您可以将“其他”类型的目录(存储从 Workspace ONE UEM 中同步的用户和组)转换为“通过 LDAP 访问的 Active Directory”或“通过集成 Windows 身份验证访问的 Active Directory”类型的目录(与VMware Identity Manager Connector 相关联)。在转换目录后,将使用 VMware Identity Manager Connector 将用户和组从企业目录同步到 VMware Identity Manager 服务,而不是使用 ACC。

前提条件

  • 安装并激活 VMware Identity Manager Connector。

    要使用某些功能,您必须将 Windows Server 加入域,必须以属于 Windows Server 上管理员组的域用户身份安装 VMware Identity Manager Connector,并且必须选择以 Windows 域用户身份运行 IDM Connector 服务。

    该要求适用于以下情况。

    • 如果打算将“其他”目录转换为“通过集成 Windows 身份验证访问的 Active Directory”
    • 如果打算使用 Kerberos 身份验证
  • 需要使用以下 Active Directory 信息:
    • 如果要转换为“通过 LDAP 访问的 Active Directory”,则需要基本 DN,以及绑定用户 DN 和密码。

      绑定用户必须在 Active Directory 中拥有以下权限,才能授予对用户和组对象的访问权限:

      • 读取
      • 读取所有属性
      • 读取权限

      建议使用具有不过期密码的绑定用户帐户。

    • 如果要转换为“通过集成 Windows 身份验证访问的 Active Directory”,则需要有权对所需域的用户和组进行查询的绑定用户的用户名和密码。

      绑定用户必须在 Active Directory 中拥有以下权限,才能授予对用户和组对象的访问权限:

      • 读取
      • 读取所有属性
      • 读取权限

      建议使用具有不过期密码的绑定用户帐户。

    • 如果 Active Directory 要求通过 SSL/TLS 进行访问,则需要所有相关 Active Directory 域的域控制器的中间 CA 证书(如果使用)和根 CA 证书。如果域控制器具有来自多个中间证书颁发机构和根证书颁发机构的证书,则需要所有中间 CA 证书和根 CA 证书。
    • 对于通过集成 Windows 身份验证访问的 Active Directory,如果配置了多林 Active Directory 并且“域本地”组包含来自不同林中的域的成员,请确保将绑定用户添加到“域本地”组所在域的“管理员”组中。如果未执行此操作,“域本地”组中将缺少这些成员。
    • 对于通过集成 Windows 身份验证访问的 Active Directory:
      • 对于 SRV 记录中列出的所有域控制器以及隐藏的 RODC,主机名和 IP 地址的 nslookup 应当可以正常执行。
      • 就网络连接方面而言,所有域控制器都必须可以访问。

过程

  1. VMware Identity Manager 管理控制台中,单击身份和访问管理选项卡,然后单击目录选项卡。
  2. 单击要转换的目录。
  3. 在目录页中,单击转换按钮。
  4. 在“添加目录”页面中,更改该目录的名称(如果需要),然后选择要将“其他”目录转换到的目录类型:通过 LDAP 访问的 Active Directory通过集成 Windows 身份验证访问的 Active Directory
  5. 输入 Active Directory 连接信息,然后继续执行向导以设置目录。
    请参阅 《将目录与 VMware Identity Manager 集成》指南中的“配置 Active Directory 到服务的连接”以了解相应的信息。

    请遵循这些准则。

    • 同步连接器字段中,选择安装的 VMware Identity Manager Connector。
    • 目录同步和身份验证部分中,为身份验证选择,除非要使用第三方身份提供程序进行身份验证,而不是使用连接器。
    • 确保按照与 Workspace ONE UEM 目录完全相同的方式设置转换的目录,以使其具有相同的目录结构。选择相同的域。在指定要同步的用户和组时,请选择与 Workspace ONE UEM 目录相同的用户和组,以便将相同的用户和组同步到转换的目录。
  6. 在向导的最后一页中,单击同步目录
    将转换该目录并设置为使用 VMware Identity Manager Connector。将创建一个 Workspace 身份提供程序(如果尚未存在),并且该目录自动与其相关联。已为该目录启用密码身份验证方法。
  7. (可选)要为该目录启用其他身份验证方法,请执行以下步骤。
    1. 身份和访问管理选项卡中,单击设置
    2. 在“连接器”页中,找到与转换的目录关联的连接器和工作线程,然后单击工作线程列中的链接。
    3. 在“工作线程”页中,单击身份验证适配器选项卡。
    4. 单击要用于该目录的每个身份验证适配器的链接,然后输入配置信息以配置并启用该适配器。
      有关配置身份验证适配器的信息,请参阅 《VMware Identity Manager 管理》
  8. 编辑 default_access_policy_set 和任何自定义策略以选择 VMware Identity Manager Connector 身份验证方法,而不是密码 (AirWatch Connector)。
    1. 身份和访问管理选项卡中,单击策略选项卡。
    2. 单击编辑默认策略
    3. 单击配置
    4. 编辑每个策略规则,将密码 (AirWatch Connector) 身份验证方法替换为密码(这是一种 VMware Identity Manager Connector 身份验证方法)。
    5. 再次单击策略选项卡,然后编辑自定义策略(如果有)以使用密码或配置的任何其他 VMware Identity Manager Connector 身份验证方法。
      重要事项: 如果没有将“密码 (Airwatch Connector)”更改为“密码”或其他基于 VMware Identity Manager Connector 的身份验证方法,转换的目录用户将无法登录。

下一步做什么

停止从 Workspace ONE UEM 到转换的目录的目录同步。