Você pode integrar o Workspace ONE Access à implantação do Active Directory para sincronizar usuários e grupos a partir do Active Directory para o serviço Workspace ONE Access. O tipo de ambiente do Active Directory que você tem determina o tipo de diretório criado no serviço Workspace ONE Access.
Ambientes do Active Directory
É possível integrar o serviço do Workspace ONE Access com um ambiente do Active Directory, que consiste em um único domínio do Active Directory, vários domínios em uma única floresta do Active Directory ou vários domínios em várias florestas do Active Directory.
Ambiente de domínio único do Active Directory
Com uma única implantação do domínio do Active Directory, você pode sincronizar usuários e grupos a partir de um único domínio do Active Directory.
Para esse ambiente, você pode criar um diretório do tipo Active Directory sobre LDAP ou do tipo Active Directory sobre Autenticação Integrada do Windows no serviço Workspace ONE Access.
Para obter mais informações, consulte:
Ambiente de vários domínios em única floresta do Active Directory
Em uma implantação de vários domínios em uma única floresta do Active Directory, você pode sincronizar usuários e grupos de vários domínios do Active Directory em uma única floresta.
- A opção recomendada é criar um único tipo de diretório do Active Directory sobre Autenticação Integrada do Windows.
Ao adicionar um diretório a esse ambiente, selecione a opção Active Directory sobre Autenticação Integrada do Windows. Certifique-se de que uma relação de confiança bidirecional (não transitiva) esteja configurada entre os domínios no diretório e o domínio no qual o usuário de Associação de Domínio seja um membro.
Para obter mais informações, consulte:
- Se a Autenticação Integrada do Windows não funcionar no seu ambiente do Active Directory, crie um diretório do Active Directory sobre LDAP e selecione a opção Catálogo Global.
Algumas das limitações da seleção da opção Catálogo Global incluem:
- Os atributos de objeto do Active Directory que são replicados no catálogo global são identificados no esquema do Active Directory como o conjunto de atributos parcial (PAS). Somente esses atributos estão disponíveis para o mapeamento de atributos pelo serviço. Se necessário, edite o esquema para adicionar ou remover atributos armazenados no catálogo global.
- O catálogo global armazena a associação ao grupo (o atributo do membro) somente dos grupos universais. Somente os grupos universais são sincronizados com o serviço. Se necessário, altere o escopo de um grupo de um domínio local ou global para universal.
- A conta do DN de associação que você define ao configurar um diretório no serviço deve ter permissões para ler o atributo Token-Groups-Global-And-Universal (TGGAU).
- Os usuários podem sincronizar com o diretório do Catálogo Global do Workspace ONE Access de vários domínios do Active Directory, diretamente ou por meio de associações de grupo. Você deve certificar-se de que nenhum outro diretório no tenant do Workspace ONE Access sincronize os usuários dos mesmos domínios, caso contrário, o conflito poderá causar falhas na sincronização.
- Quando o Workspace ONE UEM está integrado ao Workspace ONE Access e vários grupos organizacionais do Workspace ONE UEM estão configurados, a opção de Catálogo Global do Active Directory não pode ser usada.
O Active Directory usa as portas 389 e 636 para consultas LDAP padrão. Para as consultas do catálogo global, as portas 3268 e 3269 são usadas.
Ambiente do Active Directory de várias florestas com relações confiáveis
Em uma implantação do Active Directory de várias florestas com relações confiáveis, você pode sincronizar usuários e grupos de vários domínios do Active Directory entre florestas, onde existe confiança bidirecional entre os domínios. No serviço do Workspace ONE Access, para este ambiente do Active Directory, crie um único diretório do Active Directory sobre Autenticação Integrada do Windows.
Ao adicionar um diretório a esse ambiente, selecione a opção Active Directory sobre Autenticação Integrada do Windows. Certifique-se de que uma relação de confiança bidirecional (não transitiva) esteja configurada entre os domínios no diretório e o domínio no qual o usuário de Associação de Domínio seja um membro.
Para obter mais informações, consulte:
Ambiente do Active Directory de várias florestas sem relações confiáveis
Em uma implantação do Active Directory de várias florestas sem relações confiáveis, você pode sincronizar usuários e grupos de vários domínios do Active Directory entre florestas, sem confiança bidirecional entre os domínios. Neste ambiente, você cria vários diretórios no serviço do Workspace ONE Access, um diretório para cada floresta.
Para obter mais informações, consulte: