Sie können ein Verzeichnis vom Typ „Andere“, das von AirWatch synchronisierte Benutzer und Gruppen speichert, in ein Verzeichnis vom Typ „Active Directory“ über LDAP oder Active Directory (integrierte Windows-Authentifizierung) konvertieren, die dem VMware Identity Manager-Connector zugewiesen sind. Nach der Konvertierung des Verzeichnisses wird der VMware Identity Manager-Connector anstelle von ACC verwendet, um Benutzer und Gruppen aus Ihrem Unternehmensverzeichnis mit VMware Identity Manager zu synchronisieren.

Voraussetzungen

  • Installieren und aktivieren Sie die VMware Identity Manager Connector-Komponente der VMware Enterprise Systems Connector auf einem Windows-Server.

    Damit Sie bestimmte Funktionen nutzen können, muss der Windows-Server der Domäne beitreten, und Sie müssen die VMware Identity Manager Connector-Komponente als Domänenbenutzer installieren, der Teil der Administratorgruppe auf dem Windows-Server ist. Außerdem müssen Sie die Ausführung des IDM-Connector-Dienstes als Windows-Domänenbenutzer auswählen.

    Diese Anforderung gilt für die folgenden Fälle.

    • Wenn Sie vorhaben, das andere Verzeichnis in Active Directory (integrierte Windows-Authentifizierung) zu konvertieren.

    • Wenn Sie vorhaben, Kerberos-Authentifizierung zu verwenden.

    • Wenn Sie vorhaben, Horizon View in VMware Identity Manager zu integrieren, und die Optionen „Verzeichnissynchronisierung“ oder „Konfigurieren des 5.x-Verbindungsservers“ verwenden möchten.

  • Die folgenden Active Directory-Informationen sind erforderlich:

    • Wenn Sie zu Active Directory über LDAP konvertieren, sind die Basis-DN, Bind-DN und das Bind-DN-Kennwort erforderlich. Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

    • Wenn Sie zu Active Directory (integrierte Windows-Authentifizierung) konvertieren, sind die Bind-Benutzer-UPN-Adresse der Domäne und das Kennwort erforderlich. Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

    • Wenn Active Directory einen Zugriff über SSL oder STARTTLS erfordert, ist das Stamm-Zertifizierungsstellenzertifikat des Active Directory-Domänencontrollers erforderlich.

    • Verfügen Sie über eine Active Directory-Umgebung (mit integrierter Windows-Authentifizierung), in der mehrere Gesamtstrukturen konfiguriert sind, und enthält die lokale Domänengruppe Mitglieder aus Domänen in unterschiedlichen Strukturen, müssen Sie sicherstellen, dass der Bind-DN-Benutzer der Administratorgruppe der Domäne hinzugefügt wurde, die die lokale Domänengruppe enthält. Wird dies versäumt, fehlen diese Benutzer in der lokalen Domänengruppe.

Prozedur

  1. Klicken Sie in der VMware Identity Manager-Verwaltungskonsole auf die Registerkarte Identitäts- und Zugriffsmanagement und anschließend auf die Registerkarte Verzeichnisse.
  2. Klicken Sie auf den Namen des Verzeichnisses, das Sie konvertieren möchten.
  3. Klicken Sie auf der Seite „Verzeichnis“ auf die Schaltfläche Konvertieren.
  4. Ändern Sie, falls erforderlich, auf der Seite „Verzeichnis hinzufügen“ den Namen des Verzeichnisses und wählen Sie den Verzeichnistyp aus, zu dem Sie das „Andere Verzeichnis“, Active Directory über LDAP oder Active Directory (integrierte Windows-Authentifizierung) konvertieren möchten.
  5. Geben Sie die Active Directory-Verbindungsinformationen ein und fahren Sie mit dem Assistenten zum Einrichten des Verzeichnisses fort.

    Weitere Informationen finden Sie unter „Konfigurieren der Active Directory-Verbindung zum Dienst“ im Handbuch Verzeichnisintegration mit VMware Identity Manager.

    Befolgen Sie diese Richtlinien.

    • Wählen Sie im Feld Synchronisierungs-Konnektor den VMware Identity Manager-Konnektor aus, den Sie installiert haben.

    • Wählen Sie im Abschnitt Verzeichnissynchronisierung und Authentifizierung die Option Ja für die Authentifizierung aus, es sei denn, Sie beabsichtigen, für die Authentifizierung einen Drittanbieter-Identitätsanbieter anstelle des Konnektors zu verwenden.

    • Stellen Sie sicher, dass Sie das konvertierte Verzeichnis identisch mit dem AirWatch-Verzeichnis einrichten, sodass sie dieselbe Verzeichnisstruktur aufweisen. Wählen Sie dieselben Domänen aus. Bei der Angabe der zu synchronisierenden Benutzer und Gruppen treffen Sie dieselbe Auswahl wie für das AirWatch-Verzeichnis, damit dieselben Benutzer und Gruppen mit dem konvertierten Verzeichnis synchronisiert werden.

  6. Klicken Sie auf der letzten Seite des Assistenten auf Verzeichnis synchronisieren.

    Das Verzeichnis wird konvertiert und für die Verwendung des VMware Identity Manager-Konnektors eingerichtet. Es wird ein Workspace-Identitätsanbieter erstellt, sofern nicht bereits einer vorhanden ist, und das Verzeichnis wird diesem automatisch zugeordnet. Die Kennwort-Authentifizierungsmethode ist für das Verzeichnis bereits aktiviert.

  7. (Optional) Gehen Sie folgendermaßen vor, um andere Authentifizierungsmethoden für das Verzeichnis zu aktivieren.
    1. Klicken Sie in der Registerkarte Identitäts- und Zugriffsmanagement auf Einrichten.
    2. Suchen Sie auf der Seite „Konnektoren“ den Konnektor und den Worker, denen das konvertierte Verzeichnis zugeordnet ist, und klicken Sie auf den Link in der Spalte Worker.
    3. Klicken Sie auf der Seite „Worker“ auf die Registerkarte Authentifizierungsadapter.
    4. Konfigurieren und aktivieren Sie die Authentifizierungsadapter, die Sie für das Verzeichnis verwenden möchten, indem Sie auf den Link für jeden Adapter klicken und die Konfigurationsinformationen eingeben.

      Weitere Informationen zum Konfigurieren von Authentifizierungsadaptern finden Sie in der VMware Identity Manager-Verwaltung.

  8. Bearbeiten Sie die „default_access_policy_set“ sowie andere benutzerdefinierte Richtlinien, um VMware Identity Manager-Konnektor-Authentifizierungsmethoden anstelle des Kennworts (AirWatch Connector) auszuwählen.
    1. Klicken Sie auf der Registerkarte Identitäts- und Zugriffsmanagement auf die Registerkarte Richtlinien.
    2. Klicken Sie auf Standardrichtlinie bearbeiten.
    3. Bearbeiten Sie unter Richtlinienregeln die Spalte Authentifizierungsmethoden für jede Regel und ersetzen Sie Kennwort (AirWatch Connector) mit einem Kennwort, bei dem es sich um eine VMware Identity Manager-Konnektor-Authentifizierungsmethode handelt.
    4. Klicken Sie erneut auf die Registerkarte Richtlinien und bearbeiten Sie benutzerdefinierte Richtlinien, sofern vorhanden, um das Kennwort oder andere VMware Identity Manager-Konnektor-Authentifizierungsmethoden zu verwenden, die Sie konfiguriert haben.
      Wichtig:

      Wenn Sie nicht „Kennwort (Airwatch Connector)“ in „Kennwort“ oder in eine andere VMware Identity Manager-Konnektor-basierte Methode ändern, können sich die Benutzer des konvertierten Verzeichnisses nicht anmelden.

Nächste Maßnahme

Unterbinden Sie die Verzeichnissynchronisierung von AirWatch in das konvertierte Verzeichnis.