Você pode converter um diretório do tipo Outro, que armazena usuários e grupos sincronizados do Workspace ONE UEM, em um diretório do tipo Active Directory sobre LDAP ou Active Directory sobre Autenticação Integrada do Windows, que são associados ao Workspace ONE Access Connector. Depois de converter o diretório, o serviço de Sincronização de Diretório do Workspace ONE Access Connector é usado em vez do ACC para sincronizar usuários e grupos do diretório empresarial para o serviço do Workspace ONE Access.

Pré-requisitos

  • Instale o serviço de Sincronização de Diretório e os componentes do serviço de Autenticação de Usuário do Workspace ONE Access Connector, versão 20.01.0.0 ou posterior. Consulte Instalando e configurando o VMware Workspace ONE Access Connector para obter informações.
  • As seguintes informações do Active Directory são obrigatórias:
    • Se você estiver convertendo no Active Directory sobre LDAP, o DN Base e o DN e a senha de usuário de Associação serão necessários.

      O usuário de Associação deve ter as seguintes permissões no Active Directory para conceder acesso a objetos de usuários e grupos:

      • Ler
      • Ler todas as propriedades
      • Permissões de leitura

      É recomendável usar uma conta de usuário de Associação com uma senha que não expire.

    • Se você estiver convertendo no Active Directory sobre Autenticação Integrada do Windows, será necessário o nome de usuário e a senha do usuário de Associação que tem permissão para consultar usuários e grupos para os domínios necessários.

      O usuário de Associação deve ter as seguintes permissões no Active Directory para conceder acesso a objetos de usuários e grupos:

      • Ler
      • Ler todas as propriedades
      • Permissões de leitura

      É recomendável usar uma conta de usuário de Associação com uma senha que não expire.

    • Se o seu Active Directory exigir acesso por SSL/TLS, os certificados da CA Intermediária (se usado) e Raiz dos controladores de domínio para todos os domínios relevantes do Active Directory serão necessários. Se os controladores de domínio tiverem certificados de várias Autoridades de Certificação Intermediárias e Raiz, todos os certificados de CA Intermediária e Raiz serão necessários.
    • Para o Active Directory sobre Autenticação Integrada do Windows, quando você tiver várias florestas do Active Directory configuradas, e o grupo local de domínio contiver membros de domínios em florestas diferentes, certifique-se de que o usuário de associação seja adicionado ao grupo de administradores do domínio no qual reside o grupo local de domínio. Se isso não for feito, esses membros estarão ausentes do grupo local de domínio.
    • Para o Active Directory sobre Autenticação Integrada do Windows:
      • Para todos os controladores de domínio listados nos registros SRV e nos RODCs ocultos, nslookup de nome do host e endereço IP deve funcionar.
      • Todos os controladores de domínio devem ser acessíveis em termos de conectividade de rede.

Procedimento

  1. No console do Workspace ONE Access, navegue até a página Gerenciamento de Identidade e Acesso > Gerenciar > Diretórios.
  2. Clique no diretório que você deseja converter.
  3. Na página do diretório, clique no botão Converter.
  4. Na página Adicionar Diretório, altere o nome do diretório, se necessário, e selecione o tipo de diretório no qual você deseja converter o Outro diretório, Active Directory sobre LDAP ou Active Directory sobre Autenticação Integrada do Windows.
  5. Digite as informações de conexão do Active Directory e continue com o assistente para configurar o diretório.
    O processo é o mesmo que criar um novo diretório. Consulte Configurando a conexão do Active Directory com o serviço do Workspace ONE Access para obter informações detalhadas.

    Siga essas diretrizes ao configurar o diretório.

    • Na seção Sincronização e Autenticação do Diretório, para Hosts de Sincronização de Diretório, selecione o serviço de Sincronização de Diretório que você instalou.

      Todas as instâncias do conector que têm o serviço de Sincronização de Diretório instalado são listadas. Você pode selecionar várias instâncias. O Workspace ONE Access usa a primeira instância selecionada na lista para sincronizar o diretório. Se a primeira instância estiver indisponível, ela usará a próxima instância selecionada e assim por diante. Você pode reordenar a lista na página Configurações de Sincronização do diretório depois de criar o diretório.

    • Para Autenticação, selecione Sim. Também selecione as instâncias do serviço de Autenticação do Usuário a serem usadas para autenticação.
    • Certifique-se de configurar o diretório convertido de forma idêntica ao diretório do Workspace ONE UEM para que ele tenha a mesma estrutura de diretórios. Selecione os mesmos domínios. Ao especificar os usuários e grupos a serem sincronizados, faça as mesmas seleções que o diretório do Workspace ONE UEM para que os mesmos usuários e grupos sejam sincronizados com o diretório convertido.
    • Certifique-se de definir a ID Externa como o mesmo atributo que está definido no Workspace ONE UEM.
  6. Na última página do assistente, clique em Diretório de Sincronização.
    O diretório é convertido e configurado para usar o serviço de Sincronização de Diretório para sincronizar usuários e grupos. Se você definir a opção Autenticação como Sim, um provedor de identidade chamado IDP para directoryname e um método de autenticação de senha (implantação em nuvem) serão automaticamente criados para o diretório.
  7. (Opcional) Para ativar outros métodos de autenticação para o diretório, navegue até a página Gerenciamento de Identidade e Acesso > Gerenciar > Métodos de Autenticação Empresarial e crie métodos de autenticação para o diretório.
    Consulte <Auth guide> para obter informações.
  8. Edite o default_access_policy_set e quaisquer políticas personalizadas para substituir o método de autenticação de Senha (AirWatch Connector) por Senha (implantação na nuvem).
    1. Na guia Gerenciamento de Identidade e Acesso, clique na guia Políticas.
    2. Clique em Editar Política Padrão e, em seguida, clique em Configuração no assistente de Editar Política.
    3. Edite cada regra de política e substitua o método de autenticação Senha (AirWatch Connector) com Senha (implantação em nuvem).
    4. Clique na guia Políticas novamente e edite as políticas personalizadas, se houver, para substituir o método de autenticação de Senha (AirWatch Connector) com Senha (implantação em nuvem).
    5. (Opcional) Modifique as políticas para usar métodos de autenticação adicionais, conforme necessário.
    Importante: Se você não alterar a Senha (AirWatch Connector) para Senha (implantação em nuvem) ou outro método de autenticação de serviço de Autenticação de Usuário, os usuários do diretório convertido não poderão fazer login.

O que Fazer Depois

Pare a sincronização de diretórios do Workspace ONE UEM com o diretório convertido.