Sie können den Dienst in eine Active Directory-Umgebung integrieren, die aus einer einzelnen Active Directory-Domäne, mehreren Domänen in einer einzelnen Active Directory-Struktur oder mehreren Domänen in mehreren Active Directory-Strukturen besteht.
Active Directory-Umgebung mit einer einzelnen Domäne
Mit einer einzelnen Active Directory-Bereitstellung können Sie Benutzer und Gruppen aus einer einzelnen Active Directory-Domäne heraus synchronisieren.
Wenn Sie dem VMware Identity Manager-Dienst ein Verzeichnis hinzufügen, wählen Sie für diese Umgebung die Option „Active Directory über LDAP/IWA“ aus.
Weitere Informationen finden Sie unter:
Active Directory-Umgebung mit mehreren Domänen in einer einzelnen Struktur
In einer Active Directory-Bereitstellung mit mehreren Domänen in einer einzelnen Gesamtstruktur können Sie Benutzer und Gruppen aus mehreren Active Directory-Domänen in einer einzelnen Gesamtstruktur heraus synchronisieren.
- Empfohlen wird die Erstellung eines Active Directory (integrierte Windows-Authentifizierung)-Verzeichnistyps.
Wenn Sie ein Verzeichnis für diese Umgebung hinzufügen, wählen Sie die Option „Active Directory (integrierte Windows-Authentifizierung)“. Stellen Sie sicher, dass eine direkte (nicht transitive) bidirektionale Vertrauensstellung zwischen Domänen im Verzeichnis und der Domäne eingerichtet ist, zu der der VMware Identity Manager Connector hinzugefügt wird.
Weitere Informationen finden Sie unter:
- Falls die integrierte Windows-Authentifizierung in Ihrer Active Directory-Umgebung nicht funktioniert, erstellen Sie ein Verzeichnis vom Typ „Active Directory über LDAP“ und aktivieren die globale Katalogoption.
Die Aktivierung der globalen Katalogoption ist unter anderem mit folgenden Einschränkungen verbunden:
- Die Active Directory-Objektattribute, die im globalen Katalog repliziert werden, werden im Active Directory-Schema als Teilattributsatz identifiziert. Nur diese Attribute können vom Dienst zur Attributzuordnung verwendet werden. Bearbeiten Sie das Schema bei Bedarf, um im globalen Katalog gespeicherte Attribute hinzuzufügen oder zu entfernen.
- Im globalen Katalog wird nur die Gruppenmitgliedschaft (das Attribut „member“) von universellen Gruppen gespeichert. Nur universelle Gruppen werden mit dem Dienst synchronisiert. Ändern Sie bei Bedarf den Geltungsbereich einer Gruppe von „lokale Domäne“ oder „global“ in „universell“.
- Das Bind-DN-Konto, das Sie beim Konfigurieren eines Verzeichnisses im Dienst definieren, muss über Berechtigungen zum Lesen des Token-Groups-Global-And-Universal (TGGAU)-Attributs verfügen.
- Wenn Workspace ONE UEM in VMware Identity Manager integriert ist und mehrere Workspace ONE UEM-Organisationsgruppen konfiguriert sind, kann die Option „Globaler Active Directory-Katalog“ nicht verwendet werden.
Active Directory verwendet die Ports 389 und 636 für standardmäßige LDAP -Abfragen. Für globale Katalogabfragen werden die Ports 3268 und 3269 verwendet.
Gehen Sie beim Hinzufügen eines Verzeichnisses zur globalen Katalogumgebung während der Konfiguration wie nachfolgend dargestellt vor.
- Wählen Sie die Option „Active Directory über LDAP“ aus.
- Deaktivieren Sie das Kontrollkästchen für die Option Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort.
- Aktivieren Sie die Option Dieses Verzeichnis verfügt über einen globalen Katalog. Nach der Auswahl dieser Option wird die Server-Portnummer automatisch in 3268 geändert. Zudem wird das Testfeld „Basis-DN“ nicht angezeigt, weil die Basis-DN beim Konfigurieren der globalen Katalogoption nicht benötigt wird.
- Fügen Sie den Active Directory-Serverhostnamen hinzu.
- Wenn Ihre Active Directory-Umgebung Zugriff über SSL erfordert, aktivieren Sie die Option Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL und fügen das Zertifikat in das angezeigte Testfeld ein. Nach der Auswahl dieser Option wird die Server-Portnummer automatisch in 3269 geändert.
Active Directory-Umgebung mit mehreren Strukturen und Vertrauensbeziehungen
In einer Active Directory-Bereitstellung mit mehreren Gesamtstrukturen und Vertrauensbeziehungen können Sie Benutzer und Gruppen aus mehreren Active Directory-Domänen in Gesamtstrukturen heraus synchronisieren, bei denen zwischen den Domänen gegenseitige Vertrauensbeziehungen bestehen. Sie können den Dienst für diese Active Directory-Umgebung als einen einzelnen Active Directory-Verzeichnistyp mit integrierter Windows-Authentifizierung konfigurieren.
Wenn Sie ein Verzeichnis für diese Umgebung hinzufügen, wählen Sie die Option „Active Directory (integrierte Windows-Authentifizierung)“ aus. Stellen Sie sicher, dass eine direkte (nicht transitive) bidirektionale Vertrauensstellung zwischen Domänen in den Verzeichnisstrukturen und der Domäne eingerichtet ist, zu der der VMware Identity Manager Connector hinzugefügt wird.
Wenn Sie ein Verzeichnis für diese Umgebung hinzufügen, wählen Sie die Option „Active Directory (integrierte Windows-Authentifizierung)“.
Weitere Informationen finden Sie unter:
Active Directory-Umgebung mit mehreren Strukturen, aber ohne Vertrauensbeziehungen
In einer Active Directory-Bereitstellung mit mehreren Gesamtstrukturen, aber ohne Vertrauensbeziehungen können Sie Benutzer und Gruppen aus mehreren Active Directory-Domänen in mehreren Gesamtstrukturen heraus synchronisieren, bei denen zwischen den Domänen keine gegenseitigen Vertrauensbeziehungen bestehen. In dieser Umgebung erstellen Sie im VMware Identity Manager-Dienst mehrere Verzeichnisse und zwar ein Verzeichnis für jede Gesamtstruktur.
Welchen Typ von Verzeichnissen Sie im Dienst erstellen, hängt von der Gesamtstruktur ab. Bei Gesamtstrukturen mit mehreren Domänen wählen Sie die Option „Active Directory (integrierte Windows-Authentifizierung)“. Bei einer Gesamtstruktur mit einer einzelnen Domäne wählen Sie die Option „Active Directory über LDAP“.
Weitere Informationen finden Sie unter:
