Configurando a conexão do Active Directory com o serviço do Workspace ONE Access

No console do Workspace ONE Access, insira as informações necessárias para se conectar ao seu Active Directory e selecione os usuários e os grupos a serem sincronizados com o diretório do Workspace ONE Access. As opções de conexão do Active Directory são Active Directory sobre LDAP ou Active Directory sobre Autenticação Integrada do Windows. Uma conexão do Active Directory sobre LDAP é compatível com a pesquisa de Localização do Serviço DNS.

Pré-requisitos

Instale o serviço Sincronização de Diretório, que está disponível como um componente do Workspace ONE Access Connector a partir da versão 20.01.0.0. Consulte a versão mais recente de Instalação do VMware Workspace ONE Access Connector para obter informações.
Se você quiser usar o serviço de Autenticação do Usuário para autenticar usuários do diretório, instale também o componente de serviço de Autenticação do Usuário.
Selecione os atributos de usuário necessários e adicione atributos personalizados, se necessário, na página Configurações > Atributos de Usuário no console do Workspace ONE Access. Consulte Gerenciando os atributos de usuário no Workspace ONE Access. Tenha em mente as seguintes considerações:
- Se um atributo de usuário for necessário, seu valor deverá ser definido para todos os usuários que você deseja sincronizar. Os usuários que não têm um conjunto de valores não são sincronizados.
- Os atributos se aplicam a todos os diretórios.
- Depois que um ou mais diretórios são configurados no serviço do Workspace ONE Access, os atributos não podem mais ser marcados como obrigatórios.
Faça uma lista dos usuários e grupos do Active Directory a serem sincronizados do Active Directory. Os nomes de grupo são sincronizados com o diretório imediatamente. Os membros de um grupo não serão sincronizados até que o grupo tenha direito a recursos ou seja adicionado a uma regra de política. Os usuários que precisam se autenticar antes dos direitos do grupo serem configurados devem ser adicionados durante a configuração inicial.
Observação: O Workspace ONE Access Connector versão 19.03 e versões mais antigas não oferecem suporte aos caracteres / e $ no nome de um grupo ou no atributo distinguishedName. Essa limitação se aplica aos grupos que você adiciona ao DN do grupo, bem como aos grupos que não são diretamente adicionados ao DN do grupo, mas são sincronizados como parte de um grupo principal quando associações de grupo aninhadas são selecionadas.
Não use o caractere / ou $ no nome ou atributo distinguishedName de um grupo se você planeja sincronizar o grupo com o Workspace ONE Access e está usando a versão 19.03 do Connector ou mais antigas.
Se você estiver criando um diretório do tipo Active Directory sobre LDAP usando a opção Catálogo Global, deverá certificar-se de que nenhum outro diretório no tenant do Workspace ONE Access sincronize os usuários dos mesmos domínios que o diretório do Catálogo Global. O conflito pode causar falhas na sincronização.
Para o Active Directory sobre LDAP, você precisa do DN de Base, do DN de usuário de associação e da senha.
O usuário de Associação deve ter as seguintes permissões no Active Directory para conceder acesso a objetos de usuários e grupos:
- Ler
- Ler todas as propriedades
- Permissões de leitura
Observação: É recomendável usar uma conta de usuário de Associação com uma senha que não expire.
Para o Active Directory sobre Autenticação Integrada do Windows, é necessário o nome de usuário e a senha do usuário de Associação que tem permissão para consultar usuários e grupos para os domínios necessários.
O usuário de Associação deve ter as seguintes permissões no Active Directory para conceder acesso a objetos de usuários e grupos:
- Ler
- Ler todas as propriedades
- Permissões de leitura
Observação: É recomendável usar uma conta de usuário de Associação com uma senha que não expire.
Se o seu Active Directory exigir acesso por SSL/TLS, os certificados da CA Intermediária (se usado) e Raiz dos controladores de domínio para todos os domínios relevantes do Active Directory serão necessários. Se os controladores de domínio tiverem certificados de várias Autoridades de Certificação Intermediárias e Raiz, todos os certificados de CA Intermediária e Raiz serão necessários.

Observação: Para diretórios do tipo Active Directory sobre Autenticação Integrada do Windows, a associação Kerberos de SASL é usada automaticamente para criptografia. Não é necessário um certificado.
Para o Active Directory sobre Autenticação Integrada do Windows, quando você tiver várias florestas do Active Directory configuradas, e o grupo local de domínio contiver membros de domínios em florestas diferentes, certifique-se de que o usuário de associação seja adicionado ao grupo de administradores do domínio no qual reside o grupo local de domínio. Se isso não for feito, esses membros estarão ausentes do grupo local de domínio.
Para o Active Directory sobre Autenticação Integrada do Windows:
- Para todos os controladores de domínio listados nos registros SRV e nos RODCs ocultos, nslookup de nome do host e endereço IP deve funcionar.
- Todos os controladores de domínio devem ser acessíveis em termos de conectividade de rede.
Se o Workspace ONE Access Connector estiver em execução no modo FIPS, requisitos e pré-requisitos adicionais serão aplicados. Consulte Modo FIPS e do Workspace ONE Access Connector para sua versão do conector.

Procedimento

No console do Workspace ONE Access, selecione Integrações > Diretórios.
Clique em Adicionar Diretório e selecione Active Directory.
Insira um nome para o diretório do Workspace ONE Access.
Selecione o tipo de Active Directory que você está integrando, Active Directory sobre LDAP ou Active Directory sobre Autenticação Integrada do Windows.

Se você estiver integrando o Active Directory sobre LDAP, siga estas etapas. Caso contrário, prossiga para a etapa 6.

Na seção Sincronização e Autenticação do Diretório, faça as seguintes seleções.

Opção	Descrição
Hosts de Sincronização de Diretório	Selecione uma ou mais instâncias do serviço de Sincronização de Diretório a serem usadas para sincronizar este diretório. Todas as instâncias do serviço de Sincronização de Diretório que são registradas com o tenant são listadas. Você só pode selecionar instâncias que estejam no estado Ativo. Se você selecionar várias instâncias, o Workspace ONE Access usará a primeira instância selecionada na lista para sincronizar o diretório. Se a primeira instância estiver indisponível, ela usará a próxima instância selecionada e assim por diante. Você pode reordenar a lista na página Configurações de Sincronização do diretório depois de criar o diretório.
Autenticação	Selecione Sim se quiser autenticar os usuários desse diretório com o serviço de Autenticação do Usuário. O serviço de Autenticação do Usuário já deve estar instalado. Se você selecionar Sim, o método de autenticação de Senha (implantação em nuvem) e um provedor de identidade chamado IDP para `directoryName` do tipo Incorporado serão automaticamente criados para o diretório. Selecione Não se você não quiser autenticar usuários desse diretório com o serviço de Autenticação do Usuário. Se você decidir usar o serviço de Autenticação do Usuário mais tarde, poderá criar o método de autenticação de senha (implantação em nuvem) e o provedor de identidade para o diretório manualmente. Quando você fizer isso, crie um novo provedor de identidade para o diretório selecionando Adicionar Provedor de Identidade > Criar IDP Integrado na página Integrações > Provedores de Identidade. Não é recomendável usar o provedor de identidade pré-criado chamado Integrado.
Hosts de Autenticação do Usuário	Essa opção é exibida quando Autenticação é definida como Sim. Selecione uma ou mais instâncias do serviço de Autenticação do Usuário a serem usadas para autenticar os usuários desse diretório. Todas as instâncias do serviço de Autenticação do Usuário que são registradas com o tenant e que estão no estado Ativo são listadas. Se você selecionar várias instâncias, o Workspace ONE Access enviará solicitações de autenticação para as instâncias selecionadas na ordem de repetição alternada.
Nome de usuário	Selecione o atributo da conta que contém o nome de usuário.
ID Externa	O atributo que você deseja usar como o identificador exclusivo de usuários no diretório do Workspace ONE Access. O valor padrão é objectGUID. Você pode definir uma ID Externa para qualquer um dos seguintes atributos: Qualquer atributo de cadeia de caracteres, como sAMAccountName ou distinguishedName Os atributos binários objectSid, objectGUID ou mS-DS-ConsistencyGuid A configuração de ID Externa só se aplica aos usuários no Workspace ONE Access. Para grupos, a ID Externa é sempre definida como objectGUID e não pode ser alterada. Importante: Todos os usuários devem ter um valor exclusivo e não vazio definido para o atributo. O valor deve ser exclusivo em todo o tenant do Workspace ONE Access. Se qualquer usuário não tiver um valor para o atributo, o diretório não será sincronizado. Tenha em mente as seguintes considerações ao definir a ID Externa: Se você estiver integrando o Workspace ONE Access com o Workspace ONE UEM, certifique-se de definir a ID Externa para o mesmo atributo em ambos os produtos. Você pode alterar a ID Externa depois de criar o diretório. No entanto, a boa prática é definir a ID Externa antes de sincronizar os usuários com o Workspace ONE Access. Quando você altera a ID Externa, os usuários são recriados. Como resultado, todos os usuários serão desconectados e precisarão fazer login novamente. Você também precisará reconfigurar os direitos de usuário para os aplicativos Web e ThinApps. Os direitos do Horizon, do Horizon Cloud e da Citrix serão excluídos e, em seguida, recriados na sincronização de direitos seguintes. A opção ID Externa está disponível com as versões 20.10 e posteriores do Workspace ONE Access Connector e a versão 19.03.0.1. Todos os conectores associados ao serviço do Workspace ONE Access devem ter a versão 20.10 ou posterior, ou todos eles devem ter a versão 19.03.0.1. Se versões diferentes do conector estiverem associadas ao serviço, a opção ID Externa não será exibida.

Nas seções Local do Servidor e Criptografia, selecione entre as seguintes opções.

Opção	Descrição
Se você quiser usar a pesquisa de Localização do Serviço DNS para o Active Directory	Com essa opção, o Workspace ONE Access encontra e usa controladores de domínio ideais. Se você não quiser usar a seleção do controlador de domínio otimizada, não selecione essa opção. Na seção Local do Servidor, marque a caixa de seleção Esse diretório suporta localização do serviço DNS. Se o Active Directory exigir acesso por SSL/TLS, marque a caixa de seleção STARTTLS necessário para todas as conexões na seção Criptografia. Observação: Se a opção Esse diretório suporta localização do serviço DNS estiver marcada, STARTTLS será usado para criptografia pela porta 389. Se a opção Esse diretório suporta localização do serviço DNS estiver desmarcada, LDAPS será usado para criptografia pela porta 636. Copie e cole os certificados da CA Raiz e Intermediária (se usada) dos controladores de domínio na caixa de texto Certificado(s) SSL. Insira o certificado da CA Intermediária primeiro e, em seguida, o certificado da CA Raiz. Verifique se cada certificado está no formato PEM e inclui as linhas INICIAR CERTIFICADO e ENCERRAR CERTIFICADO. Se os controladores de domínio tiverem certificados de várias Autoridades de Certificação Intermediária e Raiz, insira todas as cadeias de certificado de CA Intermediária-Raiz, uma após a outra. Por exemplo: -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 2> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 2> ... -----END CERTIFICATE----- Observação: Se o seu Active Directory exigir acesso por SSL/TLS e você não fornecer os certificados, não poderá criar o diretório.
Se você não quiser usar a pesquisa de Localização do Serviço DNS para o Active Directory	Na seção Local do Servidor, verifique se a caixa de seleção Esse diretório suporta localização do serviço DNS está desmarcada e insira o nome do host e o número da porta do servidor do Active Directory. Para configurar o diretório como um catálogo global, consulte a seção Ambiente de vários domínios em única floresta do Active Directory em Integrando o Active Directory com o Workspace ONE Access. Se o Active Directory exigir acesso por SSL/TLS, marque a caixa de seleção LDAPS necessário para todas as conexões na seção Criptografia. Observação: Se a opção Esse diretório suporta localização do serviço DNS estiver marcada, STARTTLS será usado para criptografia pela porta 389. Se a opção Esse diretório suporta localização do serviço DNS estiver desmarcada, LDAPS será usado para criptografia pela porta 636. Copie e cole os certificados da CA Raiz e Intermediária (se usada) dos controladores de domínio na caixa de texto Certificado(s) SSL. Insira o certificado da CA Intermediária primeiro e, em seguida, o certificado da CA Raiz. Verifique se o certificado está no formato PEM e inclui as linhas INICIAR CERTIFICADO e ENCERRAR CERTIFICADO. Observação: Se o seu Active Directory exigir acesso por SSL/TLS e você não fornecer o certificado, não poderá criar o diretório.
Se você estiver integrando o diretório como um Catálogo Global	Na seção Local do Servidor, marque a caixa de seleção Esse diretório suporta localização do serviço DNS. Selecione a opção Este diretório tem um catálogo global. Na caixa de texto Host do Servidor, insira o nome do host do servidor do Active Directory. A Porta do Servidor está definida como 3268. Se você selecionar SSL/TLS na seção Criptografia, a porta será definida como 3269. Se o Active Directory exigir acesso por SSL/TLS, selecione a opção LDAPS necessário para todas as conexões na seção Criptografia. Copie e cole os certificados da CA Raiz e Intermediária (se usada) dos controladores de domínio na caixa de texto Certificado(s) SSL. Insira o certificado da CA Intermediária primeiro e, em seguida, o certificado da CA Raiz. Verifique se o certificado está no formato PEM e inclui as linhas INICIAR CERTIFICADO e ENCERRAR CERTIFICADO.

Na seção Detalhes do Usuário de Associação, insira as seguintes informações.

Opção	Descrição
DN Base	Insira o DN do qual se deseja iniciar as pesquisas de conta. Por exemplo, OU=myUnit,DC=myCorp,DC=com. Importante: O DN de Base será usado para autenticação. Somente os usuários sob o DN de Base poderão se autenticar. Certifique-se de que os DNs do grupo e os DNs do usuário que você especificar posteriormente para sincronização se encontram nesse DN Base. Observação: Se você estiver adicionando o diretório como um Catálogo Global, o DN Base não será necessário, e a opção não será exibida.
DN do Usuário de Associação	Insira a conta que pode procurar usuários. Por exemplo, CN=binduser,OU=myUnit,DC=myCorp,DC=com. Observação: É recomendável usar uma conta de usuário de Associação com uma senha que não expire.
Senha do usuário de associação	A senha do usuário de associação.

Se você estiver integrando o Active Directory sobre Autenticação Integrada do Windows, siga estas etapas.

Na seção Sincronização e Autenticação do Diretório, faça as seguintes seleções.

Opção	Descrição
Hosts de Sincronização de Diretório	Selecione uma ou mais instâncias do serviço de Sincronização de Diretório a serem usadas para sincronizar este diretório. Todas as instâncias do serviço de Sincronização de Diretório que são registradas com o tenant e que estão no estado Ativo são listadas. Se você selecionar várias instâncias, o Workspace ONE Access usará a primeira instância selecionada na lista para sincronizar o diretório. Se a primeira instância estiver indisponível, ela usará a próxima instância selecionada e assim por diante. Você pode reordenar a lista na página Configurações de Sincronização do diretório depois de criar o diretório.
Autenticação	Selecione Sim se quiser autenticar os usuários desse diretório com o serviço de Autenticação do Usuário. O serviço de Autenticação do Usuário já deve estar instalado. Se você selecionar Sim, o método de autenticação de Senha (implantação em nuvem) e um provedor de identidade chamado IDP para `diretório` do tipo Integrado serão automaticamente criados para o diretório. Selecione Não se você não quiser autenticar usuários desse diretório com o serviço de Autenticação do Usuário. Se você mudar de ideia posteriormente, poderá criar o método de autenticação de senha (implantação em nuvem) e o provedor de identidade para o diretório manualmente. Quando você fizer isso, crie um novo provedor de identidade para o diretório selecionando Adicionar Provedor de Identidade > Criar IDP Integrado na página Integrações > Provedores de Identidade. Não é recomendável usar o provedor de identidade pré-criado chamado Integrado.
Hosts de Autenticação do Usuário	Essa opção é exibida quando Autenticação é definida como Sim. Selecione uma ou mais instâncias do serviço de Autenticação do Usuário a serem usadas para autenticar os usuários desse diretório. Todas as instâncias do serviço de Autenticação do Usuário que são registradas com o tenant e que estão no estado Ativo são listadas. Se você selecionar várias instâncias, o Workspace ONE Access enviará solicitações de autenticação para as instâncias selecionadas na ordem de repetição alternada.
Nome de usuário	Selecione o atributo da conta que contém o nome de usuário.
ID Externa	O atributo que você deseja usar como o identificador exclusivo de usuários no diretório do Workspace ONE Access. O valor padrão é objectGUID. Você pode definir uma ID Externa para qualquer um dos seguintes atributos: Qualquer atributo de cadeia de caracteres, como sAMAccountName ou distinguishedName Os atributos binários objectSid, objectGUID ou mS-DS-ConsistencyGuid A configuração de ID Externa só se aplica aos usuários no Workspace ONE Access. Para grupos, a ID Externa é sempre definida como objectGUID e não pode ser alterada. Importante: Todos os usuários devem ter um valor exclusivo definido para o atributo. O valor deve ser exclusivo em todo o tenant do Workspace ONE Access. Tenha em mente as seguintes considerações ao definir a ID Externa: Se você estiver integrando o Workspace ONE Access com o Workspace ONE UEM, certifique-se de definir a ID Externa para o mesmo atributo em ambos os produtos. Você pode alterar a ID Externa depois de criar o diretório. No entanto, a boa prática é definir a ID Externa antes de sincronizar os usuários com o Workspace ONE Access. Quando você altera a ID Externa, os usuários são recriados. Como resultado, todos os usuários serão desconectados e precisarão fazer login novamente. Você também precisará reconfigurar os direitos de usuário para os aplicativos Web e ThinApps. Os direitos do Horizon, do Horizon Cloud e da Citrix serão excluídos e, em seguida, recriados na sincronização de direitos seguintes. A opção ID Externa está disponível com as versões 20.10 e posteriores do Workspace ONE Access Connector e a versão 19.03.0.1. Todos os conectores associados ao serviço do Workspace ONE Access devem ter a versão 20.10 ou posterior, ou todos eles devem ter a versão 19.03.0.1. Se versões diferentes do conector estiverem associadas ao serviço, a opção ID Externa não será exibida.

Nenhuma ação é necessária na seção Criptografia. Os diretórios do tipo Active Directory sobre Autenticação Integrada do Windows usam vinculação de Kerberos SASL automaticamente e não exigem que você selecione LDAPS ou STARTTLS.
Na seção Detalhes do Usuário de Associação, insira o nome de usuário e a senha do usuário de associação que tem permissão para consultar usuários e grupos para os domínios necessários. Insira o nome de usuário como sAMAccountName@domain, onde domínio é o nome de domínio totalmente qualificado. Por exemplo, jdoe@example.com.

Observação: É recomendável usar uma conta de usuário de Associação com uma senha que não expire.

Clique em Salvar e Avançar.
Na página Selecionar os Domínios, selecione os domínios, se aplicável, e clique em Avançar.
- Para um diretório do tipo Active Directory sobre LDAP, os domínios estão listados e já selecionados.
- Para um diretório do tipo Active Directory sobre Autenticação Integrada do Windows, selecione os domínios que devem ser associados a esta conexão do Active Directory. Todos os domínios com uma relação de confiança bidirecional com o domínio base são listados.
  Se os domínios com uma relação de confiança bidirecional com o domínio base forem adicionados ao Active Directory após a criação do diretório do Workspace ONE Access, você poderá adicioná-los a partir da página Configurações de Sincronização > Domínios do diretório clicando no ícone de atualização para obter a lista mais recente.
  
  Dica: Escolha domínios confiáveis, um por um, em vez de selecionar todos os domínios de uma só vez. Isso garante que o salvamento de domínio não seja uma operação de longa execução que possa expirar. Escolher domínios sequencialmente garante que o serviço de Sincronização de Diretório gasta tempo tentando resolver apenas um único domínio.
- Se você estiver criando um diretório do Active Directory sobre LDAP com a opção de Catálogo Global selecionada, a guia Domínios não será exibida.
Na página Mapear Atributos do Usuário, verifique se os nomes de atributos do diretório do Workspace ONE Access estão mapeados para os atributos corretos do Active Directory, faça alterações, se necessário, e clique em Avançar.

Importante: Se um atributo for marcado como obrigatório, seu valor deverá ser definido para todos os usuários que você deseja sincronizar. Os registros do usuário que não tiverem valores para os atributos necessários não serão sincronizados.
Siga as instruções em Seleção de usuários e grupos para sincronizar com seu diretório do Workspace ONE Access para adicionar grupos na página Selecionar os grupos que você deseja sincronizar e os usuários na página Selecionar os usuários que você deseja sincronizar.
Na página Frequência de Sincronização, configure uma agenda de sincronização para sincronizar usuários e grupos em intervalos regulares ou selecione Manualmente na lista suspensa Frequência de Sincronização se você não quiser definir uma agenda.
A hora é definida no UTC.

Dica: Agende os intervalos de sincronização para que sejam maiores que o tempo de sincronização. Se usuários e grupos estiverem sendo sincronizados com o diretório quando a próxima sincronização for agendada, a nova sincronização será iniciada imediatamente após o término da sincronização anterior.

Se você selecionar Manualmente, deverá clicar no botão Sincronizar na página do diretório sempre que quiser sincronizar o diretório.
Clique em Salvar para criar o diretório ou o Diretório de Sincronização para criar o diretório e começar a sincronizá-lo.

Resultados

A conexão com o Active Directory é estabelecida. Se você tiver clicado em Sincronizar Diretório, os nomes dos usuários e grupos serão sincronizados do Active Directory com o diretório do Workspace ONE Access.

Para obter mais informações sobre como os grupos são sincronizados, consulte "Gerenciando usuários e grupos" na Administração do VMware Workspace ONE Access.

O que Fazer Depois

Se você definir a opção Autenticação como Sim, um provedor de identidade chamado IDP para directoryname e um método de autenticação de Senha (implantação em nuvem) serão automaticamente criados para o diretório. Você pode exibi-los nas páginas Integrações > Provedores de Identidade e Integrações > Métodos de Autenticação. Você também pode criar mais métodos de autenticação para o diretório na página Métodos de Autenticação. Para obter informações sobre como criar métodos de autenticação, consulte Gerenciamento de métodos de autenticação de usuário no Workspace ONE Access.
Revise a política de acesso padrão na página Recursos > Políticas.
Revise as configurações de proteção de sincronização padrão e faça as alterações, se necessário. Consulte Configuração de proteções de sincronização do diretório no Workspace ONE Access para obter informações.