Es posible integrar el servicio con un entorno de Active Directory formado por un único dominio de Active Directory, varios dominios en un único bosque de Active Directory o varios dominios en varios bosques de Active Directory.
Entorno de dominio único de Active Directory
La implementación única de Active Directory permite sincronizar usuarios y grupos desde un único dominio de Active Directory.
Para este tipo de entorno, cuando agregue un directorio al servicio, seleccione la opción Active Directory mediante LDAP.
Para obtener más información, consulte:
Entorno de varios dominios y un único bosque de Active Directory
La implementación en varios dominios y un único bosque de Active Directory permite sincronizar usuarios y grupos desde varios dominios de Active Directory dentro de un único bosque.
Puede configurar el servicio para este tipo de entorno de Active Directory como un tipo de directorio único de Active Directory con Autenticación de Windows integrada o, si lo desea, como un tipo de directorio Active Directory mediante LDAP configurado con la opción de catálogo global.
La opción que se recomienda es crear un tipo de directorio único de Active Directory con Autenticación de Windows integrada.
Cuando añada un directorio a este entorno, seleccione la opción Active Directory (Autenticación de Windows integrada).
Para obtener más información, consulte:
Si la autenticación integrada en Windows (IWA, Integrated Windows Authentication) no funciona en su entorno Active Directory, cree un directorio del tipo Active Directory mediante LDAP y seleccione la opción de catálogo global.
Entre las limitaciones que existen al seleccionar la opción de catálogo global se incluyen las siguientes:
Los atributos del objeto de Active Directory que se replican en el catálogo global se identifican en el esquema de Active Directory como un conjunto de atributos parcial (PAS, Partial Attribute Set). Solo estarán disponibles estos atributos para la asignación de atributos por parte del servicio. Si es necesario, edite el esquema para agregar o eliminar atributos que están almacenados en el catálogo global.
El catálogo global almacena la pertenencia a grupos (el atributo de miembro) únicamente de grupos universales. Solo los grupos universales se sincronizan con el servicio. Si es necesario, cambie el ámbito de un grupo de un dominio local o global a universal.
La cuenta de DN de enlace que defina al configurar un directorio en el servicio debe disponer de permisos de lectura sobre el atributo Token-Groups-Global-And-Universal (TGGAU).
Cuando AirWatch se integra con VMware Identity Manager y se configuran varios grupos de organizaciones de AirWatch, no se puede utilizar la opción Catálogo global de Active Directory.
Active Directory usa los puertos 389 y 636 para consultas LDAP estándar. Para las consultas del catálogo global, se usan los puertos 3268 y 3269.
Cuando agregue un directorio al entorno de catálogo global, especifique lo siguiente durante la configuración.
Seleccione la opción Active Directory mediante LDAP.
Anule la selección de la casilla correspondiente a la opción Este directorio admite la ubicación de servicio de DNS.
Seleccione la opción Este directorio tiene un catálogo global. Al seleccionar esta opción, el número de puerto del servidor cambia automáticamente a 3268. Además, y debido a que no se necesita el DN base para configurar la opción de catálogo global, no se mostrará el cuadro de texto DN base.
Agregue el nombre de host del servidor de Active Directory.
Si su Active Directory necesita acceder mediante SSL, seleccione la opción Este directorio requiere que todas las conexiones usen SSL y pegue el certificado en el cuadro de texto proporcionado. Al seleccionar esta opción, el número de puerto del servidor cambia automáticamente a 3269.
Entorno de bosques múltiples de Active Directory con relaciones de confianza
La implementación de bosques múltiples de Active Directory con relaciones de confianza permite sincronizar usuarios y grupos de varios dominios de Active Directory de diversos bosques entre los que exista una relación de confianza bidireccional.
Cuando añada un directorio a este entorno, seleccione la opción Active Directory (Autenticación de Windows integrada).
Para obtener más información, consulte:
Entorno de bosques múltiples de Active Directory sin relaciones de confianza
La implementación de bosques múltiples de Active Directory sin relaciones de confianza permite sincronizar usuarios y grupos de varios dominios de Active Directory de diversos bosques sin la existencia de una relación de confianza entre los dominios. Para este tipo de entorno se crean varios directorios en el servicio, uno para cada bosque.
El tipo de directorios que se cree en el servicio dependerá del bosque. En el caso de bosques con varios dominios, seleccione la opción Active Directory (Autenticación de Windows integrada). En el caso de un bosque con un único dominio, seleccione la opción Active Directory mediante LDAP.
Para obtener más información, consulte: