Sie können Ihr LDAP-Unternehmensverzeichnis in VMware Workspace ONE Access integrieren, um Benutzer und Gruppen aus dem LDAP-Verzeichnis mit dem VMware Workspace ONE Access-Dienst zu synchronisieren.

Zum Integrieren Ihres LDAP-Verzeichnisses erstellen Sie ein entsprechendes VMware Workspace ONE Access-Verzeichnis und synchronisieren Benutzer und Gruppen aus dem LDAP-Verzeichnis mit dem VMware Workspace ONE Access-Verzeichnis. Sie können eine regelmäßige Synchronisierung für spätere Aktualisierungen einrichten.

Sie können auch die LDAP-Attribute auswählen, die für Benutzer synchronisiert werden sollen, und diese den VMware Workspace ONE Access-Attributen zuordnen.

Die LDAP-Verzeichniskonfiguration kann auf Standardschemata oder benutzerdefinierten Schemata basieren. Sie kann auch über benutzerdefinierte Attribute verfügen. Damit VMware Workspace ONE Access Ihr LDAP-Verzeichnis nach Benutzer- oder Gruppenobjekten abfragen kann, müssen Sie die LDAP-Suchfilter und Attributnamen angeben, die für Ihr LDAP-Verzeichnis gelten.

Insbesondere müssen Sie folgende Informationen angeben:

  • LDAP-Suchfilter zum Abfragen von Gruppen, Benutzern und des Verbindungsbenutzers
  • LDAP-Attributnamen für Gruppenmitgliedschaft, externe ID und eindeutiger Name oder gleichwertiges Attribut

Für die Funktion der LDAP-Verzeichnisintegration gelten bestimmte Einschränkungen. Weitere Informationen hierzu finden Sie unter Einschränkungen bei der Integration von LDAP-Verzeichnissen.

Voraussetzungen

  • Installieren Sie den Verzeichnissynchronisierungsdienst. Dieser ist ab Version 20.01.0.0 als Komponente von Workspace ONE Access Connector verfügbar. Weitere Informationen finden Sie in der neuesten Version von Installieren von VMware Workspace ONE Access Connector.

    Wenn Sie den Benutzerauthentifizierungsdienst zur Authentifizierung von Benutzern des Verzeichnisses verwenden möchten, installieren Sie auch die Komponente „Benutzerauthentifizierungsdienst“.

  • Überprüfen Sie die Benutzerattribute auf der Seite Einstellungen > Benutzerattribute und fügen Sie bei Bedarf weitere Attribute zur Synchronisierung hinzu. Sie ordnen die VMware Workspace ONE Access-Attribute den Attributen Ihres LDAP-Verzeichnisses beim Erstellen des Verzeichnisses zu. Diese Attribute werden für die im Verzeichnis aufgeführten Benutzer synchronisiert.
    Hinweis: Wenn Sie Änderungen an Benutzerattributen vornehmen, sollten Sie die Auswirkungen auf andere Verzeichnisse im Workspace ONE Access-Dienst berücksichtigen. Wenn Sie sowohl Active Directory als auch LDAP-Verzeichnisse hinzufügen möchten, dürfen Sie mit Ausnahme des Attributs userName, das als erforderlich gekennzeichnet werden kann, kein Attribut als erforderlich markieren. Die Einstellungen auf der Seite „Benutzerattribute“ gelten für alle Verzeichnisse im Dienst. Wenn ein Attribut als erforderlich markiert ist, werden Benutzer ohne dieses Attribut nicht mit dem VMware Workspace ONE Access-Dienst synchronisiert.
  • Ein Bind-DN-Benutzerkonto. Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
  • In Ihrem LDAP-Verzeichnis muss die UUID von Benutzern und Gruppen reines Textformat haben.
  • In Ihrem LDAP-Verzeichnis muss ein Domänenattribut für alle Benutzer und Gruppen vorhanden sein.

    Dieses Attribut ordnen Sie dem Attribut VMware Workspace ONE Access -Domäne beim Erstellen des VMware Workspace ONE Access-Verzeichnisses zu.

  • Benutzernamen dürfen keine Leerzeichen enthalten. Wenn ein Benutzername ein Leerzeichen enthält, wird der Benutzer zwar synchronisiert, verfügt jedoch nicht über Berechtigungen.
  • Bei Verwendung der zertifikatbasierten Authentifizierung müssen Benutzer Werte für die Attribute „Nutzerhauptname“ und „E-Mail-Adresse“ haben.

Prozedur

  1. Wählen Sie in der Workspace ONE Access-Konsole Integrationen > Verzeichnisse aus.
  2. Klicken Sie auf Verzeichnis hinzufügen und wählen Sie LDAP-Verzeichnis aus.
  3. Geben Sie die erforderlichen Informationen auf der Seite „Verzeichnis hinzufügen“ ein.
    Option Beschreibung
    Verzeichnisname Geben Sie einen Namen für das VMware Workspace ONE Access-Verzeichnis ein.
    Verzeichnissynchronisierung und Authentifizierung
    1. Wählen Sie für Hosts für die Verzeichnissynchronisierung eine oder mehrere Verzeichnissynchronisierungsdienst-Instanzen aus, die zur Synchronisierung dieses Verzeichnisses verwendet werden sollen. Alle mit dem Mandanten registrierten Verzeichnissynchronisierungsdienst-Instanzen werden aufgelistet. Sie können nur Instanzen auswählen, die den Status „Aktiv“ aufweisen.

      Wenn Sie mehrere Instanzen auswählen, verwendet Workspace ONE Access die erste ausgewählte Instanz in der Liste, um das Verzeichnis zu synchronisieren. Wenn die erste Instanz nicht verfügbar ist, wird die nächste ausgewählte Instanz verwendet usw. Sie können die Liste nach dem Erstellen des Verzeichnisses auf der Seite „Synchronisierungseinstellungen“ des Verzeichnisses neu anordnen.

    2. Wählen Sie für Authentifizierung die Option Ja aus, wenn Sie Benutzer dieses Verzeichnisses mit dem Benutzerauthentifizierungsdienst authentifizieren möchten. Der Benutzerauthentifzierungsdienst muss bereits installiert sein. Wenn Sie Ja auswählen, werden die Authentifizierungsmethode „Kennwort“ (Cloud-Bereitstellung) und ein Identitätsprovider namens IDP für directoryName vom Typ „Eingebettet“ automatisch für das Verzeichnis erstellt.

      Wählen Sie Nein aus, wenn Sie die Benutzer dieses Verzeichnisses nicht mit dem Benutzerauthentifzierungsdienst authentifizieren möchten. Wenn Sie sich entscheiden, den Benutzerauthentifzierungsdienst später zu verwenden, können Sie die Authentifizierungsmethode vom Typ „Kennwort (Cloud-Bereitstellung)“ und den Identitätsanbieter für das Verzeichnis manuell erstellen. Dadurch erstellen Sie einen neuen Identitätsanbieter für das Verzeichnis, indem Sie die Optionen Identitätsanbieter hinzufügen > Integrierten Identitätsanbieter erstellen auf der Seite Integrationen > Identitätsanbieter auswählen. Die Verwendung des vorab erstellten Identitätsanbieters mit dem Namen Integriert wird nicht empfohlen.

    3. Die Option Hosts für die Benutzerauthentifizierung wird angezeigt, wenn Authentifizierung auf Ja festgelegt ist. Wählen Sie eine oder mehrere Benutzerauthentifzierungsdienst-Instanzen aus, die zur Authentifizierung von Benutzern dieses Verzeichnisses verwendet werden sollen. Alle Benutzerauthentifzierungsdienst-Instanzen, die bei dem Mandanten registriert sind und den Status „Aktiv“ aufweisen, werden aufgelistet.

      Wenn Sie mehrere Instanzen auswählen, sendet Workspace ONE Access Authentifizierungsanforderungen an die ausgewählten Instanzen in einer Round-Robin-Reihenfolge.

    4. Wählen Sie im Textfeld Benutzername das für den Benutzernamen zu verwendende LDAP-Verzeichnisattribut aus. Wenn das Attribut nicht aufgeführt ist, wählen Sie Benutzerdefiniert aus und geben Sie den Namen des benutzerdefinierten Attributs ein, der für Benutzer und Gruppen verwendet werden soll. z. B.cn.
    Server-Speicherort Geben Sie den Host und die Portnummer des LDAP-Verzeichnisservers ein. Für den Server-Host können Sie entweder den vollqualifizierten Domänennamen (FQDN) oder die IP-Adresse angeben. Z. B. meinLDAPserver.beispiel.com oder 100.00.00.0.

    Wenn sich hinter einem Lastausgleichsdienst ein Server-Cluster befindet, geben Sie stattdessen die Informationen zum Lastausgleichsdienst ein.

    LDAP-Konfiguration Geben Sie die LDAP-Suchfilter und -Attribute an, die VMware Workspace ONE Access zur Abfrage Ihres LDAP-Verzeichnisses verwenden kann. Standardwerte werden auf Basis des LDAP-Grundschemas bereitgestellt.

    Filterabfragen

    • Gruppen: Der Suchfilter zum Abrufen von Gruppenobjekten.

      Z. B.: (objectClass=groupOfNames)

    • Verbindungsbenutzer: Der Suchfilter zum Abrufen des Objekts Verbindungsbenutzer, d. h. des Benutzers, der eine Verbindung zum Verzeichnis herstellen kann.

      Z. B.: (Objektklasse=Person)

    • Benutzer: Der Suchfilter zum Abrufen der zu synchronisierenden Benutzer.

      Z. B.:(&(Objektklasse=Benutzer)(Objektkategorie=Person))

    Attribute

    • Mitgliedschaft: Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren der Mitglieder einer Gruppe verwendet wird.

      Beispiel: Mitglied

    • Externe ID: Das Attribut, das Sie als eindeutige Kennung für Benutzer und Gruppen im Verzeichnis Workspace ONE Access verwenden möchten. Der Standardwert lautet entryUUID.
      Wichtig: Alle Benutzer müssen einen eindeutigen und nicht leeren Wert aufweisen, der für das Attribut definiert ist. Der Wert muss innerhalb des Workspace ONE Access-Mandanten eindeutig sein. Wenn ein Benutzer keinen Wert für das Attribut hat, wird das Verzeichnis nicht synchronisiert.

      Beachten Sie bei der Einstellung der externen ID die folgenden Überlegungen:

      • Wenn Sie Workspace ONE Access in Workspace ONE UEM integrieren, stellen Sie sicher, dass Sie die externe ID in beiden Produkten auf dasselbe Attribut festlegen.
      • Sie können die externe ID nach dem Erstellen des Verzeichnisses ändern. Es empfiehlt sich jedoch, die externe ID vor der Synchronisierung von Benutzern mit Workspace ONE Access festzulegen. Wenn Sie die externe ID ändern, werden die Benutzer neu erstellt. Infolgedessen werden alle Benutzer abgemeldet und müssen sich erneut anmelden. Sie müssen außerdem Benutzerrechte für Web-Anwendungen und ThinApps neu konfigurieren. Die Berechtigungseinstellungen für Horizon, Horizon Cloud und Citrix werden gelöscht und bei der nächsten Synchronisierung der Berechtigungsoptionen neu erstellt.
      • Die Option „Externe ID“ ist mit Workspace ONE Access Connector der Versionen 20.10 und höher sowie 19.03.0.1 verfügbar. Alle Konnektoren, die mit dem Workspace ONE Access-Dienst verknüpft sind, müssen die Version 20.10 oder höher aufweisen oder alle Konnektoren müssen die Version 19.03.0.1 aufweisen. Wenn verschiedene Versionen des Konnektors mit dem Dienst verknüpft sind, wird die Option „Externe ID“ nicht angezeigt.
    • Eindeutiger Name: (Optional) Das Attribut, das in Ihrem LDAP-Verzeichnis zum Definieren des eindeutigen Namens eines Benutzers oder einer Gruppe verwendet wird.

      Z. B.: cn.

      Standardmäßig wird das Attribut „Distinguished Name“ verwendet, um Benutzer- und Gruppenobjekte eindeutig zu identifizieren. Wenn Ihr LDAP-Schema nicht über das Attribut „Distinguished Name“ verfügt, wählen Sie die Option Erweiterte LDAP-Konfiguration aktivieren aus und geben Sie die Werte ein, die zur Identifizierung von Gruppen und Benutzern verwendet werden sollen.

    • Erweiterte LDAP-Konfiguration aktivieren: Aktivieren Sie das Kontrollkästchen, um erweiterte LDAP-Konfigurationsoptionen anzuzeigen. Verwenden Sie die erweiterte Konfiguration, wenn Ihr LDAP-Schema nicht über das Attribut „Distinguished Name“ verfügt oder wenn es „posixGroups“ verwendet.
      • Gruppenfilter: Der Wert, der zum Abfragen und Identifizieren von Gruppen verwendet werden soll. Dieser Wert ist erforderlich, wenn Ihr LDAP-Schema nicht über das Attribut „Distinguished Name“ verfügt.

        Z. B.: cn

      • Benutzerfilter: Der Wert, der zum Abfragen und Identifizieren von Benutzern verwendet werden soll. Dieser Wert ist erforderlich, wenn Ihr LDAP-Schema nicht über das Attribut „Distinguished Name“ verfügt.

        Z.B.: uid

      • Filter für die Zuordnung der Benutzermitgliedschaft: (Optional) Diese Option ist in der Regel für LDAP-Verzeichnisse erforderlich, die posixGroups verwenden. Der Filter für die Zuordnung der Benutzermitgliedschaft wird zum Abfragen und Identifizieren von Benutzern verwendet, die vom Mitgliedschafts-Attribut zurückgegeben werden.

        Z. B.: uidNumber

    Verschlüsselung Wenn Ihr LDAP-Verzeichnis den Zugriff über SSL erfordert, aktivieren Sie das Kontrollkästchen LDAPS für alle Verbindungen erforderlich, und geben Sie das SSL-Zertifikat der Stammzertifizierungsstelle für den LDAP-Verzeichnisserver per Kopieren und Einfügen in das Textfeld ein. Stellen Sie sicher, dass das Zertifikat im PEM-Format vorliegt, und fügen Sie die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ ein.
    Details des Bind-Benutzers Basis-DN: Geben Sie die DN ein, ab der die Suche starten soll. Z. B.: cn=Benutzer,dc=Beispiel,dc=com
    Bind-Benutzer-DN: Geben Sie den für die Verbindung zum LDAP-Verzeichnis zu verwendenden Benutzernamen ein.
    Hinweis: Es empfiehlt sich, ein Bind-DN-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

    Bind-Benutzerkennwort: Geben Sie das Kennwort für den Bind-DN-Benutzer ein.

  4. Klicken Sie auf Speichern und konfigurieren.
  5. Prüfen Sie auf der Seite „Domänen“, ob die richtige Domäne aufgeführt ist, und klicken Sie dann auf Weiter.
  6. Prüfen Sie auf der Seite „Attribute zuordnen“, ob die VMware Workspace ONE Access-Attribute den richtigen LDAP-Verzeichnisattributen zugeordnet sind, und nehmen Sie ggf. Änderungen vor.

    Diese Attribute werden für Benutzer synchronisiert.

    Wichtig: Sie müssen eine Zuordnung für das Attribut -Domäne angeben.

    Sie können Attribute hinzufügen und die Liste der erforderlichen Attribute auf der Seite Einstellungen > Benutzerattribute verwalten.

    Wichtig: Wenn ein Attribut als erforderlich gekennzeichnet ist, muss sein Wert für alle Benutzer festgelegt werden, die synchronisiert werden sollen. Benutzerdatensätze, bei denen Werte für die erforderlichen Attribute fehlen, werden nicht synchronisiert.
  7. Klicken Sie auf Weiter.
  8. Befolgen Sie die Anweisungen in Auswählen von Benutzern und Gruppen für die Synchronisierung mit dem Workspace ONE Access-Verzeichnis zum Hinzufügen von Gruppen auf der Seite Gruppen für die Synchronisierung auswählen sowie zum Hinzufügen von Benutzern auf der Seite Benutzer für die Synchronisierung auswählen.
  9. Richten Sie auf der Seite „Synchronisierungshäufigkeit“ einen Synchronisierungszeitplan ein, um Benutzer und Gruppen in regelmäßigen Abständen zu synchronisieren, oder wählen Sie Manuell in der Dropdown-Liste Synchronisierungshäufigkeit aus, wenn Sie keinen Zeitplan festlegen möchten.
    Die Zeit wird in UTC festgelegt.
    Tipp: Planen Sie die Synchronisierungsintervalle länger als die Synchronisierungsdauer. Wenn Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden und die nächste Synchronisierung bereits geplant ist, wird die neue Synchronisierung unmittelbar nach Abschluss der vorherigen gestartet. Mit diesem Zeitplan ist der Synchronisierungsvorgang kontinuierlich.
    Wenn Sie Manuell auswählen, müssen Sie auf der Seite „Verzeichnis“ auf die Schaltfläche Synchronisieren klicken, wenn Sie das Verzeichnis synchronisieren möchten.
  10. Klicken Sie auf Speichern, um das Verzeichnis zu erstellen, oder auf Verzeichnis synchronisieren, um das Verzeichnis zu erstellen und mit der Synchronisierung zu beginnen.

Ergebnisse

Die Verbindung zum LDAP-Verzeichnis wurde hergestellt. Wenn Sie auf Verzeichnis synchronisieren geklickt haben, werden Benutzer und Gruppennamen aus dem LDAP-Verzeichnis mit dem Workspace ONE Access-Verzeichnis synchronisiert.

Weitere Informationen dazu, wie Gruppen synchronisiert werden, finden Sie unter „Verwalten von Benutzern und Gruppen“ in Administration von VMware Workspace ONE Access.

Nächste Maßnahme

  • Wenn Sie die Option Authentifizierung auf Ja festlegen, wird automatisch ein Identitätsanbieter mit dem Namen IDP für Verzeichnisname und eine Authentifizierungsmethode vom Typ „Kennwort (Cloud-Bereitstellung)“ für das Verzeichnis erstellt. Sie können diese auf den Seiten Integrationen > Identitätsanbieter und Integrationen > Methode für Konnektor-Authentifizierung anzeigen. Sie können auch weitere Authentifizierungsmethoden für das Verzeichnis über die Seite Methode für Konnektor-Authentifizierung erstellen. Weitere Informationen zum Erstellen von Authentifizierungsmethoden finden Sie unter Verwalten von Benutzerauthentifizierungsmethoden in Workspace ONE Access.
  • Überprüfen Sie die Standardzugriffsrichtlinie auf der Seite Ressourcen > Richtlinien.
  • Überprüfen Sie die Standardeinstellungen für die Synchronisierungs-Schutzmaßnahmen und nehmen Sie bei Bedarf Änderungen vor. Weitere Informationen finden Sie unter Einrichten von Schutzmaßnahmen für die Verzeichnissynchronisierung in Workspace ONE Access.