Es posible integrar el directorio LDAP de su empresa en VMware Workspace ONE Access para sincronizar usuarios y grupos del directorio LDAP en el servicio VMware Workspace ONE Access.

Para integrar el directorio LDAP, cree el directorio VMware Workspace ONE Access correspondiente y sincronice los usuarios y los grupos del directorio LDAP al directorio VMware Workspace ONE Access. Puede programar una sincronización periódica para las actualizaciones siguientes.

Seleccione también los atributos LDAP que quiera sincronizar para los usuarios y asígnelos a los atributos de VMware Workspace ONE Access.

La configuración del directorio LDAP puede basarse en esquemas predeterminados o personalizados. También puede tener atributos personalizados. Para que VMware Workspace ONE Access pueda solicitar el directorio LDAP para obtener los objetos de grupo o usuario, debe proporcionar los nombres de los filtros de búsqueda de LDAP que se apliquen a su directorio LDAP.

En concreto, debe proporcionar la siguiente información.

  • Los filtros de búsqueda para obtener los grupos, los usuarios y el usuario de enlace
  • Los nombres de atributos LDAP de la pertenencia a grupos, UUID y el nombre distintivo o el atributo equivalente

Se aplican algunas limitaciones a la función de integración en el directorio LDAP. Consulte Limitaciones de la integración del directorio LDAP.

Requisitos previos

  • Compruebe los atributos en la página Administración de acceso e identidad > Configurar > Atributos de usuario y agregue el resto de los atributos que desee sincronizar. Asigne los atributos de VMware Workspace ONE Access a los atributos del directorio LDAP cuando cree el directorio. Estos atributos se sincronizan para los usuarios del directorio.
    Nota: Si realiza cambios en los atributos de usuario, tenga en cuenta los efectos que puedan tener en otros directorios del servicio de Workspace ONE Access. Si tiene previsto agregar los directorios LDAP y Active Directory, compruebe que ningún atributo obligatorio está marcado excepto userName, que sí debe estarlo. Las configuraciones de la página Atributos de usuario se aplican a todos los directorios del servicio. Si un atributo está marcado como obligatorio, los usuarios sin dicho atributo no se sincronizan con el servicio de VMware Workspace ONE Access.
  • Cuenta de usuario DN de enlace. Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.
  • En el directorio LDAP, el UUID de los usuarios y los grupos debe aparecer como texto sin formato.
  • En el directorio LDAP, debe existir un atributo de dominio para todos los usuarios y los grupos.

    Asígnelo al atributo del dominio de VMware Workspace ONE Access cuando cree el directorio VMware Workspace ONE Access.

  • Los nombres de usuario no deben tener espacios. Si un nombre de usuario tiene un espacio, el usuario se sincroniza pero las autorizaciones no están disponibles para dicho usuario.
  • Si utiliza la autenticación con certificado, los usuarios deben tener los valores para los atributos de la dirección de correo electrónico y userPrincipalName.

Procedimiento

  1. En la consola de Workspace ONE Access, vaya a la página Administración de acceso e identidad > Administrar > Directorios.
  2. Haga clic en Agregar directorio y seleccione Agregar directorio LDAP.
  3. Introduzca la información requerida en la página Agregar directorio.
    Opción Descripción
    Nombre de directorio Introduzca un nombre para el directorio de VMware Workspace ONE Access.
    Sincronización de directorio y autenticación
    1. Para Hosts de sincronización de directorios, seleccione la o las instancias del servicio de sincronización de directorio que se deben utilizar para sincronizar este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el tenant. Solo puede seleccionar las que están en estado activo.

      Si se seleccionan varias instancias, Workspace ONE Access utiliza la primera seleccionada en la lista para sincronizar el directorio. Si la primera instancia no está disponible, pasa a la siguiente, y así sucesivamente. Tras crear un directorio, puede reordenar la lista desde su correspondiente página Configuración de sincronización.

    2. Para Autenticación, seleccione si desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Este servicio debe estar previamente instalado. Al seleccionar , se crean automáticamente el método de autenticación Contraseña (implementación en la nube) y un proveedor de identidad para el directorio.

      Seleccione No si no desea autenticar a los usuarios de este directorio con el servicio de autenticación de usuario. Si decide utilizar este servicio más adelante, puede crear el método de autenticación Contraseña (implementación en la nube) y el proveedor de identidad para el directorio de forma manual.

    3. La opción Servicios de autenticación de usuarios aparece cuando Autenticación se establece en . Seleccione una o varias instancias del servicio de autenticación de usuario que se deben utilizar para autenticar a los usuarios de este directorio. Se enumeran todas las instancias de dicho servicio que están registradas en el tenant con estado activo.

      Si se seleccionan varias instancias, Workspace ONE Access les envía solicitudes de autenticación por turnos (round-robin).

    4. En el cuadro de texto Nombre de usuario, seleccione el atributo del directorio LDAP que se debe utilizar para el nombre de usuario. Si el atributo no aparece en la lista, seleccione Personalizado y escriba el nombre del atributo personalizado que se utilizará para los usuarios y para los grupos. Por ejemplo, cn.
    Ubicación del servidor Introduzca el número de puerto y el host del servidor del directorio LDAP. En el caso del host del servidor, puede especificar el nombre del dominio plenamente cualificado o la dirección IP. Por ejemplo, myLDAPserver.example.com o 100.00.00.0.

    Si cuenta con un clúster de servidores bajo un equilibrador de carga, introduzca la información de este último en su lugar.

    Configuración LDAP Especifica los atributos y los filtros de búsqueda de LDAP que VMware Workspace ONE Access puede utilizar para solicitar su directorio LDAP. Los valores predeterminados se proporcionan según el esquema principal de LDAP.

    Consultas de filtro

    • Grupos: filtro de búsqueda que permite obtener los objetos de grupo.

      Por ejemplo: (objectClass=groupOfNames)

    • Usuario de enlace: filtro de búsqueda que permite obtener el objeto de usuario de enlace, es decir, el usuario que puede enlazarse con el directorio.

      Por ejemplo: (objectClass=person)

    • Usuarios: filtro de búsqueda que permite obtener los usuarios para la sincronización.

      Por ejemplo:(&(objectClass=user)(objectCategory=person))

    Atributos

    • Afiliación: es el atributo que se utiliza en su directorio LDAP para definir los miembros de un grupo.

      Por ejemplo: member

    • UUID del objeto: es el atributo que se utiliza en su directorio LDAP para definir el UUID de un objeto de usuario o de grupo.

      Por ejemplo: entryUUID

    • Nombre distintivo: (opcional) atributo que se utiliza en su directorio LDAP para definir el nombre distintivo de un usuario o un grupo.

      Por ejemplo: dn

      De forma predeterminada, el atributo de nombre distintivo se utiliza para identificar de forma exclusiva los objetos de usuario y de grupo. Si el esquema LDAP no tiene el atributo de nombre distintivo, seleccione la opción Habilitar configuración avanzada de LDAP e introduzca los valores que se utilizarán para identificar a los grupos y los usuarios.

    • Habilitar configuración avanzada de LDAP: seleccione la casilla para ver las opciones de configuración de LDAP avanzadas. Utilice la configuración avanzada si el esquema LDAP no tiene el atributo de nombre distintivo o si utiliza posixGroups.
      • Filtro de grupo: valor que se utilizará para consultar e identificar grupos. Este valor es obligatorio si el esquema LDAP no tiene el atributo de nombre distintivo.

        Por ejemplo: cn

      • Filtro de usuario: valor que se utilizará para consultar e identificar a los usuarios. Este valor es obligatorio si el esquema LDAP no tiene el atributo de nombre distintivo.

        Por ejemplo: uid

      • Filtro de asignación de afiliación de usuario: (opcional) esta opción normalmente es obligatoria para los directorios LDAP que usan posixGroups. El filtro de asignación de afiliación de usuario se utiliza para consultar e identificar a los usuarios devueltos por el atributo de afiliación.

        Por ejemplo: uidNumber

    Certificados Si el directorio LDAP requiere acceso mediante SSL, seleccione la casilla Este directorio requiere que todas las conexiones usen SSL y copie y pegue el certificado CA SSL raíz del servidor del directorio LDAP en el cuadro de texto. Asegúrese de que el certificado esté en formato PEM e incluya las líneas "BEGIN CERTIFICATE" y "END CERTIFICATE".
    Información de usuario de enlace DN base: introduzca el DN desde el que deben empezar las búsquedas. Por ejemplo, cn=users,dc=example,dc=com
    DN de usuario de enlace: introduzca el nombre de usuario que se debe utilizar para efectuar el enlace con el directorio LDAP.
    Nota: Se recomienda utilizar una cuenta de usuario de DN de enlace con una contraseña que no caduque.

    Contraseña del usuario de enlace: introduzca la contraseña del usuario de DN de enlace.

  4. Haga clic en Guardar y Siguiente.
  5. En la página de los dominios, compruebe que el dominio correcto aparece en la lista, y a continuación, haga clic en Siguiente.
  6. En la página Asignar atributos, compruebe que los atributos de VMware Workspace ONE Access están asignados a los atributos correctos del directorio LDAP y realice los cambios necesarios.

    Estos atributos se sincronizarán para los usuarios.

    Importante: Debe especificar una asignación para los atributos de dominio.

    Puede agregar atributos y administrar la lista de los marcados como obligatorios en la página Configurar > Atributos de usuario.

  7. Haga clic en Siguiente.
  8. Seleccione los grupos que desee sincronizar desde el directorio LDAP con el directorio de Workspace ONE Access.
    Tenga en cuenta las siguientes consideraciones al agregar grupos:
    • Como práctica recomendada, cuando cree un directorio, agregue y sincronice una pequeña cantidad de grupos. Tras la configuración inicial, puede agregar otros.
    • Cuando se agregan y sincronizan grupos, sus nombres también se sincronizan con el directorio. Los usuarios que son miembros del grupo no se sincronizan con el directorio hasta que el grupo tenga autorización para una aplicación o el nombre del grupo se agregue a una regla de directiva de acceso.
      Nota: Para anular esta restricción, habilite la opción Sincronizar los miembros del grupo con el directorio al agregar un grupo en la página Administración de acceso e identidad > Configurar > Preferencias.
    • Si cuenta con varios grupos con el mismo nombre en su directorio LDAP, debe especificar nombres únicos para ellos en la página de grupos.
    Para seleccionar los grupos, especifique un DN o varios y seleccione los grupos que aparecen a continuación.
    1. En la fila Especificar DN de grupo, haga clic en + y especifique el DN de grupo. Por ejemplo, CN=users,DC=example,DC=company,DC=com.
      Sugerencia: No se recomienda introducir un DN de alto nivel como DN base en el que realizar la búsqueda, ya que esta operación precisaría mucho tiempo. A estos efectos, intente introducir un DN más específico.
      Importante: Especifique los DN de grupo que aparecen a continuación del DN base que introdujo en el cuadro de texto DN base en la página Agregar directorio. Si un DN de grupo aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
    2. Si desea seleccionar todos los grupos que aparecen a continuación del DN de grupo, haga clic en Seleccionar todo.
      Cuando se agregan o eliminan grupos en el DN de grupo en Active Directory después de crear el directorio, los cambios se reflejan en las sincronizaciones posteriores.
    3. Si desea seleccionar grupos específicos en el DN de grupo en lugar de elegirlos todos, haga clic en Seleccionar, elija los elementos que desee y haga clic en Guardar.
      Al hacer clic en Seleccionar, aparecen todos los grupos que se encuentran en el DN. Para limitar los resultados o buscar grupos específicos, introduzca un término de búsqueda en el cuadro correspondiente.
    4. Seleccione la opción Sincronizar miembros de grupo anidados o anule su selección, según sea necesario.
      La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando se habilita esta opción, todos los usuarios que pertenecen directamente al grupo que seleccione y los que pertenecen a grupos anidados dentro de este grupo se sincronizan cuando el grupo está autorizado. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de Workspace ONE Access, estos usuarios serán miembros del grupo de nivel principal que seleccionó para sincronizarse.

      Si deshabilita la opción Sincronizar miembros de grupo anidados, todos los usuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupo que especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones del directorio en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.

  9. Haga clic en Siguiente.
  10. Seleccione los usuarios que se deben sincronizar.
    Tenga en cuenta las siguientes consideraciones al agregar usuarios:
    • Debido a que los miembros de grupos no se sincronizan con el directorio hasta que el grupo tiene autorización para aplicaciones o se lo agrega a una regla de directiva de acceso, agregue todos los usuarios que necesitan autenticarse antes de que se configuren las autorizaciones de grupo.
    • El usuario de enlace que se especifica en la sección de detalles correspondiente no se sincroniza con el servicio de Workspace ONE Access de forma predeterminada. Si desea sincronizarlo, introduzca el DN de usuario en esta pestaña.
    1. En la fila Especificar DN de usuario, haga clic en + e introduzca estos DN. Por ejemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Especifique los DN de usuario que aparecen a continuación del DN base que introdujo en el cuadro de texto DN base en la página Agregar directorio. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
    2. (Opcional) Para excluir usuarios, cree filtros para excluirlos según el atributo seleccionado. Puede crear varios filtros de exclusión.
      Debe seleccionar el atributo de usuario por el que desea filtrar y el filtro de consulta que se aplicará al valor que defina.
      Opción Descripción
      Incluye Excluye todos los usuarios que coinciden con el atributo y el valor establecidos. Por ejemplo, nombre incluye Juan excluye los usuarios con el nombre "Juan".
      No incluye Excluye todos los usuarios, excepto los que coinciden con el atributo y el valor establecidos. Por ejemplo, telephoneNumber no incluye 800 incluye solo los usuarios cuyo número de teléfono contiene "800".
      Comienza con Excluye todos los usuarios cuyo valor de atributo comienza con los caracteres especificados. Por ejemplo, employeeID comienza con ACME0 excluye todos los usuarios que tienen un ID de empleado que incluye "ACME0" al principio del número de ID.
      Termina con Excluye todos los usuarios cuyo valor de atributo termina en los caracteres especificados. Por ejemplo, correo termina con ejemplo1.com excluye todos los usuarios que tienen una dirección de correo electrónico que termina en "ejemplo1.com".
    El valor distingue entre mayúsculas y minúsculas. No utilice los siguientes símbolos en la cadena de valores.
    • Asterisco *
    • Símbolo de intercalación ^
    • Paréntesis ( )
    • Signo de interrogación ?
    • Signo de exclamación !
    • Signo de dólar $
  11. En la página Frecuencia de sincronización, configure una programación para sincronizar los usuarios y los grupos a intervalos regulares. Si no desea establecer dicha programación, seleccione Manualmente en la lista desplegable Frecuencia de sincronización.
    La hora corresponde a la zona horaria UTC.
    Sugerencia: Programe que los intervalos de sincronización sean superiores al tiempo de sincronización. Si se están sincronizando usuarios y grupos con el directorio cuando está programada la próxima sincronización, la nueva sincronización se inicia inmediatamente tras la finalización de la sincronización anterior. Con esta programación, el proceso de sincronización es continuo.
    Si selecciona Manualmente, debe hacer clic en el botón Sincronizar de la página del directorio cada vez que desee sincronizarlo.
  12. Haga clic en Guardar para crear el directorio o en Sincronizar directorio para crearlo e iniciar su sincronización.

Resultados

La conexión con el directorio LDAP está establecida. Si se hizo clic en Sincronizar directorio, los nombres de usuarios y grupos se sincronizarán desde el directorio LDAP con el de Workspace ONE Access.

Para obtener más información sobre cómo se sincronizan los grupos, consulte "Administrar usuarios y grupos" en Administración de VMware Workspace ONE Access.

Qué hacer a continuación

  • Si se establece la opción Autenticación en Sí, se crean automáticamente para el directorio un proveedor de identidad denominado IDP para directoryname y un método de autenticación Contraseña (implementación en la nube). Puede verlos en las páginas Administración de acceso e identidad > Administrar > Proveedores de identidades y Métodos de autenticación empresarial. También puede crear más métodos de autenticación para el directorio desde la pestaña Métodos de autenticación empresarial. Para obtener más información sobre la creación de métodos de autenticación, consulte la guía <Auth>.
  • Revise la directiva de acceso predeterminada en la página Administración de acceso e identidad > Administrar > Directivas.
  • Revise la configuración predeterminada de los elementos de protección de la sincronización y realice los cambios necesarios. Para obtener más información, consulte Configurar los elementos de protección de la sincronización de directorio.