Es posible integrar Workspace ONE Access con la implementación de Active Directory para sincronizar usuarios y grupos de Active Directory con el servicio de Workspace ONE Access. El tipo de entorno de Active Directory que tenga determina el tipo de directorio que creará en Workspace ONE Access.

Entornos de Active Directory

El servicio de Workspace ONE Access se puede integrar con un entorno de Active Directory que incluya un único dominio de Active Directory, varios dominios en un único bosque de Active Directory o varios dominios en varios bosques de Active Directory.

Entorno de dominio único de Active Directory

Si se opta por implementar un solo dominio de Active Directory, se pueden sincronizar usuarios y grupos desde un único dominio de Active Directory.

Para este entorno, puede crear un directorio de tipo Active Directory mediante LDAP o de tipo Active Directory mediante autenticación de Windows integrada en el servicio de Workspace ONE Access.

Para obtener más información, consulte:

Entorno de varios dominios y un único bosque de Active Directory

En una implementación en varios dominios y un único bosque de Active Directory, puede sincronizar usuarios y grupos desde varios dominios de Active Directory dentro de un único bosque.

Para este entorno, puede crear en el servicio de Workspace ONE Access un único directorio de tipo Active Directory mediante autenticación de Windows integrada o un directorio de tipo Active Directory mediante LDAP configurado con la opción de Catálogo global.
  • La opción que se recomienda es crear un único directorio de tipo Active Directory mediante autenticación de Windows integrada.

    Cuando agregue un directorio a este entorno, seleccione la opción Active Directory mediante autenticación de Windows integrada. Asegúrese de configurar una confianza directa (no transitiva) bidireccional entre los dominios del directorio y el dominio del que es miembro el usuario de enlace del directorio.

    Para obtener más información, consulte:

  • Si la autenticación de Windows integrada no funciona en su entorno de Active Directory, cree un directorio de tipo Active Directory mediante LDAP y seleccione la opción de Catálogo global.

    Entre las limitaciones que existen al seleccionar la opción de Catálogo global se incluyen las siguientes:

    • Los atributos del objeto de Active Directory que se replican en el catálogo global se identifican en el esquema de Active Directory como un conjunto de atributos parcial (PAS, Partial Attribute Set). Solo estarán disponibles estos atributos para la asignación de atributos por parte del servicio. Si es necesario, edite el esquema para agregar o eliminar atributos que están almacenados en el catálogo global.
    • El catálogo global almacena la pertenencia a grupos (el atributo de miembro) únicamente de grupos universales. Solo los grupos universales se sincronizan con el servicio. Si es necesario, cambie el ámbito de un grupo de un dominio local o global a universal.
    • La cuenta de DN de enlace que defina al configurar un directorio en el servicio debe disponer de permisos de lectura sobre el atributo Token-Groups-Global-And-Universal (TGGAU).
    • Los usuarios pueden sincronizar con el directorio de Catálogo global de Workspace ONE Access desde varios dominios de Active Directory, ya sea directamente o a través de las pertenencias a grupos. Debe asegurarse de que ningún otro directorio del arrendatario de Workspace ONE Access sincronice los usuarios de los mismos dominios; de lo contrario, el conflicto puede provocar errores de sincronización.
    • Cuando Workspace ONE UEM se integra con Workspace ONE Access y se configuran varios grupos organizativos de Workspace ONE UEM, no se puede utilizar la opción Catálogo global de Active Directory.

    Active Directory usa los puertos 389 y 636 para consultas LDAP estándar. Para las consultas del catálogo global, se usan los puertos 3268 y 3269.

Entorno de bosques múltiples de Active Directory con relaciones de confianza

En una implementación de bosques múltiples de Active Directory con relaciones de confianza, puede sincronizar usuarios y grupos de varios dominios de Active Directory de diversos bosques entre los que exista una relación de confianza bidireccional. En el servicio de Workspace ONE Access, cree un único directorio de tipo Active Directory mediante autenticación de Windows integrada para este entorno de Active Directory.

Cuando agregue un directorio a este entorno, seleccione la opción Active Directory mediante autenticación de Windows integrada. Asegúrese de configurar una confianza directa (no transitiva) bidireccional entre los dominios del directorio y el dominio del que es miembro el usuario de enlace del directorio.

Para obtener más información, consulte:

Entorno de bosques múltiples de Active Directory sin relaciones de confianza

En una implementación de bosques múltiples de Active Directory sin relaciones de confianza, puede sincronizar usuarios y grupos de varios dominios de Active Directory de diversos bosques sin la existencia de una relación de confianza entre los dominios. En este entorno, cree varios directorios en el servicio de Workspace ONE Access (uno para cada bosque).

Para obtener más información, consulte: