Sie können die Kennwortauthentifizierung (Cloud) in der Workspace ONE Access-Konsole auf der Seite „Unternehmensauthentifizierung“ konfigurieren und bearbeiten, nachdem der Verzeichnissynchronisierungsdienst mit Ihrem Active Directory konfiguriert wurde.

Welche Textfelder Sie für die Kennwortauthentifizierung (Cloud) konfigurieren, richtet sich nach dem ausgewählten Verzeichnistyp. Nachfolgend ist eine Liste der Verzeichnistypen für die Kennwortauthentifizierung aufgeführt.
  • Active Directory mit festem Host und Port
  • Active Directory mit DNS-Lookup
  • Verzeichnis des globalen Katalogs
  • IWA-Verzeichnis
  • LDAP-Verzeichnis

Weitere Informationen dazu, wie der Verzeichnissynchronisierungsdienst in Ihr Active Directory integriert wird, finden Sie im Handbuch „Verzeichnisintegrationen mit Workspace ONE Access“.

Voraussetzungen

  • Der Verzeichnissynchronisierungsdienst wurde auf einem Workspace ONE Access Connector installiert.
  • Die Verzeichnisse wurden im Abschnitt „Identitäts- und Zugriffsmanagement“ in der Workspace ONE Access-Konsole konfiguriert.
  • Benutzerattribute wurden Active Directory ordnungsgemäß zugeordnet.

Prozedur

  1. Wählen Sie in der Workspace ONE Access-Konsole auf der Registerkarte „Identitäts- und Zugriffsmanagement“ die Option Verwalten > Methoden der Enterprise-Authentifizierung aus.
  2. Klicken Sie auf NEU und wählen Sie Kennwort (Cloud-Bereitstellung) aus.
  3. Wählen Sie im Bildschirm „Verzeichnis und Hosts“ das Verzeichnis und den Diensthost aus, das bzw. der mit der Kennwortauthentifizierung konfiguriert werden soll.
  4. Konfigurieren Sie auf der Seite „Konfiguration“ die Authentifizierungsmethode „Kennwort (Cloud-Bereitstellung)“.
    Verzeichnistyp Option Aktion
    Alle Typen Anzahl der zulässigen Authentifizierungsversuche. Geben Sie die bei Verwendung der Kennwortauthentifizierung für ein Verzeichnis maximal zulässige Anzahl fehlgeschlagener Anmeldeversuche ein. Die Standardeinstellung ist 2 Versuche.
    Alle Typen Verzeichnistyp Wählen Sie den Typ des Verzeichnisses aus, den Sie bei der Installation des Verzeichnissynchronisierungsdiensts im Konnektorserver eingerichtet haben.

    Active Directory mit festem Host und Port Server-Port Wählen Sie den für Active Directory verwendeten Port aus, entweder 389 oder 636 für standardmäßige LDAP-Abfragen.

    Geben Sie für globale Katalogabfragen entweder Port 3268 oder 3269 ein.

    Active Directory mit festem Host und Port Server-Host Wählen Sie mindestens eine zu verwendende Verzeichnissynchronisierungsdienst-Instanz aus.
    Alle Typen Kommunikationsmodus Der Basismodus ist standardmäßig ausgewählt. Sie können den Kommunikationsmodus ändern.
    • Wählen Sie SSL aus, wenn SSL/TLS für die Kommunikation mit dem Verzeichnis verwendet wird.
    • Wählen Sie STARTTLS aus, wenn der DNS-Dienstspeicherort und SSL für die Kommunikation mit dem Verzeichnis verwendet werden. Fügen Sie die Zertifikate hinzu.
    Alle Typen Verzeichniszertifikat Wenn das Unternehmensverzeichnis Zugriff über SSL benötigt, kopieren Sie das CA-SSL-Stammzertifikat des Unternehmensverzeichnisservers und fügen Sie es in das Textfeld ein. Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält.
    Active Directory mit DNS-Lookup DNS-Dienstspeicherort verwenden Aktivieren Sie dieses Kontrollkästchen, um die DNS-Dienstspeicherort-Datensätze zum Ermitteln der Active Directory-Domänen zu verwenden.

    Falls Sie die DNS-Dienstidentifizierungssuche nicht verwenden, deaktivieren Sie das Kontrollkästchen und geben Sie den Hostnamen und den Port für den Active Directory-Server ein.

    • Active Directory mit festem Host und Port
    • Active Directory mit DNS-Lookup
    • IWA-Verzeichnis
    • LDAP-Verzeichnis
    Basis-DN Geben Sie den DN, von dem aus die Suche gestartet werden soll, in das Verzeichnis ein. Beispiel: cn=users,dc=example,dc=com.
    Alle Typen Bind-DN/Benutzername (IWA) Geben Sie den Benutzernamen ein, der für die Suche nach Benutzern verwendet werden soll. Beispiel: CN=Bind-Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=com.
    Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
    Alle Typen Bind-Kennwort Geben Sie das Bind-DN-Benutzerkennwort ein.
    • Active Directory mit festem Host und Port
    • Active Directory mit DNS-Lookup
    • IWA-Verzeichnis
    Suchattribut Geben Sie das Kontoattribut ein, das den Benutzernamen enthält. Es kann „sAMAcountName“, „UPN“ oder „Benutzerdefiniert“ sein.
    • LDAP-Verzeichnis
    Benutzerdefiniertes Verzeichnissuchattribut für Benutzer Wenn Sie im Textfeld „Suchattribut“ die Option „Benutzerdefiniert“ eingeben, geben Sie das benutzerdefinierte Suchattribut ein, das zur Abfrage Ihres LDAP-Verzeichnisses zum Abrufen von Benutzer- und Gruppennamen verwendet werden soll. Beispiel: UID.
    • Active Directory mit festem Host und Port
    • Active Directory mit DNS-Lookup
    • IWA-Verzeichnis
    Filterabfrage zum Abrufen von AD-Benutzern Geben Sie die Suchfilter ein, die zur Abfrage Ihres Unternehmensverzeichnisses verwendet werden.
    • Gruppiert den Suchfilter, um Gruppen zu erhalten. Beispiel: (objectClass = groupOfNames).
    • Benutzersuchfilter, um zu synchronisierende Benutzer zu erhalten. Beispiel: (&(objectClass=user) (objectCategory=person))
    • Active Directory mit festem Host und Port
    • Active Directory mit DNS-Lookup
    • IWA-Verzeichnis
    • Verzeichnis des globalen Katalogs
    Format der SAML-Namens-ID Geben Sie den nameIdFormat-Wert ein, der zur Identifizierung des Benutzers nach der Authentifizierung verwendet wird. Standardmäßig ist der Wert das UID-Attribut für die Verzeichnissuche.
    Alle Typen Funktion für die Kennwortänderung aktiviert Aktivieren Sie diese Funktion, damit Benutzer ihre Active Directory-Kennwörter auf der Anmeldeseite von Workspace ONE Access zurücksetzen können.
    Alle Typen Domäne auf Anmeldeseite anzeigen Aktivieren Sie dieses Kontrollkästchen, um die Systemdomäne als Option anzuzeigen, wenn sich Benutzer anmelden. Wenn diese Option deaktiviert ist und nur eine Domäne verfügbar ist, wird die Seite zur Domänenauswahl nicht angezeigt.
  5. Klicken Sie auf WEITER, um die Konfiguration zu überprüfen, und klicken Sie dann auf SPEICHERN.

Ergebnisse

Nächste Maßnahme

Fügen Sie „Kennwort (Cloud-Bereitstellung)“ als Authentifizierungsmethode zum integrierten Identitätsanbieter hinzu.

Fügen Sie der Standardzugriffsrichtlinie die Authentifizierungsmethode hinzu. Wechseln Sie zur Seite „Identitäts- und Zugriffsmanagement“ > „Verwalten“ > „Richtlinien“ und bearbeiten Sie die Standardrichtlinienregeln, um der Regel die Kennwortauthentifizierungsmethode hinzuzufügen. Siehe Verwalten von Zugriffsrichtlinien.