In diesem Schritt bei der Einrichtung des Unternehmensverbunds erstellen Sie ein internes Verzeichnis, in dem die Benutzer und Gruppen gespeichert sind, die Sie aus dem Active Directory-Verzeichnis synchronisieren.

Sie können Gruppen und Benutzer aus einer oder mehreren Active Directory-Domänen synchronisieren.
  • Wählen Sie Einzelne AD-Domäne aus, wenn sich alle Benutzer und Gruppen, denen Sie Verbundzugriff auf VMware Cloud services gewähren, in einer einzelnen AD-Domäne befinden. Wenn Sie über mehrere AD-Domänen verfügen und keine Vertrauensstellung zwischen diesen Domänen besteht, verwenden Sie diese Option. Sobald der Verbund eingerichtet ist, haben Sie die Möglichkeit, für jede zusätzliche AD-Domäne ein neues Verzeichnis hinzuzufügen.
  • Wählen Sie Mehrere AD-Domänen aus, wenn sich die Benutzer und Gruppen, denen Sie den Verbundzugriff auf VMware Cloud services gewähren möchten, in verschiedenen AD-Domänen befinden, Active Directory mit mehreren Gesamtstrukturen konfiguriert ist und eine Vertrauensstellung zwischen den verschiedenen Domänen besteht.

Nachdem der Unternehmensverbund aktiviert wurde, werden die Gruppen und Benutzer, die Sie in diesem Schritt des Verbund-Workflows synchronisieren, auf der Seite Gruppen in der Cloud Services Console angezeigt. Sie können auf die Seite zugreifen, indem Sie zu Identitäts- und Zugriffsverwaltung > Gruppen navigieren. Nachdem die Verbundeinrichtung aktiviert wurde, können Sie zusätzliche Gruppen und Benutzer für Ihr Unternehmen synchronisieren.

Alle Verbundkonten müssen synchronisiert werden, damit Benutzer über ihre Unternehmenskonten auf VMware Cloud services zugreifen können. Synchronisierte Benutzer werden bei der Anmeldung nicht aufgefordert, VMware-Konten zu erstellen, es sei denn, sie müssen Rechnungsinformationen anzeigen und ein Support-Ticket erstellen. Unternehmensadministratoren die auch Organisationsbesitzer sind oder eingeladen werden, die Einrichtung des Verbunds abzuschließen, bevor die Domäne zur Verbunddomäne wird, müssen ein VMware-Konto erstellen. Unternehmensadministratoren, die der speziellen Verbundorganisation hinzugefügt werden, nachdem die Domäne zur Verbunddomäne wurde, müssen kein VMware-Konto erstellen.

Voraussetzungen

  • Wenn Active Directory Zugriff über SSL/TLS erfordert, müssen Sie die Zwischenzertifikate (sofern verwendet) und Root-CA-Zertifikate des Domänencontrollers hochladen.
  • Für die Synchronisierung von Gruppen und Benutzern müssen Sie einen Dienst oder ein Benutzerkonto verwenden, der bzw. das über Leseberechtigung für Active Directory und über ein nicht ablaufendes Kennwort für Bind-Benutzer-DN/Name verfügt, um eine Verbindung zu Active Directory herzustellen.
    Vorsicht: Wenn die Sicherheitsrichtlinien des Unternehmens die Verwendung eines Dienstkontos mit einem ablaufenden Kennwort erfordern und das Kennwort vor seiner Erneuerung abläuft, werden Gruppen und Benutzer nicht synchronisiert. Wird die Synchronisierung unterbrochen, müssen Sie die Verbindung zwischen Active Directory und Workspace ONE Access Connector wiederherstellen.

Prozedur

  1. Klicken Sie im Bereich Gruppen und Benutzer synchronisieren auf der Seite Unternehmensverbund einrichten auf Starten.
    Der Bereich Verzeichnis hinzufügen wird angezeigt.
  2. Geben Sie in das Textfeld Verzeichnisname einen Namen für das interne Verzeichnis ein, das Sie erstellen möchten.
    Sie können einen beliebigen Namen für Ihr Unternehmensverzeichnis angeben. Er muss nicht mit dem Namen übereinstimmen, den Sie intern verwenden.
  3. Behalten Sie für dieses Beispiel die Auswahl der Standardmenüelemente Einzelne AD-Domäne und Nein bei.
  4. Klicken Sie auf Weiter.
    Der Bereich Anmeldedaten für Bind-Benutzer angeben des Workflows wird erweitert.
  5. Geben Sie die Anmeldedaten des Bind-Benutzer-Administrators für das Dienstkonto an, das zum Synchronisieren der Gruppe und der Benutzer aus dem Active Directory-Verzeichnis des Unternehmens verwendet wird.
    Im folgenden Beispiel wird gezeigt, wie Sie den Distinguished Name (DN) für Bind-Benutzer definieren. Angenommen, der Bind-Benutzer-DN für den Unternehmensverzeichnisdienst lautet admin@acme.com. Hier sehen Sie, wie die Syntax des Benutzernamens bei der Einrichtung des Verbunds definiert wird:
    1. Geben Sie in das Textfeld Bind-Benutzer-DN „CN=admin,DC=acme,DC=com“ ein.
      Das Textfeld Basis-DN wird automatisch ausgefüllt und zeigt „DC=acme,DC=com“ an.
    2. Geben Sie in das Textfeld Bind-Benutzerkennwort das Kennwort für den Bind-Benutzer-Administrator ein.
    Hinweis: Die Eingaben für Bind-Benutzer-DN und die Bind-DN-Anmeldedaten müssen der Syntax in den Beispielen folgen.
  6. Klicken Sie auf Weiter.
    Der Bereich Gruppen synchronisieren des Workflows wird erweitert.
  7. Geben Sie den Gruppen-DN (Distinguished Name) für die Gruppen ein, die Sie synchronisieren möchten.
    Verwenden Sie eine ähnliche Syntax wie die, die Sie in Schritt 5 dieser Aufgabe eingegeben haben, um bestimmte Benutzergruppen aus dem Unternehmensverzeichnis zu definieren, z. B. CN=Users,DC=acme,DC=com.
    Hinweis: Die mindestens erforderlichen Attribute für die Synchronisierung von Gruppen und Benutzern sind Vorname, Nachname, E-Mail-Adresse, Benutzername und Domäne. Wenn das Unternehmen Benutzerprinzipalnamen (User Principal Name, UPN) zur Authentifizierung von Benutzern verwendet, muss dieses Attribut für die Synchronisierung ebenfalls einen Wert aufweisen. Benutzerkennwörter werden nie synchronisiert. Nur die in diesem Schritt konfigurierten Benutzer- und Gruppen-DNs werden synchronisiert, nicht das gesamte AD-Verzeichnis.
  8. Klicken Sie auf den Link Gruppen auswählen.
    Daraufhin wird ein Popup-Fenster mit allen verfügbaren Gruppenergebnissen für die eingegebenen Gruppen-DN-Kriterien angezeigt. Wenn die Suche zu mehr als 1.000 Gruppen führt, können Sie zu Schritt 7 zurückkehren und die Suchkriterien verfeinern.
  9. Wählen Sie die Gruppen aus, die Sie bei der Einrichtung des Verbunds synchronisieren möchten, und klicken Sie dann auf Speichern.
    Die Seite des Verbund-Workflows wird aktualisiert und zeigt die Anzahl der Gruppen an, die der Synchronisierung in diesem Schritt hinzugefügt wurden. Sie können weitere Gruppen hinzufügen, indem Sie auf Hinzufügen klicken.
  10. Klicken Sie auf Weiter.
  11. Geben Sie im Bereich Benutzer synchronisieren, der daraufhin erweitert wird, die Benutzer-DNs ein, die Sie synchronisieren möchten.
    Verwenden Sie eine ähnliche Syntax wie die, die Sie in Schritt 7 dieser Aufgabe eingegeben haben, um bestimmte Benutzer aus dem Unternehmensverzeichnis zu definieren, z. B. CN=admin,CN=users,DC=acme,DC=com.
    Alle Gruppen und Benutzer, die Sie hinzugefügt haben, werden jetzt im Bereich Gruppen und Benutzer überprüfen angezeigt.
    Um die Verbundeinrichtung zu testen und die Benutzeranmeldung beim Unternehmensidentitätsanbieter zu validieren, müssen Sie sicherstellen, dass die am Test beteiligten Gruppen und Benutzer (einschließlich Sie selbst), hinzugefügt und erfolgreich synchronisiert werden.
    Hinweis: Benutzer, die nicht synchronisiert werden, können nach der Aktivierung des Unternehmensverbunds nicht authentifiziert werden.
  12. Klicken Sie auf Synchronisieren.
    Der Status „Synchronisierung läuft“ wird angezeigt und bleibt bestehen, bis Sie auf Synchronisierungsstatus überprüfen klicken.
  13. Um den aktualisierten Status der Synchronisierung anzuzeigen, müssen Sie auf Synchronisierungsstatus überprüfen klicken.
    Hinweis: Die Synchronisierung schlägt fehl, wenn die mindestens erforderlichen Attribute wie Vorname, Nachname, E-Mail-Adresse, Benutzername, Domäne und UPN (sofern verwendet) fehlen.
    Wenn die Synchronisierung erfolgreich ist, wechselt der Status zu Grün.
    Hinweis: Wenn Sie einen Ausnahmefehler für den Bind-Benutzer-DN erhalten, können Sie ihn ignorieren. Bei allen anderen Fehlern müssen Sie die Fehlerbehebung für die Einrichtung durchführen.
  14. Klicken Sie auf Fortfahren.

Nächste Maßnahme

Jetzt können Sie den Unternehmensidentitätsanbieter für den Unternehmensverbund mit VMware Cloud services konfigurieren.