Dans Workspace ONE Access, vous pouvez convertir un annuaire de type Autre, qui stocke les utilisateurs et groupes synchronisés depuis Workspace ONE UEM, en un annuaire de type Active Directory sur LDAP ou Active Directory via l'authentification Windows intégrée, qui sont associés à Workspace ONE Access Connector. Après la conversion de l'annuaire, le service de synchronisation d'annuaire de Workspace ONE Access Connector est utilisé au lieu d'ACC afin de synchroniser les utilisateurs et les groupes entre votre annuaire d'entreprise et le service Workspace ONE Access.

Conditions préalables

  • Installez les services Synchronisation d'annuaire et Authentification utilisateur, qui sont des composants de Workspace ONE Access Connector à partir de la version 20.01.0.0. Pour plus d'informations, reportez-vous à la dernière version d'Installation de VMware Workspace ONE Access Connector.
  • Les informations d’Active Directory ci-dessous sont requises :
    • Si vous effectuez une conversion vers Active Directory sur LDAP, le DN de base, l'utilisateur Bind DN et le mot de passe sont requis.

      L'utilisateur de liaison doit disposer des autorisations suivantes dans Active Directory pour accorder l'accès aux objets d'utilisateurs et de groupes :

      • Lecture
      • Lire toutes les propriétés
      • Autorisations de lecture

      Il est recommandé d'utiliser un compte d'utilisateur de liaison avec un mot de passe sans date d'expiration.

    • Si vous effectuez une conversion vers Active Directory via l'authentification Windows intégrée, il vous faut le nom d'utilisateur et le mot de passe de l'utilisateur Bind qui est autorisé à interroger les utilisateurs et les groupes des domaines requis.

      L'utilisateur de liaison doit disposer des autorisations suivantes dans Active Directory pour accorder l'accès aux objets d'utilisateurs et de groupes :

      • Lecture
      • Lire toutes les propriétés
      • Autorisations de lecture

      Il est recommandé d'utiliser un compte d'utilisateur de liaison avec un mot de passe sans date d'expiration.

    • Si Active Directory requiert l'accès via SSL/TLS, les certificats d'autorité de certification intermédiaires (si utilisés) et racine des contrôleurs de domaine pour tous les domaines Active Directory pertinents sont requis. Si les contrôleurs de domaine disposent de certificats provenant de plusieurs autorités de certification intermédiaires et racine, tous les certificats d'autorité de certification intermédiaires et racine sont requis.
    • Pour Active Directory sur Authentification Windows intégrée, lorsque vous avez configuré un annuaire Active Directory à forêts multiples et que le groupe local du domaine contient des membres de domaines provenant de différentes forêts, assurez-vous que l’utilisateur Bind est ajouté au groupe Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne seront pas présents dans le groupe local du domaine.
    • Pour Active Directory sur Authentification Windows intégrée :
      • pour tous les contrôleurs de domaine répertoriés dans les enregistrements SRV et les contrôleurs de domaine en lecture seule (RODC) masqués, la commande nslookup du nom d'hôte et de l'adresse IP doit fonctionner.
      • Tous les contrôleurs de domaine doivent être accessibles en termes de connectivité réseau.

Procédure

  1. Dans la console Workspace ONE Access, sélectionnez Intégrations > Annuaires.
  2. Cliquez sur l'annuaire que vous souhaitez convertir.
  3. Sur la page de l'annuaire, cliquez sur Convertir.
    ""
  4. Modifiez le nom de l'annuaire si nécessaire et sélectionnez le type d'annuaire vers lequel vous souhaitez convertir l'autre annuaire Active Directory sur LDAP ou Active Directory via l'authentification Windows intégrée.
  5. Entrez les informations de connexion Active Directory et continuez avec l’assistant pour configurer le répertoire.
    Le processus est le même que pour la création d'un annuaire. Pour obtenir des informations détaillées, consultez la section Configuration de la connexion à Active Directory dans Workspace ONE Access.

    Suivez ces directives lors de la configuration de l'annuaire.

    • Dans la section Synchronisation et authentification de l'annuaire, pour Hôtes de synchronisation d'annuaire, sélectionnez le service de synchronisation d'annuaire que vous avez installé.

      Toutes les instances de connecteur sur lesquelles le service de synchronisation d'annuaire est installé sont répertoriées. Vous pouvez sélectionner plusieurs instances. Workspace ONE Access utilise la première instance sélectionnée de la liste pour synchroniser l'annuaire. Si la première instance n'est pas disponible, il utilise la deuxième, etc. Vous pouvez réorganiser la liste depuis la page Paramètres de synchronisation d'annuaire après avoir créé celui-ci.

    • Pour Authentification, sélectionnez Configurer l'authentification par mot de passe pour cet annuaire. Ensuite, pour Hôtes d'authentification utilisateur, sélectionnez les instances du service d'authentification utilisateur à utiliser pour l'authentification.
    • Veillez à configurer l'annuaire converti comme l'annuaire de Workspace ONE UEM afin qu'il dispose de la même structure d'annuaire. Sélectionnez les mêmes domaines. Lorsque vous spécifiez les utilisateurs et les groupes à synchroniser, effectuez les mêmes sélections que pour l'annuaire de Workspace ONE UEM afin que les mêmes utilisateurs et groupes soient synchronisés avec l'annuaire converti.
    • Assurez-vous que vous définissez l'ID externe sur le même attribut que celui qui est défini dans Workspace ONE UEM.
  6. Sur la dernière page de l'assistant, cliquez sur Enregistrer et synchroniser.
    L'annuaire est converti et configuré pour utiliser le service de synchronisation d'annuaire pour synchroniser des utilisateurs et des groupes. Si vous avez défini l'option Authentification sur Configurer l'authentification par mot de passe pour cet annuaire, un fournisseur d'identité nommé IDP pour directoryname et une méthode d'authentification par mot de passe (déploiement de cloud) sont automatiquement créés pour l'annuaire.
  7. (Facultatif) Pour configurer d'autres méthodes d'authentification pour l'annuaire, accédez à la page Intégrations > Méthodes d'authentification du connecteur et créez des méthodes d'authentification pour l'annuaire.
    Pour plus d'informations, reportez-vous à la section Gestion des méthodes d'authentification utilisateur dans Workspace ONE Access.
  8. Modifiez la valeur default_access_policy_set et les stratégies personnalisées afin de remplacer la méthode d'authentification par mot de passe (AirWatch Connector) par mot de passe (déploiement de Cloud).
    1. Sélectionnez Ressources > Stratégies.
    2. Cliquez sur Modifier la stratégie par défaut, puis cliquez sur Configuration dans l'assistant Modifier une stratégie.
    3. Modifiez chaque règle de stratégie et remplacez la méthode d'authentification par Mot de passe (AirWatch Connector) par Mot de passe (déploiement de Cloud).
    4. Sur la page Stratégies, modifiez les stratégies personnalisées, le cas échéant, pour remplacer la méthode d'authentification Mot de passe (AirWatch Connector) par Mot de passe (déploiement de cloud).
    5. (Facultatif) Modifiez les stratégies pour utiliser des méthodes d'authentification supplémentaires, si nécessaire.
    Important : Si vous ne remplacez pas le mot de passe (AirWatch Connector) par le mot de passe (déploiement de Cloud) ou par une autre méthode d'authentification basée sur le service d'authentification utilisateur, les utilisateurs de l'annuaire converti ne peuvent pas se connecter.

Que faire ensuite

Arrêtez la synchronisation de l’annuaire de Workspace ONE UEM vers l'annuaire converti.