在 Workspace ONE Access 控制台中,输入连接到 Active Directory 所需的信息,然后选择要同步到 Workspace ONE Access 目录的用户和组。Active Directory 连接选项为“通过 LDAP 访问的 Active Directory”或“Active Directory (集成 Windows 身份验证)”。通过 LDAP 访问的 Active Directory 连接支持 DNS 服务位置查找。
前提条件
- 安装目录同步服务,从版本 20.01.0.0 开始,该服务将作为 Workspace ONE Access Connector 的组件提供。请参阅最新版本的《安装 VMware Workspace ONE Access Connector》以了解相关信息。
如果要使用用户身份验证服务对目录的用户进行身份验证,则还需安装用户身份验证服务组件。
- 在 Workspace ONE Access 控制台中的页面上,选择必需的用户属性,并根据需要添加其他属性。请参阅管理 Workspace ONE Access 中的用户属性。请牢记以下注意事项:
- 如果用户属性是必需的,则必须为要同步的所有用户设置其值。不会同步未设置值的用户。
- 属性适用于所有目录。
- 在 Workspace ONE Access 服务中配置一个或多个目录后,无法再将属性标记为“必需”。
- 为要从 Active Directory 中同步的 Active Directory 用户和组创建一个列表。组名称将立即同步到目录。在授权组使用资源或将其添加到策略规则后,才会同步组的成员。在初始配置期间,应添加在配置组授权之前需要进行身份验证的用户。
注:
Workspace ONE Access Connector 版本 19.03 和更低版本不支持在组名称或 distinguishedName 属性中使用 / 和 $ 字符。此限制适用于添加到组 DN 的组,以及未直接添加到组 DN 但在启用嵌套组成员资格后将作为父组的一部分进行同步的组。
如果您打算将组同步到 VMware Identity Manager,并且您使用的是 Connector 版本 19.03 或更低版本,请不要在组名称或 distinguishedName 属性中使用 / 和 $ 字符。
- 如果要使用“全局目录”选项创建类型为“通过 LDAP 访问的 Active Directory”的目录,则必须确保 Workspace ONE Access 租户中的任何其他目录都不会同步与“全局目录”目录相同的域中的用户。如果发生冲突,可能会导致同步失败。
- 对于通过 LDAP 访问的 Active Directory,您需要基本 DN,以及绑定用户 DN 和密码。
绑定用户必须在 Active Directory 中拥有以下权限,才能授予对用户和组对象的访问权限:
注: 建议使用具有不过期密码的绑定用户帐户。
- 对于通过集成 Windows 身份验证访问的 Active Directory,您需要使用有权对所需域上的用户和组进行查询的绑定用户的用户名和密码。
绑定用户必须在 Active Directory 中拥有以下权限,才能授予对用户和组对象的访问权限:
注: 建议使用具有不过期密码的绑定用户帐户。
- 如果 Active Directory 要求通过 SSL/TLS 进行访问,则需要所有相关 Active Directory 域的域控制器的中间 CA 证书(如果使用)和根 CA 证书。如果域控制器具有来自多个中间证书颁发机构和根证书颁发机构的证书,则需要所有中间 CA 证书和根 CA 证书。
注: 对于“通过集成 Windows 身份验证访问的 Active Directory”类型的目录,将自动使用 SASL Kerberos 绑定进行加密。不需要使用证书。
- 对于通过集成 Windows 身份验证访问的 Active Directory,如果配置了多林 Active Directory 并且“域本地”组包含来自不同林中的域的成员,请确保将绑定用户添加到“域本地”组所在域的“管理员”组中。如果未执行此操作,“域本地”组中将缺少这些成员。
- 对于通过集成 Windows 身份验证访问的 Active Directory:
- 对于 SRV 记录中列出的所有域控制器以及隐藏的 RODC,主机名和 IP 地址的 nslookup 应当可以正常执行。
- 就网络连接方面而言,所有域控制器都必须可以访问。
过程
- 在 Workspace ONE Access 控制台中,导航到。
- 单击添加目录,然后选择 Active Directory。
- 输入 Workspace ONE Access 目录的名称。
- 选择要集成的 Active Directory 的类型:通过 LDAP 访问的 Active Directory 或通过集成 Windows 身份验证访问的 Active Directory。
- 如果要集成通过 LDAP 访问的 Active Directory,请执行以下步骤,否则,继续执行步骤 6。
- 在目录同步和身份验证部分中,进行以下选择。
| 选项 |
描述 |
| 目录同步主机 |
选择一个或多个要用于同步此目录的目录同步服务实例。在租户中注册的所有目录同步服务实例都将列出。您只能选择处于“活动”状态的实例。 如果选择多个实例,Workspace ONE Access 将使用列表中的第一个选定实例来同步目录。如果第一个实例不可用,则使用下一个选定的实例,依此类推。创建目录后,您可以从目录的“同步设置”页面对列表重新排序。 |
| 身份验证 |
如果您希望使用用户身份验证服务对此目录的用户进行身份验证,请选择是。必须已安装用户身份验证服务。如果选择是,则会为目录自动创建密码(云部署)身份验证方法和一个名为 directoryName 的 IDP 且类型为“嵌入式”的身份提供程序。 如果您不希望使用用户身份验证服务对此目录的用户进行身份验证,请选择否。如果您决定稍后使用用户身份验证服务,则可以手动为目录创建密码(云部署)身份验证方法和身份提供程序。在执行此操作时,请通过选择页中的,为目录创建一个新的身份提供程序。建议不要使用名为内置的预创建身份提供程序。 |
| 用户身份验证主机 |
当身份验证设置为是时,将显示此选项。请选择一个或多个要用于对此目录的用户进行身份验证的用户身份验证服务实例。在租户中注册并处于“活动”状态的所有用户身份验证服务实例都将列出。 如果选择多个实例,Workspace ONE Access 会将身份验证请求轮流发送到选定的实例。 |
| 用户名 |
选择包含用户名的帐户属性。 |
| 外部 ID |
要用作 Workspace ONE Access 目录中用户的唯一标识符的属性。默认值为 objectGUID。 您可以将“外部 ID”设置为以下任一属性:
- 任何字符串属性,如 sAMAccountName 或 distinguishedName
- 二进制属性 objectSid、objectGUID 或 mS-DS-ConsistencyGuid
“外部 ID”设置仅适用于 Workspace ONE Access 中的用户。对于组,“外部 ID”将始终设为 objectGUID,且不能更改。
重要事项: 所有用户都必须为该属性定义一个唯一的非空值。该值在 Workspace ONE Access 租户中必须是唯一的。如果有任何用户没有定义该属性的值,则将不会同步目录。
设置“外部 ID”时,请牢记以下注意事项:
- 如果要将 Workspace ONE Access 与 Workspace ONE UEM 集成,请确保在这两个产品中将“外部 ID”设置为同一个属性。
- 您可以在创建目录后更改“外部 ID”。但是,最佳做法是先设置“外部 ID”,然后再将用户同步到 Workspace ONE Access。如果更改“外部 ID”,将重新创建用户。因此,所有用户都将被注销,且必须重新登录。此外,您还必须重新配置 Web 应用程序和 ThinApp 的用户授权。将先删除对 Horizon、Horizon Cloud 和 Citrix 的授权,然后在下一次同步授权时重新创建这些授权。
- “外部 ID”选项在 Workspace ONE Access Connector 20.10 和 19.03.0.1 中提供。与 Workspace ONE Access 服务关联的所有连接器必须为版本 20.10 或 19.03.0.1。如果将其他版本的连接器与该服务相关联,则不会显示“外部 ID”选项。
|
- 如果您希望对 Active Directory 使用 DNS 服务位置查找,请进行以下选择。
- 在服务器位置部分中,选中此目录支持 DNS 服务位置复选框。
Workspace ONE Access 会查找并使用最佳的域控制器。如果您不希望使用优化的域控制器选择,请按照步骤 c. 进行操作。
- 如果您的 Active Directory 要求通过 SSL/TLS 进行访问,请选中加密部分的所有连接均需要 STARTTLS 复选框。
注: 如果选择
此目录支持 DNS 服务位置选项,则将使用 STARTTLS 通过端口 389 进行加密。如果取消选择
此目录支持 DNS 服务位置选项,则将使用 LDAPS 通过端口 636 进行加密。
还要将域控制器的中间 CA 证书(如果使用)和根 CA 证书复制并粘贴到 SSL 证书文本框中。首先输入中间 CA 证书,然后输入根 CA 证书。确保每个证书都采用 PEM 格式,并包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。
如果域控制器具有来自多个中间证书颁发机构和根证书颁发机构的证书,请依次输入所有中间-根 CA 证书链。
例如:
-----BEGIN CERTIFICATE-----
...
<Intermediate Certificate 1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<Root Certificate 1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<Intermediate Certificate 2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<Root Certificate 2>
...
-----END CERTIFICATE-----
注: 如果 Active Directory 要求通过 SSL/TLS 进行访问,但您没有提供证书,则无法创建目录。
- 如果您不希望对 Active Directory 使用 DNS 服务位置查找,请进行以下选择。
- 在服务器位置部分中,确认未选中此目录支持 DNS 服务位置复选框,并输入 Active Directory 服务器主机名和端口号。
要将目录配置为全局目录,请参阅将 Active Directory 与 Workspace ONE Access 集成中的“多域、单林 Active Directory 环境”部分。
- 如果您的 Active Directory 要求通过 SSL/TLS 进行访问,请选中加密 部分的所有连接均需要 LDAPS复选框。
注: 如果选择
此目录支持 DNS 服务位置选项,则将使用 STARTTLS 通过端口 389 进行加密。如果取消选择
此目录支持 DNS 服务位置选项,则将使用 LDAPS 通过端口 636 进行加密。
还要将域控制器的中间 CA 证书(如果使用)和根 CA 证书复制并粘贴到 SSL 证书文本框中。首先输入中间 CA 证书,然后输入根 CA 证书。确保证书采用 PEM 格式,并包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。
注: 如果 Active Directory 要求通过 SSL/TLS 进行访问,但您没有提供证书,则无法创建目录。
- 在绑定用户详细信息部分中,输入以下信息。
| 选项 |
描述 |
| 基本 DN |
输入要从其中开始帐户搜索的 DN。例如 OU=myUnit,DC=myCorp,DC=com。
注: 将使用基本 DN 进行身份验证。只有基本 DN 下的用户才能进行身份验证。确保您稍后指定进行同步的组 DN 和用户 DN 均位于此基本 DN 下。
|
| 绑定用户 DN |
输入可搜索用户的帐户。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。
注: 建议使用具有不过期密码的绑定用户帐户。
|
| 绑定用户密码 |
绑定用户密码。 |
- 如果要集成通过集成 Windows 身份验证访问的 Active Directory,请执行以下步骤。
- 在目录同步和身份验证部分中,进行以下选择。
| 选项 |
描述 |
| 目录同步主机 |
选择一个或多个要用于同步此目录的目录同步服务实例。在租户中注册并处于“活动”状态的所有目录同步服务实例都将列出。 如果选择多个实例,Workspace ONE Access 将使用列表中的第一个选定实例来同步目录。如果第一个实例不可用,则使用下一个选定的实例,依此类推。创建目录后,您可以从目录的“同步设置”页面对列表重新排序。 |
| 身份验证 |
如果您希望使用用户身份验证服务对此目录的用户进行身份验证,请选择是。必须已安装用户身份验证服务。如果选择是,则会为目录自动创建密码(云部署)身份验证方法和一个名为 directory 的 IDP 且类型为“嵌入式”的身份提供程序。 如果您不希望使用用户身份验证服务对此目录的用户进行身份验证,请选择否。如果您稍后改变主意,则可以手动为目录创建密码(云部署)身份验证方法和身份提供程序。在执行此操作时,请通过选择页中的,为目录创建一个新的身份提供程序。建议不要使用名为内置的预创建身份提供程序。 |
| 用户身份验证主机 |
当身份验证设置为是时,将显示此选项。请选择一个或多个要用于对此目录的用户进行身份验证的用户身份验证服务实例。在租户中注册并处于“活动”状态的所有用户身份验证服务实例都将列出。 如果选择多个实例,Workspace ONE Access 会将身份验证请求轮流发送到选定的实例。 |
| 用户名 |
选择包含用户名的帐户属性。 |
| 外部 ID |
要用作 Workspace ONE Access 目录中用户的唯一标识符的属性。默认值为 objectGUID。 您可以将“外部 ID”设置为以下任一属性:
- 任何字符串属性,如 sAMAccountName 或 distinguishedName
- 二进制属性 objectSid、objectGUID 或 mS-DS-ConsistencyGuid
“外部 ID”设置仅适用于 Workspace ONE Access 中的用户。对于组,“外部 ID”将始终设为 objectGUID,且不能更改。
重要事项: 所有用户都必须为该属性定义一个唯一值。该值在 Workspace ONE Access 租户中必须是唯一的。
设置“外部 ID”时,请牢记以下注意事项:
- 如果要将 Workspace ONE Access 与 Workspace ONE UEM 集成,请确保在这两个产品中将“外部 ID”设置为同一个属性。
- 您可以在创建目录后更改“外部 ID”。但是,最佳做法是先设置“外部 ID”,然后再将用户同步到 Workspace ONE Access。如果更改“外部 ID”,将重新创建用户。因此,所有用户都将被注销,且必须重新登录。此外,您还必须重新配置 Web 应用程序和 ThinApp 的用户授权。将先删除对 Horizon、Horizon Cloud 和 Citrix 的授权,然后在下一次同步授权时重新创建这些授权。
- “外部 ID”选项在 Workspace ONE Access Connector 20.10 和 19.03.0.1 中提供。与 Workspace ONE Access 服务关联的所有连接器必须为版本 20.10 或 19.03.0.1。如果将其他版本的连接器与该服务相关联,则不会显示“外部 ID”选项。
|
- 不需要在加密部分执行任何操作。“通过集成 Windows 身份验证访问的 Active Directory”类型的目录会自动使用 SASL Kerberos 绑定,而不需要您启用 LDAPS 或 STARTTLS。
- 在绑定用户详细信息部分中,输入有权查询所需域的用户和组的绑定用户的用户名和密码。以 sAMAccountName@domain 格式输入用户名,其中 domain 是完全限定域名。例如,jdoe@example.com。
- 单击保存并执行下一步。
- 在“选择域”页面中,选择域(如果适用),然后单击下一步。
- 在“映射用户属性”页面中,验证 Workspace ONE Access 目录属性名称是否已映射到正确的 Active Directory 属性,并根据需要进行更改,然后单击下一步。
重要事项: 如果将属性标记为“必需”,则必须为要同步的所有用户设置其值。不会同步缺少必需属性值的用户记录。
- 在选择要同步的组页面上,选择要从 Active Directory 同步到 Workspace ONE Access 目录的组。
要选择组,请指定一个或多个组 DN,然后选择这些组 DN 下的组。
- 在指定顶级组行中,单击 +,然后指定顶级组 DN。例如,CN=users,DC=example,DC=company,DC=com。
提示: 建议不要输入高级别 DN(如基本 DN)作为搜索范围,因为此类搜索将需要很长时间。请尝试输入一个更具体的 DN 作为搜索范围。
重要事项: 指定在“添加目录”页面的
基本 DN 文本框中输入的基本 DN 下的组 DN。如果组 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。
- 如果要选择添加的组 DN 下的所有组,请单击全选复选框。
如果创建目录后在 Active Directory 的组 DN 中添加或删除组,则所做的更改会在后续同步中反映出来。
- 如果要选择组 DN 下的特定组,而不是选择所有组,请单击选择组,进行选择,然后单击保存。
单击
选择组后,将列出在 DN 中找到的所有组。您可以通过在搜索框中输入搜索词来缩小结果范围,或者搜索特定组。
- 根据需要选择或取消选择同步嵌套的组成员选项。
默认情况下,
同步嵌套的组成员选项处于启用状态。如果启用该选项,在为组授权时,将会同步直接属于选定组的所有用户以及属于该组中的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在
Workspace ONE Access 目录中,这些用户将为您选择进行同步的父组的成员。
如果禁用同步嵌套的组成员选项,则在指定要同步的组时,将会同步直属于该组的所有用户。属于该组下的嵌套组的用户则不会被同步。在大型 Active Directory 配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。
- 单击下一步。
- 选择要同步的用户。
添加用户时,请牢记以下注意事项:
- 由于在授权组使用应用程序或将组添加到访问策略规则后才会将组中的成员同步到目录,因此,请添加在配置组授权之前需要进行身份验证的所有用户。
- 默认情况下,在“绑定详细信息”部分中指定的绑定用户不会同步到 Workspace ONE Access 服务。如果要同步绑定用户,请在此选项卡中输入用户 DN。同步目录后,您可以根据需要为绑定用户设置角色。
- 在指定用户 DN 行中,单击 +,然后输入用户 DN。例如:
CN=username,CN=Users,OU=Sales,DC=example,DC=com
重要事项: 指定在“添加目录”页面的
基本 DN 文本框中输入的基本 DN 下的用户 DN。如果用户 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。
要检查用户 DN 是否有效,以及要查看将要同步的用户数,请单击该行的测试按钮。
- 如有需要,请指定筛选器,以在 DN 中包含或从中排除用户。
- 单击下一步。
- 在“同步频率”页面中,设置定期同步用户和组的同步计划,或者如果不希望设置计划,可在同步频率下拉列表中选择手动。
时间将以 UTC 形式设置。
提示: 计划的同步间隔时间应长于同步所需时间。如果在计划进行下一次同步时,用户和组正在同步到目录,则新同步会在之前的同步结束后立即启动。
如果选择
手动,则每当您希望同步目录时,都必须单击目录页面上的
同步按钮。
- 单击保存以创建目录,或单击同步目录以创建目录并开始对其同步。
结果
此时会建立与 Active Directory 的连接。如果单击同步目录,Active Directory 中的用户和组名称将同步到 Workspace ONE Access 目录。
有关如何同步组的详细信息,请参阅《VMware Workspace ONE Access 管理》中的“管理用户和组”。
