Es posible integrar el servicio con un entorno de Active Directory formado por un único dominio de Active Directory, varios dominios en un único bosque de Active Directory o varios dominios en varios bosques de Active Directory.
Entorno de dominio único de Active Directory
Con una implementación única de Active Directory, puede sincronizar usuarios y grupos desde un único dominio de Active Directory.
Para este tipo de entorno, cuando agregue un directorio al servicio de VMware Identity Manager, seleccione Active Directory en LDAP/IWA como directorio para agregar.
Para obtener más información, consulte:
Entorno de varios dominios y un único bosque de Active Directory
En una implementación en varios dominios y un único bosque de Active Directory, puede sincronizar usuarios y grupos desde varios dominios de Active Directory dentro de un único bosque.
- La opción que se recomienda es crear un único tipo de directorio Active Directory (autenticación de Windows integrada).
Cuando añada un directorio a este entorno, seleccione la opción Active Directory (Autenticación de Windows integrada). Asegúrese de que se haya configurado una confianza directa (no transitiva) bidireccional entre los dominios del directorio y el dominio al que está unido el VMware Identity Manager Connector.
Para obtener más información, consulte:
- Si la autenticación integrada en Windows (IWA, Integrated Windows Authentication) no funciona en su entorno Active Directory, cree un directorio del tipo Active Directory mediante LDAP y seleccione la opción de catálogo global.
Entre las limitaciones que existen al seleccionar la opción de catálogo global se incluyen las siguientes:
- Los atributos del objeto de Active Directory que se replican en el catálogo global se identifican en el esquema de Active Directory como un conjunto de atributos parcial (PAS, Partial Attribute Set). Solo estarán disponibles estos atributos para la asignación de atributos por parte del servicio. Si es necesario, edite el esquema para agregar o eliminar atributos que están almacenados en el catálogo global.
- El catálogo global almacena la pertenencia a grupos (el atributo de miembro) únicamente de grupos universales. Solo los grupos universales se sincronizan con el servicio. Si es necesario, cambie el ámbito de un grupo de un dominio local o global a universal.
- La cuenta de DN de enlace que defina al configurar un directorio en el servicio debe disponer de permisos de lectura sobre el atributo Token-Groups-Global-And-Universal (TGGAU).
- Cuando Workspace ONE UEM se integra con VMware Identity Manager y se configuran varios grupos de organización de Workspace ONE UEM, la opción Catálogo global de Active Directory no se puede usar.
Active Directory usa los puertos 389 y 636 para consultas LDAP estándar. Para las consultas del catálogo global, se usan los puertos 3268 y 3269.
Cuando agregue un directorio al entorno de catálogo global, especifique lo siguiente durante la configuración.
- Seleccione la opción Active Directory mediante LDAP.
- Anule la selección de la casilla correspondiente a la opción Este directorio admite la ubicación de servicio de DNS.
- Seleccione la opción Este directorio tiene un catálogo global. Al seleccionar esta opción, el número de puerto del servidor cambia automáticamente a 3268. Además, y debido a que no se necesita el DN base para configurar la opción de catálogo global, no se mostrará el cuadro de texto DN base.
- Agregue el nombre de host del servidor de Active Directory.
- Si su Active Directory necesita acceder mediante SSL, seleccione la opción Este directorio requiere que todas las conexiones usen SSL y pegue el certificado en el cuadro de texto proporcionado. Al seleccionar esta opción, el número de puerto del servidor cambia automáticamente a 3269.
Entorno de bosques múltiples de Active Directory con relaciones de confianza
En una implementación de bosques múltiples de Active Directory con relaciones de confianza, puede sincronizar usuarios y grupos de varios dominios de Active Directory de diversos bosques entre los que exista una relación de confianza bidireccional. Puede configurar el servicio de este entorno de Active Directory como un único tipo de directorio Active Directory (autenticación de Windows integrada).
Cuando agregue un directorio a este entorno, seleccione la opción Active Directory (autenticación de Windows integrada). Asegúrese de que se haya configurado una confianza directa (no transitiva) bidireccional entre los dominios de los bosques del directorio y el dominio al que está unido VMware Identity Manager Connector.
Cuando añada un directorio a este entorno, seleccione la opción Active Directory (Autenticación de Windows integrada).
Para obtener más información, consulte:
Entorno de bosques múltiples de Active Directory sin relaciones de confianza
En una implementación de bosques múltiples de Active Directory sin relaciones de confianza, puede sincronizar usuarios y grupos de varios dominios de Active Directory de diversos bosques sin la existencia de una relación de confianza entre los dominios. Para este tipo de entorno se crean varios directorios en el servicio de VMware Identity Manager, uno para cada bosque.
El tipo de directorios que se cree en el servicio dependerá del bosque. En el caso de bosques con varios dominios, seleccione la opción Active Directory (Autenticación de Windows integrada). En el caso de un bosque con un único dominio, seleccione la opción Active Directory mediante LDAP.
Para obtener más información, consulte: