Vous pouvez convertir un annuaire de type Autre, qui stocke les utilisateurs et les groupes synchronisés à partir de Workspace ONE UEM, en un annuaire de type Active Directory via LDAP ou Active Directory via l'authentification Windows intégrée, qui sont associés au connecteur VMware Identity Manager. Après la conversion du répertoire, VMware Identity Manager Connector est utilisé au lieu d'ACC afin de synchroniser les utilisateurs et groupes entre votre annuaire d'entreprise et le service VMware Identity Manager.

Conditions préalables

  • Installez et activez VMware Identity Manager Connector.

    Pour utiliser certaines fonctionnalités, vous devez joindre le serveur Windows Server au domaine, installer VMware Identity Manager Connector comme utilisateur de domaine faisant partie du groupe d'administrateurs sur le serveur Windows Server, et choisir d'exécuter le service IDM Connector comme utilisateur de domaine Windows.

    Cette exigence s’applique aux cas suivants.

    • Si vous prévoyez de convertir l'annuaire Autre en un annuaire Active Directory via l'authentification Windows intégrée
    • Si vous prévoyez d'utiliser l'authentification Kerberos
  • Les informations d’Active Directory ci-dessous sont requises :
    • Si vous effectuez une conversion vers Active Directory sur LDAP, le DN de base, l'utilisateur Bind DN et le mot de passe sont requis.

      L'utilisateur de liaison doit disposer des autorisations suivantes dans Active Directory pour accorder l'accès aux objets d'utilisateurs et de groupes :

      • Lecture
      • Lire toutes les propriétés
      • Autorisations de lecture

      Il est recommandé d'utiliser un compte d'utilisateur de liaison avec un mot de passe sans date d'expiration.

    • Si vous effectuez une conversion vers Active Directory via l'authentification Windows intégrée, il vous faut le nom d'utilisateur et le mot de passe de l'utilisateur Bind qui est autorisé à interroger les utilisateurs et les groupes des domaines requis.

      L'utilisateur de liaison doit disposer des autorisations suivantes dans Active Directory pour accorder l'accès aux objets d'utilisateurs et de groupes :

      • Lecture
      • Lire toutes les propriétés
      • Autorisations de lecture

      Il est recommandé d'utiliser un compte d'utilisateur de liaison avec un mot de passe sans date d'expiration.

    • Si Active Directory requiert l'accès via SSL/TLS, les certificats d'autorité de certification intermédiaires (si utilisés) et racine des contrôleurs de domaine pour tous les domaines Active Directory pertinents sont requis. Si les contrôleurs de domaine disposent de certificats provenant de plusieurs autorités de certification intermédiaires et racine, tous les certificats d'autorité de certification intermédiaires et racine sont requis.
    • Pour Active Directory sur Authentification Windows intégrée, lorsque vous avez configuré un annuaire Active Directory à forêts multiples et que le groupe local du domaine contient des membres de domaines provenant de différentes forêts, assurez-vous que l’utilisateur Bind est ajouté au groupe Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne seront pas présents dans le groupe local du domaine.
    • Pour Active Directory sur Authentification Windows intégrée :
      • pour tous les contrôleurs de domaine répertoriés dans les enregistrements SRV et les contrôleurs de domaine en lecture seule (RODC) masqués, la commande nslookup du nom d'hôte et de l'adresse IP doit fonctionner.
      • Tous les contrôleurs de domaine doivent être accessibles en termes de connectivité réseau.

Procédure

  1. Dans la console d’administration VMware Identity Manager, cliquez sur l’onglet Gestion des identités et des accès, puis sur l’onglet Répertoires.
  2. Cliquez sur l'annuaire que vous souhaitez convertir.
  3. Sur la page de l'annuaire, cliquez sur le bouton Convertir.
  4. Sur la page Ajouter un annuaire, modifiez le nom du répertoire si nécessaire et sélectionnez le type d'annuaire vers lequel vous souhaitez convertir l'autre annuaire Active Directory sur LDAP ou Active Directory via l'authentification Windows intégrée.
  5. Entrez les informations de connexion Active Directory et continuez avec l’assistant pour configurer le répertoire.
    Pour plus d’informations, reportez-vous à la section « Configuration de la connexion au service d’Active Directory » du guide Intégration d’annuaire avec VMware Identity Manager.

    Suivez ces instructions.

    • Dans le champ Connecteur de synchronisation, sélectionnez le connecteur VMware Identity Manager que vous avez installé.
    • Dans la section Synchronisation d’annuaire et authentification, sélectionnez Oui pour l’ Authentification, sauf si vous prévoyez d’utiliser un fournisseur d’identité tiers au lieu du connecteur pour l’authentification.
    • Veillez à configurer l'annuaire converti comme l’annuaire Workspace ONE UEM afin qu’il ait la même structure de répertoire. Sélectionnez les mêmes domaines. Lorsque vous spécifiez des utilisateurs et des groupes à synchroniser, effectuez les mêmes sélections que l'annuaire Workspace ONE UEM afin de synchroniser les mêmes utilisateurs et groupes avec l'annuaire converti.
  6. Sur la dernière page de l’Assistant, cliquez sur Synchroniser l’annuaire.
    Le répertoire est converti et configuré pour utiliser le connecteur VMware Identity Manager. Un fournisseur d’identité de Workspace est créé, si une n’existe pas déjà, et le répertoire lui est associé automatiquement. La méthode d’authentification de mot de passe est déjà activée pour le répertoire.
  7. (Facultatif) Pour activer les autres méthodes d’authentification pour le répertoire, procédez comme suit.
    1. Dans l'onglet Gestion des identités et des accès, cliquez sur Configuration.
    2. Sur la page connecteurs, localisez le connecteur et le travailleur auquel le répertoire converti est associé et cliquez sur le lien dans la colonne Travailleur.
    3. Dans la page travailleur, cliquez sur l’onglet Adaptateurs d’authentification .
    4. Configurez et activez les adaptateurs d’authentification que vous voulez utiliser en cliquant sur leurs liens et en entrant les informations de configuration.
      Pour plus d’informations sur la configuration des adaptateurs d’authentification, reportez-vous à la section Administration de VMware Identity Manager.
  8. Modifier la default_access_policy_set et toute stratégie personnalisée pour sélectionner les méthodes d’authentification de connecteur VMware Identity Manager au lieu de Mot de passe (AirWatch Connector).
    1. Dans l’onglet Gestion des identités et des accès, cliquez sur l’onglet Répertoires.
    2. Cliquez sur Modifier la stratégie par défaut.
    3. Cliquez sur Configuration.
    4. Modifiez chaque règle de la stratégie et remplacez la méthode d'authentification par mot de passe (AirWatch Connector) par le mot de passe, qui est une méthode d'authentification du connecteur VMware Identity Manager.
    5. Cliquez de nouveau sur l’onglet Stratégies et modifiez les stratégies personnalisées, le cas échéant, à utiliser le mot de passe ou tout autre VMware Identity Manager méthode d’authentification de connecteur que vous avez configuré.
      Important : Si vous ne changez pas le mot de passe (Airwatch Connector) au mot de passe ou une autre méthode d’authentification basée sur le connecteur VMware Identity Manager , les utilisateurs du répertoire converti ne seront pas en mesure de se connecter.

Que faire ensuite

Arrêtez la synchronisation de l’annuaire de Workspace ONE UEM vers l'annuaire converti.