux dispositifs virtuels dans votre cluster en fonction de la configuration de l'équilibrage de
charge. L'authentification au service est hautement disponible. Toutefois, pour la synchronisation d'annuaire
du service, en cas d'échec de l'instance de service, vous devez activer manuellement la synchronisation
d'annuaire sur l'instance de service clonée. La synchronisation d'annuaire est gérée par le composant de
connecteur du service et elle ne peut être activée que sur un connecteur à la fois. Voir « Activation de la
synchronisation d'annuaire sur une autre instance de en cas d'échec », page 88.
Procédure
1 Connectez-vous à la console d'administration de VMware Identity Manager.
Vous pouvez voir ces informations sur la page Configuration > Connecteurs. La page répertorie le
composant de connecteur de chaque dispositif virtuel de service dans votre cluster.
5 Dans le champ Mot de passe du ND Bind, entrez votre mot de passe de compte Bind Active Directory.
88 VMware, Inc.
Chapitre 6 Configuration avancée du dispositif VMware Identity Manager
Vous pouvez vérifier la santé des nœuds dans votre cluster en regardant leur état dans le tableau de bord
Diagnostics du système. Un message Le nœud actuel est en mauvais état indique que le nœud ne
fonctionne pas correctement.
Important Utilisez la commande Supprimer le nœud avec parcimonie. Utilisez-la uniquement lorsqu’un
nœud est dans un état non récupérable et doit être retiré complètement du déploiement
VMware Identity Manager.
Remarque Vous ne pouvez pas utiliser la commande Supprimer le nœud afin de supprimer le dernier
nœud dans un cluster.
Prérequis
Vous devez vous connecter en tant qu’administrateur locataire, c'est-à-dire un administrateur local sur le
service VMware Identity Manager . Un administrateur de domaine synchronisé à partir de l’annuaire
d’entreprise ne dispose pas des autorisations nécessaires.
Procédure
1 Connectez-vous à la console d'administration.
2 Cliquez sur l‘onglet Gestion des identités et des accès et cliquez sur Configuration.
b Si la colonne Actions disponibles affiche un bouton Quitter le domaine , cliquez sur le bouton
pour quitter le domaine.
a Dans la colonne Annuaire associé de la page connecteurs, affichez les annuaires avec lesquels le
composant de connecteur est associé.
VMware, Inc. 89
Installing and Configuring VMware Identity Manager
e Répétez ces étapes pour tous les annuaires avec lesquels le composant de connecteur est associé.
a Dans la page connecteurs, dans la colonne Fournisseur d'identité, affichez les fournisseurs
d’identité avec lesquels le composant de connecteur est associé.
c Sur la page du fournisseur d’identité, dans la section Connecteurs, cliquez sur l’icône de
suppression à côté du connecteur.
Suivant
Supprimez le nœud du cluster.
Remarque Vous ne pouvez pas utiliser la commande Supprimer pour supprimer le dernier nœud dans un
cluster.
Prérequis
n Pour supprimer un nœud, vous devez vous connecter en tant qu'administrateur locataire, c'est-à-dire en
tant qu'administrateur local sur le service VMware Identity Manager. Un administrateur de domaine
synchronisé à partir de l’annuaire d’entreprise ne dispose pas des autorisations nécessaires.
Procédure
1 Arrêtez la machine virtuelle de nœud.
a Connectez-vous à l'instance du Serveur vCenter.
b Cliquez avec le bouton droit de la souris sur la machine virtuelle de nœud et sélectionnez
Alimentation > Mettre hors tension.
b Cliquez sur la flèche vers le bas sur l’onglet Tableau de bord et sélectionnez Tableau de bord de
diagnostics système.
90 VMware, Inc.
Chapitre 6 Configuration avancée du dispositif VMware Identity Manager
Le nœud est supprimé du cluster. Les entrées pour le nœud sont supprimées de la base de données
VMware Identity Manager. Le nœud est également supprimé des clusters Elasticsearch et Ehcache intégrés.
Suivant
Patientez 5 à 15 minutes le temps que les clusters Elasticsearch et Ehcache intégrés se stabilisent avant
d’utiliser d’autres commandes.
En utilisant un centre de données secondaire, les utilisateurs finaux peuvent se connecter et utiliser des
applications sans temps d'arrêt. Un centre de données secondaire permet également aux administrateurs de
mettre à niveau VMware Identity Manager vers la version suivante sans temps d'arrêt. Voir « Mise à niveau
de VMware Identity Manager sans temps d'arrêt », page 101.
ÉdC global
Always On
XenFarm XenFarm Espace View Espace View Espace View Espace View XenFarm XenFarm
A B A B C D C D
VMware, Inc. 91
Installing and Configuring VMware Identity Manager
n Base de données : VMware Identity Manager utilise la base de données pour stocker des données. Pour
un déploiement de plusieurs centres de données, la réplication de la base de données entre les deux
centres de données est essentielle. Consultez la documentation de votre base de données sur la
configuration d'une base de données dans plusieurs centres de données. Par exemple, avec SQL Server,
il est recommandé d'utiliser un déploiement Always On. Consultez Vue d'ensemble des groupes de
disponibilité Always On (SQL Server) sur le site Web Microsoft pour obtenir plus d'informations. Les
fonctionnalités de VMware Identity Manager prévoit une latence très faible entre la base de données et
le dispositif VMware Identity Manager. Par conséquent, il est prévu que les dispositifs dans un centre
de données se connectent à la base de données dans le même centre de données.
n Pas Actif-Actif : VMware Identity Manager ne prend pas en charge le déploiement Actif-Actif dans
lequel les utilisateurs peuvent être servis depuis les deux centres de données en même temps. Le centre
de données secondaire est un serveur de secours et il peut être utilisé pour offrir une continuité
d'activité aux utilisateurs finaux. Les dispositifs VMware Identity Manager dans le centre de données
secondaire sont en mode lecture seule. Par conséquent, après un basculement vers ce centre de données,
la plupart des opérations d'administrateur, comme l'ajout d'utilisateurs ou d'applications, ou
l'autorisation d'utilisateurs, ne fonctionneront pas.
n Restauration automatique du principal : dans la plupart des scénarios d'échec, vous pouvez effectuer
une restauration automatique vers le centre de données principal une fois qu'il revient à la normale.
Voir « Restauration automatique vers le centre de données principal », page 100 pour plus
d'informations.
n Promouvoir secondaire en principal : en cas d'échec prolongé d'un centre de données, le centre de
données secondaire peut être promu en centre de données principal. Voir « Promotion du centre de
données secondaire en centre de données principal », page 101 pour plus d'informations.
n Nom de domaine complet : le nom de domaine complet pour accéder à VMware Identity Manager doit
être le même dans tous les centres de données.
n Active Directory : VMware Identity Manager peut se connecter à Active Directory à l'aide de l'API
LDAP ou de l'authentification Windows intégrée. Dans ces deux méthodes, VMware Identity Manager
peut exploiter des enregistrements SRV Active Directory afin d'atteindre le contrôleur de domaine
approprié dans chaque centre de données.
n Applications Windows : VMware Identity Manager prend en charge l'accès à des applications Windows
à l'aide de ThinApp et à des applications et des postes de travail Windows à l'aide des technologies
Horizon View ou Citrix. En général, il est important de fournir ces ressources à partir d'un centre de
données plus proche de l'utilisateur, également appelé Géo-affinité. Notez ce qui suit à propos des
ressources Windows :
n ThinApps : VMware Identity Manager prend en charge les systèmes de fichiers distribués
Windows comme référentiel ThinApp. Utilisez la documentation des systèmes de fichiers
distribués Windows pour configurer des stratégies spécifiques à l'emplacement appropriées.
92 VMware, Inc.
Chapitre 6 Configuration avancée du dispositif VMware Identity Manager
n Horizon View (avec Architecture Cloud Pod) : VMware Identity Manager prend en charge
Architecture Cloud Pod d'Horizon. Architecture Cloud Pod d'Horizon fournit la Géo-affinité à
l'aide des droits globaux. Consultez « Intégration des déploiements d'Architecture Cloud Pod »
dans Configuration des ressources dans VMware Identity Manager pour plus d'informations. Aucun
changement supplémentaire n'est requis pour un déploiement de plusieurs centres de données
VMware Identity Manager.
n Horizon View (sans Architecture Cloud Pod) : si Architecture Cloud Pod d'Horizon n'est pas
activée dans votre environnement, vous ne pouvez pas activer la Géo-affinité. Après un
basculement, vous pouvez manuellement changer VMware Identity Manager pour lancer des
ressources Horizon View à partir des espaces View configurés dans le centre de données
secondaire. Voir « Configurer l'ordre de basculement des ressources Horizon View et Citrix »,
page 97 pour obtenir plus d'informations.
n Ressources Citrix : semblables à Horizon View (sans Architecture Cloud Pod), vous ne pouvez pas
activer la Géo-affinité pour les ressources Citrix. Après un basculement, vous pouvez
manuellement changer VMware Identity Manager pour lancer des ressources Citrix à partir des
XenFarms configurés dans le centre de données secondaire. Voir « Configurer l'ordre de
basculement des ressources Horizon View et Citrix », page 97 pour obtenir plus d'informations.
n Dispositifs VMware Identity Manager dans le centre de données secondaire, créés à partir d'un fichier
OVA importé depuis le centre de données principal
n Un équilibrage de charge ou une entrée DNS sur les centres de données principal et secondaire à des
fins de basculement
Elasticsearch et Ehcache sont intégrés dans le dispositif virtuel VMware Identity Manager. Elasticsearch est
un moteur de recherche et d'analyse pour l'audit, les rapports et les journaux de synchronisation de
répertoire. Ehcache offre des capacités de mise en cache.
Configurez ces modifications dans tous les nœuds du cluster de centre de données principal.
Prérequis
Vous avez configuré un cluster VMware Identity Manager dans le centre de données principal.
VMware, Inc. 93
Installing and Configuring VMware Identity Manager
Procédure
1 Configurez Elasticsearch pour la réplication.
Apportez ces modifications dans chaque nœud du cluster de centre de données principal.
vi /etc/cron.d/hznelasticsearchsync
b Ajoutez les adresses IP de tous les nœuds du cluster de centre de données principal.
vi /etc/sysconfig/elasticsearch
ES_UNICAST_HOSTS=IPaddress1,IPaddress2,IPaddress3
vi /usr/local/horizon/conf/runtime-config.properties
analytics.replication.peers=LB_FQDN_of_second_cluster
Apportez ces modifications dans chaque nœud du cluster de centre de données principal.
a vi /usr/local/horizon/conf/runtime-config.properties
b Ajoutez le nom de domaine complet des autres nœuds du cluster. N'ajoutez pas le nom de domaine
complet du nœud que vous modifiez. Séparez les noms de domaine complets par un signe deux-
points.
ehcache.replication.rmi.servers=node2FQDN:node3FQDN
Par exemple :
ehcache.replication.rmi.servers=server2.example.com:server3.example.com
curl 'http://localhost:9200/_cluster/health?pretty'
{
"cluster_name" : "horizon",
"status" : "green",
"timed_out" : false,
"number_of_nodes" : 3,
94 VMware, Inc.
Chapitre 6 Configuration avancée du dispositif VMware Identity Manager
"number_of_data_nodes" : 3,
"active_primary_shards" : 20,
"active_shards" : 40,
"relocating_shards" : 0,
"initializing_shards" : 0,
"unassigned_shards" : 0,
"delayed_unassigned_shards" : 0,
"number_of_pending_tasks" : 0,
"number_of_in_flight_fetch" : 0
}
S'il existe des problèmes, reportez-vous à la section « Résolution des problèmes d'Elasticsearch »,
page 112.
Les noms d'hôte doivent être ceux des autres nœuds du cluster.
Suivant
Créez un cluster dans le centre de données secondaire. Créez les nœuds en exportant le fichier OVA du
premier dispositif virtuel VMware Identity Manager du cluster de centre de données principal et en
l'utilisant pour déployer les nouveaux dispositifs virtuels dans le centre de données secondaire.
Créer des dispositifs virtuels VMware Identity Manager dans un centre de données
secondaire
Pour configurer un cluster VMware Identity Manager dans le centre de données secondaire, exportez le
fichier OVA du dispositif VMware Identity Manager d'origine dans le centre de données principal et
utilisez-le pour déployer des dispositifs dans le centre de données secondaire.
Prérequis
n Fichier OVA de VMware Identity Manager qui a été exporté depuis le dispositif
VMware Identity Manager d'origine dans le centre de données principal
Procédure
1 Dans le centre de données principal, exportez le fichier OVA du dispositif VMware Identity Manager
d'origine.
2 Dans le centre de données secondaire, déployez le fichier OVA VMware Identity Manager qui a été
exporté pour créer les nœuds.
3 Après la mise sous tension des dispositifs VMware Identity Manager, mettez à jour la configuration de
chaque dispositif.
Les dispositifs VMware Identity Manager dans le centre de données secondaire sont des copies
identiques du dispositif VMware Identity Manager d'origine dans le centre de données principal. La
synchronisation avec Active Directory et les ressources configurées dans le centre de données principal
est désactivée.
VMware, Inc. 95
Installing and Configuring VMware Identity Manager
Suivant
Accédez aux pages de la console d'administration et configurez ce qui suit :
n Activez Joindre le domaine comme configuré dans le dispositif VMware Identity Manager d'origine
dans le centre de données principal.
n Sur la page Adaptateurs d'authentification, ajoutez les méthodes d'authentification qui sont configurées
dans le centre de données principal.
Accédez à la page Installer le certificat paramètres du dispositif pour ajouter des certificats signés par
l'autorité de certification, en dupliquant les certificats dans les dispositifs VMware Identity Manager dans le
centre de données principal. Voir « Utilisation des certificats SSL », page 38.
Suivez ces étapes pour chaque nœud dans le centre de données secondaire.
Procédure
u Mettez à jour les tableaux d'adresses IP.
1 vi /usr/local/horizon/scripts/updateiptables.hzn
2 Recherchez et remplacez la ligne ALL_IPS. Spécifiez les adresses IP délimitées par un espace.
/usr/local/horizon/scripts/updateiptables.hzn
b Configurez les nœuds pour la réplication Elasticsearch et Ehcache, et vérifiez qu'ils sont
correctement configurés.
Consultez les instructions dans « Modifier le centre de données principal pour la réplication »,
page 93 et appliquez-les aux nœuds dans le centre de données secondaire.
Apportez ces modifications dans chaque dispositif VMware Identity Manager dans le centre de données
secondaire.
Procédure
1 À l'aide d'un client ssh, connectez-vous au dispositif VMware Identity Manager en tant qu'utilisateur
root.
96 VMware, Inc.
Chapitre 6 Configuration avancée du dispositif VMware Identity Manager
3 Modifiez l'URL JDBC pour qu'elle pointe vers la base de données pour le centre de données secondaire.
Voir « Configure VMware Identity Manager to Use an External Database », page 37.
4 Configurez le dispositif VMware Identity Manager pour qu'il ait un accès en lecture seule.
Vous utilisez la commande hznAdminTool pour créer un tableau de base de données avec l'ordre de
basculement des ressources dans votre organisation par instance de service. L'ordre de basculement
configuré est suivi lorsqu'une ressource est lancée. Vous exécutez hznAdminTool failoverConfiguration
dans les deux centres de données pour configurer l'ordre de basculement.
Prérequis
Lorsque VMware Identity Manager est déployé dans plusieurs centres de données, les mêmes ressources
sont également configurées sur chaque centre de données. Chaque pool d'applications ou de postes de
travail dans les espaces View ou les XenFarms Citrix est considéré comme une ressource différente dans le
catalogue VMware Identity Manager. Pour éviter la duplication de la ressource dans le catalogue, vérifiez
que vous avez activé Ne pas synchroniser les applications en double dans les pages Pools View ou
Applications publiées - Citrix sur la page de la console d'administration.
Procédure
1 À l'aide d'un client ssh, connectez-vous au dispositif VMware Identity Manager en tant qu'utilisateur
root.
2 Pour voir une liste des instances de serveur, saisissez hznAdminTool serviceInstances.
Une liste des instances de service avec le numéro d'ID affecté s'affiche, comme dans cet exemple.
{"id":103,"hostName":"ws4.domain.com","ipaddress":"10.142.28.92"}{"id":
154,"hostName":"ws3.domain.com","ipaddress":"10.142.28.91"}{"id":
1,"hostName":"ws1.domain.com","ipaddress":"10.143.104.176"}{"id":
52,"hostName":"ws2.domain.com","ipaddress":"10.143.104.177"}
VMware, Inc. 97
Installing and Configuring VMware Identity Manager
3 Pour chaque instance de service dans votre organisation, configurez l'ordre de basculement des
ressources View et Citrix.
Pour filtrer les alarmes spécifiques à Virtual SAN, tapez hznAdminTool failoverConfiguration -
configType <configType> -configuration <configuration> -serviceInstanceId <serviceInstanceId>
[-orgId <orgId>]
Option Description
-configType Saisissez le type de ressource configuré pour le basculement. Les valeurs
sont VIEW ou XENAPP.
-configuration Saisissez l'ordre de basculement. Pour VIEW configType, saisissez sous
forme de liste séparée par des virgules les noms d'hôte du Serveur de
connexion View principal qui sont répertoriés sur la page Pools View de la
console d'administration. Pour XENAPP configType, saisissez sous forme
de liste séparée par des virgules les noms XenFarm.
-serviceInstanceId Saisissez l'ID de l'instance de service pour laquelle la configuration est
définie. L'ID est disponible dans la liste affichée à l'étape 2, "id":
-orgId (Facultatif). Si cette option est laissée vide, la configuration est définie pour
l'organisation par défaut.
Lorsque vous saisissez cette commande pour des instances de VMware Identity Manager dans le centre
de données secondaire, inversez l'ordre des Serveurs de connexion View. Dans cet exemple, la
commande serait hznAdminTool failoverConfiguration -configType VIEW -configuration
pod2vcs1.hs.trcint.com, pod1vcs1.domain.com -orgId 1 -serviceInstanceId 103
Le tableau de base de données de basculement des ressources est configuré pour chaque centre de données.
Suivant
Pour la configuration de basculement existante pour chaque ressource View et Citrix, exécutez hznAdminTool
failoverConfigurationList -configType <configtype> -<orgId).
{"idOrganization":1,"serviceInstanceId":
52,"configType":"VIEW","configuration":"pod1vcs1.domain.com,pod2vcs1.domain.com"}
{"idOrganization":1,"serviceInstanceId":
103,"configType":"VIEW","configuration":"pod2vcs1.domain.com,pod1vcs1.domain.com"}
{"idOrganization":1,"serviceInstanceId":
154,"configType":"VIEW","configuration":"pod2vcs1.domain.com,pod1vcs1.domain.com"}
Vous devez configurer votre base de données externe pour la haute disponibilité. Configurez une
architecture de base de données maître et esclave, où l'esclave est un réplica exact du maître.
Si vous utilisez SQL Server Always On, utilisez le nom d'hôte ou l'adresse IP de l'écouteur SQL Server
lorsque vous configurez la base de données dans chaque dispositif VMware Identity Manager. Par exemple :
jdbc:sqlserver://<nomhôte_écouteur>;DatabaseName=saas
98 VMware, Inc.
Chapitre 6 Configuration avancée du dispositif VMware Identity Manager
En fonction de la configuration de votre base de données, les dispositifs VMware Identity Manager dans le
centre de données secondaire sont en mode lecture seule ou en mode lecture-écriture. Pour toutes les bases
de données, sauf SQL Server Always On, les dispositifs VMware Identity Manager sont en mode lecture
seule. Par conséquent, la plupart des opérations d'administrateur, comme l'ajout d'utilisateurs ou
d'applications, ou l'autorisation d'utilisateurs, ne sont pas disponibles.
Si vous utilisez un déploiement SQL Server Always On, les dispositifs VMware Identity Manager dans le
centre de données secondaire sont en mode lecture-écriture.
Utilisation d'un enregistrement DNS pour configurer quel data center doit être
actif
Si vous utilisez un enregistrement Domain Name System (DNS) pour acheminer le trafic des utilisateurs
dans vos data centers, l'enregistrement DNS doit pointer vers un équilibreur de charge du data center
principal dans des situations de fonctionnement normales.
Si le data center principal est indisponible, l'enregistrement DNS doit être mis à jour pour pointer vers
l'équilibreur de charge du data center secondaire.
Lorsque le data center principal est de nouveau disponible, l'enregistrement DNS doit être mis à jour pour
pointer vers l'équilibreur de charge du data center primaire.
Lorsque VMware Identity Manager est exécuté en mode lecture seule, les activités liées à des modifications
dans Active Directory ou la base de données ne peuvent pas être réalisées et la synchronisation avec la base
de données VMware Identity Manager ne fonctionne pas.
Les fonctions administratives qui nécessitent d'écrire dans la base de données ne sont pas disponibles
pendant cette période. Vous devez attendre que VMware Identity Manager repasse en mode lecture et
écriture.
n Ajout, suppression et modification des utilisateurs et des groupes dans l'onglet Utilisateurs et groupes
VMware, Inc. 99
Installing and Configuring VMware Identity Manager
n Synchronisation de répertoire pour ajouter, modifier et supprimer des utilisateurs et des groupes
n Modification des informations sur les ressources, y compris View, XenApp et d'autres ressources
Remarque Les composants de connecteur des dispositifs VMware Identity Manager dans le centre de
données secondaire apparaissent dans la console d'administration. Veillez à ne pas sélectionner un
connecteur dans le centre de données secondaire comme connecteur de synchronisation.
n Marquer une ressource comme favorite ou annuler le marquage d'une ressource comme favorite
n Ajouter des ressources de la page Catalogue ou supprimer des ressources de la page Lanceur
Procédure
1 Modifiez l'équilibrage de charge global ou l'enregistrement DNS pour qu'il pointe vers l'équilibrage de
charge dans le centre de données principal.
Voir « Utilisation d'un enregistrement DNS pour configurer quel data center doit être actif », page 99.
Méthode : POST
Pour un déploiement SQL Server Always On, aucune modification n'est requise. Pour les autres
configurations de base de données, vous devez modifier le fichier runtime-config.properties dans les
dispositifs VMware Identity Manager dans le centre de données secondaire afin de configurer les dispositifs
pour le mode lecture-écriture.
Apportez ces modifications dans chaque dispositif VMware Identity Manager dans le centre de données
secondaire.
Procédure
1 À l'aide d'un client ssh, connectez-vous au dispositif VMware Identity Manager en tant qu'utilisateur
root.
Consultez le schéma dans « Déploiement de VMware Identity Manager dans un centre de données
secondaire pour le basculement et la redondance », page 91 lorsque vous suivez ces étapes.
Procédure
1 Changez le routage sur l'ÉdC global pour envoyer les demandes à l'ÉdC DC2.
5 Une fois satisfait, changez l'ÉdC global pour router les demandes vers l'ÉdC DC1.
6 Mettez à jour le dispositif virtuel vIDM4, puis le dispositif virtuel vIDM5 et le dispositif virtuel vIDM6.
n Synchronise des données d'utilisateur et de groupe entre votre annuaire d'entreprise et l'annuaire
correspondant que vous créez dans le service.
n Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service.
Comme un connecteur est déjà disponible dans le cadre du service, dans des déploiements standard, vous
n'avez pas besoin d'installer un connecteur supplémentaire.
Dans certains scénarios, toutefois, vous pouvez avoir besoin d'un connecteur supplémentaire. Par exemple :
n Si vous disposez de plusieurs annuaires de type Active Directory (Authentification Windows intégrée),
vous avez besoin d'un connecteur séparé pour chacun d'entre eux.
Une instance de connecteur peut être associée à plusieurs annuaires. Une partition appelée travailleur
est créée dans le connecteur pour chaque annuaire. Toutefois, la même instance de connecteur ne peut
pas comporter deux travailleurs de type Authentification Windows intégrée.
n Si vous voulez gérer l'accès des utilisateurs selon s'ils se connectent depuis un emplacement interne ou
externe.
n Si vous voulez utiliser l'authentification par certificat, alors que votre équilibrage de charge est
configuré pour mettre fin à SSL au niveau de l'équilibrage de charge. L'authentification par certificat
requiert un relais SSL au niveau de l'équilibrage de charge.
Tous les connecteurs supplémentaires que vous déployez apparaissent dans l'interface utilisateur du service.
Procédure
1 Connectez-vous à la console d'administration de VMware Identity Manager.
Suivant
Installez le dispositif virtuel du connecteur.
Prérequis
n Identifiez les enregistrements DNS et le nom d'hôte à utiliser pour le déploiement du fichier OVA
d'connecteur.
n Avec vSphere Web Client, utilisez les navigateurs Firefox ou Chrome. N'utilisez pas Internet Explorer
pour déployer le fichier OVA.
Procédure
1 Dans vSphere Client ou vSphere Web Client, sélectionnez Fichier > Déployer le modèle OVF.
2 Dans les pages Déployer le modèle OVF, entrez les informations spécifiques de votre déploiement
d'connecteur.
Page Description
Source Localisez l'emplacement du module OVA ou entrez une URL spécifique.
Détails du module OVA Vérifiez que vous avez sélectionné la version correcte.
Licence Lisez l'accord de licence d'utilisateur final et cliquez sur Accepter.
Nom et emplacement Saisissez un nom pour le dispositif virtuel. Le nom doit être unique dans le
dossier d'inventaire et contenir au maximum 80 caractères. Les noms sont
sensibles à la casse.
Sélectionnez un emplacement pour le dispositif virtuel.
Hôte / Cluster Sélectionnez l'hôte ou le cluster pour exécuter le modèle déployé.
Pool de ressources Sélectionnez le pool de ressources.
Page Description
Stockage Sélectionnez l'emplacement de stockage des fichiers des machines
virtuelles.
Format du disque Sélectionnez le format de disque pour les fichiers. Pour les environnements
de production, sélectionnez le format Provisionnement statique. Utilisez
le format Provisionnement dynamique pour les évaluations et les tests.
Mappage réseau Mappez les réseaux de votre environnement vers les réseaux du modèle
OVF.
Propriétés a Dans le champ Paramètre de fuseau horaire, sélectionnez le fuseau
horaire correspondant.
b La case Programme d'amélioration du produit est cochée par défaut.
VMware collecte des données anonymes sur votre déploiement afin
d'améliorer la réponse de VMware aux exigences des utilisateurs.
Décochez la case si vous ne voulez pas que les données soient
collectées.
c Dans le champ Nom de l'hôte, entrez le nom d'hôte à utiliser. Si ce
champ est vide, le DNS inversé est utilisé pour rechercher le nom
d'hôte.
d Pour configurer l'adresse IP statique d'connecteur, entrez l'adresse de
chacun des éléments suivants : Passerelle par défaut, DNS, Adresse IP
et Masque réseau.
Important Si l'un des quatre champs d'adresse, y compris Nom
d'hôte, est vide, le protocole DHCP est utilisé.
Pour configurer le protocole DHCP, laissez les champs d'adresse vides.
Prêt à terminer Passez vos sélections en revue et cliquez sur Terminer.
Selon la vitesse de votre réseau, le déploiement peut nécessiter plusieurs minutes. Vous pouvez voir la
progression dans la boîte de dialogue de progression.
3 Lorsque le déploiement est terminé, sélectionnez le dispositif , cliquez avec le bouton droit et
sélectionnez Alimentation > Mettre sous tension.
Le dispositif est initialisé. Vous pouvez accéder à l'onglet Console pour voir les détails. Une fois
l'initialisation du dispositif virtuel terminée, l'écran de la console affiche la version du et les URL pour
vous connecter à l'Assistant de configuration du , afin de terminer la configuration.
Suivant
Utilisez l'Assistant de configuration pour ajouter le code d'activation et les mots de passe d'administration.
Prérequis
n Vous disposez du code d'activation du nouveau connecteur. Voir « Générer un code d'activation pour
un connecteur », page 104.
n Assurez-vous que le dispositif connecteur est activé et que vous connaissez l'URL d'connecteur.
n Répertoriez une liste des mots de passe à utiliser pour l'administrateur de connecteur, le compte racine
et le compte Sshuser.
Procédure
1 Pour exécuter l'Assistant Configuration, entrez l'URL de connecteur qui s'est affichée dans l'onglet
Console une fois l'OVA déployé.
3 Créez des mots de passe forts pour les comptes d'administrateur de dispositif virtuel connecteur
suivants.
Les mots de passe forts doivent contenir au moins huit caractères, des majuscules et des minuscules et
au moins un chiffre ou caractère spécial.
Option Description
Administrateur du dispositif Créez le mot de passe de l'administrateur du dispositif. Le nom
d'utilisateur est admin et ne peut pas être modifié. Vous utilisez ce compte
et ce mot de passe pour vous connecter aux services connecteur afin de
gérer les certificats, les mots de passe des dispositifs et la configuration
syslog.
Important Le mot de passe de l'utilisateur Admin doit contenir au
moins 6 caractères.
Compte racine Un mot de passe racine VMware par défaut a été utilisé pour installer le
dispositif connecteur. Créez un nouveau mot de passe racine.
Compte sshuser Créez le mot de passe à utiliser pour l'accès à distance au dispositif du
connecteur.
5 Sur la page Activer le connecteur, collez le code d'activation et cliquez sur Continuer.
Le code d'activation est vérifié et la communication entre le service et l'instance du connecteur est
établie.
Suivant
Dans le service, configurez votre environnement selon vos besoins. Par exemple, si vous avez ajouté un
connecteur supplémentaire, car vous voulez synchroniser deux annuaires Authentification Windows
intégrée, créez l'annuaire et associez-le au nouveau connecteur.
Configurez les certificats SSL pour le connecteur. Voir « Utilisation des certificats SSL », page 38.
Remarque Lorsque vous intégrez VMware Identity Manager à AirWatch dans un environnement
Windows, utilisez le service hebergé cloud KDC VMware Identity Manager, et non pas le KDC intégré.
L'utilisation de KDC dans le cloud requiert de sélectionner le nom de domaine approprié dans la page
d’adaptateur d’authentification iOS à partir de la console d’administration. Consultez le Guide
d’Administration de VMware Identity Manager.
Avant d'initialiser KDC dans VMware Identity Manager, déterminez le nom de domaine du serveur KDC, si
votre déploiement comporte des sous-domaines et si vous voulez utiliser le certificat du serveur KDC par
défaut ou non.
Domaine
Le domaine est le nom d'une entité administrative qui conserve des données d'authentification. Il est
important de sélectionner un nom descriptif pour le domaine d'authentification Kerberos. Le nom de
domaine doit faire partie d'un domaine DNS que l'entreprise peut configurer.
Le nom de domaine et le nom de domaine complet (FQDN) qui est utilisé pour accéder au service VMware
Identity Manager sont indépendants. Votre entreprise doit contrôler les domaines DNS pour le nom de
domaine et le FQDN. L'usage consiste à utiliser un nom de domaine identique au FQDN, mais écrit en
majuscules. Parfois, le nom de domaine et le FQDN sont différents. Par exemple, un nom de domaine est
EXAMPLE.NET et idm.example.com est le FQDN VMware Identity Manager. Dans ce cas, vous définissez des
entrées DNS pour les domaines example.net et example.com.
Le nom de domaine est utilisé par un client Kerberos pour générer des noms DNS. Par exemple, lorsque le
nom est example.com, le nom lié Kerberos pour contacter le KDC par TCP est
_kerberos._tcp.EXAMPLE.COM.
Utilisation de sous-domaines
Le service VMware Identity Manager installé dans un environnement sur site peut utiliser le sous-domaine
du FQDN VMware Identity Manager. Si votre site VMware Identity Manager accède à plusieurs domaines
DNS, configurez les domaines sous la forme location1.example.com ; location2.example.com ;
location3.example.com. Dans ce cas, la valeur du sous-domaine est example.com, saisi en minuscules. Pour
configurer un sous-domaine dans votre environnement, contactez votre équipe du support du service.
Vous pouvez générer manuellement le certificat du serveur KDC à l'aide d'un certificat racine ou
intermédiaire d'entreprise. Contactez votre équipe du support du service pour obtenir des détails sur cette
fonctionnalité.
n « Création d'entrées DNS publiques pour KDC avec Kerberos intégré », page 109
Pour initialiser KDC, vous attribuez votre nom d'hôte d'Identity Manager aux domaines Kerberos. Le nom
de domaine est entré en majuscules. Si vous configurez plusieurs domaines Kerberos, pour identifier le
domaine, utilisez des noms descriptifs qui se terminent par votre nom de domaine d'Identity Manager. Par
exemple SALES.MY-IDENTITYMANAGER.EXAMPLE.COM. Si vous configurez des sous-domaines, tapez
le nom du sous-domaine en minuscules.
Prérequis
VMware Identity Manager est installé et configuré.
Nom de domaine identifié. Voir Chapitre 8, « Utilisation de KDC intégré », page 107.
Procédure
1 Connectez-vous avec SSH au dispositif VMware Identity Manager en tant qu'utilisateur racine.
Si vous utilisez un équilibrage de charge avec plusieurs dispositifs Identity Manager, utilisez le nom de
l'équilibrage de charge dans les deux cas.
Suivant
Créez des entrées DNS publiques. Des enregistrements DNS doivent être provisionnés pour permettre aux
clients de trouver le KDC. Voir « Création d'entrées DNS publiques pour KDC avec Kerberos intégré »,
page 109.
Le nom de domaine KDC est utilisé dans le cadre du nom DNS pour les entrées du dispositif VMware
Identity Manager qui sont utilisées pour détecter le service KDC. Un enregistrement DNS SRV est
obligatoire pour chaque site VMware Identity Manager et deux entrées d'adresse A.
Remarque La valeur d'entrée AAAA est une adresse IPv6 qui code une adresse IPv4. Si le KDC n'est pas
adressable via IPv6 et qu'une adresse IPv4 est utilisée, il peut être nécessaire de spécifier l'entrée AAAA
dans une notation IPv6 stricte sous la forme ::ffff:175c:e147 sur le serveur DNS. Vous pouvez utiliser un
outil de conversion IPv4 en IPv6, tel que celui de Neustar.UltraTools, pour convertir la notation d'adresse
IPv4 en IPv6.
n « Les utilisateurs ne peuvent pas lancer des applications ou une méthode d'authentification incorrecte
est appliquée dans des environnements à équilibrage de charge », page 111
Problème
Dans un environnement à équilibrage de charge, des problèmes comme les suivants peuvent se produire :
n Les utilisateurs ne peuvent pas lancer d'applications à partir du portail Workspace ONE après leur
connexion.
n Une méthode d'authentification incorrecte est présentée aux utilisateurs à des fins d'authentification de
relais.
Cause
Ces problèmes peuvent se produire si des stratégies d'accès sont mal déterminées. L'adresse IP du client
détermine quelle stratégie d'accès s'applique lors de la connexion et lors du lancement d'application. Dans
un environnement à équilibrage de charge, VMware Identity Manager utilise l'en-tête X-Forwarded-For
pour déterminer l'adresse IP du client. Dans certains cas, une erreur peut se produire.
Solution
service.numberOfLoadBalancers numberOfLBs
Problème
Une fois qu'un répertoire est synchronisé, manuellement ou automatiquement en fonction du planning de
synchronisation, le processus de synchronisation se termine correctement, mais aucun utilisateur n'est
affiché dans les groupes synchronisés.
Cause
Ce problème se produit lorsque vous disposez de deux nœuds ou plus dans un cluster et qu'il existe une
différence de temps de plus de 5 secondes entre les nœuds.
Solution
1 Vérifiez qu'il n'existe pas de différence de temps entre les nœuds. Utilisez le même serveur NTP sur
tous les nœuds dans le cluster pour synchroniser le temps.
3 (Facultatif) Dans la console d'administration, supprimez le groupe, rajoutez-le dans les paramètres de
synchronisation et synchronisez de nouveau le répertoire.
curl 'http://localhost:9200/_cluster/health?pretty'
{
"cluster_name" : "horizon",
"status" : "green",
"timed_out" : false,
"number_of_nodes" : 3,
"number_of_data_nodes" : 3,
"active_primary_shards" : 20,
"active_shards" : 40,
"relocating_shards" : 0,
"initializing_shards" : 0,
"unassigned_shards" : 0,
"delayed_unassigned_shards" : 0,
"number_of_pending_tasks" : 0,
"number_of_in_flight_fetch" : 0
}
Si Elasticsearch ne démarre pas correctement ou si son état est rouge, suivez ces étapes pour résoudre les
problèmes.
a Mettez à jour les détails du nœud en ajoutant les adresses IP de tous les nœuds du cluster au
fichier /usr/local/horizon/scripts/updateiptables.hzn :
/usr/local/horizon/scripts/updateiptables.hzn
cd /opt/vmware/elasticsearch/logs
tail -f horizon.log
S
serveur SMTP 16
Serveur SMTP 44
serveur syslog 42
service-va 83, 85
sessions sticky, équilibrage de charge 79
sous-domaine KDC 107
supprimer le noeud 89, 90
SUSE Linux 7
T
temps d'arrêt 101
travailleur 46