Vous pouvez intégrer le service dans un environnement Active Directory composé d'un seul domaine Active Directory, de plusieurs domaines dans une forêt Active Directory unique, ou de plusieurs domaines dans différentes forêts Active Directory.

Environnement à un seul domaine Active Directory

Un déploiement Active Directory unique vous permet de synchroniser les utilisateurs et les groupes d'un seul domaine Active Directory.

Pour cet environnement, lorsque vous ajoutez un annuaire au service, sélectionnez l'option Active Directory via LDAP.

Pour plus d'informations, voir :

Environnement Active Directory à domaines multiples, forêt unique

Un déploiement à domaines multiples, forêt unique vous permet de synchroniser des utilisateurs et des groupes à partir de multiples domaines Active Directory au sein d'une forêt unique.

Vous pouvez configurer le service pour cet environnement Active Directory en tant qu'annuaire de type Authentification Windows intégrée à Active Directory unique ou en tant qu'annuaire de type Active Directory via LDAP configuré avec l'option de catalogue global.

  • L'option recommandée consiste à créer un annuaire de type Authentification Windows intégrée à Active Directory unique.

    Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory (Authentification Windows intégrée).

    Pour plus d'informations, voir :

  • Si l'authentification Windows intégrée ne fonctionne pas dans votre environnement Active Directory, créez un annuaire de type Active Directory via LDAP et sélectionnez l'option de catalogue global.

    Certaines limitations sont définies pour la sélection de l'option de catalogue global, parmi lesquelles :

    • Les attributs d'objet Active Directory qui sont répliqués sur le catalogue global sont identifiés dans le schéma Active Directory sous forme d'ensemble d'attributs partiels (PAS) : Seuls ces attributs sont disponibles pour le mappage des attributs par le service. Si nécessaire, modifiez le schéma pour ajouter ou supprimer les attributs qui sont stockés dans le catalogue global.

    • Le catalogue global stocke l'appartenance au groupe (l'attribut membre) des groupes universels uniquement. Seuls les groupes universels sont synchronisés avec le service. Si nécessaire, vous pouvez modifier la portée d'un groupe d'un domaine local ou passer de global à universel.

    • Le compte Bind DN que vous définissez lors de la configuration d'un annuaire dans le service doit disposer d'autorisations pour lire l'attribut TGGAU (Token-Groups-Global-And-Universal).

    • Lorsque Workspace ONE UEM est intégré à VMware Identity Manager et que plusieurs groupes organisationnels Workspace ONE UEM sont configurés, l'option Catalogue global Active Directory ne peut pas être utilisée.

    Active Directory utilise les ports 389 et 636 pour les requêtes LDAP standard. Pour les requêtes de catalogue global, les ports 3268 et 3269 sont utilisées.

    Lorsque vous ajoutez un annuaire pour l'environnement de catalogue global, spécifiez les actions suivantes lors de la configuration.

    • Sélectionnez l'option Active Directory via LDAP.

    • Désactivez la case correspondant à l'option Cet annuaire prend en charge l'emplacement du service DNS.

    • Sélectionnez l'option Cet annuaire comporte un catalogue global. Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié à 3268. Aussi, du fait que le DN de base n'est pas nécessaire lors de la configuration de l'option de catalogue global, la zone de texte DN de base n'apparaît pas.

    • Ajoutez le nom d'hôte du serveur Active Directory.

    • Si votre annuaire Active Directory requiert un accès via SSL, sélectionnez l'option Cet annuaire exige que toutes les connexions utilisent SSL et collez le certificat dans la zone de texte indiquée. Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié à 3269.

Environnement Active Directory à forêts multiples avec relations d'approbation

Un déploiement Active Directory à forêts multiples avec relations d'approbation vous permet de synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des forêts où des relations d'approbation bidirectionnelles existent entre les domaines.

Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory (Authentification Windows intégrée).

Pour plus d'informations, voir :

Environnement Active Directory à forêts multiples sans relations d'approbation

Un déploiement Active Directory à forêts multiples sans relations d'approbation vous permet de synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des forêts sans relation d'approbation entre les domaines. Dans cet environnement, vous devez créer plusieurs annuaires dans le service, à raison d'un annuaire par forêt.

Le type d'annuaire que vous créez dans le service varie selon la forêt. Pour les forêts à plusieurs domaines, sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour une forêt ne comptant qu'un seul domaine, sélectionnez l'option Active Directory via LDAP.

Pour plus d'informations, voir :