É possível integrar o serviço com um ambiente do Active Directory, que consiste em um único domínio do Active Directory, vários domínios em uma única floresta do Active Directory ou vários domínios em várias florestas do Active Directory.

Ambiente de domínio único do Active Directory

Com uma única implantação do Active Directory, você pode sincronizar usuários e grupos a partir de um único domínio do Active Directory.

Para este ambiente, ao adicionar um diretório ao serviço do VMware Identity Manager, selecione Active Directory sobre LDAP/IWA como o diretório a ser adicionado.

Para obter mais informações, consulte:

Ambiente de vários domínios em única floresta do Active Directory

Em uma implantação de vários domínios em uma única floresta do Active Directory, você pode sincronizar usuários e grupos de vários domínios do Active Directory em uma única floresta.

É possível configurar o serviço para este ambiente do Active Directory como um único tipo de diretório do Active Directory (Autenticação Integrada do Windows) ou, alternativamente, como um tipo de diretório Active Directory sobre LDAP configurado com a opção de catálogo global.
  • A opção recomendada é criar um único tipo de diretório do Active Directory (Autenticação Integrada do Windows).

    Ao adicionar um diretório a esse ambiente, selecione a opção Active Directory (Autenticação Integrada do Windows). Certifique-se de que uma relação de confiança bidirecional (não transitiva) esteja configurada entre os domínios no diretório e o domínio no qual o VMware Identity Manager Connector está associado.

    Para obter mais informações, consulte:

  • Se a Autenticação Integrada do Windows não funcionar no seu ambiente Active Directory, crie um tipo de diretório Active Directory sobre LDAP e selecione a opção de catálogo global.

    Algumas das limitações da seleção da opção de catálogo global incluem:

    • Os atributos de objeto do Active Directory que são replicados no catálogo global são identificados no esquema do Active Directory como o conjunto de atributos parcial (PAS). Somente esses atributos estão disponíveis para o mapeamento de atributos pelo serviço. Se necessário, edite o esquema para adicionar ou remover atributos armazenados no catálogo global.
    • O catálogo global armazena a associação ao grupo (o atributo do membro) somente dos grupos universais. Somente os grupos universais são sincronizados com o serviço. Se necessário, altere o escopo de um grupo de um domínio local ou global para universal.
    • A conta do DN de associação que você define ao configurar um diretório no serviço deve ter permissões para ler o atributo Token-Groups-Global-And-Universal (TGGAU).
    • Quando o Workspace ONE UEM está integrado ao VMware Identity Manager e vários grupos organizacionais do Workspace ONE UEM estão configurados, a opção de Catálogo Global do Active Directory não pode ser usada.

    O Active Directory usa as portas 389 e 636 para consultas LDAP padrão. Para as consultas do catálogo global, as portas 3268 e 3269 são usadas.

    Quando você adicionar um diretório para o ambiente do catálogo global, especifique as informações a seguir durante a configuração.

    • Selecione a opção Active Directory sobre LDAP.
    • Desmarque a caixa de seleção da opção Esse diretório suporta localização do serviço DNS.
    • Selecione a opção Este diretório tem um catálogo global. Quando você seleciona essa opção, o número da porta do servidor é automaticamente alterada para 3268. Além disso, como o DN Base não é necessário durante a configuração da opção de catálogo global, a caixa de texto DN Base não é exibida.
    • Adicione o nome do host servidor do Active Directory.
    • Se o Active Directory exigir acesso por SSL, selecione a opção Esse diretório requer que todas as conexões usem SSL e cole o certificado na caixa de texto fornecida. Quando você seleciona essa opção, o número da porta do servidor é automaticamente alterada para 3269.

Ambiente do Active Directory de várias florestas com relações confiáveis

Em uma implantação do Active Directory de várias florestas com relações confiáveis, você pode sincronizar usuários e grupos de vários domínios do Active Directory entre florestas, onde existe confiança bidirecional entre os domínios. Você pode configurar o serviço para esse ambiente do Active Directory como um único tipo de diretório do Active Directory - Autenticação Integrada do Windows.

Ao adicionar um diretório a esse ambiente, selecione a opção Active Directory – Autenticação Integrada do Windows. Certifique-se de que uma relação de confiança bidirecional (não transitiva) esteja configurada entre os domínios nas florestas do diretório e o domínio ao qual o VMware Identity Manager Connector está associado.

Ao adicionar um diretório a esse ambiente, selecione a opção Active Directory (Autenticação Integrada do Windows).

Para obter mais informações, consulte:

Ambiente do Active Directory de várias florestas sem relações confiáveis

Em uma implantação do Active Directory de várias florestas sem relações confiáveis, você pode sincronizar usuários e grupos de vários domínios do Active Directory entre florestas, sem confiança bidirecional entre os domínios. Nesse ambiente, você cria vários diretórios no serviço do VMware Identity Manager, um diretório para cada floresta.

O tipo de diretórios que você criar no serviço depende da floresta. Para as florestas com vários domínios, selecione a opção Active Directory (Autenticação Integrada do Windows). Para um floresta com um único domínio, selecione a opção Active Directory sobre LDAP.

Para obter mais informações, consulte: