您可以将“其他”类型的目录(存储从 AirWatch 中同步的用户和组)转换为“通过 LDAP 访问的 Active Directory”或“Active Directory (集成 Windows 身份验证)”类型的目录(与 VMware Identity Manager Connector 相关联)。在转换目录后,将使用 VMware Identity Manager Connector 将用户和组从企业目录同步到 VMware Identity Manager,而不是使用 ACC。

先决条件

  • 在 Windows 服务器上安装并激活 VMware Enterprise Systems ConnectorVMware Identity Manager Connector 组件。

    要使用某些功能,Windows 服务器必须加入域,您必须以 Windows 服务器上的管理员组包含的域用户身份安装 VMware Identity Manager Connector 组件,并且必须选择以 Windows 域用户身份运行 IDM Connector 服务。

    该要求适用于以下情况。

    • 如果打算将“其他”目录转换为“Active Directory (集成 Windows 身份验证)”

    • 如果打算使用 Kerberos 身份验证

    • 如果打算将 Horizon View 与 VMware Identity Manager 集成在一起,并希望使用“执行目录同步”或“配置 5.x 连接服务器”选项

  • 需要使用以下 Active Directory 信息:

    • 如果转换为“通过 LDAP 访问的 Active Directory”,则需要使用基本 DN、绑定 DN 和绑定 DN 密码。建议使用具有不过期密码的绑定 DN 用户帐户。

    • 如果转换为“Active Directory (集成 Windows 身份验证)”,则需要使用域的绑定用户 UPN 地址和密码。建议使用具有不过期密码的绑定 DN 用户帐户。

    • 如果 Active Directory 要求通过 SSL 或 STARTTLS 访问,则需要使用 Active Directory 域控制器的根 CA 证书。

    • 对于 Active Directory(集成 Windows 身份验证),如果配置了多林 Active Directory 并且“域本地”组包含不同林中的域的成员,请确保将绑定用户添加到“域本地”组所在的域的“管理员”组中。如果未执行此操作,“域本地”组中将缺少这些成员。

过程

  1. VMware Identity Manager 管理控制台中,单击身份和访问管理选项卡,然后单击目录选项卡。
  2. 单击要转换的目录的名称。
  3. 在目录页中,单击转换按钮。
  4. 在“添加目录”页中,更改该目录的名称(如果需要),然后选择要将“其他”目录转换到的目录类型:通过 LDAP 访问的 Active DirectoryActive Directory (集成 Windows 身份验证)
  5. 输入 Active Directory 连接信息,然后继续执行向导以设置目录。

    请参阅《将目录与 VMware Identity Manager 集成》指南中的“配置 Active Directory 到服务的连接”以了解相应的信息。

    请遵循这些准则。

    • 同步连接器字段中,选择安装的 VMware Identity Manager Connector。

    • 目录同步和身份验证部分中,为身份验证选择,除非要使用第三方身份提供程序进行身份验证,而不是使用连接器。

    • 确保按照与 AirWatch 目录完全相同的方式设置转换的目录,以使其具有相同的目录结构。选择相同的域。在指定要同步的用户和组时,请选择与 AirWatch 目录相同的用户和组,以便将相同的用户和组同步到转换的目录。

  6. 在向导的最后一页中,单击同步目录

    将转换该目录并设置为使用 VMware Identity Manager Connector。将创建一个 Workspace 身份提供程序(如果尚未存在),并且该目录自动与其相关联。已为该目录启用密码身份验证方法。

  7. (可选)要为该目录启用其他身份验证方法,请执行以下步骤。
    1. 身份和访问管理选项卡中,单击设置
    2. 在“连接器”页中,找到与转换的目录关联的连接器和工作线程,然后单击工作线程列中的链接。
    3. 在“工作线程”页中,单击身份验证适配器选项卡。
    4. 单击要用于该目录的每个身份验证适配器的链接,然后输入配置信息以配置并启用该适配器。

      有关配置身份验证适配器的信息,请参阅《VMware Identity Manager 管理》

  8. 编辑 default_access_policy_set 和任何自定义策略以选择 VMware Identity Manager Connector 身份验证方法,而不是密码 (AirWatch Connector)。
    1. 身份和访问管理选项卡中,单击策略选项卡。
    2. 单击编辑默认策略
    3. 策略规则下面,编辑每个规则的身份验证方法列,并将密码 (AirWatch Connector) 替换为密码 (VMware Identity Manager Connector 身份验证方法)。
    4. 再次单击策略选项卡,然后编辑自定义策略(如果有)以使用密码或配置的任何其他 VMware Identity Manager Connector 身份验证方法。
      重要:

      如果没有将“密码 (Airwatch Connector)”更改为“密码”或其他基于 VMware Identity Manager Connector 的身份验证方法,转换的目录用户将无法登录。

下一步做什么

停止从 AirWatch 到转换的目录的目录同步。