您可以将服务与 Active Directory 环境相集成,该环境可以包含单个 Active Directory 域、单个 Active Directory 林中的多个域或多个 Active Directory 林之间的多个域。
单个 Active Directory 域环境
单个 Active Directory 部署允许您同步单个 Active Directory 域中的用户和组。
对于此环境,在向服务中添加目录时,请选择“通过 LDAP 访问的 Active Directory”选项。
有关详细信息,请参阅:
多域、单林 Active Directory 环境
多域、单林 Active Directory 部署允许您同步单林中多个 Active Directory 域的用户和组。
对于此 Active Directory 环境,您可以将服务配置为单个 Active Directory(集成 Windows 身份验证)目录类型,或者,也可以配置为通过 LDAP 访问的 Active Directory 目录类型(通过全局目录选项进行配置)。
建议的选项是创建单个 Active Directory(集成 Windows 身份验证)目录类型。
在为此环境添加目录时,请选择“Active Directory (集成 Windows 身份验证)”选项。
有关详细信息,请参阅:
如果您的 Active Directory 环境中无法使用集成 Windows 身份验证,可创建通过 LDAP 访问的 Active Directory 目录类型并选择全局目录选项。
选择全局目录选项具有以下几条限制:
复制到全局目录中的 Active Directory 对象属性在 Active Directory 架构中被标识为局部属性集 (PAS)。服务仅可使用这些属性进行属性映射。如有必要,可编辑架构以添加或移除在全局目录中存储的属性。
全局目录可存储唯一通用组的组成员身份(成员属性)。只有通用组会同步到服务。如有必要,可将组的范围从本地域或全局域更改为通用域。
在服务中配置目录时定义的绑定 DN 帐户必须有权读取 Token-Groups-Global-And-Universal (TGGAU) 属性。
如果将 Workspace ONE UEM 与 VMware Identity Manager 相集成并且配置了多个 Workspace ONE UEM 组织组,则将无法使用“Active Directory 全局目录”选项。
Active Directory 使用端口 389 和 636 进行标准 LDAP 查询。对于全局目录查询,则使用端口 3268 和 3269。
在为全局目录环境添加目录时,请在配置过程中指定以下信息。
选择“通过 LDAP 访问的 Active Directory”选项。
取消选中此目录支持 DNS 服务位置选项的复选框。
选择此目录具有全局目录选项。选择此选项后,服务器端口号会自动更改为 3268。此外,由于配置全局目录选项时不需要基本 DN,因此“基本 DN”文本框不会显示。
添加 Active Directory 服务器主机名。
如果您的 Active Directory 要求通过 SSL 访问,请选择此目录要求所有连接都使用 SSL 选项并将证书粘贴到提供的文本框中。选择此选项后,服务器端口号会自动更改为 3269。
有信任关系的多林 Active Directory 环境
有信任关系的多林 Active Directory 部署允许您同步域间存在双向信任的林中多个 Active Directory 域的用户和组。
在为此环境添加目录时,请选择“Active Directory (集成 Windows 身份验证)”选项。
有关详细信息,请参阅:
无信任关系的多林 Active Directory 环境
无信任关系的多林 Active Directory 部署允许您同步域间不存在信任关系的林中多个 Active Directory 域的用户和组。对于此环境,您需要在服务中创建多个目录,每个林使用一个目录。
您在服务中创建的目录类型取决于林。对于具有多个域的林,请选择“Active Directory (集成 Windows 身份验证)”选项。对于具有单个域的林,请选择“通过 LDAP 访问的 Active Directory”选项。
有关详细信息,请参阅:
