Workspace ONE Access 中,您可以将“其他”类型的目录(存储从 Workspace ONE UEM 中同步的用户和组)转换为“通过 LDAP 访问的 Active Directory”或“通过集成 Windows 身份验证访问的 Active Directory”类型的目录(与 Workspace ONE Access Connector 相关联)。在转换目录后,将使用 Workspace ONE Access Connector 的目录同步服务将企业目录中的用户和组同步到 Workspace ONE Access 服务,而不是使用 ACC。

前提条件

  • 安装目录同步服务和用户身份验证服务,从版本 20.01.0.0 开始,这两项服务将作为 Workspace ONE Access Connector 的组件提供。请参阅最新版本的《安装 VMware Workspace ONE Access Connector》以了解相关信息。
  • 需要使用以下 Active Directory 信息:
    • 如果要转换为“通过 LDAP 访问的 Active Directory”,则需要基本 DN,以及绑定用户 DN 和密码。

      绑定用户必须在 Active Directory 中拥有以下权限,才能授予对用户和组对象的访问权限:

      • 读取
      • 读取所有属性
      • 读取权限

      建议使用具有不过期密码的绑定用户帐户。

    • 如果要转换为“通过集成 Windows 身份验证访问的 Active Directory”,则需要有权对所需域的用户和组进行查询的绑定用户的用户名和密码。

      绑定用户必须在 Active Directory 中拥有以下权限,才能授予对用户和组对象的访问权限:

      • 读取
      • 读取所有属性
      • 读取权限

      建议使用具有不过期密码的绑定用户帐户。

    • 如果 Active Directory 要求通过 SSL/TLS 进行访问,则需要所有相关 Active Directory 域的域控制器的中间 CA 证书(如果使用)和根 CA 证书。如果域控制器具有来自多个中间证书颁发机构和根证书颁发机构的证书,则需要所有中间 CA 证书和根 CA 证书。
    • 对于通过集成 Windows 身份验证访问的 Active Directory,如果配置了多林 Active Directory 并且“域本地”组包含来自不同林中的域的成员,请确保将绑定用户添加到“域本地”组所在域的“管理员”组中。如果未执行此操作,“域本地”组中将缺少这些成员。
    • 对于通过集成 Windows 身份验证访问的 Active Directory:
      • 对于 SRV 记录中列出的所有域控制器以及隐藏的 RODC,主机名和 IP 地址的 nslookup 应当可以正常执行。
      • 就网络连接方面而言,所有域控制器都必须可以访问。

过程

  1. Workspace ONE Access 控制台中,导航到身份和访问管理 > 管理 > 目录
  2. 单击要转换的目录。
  3. 在目录页中,单击转换按钮。
  4. 在“添加目录”页面中,更改该目录的名称(如果需要),然后选择要将“其他”目录转换到的目录类型:通过 LDAP 访问的 Active Directory通过集成 Windows 身份验证访问的 Active Directory
  5. 输入 Active Directory 连接信息,然后继续执行向导以设置目录。
    该过程与创建新目录的过程相同。有关详细信息,请参阅 配置 Active Directory 与 Workspace ONE Access 服务的连接

    设置目录时,请遵循以下准则。

    • 目录同步和身份验证部分中,对于目录同步主机,选择您已安装的目录同步服务。

      已安装目录同步服务的所有连接器实例都将列出。您可以选择多个实例。Workspace ONE Access 将使用列表中的第一个选定实例来同步目录。如果第一个实例不可用,则使用下一个选定的实例,依此类推。创建目录后,您可以从目录的“同步设置”页面对列表重新排序。

    • 对于身份验证,选择。此外,还需选择用于进行身份验证的用户身份验证服务实例。
    • 确保按照与 Workspace ONE UEM 目录完全相同的方式设置转换的目录,以使其具有相同的目录结构。选择相同的域。在指定要同步的用户和组时,请选择与 Workspace ONE UEM 目录相同的用户和组,以便将相同的用户和组同步到转换的目录。
    • 确保将“外部 ID”设置为与在 Workspace ONE UEM 中为其设置的相同属性。
  6. 在向导的最后一页中,单击同步目录
    此时会转换目录,并将其设置为使用目录同步服务来同步用户和组。如果将“身份验证”选项设置为“是”,则会为目录自动创建一个名为 directoryname 的 IDP 的身份提供程序,以及密码(云部署)身份验证方法。
  7. (可选)要为目录启用其他身份验证方法,请导航到身份和访问管理 > 管理 > 企业身份验证方法页面,然后为该目录创建身份验证方法。
  8. 编辑 default_access_policy_set 和任何自定义策略,以将密码 (AirWatch Connector) 身份验证方法替换为密码(云部署)。
    1. 导航到身份和访问管理 > 管理 > 策略选项卡。
    2. 单击编辑默认策略,然后单击“编辑策略”向导中的配置
    3. 编辑每个策略规则,并将密码 (AirWatch Connector) 身份验证方法替换为密码 (云部署)
    4. 再次单击策略选项卡,然后编辑自定义策略(如果有),以将密码 (AirWatch Connector) 身份验证方法替换为密码 (云部署)
    5. (可选)根据需要修改策略以使用其他身份验证方法。
    重要事项: 如果没有将“密码 (AirWatch Connector)”更改为“密码 (云部署)”或其他用户身份验证服务身份验证方法,转换的目录用户将无法登录。

下一步做什么

停止从 Workspace ONE UEM 到转换的目录的目录同步。