在使用 Active Directory 配置目录同步服务后,您可以在 Workspace ONE Access 控制台的“企业身份验证”页面中配置和编辑密码(云)身份验证。

为密码(云)身份验证配置的文本框取决于您选择的目录类型。以下是用于密码身份验证的目录类型列表。
  • 具有固定主机和端口的 Active Directory
  • 具有 DNS 查找功能的 Active Directory
  • “全局目录”目录
  • IWA 目录
  • LDAP 目录

请参阅《Workspace ONE Access 的目录集成》指南,了解目录同步服务如何与您的 Active Directory 集成。

前提条件

  • Workspace ONE Access Connector 上安装了目录同步服务。
  • 在 Workspace ONE Access 控制台的“身份和访问管理”部分中配置了目录。
  • 用户属性已正确映射到 Active Directory。

过程

  1. Workspace ONE Access 控制台的“身份和访问管理”选项卡中,选择管理 > 企业身份验证方法
  2. 单击新建,然后选择密码 (云部署)
  3. 在“目录和主机”屏幕中,选择要通过密码身份验证配置的目录服务主机
  4. 在“配置”页面中,配置密码(云)身份验证方法。
    目录类型 选项 操作
    所有类型 允许的身份验证尝试次数。 输入在对目录使用密码身份验证时的最大失败登录尝试次数。默认为尝试 2 次。
    所有类型 目录类型 选择在连接器服务器中安装目录同步服务时设置的目录类型。

    具有固定主机和端口的 Active Directory 服务器端口 选择用于 Active Directory 的端口:389 或 636(适用于标准 LDAP 查询)。

    对于全局目录查询,输入端口 3268 或 3269。

    具有固定主机和端口的 Active Directory 服务器主机 选择要使用的一个或多个目录同步服务实例。
    所有类型 通信模式 默认情况下选择基本模式。您可以更改通信模式。
    • 如果使用 SSL/TLS 与目录通信,请选择 SSL。
    • 如果使用 DNS 服务位置和 SSL 与目录通信,请选择 STARTTLS。添加证书。
    所有类型 目录证书 如果企业目录需要通过 SSL 访问,请将企业目录服务器的根 CA SSL 证书复制并粘贴到文本框中。确保证书采用 PEM 格式,并包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。
    具有 DNS 查找功能的 Active Directory 使用 DNS 服务位置 选中此框以使用 DNS 服务位置记录来查找 Active Directory 域。

    如果不使用 DNS 服务位置查找,请取消选中该复选框并输入 Active Directory 服务器的主机名和端口。

    • 具有固定主机和端口的 Active Directory
    • 具有 DNS 查找功能的 Active Directory
    • IWA 目录
    • LDAP 目录
    基本 DN 输入从目录中开始搜索的 DN。例如,cn=users,dc=example,dc=com。
    所有类型 绑定 DN/用户名 (IWA) 输入用来搜索用户的用户名。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。
    注: 建议使用具有不过期密码的绑定 DN 用户帐户。
    所有类型 绑定密码 输入绑定 DN 用户密码。
    • 具有固定主机和端口的 Active Directory
    • 具有 DNS 查找功能的 Active Directory
    • IWA 目录
    搜索属性 输入包含用户名的帐户属性。此属性可以是 sAMAcountName、UPN 或 Custom。
    • LDAP 目录
    用户的自定义目录搜索属性 在“搜索属性”文本框中输入 Custom 时,请输入要用于查询 LDAP 目录以获取用户和组名称的自定义搜索属性。例如,UID
    • 具有固定主机和端口的 Active Directory
    • 具有 DNS 查找功能的 Active Directory
    • IWA 目录
    用于获取 AD 用户的筛选器查询 输入用于查询企业目录的搜索筛选器。
    • 用于获取组的组搜索筛选器。例如,(objectClass=groupOfNames)。
    • 用于获取要同步的用户的用户搜索筛选器。例如,(&(objectClass=user) (objectCategory=person))
    • 具有固定主机和端口的 Active Directory
    • 具有 DNS 查找功能的 Active Directory
    • IWA 目录
    • “全局目录”目录
    SAML 名称 ID 格式 输入用于在身份验证后标识用户的 nameIdFormat 值。默认情况下,值为目录搜索 UID 属性。
    所有类型 更改密码功能已启用 启用此功能将允许用户从 Workspace ONE Access 登录页面重置其 Active Directory 密码。
    所有类型 在登录页面中显示域 启用此选项将在用户登录时作为一个选项显示“系统域”。如果禁用此选项且仅有一个域可用,则不会显示“域选择”页面。
  5. 单击下一步以查看配置,然后单击保存

结果

后续步骤

将密码(云部署)作为身份验证方法添加到内置身份提供程序。

将该身份验证方法添加到默认访问策略。转到“身份和访问管理”>“管理”>“策略”页面,然后编辑默认策略规则以将密码身份验证方法添加到规则中。请参阅在 Workspace ONE Access 中管理对用户应用的访问策略