Vous pouvez intégrer Workspace ONE Access à votre déploiement d'Active Directory pour synchroniser les utilisateurs et les groupes entre Active Directory et le service Workspace ONE Access. Le type d'environnement Active Directory dont vous disposez détermine le type d'annuaire que vous créez dans le service Workspace ONE Access.

Environnements Active Directory

Vous pouvez intégrer le service Workspace ONE Access à un environnement Active Directory composé d'un seul domaine Active Directory, de plusieurs domaines dans une forêt Active Directory unique, ou de plusieurs domaines dans plusieurs forêts Active Directory.

Environnement à un seul domaine Active Directory

À l'aide d'un déploiement de domaine Active Directory unique, vous pouvez synchroniser les utilisateurs et les groupes d'un seul domaine Active Directory.

Pour cet environnement, vous pouvez créer un annuaire de type Active Directory sur LDAP ou un type Active Directory via l'authentification Windows intégrée dans le service Workspace ONE Access.

Pour plus d'informations, voir :

Environnement Active Directory à domaines multiples, forêt unique

À l'aide d'un déploiement à domaines multiples, forêt unique, vous pouvez synchroniser des utilisateurs et des groupes à partir de multiples domaines Active Directory au sein d'une forêt unique.

Pour cet environnement, dans le service Workspace ONE Access, vous pouvez créer un annuaire de type Active Directory via l'authentification Windows intégrée ou un annuaire de type Active Directory sur LDAP configuré avec l'option Catalogue global.
  • L'option recommandée consiste à créer un annuaire de type Active Directory via l'authentification Windows intégrée.

    Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory via l'authentification Windows intégrée. Assurez-vous qu'une approbation bidirectionnelle directe (non transitive) est configurée entre des domaines de l'annuaire et le domaine dont l'utilisateur Bind de l'annuaire est membre.

    Pour plus d'informations, voir :

  • Si l'authentification Windows intégrée ne fonctionne pas dans votre environnement Active Directory, créez un annuaire de type Active Directory sur LDAP et sélectionnez l'option Catalogue global.

    Certaines limitations sont définies pour la sélection de l'option Catalogue global, parmi lesquelles :

    • Les attributs d'objet Active Directory qui sont répliqués sur le catalogue global sont identifiés dans le schéma Active Directory sous forme d'ensemble d'attributs partiels (PAS) : Seuls ces attributs sont disponibles pour le mappage des attributs par le service. Si nécessaire, modifiez le schéma pour ajouter ou supprimer les attributs qui sont stockés dans le catalogue global.
    • Le catalogue global stocke l'appartenance au groupe (l'attribut membre) des groupes universels uniquement. Seuls les groupes universels sont synchronisés avec le service. Si nécessaire, vous pouvez modifier la portée d'un groupe d'un domaine local ou passer de global à universel.
    • Le compte Bind DN que vous définissez lors de la configuration d'un annuaire dans le service doit disposer d'autorisations pour lire l'attribut TGGAU (Token-Groups-Global-And-Universal).
    • Les utilisateurs peuvent se synchroniser avec l'annuaire de catalogue global Workspace ONE Access à partir de plusieurs domaines Active Directory, directement ou via les appartenances aux groupes. Vous devez vous assurer qu'aucun autre annuaire du locataire Workspace ONE Access n'effectue la synchronisation des utilisateurs à partir des mêmes domaines. Sinon, le conflit peut entraîner des échecs de synchronisation.
    • Lorsque Workspace ONE UEM est intégré à Workspace ONE Access et que plusieurs groupes d'organisation Workspace ONE UEM sont configurés, vous ne pouvez pas utiliser l'option Catalogue global d'Active Directory.

    Active Directory utilise les ports 389 et 636 pour les requêtes LDAP standard. Pour les requêtes de catalogue global, les ports 3268 et 3269 sont utilisés.

Environnement Active Directory à forêts multiples avec relations d'approbation

Dans un déploiement Active Directory à forêts multiples avec relations d'approbation, vous pouvez synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des forêts où une relation d'approbation bidirectionnelle existe entre les domaines. Dans le service Workspace ONE Access, créez un annuaire de type Active Directory via l'authentification Windows intégrée unique pour cet environnement Active Directory.

Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory via l'authentification Windows intégrée. Assurez-vous qu'une approbation bidirectionnelle directe (non transitive) est configurée entre des domaines de l'annuaire et le domaine dont l'utilisateur Bind de l'annuaire est membre.

Pour plus d'informations, voir :

Environnement Active Directory à forêts multiples sans relations d'approbation

Dans un déploiement Active Directory à forêts multiples sans relations d'approbation, vous pouvez synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des forêts sans relation d'approbation entre les domaines. Dans cet environnement, vous pouvez créer plusieurs annuaires dans le service Workspace ONE Access, à raison d'un annuaire par forêt.

Pour plus d'informations, voir :