在联合设置的此步骤中,您将创建一个内部目录,用于存储从 Active Directory 同步的用户和组。

您可以同步一个或多个 Active Directory 域中的组和用户。
  • 如果您要向其授予 VMware Cloud services 联合访问权限的所有用户和组都位于单个 AD 域中,请选择单个 AD 域选项。如果您有多个 AD 域,但在这些域之间未建立信任关系,请使用此选项。建立联合后,您可以选择为每个额外的 AD 域添加新目录。
  • 如果您要向其授予 VMware Cloud services 联合访问权限的用户和组位于不同的 AD 域中,同时配置了多林 Active Directory 并在不同的域之间建立了信任关系,请选择多个 AD 域

激活企业联合后,在联合工作流的这一步骤中同步的组和用户将显示在 Cloud Services 控制台中的页面上。您可以通过导航到身份与访问管理 > 访问该页面。激活联合设置后,您可以同步企业的其他组和用户。

必须同步所有联合帐户,以允许用户使用其企业帐户访问 VMware Cloud services。同步的用户在登录时不会要求创建 VMware 帐户,除非他们必须查看计费信息,提交支持请求。同时也是组织所有者用户或在联合域之前受邀完成联合设置的企业管理员必须创建 VMware 帐户。在联合域后添加到特殊联合组织的企业管理员不需要创建 VMware 帐户。

前提条件

  • 如果您的 Active Directory 要求通过 SSL/TLS 访问,您必须上载域控制器的中间证书(如果使用)和根 CA 证书。
  • 对于组和用户同步,您必须使用在 Active Directory 上具有读取特权的任何服务或用户帐户以及绑定用户 DN/名称的未过期密码以连接到 Active Directory。
    小心: 如果您公司的安全策略要求您使用密码即将过期的服务帐户,而密码在续订之前过期,将不会同步组和用户。如果同步中断,您必须重新建立 Active Directory 与 Workspace ONE Access Connector 之间的连接。

过程

  1. 设置企业联合页面的同步组和用户部分中,单击启动
    此时将显示 添加目录部分。
  2. 目录名称文本框中,输入将要创建的内部目录的名称。
    您可以为企业目录提供任何名称,不需要与内部使用的名称相匹配。
  3. 对于此示例,请将默认的单个 AD 域菜单项保持选中状态。
  4. 单击下一步
    此时将展开工作流的 提供绑定用户凭据部分。
  5. 提供将用于同步企业 Active Directory 中组和用户的服务帐户的绑定用户管理员凭据。
    下面显示了如何定义绑定用户标识名 (DN) 的示例。假设您的企业目录服务的绑定用户 DN 为 [email protected]。了解如何在联合设置中定义用户名的语法:
    1. 绑定用户 DN 文本框中,输入 "CN=admin,DC=acme,DC=com"
      将自动填充 基本 DN 文本框以显示 "DC=acme,DC=com"
    2. 绑定用户密码文本框中,输入绑定用户管理员的密码。
    注: 您输入的绑定用户 DN 和绑定 DN 凭据必须遵循示例所示的语法。
  6. 单击下一步
    此时将展开工作流的 同步组部分。
  7. 输入要同步的组的组标识名 (DN)。
    使用与在此任务的步骤 5 中输入的类似语法,定义企业目录中的特定用户组,例如 CN=Users,DC=acme,DC=com
    注: 同步组和用户至少需要以下属性:名字、姓氏、电子邮件、用户名和域。如果您的企业使用用户主体名称 (UPN) 对用户进行身份验证,则此属性也必须具有用于同步的值。永远不会同步用户密码。仅同步在此步骤中配置的用户和组 DN,而不是整个 AD。
  8. 单击选择组链接。
    此时将弹出一个窗口,其中显示符合输入的组 DN 条件的所有可用组结果。如果搜索结果超过 1000 个组,则可以返回步骤 7 并优化搜索条件。
  9. 选择要同步以进行联合设置的组,然后单击保存
    联合工作流页面将刷新并显示在此步骤中添加以进行同步的组数。您可以通过单击 添加来添加更多组。
  10. 单击下一步
  11. 在展开的同步用户部分中,输入要同步的用户 DN。
    使用与在此任务的步骤 7 中输入的类似语法,定义企业目录中的特定用户,例如 CN=admin,CN=users,DC=acme,DC=com
    现在,您添加的所有组和用户都显示在 查看组和用户部分中。
    要测试联合设置并验证用户使用企业身份提供程序登录的情况,请确保添加并成功同步将要测试联合设置的组和用户,包括您自己。
    注: 激活企业联合后,未同步的用户将无法进行用户身份验证。
  12. 单击同步
    此时将显示“正在同步”状态,并且在您单击 检查同步状态之前保持不变。
  13. 要查看同步的更新状态,必须单击检查同步状态
    注: 如果缺少最低要求的属性,如名字、姓氏、电子邮件、用户名、域和 UPN(如果使用),则同步将失败。
    同步成功时,状态将更改为绿色。
    注: 如果绑定用户 DN 出现异常错误,可以将其忽略。对于所有其他错误,必须对设置进行故障排除。
  14. 单击继续

下一步做什么

您现在可以为使用 VMware Cloud services 进行企业联合配置企业 IdP 了。