Configuração da conexão do Active Directory no Workspace ONE Access

No console do Workspace ONE Access, crie um diretório, insira as informações necessárias para se conectar ao seu Active Directory e selecione os usuários e os grupos a serem sincronizados com o diretório do Workspace ONE Access. As opções de conexão do Active Directory são Active Directory sobre LDAP ou Active Directory sobre Autenticação Integrada do Windows. Uma conexão do Active Directory sobre LDAP é compatível com a pesquisa de Localização do Serviço DNS.

Pré-requisitos

Instale o serviço Sincronização de Diretório, que está disponível como um componente do Workspace ONE Access Connector a partir da versão 20.01.0.0. Consulte a versão mais recente de Instalação do VMware Workspace ONE Access Connector para obter informações.
Se você quiser usar o serviço de Autenticação do Usuário para autenticar usuários do diretório, instale também o componente de serviço de Autenticação do Usuário.
Selecione os atributos de usuário necessários e adicione atributos personalizados, se necessário, na página Configurações > Atributos de Usuário no console do Workspace ONE Access. Consulte Gerenciando os atributos de usuário no Workspace ONE Access. Tenha em mente as seguintes considerações:
- Se um atributo de usuário for necessário, seu valor deverá ser definido para todos os usuários que você deseja sincronizar. Os usuários que não têm um valor para o atributo não são sincronizados.
- Os atributos se aplicam a todos os diretórios.
- Depois que um ou mais diretórios são configurados no serviço do Workspace ONE Access, os atributos não podem mais ser marcados como obrigatórios.
Faça uma lista dos usuários e grupos a serem sincronizados a partir de Active Directory. Os nomes de grupo são sincronizados com o diretório imediatamente. Os membros de um grupo não serão sincronizados até que o grupo tenha direito a recursos ou seja adicionado a uma regra de política. Os usuários que precisam se autenticar antes dos direitos do grupo serem configurados devem ser adicionados durante a configuração inicial.
Se você estiver criando um diretório do tipo Active Directory sobre LDAP usando a opção Catálogo Global, deverá certificar-se de que nenhum outro diretório no tenant do Workspace ONE Access sincronize os usuários dos mesmos domínios que o diretório do Catálogo Global. O conflito pode causar falhas na sincronização.
Para o Active Directory sobre LDAP, você precisa do DN de Base, do DN de usuário de associação e da senha.
O usuário de Associação deve ter as seguintes permissões no Active Directory para conceder acesso a objetos de usuários e grupos:
- Ler
- Ler todas as propriedades
- Permissões de leitura
Observação: É recomendável usar uma conta de usuário de Associação com uma senha que não expire.
Para o Active Directory sobre Autenticação Integrada do Windows, é necessário o nome de usuário e a senha do usuário de Associação que tem permissão para consultar usuários e grupos para os domínios necessários.
O usuário de Associação deve ter as seguintes permissões no Active Directory para conceder acesso a objetos de usuários e grupos:
- Ler
- Ler todas as propriedades
- Permissões de leitura
Observação: É recomendável usar uma conta de usuário de Associação com uma senha que não expire.
Se o seu Active Directory exigir acesso por SSL/TLS, os certificados da CA Intermediária (se usado) e Raiz dos controladores de domínio para todos os domínios relevantes do Active Directory serão necessários. Se os controladores de domínio tiverem certificados de várias Autoridades de Certificação Intermediárias e Raiz, todos os certificados de CA Intermediária e Raiz serão necessários.

Observação: Para diretórios do tipo Active Directory sobre Autenticação Integrada do Windows, a associação Kerberos de SASL é usada automaticamente para criptografia. Não é necessário um certificado.
Para o Active Directory sobre Autenticação Integrada do Windows, quando você tiver várias florestas do Active Directory configuradas, e o grupo local de domínio contiver membros de domínios em florestas diferentes, certifique-se de que o usuário de associação seja adicionado ao grupo de administradores do domínio no qual reside o grupo local de domínio. Se isso não for feito, esses membros estarão ausentes do grupo local de domínio.
Para o Active Directory sobre Autenticação Integrada do Windows:
- Para todos os controladores de domínio listados nos registros SRV e nos RODCs ocultos, nslookup de nome do host e endereço IP deve funcionar.
- Todos os controladores de domínio devem ser acessíveis em termos de conectividade de rede.
Se o Workspace ONE Access Connector estiver em execução no modo FIPS, requisitos e pré-requisitos adicionais serão aplicados. Consulte Modo FIPS e do Workspace ONE Access Connector para sua versão do conector.

Procedimento

No console do Workspace ONE Access, selecione Integrações > Diretórios.
No menu suspenso Adicionar Diretório, selecione Active Directory.

Na seção Informações do Diretório, insira as seguintes informações.

Opção	Descrição
Nome do diretório	Insira um nome para o diretório do Workspace ONE Access.
Tipo	Selecione o tipo de diretório, Active Directory sobre LDAP ou Active Directory sobre Autenticação Integrada do Windows.

Se você tiver selecionado Active Directory sobre LDAP como o tipo de diretório, siga estas etapas para a seção Configurar Diretório. Caso contrário, prossiga para a próxima etapa.

Na seção Sincronização e Autenticação do Diretório, faça as seguintes seleções.

Opção	Descrição
Hosts de Sincronização de Diretório	Selecione uma ou mais instâncias do serviço de Sincronização de Diretório a serem usadas para sincronizar este diretório. Todas as instâncias do serviço de Sincronização de Diretório que são registradas com o tenant são listadas. Você só pode selecionar instâncias que estejam no estado Ativo. Se você selecionar várias instâncias, o Workspace ONE Access usará a primeira instância selecionada na lista para sincronizar o diretório. Se a primeira instância estiver indisponível, ela usará a próxima instância selecionada e assim por diante. Você poderá reordenar a lista na página Configurações de Sincronização do diretório depois de criar o diretório.
Autenticação	Selecione Configurar a autenticação de senha para este diretório se desejar autenticar usuários deste diretório com o serviço de Autenticação do Usuário. O serviço de Autenticação do Usuário já deve estar instalado. Se você selecionar essa opção, o método de autenticação de Senha (implantação em nuvem) e um provedor de identidade chamado IDP para `directoryName` do tipo Incorporado serão automaticamente criados para o diretório. Selecione Adicionar métodos de autenticação mais tarde se você não quiser autenticar usuários desse diretório com o serviço de Autenticação do Usuário. Se você decidir usar o serviço de Autenticação do Usuário mais tarde, poderá criar o método de autenticação de senha (implantação em nuvem) e o provedor de identidade para o diretório manualmente. Quando você fizer isso, crie um novo provedor de identidade para o diretório selecionando Adicionar > IDP Integrado na página Integrações > Provedores de Identidade. Não é recomendável usar o provedor de identidade pré-criado chamado Integrado.
Hosts de Autenticação de Usuário	Essa opção aparece quando Autenticação está definida como Configurar a autenticação de senha para este diretório. Selecione uma ou mais instâncias do serviço de Autenticação do Usuário a serem usadas para autenticar os usuários desse diretório. Todas as instâncias do serviço de Autenticação do Usuário que são registradas com o tenant e que estão no estado Ativo são listadas. Se você selecionar várias instâncias, o Workspace ONE Access enviará solicitações de autenticação para as instâncias selecionadas na ordem de repetição alternada.
Nome de usuário	Selecione o atributo da conta que contém o nome de usuário.
ID Externa	O atributo que você deseja usar como o identificador exclusivo de usuários no diretório do Workspace ONE Access. O valor padrão é objectGUID. Você pode definir uma ID Externa para qualquer um dos seguintes atributos: Qualquer atributo de cadeia de caracteres, como sAMAccountName ou distinguishedName Os atributos binários objectSid, objectGUID ou mS-DS-ConsistencyGuid A configuração de ID Externa só se aplica aos usuários no Workspace ONE Access. Para grupos, a ID Externa é sempre definida como objectGUID e não pode ser alterada. Importante: Todos os usuários devem ter um valor exclusivo e não vazio definido para o atributo. O valor deve ser exclusivo no tenant do Workspace ONE Access. Se qualquer usuário não tiver um valor para o atributo, o diretório não será sincronizado. Importante: Se você definir a ID Externa como o atributo objectGUID ou mS-DS-ConsistencyGuid, todos os usuários deverão ter um valor não vazio para o atributo com exatamente 16 bytes de comprimento. Além disso, certifique-se de especificar o nome do atributo do Active Directory correto, usando a capitalização correta, na caixa de texto ID Externa. Se o nome não corresponder ao nome do atributo no Active Directory, um valor nulo será retornado e a sincronização de diretório falhará. Por exemplo, se você usar o atributo mS-DS-ConsistencyGuid no Active Directory e definir External ID como ms-DS-ConsistencyGuid, a sincronização de diretório não será bem-sucedida. Tenha em mente as seguintes considerações ao definir a ID Externa: Se você estiver integrando o Workspace ONE Access com o Workspace ONE UEM, certifique-se de definir a ID Externa para o mesmo atributo em ambos os produtos. Você pode alterar a ID Externa depois de criar o diretório. No entanto, a boa prática é definir a ID Externa antes de sincronizar os usuários com o Workspace ONE Access. Quando você altera a ID Externa, os usuários são recriados. Como resultado, todos os usuários serão desconectados e precisarão fazer login novamente. Você também precisará reconfigurar os direitos de usuário para os aplicativos Web e ThinApps. Os direitos do Horizon, do Horizon Cloud e da Citrix serão excluídos e, em seguida, recriados na sincronização de direitos seguintes. A opção ID Externa está disponível com as versões 20.10 e posteriores do Workspace ONE Access Connector. Todos os conectores associados ao serviço Workspace ONE Access devem ser da versão 20.10 ou posterior. Se diferentes versões do conector estiverem associadas ao serviço, a opção ID Externa não será exibida.

Para configurar as opções Local do Servidor e Criptografia, selecione entre as opções a seguir.

Opção	Descrição
Se você quiser usar a pesquisa de Localização do Serviço DNS para o Active Directory	Com essa opção, o Workspace ONE Access encontra e usa controladores de domínio ideais. Se você não quiser usar a seleção do controlador de domínio otimizada, não selecione essa opção. Para Local do Servidor, marque a caixa de seleção Esse diretório suporta localização do serviço DNS. Se o Active Directory exigir acesso por SSL/TLS, marque a caixa de seleção Exigir STARTTLS para todas as conexões na seção Criptografia. Observação: Se a opção Esse diretório suporta localização do serviço DNS estiver marcada, STARTTLS será usado para criptografia pela porta 389. Se a opção Esse diretório suporta localização do serviço DNS estiver desmarcada, LDAPS será usado para criptografia pela porta 636. Copie e cole os certificados da CA Raiz e Intermediária (se usada) dos controladores de domínio na caixa de texto Certificado(s) SSL. Insira o certificado da CA Intermediária primeiro e, em seguida, o certificado da CA Raiz. Verifique se cada certificado está no formato PEM e inclui as linhas INICIAR CERTIFICADO e ENCERRAR CERTIFICADO. Se os controladores de domínio tiverem certificados de várias Autoridades de Certificação Intermediária e Raiz, insira todas as cadeias de certificado de CA Intermediária-Raiz, uma após a outra. Por exemplo: -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 2> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 2> ... -----END CERTIFICATE----- Observação: Se o seu Active Directory exigir acesso por SSL/TLS e você não fornecer os certificados, não poderá criar o diretório.
Se você não quiser usar a pesquisa de Localização do Serviço DNS para o Active Directory	Na seção Local do Servidor, verifique se a caixa de seleção Esse diretório suporta localização do serviço DNS não está selecionada e digite o nome do host do servidor Active Directory e o número da porta nas caixas de texto Host do Servidor e Porta do Servidor. Para configurar o diretório como um catálogo global, consulte a seção Ambiente de vários domínios em única floresta do Active Directory em Integrando o Active Directory com o Workspace ONE Access. Se o Active Directory exigir acesso por SSL/TLS, marque a caixa de seleção Exigir LDAPS para todas as conexões na seção Criptografia. Observação: Se a opção Esse diretório suporta localização do serviço DNS estiver marcada, STARTTLS será usado para criptografia pela porta 389. Se a opção Esse diretório suporta localização do serviço DNS estiver desmarcada, LDAPS será usado para criptografia pela porta 636. Copie e cole os certificados da CA Raiz e Intermediária (se usada) dos controladores de domínio na caixa de texto Certificado(s) SSL. Insira o certificado da CA Intermediária primeiro e, em seguida, o certificado da CA Raiz. Verifique se o certificado está no formato PEM e inclui as linhas INICIAR CERTIFICADO e ENCERRAR CERTIFICADO. Observação: Se o seu Active Directory exigir acesso por SSL/TLS e você não fornecer o certificado, não poderá criar o diretório.
Se você estiver integrando o diretório como um Catálogo Global	Na seção Local do Servidor, desmarque a caixa de seleção Esse diretório suporta localização do serviço DNS. Selecione a opção Este diretório tem um catálogo global. Na caixa de texto Host do Servidor, insira o nome do host do servidor do Active Directory. A Porta do Servidor está definida como 3268. Se você selecionar SSL/TLS na seção Criptografia, a porta será definida como 3269. Se o Active Directory exigir acesso por SSL/TLS, selecione a opção Exigir LDAPS para todas as conexões na seção Criptografia. Copie e cole os certificados da CA Raiz e Intermediária (se usada) dos controladores de domínio na caixa de texto Certificado(s) SSL. Insira o certificado da CA Intermediária primeiro e, em seguida, o certificado da CA Raiz. Verifique se o certificado está no formato PEM e inclui as linhas INICIAR CERTIFICADO e ENCERRAR CERTIFICADO.

Na seção Detalhes do Usuário de Associação, insira as seguintes informações.

Opção	Descrição
DN Base	Insira o DN do qual se deseja iniciar as pesquisas de conta. Por exemplo, OU=myUnit,DC=myCorp,DC=com. Importante: O DN de Base será usado para autenticação. Somente os usuários sob o DN de Base poderão se autenticar. Certifique-se de que os DNs do grupo e os DNs do usuário que você especificar posteriormente para sincronização se encontram nesse DN Base. Observação: Se você estiver adicionando o diretório como um Catálogo Global, o DN Base não será necessário, e a opção não será exibida.
DN do Usuário de Associação	Insira a conta que pode procurar usuários. Por exemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com. Observação: É recomendável usar uma conta de usuário de Associação com uma senha que não expire.
Senha do usuário de associação	A senha do usuário de associação.

Se você tiver selecionado Active Directory sobre Autenticação Integrada do Windows como o tipo de diretório, siga estas etapas para a seção Configurar Diretório.

Na seção Sincronização e Autenticação do Diretório, faça as seguintes seleções.

Opção	Descrição
Hosts de Sincronização de Diretório	Selecione uma ou mais instâncias do serviço de Sincronização de Diretório a serem usadas para sincronizar este diretório. Todas as instâncias do serviço de Sincronização de Diretório que são registradas com o tenant e que estão no estado Ativo são listadas. Se você selecionar várias instâncias, o Workspace ONE Access usará a primeira instância selecionada na lista para sincronizar o diretório. Se a primeira instância estiver indisponível, ela usará a próxima instância selecionada e assim por diante. Você poderá reordenar a lista na página Configurações de Sincronização do diretório depois de criar o diretório.
Autenticação	Selecione Configurar a autenticação de senha para este diretório se desejar autenticar usuários deste diretório com o serviço de Autenticação do Usuário. O serviço de Autenticação do Usuário já deve estar instalado. Se você selecionar esta opção, o método de autenticação de Senha (implantação em nuvem) e um provedor de identidade chamado IDP para `diretório` do tipo Incorporado serão automaticamente criados para o diretório. Selecione Adicionar métodos de autenticação mais tarde se você não quiser autenticar usuários desse diretório com o serviço de Autenticação do Usuário. Se você decidir usar o serviço de Autenticação do Usuário mais tarde, poderá criar o método de autenticação de senha (implantação em nuvem) e o provedor de identidade para o diretório manualmente. Quando você fizer isso, crie um novo provedor de identidade para o diretório selecionando Adicionar > IDP Integrado na página Integrações > Provedores de Identidade. Não é recomendável usar o provedor de identidade pré-criado chamado Integrado.
Hosts de Autenticação de Usuário	Essa opção aparece quando Autenticação está definida como Configurar a autenticação de senha para este diretório. Selecione uma ou mais instâncias do serviço de Autenticação do Usuário a serem usadas para autenticar os usuários desse diretório. Todas as instâncias do serviço de Autenticação do Usuário que são registradas com o tenant e que estão no estado Ativo são listadas. Se você selecionar várias instâncias, o Workspace ONE Access enviará solicitações de autenticação para as instâncias selecionadas na ordem de repetição alternada.
Nome de usuário	Selecione o atributo da conta que contém o nome de usuário.
ID Externa	O atributo que você deseja usar como o identificador exclusivo de usuários no diretório do Workspace ONE Access. O valor padrão é objectGUID. Você pode definir uma ID Externa para qualquer um dos seguintes atributos: Qualquer atributo de cadeia de caracteres, como sAMAccountName ou distinguishedName Os atributos binários objectSid, objectGUID ou mS-DS-ConsistencyGuid A configuração de ID Externa só se aplica aos usuários no Workspace ONE Access. Para grupos, a ID Externa é sempre definida como objectGUID e não pode ser alterada. Importante: Todos os usuários devem ter um valor exclusivo definido para o atributo. O valor deve ser exclusivo em todo o tenant do Workspace ONE Access. Importante: "Para você definir a ID Externa como atributo objectGUID ou mS-DS-ConsistencyGuid, todos os usuários deverão ter um valor não vazio com exatamente 16 bytes de comprimento." Além disso, certifique-se de especificar o nome do atributo do Active Directory correto, usando a capitalização correta, na caixa de texto ID Externa. Se o nome não corresponder ao nome do atributo no Active Directory, um valor nulo será retornado e a sincronização de diretório falhará. Por exemplo, se você usar o atributo mS-DS-ConsistencyGuid no Active Directory e definir External ID como ms-DS-ConsistencyGuid, a sincronização de diretório não será bem-sucedida. Tenha em mente as seguintes considerações ao definir a ID Externa: Se você estiver integrando o Workspace ONE Access com o Workspace ONE UEM, certifique-se de definir a ID Externa para o mesmo atributo em ambos os produtos. Você pode alterar a ID Externa depois de criar o diretório. No entanto, a boa prática é definir a ID Externa antes de sincronizar os usuários com o Workspace ONE Access. Quando você altera a ID Externa, os usuários são recriados. Como resultado, todos os usuários serão desconectados e precisarão fazer login novamente. Você também precisará reconfigurar os direitos de usuário para os aplicativos Web e ThinApps. Os direitos do Horizon, do Horizon Cloud e da Citrix serão excluídos e, em seguida, recriados na sincronização de direitos seguintes. A opção ID Externa está disponível com versões 20.10 e posteriores do Workspace ONE Access Connector. Todos os conectores associados ao serviço Workspace ONE Access devem ter a versão 20.10 ou posterior. Se diferentes versões do conector estiverem associadas ao serviço, a opção ID Externa não será exibida.

Nenhuma ação é necessária para a opção Criptografia. Os diretórios do tipo Active Directory sobre Autenticação Integrada do Windows usam vinculação de Kerberos SASL automaticamente e não exigem que você selecione LDAPS ou STARTTLS.
Na seção Detalhes do Usuário de Associação, insira o nome de usuário e a senha do usuário de associação que tem permissão para consultar usuários e grupos para os domínios necessários. Insira o nome de usuário como sAMAccountName@domain, onde domain é o nome de domínio totalmente qualificado. Por exemplo, [email protected].

Observação: É recomendável usar uma conta de usuário de Associação com uma senha que não expire.

Clique em Salvar.
Na seção Selecionar Domínio(s), selecione os domínios e clique em Salvar.
- Para um diretório do tipo Active Directory sobre LDAP, os domínios são listados. Selecione os domínios a serem associados ao diretório do Workspace ONE Access.
- Para um diretório do tipo Active Directory sobre Autenticação Integrada do Windows, selecione os domínios a serem associados ao diretório do Workspace ONE Access. Todos os domínios com uma relação de confiança bidirecional com o domínio base são listados.
  Se os domínios com uma relação de confiança bidirecional com o domínio base forem adicionados ao Active Directory após a criação do diretório do Workspace ONE Access, você poderá adicioná-los por meio da guia Configurações de Sincronização > Domínios do diretório.
  
  Dica: Escolha domínios confiáveis, um por um, em vez de selecionar todos os domínios de uma só vez. Essa abordagem garante que o salvamento de domínio não seja uma operação de longa execução que possa expirar. Escolher domínios sequencialmente garante que o serviço de Sincronização de Diretório gasta tempo tentando resolver apenas um único domínio.
- Se você estiver criando um diretório do Active Directory sobre LDAP com a opção Catálogo Global selecionada, a seção Selecionar Domínio(s) não será exibida.
Na seção Mapear Atributos de Usuário, mapeie os atributos de diretório do Workspace ONE Access para os atributos do Active Directory e clique em Salvar.

Você pode adicionar atributos e gerenciar a lista de atributos necessários na página Configurações > Atributos de Usuário.

Importante: Se um atributo for marcado como obrigatório, seu valor deverá ser definido para todos os usuários que você deseja sincronizar. Os registros de usuário que não tiverem valores para atributos necessários não serão sincronizados.
Na seção grupos Sincronizar grupos, adicione os grupos que você deseja sincronizar. Consulte Selecionar usuários e grupos para sincronizar com seu diretório do Workspace ONE Access para obter informações.
Na seção Sincronizar usuários, adicione os usuários que você deseja sincronizar. Consulte Selecionar usuários e grupos para sincronizar com seu diretório do Workspace ONE Access para obter informações.
Na seção Frequência de Sincronização, configure uma agenda de sincronização para sincronizar usuários e grupos em intervalos regulares ou selecione Manualmente no menu suspenso Frequência de Sincronização se você não quiser definir uma agenda.
A hora é definida no UTC.

Dica: Agende os intervalos de sincronização para serem maiores do que o tempo necessário para sincronizar o diretório. Se usuários e grupos estiverem sendo sincronizados com o diretório quando a próxima sincronização for agendada, a nova sincronização será iniciada imediatamente após o término da sincronização anterior.

Se selecionar Manualmente, você deverá selecionar Sincronizar > Sincronizar com proteções ou Sincronizar > Sincronizar sem proteções na página do diretório sempre que quiser sincronizar o diretório.
Clique em Salvar para criar o diretório ou Salvar e Sincronizar para criar o diretório e começar a sincronizá-lo.

Resultados

A conexão com o Active Directory é estabelecida. Se você tiver clicado em Salvar e Sincronizar, os nomes dos usuários e grupos serão sincronizados do Active Directory com o diretório do Workspace ONE Access.

Para obter mais informações sobre como os grupos são sincronizados, consulte "Gerenciando usuários e grupos" na Administração do VMware Workspace ONE Access.

O que Fazer Depois

Se você definir a opção Autenticação como Configurar a autenticação de senha para este diretório, um provedor de identidade chamado IDP para directoryname e um método de autenticação de Senha (implantação em nuvem) serão automaticamente criados para o diretório. Você pode exibi-los nas páginas Integrações > Provedores de Identidade e Integrações > Métodos de Autenticação. Você também pode criar mais métodos de autenticação para o diretório nas páginas Métodos de Autenticação do Conector e Métodos de Autenticação. Para obter informações sobre como criar métodos de autenticação, consulte Gerenciamento de métodos de autenticação de usuário no Workspace ONE Access.
Revise a política de acesso padrão na página Recursos > Políticas.
Revise as configurações de proteção de sincronização padrão e faça as alterações, se necessário. Consulte Configurar proteções de sincronização do diretório no Workspace ONE Access para obter informações.