En Workspace ONE Access, puede convertir un directorio de tipo Otro, que almacena usuarios y grupos sincronizados desde Workspace ONE UEM, en un directorio de tipo Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada, que están asociados con Workspace ONE Access Connector. Tras realizar esta conversión, se utiliza el servicio de sincronización de directorios de Workspace ONE Access Connector en lugar de ACC para sincronizar usuarios y grupos del directorio empresarial en el servicio de Workspace ONE Access.

Requisitos previos

  • Instale el servicio de sincronización de directorios y el servicio de autenticación de usuario, que son componentes de Workspace ONE Access Connector a partir de la versión 20.01.0.0. Consulte la versión más reciente de Instalar VMware Workspace ONE Access Connector para obtener más información.
  • Se necesita la siguiente información de Active Directory:
    • Si va a convertir a Active Directory mediante LDAP, se necesitan la contraseña y los DN base y de usuario de enlace.

      El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:

      • Leer
      • Leer todas las propiedades
      • Permisos de lectura

      Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.

    • Si va a convertir a Active Directory mediante autenticación de Windows integrada, se necesitan el nombre de usuario y la contraseña del usuario de enlace que tiene permiso para realizar consultas en usuarios y grupos en relación con los dominios requeridos.

      El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:

      • Leer
      • Leer todas las propiedades
      • Permisos de lectura

      Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.

    • Si Active Directory requiere acceso mediante SSL/TLS, se necesitan los certificados de CA intermedio (si se utiliza) y raíz de los controladores de dominio para todos los dominios de Active Directory pertinentes. Si los controladores de dominio tienen certificados intermedio y raíz de varias entidades de certificación, se necesitan todos estos certificados.
    • Para Active Directory mediante autenticación de Windows integrada, cuando tiene configurado Active Directory con varios bosques y el grupo local de dominios incluye miembros de dominios de diferentes bosques, asegúrese de que el usuario de enlace se agregue al grupo Administradores del dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local de dominios.
    • Para Active Directory mediante autenticación de Windows integrada:
      • Para todos los controladores de dominio que aparecen en los registros de SRV y los RODC ocultos, nslookup de nombre de host y dirección IP debe funcionar.
      • Todos los controladores de dominio deben ser accesibles en lo que a conectividad de red respecta.

Procedimiento

  1. En la consola de Workspace ONE Access, seleccione Integraciones > Directorios.
  2. Haga clic en el directorio que desee convertir.
  3. En la página del directorio, haga clic en Convertir.
    ""
  4. Cambie el nombre del directorio si es necesario y seleccione el tipo al que desea convertir el directorio Otro (Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada).
  5. Escriba la información de conexión de Active Directory y continúe con el asistente para configurar el directorio.
    El proceso es el mismo que para crear un directorio nuevo. Para obtener información detallada, consulte Configurar la conexión de Active Directory en Workspace ONE Access.

    A la hora de configurar el directorio, siga estas directrices:

    • En la sección Sincronización y autenticación de directorios, para Hosts de sincronización de directorios, seleccione el servicio de sincronización de directorios que instaló.

      Al realizar esta operación, aparecen todas las instancias de conector que tienen instalado el servicio de sincronización de directorios. Puede seleccionar varias. Workspace ONE Access utiliza la primera instancia seleccionada en la lista para sincronizar el directorio. Si la primera instancia no está disponible, pasa a la siguiente, y así sucesivamente. Tras crear un directorio, puede reordenar la lista desde su correspondiente página Configuración de sincronización.

    • Para Autenticación, seleccione Configurar autenticación de contraseña para este directorio. A continuación, para Hosts de autenticación de usuario, seleccione las instancias del servicio de autenticación de usuario que se utilizarán para la autenticación.
    • Asegúrese de configurar el directorio convertido exactamente igual que el de Workspace ONE UEM, de modo que tengan la misma estructura. Seleccione los mismos dominios. Cuando especifique los usuarios y grupos que desea sincronizar, realice las mismas selecciones que hizo con el directorio de Workspace ONE UEM para que se sincronicen los mismos elementos en el directorio convertido.
    • Asegúrese de establecer el identificador externo en el mismo atributo que está establecido en Workspace ONE UEM.
  6. En la última página del asistente, haga clic en Guardar y sincronizar.
    El directorio se convierte y configura para sincronizar usuarios y grupos con el servicio de sincronización de directorios. Si establece la opción Autenticación en Configurar autenticación de contraseña para este directorio, se creará automáticamente un proveedor de identidad denominado IDP para NombreDeDirectorio y se establecerá el método de autenticación Contraseña (implementación en la nube) para el directorio.
  7. (Opcional) Para configurar otros métodos de autenticación para el directorio, vaya a la página Integraciones > Métodos de autenticación del conector y cree los métodos de autenticación necesarios para el directorio.
    Consulte Administrar métodos de autenticación de usuarios en Workspace ONE Access para obtener más información.
  8. Edite default_access_policy_set y el resto de las directivas personalizadas para reemplazar el método de autenticación Contraseña (AirWatch Connector) por Contraseña (implementación en la nube).
    1. Seleccione Recursos > Directivas.
    2. Haga clic en Editar directiva predeterminada y en Configuración en el asistente de edición de directivas.
    3. Edite las distintas reglas de directiva y reemplace el método de autenticación Contraseña (AirWatch Connector) por Contraseña (implementación en la nube).
    4. En la página Directivas, edite las directivas personalizadas (si las hay) para reemplazar el método de autenticación Contraseña (AirWatch Connector) por Contraseña (implementación en la nube).
    5. (Opcional) Modifique las directivas para utilizar otros métodos de autenticación si es necesario.
    Importante: Si no cambia Contraseña (AirWatch Connector) por Contraseña (implementación en la nube) u otro método del servicio de autenticación de usuario, los usuarios del directorio convertido no podrán iniciar sesión.

Qué hacer a continuación

Detenga la sincronización de Workspace ONE UEM con el directorio convertido.