Você pode integrar o seu diretório LDAP corporativo ao VMware Workspace ONE Access para sincronizar usuários e grupos do diretório LDAP com o serviço do VMware Workspace ONE Access.

Para integrar seu diretório LDAP, você cria um diretório correspondente do VMware Workspace ONE Access e sincroniza usuários e grupos do diretório LDAP com o diretório do VMware Workspace ONE Access. Você pode configurar uma agenda de sincronização regular para atualizações subsequentes.

Você também pode selecionar os atributos LDAP que deseja sincronizar para os usuários e os mapear para atributos do VMware Workspace ONE Access.

Sua configuração do diretório LDAP pode ser baseada em esquemas padrão ou esquemas personalizados. Ela também pode ter atributos personalizados. Para o VMware Workspace ONE Access poder consultar seu diretório LDAP e obter objetos de usuário ou de grupo, você precisa fornecer os nomes de atributos e os filtros de pesquisa LDAP aplicáveis ao seu diretório LDAP.

Especificamente, você precisa fornecer as seguintes informações.

  • Filtros de pesquisa LDAP para a obtenção de grupos, usuários e o usuário de associação
  • Nomes de atributo LDAP para associação ao grupo, ID Externa e nome distinto ou atributo equivalente

Certas limitações aplicam-se ao recurso de integração de diretório LDAP. Consulte #GUID-6CD48490-9250-4E25-ABDD-D0CF392C0CB2.

Pré-requisitos

  • Verifique os atributos na página Gerenciamento de Identidade e Acesso > Configuração > Atributos de Usuário e adicione os atributos complementares que você deseja sincronizar. Você mapeia os atributos do VMware Workspace ONE Access para os atributos de diretório LDAP ao criar o diretório. Esses atributos são sincronizados para os usuários no diretório.
    Observação: Quando você fizer alterações nos atributos do usuário, considere o efeito dessas alterações sobre outros diretórios no serviço do Workspace ONE Access. Se você planeja adicionar tanto o Active Directory quanto o diretório LDAP, certifique-se de não marcar nenhum atributo obrigatório, exceto userName, que pode ser marcado como obrigatório. As configurações na página Atributos de Usuário aplicam-se a todos os diretórios no serviço. Se um atributo for marcado como obrigatório, os usuários sem esse atributo não serão sincronizados com o serviço do VMware Workspace ONE Access.
  • Uma conta de usuário de DN de associação. É recomendável usar uma conta de usuário do DN de associação com uma senha que não expire.
  • No seu diretório LDAP, o UUID de usuários e grupos deve estar em formato de texto simples.
  • No seu diretório LDAP, deve existir um atributo de domínio para todos os usuários e grupos.

    Você mapeia esse atributo para o atributo VMware Workspace ONE Access domain quando criar o diretório do VMware Workspace ONE Access.

  • Os nomes de usuário não devem conter espaços. Se um nome de usuário contiver um espaço, o usuário é sincronizado, mas os direitos não estarão disponíveis para o usuário.
  • Se você usar a autenticação de certificado, os usuários deverão ter valores para os atributos de endereço de e-mail e userPrincipalName.

Procedimento

  1. No console do Workspace ONE Access, acesse a página Gerenciamento de Identidade e Acesso > Gerenciar > Diretórios.
  2. Clique em Adicionar Diretório e selecione Adicionar Diretório LDAP.
  3. Insira as informações necessárias na página Adicionar Diretório.
    Opção Descrição
    Nome do diretório Insira um nome para o diretório do VMware Workspace ONE Access.
    Sincronização e Autenticação do Diretório
    1. Para Hosts de Sincronização de Diretório, selecione uma ou mais instâncias do serviço de Sincronização de Diretório a serem usadas para sincronizar este diretório. Todas as instâncias do serviço de Sincronização de Diretório que são registradas com o tenant são listadas. Você só pode selecionar instâncias que estejam no estado Ativo.

      Se você selecionar várias instâncias, o Workspace ONE Access usará a primeira instância selecionada na lista para sincronizar o diretório. Se a primeira instância estiver indisponível, ela usará a próxima instância selecionada e assim por diante. Você pode reordenar a lista na página Configurações de Sincronização do diretório depois de criar o diretório.

    2. Para Autenticação, selecione Sim se quiser autenticar os usuários desse diretório com o serviço de Autenticação do Usuário. O serviço de Autenticação do Usuário já deve estar instalado. Se você selecionar Sim, o método de autenticação de Senha (implantação em nuvem) e um provedor de identidade chamado IDP para directoryName do tipo Incorporado serão automaticamente criados para o diretório.

      Selecione Não se você não quiser autenticar usuários desse diretório com o serviço de Autenticação do Usuário. Se você decidir usar o serviço de Autenticação do Usuário mais tarde, poderá criar o método de autenticação de senha (implantação em nuvem) e o provedor de identidade para o diretório manualmente. Quando você fizer isso, crie um novo provedor de identidade para o diretório selecionando Adicionar Provedor de Identidade > Criar IDP Integrado na página Gerenciamento de Identidade e Acesso > Provedores de Identidade. Não é recomendável usar o provedor de identidade pré-criado chamado Integrado.

    3. A opção Serviços de Autenticação do Usuário é exibida quando Autenticação está definida como Sim. Selecione uma ou mais instâncias do serviço de Autenticação do Usuário a serem usadas para autenticar os usuários desse diretório. Todas as instâncias do serviço de Autenticação do Usuário que são registradas com o tenant e que estão no estado Ativo são listadas.

      Se você selecionar várias instâncias, o Workspace ONE Access enviará solicitações de autenticação para as instâncias selecionadas na ordem de repetição alternada.

    4. Na caixa de texto Nome de Usuário, selecione o atributo de diretório LDAP a ser usado para nome de usuário. Se o atributo não estiver listado, selecione Personalizado e digite o nome do atributo personalizado a ser usado para usuários e para grupos. Por exemplo, cn.
    Localização de Servidor Insira o número de porta e o host do servidor do Diretório LDAP. Para o host do servidor, você pode especificar o nome de domínio totalmente qualificado ou o endereço IP. Por exemplo, meuservidorLDAP.exemplo.com ou 100.00.00.0.

    Se você tiver um cluster de servidores atrás de um balanceador de carga, digite as informações do balanceador de carga.

    Configuração LDAP Especifique os atributos e os filtros de pesquisa LDAP que o VMware Workspace ONE Access pode usar para consultar seu diretório LDAP. Os valores padrão são fornecidos com base no esquema LDAP principal.

    Filtrar Consultas

    • Grupos: o filtro de pesquisa para a obtenção de objetos de grupo.

      Por exemplo: (objectClass=groupOfNames)

    • Usuário de Associação: o filtro de pesquisa para a obtenção do objeto de usuário de associação, ou seja, o usuário que pode se associar ao diretório.

      Por exemplo: (objectClass=person)

    • Usuários: o filtro de pesquisa para a obtenção de usuários para sincronização.

      Por exemplo:(&(objectClass=user)(objectCategory=person))

    Atributos

    • Associação: o atributo usado em seu diretório LDAP para a definição dos membros de um grupo.

      Por exemplo: member

    • ID Externa: o atributo que você deseja usar como o identificador exclusivo de usuários e grupos no diretório do Workspace ONE Access. O valor padrão é entryUUID.
      Importante: Todos os usuários devem ter um valor exclusivo e não vazio definido para o atributo. O valor deve ser exclusivo em todo o tenant do Workspace ONE Access. Se qualquer usuário não tiver um valor para o atributo, o diretório não será sincronizado.

      Tenha em mente as seguintes considerações ao definir a ID Externa:

      • Se você estiver integrando o Workspace ONE Access com o Workspace ONE UEM, certifique-se de definir a ID Externa para o mesmo atributo em ambos os produtos.
      • Você pode alterar a ID Externa depois de criar o diretório. No entanto, a boa prática é definir a ID Externa antes de sincronizar os usuários com o Workspace ONE Access. Quando você altera a ID Externa, os usuários são recriados. Como resultado, todos os usuários serão desconectados e precisarão fazer login novamente. Você também precisará reconfigurar os direitos de usuário para os aplicativos Web e ThinApps. Os direitos do Horizon, do Horizon Cloud e da Citrix serão excluídos e, em seguida, recriados na sincronização de direitos seguintes.
      • A opção de ID Externa está disponível com o Workspace ONE Access Connector 20.10 e 19.03.0.1. Todos os conectores associados ao serviço Workspace ONE Access devem ter a versão 20.10 ou todos devem ter a versão 19.03.0.1. Se versões diferentes do conector estiverem associadas ao serviço, a opção de ID Externa não será exibida.
    • Nome Distinto: (opcional) o atributo usado em seu diretório LDAP para o nome distinto de um usuário ou grupo.

      Por exemplo: dn

      Por padrão, o atributo de nome distinto é usado para identificar exclusivamente objetos de usuário e grupo. Se o seu esquema LDAP não tiver o atributo de nome distinto, selecione a opção Ativar a configuração avançada do LDAP e digite os valores a serem usados para identificar grupos e usuários.

    • Ativar a configuração avançada do LDAP: marque a caixa de seleção para visualizar as opções de configuração avançada do LDAP. Use a configuração avançada se o seu esquema LDAP não tiver o atributo de nome distinto ou se usar posixGroups.
      • Filtro de Grupo: o valor a ser usado para consultar e identificar grupos. Esse valor será necessário se o seu esquema LDAP não tiver o atributo de nome distinto.

        Por exemplo: cn

      • Filtro de Usuário: o valor a ser usado para consultar e identificar usuários. Esse valor será necessário se o seu esquema LDAP não tiver o atributo de nome distinto.

        Por exemplo: uid

      • Filtro de Mapeamento de Associação do Usuário: (opcional) essa opção normalmente é necessária para diretórios LDAP que usam posixGroups. O Filtro de Mapeamento de Associação do Usuário é usado para consultar e identificar os usuários retornados pelo atributo de associação.

        Por exemplo: uidNumber

    Certificados Se o seu diretório LDAP requer acesso via SSL, marque a caixa de seleção Esse diretório requer que todas as conexões usem SSL e copie e cole o certificado SSL da CA raiz do servidor do diretório LDAP na caixa de texto. Verifique se o certificado está no formato PEM e inclui as linhas “BEGIN CERTIFICATE” e “END CERTIFICATE”.
    Detalhes do usuário de associação DN base: digite o DN do qual se deseja iniciar as pesquisas. Por exemplo, cn=users,dc=example,dc=com
    DN de Usuário de Associação: digite o nome de usuário a ser usado para associar ao diretório LDAP.
    Observação: É recomendável usar uma conta de usuário do DN de associação com uma senha que não expire.

    Senha do usuário de associação: digite a senha para o usuário do DN de associação.

  4. Clique em Salvar e Avançar.
  5. Na página Domínios, verifique se o domínio correto está listado e clique em Avançar.
  6. Na página Mapear Atributos, verifique se os atributos do VMware Workspace ONE Access estão mapeados para os atributos de diretório LDAP corretos e faça alterações, se necessário.

    Esses atributos serão sincronizados para os usuários.

    Importante: Você deve especificar um mapeamento para o atributo domain.

    Você pode adicionar atributos e gerenciar a lista de atributos necessários da página Configuração > Atributos de Usuário.

  7. Clique em Avançar.
  8. Selecione os grupos que você deseja sincronizar do seu diretório LDAP para o diretório do Workspace ONE Access.
    Tenha em mente as seguintes considerações ao adicionar grupos.
    • Como boa prática, adicione e sincronize um pequeno número de grupos ao criar um diretório. Após a configuração inicial, você pode adicionar mais grupos.
    • Quando os grupos são adicionados e sincronizados, os nomes de grupo são sincronizados com o diretório. Os usuários que são membros do grupo não serão sincronizados com o diretório até que o grupo tenha direito a um aplicativo ou o nome do grupo seja adicionado a uma regra de política de acesso.
      Observação: Você pode substituir essa restrição ativando a opção Sincronizar Membros do Grupo com o Diretório ao Adicionar Grupo na página Gerenciamento de Identidade e Acesso > Configuração > Preferências.
    • Se você tiver vários grupos com o mesmo nome no seu diretório LDAP, especifique nomes exclusivos para eles na página de grupos.
    Para selecionar grupos, especifique um ou mais DNs de grupo e selecione os grupos sob eles.
    1. Na linha Especificar os DNs do grupo, clique em + e especifique o DN do usuário. Por exemplo, CN=users,DC=example,DC=company,DC=com.
      Dica: Não é recomendável inserir um DN de alto nível, como o DN Base para pesquisa, pois a pesquisa levará muito tempo. Tente inserir um DN mais específico a ser procurado.
      Importante: Especifique os DNs de grupo que estão sob o DN Base que você inseriu na caixa de texto DN Base na página Adicionar Diretório. Se um DN de grupo estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.
    2. Se você quiser selecionar todos os grupos sob o DN de grupo, clique em Selecionar Tudo.
      Se os grupos forem adicionados ou excluídos para o DN de grupo no Active Directory após a criação do diretório, as alterações serão refletidas nas sincronizações subsequentes.
    3. Se você quiser selecionar grupos específicos sob o DN de grupo em vez de selecionar todos eles, clique em Selecionar, faça suas seleções e clique em Salvar.
      Quando você clica em Selecionar, todos os grupos encontrados no DN são listados. Você pode restringir os resultados ou procurar grupos específicos inserindo um termo de pesquisa na caixa de pesquisa.
    4. Marque ou desmarque a opção Sincronizar membros reunidos do grupo, conforme necessário.
      A opção Sincronizar membros reunidos do grupo é ativada por padrão. Quando essa opção está ativada, todos os usuários que pertencem diretamente ao grupo que você selecionar, bem como todos os usuários que pertencem aos grupos aninhados abaixo dele, serão sincronizados quando o grupo for autorizado. Observe que os grupos aninhados não são sincronizados; somente os usuários que pertencem aos grupos aninhados são sincronizados. No diretório do Workspace ONE Access, esses usuários serão membros do grupo principal que você selecionou para sincronização.

      Se a opção Sincronizar membros reunidos do grupo estiver desativada, quando você especificar um grupo para a sincronização, todos os usuários que pertencerem diretamente a esse grupo serão sincronizados. Os usuários que pertencem a grupos aninhados abaixo dele não são sincronizados. A desativação dessa opção é útil para grandes configurações de diretório em que percorrer uma árvore de grupo exige muitos recursos e muito tempo. Se você desativá-la, certifique-se de selecionar todos os grupos cujos usuários deseja sincronizar.

  9. Clique em Avançar.
  10. Selecione os usuários a serem sincronizados.
    Tenha em mente as seguintes considerações ao adicionar usuários:
    • Como os membros em grupos não serão sincronizados com o diretório até que o grupo tenha direito para aplicativos ou seja adicionado a uma regra de política de acesso, adicione todos os usuários que precisam ser autenticados antes dos direitos do grupo serem configurados.
    • O usuário de Associação especificado na seção de Detalhes de Associação não é sincronizado com o serviço do Workspace ONE Access por padrão. Se você quiser sincronizar o usuário de Associação, insira o DN do usuário nessa guia.
    1. Na linha Especificar os DNs do usuário, clique em + e insira os DNs do usuário. Por exemplo:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      Importante: Especifique os DNs do usuário que estão sob o DN Base que você inseriu na caixa de texto DN Base na página Adicionar Diretório. Se um DN de usuário estiver fora do DN Base, os usuários desse DN serão sincronizados, mas não poderão fazer login.
    2. Especifique filtros para incluir ou excluir usuários de DNs, se necessário.
  11. Na página Frequência de Sincronização, configure uma agenda de sincronização para sincronizar usuários e grupos em intervalos regulares ou selecione Manualmente na lista suspensa Frequência de Sincronização se você não quiser definir uma agenda.
    A hora é definida no UTC.
    Dica: Agende os intervalos de sincronização para que sejam maiores que o tempo de sincronização. Se usuários e grupos estiverem sendo sincronizados com o diretório quando a próxima sincronização for agendada, a nova sincronização será iniciada imediatamente após o término da sincronização anterior. Com essa agenda, o processo de sincronização é contínuo.
    Se você selecionar Manualmente, deverá clicar no botão Sincronizar na página do diretório sempre que quiser sincronizar o diretório.
  12. Clique em Salvar para criar o diretório ou o Diretório de Sincronização para criar o diretório e começar a sincronizá-lo.

Resultados

A conexão com o diretório LDAP foi estabelecida. Se você tiver clicado em Sincronizar Diretório, os nomes dos usuários e dos grupos serão sincronizados do diretório LDAP para o diretório do Workspace ONE Access.

Para obter mais informações sobre como os grupos são sincronizados, consulte "Gerenciando usuários e grupos" na Administração do VMware Workspace ONE Access.

O que Fazer Depois

  • Se você definir a opção Autenticação como Sim, um provedor de identidade chamado IDP para directoryname e um método de autenticação de senha (implantação em nuvem) serão automaticamente criados para o diretório. Você pode exibi-los nas páginas Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade e Métodos de Autenticação Empresarial. Você também pode criar mais métodos de autenticação para o diretório na guia Métodos de Autenticação Empresarial. Para obter mais informações sobre como criar métodos de autenticação, consulte o guia <Auth>.
  • Revise a política de acesso padrão na página Gerenciamento de Identidade e Acesso > Gerenciar > Políticas.
  • Revise as configurações de proteção de sincronização padrão e faça as alterações, se necessário. Consulte Configurando proteções de sincronização do diretório para obter informações.