Konfigurieren der Active Directory-Verbindung in Workspace ONE Access

Erstellen Sie in der Workspace ONE Access-Konsole ein Verzeichnis, geben Sie die erforderlichen Informationen zum Herstellen einer Verbindung mit Ihrem Active Directory ein und wählen Sie Benutzer und Gruppen zur Synchronisierung mit dem Workspace ONE Access-Verzeichnis aus. Als Active Directory-Verbindungsoptionen stehen „Active Directory über LDAP“ und „Active Directory über integrierte Windows-Authentifizierung“ zur Verfügung. Eine Active Directory-Verbindung über LDAP unterstützt die DNS-Dienstspeicherortsuche.

Voraussetzungen

Installieren Sie den Verzeichnissynchronisierungsdienst. Dieser ist ab Version 20.01.0.0 als Komponente von Workspace ONE Access Connector verfügbar. Weitere Informationen finden Sie in der neuesten Version von Installieren von VMware Workspace ONE Access Connector.
Wenn Sie den Benutzerauthentifizierungsdienst zur Authentifizierung von Benutzern des Verzeichnisses verwenden möchten, installieren Sie auch die Komponente „Benutzerauthentifizierungsdienst“.
Wählen Sie auf der Seite Einstellungen > Benutzerattribute in der Workspace ONE Access-Konsole die erforderlichen Benutzerattribute aus und fügen Sie gegebenenfalls benutzerdefinierte Attribute hinzu. Siehe Verwalten von Benutzerattributen in Workspace ONE Access. Beachten Sie die folgenden Überlegungen:
- Wenn ein Benutzerattribut erforderlich ist, muss sein Wert für alle Benutzer festgelegt werden, die synchronisiert werden sollen. Benutzer, die über keinen Wert für das Attribut verfügen, werden nicht synchronisiert.
- Attribute gelten für alle Verzeichnisse.
- Nachdem ein oder mehrere Verzeichnisse im Workspace ONE Access-Dienst konfiguriert wurden, können die Attribute nicht mehr als erforderlich markiert werden.
Erstellen Sie eine Liste der Benutzer und Gruppen, die aus Active Directory synchronisiert werden sollen. Gruppennamen werden sofort mit dem Verzeichnis synchronisiert. Mitglieder einer Gruppe werden erst synchronisiert, wenn die Gruppe Berechtigungen für Ressourcen hat oder einer Richtlinienregel hinzugefügt wurde. Benutzer, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden, sollten während der Erstkonfiguration hinzugefügt werden.
Wenn Sie ein Verzeichnis vom Typ Active Directory über LDAP mit der Option „Globaler Katalog“ erstellen, müssen Sie sicherstellen, dass keine anderen Verzeichnisse im Workspace ONE Access-Mandant Benutzer aus denselben Domänen wie das Verzeichnis des globalen Katalogs synchronisieren. Der Konflikt kann zu Synchronisierungsfehlern führen.
Für „Active Directory über LDAP“ gehören der Basis-DN sowie der Bind-Benutzer-DN und das entsprechende Kennwort zu den erforderlichen Informationen.
Der Bind-Benutzer muss über die folgenden Berechtigungen in Active Directory verfügen, um Zugriff auf Objekte von Benutzern und Gruppen zu gewähren.
- Lesen
- Alle Eigenschaften lesen
- Berechtigungen lesen
Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
Für Active Directory über die integrierte Windows-Authentifizierung benötigen Sie den Benutzernamen und das Kennwort des Bind-Benutzers, der über die Berechtigung zur Abfrage von Benutzern und Gruppen für die erforderlichen Domänen verfügt.
Der Bind-Benutzer muss über die folgenden Berechtigungen in Active Directory verfügen, um Zugriff auf Objekte von Benutzern und Gruppen zu gewähren.
- Lesen
- Alle Eigenschaften lesen
- Berechtigungen lesen
Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
Wenn Ihr Active Directory Zugriff über SSL/TLS erfordert, sind die Zwischen- (falls verwendet) und Root-CA-Zertifikate der Domänencontroller für die entsprechenden Active Directory-Domänen erforderlich. Wenn die Domänencontroller über Zertifikate von mehreren Zwischen- und Root-Zertifizierungsstellen verfügen, sind alle Zwischen- und Root-CA-Zertifikate erforderlich.

Hinweis: Für Verzeichnisse vom Typ Active Directory über integrierte Windows-Authentifizierung wird für die Verschlüsselung automatisch die SASL-Kerberos-Bindung verwendet. Ein Zertifikat ist nicht erforderlich.
Verfügen Sie über eine Active Directory-Umgebung mit integrierter Windows-Authentifizierung, in der mehrere Gesamtstrukturen konfiguriert sind, und enthält die lokale Domänengruppe Mitglieder aus Domänen in unterschiedlichen Gesamtstrukturen, müssen Sie sicherstellen, dass der Bind-DN-Benutzer der Administratorengruppe der Domäne hinzugefügt wurde, die die lokale Domänengruppe enthält. Wird dies versäumt, fehlen diese Benutzer in der lokalen Domänengruppe.
Für Active Directory über die integrierte Windows-Authentifizierung:
- Für alle Domänencontroller, die in SRV-Datensätzen und ausgeblendeten RODCs aufgeführt sind, sollte die nslookup-Abfrage nach Hostnamen und IP-Adresse funktionieren.
- Alle Domänencontroller müssen in Bezug auf die Netzwerkkonnektivität erreichbar sein.
Wenn der Workspace ONE Access Connector im FIPS-Modus ausgeführt wird, gelten zusätzliche Anforderungen und Voraussetzungen. Informationen zu Ihrer Konnektorversion finden Sie unter Workspace ONE Access Connector und FIPS-Modus.

Prozedur

Wählen Sie in der Workspace ONE Access-Konsole Integrationen > Verzeichnisse aus.
Wählen Sie im Dropdown-Menü Verzeichnis hinzufügen die Option Active Directory aus.

Geben Sie im Abschnitt Verzeichnisinformationen die folgenden Informationen ein:

Option	Beschreibung
Verzeichnisname	Geben Sie einen Namen für das Workspace ONE Access-Verzeichnis ein.
Typ	Wählen Sie den Verzeichnistyp Active Directory über LDAP oder Active Directory über integrierte Windows-Authentifizierung aus.

Wenn Sie „Active Directory über LDAP“ als Verzeichnistyp ausgewählt haben, führen Sie die folgenden Schritte für den Abschnitt Konfigurationsverzeichnis aus. Andernfalls fahren Sie mit dem nächsten Schritt fort.

Treffen Sie im Abschnitt Verzeichnissynchronisierung und Authentifizierung die folgende Auswahl.

Option	Bezeichnung
Hosts für die Verzeichnissynchronisierung	Wählen Sie mindestens eine Verzeichnissynchronisierungsdienst-Instanz aus, die zur Synchronisierung dieses Verzeichnisses verwendet werden soll. Alle mit dem Mandanten registrierten Verzeichnissynchronisierungsdienst-Instanzen werden aufgelistet. Sie können nur Instanzen auswählen, die den Status „Aktiv“ aufweisen. Wenn Sie mehrere Instanzen auswählen, verwendet Workspace ONE Access die erste ausgewählte Instanz in der Liste, um das Verzeichnis zu synchronisieren. Wenn die erste Instanz nicht verfügbar ist, wird die nächste ausgewählte Instanz verwendet usw. Sie können die Liste nach dem Erstellen des Verzeichnisses auf der Registerkarte Synchronisierungseinstellungen des Verzeichnisses neu anordnen.
Authentifizierung	Wählen Sie Kennwortauthentifizierung für dieses Verzeichnis einrichtenwenn Sie Benutzer dieses Verzeichnisses mit dem Benutzerauthentifizierungsdienst authentifizieren möchten. Der Benutzerauthentifzierungsdienst muss bereits installiert sein. Wenn Sie diese Option auswählen, werden die Authentifizierungsmethode „Kennwort (Cloud-Bereitstellung)“ und ein Identitätsanbieter namens IDP für `Verzeichnisname` vom Typ „Eingebettet“ automatisch für das Verzeichnis erstellt. Wählen Sie Authentifizierungsmethoden später hinzufügen aus, wenn Sie die Benutzer dieses Verzeichnisses nicht mit dem Benutzerauthentifzierungsdienst authentifizieren möchten. Wenn Sie sich entscheiden, den Benutzerauthentifzierungsdienst später zu verwenden, können Sie die Authentifizierungsmethode vom Typ „Kennwort (Cloud-Bereitstellung)“ und den Identitätsanbieter für das Verzeichnis manuell erstellen. Dadurch erstellen Sie einen neuen Identitätsanbieter für das Verzeichnis, indem Sie die Optionen Hinzufügen > Integrierter Identitätsanbieter auf der Seite Integrationen > Identitätsanbieter auswählen. Die Verwendung des vorab erstellten Identitätsanbieters mit dem Namen Integriert wird nicht empfohlen.
Benutzerauthentifizierungs-Hosts	Diese Option wird angezeigt, wenn Authentifizierung auf Kennwortauthentifizierung für dieses Verzeichnis einrichten gesetzt ist. Wählen Sie eine oder mehrere Benutzerauthentifzierungsdienst-Instanzen aus, die zur Authentifizierung von Benutzern dieses Verzeichnisses verwendet werden sollen. Alle Benutzerauthentifzierungsdienst-Instanzen, die bei dem Mandanten registriert sind und den Status „Aktiv“ aufweisen, werden aufgelistet. Wenn Sie mehrere Instanzen auswählen, sendet Workspace ONE Access Authentifizierungsanforderungen an die ausgewählten Instanzen in einer Round-Robin-Reihenfolge.
Benutzername	Wählen Sie das Kontoattribut, das den Benutzernamen enthält.
Externe ID	Das Attribut, das Sie als eindeutige Kennung für Benutzer im Workspace ONE Access-Verzeichnis verwenden möchten. Der Standardwert lautet objectGUID. Sie können eine externe ID für alle der folgenden Attribute festlegen: Beliebiges Zeichenfolgenattribut wie sAMAccountName oder distinguishedName Die Binärattribute objectSid, objectGUID oder mS-DS-ConsistencyGuid Die Einstellung für „Externe ID“ gilt nur für Benutzer in Workspace ONE Access. Bei Gruppen wird die externe ID immer auf objectGUID festgelegt und kann nicht geändert werden. Wichtig: Alle Benutzer müssen einen eindeutigen und nicht leeren Wert aufweisen, der für das Attribut definiert ist. Der Wert muss im Workspace ONE Access-Mandanten eindeutig sein. Wenn ein Benutzer keinen Wert für das Attribut hat, wird das Verzeichnis nicht synchronisiert. Wichtig: Wenn Sie „Externe ID“ auf das Active Directory-Attribut objectGUID oder mS-DS-ConsistencyGuid festlegen, müssen alle Benutzer einen nicht leeren Wert für das Attribut haben, der genau 16 Byte lang ist. Vergewissern Sie sich außerdem, dass Sie im Textfeld Externe ID den richtigen Active Directory-Attributnamen unter Beachtung der korrekten Groß- und Kleinschreibung angeben. Wenn der Name nicht mit dem Attributnamen in Active Directory übereinstimmt, wird ein Nullwert zurückgegeben und die Verzeichnissynchronisierung schlägt fehl. Wenn Sie beispielsweise das Attribut mS-DS-ConsistencyGuid in Active Directory verwenden und „Externe ID“ auf ms-DS-ConsistencyGuid festlegen, kann die Verzeichnissynchronisierung nicht erfolgreich durchgeführt werden. Beachten Sie bei der Einstellung der externen ID die folgenden Überlegungen: Wenn Sie Workspace ONE Access in Workspace ONE UEM integrieren, stellen Sie sicher, dass Sie „Externe ID“ in beiden Produkten auf dasselbe Attribut festlegen. Sie können die externe ID nach dem Erstellen des Verzeichnisses ändern. Es empfiehlt sich jedoch, „Externe ID“ vor der Synchronisierung von Benutzern mit Workspace ONE Accessfestzulegen. Wenn Sie die externe ID ändern, werden die Benutzer neu erstellt. Infolgedessen werden alle Benutzer abgemeldet und müssen sich erneut anmelden. Sie müssen außerdem Benutzerrechte für Web-Anwendungen und ThinApps neu konfigurieren. Die Berechtigungseinstellungen für Horizon, Horizon Cloud und Citrix werden gelöscht und bei der nächsten Synchronisierung der Berechtigungsoptionen neu erstellt. Die Option „Externe ID“ ist mit den Workspace ONE Access-Konnektorversionen 20.10 und höher verfügbar. Alle dem Workspace ONE Access-Dienst zugeordneten Konnektoren müssen Version 20.10 oder höher aufweisen. Wenn dem Dienst verschiedene Versionen des Konnektors zugeordnet sind, wird die Option „Externe ID“ nicht angezeigt.

Wählen Sie zum Konfigurieren der Optionen Serverstandort und Verschlüsselung eine der folgenden Optionen aus.

Option	Bezeichnung
Wenn Sie die DNS-Dienstspeicherort-Suche für Active Directory verwenden möchten	Mit dieser Option sucht und verwendet Workspace ONE Access optimale Domänencontroller. Wenn Sie die optimierte Auswahl von Domänencontrollern nicht verwenden möchten, wählen Sie diese Option nicht aus. Aktivieren Sie unter Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort. Wenn Ihr Active Directory den Zugriff über SSL/TLS erfordert, aktivieren Sie im Abschnitt Verschlüsselung das Kontrollkästchen STARTTLS für alle Verbindungen anfordern. Hinweis: Wenn die Option Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort ausgewählt ist, wird STARTTLS für die Verschlüsselung über Port 389 verwendet. Wenn die Option Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, wird LDAPS für die Verschlüsselung über Port 636 verwendet. Kopieren Sie die Zwischenzertifikate der Domänencontroller (falls verwendet) und die Stammzertifikate der Zertifizierungsstelle in das Textfeld SSL-Zertifikat(e). Geben Sie zuerst das Zwischen-CA-Zertifikat und dann das Root-CA-Zertifikat ein. Vergewissern Sie sich, dass jedes Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält. Wenn die Domänencontroller über Zertifikate von mehreren Zwischen- und Root-Zertifizierungsstellen verfügen, geben Sie alle Zwischen-Root-CA-Zertifikatsketten nacheinander ein. Beispiel: -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 2> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 2> ... -----END CERTIFICATE----- Hinweis: Wenn für das Active Directory Zugriff über SSL/TLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie die Zertifikate nicht bereitstellen.
Wenn Sie die DNS-Dienstspeicherort-Suche für Active Directory nicht verwenden möchten	Stellen Sie sicher, dass im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, und geben Sie den Hostnamen des Active Directory-Servers und die Portnummer in die Textfelder Serverhost und Serverport ein. Wenn Sie das Verzeichnis als globalen Katalog konfigurieren möchten, lesen Sie den Abschnitt „Active Directory-Umgebung mit mehreren Domänen in einer einzelnen Struktur“ in Integrieren von Active Directory in Workspace ONE Access. Wenn Ihr Active Directory Zugriff über SSL/TLS erfordert, aktivieren Sie im Abschnitt Verschlüsselung das Kontrollkästchen LDAPS für alle Verbindungen anfordern. Hinweis: Wenn die Option Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort ausgewählt ist, wird STARTTLS für die Verschlüsselung über Port 389 verwendet. Wenn die Option Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, wird LDAPS für die Verschlüsselung über Port 636 verwendet. Kopieren Sie die Zwischenzertifikate der Domänencontroller (falls verwendet) und das Stammzertifikat der Zertifizierungsstelle in das Textfeld SSL-Zertifikat(e). Geben Sie zuerst das Zwischen-CA-Zertifikat und dann das Root-CA-Zertifikat ein. Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält. Hinweis: Wenn für das Active Directory Zugriff über SSL/TLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.
Wenn Sie das Verzeichnis als globalen Katalog integrieren	Deaktivieren Sie im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort. Aktivieren Sie die Option Dieses Verzeichnis verfügt über einen globalen Katalog. Geben Sie im Textfeld Serverhost den Hostnamen des Active Directory-Servers ein. Der Serverport ist auf 3268 festgelegt. Wenn Sie „SSL/TLS“ im Abschnitt Verschlüsselung auswählen, wird der Port auf 3269 festgelegt. Wenn Ihr Active Directory Zugriff über SSL/TLS erfordert, wählen Sie im Abschnitt Verschlüsselung die Option LDAPS für alle Verbindungen anfordern aus. Kopieren Sie die Zwischenzertifikate der Domänencontroller (falls verwendet) und das Stammzertifikat der Zertifizierungsstelle in das Textfeld SSL-Zertifikat(e). Geben Sie zuerst das Zwischen-CA-Zertifikat und dann das Root-CA-Zertifikat ein. Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält.

Geben Sie im Abschnitt Bind-Benutzerdetails die folgenden Informationen ein.

Option	Bezeichnung
Basis-DN	Geben Sie den DN ein, von dem aus Kontosuchvorgänge gestartet werden sollen. Beispiel: OU=MeineEinheit,DC=MeineFirma,DC=com. Wichtig: Der Basis-DN wird für die Authentifizierung verwendet. Es können nur Benutzer unter dem Basis-DN authentifiziert werden. Stellen Sie sicher, dass die Gruppen-DNs und die Benutzer-DNs, die Sie zu einem späteren Zeitpunkt für die Synchronisierung angeben, unter diesen Basis-DN fallen. Hinweis: Wenn Sie das Verzeichnis als globalen Katalog hinzufügen, wird der Basis-DN nicht benötigt und die Option wird nicht angezeigt.
Bind-Benutzer-DN	Geben Sie das Konto ein, das nach Benutzern suchen darf. Beispiel: CN=Bind-Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=com. Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
Bind-Benutzerkennwort	Das Bind-Benutzerkennwort.

Wenn Sie Active Directory über Integrierte Windows-Authentifizierung als Verzeichnistyp ausgewählt haben, führen Sie die folgenden Schritte für den Abschnitt Verzeichnis konfigurieren aus.

Treffen Sie im Abschnitt Verzeichnissynchronisierung und Authentifizierung die folgende Auswahl.

Option	Bezeichnung
Hosts für die Verzeichnissynchronisierung	Wählen Sie mindestens eine Verzeichnissynchronisierungsdienst-Instanz aus, die zur Synchronisierung dieses Verzeichnisses verwendet werden soll. Alle Verzeichnissynchronisierungsdienst-Instanzen, die beim Mandanten registriert sind und sich im Status „Aktiv“ befinden, werden aufgelistet. Wenn Sie mehrere Instanzen auswählen, verwendet Workspace ONE Access die erste ausgewählte Instanz in der Liste, um das Verzeichnis zu synchronisieren. Wenn die erste Instanz nicht verfügbar ist, wird die nächste ausgewählte Instanz verwendet usw. Sie können die Liste nach dem Erstellen des Verzeichnisses auf der Registerkarte Synchronisierungseinstellungen des Verzeichnisses neu anordnen.
Authentifizierung	Wählen Sie Kennwortauthentifizierung für dieses Verzeichnis einrichtenwenn Sie Benutzer dieses Verzeichnisses mit dem Benutzerauthentifizierungsdienst authentifizieren möchten. Der Benutzerauthentifzierungsdienst muss bereits installiert sein. Wenn Sie diese Option auswählen, werden die Authentifizierungsmethode „Kennwort (Cloud-Bereitstellung)“ und ein Identitätsanbieter namens IDP für `Verzeichnis` vom Typ „Eingebettet“ automatisch für das Verzeichnis erstellt. Wählen Sie Authentifizierungsmethoden später hinzufügen aus, wenn Sie die Benutzer dieses Verzeichnisses nicht mit dem Benutzerauthentifzierungsdienst authentifizieren möchten. Wenn Sie sich entscheiden, den Benutzerauthentifzierungsdienst später zu verwenden, können Sie die Authentifizierungsmethode vom Typ „Kennwort (Cloud-Bereitstellung)“ und den Identitätsanbieter für das Verzeichnis manuell erstellen. Dadurch erstellen Sie einen neuen Identitätsanbieter für das Verzeichnis, indem Sie die Optionen Hinzufügen > Integrierter Identitätsanbieter auf der Seite Integrationen > Identitätsanbieter auswählen. Die Verwendung des vorab erstellten Identitätsanbieters mit dem Namen Integriert wird nicht empfohlen.
Benutzerauthentifizierungs-Hosts	Diese Option wird angezeigt, wenn Authentifizierung auf Kennwortauthentifizierung für dieses Verzeichnis einrichten gesetzt ist. Wählen Sie eine oder mehrere Benutzerauthentifzierungsdienst-Instanzen aus, die zur Authentifizierung von Benutzern dieses Verzeichnisses verwendet werden sollen. Alle Benutzerauthentifzierungsdienst-Instanzen, die bei dem Mandanten registriert sind und den Status „Aktiv“ aufweisen, werden aufgelistet. Wenn Sie mehrere Instanzen auswählen, sendet Workspace ONE Access Authentifizierungsanforderungen an die ausgewählten Instanzen in einer Round-Robin-Reihenfolge.
Benutzername	Wählen Sie das Kontoattribut, das den Benutzernamen enthält.
Externe ID	Das Attribut, das Sie als eindeutige Kennung für Benutzer im Verzeichnis Workspace ONE Access verwenden möchten. Der Standardwert lautet objectGUID. Sie können eine externe ID für alle der folgenden Attribute festlegen: Beliebiges Zeichenfolgenattribut wie sAMAccountName oder distinguishedName Die Binärattribute objectSid, objectGUID oder mS-DS-ConsistencyGuid Die Einstellung für „Externe ID“ gilt nur für Benutzer in Workspace ONE Access. Bei Gruppen wird die externe ID immer auf objectGUID festgelegt und kann nicht geändert werden. Wichtig: Alle Benutzer müssen über einen eindeutigen Wert verfügen, der für das Attribut definiert ist. Der Wert muss innerhalb des Workspace ONE Access-Mandanten eindeutig sein. Wichtig: Wenn Sie „Externe ID“ auf das Active Directory-Attribut objectGUID oder mS-DS-ConsistencyGuid festlegen, müssen alle Benutzer einen nicht leeren Wert haben, der genau 16 Byte lang ist. Vergewissern Sie sich außerdem, dass Sie im Textfeld Externe ID den richtigen Active Directory-Attributnamen unter Beachtung der korrekten Groß- und Kleinschreibung angeben. Wenn der Name nicht mit dem Attributnamen in Active Directory übereinstimmt, wird ein Nullwert zurückgegeben und die Verzeichnissynchronisierung schlägt fehl. Wenn Sie beispielsweise das Attribut mS-DS-ConsistencyGuid in Active Directory verwenden und „Externe ID“ auf ms-DS-ConsistencyGuid festlegen, kann die Verzeichnissynchronisierung nicht erfolgreich durchgeführt werden. Beachten Sie bei der Einstellung der externen ID die folgenden Überlegungen: Wenn Sie Workspace ONE Access in Workspace ONE UEM integrieren, stellen Sie sicher, dass Sie die externe ID in beiden Produkten auf dasselbe Attribut festlegen. Sie können die externe ID nach dem Erstellen des Verzeichnisses ändern. Es empfiehlt sich jedoch, die externe ID vor der Synchronisierung von Benutzern mit Workspace ONE Access festzulegen. Wenn Sie die externe ID ändern, werden die Benutzer neu erstellt. Infolgedessen werden alle Benutzer abgemeldet und müssen sich erneut anmelden. Sie müssen außerdem Benutzerrechte für Web-Anwendungen und ThinApps neu konfigurieren. Die Berechtigungseinstellungen für Horizon, Horizon Cloud und Citrix werden gelöscht und bei der nächsten Synchronisierung der Berechtigungsoptionen neu erstellt. Die Option „Externe ID“ ist mit den Workspace ONE Access Connector-Versionen 20.10 und höher verfügbar. Alle dem Workspace ONE Access-Dienst zugeordneten Konnektoren müssen Version 20.10 oder höher aufweisen. Wenn dem Dienst verschiedene Versionen des Konnektors zugeordnet sind, wird die Option „Externe ID“ nicht angezeigt.

Für die Option Verschlüsselung ist keine Aktion erforderlich. Verzeichnisse vom Typ Active Directory über integrierte Windows-Authentifizierung verwenden die SASL-Kerberos-Bindung automatisch. Sie brauchen LDAPS oder STARTTLS nicht zu aktivieren.
Geben Sie im Abschnitt Bind-Benutzerdetails den Benutzernamen und das Kennwort des Bind-Benutzers ein, der über die Berechtigung zur Abfrage von Benutzern und Gruppen für die erforderlichen Domänen verfügt. Geben Sie den Benutzernamen als sAMAccountName@domain ein, wobei domain der vollqualifizierte Domänenname ist. Beispielsweise [email protected].

Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.

Klicken Sie auf Speichern.
Wählen Sie im Abschnitt Domäne(n) auswählen die Domänen aus und klicken Sie dann auf Speichern.
- Für ein Verzeichnis vom Typ „Active Directory über LDAP“ werden die Domänen aufgelistet. Wählen Sie die Domänen aus, die dem Workspace ONE Access-Verzeichnis zugeordnet werden sollen.
- Für ein Verzeichnis des Typs „Active Directory über integrierte Windows-Authentifizierung“ wählen Sie die Domänen aus, die dem Workspace ONE Access-Verzeichnis zugeordnet werden sollen. Alle Domänen mit einer bidirektionalen Vertrauensbeziehung mit der Basisdomäne werden aufgelistet.
  Wenn Domänen mit einer bidirektionalen Vertrauensbeziehung mit der Basisdomäne zu Active Directory hinzugefügt werden, nachdem das Workspace ONE Access-Verzeichnis erstellt wurde, können Sie sie über die Registerkarte Synchronisierungseinstellungen > Domänen des Verzeichnisses hinzufügen.
  
  Tipp: Wählen Sie vertrauenswürdige Domänen nacheinander aus, anstatt alle Domänen gleichzeitig auszuwählen. Dadurch wird sichergestellt, dass die Domänenspeicherung kein Vorgang mit langer Ausführungsdauer ist, der potenziell zu einer Zeitüberschreitung führen kann. Durch die sequentielle Auswahl von Domänen wird sichergestellt, dass der Verzeichnissynchronisierungsdienst Zeit damit verbringt, nur eine einzige Domäne aufzulösen.
- Wenn Sie ein Active Directory über LDAP-Verzeichnis erstellen, bei dem die OptionGlobaler Katalog ausgewählt ist, wird der Abschnitt Domäne(n) auswählen nicht angezeigt.
Ordnen Sie im Abschnitt Benutzerattribute zuordnen die Workspace ONE Access-Verzeichnisattribute den Active Directory-Attributen zu und klicken Sie dann auf Speichern.

Sie können Attribute hinzufügen und die Liste der erforderlichen Attribute auf der Seite Einstellungen > Benutzerattribute verwalten.

Wichtig: Wenn ein Attribut als erforderlich gekennzeichnet ist, muss sein Wert für alle Benutzer festgelegt werden, die synchronisiert werden sollen. Benutzerdatensätze, bei denen Werte für die erforderlichen Attribute fehlen, werden nicht synchronisiert.
Fügen Sie im Abschnitt Gruppen synchronisieren die Gruppen hinzu, die synchronisiert werden sollen. Weitere Informationen finden Sie unter Auswählen von Benutzern und Gruppen für die Synchronisierung mit dem Workspace ONE Access-Verzeichnis.
Fügen Sie im Abschnitt Benutzer synchronisieren die Benutzer hinzu, die synchronisiert werden sollen. Weitere Informationen finden Sie unter Auswählen von Benutzern und Gruppen für die Synchronisierung mit dem Workspace ONE Access-Verzeichnis.
Richten Sie im Abschnitt Synchronisierungshäufigkeit einen Synchronisierungszeitplan ein, um Benutzer und Gruppen in regelmäßigen Abständen zu synchronisieren, oder wählen Sie Manuell aus dem Dropdown-Menü Synchronisierungshäufigkeit aus, wenn Sie keinen Zeitplan festlegen möchten.
Die Zeit wird in UTC festgelegt.

Tipp: Planen Sie die Synchronisierungsintervalle so, dass sie länger sind als die Zeit, die für die Synchronisierung des Verzeichnisses benötigt wird. Wenn Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden und die nächste Synchronisierung bereits geplant ist, wird die neue Synchronisierung unmittelbar nach Abschluss der vorherigen gestartet.

Wenn Sie Manuell auswählen, müssen Sie auf der Verzeichnisseite Synchronisieren > Mit Schutzmaßnahmen synchronisieren oder Synchronisieren > Ohne Schutzmaßnahmen synchronisieren auswählen, wenn Sie das Verzeichnis synchronisieren möchten.
Klicken Sie auf Speichern, um das Verzeichnis zu erstellen, oder auf Speichern und synchronisieren, um das Verzeichnis zu erstellen und mit der Synchronisierung zu beginnen.

Ergebnisse

Die Verbindung zu Active Directory wird hergestellt. Wenn Sie auf Speichern und synchronisieren geklickt haben, werden Benutzer und Gruppennamen aus Active Directory mit dem Workspace ONE Access-Verzeichnis synchronisiert.

Weitere Informationen dazu, wie Gruppen synchronisiert werden, finden Sie unter „Verwalten von Benutzern und Gruppen“ in Administration von VMware Workspace ONE Access.

Nächste Maßnahme

Wenn Sie die Option Authentifizierung auf Kennwortauthentifizierung für dieses Verzeichnis einrichten festlegen, wird automatisch ein Identitätsanbieter mit dem Namen IDP für Verzeichnisname und eine Authentifizierungsmethode vom Typ „Kennwort (Cloud-Bereitstellung)“ für das Verzeichnis erstellt. Sie können diese auf den Seiten Integrationen > Identitätsanbieter und Integrationen > Authentifizierungsmethoden anzeigen. Sie können auch weitere Authentifizierungsmethoden für das Verzeichnis über die Seiten Methoden für Konnektor-Authentifizierung und Authentifizierungsmethoden erstellen. Informationen zum Erstellen von Authentifizierungsmethoden finden Sie unter Verwalten von Benutzerauthentifizierungsmethoden in Workspace ONE Access.
Überprüfen Sie die Standardzugriffsrichtlinie auf der Seite Ressourcen > Richtlinien.
Überprüfen Sie die Standardeinstellungen für die Synchronisierungs-Schutzmaßnahmen und nehmen Sie bei Bedarf Änderungen vor. Weitere Informationen finden Sie unter Einrichten von Schutzmaßnahmen für die Verzeichnissynchronisierung in Workspace ONE Access.