您可以将企业 LDAP 目录与 VMware Workspace ONE Access 相集成,以便将用户和组从 LDAP 目录同步到 VMware Workspace ONE Access 服务。

要集成 LDAP 目录,您需要创建对应的 VMware Workspace ONE Access 目录,并将 LDAP 目录中的用户和组同步到 VMware Workspace ONE Access 目录。您可以设置定期同步计划以进行后续更新。

您也可以选择要为用户同步的 LDAP 属性,然后将这些属性映射到 VMware Workspace ONE Access 属性。

您的 LDAP 目录配置可以基于默认架构,也可以基于自定义架构。它还可以具有自定义属性。为了让 VMware Workspace ONE Access 能够查询您的 LDAP 目录,从而获取用户或组对象,您需要提供适用于 LDAP 目录的 LDAP 搜索筛选器和属性名称。

具体来说,您需要提供以下信息。

  • 用于获取组、用户和绑定用户的 LDAP 搜索筛选器
  • 用于组成员资格、外部 ID 和标识名的 LDAP 属性名称或等效属性

LDAP 目录集成功能具有一些限制。请参阅 LDAP 目录集成的限制

前提条件

  • 安装目录同步服务,从版本 20.01.0.0 开始,该服务将作为 Workspace ONE Access Connector 的组件提供。请参阅最新版本的《安装 VMware Workspace ONE Access Connector》以了解相关信息。

    如果要使用用户身份验证服务对目录的用户进行身份验证,则还需安装用户身份验证服务组件。

  • 查看身份和访问管理 > 设置 > 用户属性页面中的属性,并添加其他要同步的属性。在创建目录时,您会将 VMware Workspace ONE Access 属性映射到 LDAP 目录属性。系统将为目录中的用户同步这些属性。
    注: 更改用户属性时,请考虑此操作对 Workspace ONE Access 服务中的其他目录的影响。如果打算同时添加 Active Directory 和 LDAP 目录,请确保不要将任何属性标记为“必需”,但 userName 除外,此属性可以标记为“必需”。“用户属性”页面中的设置适用于服务中的所有目录。如果将某个属性标记为“必需”,则不具备该属性的用户将不会被同步到 VMware Workspace ONE Access 服务。
  • 绑定 DN 用户帐户。建议使用具有不过期密码的绑定 DN 用户帐户。
  • 在您的 LDAP 目录中,用户和组的 UUID 必须为纯文本格式。
  • 在您的 LDAP 目录中,所有用户和组都必须存在 domain 属性。

    在创建 VMware Workspace ONE Access 目录时,您会将此属性映射到 VMware Workspace ONE Access domain 属性。

  • 用户名不得包含空格。如果用户名包含空格,虽然可以同步用户,但用户无法获得授权。
  • 如果使用证书身份验证,则用户必须具有 userPrincipalName 和电子邮件地址属性值。

过程

  1. Workspace ONE Access 控制台中,转到身份和访问管理 > 管理 > 目录页面。
  2. 单击添加目录,然后选择 LDAP 目录
  3. 在“添加目录”页面中输入必需的信息。
    选项 描述
    目录名称 输入 VMware Workspace ONE Access 目录的名称。
    目录同步和身份验证
    1. 对于目录同步主机,选择一个或多个要用于同步此目录的目录同步服务实例。在租户中注册的所有目录同步服务实例都将列出。您只能选择处于“活动”状态的实例。

      如果选择多个实例,Workspace ONE Access 将使用列表中的第一个选定实例来同步目录。如果第一个实例不可用,则使用下一个选定的实例,依此类推。创建目录后,您可以从目录的“同步设置”页面对列表重新排序。

    2. 对于身份验证,如果您希望使用用户身份验证服务对此目录的用户进行身份验证,请选择。必须已安装用户身份验证服务。如果选择,则会为目录自动创建密码(云部署)身份验证方法和一个名为 directoryName 的 IDP 且类型为“嵌入式”的身份提供程序。

      如果您不希望使用用户身份验证服务对此目录的用户进行身份验证,请选择。如果您决定稍后使用用户身份验证服务,则可以手动为目录创建密码(云部署)身份验证方法和身份提供程序。在执行此操作时,请通过选择身份和访问管理 > 身份提供程序页中的添加身份提供程序 > 创建内置 IDP,为目录创建一个新的身份提供程序。建议不要使用名为内置的预创建身份提供程序。

    3. 身份验证设置为时,将显示用户身份验证主机选项。请选择一个或多个要用于对此目录的用户进行身份验证的用户身份验证服务实例。在租户中注册并处于“活动”状态的所有用户身份验证服务实例都将列出。

      如果选择多个实例,Workspace ONE Access 会将身份验证请求轮流发送到选定的实例。

    4. 用户名文本框中,选择用于用户名的 LDAP 目录属性。如果未列出属性,请选择自定义,然后键入用于用户和组的自定义属性名称。例如,cn
    服务器位置 输入 LDAP 目录服务器主机和端口号。对于服务器主机,您可以指定完全限定域名或 IP 地址。例如,myLDAPserver.example.com100.00.00.0

    如果您的服务器集群位于负载均衡器后面,请改为输入负载均衡器信息。

    LDAP 配置 指定 VMware Workspace ONE Access 可用于查询 LDAP 目录的 LDAP 搜索筛选器和属性。系统会根据核心 LDAP 架构提供默认值。

    筛选器查询

    • :用于获取组对象的搜索筛选器。

      例如:(objectClass=groupOfNames)

    • 绑定用户:用于获取绑定用户对象(即,可以绑定到目录的用户)的搜索筛选器。

      例如:(objectClass=person)

    • 用户:用于获取要同步的用户的搜索筛选器。

      例如:(&(objectClass=user)(objectCategory=person))

    属性

    • 成员资格:用于在 LDAP 目录中定义组成员的属性。

      例如:member

    • 外部 ID:要用作 Workspace ONE Access 目录中用户和组的唯一标识符的属性。默认值为 entryUUID。
      重要事项: 所有用户都必须为该属性定义一个唯一的非空值。该值在 Workspace ONE Access 租户中必须是唯一的。如果有任何用户没有定义该属性的值,则将不会同步目录。

      设置“外部 ID”时,请牢记以下注意事项:

      • 如果要将 Workspace ONE Access 与 Workspace ONE UEM 集成,请确保在这两个产品中将“外部 ID”设置为同一个属性。
      • 您可以在创建目录后更改“外部 ID”。但是,最佳做法是先设置“外部 ID”,然后再将用户同步到 Workspace ONE Access。如果更改“外部 ID”,将重新创建用户。因此,所有用户都将被注销,且必须重新登录。此外,您还必须重新配置 Web 应用程序和 ThinApp 的用户授权。将先删除对 Horizon、Horizon Cloud 和 Citrix 的授权,然后在下一次同步授权时重新创建这些授权。
      • “外部 ID”选项在 Workspace ONE Access Connector 20.10 和 19.03.0.1 中提供。与 Workspace ONE Access 服务关联的所有连接器必须为版本 20.10 或 19.03.0.1。如果将其他版本的连接器与该服务相关联,则不会显示“外部 ID”选项。
    • 标识名:(可选)用于在 LDAP 目录中定义用户或组的标识名的属性。

      例如:dn

      默认情况下,标识名属性用于唯一地标识用户和组对象。如果 LDAP 架构没有标识名属性,请选择启用高级 LDAP 配置选项,然后输入用于标识组和用户的值。

    • 启用高级 LDAP 配置:选中该复选框以查看高级 LDAP 配置选项。如果 LDAP 架构没有标识名属性或使用 posixGroups,请使用高级配置。
      • 组筛选器:用于查询和确定组的值。如果 LDAP 架构没有标识名属性,则该值是必需的。

        例如:cn

      • 用户筛选器:用于查询和确定用户的值。如果 LDAP 架构没有标识名属性,则该值是必需的。

        例如:uid

      • 用户成员资格映射筛选器:(可选)使用 posixGroups 的 LDAP 目录通常需要使用该选项。用户成员资格映射筛选器用于查询和确定成员资格属性返回的用户。

        例如:uidNumber

    加密 如果您的 LDAP 目录要求通过 SSL 进行访问,请选中所有连接均需要 LDAPS 复选框,然后复制 LDAP 目录服务器的根 CA SSL 证书并将其粘贴到文本框中。请确保证书采用的是 PEM 格式,并且包含“BEGIN CERTIFICATE”和“END CERTIFICATE”行。
    绑定用户详细信息 基本 DN:输入从中开始搜索的 DN。例如,cn=users,dc=example,dc=com
    绑定用户 DN:输入用于绑定到 LDAP 目录的用户名。
    注: 建议使用具有不过期密码的绑定 DN 用户帐户。

    绑定用户密码:输入绑定 DN 用户的密码。

  4. 单击保存并配置
  5. 在“域”页面中,验证是否列出了正确的域,然后单击下一步
  6. 在“映射属性”页面中,验证 VMware Workspace ONE Access 属性是否映射到正确的 LDAP 目录属性,并根据需要进行更改。

    系统将为用户同步这些属性。

    重要事项: 您必须指定 domain 属性的映射。

    您可以从设置 > 用户属性页面中添加属性并管理必需属性的列表。

    重要事项: 如果将属性标记为“必需”,则必须为要同步的所有用户设置其值。不会同步缺少必需属性值的用户记录。
  7. 单击下一步
  8. 选择您要从 LDAP 目录同步到 Workspace ONE Access 目录的组。
    添加组时,请牢记以下注意事项。
    • 最佳做法是,在创建目录时添加并同步少数几个组。初始设置完成后,您可以添加更多组。
    • 添加并同步组后,组名称将同步到目录。在授权组使用应用程序或将组名称添加到访问策略规则后,才会将作为组成员的用户同步到目录。
      注: 您可以通过启用 身份和访问管理 > 设置 > 首选项页面中的 添加组时将组成员同步到目录选项来覆盖此限制。
    • 如果您的 LDAP 目录中有多个同名的组,则必须在组页面中为这些组指定唯一的名称。
    要选择组,您需要指定一个或多个组 DN,然后选择这些组 DN 下的组。
    1. 指定顶级组行中,单击 +,然后指定组 DN。例如,CN=users,DC=example,DC=company,DC=com。
      提示: 建议不要输入高级别 DN(如基本 DN)作为搜索范围,因为此类搜索将需要很长时间。请尝试输入一个更具体的 DN 作为搜索范围。
      重要事项: 指定在“添加目录”页面的 基本 DN 文本框中输入的基本 DN 下的组 DN。如果组 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。
    2. 如果要选择添加的组 DN 下的所有组,请单击全选复选框。
      如果创建目录后在 Active Directory 的组 DN 中添加或删除组,则所做的更改会在后续同步中反映出来。
    3. 如果要选择组 DN 下的特定组,而不是选择所有组,请单击选择组,进行选择,然后单击保存
      单击 选择组后,将列出在 DN 中找到的所有组。您可以通过在搜索框中输入搜索词来缩小结果范围,或者搜索特定组。
    4. 根据需要选择或取消选择同步嵌套的组成员选项。
      默认情况下, 同步嵌套的组成员选项处于启用状态。如果启用该选项,在为组授权时,将会同步直接属于选定组的所有用户以及属于该组中的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在 Workspace ONE Access 目录中,这些用户将为您选择进行同步的父组的成员。

      如果禁用同步嵌套的组成员选项,则在指定要同步的组时,将会同步直属于该组的所有用户。属于该组下的嵌套组的用户则不会被同步。在大型目录配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。

  9. 单击下一步
  10. 选择要同步的用户。
    添加用户时,请牢记以下注意事项:
    • 由于在授权组使用应用程序或将组添加到访问策略规则后才会将组中的成员同步到目录,因此,请添加在配置组授权之前需要进行身份验证的所有用户。
    • 默认情况下,在“绑定详细信息”部分中指定的绑定用户不会同步到 Workspace ONE Access 服务。如果要同步绑定用户,请在此选项卡中输入用户 DN。
    1. 指定用户 DN 行中,单击 +,然后输入用户 DN。例如:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      重要事项: 指定在“添加目录”页面的 基本 DN 文本框中输入的基本 DN 下的用户 DN。如果用户 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。

      要检查用户 DN 是否有效,以及要查看将要同步的用户数,请单击该行的测试按钮。

    2. 如有需要,请指定筛选器,以在 DN 中包含或从中排除用户。
  11. 在“同步频率”页面中,设置定期同步用户和组的同步计划,或者如果不希望设置计划,可在同步频率下拉列表中选择手动
    时间将以 UTC 形式设置。
    提示: 计划的同步间隔时间应长于同步所需时间。如果在计划进行下一次同步时,用户和组正在同步到目录,则新同步会在之前的同步结束后立即启动。使用这样的计划时,同步过程是连续的。
    如果选择 手动,则每当您希望同步目录时,都必须单击目录页面上的 同步按钮。
  12. 单击保存以创建目录,或单击同步目录以创建目录并开始对其同步。

结果

此时会建立与 LDAP 目录的连接。如果单击同步目录,LDAP 目录中的用户和组名称将同步到 Workspace ONE Access 目录。

有关如何同步组的详细信息,请参阅《VMware Workspace ONE Access 管理》中的“管理用户和组”。

后续步骤

  • 如果将“身份验证”选项设置为“是”,则会为目录自动创建一个名为 directoryname 的 IDP 的身份提供程序,以及密码(云部署)身份验证方法。您可以在身份和访问管理 > 管理 > 身份提供程序页面和企业身份验证方法页面上查看这些内容。您还可以从企业身份验证方法选项卡中为目录创建更多身份验证方法。有关创建身份验证方法的更多信息,请参阅在 Workspace ONE Access 中管理用户身份验证方法
  • 查看身份和访问管理 > 管理 > 策略页面上的默认访问策略。
  • 查看默认同步安全措施设置,并根据需要进行更改。有关信息,请参阅在 Workspace ONE Access 中设置目录同步安全措施