Vous pouvez intégrer le service dans un environnement Active Directory composé d'un seul domaine Active Directory, de plusieurs domaines dans une forêt Active Directory unique, ou de plusieurs domaines dans différentes forêts Active Directory.

Environnement à un seul domaine Active Directory

À l'aide d'un déploiement Active Directory unique, vous pouvez synchroniser les utilisateurs et les groupes d'un seul domaine Active Directory.

Pour cet environnement, lorsque vous ajoutez un annuaire au service VMware Identity Manager, sélectionnez l'option Active Directory sur LDAP/IWA comme annuaire à ajouter.

Pour plus d'informations, voir :

Environnement Active Directory à domaines multiples, forêt unique

À l'aide d'un déploiement à domaines multiples, forêt unique, vous pouvez synchroniser des utilisateurs et des groupes à partir de multiples domaines Active Directory au sein d'une forêt unique.

Vous pouvez configurer le service pour cet environnement Active Directory en tant que type d'annuaire Active Directory unique (authentification Windows intégrée) ou en tant que type d'annuaire Active Directory sur LDAP configuré avec l'option de catalogue global.
  • L'option recommandée consiste à créer un type d'annuaire Active Directory unique (authentification Windows intégrée).

    Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory (Authentification Windows intégrée). Assurez-vous qu'une approbation bidirectionnelle directe (non transitive) est configurée entre des domaines de l'annuaire et le domaine auquel VMware Identity Manager Connector est joint.

    Pour plus d'informations, voir :

  • Si l'authentification Windows intégrée ne fonctionne pas dans votre environnement Active Directory, créez un annuaire de type Active Directory via LDAP et sélectionnez l'option de catalogue global.

    Certaines limitations sont définies pour la sélection de l'option de catalogue global, parmi lesquelles :

    • Les attributs d'objet Active Directory qui sont répliqués sur le catalogue global sont identifiés dans le schéma Active Directory sous forme d'ensemble d'attributs partiels (PAS) : Seuls ces attributs sont disponibles pour le mappage des attributs par le service. Si nécessaire, modifiez le schéma pour ajouter ou supprimer les attributs qui sont stockés dans le catalogue global.
    • Le catalogue global stocke l'appartenance au groupe (l'attribut membre) des groupes universels uniquement. Seuls les groupes universels sont synchronisés avec le service. Si nécessaire, vous pouvez modifier la portée d'un groupe d'un domaine local ou passer de global à universel.
    • Le compte Bind DN que vous définissez lors de la configuration d'un annuaire dans le service doit disposer d'autorisations pour lire l'attribut TGGAU (Token-Groups-Global-And-Universal).
    • Lorsque Workspace ONE UEM est intégré à VMware Identity Manager et que plusieurs groupes organisationnels Workspace ONE UEM sont configurés, l'option Catalogue global Active Directory ne peut pas être utilisée.

    Active Directory utilise les ports 389 et 636 pour les requêtes LDAP standard. Pour les requêtes de catalogue global, les ports 3268 et 3269 sont utilisés.

    Lorsque vous ajoutez un annuaire pour l'environnement de catalogue global, spécifiez les actions suivantes lors de la configuration.

    • Sélectionnez l'option Active Directory via LDAP.
    • Désactivez la case correspondant à l'option Cet annuaire prend en charge l'emplacement du service DNS.
    • Sélectionnez l'option Cet annuaire comporte un catalogue global. Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié à 3268. Aussi, du fait que le DN de base n'est pas nécessaire lors de la configuration de l'option de catalogue global, la zone de texte DN de base n'apparaît pas.
    • Ajoutez le nom d'hôte du serveur Active Directory.
    • Si votre annuaire Active Directory requiert un accès via SSL, sélectionnez l'option Cet annuaire exige que toutes les connexions utilisent SSL et collez le certificat dans la zone de texte indiquée. Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié à 3269.

Environnement Active Directory à forêts multiples avec relations d'approbation

Dans un déploiement Active Directory à forêts multiples avec relations d'approbation, vous pouvez synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des forêts où une relation d'approbation bidirectionnelle existe entre les domaines. Vous pouvez configurer le service pour cet environnement Active Directory en tant que type d'annuaire Active Directory unique, authentification Windows intégrée.

Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory, authentification Windows intégrée. Assurez-vous qu'une approbation bidirectionnelle directe (non transitive) est configurée entre des domaines des forêts de l'annuaire et le domaine auquel VMware Identity Manager Connector est joint.

Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory (Authentification Windows intégrée).

Pour plus d'informations, voir :

Environnement Active Directory à forêts multiples sans relations d'approbation

Dans un déploiement Active Directory à forêts multiples sans relations d'approbation, vous pouvez synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des forêts sans relation d'approbation entre les domaines. Dans cet environnement, vous créez plusieurs annuaires dans le service VMware Identity Manager, à raison d'un annuaire par forêt.

Le type d'annuaire que vous créez dans le service varie selon la forêt. Pour les forêts à plusieurs domaines, sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour une forêt ne comptant qu'un seul domaine, sélectionnez l'option Active Directory via LDAP.

Pour plus d'informations, voir :