在使用企业目录配置目录同步服务后,您可以在 Workspace ONE Access 控制台的“连接器身份验证方法”页面中配置和编辑密码(云)身份验证。

为密码(云)身份验证配置的文本框取决于您选择的目录类型。以下是用于密码身份验证的目录类型列表。
  • 具有固定主机和端口的 Active Directory
  • 具有 DNS 查找功能的 Active Directory
  • “全局目录”目录
  • IWA 目录
  • LDAP 目录

要了解目录同步服务如何与企业目录集成,请参阅《Workspace ONE Access 的目录集成》指南。

前提条件

  • 安装在连接器上配置了用户身份验证服务的 Workspace ONE Access Connector。请参阅最新版本的 VMware Workspace ONE Access Connector 安装指南
    • 确保已在 Workspace ONE Connector 版本 21.08 上配置您环境中的所有用户身份验证服务实例。如果混合使用用户身份验证服务的连接器版本 21.08 和 20.x,则无法配置用户身份验证服务的身份验证方法。
  • Workspace ONE Access Connector 上安装了目录同步服务。
  • Workspace ONE Access 控制台的“集成”部分配置了目录。
  • 用户属性已正确映射到企业目录。

过程

  1. Workspace ONE Access 控制台的集成 > 连接器身份验证方法页面中,单击新建,然后选择密码 (云部署)
  2. 选择配置了密码身份验证的目录服务主机
  3. 在“配置”页面中,配置密码(云)身份验证方法设置。
    目录类型 选项 操作
    所有类型 允许的身份验证尝试次数。 输入在对目录使用密码身份验证时的最大失败登录尝试次数。默认为尝试 2 次。
    所有类型 目录类型 选择在连接器服务器中安装目录同步服务时设置的目录类型。

    具有固定主机和端口的 Active Directory 服务器端口 选择用于 Active Directory 的端口:389 或 636(适用于标准 LDAP 查询)。

    对于全局目录查询,输入端口 3268 或 3269。

    具有固定主机和端口的 Active Directory 服务器主机 选择要使用的一个或多个目录同步服务实例。
    所有类型 通信模式 默认情况下选择基本模式。您可以更改通信模式。
    • 如果使用 SSL/TLS 与目录通信,请选择 SSL。
    • 如果使用 DNS 服务位置和 SSL 与目录通信,请选择 STARTTLS。添加证书。
    所有类型 目录证书 如果企业目录需要通过 SSL/TLS 访问,请将企业目录服务器的根 CA SSL 证书复制并粘贴到文本框中。确保证书采用 PEM 格式,并包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。
    具有 DNS 查找功能的 Active Directory 使用 DNS 服务位置 选中此框以使用 DNS 服务位置记录来查找 Active Directory 域。

    如果不使用 DNS 服务位置查找,请取消选中该复选框并输入 Active Directory 服务器的主机名和端口。

    • 具有固定主机和端口的 Active Directory
    • 具有 DNS 查找功能的 Active Directory
    • IWA 目录
    • LDAP 目录
    基本 DN 输入从目录中开始搜索的 DN。例如,cn=users,dc=example,dc=com。
    所有类型 绑定 DN/用户名 (IWA) 输入用来搜索用户的用户名。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。
    注: 建议使用具有不过期密码的绑定 DN 用户帐户。
    所有类型 绑定密码 输入绑定 DN 用户密码。
    • 具有固定主机和端口的 Active Directory
    • 具有 DNS 查找功能的 Active Directory
    • IWA 目录
    搜索属性 输入包含用户名的帐户属性。此属性可以是 sAMAcountName、UPN 或 Custom。
    • LDAP 目录
    用户的自定义目录搜索属性 在“搜索属性”文本框中输入 Custom 时,请输入要用于查询 LDAP 目录以获取用户和组名称的自定义搜索属性。例如,UID
    • 具有固定主机和端口的 Active Directory
    • 具有 DNS 查找功能的 Active Directory
    • IWA 目录
    用于获取 AD 用户的筛选器查询 输入用于查询企业目录的搜索筛选器。
    • 用于获取组的组搜索筛选器。例如,(objectClass=groupOfNames)。
    • 用于获取要同步的用户的用户搜索筛选器。例如,(&(objectClass=user) (objectCategory=person))
    • 具有固定主机和端口的 Active Directory
    • 具有 DNS 查找功能的 Active Directory
    • IWA 目录
    • “全局目录”目录
    SAML 名称 ID 格式 输入用于在身份验证后标识用户的 nameIdFormat 值。默认情况下,值为目录搜索 UID 属性。
    所有类型 更改密码功能已启用 启用此功能将允许用户从 Workspace ONE Access 登录页面重置其 Active Directory 密码。
    所有类型 在登录页面中显示域 启用此选项将在用户登录时作为一个选项显示“系统域”。如果禁用此选项且仅有一个域可用,则不会显示“域选择”页面。
  4. 单击下一步以查看配置,然后单击保存

下一步做什么

在“集成”部分中将密码(云部署)作为身份验证方法添加到内置身份提供程序。

将该身份验证方法添加到默认访问策略。在控制台中,转到资源 > 策略页面,然后编辑默认策略规则以将密码身份验证方法添加到规则中。请参阅在 Workspace ONE Access 服务中管理访问策略