Konfigurieren der Active Directory-Verbindung zum Workspace ONE Access-Dienst

In der Workspace ONE Access-Konsole geben Sie die erforderlichen Informationen zum Herstellen einer Verbindung mit Ihrem Active Directory ein und wählen Benutzer und Gruppen zur Synchronisierung mit dem Workspace ONE Access-Verzeichnis aus. Als Active Directory-Verbindungsoptionen stehen „Active Directory über LDAP“ und „Active Directory über integrierte Windows-Authentifizierung“ zur Verfügung. Bei „Active Directory über LDAP“ wird die DNS-Dienstspeicherort-Suche unterstützt.

Voraussetzungen

Installieren Sie den Verzeichnissynchronisierungsdienst. Dieser ist ab Version 20.01.0.0 als Komponente von Workspace ONE Access Connector verfügbar. Weitere Informationen finden Sie in der neuesten Version von Installieren von VMware Workspace ONE Access Connector.
Wenn Sie den Benutzerauthentifizierungsdienst zur Authentifizierung von Benutzern des Verzeichnisses verwenden möchten, installieren Sie auch die Komponente „Benutzerauthentifizierungsdienst“.
Wählen Sie aus, welche Benutzerattribute erforderlich sind, und fügen Sie zusätzliche Attribute bei Bedarf in der Workspace ONE Access-Konsole unter Identitäts- und Zugriffsmanagement > Einrichten > Benutzerattribute hinzu. Siehe Verwalten von Benutzerattributen in Workspace ONE Access. Beachten Sie die folgenden Überlegungen:
- Wenn ein Benutzerattribut erforderlich ist, muss sein Wert für alle Benutzer festgelegt werden, die synchronisiert werden sollen. Benutzer ohne festgelegten Wert werden nicht synchronisiert.
- Attribute gelten für alle Verzeichnisse.
- Nachdem ein oder mehrere Verzeichnisse im Workspace ONE Access-Dienst konfiguriert wurden, können Attribute länger als erforderlich gekennzeichnet werden.
Erstellen Sie eine Liste der Active Directory-Benutzer und -Gruppen, die aus Active Directory synchronisiert werden sollen. Gruppennamen werden sofort mit dem Verzeichnis synchronisiert. Mitglieder einer Gruppe werden erst synchronisiert, wenn die Gruppe Berechtigungen für Ressourcen hat oder einer Richtlinienregel hinzugefügt wurde. Benutzer, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden, sollten während der Erstkonfiguration hinzugefügt werden.
Hinweis: Workspace ONE Access Connector Version 19.03 und frühere Versionen unterstützen nicht die Zeichen / und $ im Namen einer Gruppe oder im Attribut distinguishedName. Diese Einschränkung gilt sowohl für Gruppen, die Sie zum Gruppen-DN hinzufügen, als auch für Gruppen, die nicht direkt zum Gruppen-DN hinzugefügt, sondern als Teil einer übergeordneten Gruppe synchronisiert werden, wenn geschachtelte Gruppenmitgliedschaften aktiviert sind.
Verwenden Sie das Zeichen / oder $ nicht im Gruppennamen oder im Attribut distinguishedName einer Gruppe, wenn Sie planen, die Gruppe mit VMware Identity Manager zu synchronisieren, und Sie die Connector-Version 19.03 oder ältere Versionen verwenden.
Wenn Sie ein Verzeichnis vom Typ Active Directory über LDAP mit der Option „Globaler Katalog“ erstellen, müssen Sie sicherstellen, dass keine anderen Verzeichnisse im Workspace ONE Access-Mandant Benutzer aus denselben Domänen wie das Verzeichnis des globalen Katalogs synchronisieren. Der Konflikt kann zu Synchronisierungsfehlern führen.
Für „Active Directory über LDAP“ gehören der Basis-DN sowie der Bind-Benutzer-DN und das entsprechende Kennwort zu den erforderlichen Informationen.
Der Bind-Benutzer muss über die folgenden Berechtigungen in Active Directory verfügen, um Zugriff auf Objekte von Benutzern und Gruppen zu gewähren.
- Lesen
- Alle Eigenschaften lesen
- Berechtigungen lesen
Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
Für Active Directory über die integrierte Windows-Authentifizierung benötigen Sie den Benutzernamen und das Kennwort des Bind-Benutzers, der über die Berechtigung zur Abfrage von Benutzern und Gruppen für die erforderlichen Domänen verfügt.
Der Bind-Benutzer muss über die folgenden Berechtigungen in Active Directory verfügen, um Zugriff auf Objekte von Benutzern und Gruppen zu gewähren.
- Lesen
- Alle Eigenschaften lesen
- Berechtigungen lesen
Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
Wenn Ihr Active Directory Zugriff über SSL/TLS erfordert, sind die Zwischen- (falls verwendet) und Root-CA-Zertifikate der Domänencontroller für die entsprechenden Active Directory-Domänen erforderlich. Wenn die Domänencontroller über Zertifikate von mehreren Zwischen- und Root-Zertifizierungsstellen verfügen, sind alle Zwischen- und Root-CA-Zertifikate erforderlich.

Hinweis: Für Verzeichnisse vom Typ Active Directory über integrierte Windows-Authentifizierung wird für die Verschlüsselung automatisch die SASL-Kerberos-Bindung verwendet. Ein Zertifikat ist nicht erforderlich.
Verfügen Sie über eine Active Directory-Umgebung mit integrierter Windows-Authentifizierung, in der mehrere Gesamtstrukturen konfiguriert sind, und enthält die lokale Domänengruppe Mitglieder aus Domänen in unterschiedlichen Gesamtstrukturen, müssen Sie sicherstellen, dass der Bind-DN-Benutzer der Administratorengruppe der Domäne hinzugefügt wurde, die die lokale Domänengruppe enthält. Wird dies versäumt, fehlen diese Benutzer in der lokalen Domänengruppe.
Für Active Directory über die integrierte Windows-Authentifizierung:
- Für alle Domänencontroller, die in SRV-Datensätzen und ausgeblendeten RODCs aufgeführt sind, sollte die nslookup-Abfrage nach Hostnamen und IP-Adresse funktionieren.
- Alle Domänencontroller müssen in Bezug auf die Netzwerkkonnektivität erreichbar sein.

Prozedur

Navigieren Sie in der Workspace ONE Access-Konsole zu Identitäts- und Zugriffsmanagement > Verwalten > Verzeichnisse.
Klicken Sie auf Verzeichnis hinzufügen und wählen Sie Active Directory aus.
Geben Sie einen Namen für das Workspace ONE Access-Verzeichnis ein.
Wählen Sie den Active Directory-Typ aus, den Sie integrieren möchten, Active Directory über LDAP oder Active Directory über die integrierte Windows-Authentifizierung.

Wenn Sie Active Directory über LDAP integrieren, führen Sie die folgenden Schritte aus, andernfalls fahren Sie mit Schritt 6 fort.

Treffen Sie im Abschnitt Verzeichnissynchronisierung und Authentifizierung die folgende Auswahl.

Option	Bezeichnung
Hosts für die Verzeichnissynchronisierung	Wählen Sie mindestens eine Verzeichnissynchronisierungsdienst-Instanz aus, die zur Synchronisierung dieses Verzeichnisses verwendet werden soll. Alle mit dem Mandanten registrierten Verzeichnissynchronisierungsdienst-Instanzen werden aufgelistet. Sie können nur Instanzen auswählen, die den Status „Aktiv“ aufweisen. Wenn Sie mehrere Instanzen auswählen, verwendet Workspace ONE Access die erste ausgewählte Instanz in der Liste, um das Verzeichnis zu synchronisieren. Wenn die erste Instanz nicht verfügbar ist, wird die nächste ausgewählte Instanz verwendet usw. Sie können die Liste nach dem Erstellen des Verzeichnisses auf der Seite „Synchronisierungseinstellungen“ des Verzeichnisses neu anordnen.
Authentifizierung	Wählen Sie Ja aus, wenn Sie Benutzer dieses Verzeichnisses mit dem Benutzerauthentifzierungsdienst authentifizieren möchten. Der Benutzerauthentifzierungsdienst muss bereits installiert sein. Wenn Sie Ja auswählen, werden die Authentifizierungsmethode „Kennwort“ (Cloud-Bereitstellung) und ein Identitätsprovider namens IDP für `directoryName` vom Typ „Eingebettet“ automatisch für das Verzeichnis erstellt. Wählen Sie Nein aus, wenn Sie die Benutzer dieses Verzeichnisses nicht mit dem Benutzerauthentifzierungsdienst authentifizieren möchten. Wenn Sie sich entscheiden, den Benutzerauthentifzierungsdienst später zu verwenden, können Sie die Authentifizierungsmethode vom Typ „Kennwort (Cloud-Bereitstellung)“ und den Identitätsanbieter für das Verzeichnis manuell erstellen. Wenn Sie dies tun, erstellen Sie einen neuen Identitätsanbieter für das Verzeichnis, indem Sie die Optionen Identitätsanbieter hinzufügen > Integrierten Identitätsanbieter erstellen auf der Seite Identitäts- und Zugriffsmanagement > Identitätsanbieter auswählen. Die Verwendung des vorab erstellten Identitätsanbieters mit dem Namen Integriert wird nicht empfohlen.
Hosts für die Benutzerauthentifizierung	Diese Option wird angezeigt, wenn Authentifizierung auf Ja festgelegt ist. Wählen Sie eine oder mehrere Benutzerauthentifzierungsdienst-Instanzen aus, die zur Authentifizierung von Benutzern dieses Verzeichnisses verwendet werden sollen. Alle Benutzerauthentifzierungsdienst-Instanzen, die bei dem Mandanten registriert sind und den Status „Aktiv“ aufweisen, werden aufgelistet. Wenn Sie mehrere Instanzen auswählen, sendet Workspace ONE Access Authentifizierungsanforderungen an die ausgewählten Instanzen in einer Round-Robin-Reihenfolge.
Benutzername	Wählen Sie das Kontoattribut, das den Benutzernamen enthält.
Externe ID	Das Attribut, das Sie als eindeutige Kennung für Benutzer im Verzeichnis Workspace ONE Access verwenden möchten. Der Standardwert lautet objectGUID. Sie können eine externe ID für alle der folgenden Attribute festlegen: Beliebiges Zeichenfolgenattribut wie sAMAccountName oder distinguishedName Die Binärattribute objectSid, objectGUID oder mS-DS-ConsistencyGuid Die Einstellung für „Externe ID“ gilt nur für Benutzer in Workspace ONE Access. Bei Gruppen wird die externe ID immer auf objectGUID festgelegt und kann nicht geändert werden. Wichtig: Alle Benutzer müssen einen eindeutigen und nicht leeren Wert aufweisen, der für das Attribut definiert ist. Der Wert muss innerhalb des Workspace ONE Access-Mandanten eindeutig sein. Wenn ein Benutzer keinen Wert für das Attribut hat, wird das Verzeichnis nicht synchronisiert. Beachten Sie bei der Einstellung der externen ID die folgenden Überlegungen: Wenn Sie Workspace ONE Access in Workspace ONE UEM integrieren, stellen Sie sicher, dass Sie die externe ID in beiden Produkten auf dasselbe Attribut festlegen. Sie können die externe ID nach dem Erstellen des Verzeichnisses ändern. Es empfiehlt sich jedoch, die externe ID vor der Synchronisierung von Benutzern mit Workspace ONE Access festzulegen. Wenn Sie die externe ID ändern, werden die Benutzer neu erstellt. Infolgedessen werden alle Benutzer abgemeldet und müssen sich erneut anmelden. Sie müssen außerdem Benutzerrechte für Web-Anwendungen und ThinApps neu konfigurieren. Die Berechtigungseinstellungen für Horizon, Horizon Cloud und Citrix werden gelöscht und bei der nächsten Synchronisierung der Berechtigungsoptionen neu erstellt. Die Option „Externe ID“ ist mit Workspace ONE Access Connector 20.10 und 19.03.0.1 verfügbar. Alle Konnektoren, die mit dem Workspace ONE Access-Dienst verknüpft sind, müssen die Version 20.10 aufweisen oder alle Konnektoren müssen die Version 19.03.0.1 aufweisen. Wenn verschiedene Versionen des Konnektors mit dem Dienst verknüpft sind, wird die Option „Externe ID“ nicht angezeigt.

Wählen Sie in den Abschnitten Serverstandort und Verschlüsselung eine der folgenden Optionen aus.

Option	Bezeichnung
Wenn Sie die DNS-Dienstspeicherort-Suche für Active Directory verwenden möchten	Mit dieser Option sucht und verwendet Workspace ONE Access optimale Domänencontroller. Wenn Sie die optimierte Auswahl von Domänencontrollern nicht verwenden möchten, wählen Sie diese Option nicht aus. Aktivieren Sie im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort. Wenn Ihr Active Directory Zugriff über SSL/TLS erfordert, aktivieren Sie im Abschnitt Verschlüsselung das Kontrollkästchen STARTTLS sind für alle Verbindungen erforderlich. Hinweis: Wenn die Option Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort ausgewählt ist, wird STARTTLS für die Verschlüsselung über Port 389 verwendet. Wenn die Option Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, wird LDAPS für die Verschlüsselung über Port 636 verwendet. Kopieren Sie die Zwischenzertifikate der Domänencontroller (falls verwendet) und die Stammzertifikate der Zertifizierungsstelle in das Textfeld SSL-Zertifikat(e). Geben Sie zuerst das Zwischen-CA-Zertifikat und dann das Root-CA-Zertifikat ein. Vergewissern Sie sich, dass jedes Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält. Wenn die Domänencontroller über Zertifikate von mehreren Zwischen- und Root-Zertifizierungsstellen verfügen, geben Sie alle Zwischen-Root-CA-Zertifikatsketten nacheinander ein. Beispiel: -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 2> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 2> ... -----END CERTIFICATE----- Hinweis: Wenn für das Active Directory Zugriff über SSL/TLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie die Zertifikate nicht bereitstellen.
Wenn Sie die DNS-Dienstspeicherort-Suche für Active Directory nicht verwenden möchten	Stellen Sie sicher, dass im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, und geben Sie den Active Directory-Serverhostnamen und die Portnummer ein. Wenn Sie das Verzeichnis als globalen Katalog konfigurieren möchten, lesen Sie den Abschnitt „Active Directory-Umgebung mit mehreren Domänen in einer einzelnen Struktur“ in Integrieren von Active Directory in Workspace ONE Access. Wenn Ihr Active Directory Zugriff über SSL/TLS erfordert, aktivieren Sie im Abschnitt Verschlüsselung das Kontrollkästchen LDAPS für alle Verbindungen erforderlich. Hinweis: Wenn die Option Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort ausgewählt ist, wird STARTTLS für die Verschlüsselung über Port 389 verwendet. Wenn die Option Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, wird LDAPS für die Verschlüsselung über Port 636 verwendet. Kopieren Sie die Zwischenzertifikate der Domänencontroller (falls verwendet) und das Stammzertifikat der Zertifizierungsstelle in das Textfeld SSL-Zertifikat(e). Geben Sie zuerst das Zwischen-CA-Zertifikat und dann das Root-CA-Zertifikat ein. Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält. Hinweis: Wenn für das Active Directory Zugriff über SSL/TLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.
Wenn Sie das Verzeichnis als globalen Katalog integrieren	Deaktivieren Sie im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort. Aktivieren Sie die Option Dieses Verzeichnis verfügt über einen globalen Katalog. Geben Sie im Textfeld Serverhost den Hostnamen des Active Directory-Servers ein. Der Serverport ist auf 3268 festgelegt. Wenn Sie „SSL/TLS“ im Abschnitt Verschlüsselung auswählen, wird der Port auf 3269 festgelegt. Wenn Ihr Active Directory Zugriff über SSL/TLS erfordert, wählen Sie im Abschnitt Verschlüsselung die Option LDAPS für alle Verbindungen erforderlich aus. Kopieren Sie die Zwischenzertifikate der Domänencontroller (falls verwendet) und das Stammzertifikat der Zertifizierungsstelle in das Textfeld SSL-Zertifikat(e). Geben Sie zuerst das Zwischen-CA-Zertifikat und dann das Root-CA-Zertifikat ein. Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält.

Geben Sie im Abschnitt Bind-Benutzerdetails die folgenden Informationen ein.

Option	Bezeichnung
Basis-DN	Geben Sie den DN ein, von dem aus Kontosuchvorgänge gestartet werden sollen. Beispiel: OU=MeineEinheit,DC=MeineFirma,DC=com. Wichtig: Der Basis-DN wird für die Authentifizierung verwendet. Es können nur Benutzer unter dem Basis-DN authentifiziert werden. Stellen Sie sicher, dass die Gruppen-DNs und die Benutzer-DNs, die Sie zu einem späteren Zeitpunkt für die Synchronisierung angeben, unter diesen Basis-DN fallen. Hinweis: Wenn Sie das Verzeichnis als globalen Katalog hinzufügen, wird der Basis-DN nicht benötigt und die Option wird nicht angezeigt .
Bind-Benutzer-DN	Geben Sie das Konto ein, das nach Benutzern suchen darf. Beispiel: CN=Bind-Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=com. Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
Bind-Benutzerkennwort	Das Bind-Benutzerkennwort.

Wenn Sie Active Directory über die integrierte Windows-Authentifizierung integrieren, führen Sie die folgenden Schritte aus.

Treffen Sie im Abschnitt Verzeichnissynchronisierung und Authentifizierung die folgende Auswahl.

Option	Bezeichnung
Hosts für die Verzeichnissynchronisierung	Wählen Sie mindestens eine Verzeichnissynchronisierungsdienst-Instanz aus, die zur Synchronisierung dieses Verzeichnisses verwendet werden soll. Alle Verzeichnissynchronisierungsdienst-Instanzen, die beim Mandanten registriert sind und sich im Status „Aktiv“ befinden, werden aufgelistet. Wenn Sie mehrere Instanzen auswählen, verwendet Workspace ONE Access die erste ausgewählte Instanz in der Liste, um das Verzeichnis zu synchronisieren. Wenn die erste Instanz nicht verfügbar ist, wird die nächste ausgewählte Instanz verwendet usw. Sie können die Liste nach dem Erstellen des Verzeichnisses auf der Seite „Synchronisierungseinstellungen“ des Verzeichnisses neu anordnen.
Authentifizierung	Wählen Sie Ja aus, wenn Sie Benutzer dieses Verzeichnisses mit dem Benutzerauthentifzierungsdienst authentifizieren möchten. Der Benutzerauthentifzierungsdienst muss bereits installiert sein. Wenn Sie Ja auswählen, werden die Authentifizierungsmethode „Kennwort“ (Cloud-Bereitstellung) und ein Identitätsprovider namens IDP für `Verzeichnis` vom Typ „Eingebettet“ automatisch für das Verzeichnis erstellt. Wählen Sie Nein aus, wenn Sie die Benutzer dieses Verzeichnisses nicht mit dem Benutzerauthentifzierungsdienst authentifizieren möchten. Wenn Sie Ihre Meinung später ändern, können Sie die Authentifizierungsmethode vom Typ „Kennwort (Cloud-Bereitstellung)“ und den Identitätsanbieter für das Verzeichnis manuell erstellen. Wenn Sie dies tun, erstellen Sie einen neuen Identitätsanbieter für das Verzeichnis, indem Sie die Optionen Identitätsanbieter hinzufügen > Integrierten Identitätsanbieter erstellen auf der Seite Identitäts- und Zugriffsmanagement > Identitätsanbieter auswählen. Die Verwendung des vorab erstellten Identitätsanbieters mit dem Namen Integriert wird nicht empfohlen.
Hosts für die Benutzerauthentifizierung	Diese Option wird angezeigt, wenn Authentifizierung auf Ja festgelegt ist. Wählen Sie eine oder mehrere Benutzerauthentifzierungsdienst-Instanzen aus, die zur Authentifizierung von Benutzern dieses Verzeichnisses verwendet werden sollen. Alle Benutzerauthentifzierungsdienst-Instanzen, die bei dem Mandanten registriert sind und den Status „Aktiv“ aufweisen, werden aufgelistet. Wenn Sie mehrere Instanzen auswählen, sendet Workspace ONE Access Authentifizierungsanforderungen an die ausgewählten Instanzen in einer Round-Robin-Reihenfolge.
Benutzername	Wählen Sie das Kontoattribut, das den Benutzernamen enthält.
Externe ID	Das Attribut, das Sie als eindeutige Kennung für Benutzer im Verzeichnis Workspace ONE Access verwenden möchten. Der Standardwert lautet objectGUID. Sie können eine externe ID für alle der folgenden Attribute festlegen: Beliebiges Zeichenfolgenattribut wie sAMAccountName oder distinguishedName Die Binärattribute objectSid, objectGUID oder mS-DS-ConsistencyGuid Die Einstellung für „Externe ID“ gilt nur für Benutzer in Workspace ONE Access. Bei Gruppen wird die externe ID immer auf objectGUID festgelegt und kann nicht geändert werden. Wichtig: Alle Benutzer müssen über einen eindeutigen Wert verfügen, der für das Attribut definiert ist. Der Wert muss innerhalb des Workspace ONE Access-Mandanten eindeutig sein. Beachten Sie bei der Einstellung der externen ID die folgenden Überlegungen: Wenn Sie Workspace ONE Access in Workspace ONE UEM integrieren, stellen Sie sicher, dass Sie die externe ID in beiden Produkten auf dasselbe Attribut festlegen. Sie können die externe ID nach dem Erstellen des Verzeichnisses ändern. Es empfiehlt sich jedoch, die externe ID vor der Synchronisierung von Benutzern mit Workspace ONE Access festzulegen. Wenn Sie die externe ID ändern, werden die Benutzer neu erstellt. Infolgedessen werden alle Benutzer abgemeldet und müssen sich erneut anmelden. Sie müssen außerdem Benutzerrechte für Web-Anwendungen und ThinApps neu konfigurieren. Die Berechtigungseinstellungen für Horizon, Horizon Cloud und Citrix werden gelöscht und bei der nächsten Synchronisierung der Berechtigungsoptionen neu erstellt. Die Option „Externe ID“ ist mit Workspace ONE Access Connector 20.10 und 19.03.0.1 verfügbar. Alle Konnektoren, die mit dem Workspace ONE Access-Dienst verknüpft sind, müssen die Version 20.10 aufweisen oder alle Konnektoren müssen die Version 19.03.0.1 aufweisen. Wenn verschiedene Versionen des Konnektors mit dem Dienst verknüpft sind, wird die Option „Externe ID“ nicht angezeigt.

Im Abschnitt Verschlüsselung ist keine Aktion erforderlich. Verzeichnisse vom Typ Active Directory über integrierte Windows-Authentifizierung verwenden die SASL-Kerberos-Bindung automatisch. Sie brauchen LDAPS oder STARTTLS nicht zu aktivieren.
Geben Sie im Abschnitt Bind-Benutzerdetails den Benutzernamen und das Kennwort des Bind-Benutzers ein, der über die Berechtigung zur Abfrage von Benutzern und Gruppen für die erforderlichen Domänen verfügt. Geben Sie den Benutzernamen als „sAMAccountName@domain“ ein, wobei „domain“ der vollqualifizierte Domänenname ist. Beispielsweise jdoe@example.com.

Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

Klicken Sie auf Speichern und weiter.
Wählen Sie auf der Seite „Domänen auswählen“ ggf. Domänen aus und klicken Sie dann auf Weiter.
- Für ein Verzeichnis vom Typ Active Directory über LDAP sind die Domänen aufgeführt und bereits ausgewählt.
- Bei Verwendung eines Verzeichnisses vom Typ „Active Directory über integrierte Windows-Authentifizierung“ wählen Sie die Domänen aus, die dieser Active Directory-Verbindung zugeordnet werden sollen. Alle Domänen mit einer bidirektionalen Vertrauensbeziehung mit der Basisdomäne werden aufgelistet.
  Wenn Domänen mit einer bidirektionalen Vertrauensbeziehung mit der Basisdomäne zu Active Directory hinzugefügt werden, nachdem das Workspace ONE Access-Verzeichnis erstellt wurde, können Sie sie über die Seite Synchronisierungseinstellungen > Domänen des Verzeichnisses hinzufügen, indem Sie die neueste Liste mit einem Klick auf „Aktualisieren“ abrufen.
  
  Tipp: Wählen Sie vertrauenswürdige Domänen nacheinander aus, anstatt alle Domänen gleichzeitig auszuwählen. Dadurch wird sichergestellt, dass die Domänenspeicherung kein Vorgang mit langer Ausführungsdauer ist, der potenziell zu einer Zeitüberschreitung führen kann. Durch die sequentielle Auswahl von Domänen wird sichergestellt, dass der Verzeichnissynchronisierungsdienst Zeit damit verbringt, nur eine einzige Domäne aufzulösen.
- Wenn Sie ein Active Directory über LDAP-Verzeichnis erstellen, bei dem die Option „Globaler Katalog“ ausgewählt ist, wird die Registerkarte „Domänen“ nicht angezeigt.
Überprüfen Sie auf der Seite „Benutzerattribut zuordnen“, ob die Workspace ONE Access-Verzeichnis-Attributnamen den richtigen Active Directory-Attributen zugeordnet sind, und nehmen Sie ggf. Änderungen vor. Klicken Sie dann auf Weiter.

Wichtig: Wenn ein Attribut als erforderlich gekennzeichnet ist, muss sein Wert für alle Benutzer festgelegt werden, die synchronisiert werden sollen. Benutzerdatensätze, bei denen Werte für die erforderlichen Attribute fehlen, werden nicht synchronisiert.
Befolgen Sie die Anweisungen in Auswählen von Benutzern und Gruppen für die Synchronisierung mit dem Workspace ONE Access-Verzeichnis zum Hinzufügen von Gruppen auf der Seite Gruppen für die Synchronisierung auswählen sowie zum Hinzufügen von Benutzern auf der Seite Benutzer für die Synchronisierung auswählen.
Richten Sie auf der Seite „Synchronisierungshäufigkeit“ einen Synchronisierungszeitplan ein, um Benutzer und Gruppen in regelmäßigen Abständen zu synchronisieren, oder wählen Sie Manuell in der Dropdown-Liste Synchronisierungshäufigkeit aus, wenn Sie keinen Zeitplan festlegen möchten.
Die Zeit wird in UTC festgelegt.

Tipp: Planen Sie die Synchronisierungsintervalle länger als die Synchronisierungsdauer. Wenn Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden und die nächste Synchronisierung bereits geplant ist, wird die neue Synchronisierung unmittelbar nach Abschluss der vorherigen gestartet.

Wenn Sie Manuell auswählen, müssen Sie auf der Seite „Verzeichnis“ auf die Schaltfläche Synchronisieren klicken, wenn Sie das Verzeichnis synchronisieren möchten.
Klicken Sie auf Speichern, um das Verzeichnis zu erstellen, oder auf Verzeichnis synchronisieren, um das Verzeichnis zu erstellen und mit der Synchronisierung zu beginnen.

Ergebnisse

Die Verbindung zu Active Directory wird hergestellt. Wenn Sie auf Verzeichnis synchronisieren geklickt haben, werden Benutzer und Gruppennamen von Active Directory mit dem Workspace ONE Access-Verzeichnis synchronisiert.

Weitere Informationen dazu, wie Gruppen synchronisiert werden, finden Sie unter „Verwalten von Benutzern und Gruppen“ in Administration von VMware Workspace ONE Access.

Nächste Maßnahme

Wenn Sie die Authentifizierungsoption auf „Ja“ festlegen, wird automatisch ein Identitätsanbieter mit dem Namen IDP für Verzeichnisname und eine Authentifizierungsmethode vom Typ „Kennwort (Cloud-Bereitstellung)“ für das Verzeichnis erstellt. Sie können diese auf den Seiten Identitäts- und Zugriffsmanagement > Verwalten > Identitätsanbieter und Enterprise-Authentifizierungsmethoden anzeigen. Sie können auch weitere Authentifizierungsmethoden für das Verzeichnis über die Registerkarte Enterprise-Authentifizierungsmethoden erstellen. Informationen zum Erstellen von Authentifizierungsmethoden finden Sie unter Verwalten von Benutzerauthentifizierungsmethoden in Workspace ONE Access.
Überprüfen Sie die Standardzugriffsrichtlinie auf der Seite Identitäts- und Zugriffsmanagement > Verwalten > Richtlinien.
Überprüfen Sie die Standardeinstellungen für die Synchronisierungs-Schutzmaßnahmen und nehmen Sie bei Bedarf Änderungen vor. Weitere Informationen finden Sie unter Einrichten von Schutzmaßnahmen für die Verzeichnissynchronisierung in Workspace ONE Access.