É possível integrar o serviço do Workspace ONE Access com um ambiente do Active Directory, que consiste em um único domínio do Active Directory, vários domínios em uma única floresta do Active Directory ou vários domínios em várias florestas do Active Directory.

Ambiente de domínio único do Active Directory

Com uma única implantação do domínio do Active Directory, você pode sincronizar usuários e grupos a partir de um único domínio do Active Directory.

Para esse ambiente, crie um diretório do tipo Active Directory sobre LDAP no serviço do Workspace ONE Access.

Para obter mais informações, consulte:

Ambiente de vários domínios em única floresta do Active Directory

Em uma implantação de vários domínios em uma única floresta do Active Directory, você pode sincronizar usuários e grupos de vários domínios do Active Directory em uma única floresta.

Para esse ambiente, no serviço do Workspace ONE Access, você pode criar um único diretório do Active Directory sobre Autenticação Integrada do Windows ou um diretório do Active Directory sobre LDAP configurado com a opção de catálogo global.
  • A opção recomendada é criar um único tipo de diretório do Active Directory sobre Autenticação Integrada do Windows.

    Ao adicionar um diretório a esse ambiente, selecione a opção Active Directory sobre Autenticação Integrada do Windows. Certifique-se de que uma relação de confiança bidirecional (não transitiva) esteja configurada entre os domínios no diretório e o domínio no qual o usuário de Associação de Domínio seja um membro.

    Para obter mais informações, consulte:

  • Se a Autenticação Integrada do Windows não funcionar no seu ambiente do Active Directory, crie um diretório do Active Directory sobre LDAP e selecione a opção de catálogo global.

    Algumas das limitações da seleção da opção de catálogo global incluem:

    • Os atributos de objeto do Active Directory que são replicados no catálogo global são identificados no esquema do Active Directory como o conjunto de atributos parcial (PAS). Somente esses atributos estão disponíveis para o mapeamento de atributos pelo serviço. Se necessário, edite o esquema para adicionar ou remover atributos armazenados no catálogo global.
    • O catálogo global armazena a associação ao grupo (o atributo do membro) somente dos grupos universais. Somente os grupos universais são sincronizados com o serviço. Se necessário, altere o escopo de um grupo de um domínio local ou global para universal.
    • A conta do DN de associação que você define ao configurar um diretório no serviço deve ter permissões para ler o atributo Token-Groups-Global-And-Universal (TGGAU).
    • Quando o Workspace ONE UEM está integrado ao Workspace ONE Access e vários grupos organizacionais do Workspace ONE UEM estão configurados, a opção de Catálogo Global do Active Directory não pode ser usada.

    O Active Directory usa as portas 389 e 636 para consultas LDAP padrão. Para as consultas do catálogo global, as portas 3268 e 3269 são usadas.

    Quando você adicionar um diretório para o ambiente do catálogo global, especifique as informações a seguir durante a configuração.

    • Selecione a opção Active Directory sobre LDAP.
    • Desmarque a caixa de seleção da opção Esse diretório suporta localização do serviço DNS.
    • Selecione a opção Este diretório tem um catálogo global. Quando você seleciona essa opção, o número da porta do servidor é automaticamente alterada para 3268. Além disso, como o DN Base não é necessário durante a configuração da opção de catálogo global, a caixa de texto DN Base não é exibida.
    • Adicione o nome do host servidor do Active Directory.
    • Se o Active Directory exigir acesso por SSL, selecione a opção Esse diretório requer que todas as conexões usem SSL e cole o certificado na caixa de texto fornecida. Quando você seleciona essa opção, o número da porta do servidor é automaticamente alterada para 3269.

Ambiente do Active Directory de várias florestas com relações confiáveis

Em uma implantação do Active Directory de várias florestas com relações confiáveis, você pode sincronizar usuários e grupos de vários domínios do Active Directory entre florestas, onde existe confiança bidirecional entre os domínios. No serviço do Workspace ONE Access, para este ambiente do Active Directory, crie um único diretório do Active Directory sobre Autenticação Integrada do Windows.

Ao adicionar um diretório a esse ambiente, selecione a opção Active Directory sobre Autenticação Integrada do Windows. Certifique-se de que uma relação de confiança bidirecional (não transitiva) esteja configurada entre os domínios no diretório e o domínio no qual o usuário de Associação de Domínio seja um membro.

Para obter mais informações, consulte:

Ambiente do Active Directory de várias florestas sem relações confiáveis

Em uma implantação do Active Directory de várias florestas sem relações confiáveis, você pode sincronizar usuários e grupos de vários domínios do Active Directory entre florestas, sem confiança bidirecional entre os domínios. Neste ambiente, você cria vários diretórios no serviço do Workspace ONE Access, um diretório para cada floresta.

O tipo de diretórios que você criar no serviço do Workspace ONE Access depende da floresta. Para as florestas com vários domínios, selecione a opção Active Directory sobre Autenticação Integrada do Windows. Para um floresta com um único domínio, selecione a opção Active Directory sobre LDAP.

Para obter mais informações, consulte: