Workspace ONE Access 控制台中,输入连接到 Active Directory 所需的信息,然后选择要同步到 Workspace ONE Access 目录的用户和组。

Active Directory 连接选项为“通过 LDAP 访问的 Active Directory”或“Active Directory (集成 Windows 身份验证)”。通过 LDAP 访问的 Active Directory 连接支持 DNS 服务位置查找。

前提条件

  • 安装目录同步服务,该服务作为 Workspace ONE Access Connector 20.01.0.0 或更高版本的组件提供。有关信息,请参阅《安装 VMware Workspace ONE Access Connector 20.01》

    如果要使用用户身份验证服务对目录的用户进行身份验证,则还需安装用户身份验证服务组件。

  • Workspace ONE Access 控制台中的“用户属性”页面上,选择必需的用户属性,并根据需要添加其他属性。请参阅管理 Workspace ONE Access 中的用户属性
  • 为要从 Active Directory 中同步的 Active Directory 用户和组创建一个列表。组名称将立即同步到目录。在授权组使用资源或将其添加到策略规则后,才会同步组的成员。在初始配置期间,应添加在配置组授权之前需要进行身份验证的用户。
    注: Workspace ONE Access Connector 版本 19.03 和更低版本不支持在组名称或 distinguishedName 属性中使用 / 和 $ 字符。此限制适用于添加到组 DN 的组,以及未直接添加到组 DN 但在启用嵌套组成员资格后将作为父组的一部分进行同步的组。

    如果您打算将组同步到 VMware Identity Manager,并且您使用的是 Connector 版本 19.03 或更低版本,请不要在组名称或 distinguishedName 属性中使用 / 和 $ 字符。

  • 如果要使用“全局目录”选项创建类型为“通过 LDAP 访问的 Active Directory”的目录,则必须确保 Workspace ONE Access 租户中的任何其他目录都不会同步与“全局目录”目录相同的域中的用户。如果发生冲突,可能会导致同步失败。
  • 对于通过 LDAP 访问的 Active Directory,您需要基本 DN,以及绑定用户 DN 和密码。

    绑定用户必须在 Active Directory 中拥有以下权限,才能授予对用户和组对象的访问权限:

    • 读取
    • 读取所有属性
    • 读取权限
    注: 建议使用具有不过期密码的绑定用户帐户。
  • 对于通过集成 Windows 身份验证访问的 Active Directory,您需要使用有权对所需域上的用户和组进行查询的绑定用户的用户名和密码。

    绑定用户必须在 Active Directory 中拥有以下权限,才能授予对用户和组对象的访问权限:

    • 读取
    • 读取所有属性
    • 读取权限
    注: 建议使用具有不过期密码的绑定用户帐户。
  • 如果 Active Directory 要求通过 SSL/TLS 进行访问,则需要所有相关 Active Directory 域的域控制器的中间 CA 证书(如果使用)和根 CA 证书。如果域控制器具有来自多个中间证书颁发机构和根证书颁发机构的证书,则需要所有中间 CA 证书和根 CA 证书。
  • 对于通过集成 Windows 身份验证访问的 Active Directory,如果配置了多林 Active Directory 并且“域本地”组包含来自不同林中的域的成员,请确保将绑定用户添加到“域本地”组所在域的“管理员”组中。如果未执行此操作,“域本地”组中将缺少这些成员。
  • 对于通过集成 Windows 身份验证访问的 Active Directory:
    • 对于 SRV 记录中列出的所有域控制器以及隐藏的 RODC,主机名和 IP 地址的 nslookup 应当可以正常执行。
    • 就网络连接方面而言,所有域控制器都必须可以访问。

过程

  1. Workspace ONE Access 控制台中,导航到身份和访问管理 > 管理 > 目录
  2. 单击添加目录,然后选择添加通过 LDAP/IWA 访问的 Active Directory
  3. 输入 Workspace ONE Access 目录的名称。
  4. 选择要集成的 Active Directory 的类型:通过 LDAP 访问的 Active Directory通过集成 Windows 身份验证访问的 Active Directory
  5. 如果要集成通过 LDAP 访问的 Active Directory,请执行以下步骤,否则,继续执行步骤 6。
    1. 目录同步和身份验证部分中,进行以下选择。
      选项 描述
      目录同步主机 选择一个或多个要用于同步此目录的目录同步服务实例。在租户中注册的所有目录同步服务实例都将列出。您只能选择处于“活动”状态的实例。

      如果选择多个实例,Workspace ONE Access 将使用列表中的第一个选定实例来同步目录。如果第一个实例不可用,则使用下一个选定的实例,依此类推。创建目录后,您可以从目录的“同步设置”页面对列表重新排序。
      身份验证 如果您希望使用用户身份验证服务对此目录的用户进行身份验证,请选择。必须已安装用户身份验证服务。如果选择,则会为目录自动创建密码(云部署)身份验证方法和一个名为 directoryName 的 IDP 且类型为“嵌入式”的身份提供程序。

      如果您不希望使用用户身份验证服务对此目录的用户进行身份验证,请选择。如果您决定稍后使用用户身份验证服务,则可以手动为目录创建密码(云部署)身份验证方法和身份提供程序。在执行此操作时,请通过选择身份和访问管理 > 身份提供程序页中的添加身份提供程序 > 创建内置 IDP,为目录创建一个新的身份提供程序。建议不要使用名为内置的预创建身份提供程序。
      用户身份验证主机 身份验证设置为时,将显示此选项。请选择一个或多个要用于对此目录的用户进行身份验证的用户身份验证服务实例。在租户中注册并处于“活动”状态的所有用户身份验证服务实例都将列出。

      如果选择多个实例,Workspace ONE Access 会将身份验证请求轮流发送到选定的实例。
      目录搜索属性 选择包含用户名的帐户属性。
      外部 ID

      要用作 Workspace ONE Access 目录中用户的唯一标识符的属性。默认值为 objectGUID。

      您可以将“外部 ID”设置为以下任一属性:

      • 任何字符串属性,如 sAMAccountName 或 distinguishedName
      • 二进制属性 objectSid、objectGUID 或 mS-DS-ConsistencyGuid

      “外部 ID”设置仅适用于 Workspace ONE Access 中的用户。对于组,“外部 ID”将始终设为 objectGUID,且不能更改。

      重要事项: 所有用户都必须为该属性定义一个唯一的非空值。该值在 Workspace ONE Access 租户中必须是唯一的。如果有任何用户没有定义该属性的值,则将不会同步目录。

      设置“外部 ID”时,请牢记以下注意事项:

      • 如果要将 Workspace ONE Access 与 Workspace ONE UEM 集成,请确保在这两个产品中将“外部 ID”设置为同一个属性。
      • 您可以在创建目录后更改“外部 ID”。但是,最佳做法是先设置“外部 ID”,然后再将用户同步到 Workspace ONE Access。如果更改“外部 ID”,将重新创建用户。因此,所有用户都将被注销,且必须重新登录。此外,您还必须重新配置 Web 应用程序和 ThinApp 的用户授权。将先删除对 Horizon、Horizon Cloud 和 Citrix 的授权,然后在下一次同步授权时重新创建这些授权。
      • “外部 ID”选项在 Workspace ONE Access Connector 20.10 和 19.03.0.1 中提供。与 Workspace ONE Access 服务关联的所有连接器必须为版本 20.10 或 19.03.0.1。如果将其他版本的连接器与该服务相关联,则不会显示“外部 ID”选项。
    2. 如果您希望对 Active Directory 使用 DNS 服务位置查找,请进行以下选择。
      • 服务器位置部分中,选中此目录支持 DNS 服务位置复选框。

        Workspace ONE Access 会查找并使用最佳的域控制器。如果您不希望使用优化的域控制器选择,请按照步骤 c. 进行操作。

      • 如果 Active Directory 要求通过 SSL/TLS 进行访问,请选中证书部分中的此目录要求所有连接都使用 STARTTLS 复选框,然后复制域控制器的中间 CA 证书(如果使用)和根 CA 证书,并将其粘贴到 SSL 证书文本框中。

        先输入中间 CA 证书,然后再输入根 CA 证书。确保每个证书都采用 PEM 格式,并包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。

        如果域控制器具有来自多个中间证书颁发机构和根证书颁发机构的证书,请依次输入所有中间-根 CA 证书链。

        例如:

        -----BEGIN CERTIFICATE-----
...
<Intermediate Certificate 1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<Root Certificate 1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<Intermediate Certificate 2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<Root Certificate 2>
...
-----END CERTIFICATE-----
        注: 如果 Active Directory 要求通过 SSL/TLS 进行访问,但您没有提供证书,则无法创建目录。
    3. 如果您不希望对 Active Directory 使用 DNS 服务位置查找,请进行以下选择。
      • 服务器位置部分中,确认未选中此目录支持 DNS 服务位置复选框,并输入 Active Directory 服务器主机名和端口号。

        要将目录配置为全局目录,请参阅#GUID-0D2293FD-7634-40DD-A7ED-8F72401A3939中的“多域、单林 Active Directory 环境”部分。

      • 如果 Active Directory 要求通过 SSL/TLS 进行访问,请选中证书部分中的此目录要求所有连接都使用 SSL 复选框,然后复制域控制器的中间 CA 证书(如果使用)和根 CA 证书,并将其粘贴到 SSL 证书字段中。

        先输入中间 CA 证书,然后再输入根 CA 证书。确保证书采用 PEM 格式,并包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。

        注: 如果 Active Directory 要求通过 SSL/TLS 进行访问,但您没有提供证书,则无法创建目录。
    4. 绑定用户详细信息部分中,输入以下信息。
      选项 描述
      基本 DN 输入要从其中开始帐户搜索的 DN。例如 OU=myUnit,DC=myCorp,DC=com。
      注: 基本 DN 将用于进行身份验证。只有基本 DN 下的用户才能进行身份验证。确保稍后指定的要进行同步的组 DN 和用户 DN 都位于此基本 DN 下。
      绑定用户 DN 输入可搜索用户的帐户。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。
      注: 建议使用具有不过期密码的绑定用户帐户。
      绑定用户密码 绑定用户密码。
  6. 如果要集成通过集成 Windows 身份验证访问的 Active Directory,请执行以下步骤。
    1. 目录同步和身份验证部分中,进行以下选择。
      选项 描述
      目录同步主机 选择一个或多个要用于同步此目录的目录同步服务实例。在租户中注册并处于“活动”状态的所有目录同步服务实例都将列出。

      如果选择多个实例,Workspace ONE Access 将使用列表中的第一个选定实例来同步目录。如果第一个实例不可用,则使用下一个选定的实例,依此类推。创建目录后,您可以从目录的“同步设置”页面对列表重新排序。
      身份验证 如果您希望使用用户身份验证服务对此目录的用户进行身份验证,请选择。必须已安装用户身份验证服务。如果选择,则会为目录自动创建密码(云部署)身份验证方法和一个名为 directory 的 IDP 且类型为“嵌入式”的身份提供程序。

      如果您不希望使用用户身份验证服务对此目录的用户进行身份验证,请选择。如果您稍后改变主意,则可以手动为目录创建密码(云部署)身份验证方法和身份提供程序。在执行此操作时,请通过选择身份和访问管理 > 身份提供程序页中的添加身份提供程序 > 创建内置 IDP,为目录创建一个新的身份提供程序。建议不要使用名为内置的预创建身份提供程序。
      用户身份验证主机 身份验证设置为时,将显示此选项。请选择一个或多个要用于对此目录的用户进行身份验证的用户身份验证服务实例。在租户中注册并处于“活动”状态的所有用户身份验证服务实例都将列出。

      如果选择多个实例,Workspace ONE Access 会将身份验证请求轮流发送到选定的实例。
      目录搜索属性 选择包含用户名的帐户属性。
      外部 ID

      要用作 Workspace ONE Access 目录中用户的唯一标识符的属性。默认值为 objectGUID。

      您可以将“外部 ID”设置为以下任一属性:

      • 任何字符串属性,如 sAMAccountName 或 distinguishedName
      • 二进制属性 objectSid、objectGUID 或 mS-DS-ConsistencyGuid

      “外部 ID”设置仅适用于 Workspace ONE Access 中的用户。对于组,“外部 ID”将始终设为 objectGUID,且不能更改。

      重要事项: 所有用户都必须为该属性定义一个唯一值。该值在 Workspace ONE Access 租户中必须是唯一的。

      设置“外部 ID”时,请牢记以下注意事项:

      • 如果要将 Workspace ONE Access 与 Workspace ONE UEM 集成,请确保在这两个产品中将“外部 ID”设置为同一个属性。
      • 您可以在创建目录后更改“外部 ID”。但是,最佳做法是先设置“外部 ID”,然后再将用户同步到 Workspace ONE Access。如果更改“外部 ID”,将重新创建用户。因此,所有用户都将被注销,且必须重新登录。此外,您还必须重新配置 Web 应用程序和 ThinApp 的用户授权。将先删除对 Horizon、Horizon Cloud 和 Citrix 的授权,然后在下一次同步授权时重新创建这些授权。
      • “外部 ID”选项在 Workspace ONE Access Connector 20.10 和 19.03.0.1 中提供。与 Workspace ONE Access 服务关联的所有连接器必须为版本 20.10 或 19.03.0.1。如果将其他版本的连接器与该服务相关联,则不会显示“外部 ID”选项。
    2. 如果 Active Directory 要求通过 SSL/TLS 进行访问,请选中证书部分中的此目录要求所有连接都使用 STARTTLS 复选框,然后复制域控制器的中间 CA 证书(如果使用)和根 CA 证书,并将其粘贴到 SSL 证书文本框中。

      先输入中间 CA 证书,然后再输入根 CA 证书。确保每个证书都采用 PEM 格式,并包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。

      如果域控制器具有来自多个中间证书颁发机构和根证书颁发机构的证书,请依次输入所有中间-根 CA 证书链。

      例如:

      -----BEGIN CERTIFICATE-----
...
<Intermediate Certificate 1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<Root Certificate 1>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<Intermediate Certificate 2>
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
<Root Certificate 2>
...
-----END CERTIFICATE-----
      注: 如果 Active Directory 要求通过 SSL/TLS 进行访问,但您没有提供证书,则无法创建目录。
    3. 绑定用户详细信息部分中,输入有权查询所需域的用户和组的绑定用户的用户名和密码。以 sAMAccountName@domain 格式输入用户名,其中 domain 是完全限定域名。例如,jdoe@example.com。
      注: 建议使用具有不过期密码的绑定用户帐户。
  7. 单击保存并执行下一步
  8. 在“选择域”页面中,选择域(如果适用),然后单击下一步
    • 对于“通过 LDAP 访问的 Active Directory”,域已列出并已选定。
    • 对于“通过集成 Windows 身份验证访问的 Active Directory”,请选择应与此 Active Directory 连接关联的域。与基本域具有双向信任关系的所有域都将列出。

      如果在创建 Workspace ONE Access 目录后将与基本域具有双向信任关系的域添加到 Active Directory,则可以从目录的“同步设置”>“域”页面中单击“刷新”以获取最新列表来添加这些域。

      提示: 逐个选择受信任的域,而不是一次选择所有域。这可确保域保存操作不会长时间运行,否则,该操作可能会超时。按顺序选择域可确保目录同步服务只花时间尝试解析单个域。
    • 如果在选定全局目录选项的情况下创建通过 LDAP 访问的 Active Directory 目录,则不会显示“域”选项卡。
  9. 在“映射用户属性”页面中,验证 Workspace ONE Access 目录属性名称是否已映射到正确的 Active Directory 属性,并根据需要进行更改,然后单击下一步
  10. 选择您要从 Active Directory 同步到 Workspace ONE Access 目录的组。
    添加组时,请牢记以下注意事项。
    • 最佳做法是,在创建目录时添加并同步少数几个组。初始设置完成后,您可以添加更多组。
    • 添加并同步组后,组名称将同步到目录。在授权组使用应用程序或将组名称添加到访问策略规则后,才会将作为组成员的用户同步到目录。
      注: 您可以通过启用 身份和访问管理 > 设置 > 首选项页面中的 添加组时将组成员同步到目录选项来覆盖此限制。
    • 在同步组时,不会同步没有将“域用户”作为 Active Directory 中的主要组的任何用户。
    要选择组,您需要指定一个或多个组 DN,然后选择这些组 DN 下的组。
    1. 指定组 DN 行中,单击 +,然后指定组 DN。例如,CN=users,DC=example,DC=company,DC=com。
      提示: 建议不要输入高级别 DN(如基本 DN)作为搜索范围,因为此类搜索将需要很长时间。请尝试输入一个更具体的 DN 作为搜索范围。
      重要事项: 指定在“添加目录”页面的 基本 DN 文本框中输入的基本 DN 下的组 DN。如果组 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。
    2. 如果要选择组 DN 下的所有组,请单击全选
      如果创建目录后在 Active Directory 的组 DN 中添加或删除组,则所做的更改会在后续同步中反映出来。
    3. 如果要在组 DN 下选择特定组,而不是选择所有组,请单击选择,进行选择,然后单击保存
      单击 选择后,将列出在 DN 中找到的所有组。您可以通过在搜索框中输入搜索词来缩小结果范围,或者搜索特定组。
    4. 根据需要选择或取消选择同步嵌套的组成员选项。
      默认情况下, 同步嵌套的组成员选项处于启用状态。如果启用该选项,在为组授权时,将会同步直接属于选定组的所有用户以及属于该组中的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在 Workspace ONE Access 目录中,这些用户将为您选择进行同步的父组的成员。

      如果禁用同步嵌套的组成员选项,则在指定要同步的组时,将会同步直属于该组的所有用户。属于该组下的嵌套组的用户则不会被同步。在大型 Active Directory 配置中,遍历组树会耗用大量资源和时间,对于这类配置,禁用此选项会非常有用。如果禁用此选项,请确保选择所有要同步用户的组。

  11. 单击下一步
  12. 选择要同步的用户。
    添加用户时,请牢记以下注意事项:
    • 由于在授权组使用应用程序或将组添加到访问策略规则后才会将组中的成员同步到目录,因此,请添加在配置组授权之前需要进行身份验证的所有用户。
    • 默认情况下,在“绑定详细信息”部分中指定的绑定用户不会同步到 Workspace ONE Access 服务。如果要同步绑定用户,请在此选项卡中输入用户 DN。同步目录后,您可以根据需要为绑定用户设置角色。
    1. 指定用户 DN 行中,单击 +,然后输入用户 DN。例如:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      重要事项: 指定在“添加目录”页面的 基本 DN 文本框中输入的基本 DN 下的用户 DN。如果用户 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。
    2. 如有需要,请指定筛选器,以在 DN 中包含或从中排除用户。
      有关信息,请参阅 在 Workspace ONE Access 中指定目录同步筛选器
  13. 单击下一步
  14. 在“同步频率”页面中,设置定期同步用户和组的同步计划,或者如果不希望设置计划,可在同步频率下拉列表中选择手动
    时间将以 UTC 形式设置。
    提示: 计划的同步间隔时间应长于同步所需时间。如果在计划进行下一次同步时,用户和组正在同步到目录,则新同步会在之前的同步结束后立即启动。
    如果选择 手动,则每当您希望同步目录时,都必须单击目录页面上的 同步按钮。
  15. 单击保存以创建目录,或单击同步目录以创建目录并开始对其同步。

结果

此时会建立与 Active Directory 的连接。如果单击同步目录,Active Directory 中的用户和组名称将同步到 Workspace ONE Access 目录。

有关如何同步组的详细信息,请参阅《VMware Workspace ONE Access 管理》中的“管理用户和组”。

后续步骤

  • 如果将“身份验证”选项设置为“是”,则会为目录自动创建一个名为 directoryname 的 IDP 的身份提供程序,以及密码(云部署)身份验证方法。您可以在身份和访问管理 > 管理 > 身份提供程序页面和企业身份验证方法页面上查看这些内容。您还可以从企业身份验证方法选项卡中为目录创建更多身份验证方法。有关创建身份验证方法的信息,请参阅《<AuthGuide>》指南。
  • 查看身份和访问管理 > 管理 > 策略页面上的默认访问策略。
  • 查看默认同步安全措施设置,并根据需要进行更改。有关信息,请参阅设置目录同步安全措施