Es posible integrar su directorio LDAP empresarial en Workspace ONE Access para sincronizar usuarios y grupos del directorio LDAP con el servicio de Workspace ONE Access.

Para integrar el directorio LDAP, cree el directorio Workspace ONE Access correspondiente y sincronice los usuarios y los grupos del directorio LDAP al directorio Workspace ONE Access. Puede programar una sincronización periódica para las actualizaciones siguientes.

Seleccione también los atributos LDAP que quiera sincronizar para los usuarios y asígnelos a los atributos de Workspace ONE Access.

La configuración del directorio LDAP puede basarse en esquemas predeterminados o personalizados. También puede tener atributos personalizados. Para que Workspace ONE Access pueda solicitar el directorio LDAP para obtener los objetos de grupo o usuario, debe proporcionar los nombres de los filtros de búsqueda de LDAP que se apliquen a su directorio LDAP.

En concreto, debe proporcionar la siguiente información.

  • Los filtros de búsqueda para obtener los grupos, los usuarios y el usuario de enlace
  • Los nombres de atributos LDAP de la pertenencia a grupos, identificador externo y el nombre distintivo o el atributo equivalente

Se aplican algunas limitaciones a la función de integración en el directorio LDAP. Consulte Limitaciones de la integración del directorio LDAP.

Requisitos previos

  • Instale el servicio de sincronización de directorios, que está disponible como componente de Workspace ONE Access Connector a partir de la versión 20.01.0.0. Consulte la versión más reciente de Instalar VMware Workspace ONE Access Connector para obtener más información.

    Si desea utilizar el servicio de autenticación de usuario para autenticar a los usuarios del directorio, instale también el componente de dicho servicio.

  • Revise los atributos de usuario en la página Configuración > Atributos de usuario y agregue atributos adicionales para sincronizarlos si es necesario. Asigne los atributos de Workspace ONE Access a los atributos del directorio LDAP cuando cree el directorio. Estos atributos se sincronizan para los usuarios del directorio.
    Nota: Si realiza cambios en los atributos de usuario, tenga en cuenta los efectos que puedan tener en otros directorios del servicio de Workspace ONE Access. Si tiene previsto agregar tanto directorios LDAP como Active Directory, asegúrese de no marcar ningún atributo como obligatorio, excepto Username. Las configuraciones de la página Atributos de usuario se aplican a todos los directorios del servicio. Cuando un atributo es obligatorio, los usuarios que no lo tienen no se sincronizan con el servicio de Workspace ONE Access.
  • Cuenta de usuario DN de enlace. Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
  • En el directorio LDAP, el UUID de los usuarios y los grupos debe aparecer como texto sin formato.
  • En el directorio LDAP, debe existir un atributo de dominio para todos los usuarios y los grupos.

    Asígnelo al atributo del dominio de Workspace ONE Access cuando cree el directorio Workspace ONE Access.

  • Los nombres de usuario no deben tener espacios. Si un nombre de usuario tiene un espacio, el usuario se sincroniza pero las autorizaciones no están disponibles para dicho usuario.
  • Si utiliza la autenticación con certificado, los usuarios deben tener los valores para los atributos de la dirección de correo electrónico y userPrincipalName.

Procedimiento

  1. En la consola de Workspace ONE Access, seleccione Integraciones > Directorios.
  2. En el menú desplegable Agregar directorio, seleccione Directorio LDAP.
    Las opciones del menú desplegable Agregar directorio son Active Directory, Directorio LDAP y Directorio de usuario local.
  3. En la sección Información del directorio, introduzca los siguientes datos:
    Opción Descripción
    Nombre de directorio Introduzca un nombre para el directorio de Workspace ONE Access.
    Hosts de sincronización de directorios Seleccione una o varias instancias del servicio de sincronización de directorios que se deben utilizar para sincronizar este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el arrendatario. Solo puede seleccionar las que están en estado activo.

    Si selecciona varias instancias, Workspace ONE Access utilizará la primera que elija en la lista para sincronizar el directorio. Si la primera instancia no está disponible, pasa a la siguiente, y así sucesivamente. Tras crear un directorio, puede reordenar la lista desde su correspondiente pestaña Configuración de sincronización.

    Autenticación Seleccione Configurar autenticación de contraseña para este directorio si desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Este servicio debe estar previamente instalado. Si selecciona esta opción, se crearán automáticamente el método de autenticación Contraseña (implementación en la nube) y un proveedor de identidad denominado IDP para NombreDeDirectorio de tipo Integrado para el directorio.

    Seleccione Agregar métodos de autenticación posteriormente si no desea configurar la autenticación con el servicio de autenticación de usuario en este momento o quiere utilizar un proveedor de identidad externo. Si decide utilizar este servicio más adelante, puede crear el método de autenticación Contraseña (implementación en la nube) y el proveedor de identidad para el directorio de forma manual. Cuando lo haga, cree un nuevo proveedor de identidad para el directorio seleccionando Agregar > IDP integrado en la página Integraciones > Proveedores de identidades. No se recomienda utilizar el proveedor de identidades creado previamente con el nombre Integrado.

    Hosts de autenticación de usuario La opción Hosts de autenticación de usuario aparece cuando la opción Configurar autenticación de contraseña para este directorio está seleccionada. Seleccione una o varias instancias del servicio de autenticación de usuario que se deben utilizar para autenticar a los usuarios de este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el arrendatario con estado activo.

    Si se seleccionan varias instancias, Workspace ONE Access les envía solicitudes de autenticación por turnos (round-robin).

    Nombre de usuario Seleccione el atributo del directorio LDAP que se utilizará para el nombre de usuario. Si el atributo no aparece en la lista, seleccione Personalizado e introduzca el nombre de atributo personalizado que se debe usar para los usuarios y los grupos. Por ejemplo, cn.
    Host de servidor Introduzca el host del servidor del directorio LDAP. Puede especificar el nombre de dominio completo o la dirección IP. Por ejemplo, myLDAPserver.example.com o 100.00.00.0.

    Si cuenta con un clúster de servidores bajo un equilibrador de carga, introduzca la información de este último en su lugar.

    Puerto de servidor Introduzca el número de puerto del directorio LDAP.
  4. En la sección Configuración de LDAP, introduzca los datos necesarios:
    Opción Descripción
    Consultas y atributos Especifica los atributos y los filtros de búsqueda de LDAP que Workspace ONE Access puede utilizar para solicitar su directorio LDAP. Los valores predeterminados se proporcionan según el esquema principal de LDAP.

    Consultas de filtro

    • Grupos: filtro de búsqueda que permite obtener los objetos de grupo.

      Por ejemplo: (objectClass=groupOfNames)

    • Usuario de enlace: filtro de búsqueda que permite obtener el objeto de usuario de enlace, es decir, el usuario que puede enlazarse con el directorio.

      Por ejemplo: (objectClass=person)

    • Usuarios: filtro de búsqueda que permite obtener los usuarios para la sincronización.

      Por ejemplo:(&(objectClass=user)(objectCategory=person))

    Atributos

    • Afiliación: es el atributo que se utiliza en su directorio LDAP para definir los miembros de un grupo.

      Por ejemplo: member

    • ID externo: el atributo que se utilizará como identificador único de usuarios y grupos en el directorio de Workspace ONE Access. El valor predeterminado es entryUUID.
      Importante: Todos los usuarios deben tener un valor único y no vacío definido para el atributo. El valor debe ser único en el arrendatario de Workspace ONE Access. Si algún usuario no tiene un valor para el atributo, el directorio no se sincronizará.

      Tenga en cuenta las siguientes consideraciones al configurar el identificador externo:

      • Si va a integrar Workspace ONE Access con Workspace ONE UEM, asegúrese de establecer el identificador externo en el mismo atributo en ambos productos.
      • Puede cambiar el identificador externo después de crear el directorio. Sin embargo, la práctica recomendada es establecer el identificador externo antes de sincronizar los usuarios con Workspace ONE Access. Cuando se cambia el identificador externo, se vuelven a crear los usuarios. Como resultado, se cerrará la sesión de todos los usuarios y tendrá que volver a iniciar sesión. También tendrá que volver a configurar las autorizaciones de usuario para las aplicaciones web y ThinApps. Las autorizaciones para Horizon, Horizon Cloud y Citrix se eliminarán y, a continuación, se volverán a crear en la siguiente sincronización de autorizaciones.
      • La opción ID externo está disponible con Workspace ONE Access Connector 20.10 y versiones posteriores. Todos los conectores asociados con el servicio de Workspace ONE Access deben ser de la versión 20.10 o una versión posterior. Si hay diferentes versiones del conector asociadas con el servicio, no se muestra la opción ID externo.
    • Nombre distintivo: (opcional) atributo que se utiliza en su directorio LDAP para definir el nombre distintivo de un usuario o un grupo.

      Por ejemplo: dn

      De forma predeterminada, el atributo de nombre distintivo se utiliza para identificar de forma exclusiva los objetos de usuario y de grupo. Si el esquema LDAP no tiene el atributo de nombre distintivo, seleccione la opción Habilitar configuración avanzada de LDAP e introduzca los valores que se utilizarán para identificar a los grupos y los usuarios.

    • Configuración avanzada: seleccione la casilla de verificación Habilitar configuración avanzada de LDAPS para ver las opciones de configuración avanzada de LDAP. Utilice la configuración avanzada si el esquema LDAP no tiene el atributo de nombre distintivo o si utiliza posixGroups.
      • Filtro de grupo: valor que se utilizará para consultar e identificar grupos. Este valor es obligatorio si el esquema LDAP no tiene el atributo de nombre distintivo.

        Por ejemplo: cn

      • Filtro de usuario: valor que se utilizará para consultar e identificar a los usuarios. Este valor es obligatorio si el esquema LDAP no tiene el atributo de nombre distintivo.

        Por ejemplo: uid

      • Filtro de asignación de afiliación de usuario: (opcional) esta opción normalmente es obligatoria para los directorios LDAP que usan posixGroups. El filtro de asignación de afiliación de usuario se utiliza para consultar e identificar a los usuarios devueltos por el atributo de afiliación.

        Por ejemplo: uidNumber

    Cifrado Si el directorio LDAP requiere acceso mediante SSL, seleccione la casilla de verificación Requerir LDAPS para todas las conexiones y copie y pegue el certificado SSL de CA raíz del servidor del directorio LDAP en el cuadro de texto Certificados SSL. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".
    Información de usuario de enlace DN base: introduzca el DN desde el que deben empezar las búsquedas. Por ejemplo, cn=users,dc=example,dc=com
    DN de usuario de enlace: introduzca el nombre de usuario que se debe utilizar para efectuar el enlace con el directorio LDAP.
    Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.

    Contraseña del usuario de enlace: introduzca la contraseña del usuario de DN de enlace.

  5. Compruebe que aparezca el dominio correcto en la sección Seleccionar dominios y haga clic en Guardar.
  6. En la sección Asignar atributos de usuario, compruebe que los atributos de Workspace ONE Access estén asignados a los atributos correctos del directorio LDAP y realice los cambios que considere necesario.

    Estos atributos se sincronizarán para los usuarios.

    Importante: Debe especificar una asignación para los atributos de dominio.

    Puede agregar atributos y administrar la lista de atributos obligatorios en la página Configuración > Atributos de usuario.

    Importante: Si un atributo está marcado como obligatorio, debe establecerse su valor para todos los usuarios que desee sincronizar. Los registros de usuario a los que les falten valores en los atributos obligatorios no se sincronizarán.
  7. En la sección Sincronizar grupos, agregue los grupos que desea sincronizar. Consulte Seleccionar usuarios y grupos para sincronizar con el directorio de Workspace ONE Access.
  8. En la sección Sincronizar usuarios, agregue los usuarios que desea sincronizar. Consulte Seleccionar usuarios y grupos para sincronizar con el directorio de Workspace ONE Access.
  9. En la sección Frecuencia de sincronización, configure una programación para sincronizar los usuarios y los grupos en intervalos regulares. Si no desea establecer dicha programación, seleccione Manualmente en el menú desplegable Frecuencia de sincronización.
    La hora corresponde a la zona horaria UTC.
    Sugerencia: Programe los intervalos de sincronización para que sean más extensos que el tiempo que se precisa para sincronizar el directorio. Si se están sincronizando usuarios y grupos con el directorio cuando está programada la próxima sincronización, la nueva sincronización se inicia inmediatamente tras la finalización de la sincronización anterior. Con esta programación, el proceso de sincronización es continuo.
    Si selecciona Manualmente, siempre que quiera sincronizar el directorio, en su correspondiente página deberá seleccionar Sincronizar > Sincronización con elementos de protección, o bien, Sincronizar > Sincronización sin elementos de protección.
  10. Haga clic en Guardar para crear el directorio o en Guardar y sincronizar para crearlo e iniciar su sincronización.

Resultados

La conexión con el directorio LDAP está establecida. Si hizo clic en Guardar y sincronizar, los nombres de usuarios y grupos se sincronizarán desde el directorio LDAP con el directorio de Workspace ONE Access.

Para obtener más información sobre cómo se sincronizan los grupos, consulte "Administrar usuarios y grupos" en Administración de VMware Workspace ONE Access.

Qué hacer a continuación

  • Si establece la opción Autenticación en Configurar autenticación de contraseña para este directorio, se creará automáticamente un proveedor de identidad denominado IDP para NombreDeDirectorio y se establecerá el método de autenticación Contraseña (implementación en la nube) para el directorio. Puede verlos en las páginas Integraciones > Proveedores de identidades e Integraciones > Métodos de autenticación del conector. También puede crear más métodos de autenticación para el directorio en las páginas Métodos de autenticación del conector y Métodos de autenticación. Para obtener más información sobre cómo crear métodos de autenticación, consulte Administrar métodos de autenticación de usuario en Workspace ONE Access.
  • Revise la directiva de acceso predeterminada en la página Recursos > Directivas.
  • Revise la configuración predeterminada de los elementos de protección de sincronización y realice los cambios necesarios. Para obtener más información, consulte Configurar los elementos de protección de la sincronización de directorio en Workspace ONE Access.