In der Workspace ONE Access-Konsole geben Sie die erforderlichen Informationen zum Herstellen einer Verbindung mit Ihrem Active Directory ein und wählen Benutzer und Gruppen zur Synchronisierung mit dem Workspace ONE Access-Verzeichnis aus.

Als Active Directory-Verbindungsoptionen stehen „Active Directory über LDAP“ und „Active Directory über integrierte Windows-Authentifizierung“ zur Verfügung. Bei „Aktives Verzeichnis über LDAP“ wird die DNS-Dienstspeicherort-Suche unterstützt.

Voraussetzungen

  • Installieren Sie den Verzeichnissynchronisierungsdienst, der als Komponente der Workspace ONE Access Connector-Version 20.01.0.0 oder höher verfügbar ist. Weitere Informationen finden Sie unter Installieren von VMware Workspace ONE Access Connector 20.01.

    Wenn Sie den Benutzerauthentifizierungsdienst zur Authentifizierung von Benutzern des Verzeichnisses verwenden möchten, installieren Sie auch die Komponente „Benutzerauthentifizierungsdienst“.

  • Wählen Sie aus, welche Benutzerattribute erforderlich sind, und fügen Sie auf der Seite „Benutzerattribute“ in der Workspace ONE Access-Konsole ggf. zusätzliche Attribute hinzu. Siehe Verwalten von Benutzerattributen in Workspace ONE Access.
  • Erstellen Sie eine Liste der Active Directory-Benutzer und -Gruppen, die aus Active Directory synchronisiert werden sollen. Gruppennamen werden sofort mit dem Verzeichnis synchronisiert. Mitglieder einer Gruppe werden erst synchronisiert, wenn die Gruppe Berechtigungen für Ressourcen hat oder einer Richtlinienregel hinzugefügt wurde. Benutzer, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden, sollten während der Erstkonfiguration hinzugefügt werden.
    Hinweis: Workspace ONE Access Connector Version 19.03 und frühere Versionen unterstützen nicht die Zeichen / und $ im Namen einer Gruppe oder im Attribut distinguishedName. Diese Einschränkung gilt sowohl für Gruppen, die Sie zum Gruppen-DN hinzufügen, als auch für Gruppen, die nicht direkt zum Gruppen-DN hinzugefügt, sondern als Teil einer übergeordneten Gruppe synchronisiert werden, wenn geschachtelte Gruppenmitgliedschaften aktiviert sind.

    Verwenden Sie das Zeichen / oder $ nicht im Gruppennamen oder im Attribut distinguishedName einer Gruppe, wenn Sie planen, die Gruppe mit VMware Identity Manager zu synchronisieren, und Sie die Connector-Version 19.03 oder ältere Versionen verwenden.

  • Wenn Sie ein Verzeichnis vom Typ Active Directory über LDAP mit der Option „Globaler Katalog“ erstellen, müssen Sie sicherstellen, dass keine anderen Verzeichnisse im Workspace ONE Access-Mandant Benutzer aus denselben Domänen wie das Verzeichnis des globalen Katalogs synchronisieren. Der Konflikt kann zu Synchronisierungsfehlern führen.
  • Für „Active Directory über LDAP“ gehören der Basis-DN sowie der Bind-Benutzer-DN und das entsprechende Kennwort zu den erforderlichen Informationen.

    Der Bind-Benutzer muss über die folgenden Berechtigungen in Active Directory verfügen, um Zugriff auf Objekte von Benutzern und Gruppen zu gewähren.

    • Lesen
    • Alle Eigenschaften lesen
    • Berechtigungen lesen
    Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
  • Für Active Directory über die integrierte Windows-Authentifizierung benötigen Sie den Benutzernamen und das Kennwort des Bind-Benutzers, der über die Berechtigung zur Abfrage von Benutzern und Gruppen für die erforderlichen Domänen verfügt.

    Der Bind-Benutzer muss über die folgenden Berechtigungen in Active Directory verfügen, um Zugriff auf Objekte von Benutzern und Gruppen zu gewähren.

    • Lesen
    • Alle Eigenschaften lesen
    • Berechtigungen lesen
    Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
  • Wenn Ihr Active Directory Zugriff über SSL/TLS erfordert, sind die Zwischen- (falls verwendet) und Root-CA-Zertifikate der Domänencontroller für die entsprechenden Active Directory-Domänen erforderlich. Wenn die Domänencontroller über Zertifikate von mehreren Zwischen- und Root-Zertifizierungsstellen verfügen, sind alle Zwischen- und Root-CA-Zertifikate erforderlich.
  • Verfügen Sie über eine Active Directory-Umgebung mit integrierter Windows-Authentifizierung, in der mehrere Gesamtstrukturen konfiguriert sind, und enthält die lokale Domänengruppe Mitglieder aus Domänen in unterschiedlichen Gesamtstrukturen, müssen Sie sicherstellen, dass der Bind-DN-Benutzer der Administratorengruppe der Domäne hinzugefügt wurde, die die lokale Domänengruppe enthält. Wird dies versäumt, fehlen diese Benutzer in der lokalen Domänengruppe.
  • Für Active Directory über die integrierte Windows-Authentifizierung:
    • Für alle Domänencontroller, die in SRV-Datensätzen und ausgeblendeten RODCs aufgeführt sind, sollte die nslookup-Abfrage nach Hostnamen und IP-Adresse funktionieren.
    • Alle Domänencontroller müssen in Bezug auf die Netzwerkkonnektivität erreichbar sein.

Prozedur

  1. Navigieren Sie in der Workspace ONE Access-Konsole zu Identitäts- und Zugriffsmanagement > Verwalten > Verzeichnisse.
  2. Klicken Sie auf Verzeichnis hinzufügen und wählen Sie Active Directory über LDAP/IWA hinzufügen aus.
  3. Geben Sie einen Namen für das Workspace ONE Access-Verzeichnis ein.
  4. Wählen Sie den Active Directory-Typ aus, den Sie integrieren möchten, Active Directory über LDAP oder Active Directory über die integrierte Windows-Authentifizierung.
  5. Wenn Sie Active Directory über LDAP integrieren, führen Sie die folgenden Schritte aus, andernfalls fahren Sie mit Schritt 6 fort.
    1. Treffen Sie im Abschnitt Verzeichnissynchronisierung und Authentifizierung die folgende Auswahl.
      Option Bezeichnung
      Hosts für die Verzeichnissynchronisierung Wählen Sie mindestens eine Verzeichnissynchronisierungsdienst-Instanz aus, die zur Synchronisierung dieses Verzeichnisses verwendet werden soll. Alle mit dem Mandanten registrierten Verzeichnissynchronisierungsdienst-Instanzen werden aufgelistet. Sie können nur Instanzen auswählen, die den Status „Aktiv“ aufweisen.

      Wenn Sie mehrere Instanzen auswählen, verwendet Workspace ONE Access die erste ausgewählte Instanz in der Liste, um das Verzeichnis zu synchronisieren. Wenn die erste Instanz nicht verfügbar ist, wird die nächste ausgewählte Instanz verwendet usw. Sie können die Liste nach dem Erstellen des Verzeichnisses auf der Seite „Synchronisierungseinstellungen“ des Verzeichnisses neu anordnen.

      Authentifizierung Wählen Sie Ja aus, wenn Sie Benutzer dieses Verzeichnisses mit dem Benutzerauthentifzierungsdienst authentifizieren möchten. Der Benutzerauthentifzierungsdienst muss bereits installiert sein. Wenn Sie Ja auswählen, werden die Authentifizierungsmethode „Kennwort“ (Cloud-Bereitstellung) und ein Identitätsprovider namens IDP für directoryName vom Typ „Eingebettet“ automatisch für das Verzeichnis erstellt.

      Wählen Sie Nein aus, wenn Sie die Benutzer dieses Verzeichnisses nicht mit dem Benutzerauthentifzierungsdienst authentifizieren möchten. Wenn Sie sich entscheiden, den Benutzerauthentifzierungsdienst später zu verwenden, können Sie die Authentifizierungsmethode vom Typ „Kennwort (Cloud-Bereitstellung)“ und den Identitätsanbieter für das Verzeichnis manuell erstellen. Wenn Sie dies tun, erstellen Sie einen neuen Identitätsanbieter für das Verzeichnis, indem Sie die Optionen Identitätsanbieter hinzufügen > Integrierten Identitätsanbieter erstellen auf der Seite Identitäts- und Zugriffsmanagement > Identitätsanbieter auswählen. Die Verwendung des vorab erstellten Identitätsanbieters mit dem Namen Integriert wird nicht empfohlen.

      Hosts für die Benutzerauthentifizierung Diese Option wird angezeigt, wenn Authentifizierung auf Ja festgelegt ist. Wählen Sie eine oder mehrere Benutzerauthentifzierungsdienst-Instanzen aus, die zur Authentifizierung von Benutzern dieses Verzeichnisses verwendet werden sollen. Alle Benutzerauthentifzierungsdienst-Instanzen, die bei dem Mandanten registriert sind und den Status „Aktiv“ aufweisen, werden aufgelistet.

      Wenn Sie mehrere Instanzen auswählen, sendet Workspace ONE Access Authentifizierungsanforderungen an die ausgewählten Instanzen in einer Round-Robin-Reihenfolge.

      Verzeichnissuchattribut Wählen Sie das Kontoattribut, das den Benutzernamen enthält.
      Externe ID

      Das Attribut, das Sie als eindeutige Kennung für Benutzer im Verzeichnis Workspace ONE Access verwenden möchten. Der Standardwert lautet objectGUID.

      Sie können eine externe ID für alle der folgenden Attribute festlegen:

      • Beliebiges Zeichenfolgenattribut wie sAMAccountName oder distinguishedName
      • Die Binärattribute objectSid, objectGUID oder mS-DS-ConsistencyGuid

      Die Einstellung für „Externe ID“ gilt nur für Benutzer in Workspace ONE Access. Bei Gruppen wird die externe ID immer auf objectGUID festgelegt und kann nicht geändert werden.

      Wichtig: Alle Benutzer müssen einen eindeutigen und nicht leeren Wert aufweisen, der für das Attribut definiert ist. Der Wert muss innerhalb des Workspace ONE Access-Mandanten eindeutig sein. Wenn ein Benutzer keinen Wert für das Attribut hat, wird das Verzeichnis nicht synchronisiert.

      Beachten Sie bei der Einstellung der externen ID die folgenden Überlegungen:

      • Wenn Sie Workspace ONE Access in Workspace ONE UEM integrieren, stellen Sie sicher, dass Sie die externe ID in beiden Produkten auf dasselbe Attribut festlegen.
      • Sie können die externe ID nach dem Erstellen des Verzeichnisses ändern. Es empfiehlt sich jedoch, die externe ID vor der Synchronisierung von Benutzern mit Workspace ONE Access festzulegen. Wenn Sie die externe ID ändern, werden die Benutzer neu erstellt. Infolgedessen werden alle Benutzer abgemeldet und müssen sich erneut anmelden. Sie müssen außerdem Benutzerrechte für Web-Anwendungen und ThinApps neu konfigurieren. Die Berechtigungseinstellungen für Horizon, Horizon Cloud und Citrix werden gelöscht und bei der nächsten Synchronisierung der Berechtigungsoptionen neu erstellt.
      • Die Option „Externe ID“ ist mit Workspace ONE Access Connector 20.10 und 19.03.0.1 verfügbar. Alle Konnektoren, die mit dem Workspace ONE Access-Dienst verknüpft sind, müssen die Version 20.10 aufweisen oder alle Konnektoren müssen die Version 19.03.0.1 aufweisen. Wenn verschiedene Versionen des Konnektors mit dem Dienst verknüpft sind, wird die Option „Externe ID“ nicht angezeigt.
    2. Wenn Sie die DNS-Dienstspeicherort-Suche für Active Directory verwenden möchten, treffen Sie die folgende Auswahl.
      • Aktivieren Sie im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort.

        Workspace ONE Access sucht und verwendet optimale Domänencontroller. Wenn Sie keine optimierte Auswahl von Domänencontrollern verwenden möchten, führen Sie stattdessen Schritt c. aus.

      • Wenn für das Active Directory ein Zugriff über SSL/TLS erforderlich ist, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von STARTTLS im Abschnitt Zertifikate, kopieren Sie die Zwischen- (falls verwendet) und Root-CA-Zertifikate der Domänencontroller und fügen Sie sie im Textfeld SSL-Zertifikat ein.

        Geben Sie zuerst das Zwischen-CA-Zertifikat und dann das Root-CA-Zertifikat ein. Vergewissern Sie sich, dass jedes Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält.

        Wenn die Domänencontroller über Zertifikate von mehreren Zwischen- und Root-CA-Zertifizierungsstellen verfügen, geben Sie nacheinander alle Zertifikatsketten der Zwischen-Root-CA ein.

        Beispiel:

        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 2>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 2>
        ...
        -----END CERTIFICATE-----
        Hinweis: Wenn für das Active Directory Zugriff über SSL/TLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie die Zertifikate nicht bereitstellen.
    3. Wenn Sie die DNS-Dienstspeicherort-Suche für Active Directory nicht verwenden möchten, treffen Sie die folgende Auswahl.
      • Stellen Sie sicher, dass im Abschnitt Serverstandort das Kontrollkästchen Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort deaktiviert ist, und geben Sie den Active Directory-Serverhostnamen und die Portnummer ein.

        Wenn Sie das Verzeichnis als globalen Katalog konfigurieren möchten, lesen Sie den Abschnitt „Active Directory-Umgebung mit mehreren Domänen in einer einzelnen Struktur“ in #GUID-0D2293FD-7634-40DD-A7ED-8F72401A3939.

      • Wenn für das Active Directory Zugriff über SSL/TLS erforderlich ist, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL im Abschnitt Zertifikate, kopieren Sie die Zwischen- (falls verwendet) und Root-CA-Zertifikate des Domänencontrollers und fügen Sie sie im Textfeld SSL-Zertifikat ein.

        Geben Sie zuerst das Zwischen-CA-Zertifikat und dann das Root-CA-Zertifikat ein. Vergewissern Sie sich, dass das Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält.

        Hinweis: Wenn für das Active Directory Zugriff über SSL/TLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie das Zertifikat nicht bereitstellen.
    4. Geben Sie im Abschnitt Bind-Benutzerdetails die folgenden Informationen ein.
      Option Bezeichnung
      Basis-DN Geben Sie den DN ein, von dem aus Kontosuchvorgänge gestartet werden sollen. Beispiel: OU=MeineEinheit,DC=MeineFirma,DC=com.
      Hinweis: Der Basis-DN wird für die Authentifizierung verwendet. Es können nur Benutzer unter dem Basis-DN authentifiziert werden. Stellen Sie sicher, dass die Gruppen-DNs und die Benutzer-DNs, die Sie zu einem späteren Zeitpunkt für die Synchronisierung angeben, unter diesen Basis-DN fallen.
      Bind-Benutzer-DN Geben Sie das Konto ein, das nach Benutzern suchen darf. Beispiel: CN=Bind-Benutzer,OU=MeineEinheit,DC=MeineFirma,DC=com.
      Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
      Bind-Benutzerkennwort Das Bind-Benutzerkennwort.
  6. Wenn Sie Active Directory über die integrierte Windows-Authentifizierung integrieren, führen Sie die folgenden Schritte aus.
    1. Treffen Sie im Abschnitt Verzeichnissynchronisierung und Authentifizierung die folgende Auswahl.
      Option Bezeichnung
      Hosts für die Verzeichnissynchronisierung Wählen Sie mindestens eine Verzeichnissynchronisierungsdienst-Instanz aus, die zur Synchronisierung dieses Verzeichnisses verwendet werden soll. Alle Verzeichnissynchronisierungsdienst-Instanzen, die beim Mandanten registriert sind und sich im Status „Aktiv“ befinden, werden aufgelistet.

      Wenn Sie mehrere Instanzen auswählen, verwendet Workspace ONE Access die erste ausgewählte Instanz in der Liste, um das Verzeichnis zu synchronisieren. Wenn die erste Instanz nicht verfügbar ist, wird die nächste ausgewählte Instanz verwendet usw. Sie können die Liste nach dem Erstellen des Verzeichnisses auf der Seite „Synchronisierungseinstellungen“ des Verzeichnisses neu anordnen.

      Authentifizierung Wählen Sie Ja aus, wenn Sie Benutzer dieses Verzeichnisses mit dem Benutzerauthentifzierungsdienst authentifizieren möchten. Der Benutzerauthentifzierungsdienst muss bereits installiert sein. Wenn Sie Ja auswählen, werden die Authentifizierungsmethode „Kennwort“ (Cloud-Bereitstellung) und ein Identitätsprovider namens IDP für Verzeichnis vom Typ „Eingebettet“ automatisch für das Verzeichnis erstellt.

      Wählen Sie Nein aus, wenn Sie die Benutzer dieses Verzeichnisses nicht mit dem Benutzerauthentifzierungsdienst authentifizieren möchten. Wenn Sie Ihre Meinung später ändern, können Sie die Authentifizierungsmethode vom Typ „Kennwort (Cloud-Bereitstellung)“ und den Identitätsanbieter für das Verzeichnis manuell erstellen. Wenn Sie dies tun, erstellen Sie einen neuen Identitätsanbieter für das Verzeichnis, indem Sie die Optionen Identitätsanbieter hinzufügen > Integrierten Identitätsanbieter erstellen auf der Seite Identitäts- und Zugriffsmanagement > Identitätsanbieter auswählen. Die Verwendung des vorab erstellten Identitätsanbieters mit dem Namen Integriert wird nicht empfohlen.

      Hosts für die Benutzerauthentifizierung Diese Option wird angezeigt, wenn Authentifizierung auf Ja festgelegt ist. Wählen Sie eine oder mehrere Benutzerauthentifzierungsdienst-Instanzen aus, die zur Authentifizierung von Benutzern dieses Verzeichnisses verwendet werden sollen. Alle Benutzerauthentifzierungsdienst-Instanzen, die bei dem Mandanten registriert sind und den Status „Aktiv“ aufweisen, werden aufgelistet.

      Wenn Sie mehrere Instanzen auswählen, sendet Workspace ONE Access Authentifizierungsanforderungen an die ausgewählten Instanzen in einer Round-Robin-Reihenfolge.

      Verzeichnissuchattribut Wählen Sie das Kontoattribut, das den Benutzernamen enthält.
      Externe ID

      Das Attribut, das Sie als eindeutige Kennung für Benutzer im Verzeichnis Workspace ONE Access verwenden möchten. Der Standardwert lautet objectGUID.

      Sie können eine externe ID für alle der folgenden Attribute festlegen:

      • Beliebiges Zeichenfolgenattribut wie sAMAccountName oder distinguishedName
      • Die Binärattribute objectSid, objectGUID oder mS-DS-ConsistencyGuid

      Die Einstellung für „Externe ID“ gilt nur für Benutzer in Workspace ONE Access. Bei Gruppen wird die externe ID immer auf objectGUID festgelegt und kann nicht geändert werden.

      Wichtig: Alle Benutzer müssen über einen eindeutigen Wert verfügen, der für das Attribut definiert ist. Der Wert muss innerhalb des Workspace ONE Access-Mandanten eindeutig sein.

      Beachten Sie bei der Einstellung der externen ID die folgenden Überlegungen:

      • Wenn Sie Workspace ONE Access in Workspace ONE UEM integrieren, stellen Sie sicher, dass Sie die externe ID in beiden Produkten auf dasselbe Attribut festlegen.
      • Sie können die externe ID nach dem Erstellen des Verzeichnisses ändern. Es empfiehlt sich jedoch, die externe ID vor der Synchronisierung von Benutzern mit Workspace ONE Access festzulegen. Wenn Sie die externe ID ändern, werden die Benutzer neu erstellt. Infolgedessen werden alle Benutzer abgemeldet und müssen sich erneut anmelden. Sie müssen außerdem Benutzerrechte für Web-Anwendungen und ThinApps neu konfigurieren. Die Berechtigungseinstellungen für Horizon, Horizon Cloud und Citrix werden gelöscht und bei der nächsten Synchronisierung der Berechtigungsoptionen neu erstellt.
      • Die Option „Externe ID“ ist mit Workspace ONE Access Connector 20.10 und 19.03.0.1 verfügbar. Alle Konnektoren, die mit dem Workspace ONE Access-Dienst verknüpft sind, müssen die Version 20.10 aufweisen oder alle Konnektoren müssen die Version 19.03.0.1 aufweisen. Wenn verschiedene Versionen des Konnektors mit dem Dienst verknüpft sind, wird die Option „Externe ID“ nicht angezeigt.
    2. Wenn für das Active Directory ein Zugriff über SSL/TLS erforderlich ist, aktivieren Sie das Kontrollkästchen Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von STARTTLS im Abschnitt Zertifikate, kopieren Sie die Zwischen- (falls verwendet) und Root-CA-Zertifikate der Domänencontroller und fügen Sie sie im Textfeld SSL-Zertifikat ein.

      Geben Sie zuerst das Zwischen-CA-Zertifikat und dann das Root-CA-Zertifikat ein. Vergewissern Sie sich, dass jedes Zertifikat im PEM-Format vorliegt und die Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“ enthält.

      Wenn die Domänencontroller über Zertifikate von mehreren Zwischen- und Root-CA-Zertifizierungsstellen verfügen, geben Sie nacheinander alle Zertifikatsketten der Zwischen-Root-CA ein.

      Beispiel:

      -----BEGIN CERTIFICATE-----
      ...
      <Intermediate Certificate 1>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Root Certificate 1>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Intermediate Certificate 2>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Root Certificate 2>
      ...
      -----END CERTIFICATE-----
      Hinweis: Wenn für das Active Directory Zugriff über SSL/TLS erforderlich ist, können Sie das Verzeichnis nicht erstellen, wenn Sie die Zertifikate nicht bereitstellen.
    3. Geben Sie im Abschnitt Bind-Benutzerdetails den Benutzernamen und das Kennwort des Bind-Benutzers ein, der über die Berechtigung zur Abfrage von Benutzern und Gruppen für die erforderlichen Domänen verfügt. Geben Sie den Benutzernamen als „sAMAccountName@domain“ ein, wobei „domain“ der vollqualifizierte Domänenname ist. Beispielsweise jdoe@example.com.
      Hinweis: Es empfiehlt sich, ein Bind-Benutzerkonto zu verwenden, bei dem das Kennwort nicht abläuft.
  7. Klicken Sie auf Speichern und weiter.
  8. Wählen Sie auf der Seite „Domänen auswählen“ ggf. Domänen aus und klicken Sie dann auf Weiter.
    • Für Active Directory über LDAP sind die Domänen aufgeführt und bereits ausgewählt.
    • Bei Verwendung von „Active Directory über integrierte Windows-Authentifizierung“ wählen Sie die Domänen aus, die dieser Active Directory-Verbindung zugeordnet werden sollen. Alle Domänen mit einer bidirektionalen Vertrauensbeziehung mit der Basisdomäne werden aufgelistet.

      Wenn Domänen mit einer bidirektionalen Vertrauensbeziehung mit der Basisdomäne zu Active Directory hinzugefügt werden, nachdem das Workspace ONE Access-Verzeichnis erstellt wurde, können Sie sie über die Seite „Synchronisierungseinstellungen“ > „Domänen“ des Verzeichnisses hinzufügen, indem Sie auf „Aktualisieren“ klicken, um die neueste Liste abzurufen.

      Tipp: Wählen Sie vertrauenswürdige Domänen nacheinander aus, anstatt alle Domänen gleichzeitig auszuwählen. Dadurch wird sichergestellt, dass die Domänenspeicherung kein Vorgang mit langer Ausführungsdauer ist, der potenziell zu einer Zeitüberschreitung führen kann. Durch die sequentielle Auswahl von Domänen wird sichergestellt, dass der Verzeichnissynchronisierungsdienst Zeit damit verbringt, nur eine einzige Domäne aufzulösen.
    • Wenn Sie ein Active Directory über LDAP-Verzeichnis erstellen, bei dem die Option „Globaler Katalog“ ausgewählt ist, wird die Registerkarte „Domänen“ nicht angezeigt.
  9. Überprüfen Sie auf der Seite „Benutzerattribut zuordnen“, ob die Workspace ONE Access-Verzeichnis-Attributnamen den richtigen Active Directory-Attributen zugeordnet sind, und nehmen Sie ggf. Änderungen vor. Klicken Sie dann auf Weiter.
  10. Wählen Sie die Gruppen, die aus dem aktiven Verzeichnis mit dem Workspace ONE Access-Verzeichnis synchronisiert werden sollen.
    Beachten Sie beim Hinzufügen von Gruppen Folgendes.
    • Es hat sich bewährt, beim Erstellen eines Verzeichnisses eine kleine Anzahl von Gruppen hinzuzufügen und zu synchronisieren. Nach der anfänglichen Einrichtung können Sie weitere Gruppen hinzufügen.
    • Wenn hier Gruppen hinzugefügt und synchronisiert werden, werden Gruppennamen mit dem Verzeichnis synchronisiert. Benutzer, die Mitglieder der Gruppe sind, werden erst mit dem Verzeichnis synchronisiert, wenn die Gruppe zur Nutzung einer Anwendung berechtigt ist wenn oder der Gruppenname zu einer Regel der Zugriffsrichtlinie hinzugefügt wurde.
      Hinweis: Sie können diese Einschränkung außer Kraft setzen, indem Sie die Option Gruppenmitglieder beim Hinzufügen der Gruppe mit dem Verzeichnis synchronisieren auf der Seite Identitäts- und Zugriffsmanagement > Einrichten > Einstellungen aktivieren.
    • Wenn Sie eine Gruppe synchronisieren, werden alle Benutzer, für die „Domänenbenutzer“ nicht die primäre Gruppe in Active Directory darstellt, nicht synchronisiert.
    Zum Auswählen von Gruppen geben Sie einen oder mehrere Gruppen-DNs an und wählen die Gruppen an, die sich darunter befinden.
    1. Klicken Sie in der Zeile Gruppen-DNs angeben auf + und geben Sie den Gruppen-DN an. Beispielsweise: CN=Benutzer,DC=Beispiel,DC=com
      Tipp: Die Eingabe eines High-Level-DN, wie z. B. der Basis-DN, unter dem gesucht werden soll, wird nicht empfohlen, da die Suche sehr lange dauern wird. Geben Sie einen spezifischeren DN für die Suche ein.
      Wichtig: Geben Sie Gruppen-DNs an, die sich unter dem Basis-DN befinden, den Sie in das Textfeld Basis-DN auf der Seite „Verzeichnis hinzufügen“ eingegeben haben. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.
    2. Wenn Sie alle Gruppen unter dem Gruppen-DN auswählen möchten, klicken Sie auf Alle auswählen.
      Wenn Gruppen in Active Directory nach dem Erstellen des Verzeichnisses zum Gruppen-DN hinzugefügt oder gelöscht werden, werden die Änderungen in nachfolgenden Synchronisierungen wiedergegeben.
    3. Wenn Sie bestimmte Gruppen unter dem Gruppen-DN auswählen möchten, anstatt sie alle auszuwählen, klicken Sie auf Auswählen, treffen Sie Ihre Auswahl und klicken Sie auf Speichern.
      Wenn Sie auf Auswählen klicken, werden alle im DN gefundenen Gruppen aufgelistet. Sie können die Ergebnisse einschränken oder nach bestimmten Gruppen suchen, indem Sie einen Suchbegriff in das Suchfeld eingeben.
    4. Aktivieren oder deaktivieren Sie nach Bedarf die Option Geschachtelte Gruppenmitglieder synchronisieren.
      Die Option Mitglieder verschachtelter Gruppen synchronisieren ist standardmäßig aktiviert. Wenn diese Option aktiviert ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu darin vorhandenen geschachtelten Gruppen gehören, wenn die Gruppe dazu berechtigt ist. Beachten Sie, dass die geschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den geschachtelten Gruppen gehören. Im Verzeichnis Workspace ONE Access werden diese Benutzer als Mitglieder der übergeordneten Gruppe angezeigt, die Sie für die Synchronisierung ausgewählt haben.

      Wenn die Option Geschachtelte Gruppenmitglieder synchronisieren deaktiviert ist und Sie eine Gruppe für die Synchronisierung festlegen, werden alle Benutzer, die direkt zu dieser Gruppe gehören, synchronisiert. Benutzer, die zu geschachtelten Gruppen gehören, werden in diesem Fall nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Active Directory-Konfigurationen sinnvoll, wenn die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, müssen Sie sicherstellen, dass alle diejenigen Gruppen ausgewählt sind, deren Benutzer Sie synchronisieren möchten.

  11. Klicken Sie auf Weiter.
  12. Wählen Sie die zu synchronisierenden Benutzer aus.
    Beachten Sie beim Hinzufügen von Benutzern Folgendes:
    • Da Mitglieder in Gruppen nicht mit dem Verzeichnis synchronisiert werden, bis die Gruppe zu Anwendungen berechtigt ist oder zu einer Regel der Zugriffsrichtlinie hinzugefügt wird, fügen Sie alle Benutzer hinzu, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden.
    • Der Bind-Benutzer, den Sie im Abschnitt „Bind-Details“ angegeben haben, wird standardmäßig nicht mit dem Workspace ONE Access-Dienst synchronisiert. Wenn Sie den Bind-Benutzer synchronisieren möchten, geben Sie den Benutzer-DN auf dieser Registerkarte ein. Nachdem das Verzeichnis synchronisiert wurde, können Sie bei Bedarf die Rolle für den Bind-Benutzer festlegen.
    1. Klicken Sie in der Zeile Benutzer-DNs angeben auf + und geben Sie die Benutzer-DNs ein. Beispiel:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      Wichtig: Geben Sie Benutzer-DNs an, die sich unter dem Basis-DN befinden, den Sie in das Textfeld Basis-DN auf der Seite „Verzeichnis hinzufügen“ eingegeben haben. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.
    2. Geben Sie ggf. Filter zum Einschließen oder Ausschließen von Benutzern aus den DNs an.
  13. Klicken Sie auf Weiter.
  14. Richten Sie auf der Seite „Synchronisierungshäufigkeit“ einen Synchronisierungszeitplan ein, um Benutzer und Gruppen in regelmäßigen Abständen zu synchronisieren, oder wählen Sie Manuell in der Dropdown-Liste Synchronisierungshäufigkeit aus, wenn Sie keinen Zeitplan festlegen möchten.
    Die Zeit wird in UTC festgelegt.
    Tipp: Planen Sie die Synchronisierungsintervalle länger als die Synchronisierungsdauer. Wenn Benutzer und Gruppen mit dem Verzeichnis synchronisiert werden und die nächste Synchronisierung bereits geplant ist, wird die neue Synchronisierung unmittelbar nach Abschluss der vorherigen gestartet.
    Wenn Sie Manuell auswählen, müssen Sie auf der Seite „Verzeichnis“ auf die Schaltfläche Synchronisieren klicken, wenn Sie das Verzeichnis synchronisieren möchten.
  15. Klicken Sie auf Speichern, um das Verzeichnis zu erstellen, oder auf Verzeichnis synchronisieren, um das Verzeichnis zu erstellen und mit der Synchronisierung zu beginnen.

Ergebnisse

Die Verbindung zu Active Directory wird hergestellt. Wenn Sie auf Verzeichnis synchronisieren geklickt haben, werden Benutzer und Gruppennamen von Active Directory mit dem Workspace ONE Access-Verzeichnis synchronisiert.

Weitere Informationen dazu, wie Gruppen synchronisiert werden, finden Sie unter „Verwalten von Benutzern und Gruppen“ in Administration von VMware Workspace ONE Access.

Nächste Maßnahme

  • Wenn Sie die Authentifizierungsoption auf „Ja“ festlegen, wird automatisch ein Identitätsanbieter mit dem Namen IDP für Verzeichnisname und eine Authentifizierungsmethode vom Typ „Kennwort (Cloud-Bereitstellung)“ für das Verzeichnis erstellt. Sie können diese auf den Seiten Identitäts- und Zugriffsmanagement > Verwalten > Identitätsanbieter und Enterprise-Authentifizierungsmethoden anzeigen. Sie können auch weitere Authentifizierungsmethoden für das Verzeichnis über die Registerkarte Enterprise-Authentifizierungsmethoden erstellen. Informationen zum Erstellen von Authentifizierungsmethoden finden Sie im <Authentifizierungshandbuch>.
  • Überprüfen Sie die Standardzugriffsrichtlinie auf der Seite Identitäts- und Zugriffsmanagement > Verwalten > Richtlinien.
  • Überprüfen Sie die Standardeinstellungen für die Synchronisierungs-Schutzmaßnahmen und nehmen Sie bei Bedarf Änderungen vor. Weitere Informationen finden Sie unter Einrichten von Schutzmaßnahmen für die Verzeichnissynchronisierung.