在 Workspace ONE Access 中配置 Active Directory 连接

在 Workspace ONE Access 控制台中，创建一个目录，输入连接到 Active Directory 所需的信息，然后选择要同步到 Workspace ONE Access 目录的用户和组。Active Directory 连接选项为“通过 LDAP 访问的 Active Directory”或“Active Directory (集成 Windows 身份验证)”。通过 LDAP 访问的 Active Directory 连接支持 DNS 服务位置查找。

前提条件

安装目录同步服务，从版本 20.01.0.0 开始，该服务将作为 Workspace ONE Access Connector 的组件提供。请参阅最新版本的《安装 VMware Workspace ONE Access Connector》以了解相关信息。
如果要使用用户身份验证服务对目录的用户进行身份验证，则还需安装用户身份验证服务组件。
在 Workspace ONE Access 控制台中的设置 > 用户属性页面上，选择必需的用户属性，并根据需要添加自定义属性。请参阅管理 Workspace ONE Access 中的用户属性。请牢记以下注意事项：
- 如果用户属性是必需的，则必须为要同步的所有用户设置其值。不会同步没有该属性值的用户。
- 属性适用于所有目录。
- 在 Workspace ONE Access 服务中配置一个或多个目录后，无法再将属性标记为“必需”。
为要从 Active Directory 同步的用户和组创建一个列表。组名称将立即同步到目录。在授权组使用资源或将其添加到策略规则后，才会同步组的成员。在初始配置期间，应添加在配置组授权之前需要进行身份验证的用户。
如果要使用“全局目录”选项创建类型为“通过 LDAP 访问的 Active Directory”的目录，则必须确保 Workspace ONE Access 租户中的任何其他目录都不会同步与“全局目录”目录相同的域中的用户。如果发生冲突，可能会导致同步失败。
对于通过 LDAP 访问的 Active Directory，您需要基本 DN，以及绑定用户 DN 和密码。
绑定用户必须在 Active Directory 中拥有以下权限，才能授予对用户和组对象的访问权限：
- 读取
- 读取所有属性
- 读取权限
注：建议使用具有不过期密码的绑定用户帐户。
对于通过集成 Windows 身份验证访问的 Active Directory，您需要使用有权对所需域上的用户和组进行查询的绑定用户的用户名和密码。
绑定用户必须在 Active Directory 中拥有以下权限，才能授予对用户和组对象的访问权限：
- 读取
- 读取所有属性
- 读取权限
注：建议使用具有不过期密码的绑定用户帐户。
如果 Active Directory 要求通过 SSL/TLS 进行访问，则需要所有相关 Active Directory 域的域控制器的中间 CA 证书（如果使用）和根 CA 证书。如果域控制器具有来自多个中间证书颁发机构和根证书颁发机构的证书，则需要所有中间 CA 证书和根 CA 证书。

注：对于“通过集成 Windows 身份验证访问的 Active Directory”类型的目录，将自动使用 SASL Kerberos 绑定进行加密。不需要使用证书。
对于通过集成 Windows 身份验证访问的 Active Directory，如果配置了多林 Active Directory 并且“域本地”组包含来自不同林中的域的成员，请确保将绑定用户添加到“域本地”组所在域的“管理员”组中。如果未执行此操作，“域本地”组中将缺少这些成员。
对于通过集成 Windows 身份验证访问的 Active Directory：
- 对于 SRV 记录中列出的所有域控制器以及隐藏的 RODC，主机名和 IP 地址的 nslookup 应当可以正常执行。
- 就网络连接方面而言，所有域控制器都必须可以访问。
如果 Workspace ONE Access Connector 在 FIPS 模式下运行，则还需遵循其他要求和必备条件。请参阅您所用连接器版本对应的 Workspace ONE Access Connector 和 FIPS 模式。

过程

在 Workspace ONE Access 控制台中，选择集成 > 目录。
从添加目录下拉菜单中，选择 Active Directory。

在目录信息部分中，输入以下信息。

选项	描述
目录名称	输入 Workspace ONE Access 目录的名称。
类型	选择目录类型：通过 LDAP 访问的 Active Directory 或通过集成 Windows 身份验证访问的 Active Directory。

如果您选择“通过 LDAP 访问的 Active Directory”以作为目录类型，请为配置目录部分执行以下步骤，否则，继续执行下一步。

在目录同步和身份验证部分中，进行以下选择。

选项	描述
目录同步主机	选择一个或多个要用于同步此目录的目录同步服务实例。在租户中注册的所有目录同步服务实例都将列出。您只能选择处于“活动”状态的实例。如果您选择多个实例，则 Workspace ONE Access 使用列表中的第一个选定实例以同步目录。如果第一个实例不可用，则使用下一个选定的实例，依此类推。在创建目录后，您可以从目录的同步设置选项卡中对列表重新排序。
身份验证	如果您希望使用用户身份验证服务对该目录的用户进行身份验证，请选择为此目录设置密码身份验证。必须已安装用户身份验证服务。如果您选择该选项，则会自动为目录创建密码（云部署）身份验证方法和名为 `directoryName` 的 IDP 且类型为“嵌入式”的身份提供程序。如果您不希望使用用户身份验证服务对该目录的用户进行身份验证，请选择稍后添加身份验证方法。如果您决定稍后使用用户身份验证服务，则可以手动为目录创建密码（云部署）身份验证方法和身份提供程序。在执行该操作时，请在集成 > 身份提供程序页面中选择添加 > 内置 IDP，以便为目录创建新的身份提供程序。建议不要使用名为内置的预创建身份提供程序。
用户身份验证主机	在身份验证设置为为此目录设置密码身份验证时，将显示该选项。请选择一个或多个要用于对此目录的用户进行身份验证的用户身份验证服务实例。在租户中注册并处于“活动”状态的所有用户身份验证服务实例都将列出。如果您选择多个实例，则 Workspace ONE Access 将身份验证请求轮流发送到选定的实例。
用户名	选择包含用户名的帐户属性。
外部 ID	要用作 Workspace ONE Access 目录中的用户的唯一标识符的属性。默认值为 objectGUID。您可以将“外部 ID”设置为以下任一属性：任何字符串属性，如 sAMAccountName 或 distinguishedName 二进制属性 objectSid、objectGUID 或 mS-DS-ConsistencyGuid “外部 ID”设置仅适用于 Workspace ONE Access 中的用户。对于组，“外部 ID”将始终设为 objectGUID，且不能更改。重要说明：所有用户都必须为该属性定义一个唯一的非空值。该值在 Workspace ONE Access 租户中必须是唯一的。如果有任何用户没有定义该属性的值，则将不会同步目录。重要说明：如果将“外部 ID”设置为 Active Directory 属性 objectGUID 或 mS-DS-ConsistencyGuid，则所有用户必须具有长度恰好为 16 字节的非空属性值。还要确保在外部 ID 文本框中使用正确大小写指定正确的 Active Directory 属性名称。如果该名称与 Active Directory 中的属性名称不匹配，则会返回 Null 值，并且目录同步失败。例如，如果在 Active Directory 中使用 mS-DS-ConsistencyGuid 属性，并将“外部 ID”设置为 ms-DS-ConsistencyGuid，目录同步将失败。设置“外部 ID”时，请牢记以下注意事项：如果要将 Workspace ONE Access 与 Workspace ONE UEM 集成在一起，请确保在这两个产品中将“外部 ID”设置为相同的属性。您可以在创建目录后更改“外部 ID”。不过，最佳做法是先设置“外部 ID”，然后再将用户同步到 Workspace ONE Access。如果更改“外部 ID”，将重新创建用户。因此，所有用户都将被注销，且必须重新登录。此外，您还必须重新配置 Web 应用程序和 ThinApp 的用户授权。将先删除对 Horizon、Horizon Cloud 和 Citrix 的授权，然后在下一次同步授权时重新创建这些授权。 “外部 ID”选项在 Workspace ONE Access Connector 版本 20.10 及更高版本中可用。与 Workspace ONE Access 服务关联的所有连接器必须为 20.10 或更高版本。如果将其他版本的连接器与服务相关联，则不会显示“外部 ID”选项。

要配置服务器位置和加密选项，请从以下选项中进行选择。

选项	描述
如果要对 Active Directory 使用 DNS 服务位置查找	使用此选项，Workspace ONE Access 会查找并使用最佳的域控制器。如果不希望使用选择的优化域控制器，请不要选择此选项。对于服务器位置，请选中此目录支持 DNS 服务位置复选框。如果 Active Directory 要求通过 SSL/TLS 进行访问，请选中加密部分中的所有连接都需要 STARTTLS 复选框。注：如果选择了此目录支持 DNS 服务位置选项，则使用 STARTTLS 在端口 389 上进行加密。如果取消选择了此目录支持 DNS 服务位置选项，则使用 LDAPS 在端口 636 上进行加密。将域控制器的中间 CA 证书（如果使用）和根 CA 证书复制并粘贴到 SSL 证书文本框中。首先输入中间 CA 证书，然后输入根 CA 证书。确保每个证书都采用 PEM 格式，并包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。如果域控制器具有来自多个中间证书颁发机构和根证书颁发机构的证书，请依次输入所有中间-根 CA 证书链。例如： -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 2> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 2> ... -----END CERTIFICATE----- 注：如果 Active Directory 要求通过 SSL/TLS 进行访问，但您没有提供证书，则无法创建目录。
如果不希望对 Active Directory 使用 DNS 服务位置查找	在服务器位置部分中，确认未选中此目录支持 DNS 服务位置复选框，并在服务器主机和服务器端口文本框中输入 Active Directory 服务器主机名和端口号。要将目录配置为全局目录，请参阅将 Active Directory 与 Workspace ONE Access 集成中的“多域、单林 Active Directory 环境”部分。如果 Active Directory 要求通过 SSL/TLS 进行访问，请选中加密部分中的所有连接都需要 LDAPS 复选框。注：如果选择了此目录支持 DNS 服务位置选项，则使用 STARTTLS 在端口 389 上进行加密。如果取消选择了此目录支持 DNS 服务位置选项，则使用 LDAPS 在端口 636 上进行加密。将域控制器的中间 CA 证书（如果使用）和根 CA 证书复制并粘贴到 SSL 证书文本框中。首先输入中间 CA 证书，然后输入根 CA 证书。确保证书采用 PEM 格式，并包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。注：如果 Active Directory 要求通过 SSL/TLS 进行访问，但您没有提供证书，则无法创建目录。
如果要作为全局目录集成目录	在服务器位置部分中，取消选择此目录支持 DNS 服务位置选项。选择此目录具有全局目录选项。在服务器主机文本框中，输入 Active Directory 服务器主机名。服务器端口将设置为 3268。如果在加密部分中选择 SSL/TLS，则端口将设置为 3269。如果 Active Directory 要求通过 SSL/TLS 进行访问，请选择加密部分中的所有连接都需要 LDAPS 选项。将域控制器的中间 CA 证书（如果使用）和根 CA 证书复制并粘贴到 SSL 证书文本框中。首先输入中间 CA 证书，然后输入根 CA 证书。确保证书采用 PEM 格式，并包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。

在绑定用户详细信息部分中，输入以下信息。

选项	描述
基本 DN	输入要从其中开始帐户搜索的 DN。例如 OU=myUnit,DC=myCorp,DC=com。重要说明：将使用基本 DN 进行身份验证。只有基本 DN 下的用户才能进行身份验证。确保您稍后指定进行同步的组 DN 和用户 DN 均位于此基本 DN 下。注：如果要将目录添加为全局目录，则不需要基本 DN，并且不会显示该选项。
绑定用户 DN	输入可搜索用户的帐户。例如，CN=binduser,OU=myUnit,DC=myCorp,DC=com。注：建议使用具有不过期密码的绑定用户帐户。
绑定用户密码	绑定用户密码。

如果您选择通过集成 Windows 身份验证访问的 Active Directory 以作为目录类型，请为配置目录部分执行以下步骤。

在目录同步和身份验证部分中，进行以下选择。

选项	描述
目录同步主机	选择一个或多个要用于同步此目录的目录同步服务实例。在租户中注册并处于“活动”状态的所有目录同步服务实例都将列出。如果您选择多个实例，则 Workspace ONE Access 使用列表中的第一个选定实例以同步目录。如果第一个实例不可用，则使用下一个选定的实例，依此类推。在创建目录后，您可以从目录的同步设置选项卡中对列表重新排序。
身份验证	如果您希望使用用户身份验证服务对该目录的用户进行身份验证，请选择为此目录设置密码身份验证。必须已安装用户身份验证服务。如果您选择该选项，则会自动为目录创建密码（云部署）身份验证方法和名为 `directory` 的 IDP 且类型为“嵌入式”的身份提供程序。如果您不希望使用用户身份验证服务对该目录的用户进行身份验证，请选择稍后添加身份验证方法。如果您决定稍后使用用户身份验证服务，则可以手动为目录创建密码（云部署）身份验证方法和身份提供程序。在执行该操作时，请在集成 > 身份提供程序页面中选择添加 > 内置 IDP，以便为目录创建新的身份提供程序。建议不要使用名为内置的预创建身份提供程序。
用户身份验证主机	在身份验证设置为为此目录设置密码身份验证时，将显示该选项。请选择一个或多个要用于对此目录的用户进行身份验证的用户身份验证服务实例。在租户中注册并处于“活动”状态的所有用户身份验证服务实例都将列出。如果您选择多个实例，则 Workspace ONE Access 将身份验证请求轮流发送到选定的实例。
用户名	选择包含用户名的帐户属性。
外部 ID	要用作 Workspace ONE Access 目录中用户的唯一标识符的属性。默认值为 objectGUID。您可以将“外部 ID”设置为以下任一属性：任何字符串属性，如 sAMAccountName 或 distinguishedName 二进制属性 objectSid、objectGUID 或 mS-DS-ConsistencyGuid “外部 ID”设置仅适用于 Workspace ONE Access 中的用户。对于组，“外部 ID”将始终设为 objectGUID，且不能更改。重要说明：所有用户都必须为该属性定义一个唯一值。该值在 Workspace ONE Access 租户中必须是唯一的。重要说明：如果将“外部 ID”设置为 Active Directory 属性 objectGUID 或 mS-DS-ConsistencyGuid，则所有用户必须具有长度恰好为 16 字节的非空值。还要确保在外部 ID 文本框中使用正确大小写指定正确的 Active Directory 属性名称。如果该名称与 Active Directory 中的属性名称不匹配，则会返回 Null 值，并且目录同步失败。例如，如果在 Active Directory 中使用 mS-DS-ConsistencyGuid 属性，并将“外部 ID”设置为 ms-DS-ConsistencyGuid，目录同步将失败。设置“外部 ID”时，请牢记以下注意事项：如果要将 Workspace ONE Access 与 Workspace ONE UEM 集成在一起，请确保在这两个产品中将“外部 ID”设置为相同的属性。您可以在创建目录后更改“外部 ID”。但是，最佳做法是先设置“外部 ID”，然后再将用户同步到 Workspace ONE Access。如果更改“外部 ID”，将重新创建用户。因此，所有用户都将被注销，且必须重新登录。此外，您还必须重新配置 Web 应用程序和 ThinApp 的用户授权。将先删除对 Horizon、Horizon Cloud 和 Citrix 的授权，然后在下一次同步授权时重新创建这些授权。 “外部 ID”选项在 Workspace ONE Access Connector 版本 20.10 及更高版本中可用。与 Workspace ONE Access 服务关联的所有连接器必须为 20.10 或更高版本。如果将其他版本的连接器与服务相关联，则不会显示“外部 ID”选项。

不需要为加密选项执行任何操作。“通过集成 Windows 身份验证访问的 Active Directory”类型的目录会自动使用 SASL Kerberos 绑定，而不需要您选择 LDAPS 或 STARTTLS。
在绑定用户详细信息部分中，输入有权查询所需域的用户和组的绑定用户的用户名和密码。以 sAMAccountName@domain 形式输入用户名，其中 domain 是完全限定域名。例如，[email protected]。

注：建议使用具有不过期密码的绑定用户帐户。

单击保存。
在选择域部分中，选择域，然后单击保存。
- 对于“通过 LDAP 访问的 Active Directory”类型的目录，将列出这些域。选择要与 Workspace ONE Access 目录关联的域。
- 对于“通过集成 Windows 身份验证访问的 Active Directory”类型的目录，选择要与 Workspace ONE Access 目录关联的域。与基本域具有双向信任关系的所有域都将列出。
  如果在创建 Workspace ONE Access 目录后将与基本域具有双向信任关系的域添加到 Active Directory 中，您可以从目录的同步设置 > 域选项卡中添加这些域。
  
  提示：逐个选择受信任的域，而不是一次选择所有域。该方法确保域保存操作不会长时间运行，否则，该操作可能会超时。按顺序选择域可确保目录同步服务只花时间尝试解析单个域。
- 如果在选择了全局目录选项的情况下创建通过 LDAP 访问的 Active Directory 目录，则不会显示选择域部分。
在映射用户属性部分中，将 Workspace ONE Access 目录属性映射到 Active Directory 属性，然后单击保存。

您可以从设置 > 用户属性页面中添加属性和管理必需属性列表。

重要说明：如果将属性标记为“必需”，则必须为要同步的所有用户设置其值。不会同步缺少必需属性值的用户记录。
在同步组部分中，添加要同步的组。有关信息，请参阅选择要同步到您的 Workspace ONE Access 目录的用户和组。
在同步用户部分中，添加要同步的用户。有关信息，请参阅选择要同步到您的 Workspace ONE Access 目录的用户和组。
在同步频率部分中，设置同步计划以定期同步用户和组；如果不希望设置计划，请从同步频率下拉菜单中选择手动。
时间将以 UTC 形式设置。

提示：使计划的同步间隔超过同步目录所需的时间。如果在计划进行下一次同步时，用户和组正在同步到目录，则新同步会在之前的同步结束后立即启动。

如果选择手动，无论何时要同步目录，都必须在目录页面上选择同步 > 在有安全措施的情况下同步或同步 > 在没有安全措施的情况下同步。
单击保存以创建目录，或单击保存并同步以创建目录并开始进行同步。

结果

此时会建立与 Active Directory 的连接。如果单击保存并同步，则会将用户和组名称从 Active Directory 同步到 Workspace ONE Access 目录。

有关如何同步组的详细信息，请参阅《VMware Workspace ONE Access 管理》中的“管理用户和组”。

下一步做什么

如果将身份验证选项设置为为此目录设置密码身份验证，则会自动为目录创建名为 directoryname 的 IDP 的身份提供程序以及密码（云部署）身份验证方法。您可以在集成 > 身份提供程序和集成 > 身份验证方法页面上查看这些信息。您也可以从连接器身份验证方法和身份验证方法页面中为目录创建更多身份验证方法。有关创建身份验证方法的信息，请参阅在 Workspace ONE Access 中管理用户身份验证方法。
在资源 > 策略页面上查看默认访问策略。
查看默认同步安全措施设置，并根据需要进行更改。有关信息，请参阅在 Workspace ONE Access 中设置目录同步安全措施。