您可以将 Workspace ONE Access 与 Active Directory 部署相集成,以便将用户和组从 Active Directory 同步到 Workspace ONE Access 服务。您拥有的 Active Directory 环境类型决定了在 Workspace ONE Access 服务中创建的目录类型。
Active Directory 环境
您可以将 Workspace ONE Access 服务与 Active Directory 环境相集成,该环境可以包含单个 Active Directory 域、单个 Active Directory 林中的多个域或跨多个 Active Directory 林的多个域。
单个 Active Directory 域环境
对于单个 Active Directory 域部署,您可以同步单个 Active Directory 域中的用户和组。
对于此环境,可在 Workspace ONE Access 服务中创建类型为“通过 LDAP 访问的 Active Directory”或“通过集成 Windows 身份验证访问的 Active Directory”的目录。
有关详细信息,请参阅:
多域、单林 Active Directory 环境
在多域单林 Active Directory 部署中,您可以同步单个林内的多个 Active Directory 域中的用户和组。
- 建议的选项是创建一个通过集成 Windows 身份验证访问的 Active Directory 目录。
在为此环境添加目录时,请选择“通过集成 Windows 身份验证访问的 Active Directory”选项。确保在目录中的域和目录绑定用户所属的域之间建立直接(非传递)双向信任。
有关详细信息,请参阅:
- 如果您的 Active Directory 环境中无法使用集成 Windows 身份验证,可创建通过 LDAP 访问的 Active Directory 目录并选择全局目录选项。
选择全局目录选项具有以下几条限制:
- 复制到全局目录中的 Active Directory 对象属性在 Active Directory 架构中被标识为局部属性集 (PAS)。服务仅可使用这些属性进行属性映射。如有必要,可编辑架构以添加或移除在全局目录中存储的属性。
- 全局目录可存储唯一通用组的组成员身份(成员属性)。只有通用组会同步到服务。如有必要,可将组的范围从本地域或全局域更改为通用域。
- 在服务中配置目录时定义的绑定 DN 帐户必须有权读取 Token-Groups-Global-And-Universal (TGGAU) 属性。
- 用户可以直接或通过组成员资格从多个 Active Directory 域同步到 Workspace ONE Access“全局目录”目录。您必须确保 Workspace ONE Access 租户中的任何其他目录都不会同步同一域中的用户,否则,冲突可能会导致同步失败。
- 如果将 Workspace ONE UEM 与 Workspace ONE Access 相集成并且配置了多个 Workspace ONE UEM 组织组,则无法使用 Active Directory 全局目录选项。
Active Directory 使用端口 389 和 636 进行标准 LDAP 查询。对于全局目录查询,则使用端口 3268 和 3269。
有信任关系的多林 Active Directory 环境
在具有信任关系的多林 Active Directory 部署中,您可以在林之间同步多个 Active Directory 域(在域之间具有双向信任关系)中的用户和组。对于此 Active Directory 环境,可在 Workspace ONE Access 服务中创建一个通过集成 Windows 身份验证访问的 Active Directory 目录。
在为此环境添加目录时,请选择“通过集成 Windows 身份验证访问的 Active Directory”选项。确保在目录中的域和目录绑定用户所属的域之间建立直接(非传递)双向信任。
有关详细信息,请参阅:
无信任关系的多林 Active Directory 环境
在没有信任关系的多林 Active Directory 部署中,您可以在林之间同步多个 Active Directory 域(在域之间没有信任关系)中的用户和组。对于此环境,可在 Workspace ONE Access 服务中创建多个目录,每个林使用一个目录。
有关详细信息,请参阅:
