Es posible convertir un directorio de tipo Otro, que almacena usuarios y grupos sincronizados desde Workspace ONE UEM, a un directorio de tipo Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada, que están asociados con VMware Identity Manager Connector. Después de convertir el directorio, se utiliza el conector VMware Identity Manager en lugar de ACC para sincronizar usuarios y grupos del directorio empresarial al servicio de VMware Identity Manager.

Requisitos previos

  • Instale y active VMware Identity Manager Conector.

    Para usar algunas funciones, debe unir el servidor de Windows al dominio, debe instalar VMware Identity Manager Connector como un usuario de dominio que forma parte del grupo de administradores en el servidor de Windows y debe elegir ejecutar el servicio de IDM Connector como usuario de dominio de Windows.

    Este requisito se aplica a los siguientes casos.

    • Si tiene previsto convertir el directorio Otro a Active Directory mediante autenticación de Windows integrada
    • Si tiene previsto utilizar la autenticación Kerberos
  • Se necesita la siguiente información de Active Directory:
    • Si va a convertir a Active Directory mediante LDAP, se necesitan la contraseña y los DN base y de usuario de enlace.

      El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:

      • Leer
      • Leer todas las propiedades
      • Permisos de lectura

      Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.

    • Si va a convertir a Active Directory mediante autenticación de Windows integrada, se necesitan el nombre de usuario y la contraseña del usuario de enlace que tiene permiso para realizar consultas en usuarios y grupos en relación con los dominios requeridos.

      El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:

      • Leer
      • Leer todas las propiedades
      • Permisos de lectura

      Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.

    • Si Active Directory requiere acceso mediante SSL/TLS, se necesitan los certificados de CA intermedio (si se utiliza) y raíz de los controladores de dominio para todos los dominios de Active Directory pertinentes. Si los controladores de dominio tienen certificados intermedio y raíz de varias entidades de certificación, se necesitan todos estos certificados.
    • Para Active Directory mediante autenticación de Windows integrada, cuando tiene configurado Active Directory con varios bosques y el grupo local de dominios incluye miembros de dominios de diferentes bosques, asegúrese de que el usuario de enlace se agregue al grupo Administradores del dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local de dominios.
    • Para Active Directory mediante autenticación de Windows integrada:
      • Para todos los controladores de dominio que aparecen en los registros de SRV y los RODC ocultos, nslookup de nombre de host y dirección IP debe funcionar.
      • Todos los controladores de dominio deben ser accesibles en lo que a conectividad de red respecta.

Procedimiento

  1. En la consola de administración de VMware Identity Manager, haga clic en la pestaña Administración de acceso e identidad y, a continuación, en la pestaña Directorios.
  2. Haga clic en el directorio que desee convertir.
  3. En la página del directorio, haga clic en el botón Convertir.
  4. En la página Agregar directorio, cambie el nombre del directorio si es necesario y seleccione el tipo al que desea convertir el directorio Otro (Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada).
  5. Escriba la información de conexión de Active Directory y continúe con el asistente para configurar el directorio.
    Consulte "Configurar la conexión de Active Directory con el servicio" en la guía Integración de directorios con VMware Identity Manager para obtener más información.

    Siga estas directrices.

    • En el campo Conector de sincronización, seleccione el conector de VMware Identity Manager que instaló.
    • En la sección Sincronización y autenticación de directorios, seleccione para la Autenticación, a menos que quiera usar un proveedor de identidades de terceros en lugar del conector para la autenticación.
    • Asegúrese de configurar el directorio convertido exactamente igual que el directorio de Workspace ONE UEM para que tengan la misma estructura de directorio. Seleccione los mismos dominios. Cuando especifique los usuarios y los grupos que quiera sincronizar, realice las mismas selecciones que efectuó en el directorio de Workspace ONE UEM para que se sincronicen los mismos usuarios y grupos en el directorio convertido.
  6. En la última página del asistente, haga clic en Sincronizar directorio.
    El directorio se convierte y se configura para usar el conector VMware Identity Manager. Si no existía, se crea un proveedor de identidades de Workspace al que se asocia automáticamente el directorio. El método de autenticación de contraseña ya está habilitado para el directorio.
  7. (Opcional) Si desea habilitar otros métodos de autenticación para el directorio, siga estos pasos.
    1. En la pestaña Administración de acceso e identidad, haga clic en Configuración.
    2. En la página Conectores, busque el conector y el trabajo con los que está asociado el directorio convertido y haga clic en el vínculo de la columna Trabajo.
    3. En la página de trabajo, haga clic en la pestaña Adaptadores de autenticación.
    4. Configure y habilite los adaptadores de autenticación que desee utilizar para el directorio haciendo clic en el vínculo de cada uno de ellos e introduciendo la información de la configuración.
      Para obtener más información sobre cómo configurar los adaptadores de autenticación, consulte Administración de VMware Identity Manager.
  8. Edite la directiva default_access_policy_set y cualquier directiva personalizada para seleccionar los métodos de autenticación del conector VMware Identity Manager en lugar de Contraseña (AirWatch Connector).
    1. En la pestaña Administración de acceso e identidad, haga clic en la pestaña Directivas.
    2. Haga clic en Editar política predeterminada.
    3. Haga clic en Configuración.
    4. Edite las reglas de directiva y reemplace el método de autenticación Contraseña (AirWatch Connector) por Contraseña, que es un método de autenticación de VMware Identity Manager Connector.
    5. Haga clic en la pestaña Directivas de nuevo y edite las directivas personalizadas, si las hubiera, para usar Contraseña o cualquier otro método de autenticación del conector VMware Identity Manager configurado.
      Importante: Si no cambia Contraseña (AirWatch Connector) a Contraseña o a otro método de autenticación basado en el conector VMware Identity Manager, los usuarios del directorio convertido no podrán iniciar sesión.

Qué hacer a continuación

Detenga la sincronización de Workspace ONE UEM con el directorio convertido.