Sie können die Kennwortauthentifizierung (Cloud) in der Workspace ONE Access-Konsole auf der Seite „Connector-Authentifizierungsmethode“ konfigurieren und bearbeiten, nachdem der Verzeichnissynchronisierungsdienst mit Ihrem Unternehmensverzeichnis konfiguriert wurde.

Welche Textfelder Sie für die Kennwort-(Cloud-)Authentifizierung konfigurieren, hängt von der Art des ausgewählten Verzeichnisses ab. Nachfolgend ist eine Liste der Verzeichnistypen für die Kennwortauthentifizierung aufgeführt.
  • Active Directory mit festem Host und Port
  • Active Directory mit DNS-Lookup
  • Verzeichnis des globalen Katalogs
  • IWA-Verzeichnis
  • LDAP-Verzeichnis

Weitere Informationen zur Integration des Verzeichnissynchronisierungsdiensts in Ihr Unternehmensverzeichnis finden Sie im Handbuch „Verzeichnisintegrationen mit Workspace ONE Access“.

Voraussetzungen

  • Installieren Sie den Workspace ONE Access-Connector mit dem für den Connector konfigurierten Benutzerauthentifizierungsdienst. Weitere Informationen finden Sie in der neuesten Version des Installationshandbuchs für VMware Workspace ONE Access Connector.
    • Stellen Sie sicher, dass alle Benutzerauthentifizierungsdienst-Instanzen in Ihrer Umgebung auf dem Workspace ONE Connector Version 21.08 konfiguriert sind. Sie können die Authentifizierungsmethoden des Benutzerauthentifizierungsdienstes nicht konfigurieren, wenn Sie die Connector-Versionen 21.08 und 20.x des Benutzerauthentifizierungsdienstes mischen.
  • Der Verzeichnissynchronisierungsdienst wurde auf einem Workspace ONE Access Connector installiert.
  • Im Abschnitt „Integrationen“ der Workspace ONE Access-Konsole konfigurierte Verzeichnisse.
  • Die Benutzerattribute wurden Ihrem Unternehmensverzeichnis ordnungsgemäß zugeordnet.

Prozedur

  1. Klicken Sie in der Workspace ONE Access-Konsole auf der Seite Integrationen > Methode für Konnektor-Authentifizierung auf NEU und wählen Sie Kennwort (Cloud-Bereitstellung) aus.
  2. Wählen Sie das -Verzeichnis und den -Diensthost aus, der mit der Kennwortauthentifizierung konfiguriert ist.
  3. Konfigurieren Sie auf der Seite „Konfiguration“ die Einstellungen für die Authentifizierungsmethode „Kennwort (Cloud-Bereitstellung)“.
    Verzeichnistyp Option Aktion
    Alle Typen Anzahl der zulässigen Authentifizierungsversuche. Geben Sie die bei Verwendung der Kennwortauthentifizierung für ein Verzeichnis maximal zulässige Anzahl fehlgeschlagener Anmeldeversuche ein. Die Standardeinstellung ist zwei Versuche.
    Alle Typen Verzeichnistyp Wählen Sie den Typ des Verzeichnisses aus, den Sie bei der Installation des Verzeichnissynchronisierungsdiensts im Konnektorserver eingerichtet haben.

    Active Directory mit festem Host und Port Server-Port Wählen Sie den für Active Directory verwendeten Port aus, entweder 389 oder 636 für standardmäßige LDAP-Abfragen.

    Geben Sie für globale Katalogabfragen entweder Port 3268 oder 3269 ein.

    Active Directory mit festem Host und Port Server-Host Wählen Sie mindestens eine zu verwendende Verzeichnissynchronisierungsdienst-Instanz aus.
    Alle Typen Kommunikationsmodus Der Basismodus ist standardmäßig ausgewählt. Sie können den Kommunikationsmodus ändern.
    • Wählen Sie SSL aus, wenn SSL/TLS für die Kommunikation mit dem Verzeichnis verwendet wird.
    • Wählen Sie STARTTLS aus, wenn der DNS-Dienstspeicherort und SSL für die Kommunikation mit dem Verzeichnis verwendet werden. Fügen Sie die Zertifikate hinzu.
    Alle Typen Verzeichniszertifikat Wenn das Unternehmensverzeichnis Zugriff über SSL/TLS benötigt, kopieren Sie das CA-SSL-Stammzertifikat des Unternehmensverzeichnisservers und fügen Sie es in das Textfeld ein. Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält.
    Active Directory mit DNS-Lookup DNS-Dienstspeicherort verwenden Aktivieren Sie dieses Kontrollkästchen, um die DNS-Dienstspeicherort-Datensätze zum Ermitteln der Active Directory-Domänen zu verwenden.

    Falls Sie die DNS-Dienstidentifizierungssuche nicht verwenden, deaktivieren Sie das Kontrollkästchen und geben Sie den Hostnamen und den Port für den Active Directory-Server ein.

    • Active Directory mit festem Host und Port
    • Active Directory mit DNS-Lookup
    • IWA-Verzeichnis
    • LDAP-Verzeichnis
    Basis-DN Geben Sie den DN, von dem aus die Suche gestartet werden soll, in das Verzeichnis ein. Beispiel: cn=users,dc=example,dc=com.
    Alle Typen Bind-DN/Benutzername (IWA) Geben Sie den Benutzernamen ein, der für die Suche nach Benutzern verwendet werden soll. Beispiel: CN=Bind-Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=com.
    Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
    Alle Typen Bind-Kennwort Geben Sie das Bind-DN-Benutzerkennwort ein.
    • Active Directory mit festem Host und Port
    • Active Directory mit DNS-Lookup
    • IWA-Verzeichnis
    Suchattribut Geben Sie das Kontoattribut ein, das den Benutzernamen enthält. Es kann „sAMAcountName“, „UPN“ oder „Benutzerdefiniert“ sein.
    • LDAP-Verzeichnis
    Benutzerdefiniertes Verzeichnissuchattribut für Benutzer Wenn Sie im Textfeld „Suchattribut“ die Option „Benutzerdefiniert“ eingeben, geben Sie das benutzerdefinierte Suchattribut ein, das zur Abfrage Ihres LDAP-Verzeichnisses zum Abrufen von Benutzer- und Gruppennamen verwendet werden soll. Beispiel: UID.
    • Active Directory mit festem Host und Port
    • Active Directory mit DNS-Lookup
    • IWA-Verzeichnis
    Filterabfrage zum Abrufen von AD-Benutzern Geben Sie die Suchfilter ein, die zur Abfrage Ihres Unternehmensverzeichnisses verwendet werden.
    • Gruppiert den Suchfilter, um Gruppen zu erhalten. Beispiel: (objectClass = groupOfNames).
    • Benutzersuchfilter, um zu synchronisierende Benutzer zu erhalten. Beispiel: (&(objectClass=user) (objectCategory=person))
    • Active Directory mit festem Host und Port
    • Active Directory mit DNS-Lookup
    • IWA-Verzeichnis
    • Verzeichnis des globalen Katalogs
    Format der SAML-Namens-ID Geben Sie den nameIdFormat-Wert ein, der zur Identifizierung des Benutzers nach der Authentifizierung verwendet wird. Standardmäßig ist der Wert das UID-Attribut für die Verzeichnissuche.
    Alle Typen Funktion für die Kennwortänderung aktiviert Aktivieren Sie diese Funktion, damit Benutzer ihre Active Directory-Kennwörter auf der Anmeldeseite von Workspace ONE Access zurücksetzen können.
    Alle Typen Domäne auf Anmeldeseite anzeigen Aktivieren Sie dieses Kontrollkästchen, um die Systemdomäne als Option anzuzeigen, wenn sich Benutzer anmelden. Wenn diese Option deaktiviert ist und nur eine Domäne verfügbar ist, wird die Seite zur Domänenauswahl nicht angezeigt.
  4. Klicken Sie auf WEITER, um die Konfiguration zu überprüfen, und klicken Sie dann auf SPEICHERN.

Nächste Maßnahme

Fügen Sie „Kennwort (Cloud-Bereitstellung)“ als Authentifizierungsmethode für den integrierten Identitätsanbieter im Abschnitt „Integrationen“ hinzu.

Fügen Sie der Standardzugriffsrichtlinie die Authentifizierungsmethode hinzu. Wechseln Sie in der Konsole zur Seite Ressourcen > Richtlinien und bearbeiten Sie die Standardrichtlinienregeln, um der Regel die Kennwortauthentifizierungsmethode hinzuzufügen. Siehe Verwalten von Zugriffsrichtlinien im Workspace ONE Access-Dienst.