Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Workspace ONE Access pour synchroniser des utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Workspace ONE Access.

Pour intégrer votre annuaire LDAP, créez un annuaire VMware Workspace ONE Access correspondant et synchronisez les utilisateurs et les groupes depuis l'annuaire LDAP vers l'annuaire VMware Workspace ONE Access. Vous pouvez configurer un planning de synchronisation régulier pour les mises à jour suivantes.

De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les mappez aux attributs VMware Workspace ONE Access.

La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou des schémas personnalisés. Elle peut également comporter des attributs personnalisés. Pour que VMware Workspace ONE Access puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre annuaire LDAP.

En particulier, vous devez fournir les informations suivantes.

  • Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind
  • Noms d'attribut LDAP pour l'appartenance au groupe, l'ID externe et le nom unique ou l'attribut équivalent

Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Reportez-vous à la section Limites de l'intégration d'annuaire LDAP.

Conditions préalables

  • Installez le service Synchronisation d'annuaire, qui est disponible comme composant de Workspace ONE Access Connector à partir de la version 20.01.0.0. Pour plus d'informations, reportez-vous à la dernière version d'Installation de VMware Workspace ONE Access Connector.

    Installez également le composant Service d'authentification utilisateur si vous souhaitez l'utiliser pour authentifier les utilisateurs de l'annuaire.

  • Vérifiez les attributs utilisateur sur la page Paramètres > Attributs utilisateur et ajoutez des attributs supplémentaires à synchroniser si nécessaire. Vous mappez les attributs de VMware Workspace ONE Access aux attributs de votre annuaire LDAP lorsque vous créez l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire.
    Note : Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres annuaires dans le service Workspace ONE Access. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service VMware Workspace ONE Access.
  • Un compte d'utilisateur de Bind DN. Il est recommandé d'utiliser un compte d'utilisateur à nom unique de liaison avec un mot de passe sans date d'expiration.
  • Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut.
  • Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes.

    Vous mappez cet attribut à l'attribut VMware Workspace ONE Access domain lorsque vous créez l'annuaire VMware Workspace ONE Access.

  • Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.
  • Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les attributs userPrincipalName et d'adresse électronique.

Procédure

  1. Dans la console Workspace ONE Access, sélectionnez Intégrations > Annuaires.
  2. Cliquez sur Ajouter un annuaire et sélectionnez Annuaire LDAP.
  3. Entrez les informations requises sur la page Ajouter un annuaire.
    Option Description
    Nom du répertoire Entrez un nom pour l'annuaire VMware Workspace ONE Access.
    Synchronisation et authentification du répertoire
    1. Pour Hôtes de synchronisation d'annuaire, sélectionnez une ou plusieurs instances de service de synchronisation d'annuaire à utiliser pour synchroniser cet annuaire. Toutes les instances de service de synchronisation d'annuaire enregistrées dans le locataire sont répertoriées. Vous ne pouvez sélectionner que des instances qui sont dans l'état Actif.

      Si vous sélectionnez plusieurs instances, Workspace ONE Access utilise la première instance sélectionnée de la liste pour synchroniser l'annuaire. Si la première instance n'est pas disponible, il utilise la deuxième, etc. Vous pouvez réorganiser la liste depuis la page Paramètres de synchronisation d'annuaire après avoir créé celui-ci.

    2. Sélectionnez Authentification, sélectionnez Oui si vous souhaitez authentifier les utilisateurs de cet annuaire avec le service d'authentification utilisateur. Ce service doit déjà être installé. Si vous sélectionnez Oui, la méthode d'authentification par mot de passe (déploiement de cloud) et un fournisseur d'identité nommé IDP pour directoryName de type Intégré sont automatiquement créés pour l'annuaire.

      Sélectionnez Non si vous ne souhaitez pas authentifier les utilisateurs de cet annuaire avec le service d'authentification utilisateur. Si vous décidez d'utiliser le service d'authentification utilisateur ultérieurement, vous pouvez créer manuellement la méthode d'authentification par mot de passe (déploiement de Cloud) et le fournisseur d'identité pour l'annuaire. Lorsque vous procédez, créez un fournisseur d'identité pour l'annuaire en sélectionnant Ajouter un fournisseur d'identité > Créer un fournisseur d'identité intégré sur la page Intégrations > Fournisseurs d'identité. Il n'est pas recommandé d'utiliser le fournisseur d'identité précréé nommé Intégré.

    3. L'option Hôtes d'authentification utilisateur s'affiche lorsque l'option Authentification est définie sur Oui. Sélectionnez une ou plusieurs instances de service d'authentification utilisateur à utiliser pour authentifier les utilisateurs de cet annuaire. Toutes les instances de service d'authentification utilisateur qui sont enregistrées dans le locataire et qui sont dans l'état Actif sont répertoriées.

      Si vous sélectionnez plusieurs instances, Workspace ONE Access envoie les demandes d'authentification aux instances sélectionnées de manière circulaire.

    4. Dans la zone de texte Nom d'utilisateur, sélectionnez l'attribut d'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'est pas répertorié, sélectionnez Personnalisé et entrez le nom d'attribut personnalisé à utiliser pour les utilisateurs et les groupes. Par exemple, cn.
    Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôte de serveur, vous pouvez spécifier le nom de domaine complet ou l'adresse IP. Par exemple : myLDAPserver.example.com ou 100.00.00.0.

    Si vous disposez d'un cluster de serveurs derrière un équilibrage de charge, entrez les informations de ce dernier à la place.

    Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP que VMware Workspace ONE Access peut utiliser pour interroger votre annuaire LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP principal.

    Requêtes de filtre

    • Groupes : filtre de recherche pour obtenir des objets de groupe.

      Par exemple : (objectClass=groupOfNames)

    • Utilisateur Bind : filtre de recherche pour obtenir l'objet d'utilisateur Bind, c'est-à-dire, l'utilisateur pouvant établir la liaison à l'annuaire.

      Par exemple : (objectClass=person)

    • Utilisateurs : filtre de recherche pour obtenir des utilisateurs à synchroniser.

      Par exemple :(&(objectClass=user)(objectCategory=person))

    Attributs

    • Appartenance : attribut utilisé dans votre annuaire LDAP pour définir les membres d'un groupe.

      Par exemple : member

    • ID externe : attribut à utiliser comme identifiant unique pour les utilisateurs et les groupes dans l'annuaire Workspace ONE Access. La valeur par défaut est entryUUID.
      Important : Une valeur unique et non vide doit être définie pour l'attribut de tous les utilisateurs. La valeur doit être unique dans le locataire Workspace ONE Access. Si les utilisateurs ne disposent d'aucune valeur pour l'attribut, l'annuaire n'est pas synchronisé.

      Tenez compte des remarques suivantes lors de la définition de l'ID externe :

      • Si vous intégrez Workspace ONE Access à Workspace ONE UEM, assurez-vous de définir l'ID externe sur le même attribut dans les deux produits.
      • Vous pouvez modifier l'ID externe après la création de l'annuaire. Toutefois, il est recommandé de définir l'ID externe avant de synchroniser les utilisateurs avec Workspace ONE Access. Lorsque vous modifiez l'ID externe, les utilisateurs sont recréés. Par conséquent, tous les utilisateurs seront déconnectés et devront se reconnecter. Vous devrez également configurer les droits d'utilisateur pour les applications Web et les applications ThinApp. Les droits pour Horizon, Horizon Cloud et Citrix seront supprimés, puis recréés à la prochaine synchronisation des droits.
      • L'option ID externe est disponible avec Workspace ONE Access Connector versions 20.10 et ultérieures, et 19.03.0.1. Toutes les instances de Connector associées au service Workspace ONE Access doivent être de version 20.10 ou ultérieure, ou toutes de version 19.03.0.1. Si des versions différentes de Connector sont associées au service, l'option ID externe ne s'affiche pas.
    • Nom unique : (Facultatif) attribut utilisé dans votre annuaire LDAP pour le nom unique d'un utilisateur ou d'un groupe.

      Par exemple, dn

      Par défaut, l'attribut de nom unique est utilisé pour identifier de manière unique les objets d'utilisateur et de groupe. Si votre schéma LDAP ne contient pas l'attribut de nom unique, sélectionnez l'option Activer la configuration avancée de LDAP et entrez les valeurs à utiliser pour identifier des groupes et des utilisateurs.

    • Activer la configuration avancée de LDAP : cochez la case pour afficher les options de la configuration avancée de LDAP. Utilisez la configuration avancée si votre schéma LDAP ne contient pas l'attribut de nom unique ou s'il utilise posixGroups.
      • Filtre de groupe : valeur à utiliser pour interroger et identifier des groupes. Cette valeur est requise si votre schéma LDAP ne contient pas l'attribut de nom unique.

        Par exemple : cn

      • Filtre utilisateur : valeur à utiliser pour interroger et identifier des utilisateurs. Cette valeur est requise si votre schéma LDAP ne contient pas l'attribut de nom unique.

        Par exemple : uid

      • Filtre de mappage d'appartenance de l'utilisateur : (Facultatif) cette option est généralement requise pour les annuaires LDAP qui utilisent posixGroups. L'option Filtre de mappage d'appartenance de l'utilisateur permet d'interroger et d'identifier les utilisateurs renvoyés par l'attribut Appartenance.

        Par exemple : uidNumber

    Chiffrement Si votre annuaire LDAP nécessite l'accès sur SSL, cochez la case LDAPS requis pour toutes les connexions, puis copiez et collez le certificat SSL d'autorité de certification racine du serveur d'annuaire LDAP dans la zone de texte. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
    Détails de l'utilisateur Bind DN de base : entrez le nom unique à partir duquel vous souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com
    Utilisateur Bind DN : entrez le nom d'utilisateur à utiliser pour établir la liaison à l'annuaire LDAP.
    Note : Il est recommandé d'utiliser un compte d'utilisateur à nom unique de liaison avec un mot de passe sans date d'expiration.

    Mot de passe de l'utilisateur Bind DN : entrez le mot de passe de l'utilisateur Bind DN.

  4. Cliquez sur Enregistrer et configurer.
  5. Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant.
  6. Sur la page Mapper des attributs, vérifiez que les attributs de VMware Workspace ONE Access sont mappés aux attributs d'annuaire LDAP appropriés, puis effectuez des modifications, si nécessaire.

    Ces attributs sont synchronisés pour les utilisateurs.

    Important : Vous devez spécifier un mappage pour l'attribut domain.

    Vous pouvez ajouter des attributs et gérer la liste des attributs requis sur la page Paramètres > Attributs utilisateur.

    Important : Si un attribut est marqué obligatoire, vous devez définir sa valeur pour tous les utilisateurs à synchroniser. Les enregistrements utilisateur pour lesquels la valeur des attributs obligatoires est manquante ne sont pas synchronisés.
  7. Cliquez sur Suivant.
  8. Suivez les instructions de la section Sélection d'utilisateurs et de groupes à synchroniser avec votre annuaire Workspace ONE Access pour ajouter des groupes sur la page Sélectionnez les groupes que vous voulez synchroniser et des utilisateurs sur la page Sélectionner les utilisateurs que vous souhaitez synchroniser.
  9. Sur la page Fréquence de synchronisation, configurez une planification de synchronisation pour synchroniser les utilisateurs et les groupes à intervalles réguliers ou sélectionnez Manuellement dans la liste déroulante Fréquence de synchronisation si vous ne souhaitez définir aucune planification.
    L'heure est définie en UTC.
    Info-bulle : Planifiez les intervalles de synchronisation pour qu'ils soient plus longs que le délai de synchronisation. Si les utilisateurs et les groupes sont en cours de synchronisation avec l'annuaire lorsque la synchronisation suivante est planifiée, la nouvelle synchronisation démarre immédiatement après la fin de la synchronisation précédente. Avec cette planification, le processus de synchronisation est continu.
    Si vous sélectionnez Manuellement, vous devez cliquer sur le bouton Synchroniser sur la page de l'annuaire à chaque synchronisation d'annuaire.
  10. Cliquez sur Enregistrer pour créer l'annuaire ou sur Synchroniser l'annuaire pour créer l'annuaire et commencer à le synchroniser.

Résultats

La connexion à l'annuaire LDAP est établie. Si vous avez cliqué sur Synchroniser l'annuaire, les noms d'utilisateurs et de groupes sont synchronisés entre l'annuaire LDAP et l'annuaire Workspace ONE Access.

Pour plus d'informations sur le mode de synchronisation des groupes, reportez-vous à la section « Gestion des utilisateurs et des groupes » dans la section Administration de VMware Workspace ONE Access.

Que faire ensuite

  • Si vous avez défini l'option Authentification sur Oui, un fournisseur d'identité nommé IDP pour directoryname et une méthode d'authentification par mot de passe (déploiement de Cloud) sont automatiquement créés pour l'annuaire. Vous pouvez les afficher sur les pages Intégrations > Fournisseurs d'identité et Intégrations > Méthodes d'authentification du connecteur. Vous pouvez également créer d'autres méthodes d'authentification pour l'annuaire sur la page Méthodes d'authentification du connecteur. Pour plus d'informations sur la création de méthodes d'authentification, reportez-vous à la section Gestion des méthodes d'authentification utilisateur dans Workspace ONE Access.
  • Vérifiez la stratégie d'accès par défaut sur la page Ressources > Stratégies.
  • Examinez les paramètres de protections de synchronisation par défaut et apportez des modifications, si nécessaire. Voir Configuration des protections de synchronisation d'annuaire dans Workspace ONE Access pour plus d'informations.