In Workspace ONE Access können Sie ein Verzeichnis vom Typ „Andere“, das von Workspace ONE UEM synchronisierte Benutzer und Gruppen speichert, in ein Verzeichnis vom Typ „Active Directory über LDAP“ oder „Active Directory über integrierte Windows-Authentifizierung“ konvertieren, das Workspace ONE Access Connector zugewiesen ist. Nach der Konvertierung des Verzeichnisses wird der Verzeichnissynchronisierungsdienst von Workspace ONE Access Connector anstelle von ACC verwendet, um Benutzer und Gruppen aus Ihrem Unternehmensverzeichnis mit dem Workspace ONE Access-Dienst zu synchronisieren.

Voraussetzungen

  • Installieren Sie den Verzeichnissynchronisierungsdienst und den Benutzerauthentifizierungsdienst. Diese sind ab Version 20.01.0.0 als Komponenten von Workspace ONE Access Connector verfügbar. Weitere Informationen finden Sie in der neuesten Version von Installieren von VMware Workspace ONE Access Connector.
  • Die folgenden Active Directory-Informationen sind erforderlich:
    • Wenn Sie zu Active Directory über LDAP konvertieren, sind die Basis-DN sowie der Bind-Benutzer-DN und das entsprechende Kennwort erforderlich.

      Der Bind-Benutzer muss über die folgenden Berechtigungen in Active Directory verfügen, um Zugriff auf Objekte von Benutzern und Gruppen zu gewähren.

      • Lesen
      • Alle Eigenschaften lesen
      • Berechtigungen lesen

      Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

    • Für eine Konvertierung in Active Directory über die integrierte Windows-Authentifizierung benötigen Sie den Benutzernamen und das Kennwort des Bind-Benutzers, der über die Berechtigung zur Abfrage von Benutzern und Gruppen für die erforderlichen Domänen verfügt.

      Der Bind-Benutzer muss über die folgenden Berechtigungen in Active Directory verfügen, um Zugriff auf Objekte von Benutzern und Gruppen zu gewähren.

      • Lesen
      • Alle Eigenschaften lesen
      • Berechtigungen lesen

      Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

    • Wenn Ihr Active Directory Zugriff über SSL/TLS erfordert, sind die Zwischen- (falls verwendet) und Root-CA-Zertifikate der Domänencontroller für die entsprechenden Active Directory-Domänen erforderlich. Wenn die Domänencontroller über Zertifikate von mehreren Zwischen- und Root-Zertifizierungsstellen verfügen, sind alle Zwischen- und Root-CA-Zertifikate erforderlich.
    • Verfügen Sie über eine Active Directory-Umgebung mit integrierter Windows-Authentifizierung, in der mehrere Gesamtstrukturen konfiguriert sind, und enthält die lokale Domänengruppe Mitglieder aus Domänen in unterschiedlichen Gesamtstrukturen, müssen Sie sicherstellen, dass der Bind-DN-Benutzer der Administratorengruppe der Domäne hinzugefügt wurde, die die lokale Domänengruppe enthält. Wird dies versäumt, fehlen diese Benutzer in der lokalen Domänengruppe.
    • Für Active Directory über die integrierte Windows-Authentifizierung:
      • Für alle Domänencontroller, die in SRV-Datensätzen und ausgeblendeten RODCs aufgeführt sind, sollte die nslookup-Abfrage nach Hostnamen und IP-Adresse funktionieren.
      • Alle Domänencontroller müssen in Bezug auf die Netzwerkkonnektivität erreichbar sein.

Prozedur

  1. Navigieren Sie in der Workspace ONE Access-Konsole zu Identitäts- und Zugriffsmanagement > Verwalten > Verzeichnisse.
  2. Klicken Sie auf das Verzeichnis, das Sie konvertieren möchten.
  3. Klicken Sie auf der Seite „Verzeichnis“ auf die Schaltfläche Konvertieren.
  4. Ändern Sie, falls erforderlich, auf der Seite „Verzeichnis hinzufügen“ den Namen des Verzeichnisses und wählen Sie den Verzeichnistyp aus, zu dem Sie das „Andere Verzeichnis“, Active Directory über LDAP oder Active Directory über integrierte Windows-Authentifizierung konvertieren möchten.
  5. Geben Sie die Active Directory-Verbindungsinformationen ein und fahren Sie mit dem Assistenten zum Einrichten des Verzeichnisses fort.
    Der Prozess ist identisch mit dem Erstellen eines neuen Verzeichnisses. Detaillierte Informationen hierzu finden Sie unter Konfigurieren der Active Directory-Verbindung zum Workspace ONE Access-Dienst.

    Befolgen Sie diese Richtlinien beim Einrichten des Verzeichnisses.

    • Wählen Sie im Abschnitt Verzeichnissynchronisierung und -authentifizierung für Hosts für die Verzeichnissynchronisierung den Verzeichnissynchronisierungsdienst aus, den Sie installiert haben.

      Alle Konnektorinstanzen, auf denen der Verzeichnissynchronisierungsdienst installiert ist, werden aufgelistet. Sie können mehrere Instanzen auswählen. Workspace ONE Access verwendet die erste ausgewählte Instanz in der Liste, um das Verzeichnis zu synchronisieren. Wenn die erste Instanz nicht verfügbar ist, wird die nächste ausgewählte Instanz verwendet usw. Sie können die Liste nach dem Erstellen des Verzeichnisses auf der Seite „Synchronisierungseinstellungen“ des Verzeichnisses neu anordnen.

    • Wählen Sie für Authentifizierung die Option Ja aus. Wählen Sie auch die Benutzerauthentifizierungsdienst-Instanzen aus, die für die Authentifizierung verwendet werden sollen.
    • Stellen Sie sicher, dass Sie das konvertierte Verzeichnis identisch mit dem Workspace ONE UEM-Verzeichnis einrichten, sodass sie dieselbe Verzeichnisstruktur aufweisen. Wählen Sie dieselben Domänen aus. Bei der Angabe der zu synchronisierenden Benutzer und Gruppen treffen Sie dieselbe Auswahl wie für das Workspace ONE UEM-Verzeichnis, damit dieselben Benutzer und Gruppen mit dem konvertierten Verzeichnis synchronisiert werden.
    • Stellen Sie sicher, dass Sie die externe ID auf dasselbe Attribut festlegen, auf das sie in Workspace ONE UEM eingestellt ist.
  6. Klicken Sie auf der letzten Seite des Assistenten auf Verzeichnis synchronisieren.
    Das Verzeichnis wird konvertiert und eingerichtet, um den Verzeichnissynchronisierungsdienst zum Synchronisieren von Benutzern und Gruppen zu verwenden. Wenn Sie die Authentifizierungsoption auf „Ja“ festlegen, wird automatisch ein Identitätsanbieter mit dem Namen IDP für Verzeichnisname und eine Authentifizierungsmethode vom Typ „Kennwort (Cloud-Bereitstellung)“ für das Verzeichnis erstellt.
  7. (Optional) Um andere Authentifizierungsmethoden für das Verzeichnis zu aktivieren, navigieren Sie zur Seite Identitäts- und Zugriffsmanagement > Verwalten > Enterprise-Authentifizierungsmethoden und erstellen Sie Authentifizierungsmethoden für das Verzeichnis.
    Weitere Informationen hierzu finden Sie unter Verwalten von Benutzerauthentifizierungsmethoden in Workspace ONE Access.
  8. Bearbeiten Sie die Richtlinie „default_access_policy_set“ und alle benutzerdefinierten Richtlinien, um die Authentifizierungsmethode „Kennwort (AirWatch Connector)“ durch „Kennwort (Cloud-Bereitstellung)“ zu ersetzen.
    1. Navigieren Sie zu Identitäts- und Zugriffsmanagement > Verwalten > Richtlinien.
    2. Klicken Sie auf Standardrichtlinie bearbeiten und dann im Assistenten „Richtlinie bearbeiten“ auf Konfiguration.
    3. Bearbeiten Sie jede Richtlinienregel und ersetzen Sie die Authentifizierungsmethode Kennwort (AirWatch Connector) durch Kennwort (Cloud-Bereitstellung).
    4. Klicken Sie erneut auf die Registerkarte Richtlinien und bearbeiten Sie ggf. benutzerdefinierte Richtlinien, um die Authentifizierungsmethode Kennwort (AirWatch Connector) durch Kennwort (Cloud-Bereitstellung) zu ersetzen.
    5. (Optional) Ändern Sie die Richtlinien, um bei Bedarf zusätzliche Authentifizierungsmethoden zu verwenden.
    Wichtig: Wenn Sie „Kennwort (AirWatch Connector)“ nicht in „Kennwort (Cloud-Bereitstellung)“ oder in eine andere auf einem Benutzerauthentifzierungsdienst basierte Authentifizierungsmethode ändern, können sich die Benutzer des konvertierten Verzeichnisses nicht anmelden.

Nächste Maßnahme

Unterbinden Sie die Verzeichnissynchronisierung von Workspace ONE UEM in das konvertierte Verzeichnis.