Si lo desea, puede convertir un directorio de tipo Otro, que almacena usuarios y grupos sincronizados desde Workspace ONE UEM, en un directorio de tipo Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada, que están asociados con Workspace ONE Access Connector. Tras realizar esta conversión, se utiliza el servicio de sincronización de directorio de Workspace ONE Access Connector en lugar de ACC para sincronizar usuarios y grupos del directorio empresarial en el servicio de Workspace ONE Access.

Requisitos previos

  • Instale el servicio de sincronización de directorio y los componentes del servicio de autenticación de usuario de la versión 20.01.0.0 o posterior de Workspace ONE Access Connector. Para obtener más información, consulte Instalación y configuración de VMware Workspace ONE Access Connector.
  • Se necesita la siguiente información de Active Directory:
    • Si va a convertir a Active Directory mediante LDAP, se necesitan la contraseña y los DN base y de usuario de enlace.

      El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:

      • Leer
      • Leer todas las propiedades
      • Permisos de lectura

      Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.

    • Si va a convertir a Active Directory mediante autenticación de Windows integrada, se necesitan el nombre de usuario y la contraseña del usuario de enlace que tiene permiso para realizar consultas en usuarios y grupos en relación con los dominios requeridos.

      El usuario de enlace debe tener los siguientes permisos en Active Directory para conceder acceso a los usuarios y los objetos de grupos:

      • Leer
      • Leer todas las propiedades
      • Permisos de lectura

      Se recomienda utilizar una cuenta de usuario de enlace con una contraseña que no caduque.

    • Si Active Directory requiere acceso mediante SSL/TLS, se necesitan los certificados de CA intermedio (si se utiliza) y raíz de los controladores de dominio para todos los dominios de Active Directory pertinentes. Si los controladores de dominio tienen certificados intermedio y raíz de varias entidades de certificación, se necesitan todos estos certificados.
    • Para Active Directory mediante autenticación de Windows integrada, cuando tiene configurado Active Directory con varios bosques y el grupo local de dominios incluye miembros de dominios de diferentes bosques, asegúrese de que el usuario de enlace se agregue al grupo Administradores del dominio en el que reside el grupo local de dominios. De lo contrario, estos miembros no estarán en el grupo local de dominios.
    • Para Active Directory mediante autenticación de Windows integrada:
      • Para todos los controladores de dominio que aparecen en los registros de SRV y los RODC ocultos, nslookup de nombre de host y dirección IP debe funcionar.
      • Todos los controladores de dominio deben ser accesibles en lo que a conectividad de red respecta.

Procedimiento

  1. En la consola de Workspace ONE Access, vaya a Administración de acceso e identidad > Administrar > Directorios.
  2. Haga clic en el directorio que desee convertir.
  3. En la página del directorio, haga clic en el botón Convertir.
  4. En la página Agregar directorio, cambie el nombre del directorio si es necesario y seleccione el tipo al que desea convertir el directorio Otro (Active Directory mediante LDAP o Active Directory mediante autenticación de Windows integrada).
  5. Escriba la información de conexión de Active Directory y continúe con el asistente para configurar el directorio.
    El proceso es el mismo que para crear un directorio nuevo. Para obtener información detallada, consulte Configurar la conexión de Active Directory con el servicio de Workspace ONE Access.

    A la hora de configurar el directorio, siga estas directrices:

    • En la sección Sincronización y autenticación de directorios, para Hosts de sincronización de directorios, seleccione el servicio de sincronización de directorio que instaló.

      Al realizar esta operación, aparecen todas las instancias de conector que tienen instalado el servicio de sincronización de directorio. Puede seleccionar varias. Workspace ONE Access utiliza la primera instancia seleccionada en la lista para sincronizar el directorio. Si la primera instancia no está disponible, pasa a la siguiente, y así sucesivamente. Tras crear un directorio, puede reordenar la lista desde su correspondiente página Configuración de sincronización.

    • Para Autenticación, seleccione . Seleccione también las instancias del servicio de autenticación de usuario que se usarán a efectos de autenticación.
    • Asegúrese de configurar el directorio convertido exactamente igual que el de Workspace ONE UEM, de modo que tengan la misma estructura. Seleccione los mismos dominios. Cuando especifique los usuarios y grupos que desea sincronizar, realice las mismas selecciones que hizo con el directorio de Workspace ONE UEM para que se sincronicen los mismos elementos en el directorio convertido.
  6. En la última página del asistente, haga clic en Sincronizar directorio.
    El directorio se convierte y configura para sincronizar usuarios y grupos con el servicio de sincronización de directorio. Si se establece la opción Autenticación en Sí, se crean automáticamente para el directorio un proveedor de identidad denominado IDP para directoryname y un método de autenticación Contraseña (implementación en la nube).
  7. (Opcional) Si desea habilitar otros métodos de autenticación para el directorio, vaya a la página Administración de acceso e identidad > Administrar > Métodos de autenticación empresarial y cree los métodos necesarios.
    Para obtener más información, consulte <Auth guide>.
  8. Edite default_access_policy_set y el resto de las directivas personalizadas para reemplazar el método de autenticación Contraseña (AirWatch Connector) por Contraseña (implementación en la nube).
    1. En la pestaña Administración de acceso e identidad, haga clic en la pestaña Directivas.
    2. Haga clic en Editar directiva predeterminada y en Configuración en el asistente de edición de directivas.
    3. Edite las distintas reglas de directiva y reemplace el método de autenticación Contraseña (AirWatch Connector) por Contraseña (implementación en la nube).
    4. Vuelva a hacer clic en la pestaña Directivas y edite las directivas personalizadas (si las hay) para reemplazar el método de autenticación Contraseña (AirWatch Connector) por Contraseña (implementación en la nube).
    5. (Opcional) Modifique las directivas para utilizar otros métodos de autenticación si es necesario.
    Importante: Si no cambia Contraseña (AirWatch Connector) por Contraseña (implementación en la nube) u otro método del servicio de autenticación de usuario, los usuarios del directorio convertido no podrán iniciar sesión.

Qué hacer a continuación

Detenga la sincronización de Workspace ONE UEM con el directorio convertido.