Vous pouvez intégrer votre annuaire LDAP d'entreprise à Workspace ONE Access pour synchroniser des utilisateurs et des groupes entre l'annuaire LDAP et le service Workspace ONE Access.

Pour intégrer votre annuaire LDAP, créez un annuaire Workspace ONE Access correspondant et synchronisez les utilisateurs et les groupes depuis l'annuaire LDAP vers l'annuaire Workspace ONE Access. Vous pouvez configurer un planning de synchronisation régulier pour les mises à jour suivantes.

De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les mappez aux attributs Workspace ONE Access.

La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou des schémas personnalisés. Elle peut également comporter des attributs personnalisés. Pour que Workspace ONE Access puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre annuaire LDAP.

En particulier, vous devez fournir les informations suivantes.

  • Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind
  • Noms d'attribut LDAP pour l'appartenance au groupe, l'ID externe et le nom unique ou l'attribut équivalent

Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Reportez-vous à la section Limites de l'intégration d'annuaire LDAP.

Conditions préalables

  • Installez le service Synchronisation d'annuaire, qui est disponible comme composant de Workspace ONE Access Connector à partir de la version 20.01.0.0. Pour plus d'informations, reportez-vous à la dernière version d'Installation de VMware Workspace ONE Access Connector.

    Installez également le composant Service d'authentification utilisateur si vous souhaitez l'utiliser pour authentifier les utilisateurs de l'annuaire.

  • Vérifiez les attributs utilisateur sur la page Paramètres > Attributs utilisateur et ajoutez des attributs supplémentaires à synchroniser si nécessaire. Vous mappez les attributs de Workspace ONE Access aux attributs de votre annuaire LDAP lorsque vous créez l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire.
    Note : Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres annuaires dans le service Workspace ONE Access. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis, à l'exception de l'attribut Username. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est requis, les utilisateurs qui ne disposent pas de cet attribut ne sont pas synchronisés avec le service Workspace ONE Access.
  • Un compte d'utilisateur de Bind DN. Il est recommandé d'utiliser un compte d'utilisateur à nom unique de liaison avec un mot de passe sans date d'expiration.
  • Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut.
  • Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes.

    Vous mappez cet attribut à l'attribut Workspace ONE Access domain lorsque vous créez l'annuaire Workspace ONE Access.

  • Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.
  • Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les attributs userPrincipalName et d'adresse électronique.

Procédure

  1. Dans la console Workspace ONE Access, sélectionnez Intégrations > Annuaires.
  2. Dans le menu déroulant Ajouter un annuaire, sélectionnez Annuaire LDAP.
    Les choix de la liste déroulante Ajouter un annuaire sont les suivants : Active Directory, Annuaire LDAP et Annuaire d'utilisateurs locaux.
  3. Dans la section Informations sur l'annuaire, entrez les informations requises.
    Option Description
    Nom du répertoire Entrez un nom pour l'annuaire Workspace ONE Access.
    Hôtes de synchronisation d'annuaire Sélectionnez une ou plusieurs instances de service de synchronisation d'annuaire à utiliser pour synchroniser cet annuaire. Toutes les instances de service de synchronisation d'annuaire enregistrées dans le locataire sont répertoriées. Vous ne pouvez sélectionner que des instances qui sont dans l'état Actif.

    Si vous sélectionnez plusieurs instances, Workspace ONE Access utilise la première instance sélectionnée de la liste pour synchroniser l'annuaire. Si la première instance n'est pas disponible, il utilise la deuxième, etc. Vous pouvez réorganiser la liste dans l'onglet Paramètres de synchronisation de l'annuaire après avoir créé celui-ci.
    Authentification Sélectionnez Configurer l'authentification par mot de passe pour cet annuaire si vous souhaitez authentifier les utilisateurs de cet annuaire avec le service d'authentification utilisateur. Ce service doit déjà être installé. Si vous sélectionnez cette option, cela crée automatiquement pour l'annuaire la méthode d'authentification par mot de passe (déploiement de cloud) et un fournisseur d'identité nommé IDP pour directoryName de type Intégré.

    Sélectionnez Ajouter des méthodes d'authentification ultérieurement si vous ne souhaitez pas configurer l'authentification avec le service d'authentification utilisateur à ce stade ou si vous souhaitez utiliser un fournisseur d'identité tiers. Si vous décidez d'utiliser le service d'authentification utilisateur ultérieurement, vous pouvez créer manuellement la méthode d'authentification par mot de passe (déploiement de Cloud) et le fournisseur d'identité pour l'annuaire. Dans ce cas, créez un fournisseur d'identité pour l'annuaire en sélectionnant Ajouter > IDP intégré sur la page Intégrations > Fournisseurs d'identité. Il n'est pas recommandé d'utiliser le fournisseur d'identité précréé nommé Intégré.
    Hôtes d'authentification utilisateur L'option Hôtes d'authentification utilisateur s'affiche lorsque l'option Configurer l'authentification par mot de passe pour cet annuaire est sélectionnée. Sélectionnez une ou plusieurs instances de service d'authentification utilisateur à utiliser pour authentifier les utilisateurs de cet annuaire. Toutes les instances de service d'authentification utilisateur qui sont enregistrées dans le locataire et qui sont dans l'état Actif sont répertoriées.

    Si vous sélectionnez plusieurs instances, Workspace ONE Access envoie les demandes d'authentification aux instances sélectionnées de manière circulaire.
    Nom d'utilisateur Sélectionnez l'attribut de l'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'est pas répertorié, sélectionnez Personnalisé et entrez le nom d'attribut personnalisé à utiliser pour les utilisateurs et les groupes. Par exemple, cn.
    Hôte du serveur Entrez l'hôte du serveur de l'annuaire LDAP. Vous pouvez spécifier le nom de domaine complet ou l'adresse IP. Par exemple : myLDAPserver.example.com ou 100.00.00.0.

    Si vous disposez d'un cluster de serveurs derrière un équilibrage de charge, entrez les informations de ce dernier à la place.
    Port du serveur Entrez le numéro de port de l'annuaire LDAP.
  4. Dans la section Configuration LDAP, entrez les informations requises.
    Option Description
    Requêtes et attributs Spécifiez les filtres et les attributs de recherche LDAP que Workspace ONE Access peut utiliser pour interroger votre annuaire LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP principal.

    Requêtes de filtre

    • Groupes : filtre de recherche pour obtenir des objets de groupe.

      Par exemple : (objectClass=groupOfNames)

    • Utilisateur Bind : filtre de recherche pour obtenir l'objet d'utilisateur Bind, c'est-à-dire, l'utilisateur pouvant établir la liaison à l'annuaire.

      Par exemple : (objectClass=person)

    • Utilisateurs : filtre de recherche pour obtenir des utilisateurs à synchroniser.

      Par exemple :(&(objectClass=user)(objectCategory=person))

    Attributs

    • Appartenance : attribut utilisé dans votre annuaire LDAP pour définir les membres d'un groupe.

      Par exemple : member

    • ID externe : attribut à utiliser comme identifiant unique pour les utilisateurs et les groupes dans l'annuaire Workspace ONE Access. La valeur par défaut est entryUUID.
      Important : Une valeur unique et non vide doit être définie pour l'attribut de tous les utilisateurs. La valeur doit être unique dans le locataire Workspace ONE Access. Si les utilisateurs ne disposent d'aucune valeur pour l'attribut, l'annuaire n'est pas synchronisé.

      Tenez compte des remarques suivantes lors de la définition de l'ID externe :

      • Si vous intégrez Workspace ONE Access à Workspace ONE UEM, assurez-vous que vous définissez l'ID externe sur le même attribut dans les deux produits.
      • Vous pouvez modifier l'ID externe après la création de l'annuaire. Toutefois, il est recommandé de définir l'ID externe avant de synchroniser les utilisateurs avec Workspace ONE Access. Lorsque vous modifiez l'ID externe, les utilisateurs sont recréés. Par conséquent, tous les utilisateurs seront déconnectés et devront se reconnecter. Vous devrez également configurer les droits d'utilisateur pour les applications Web et les applications ThinApp. Les droits pour Horizon, Horizon Cloud et Citrix seront supprimés, puis recréés à la prochaine synchronisation des droits.
      • L'option ID externe est disponible avec Workspace ONE Access Connector versions 20.10 et ultérieures. Tous les connecteurs associés au service Workspace ONE Access doivent être de version 20.10 ou de version ultérieure. Si différentes versions du connecteur sont associées au service, l'option ID externe ne s'affiche pas.
    • Nom unique : (Facultatif) attribut utilisé dans votre annuaire LDAP pour le nom unique d'un utilisateur ou d'un groupe.

      Par exemple, dn

      Par défaut, l'attribut de nom unique est utilisé pour identifier de manière unique les objets d'utilisateur et de groupe. Si votre schéma LDAP ne contient pas l'attribut de nom unique, sélectionnez l'option Activer la configuration avancée de LDAP et entrez les valeurs à utiliser pour identifier des groupes et des utilisateurs.

    • Configuration avancée : cochez la case Activer la configuration LDAPS avancée pour afficher les options de configuration LDAP avancée. Utilisez la configuration avancée si votre schéma LDAP ne contient pas l'attribut de nom unique ou s'il utilise posixGroups.
      • Filtre de groupe : valeur à utiliser pour interroger et identifier des groupes. Cette valeur est requise si votre schéma LDAP ne contient pas l'attribut de nom unique.

        Par exemple : cn

      • Filtre utilisateur : valeur à utiliser pour interroger et identifier des utilisateurs. Cette valeur est requise si votre schéma LDAP ne contient pas l'attribut de nom unique.

        Par exemple : uid

      • Filtre de mappage d'appartenance de l'utilisateur : (Facultatif) cette option est généralement requise pour les annuaires LDAP qui utilisent posixGroups. L'option Filtre de mappage d'appartenance de l'utilisateur permet d'interroger et d'identifier les utilisateurs renvoyés par l'attribut Appartenance.

        Par exemple : uidNumber

    Chiffrement Si votre annuaire LDAP nécessite l'accès sur SSL, cochez la case Exiger LDAPS pour toutes les connexions, puis copiez et collez le certificat SSL d'autorité de certification racine du serveur d'annuaire LDAP dans la zone de texte Certificat(s) SSL. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
    Détails de l'utilisateur Bind DN de base : entrez le nom unique à partir duquel vous souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com
    Utilisateur Bind DN : entrez le nom d'utilisateur à utiliser pour établir la liaison à l'annuaire LDAP.
    Note : Il est recommandé d'utiliser un compte d'utilisateur à nom unique de liaison avec un mot de passe sans date d'expiration.

    Mot de passe de l'utilisateur Bind DN : entrez le mot de passe de l'utilisateur Bind DN.

  5. Dans la section Sélectionner un ou plusieurs domaines, vérifiez que le domaine correct est répertorié, puis cliquez sur Enregistrer.
  6. Dans la section Mapper des attributs utilisateur, vérifiez que les attributs de Workspace ONE Access sont mappés aux attributs d'annuaire LDAP appropriés, puis effectuez des modifications, si nécessaire.

    Ces attributs sont synchronisés pour les utilisateurs.

    Important : Vous devez spécifier un mappage pour l'attribut domain.

    Vous pouvez ajouter des attributs et gérer la liste des attributs requis sur la page Paramètres > Attributs utilisateur.

    Important : Si un attribut est marqué obligatoire, vous devez définir sa valeur pour tous les utilisateurs à synchroniser. Les enregistrements utilisateur pour lesquels la valeur des attributs obligatoires est manquante ne sont pas synchronisés.
  7. Dans la section Synchroniser les groupes, ajoutez les groupes que vous souhaitez synchroniser. Reportez-vous à la section Sélectionner des utilisateurs et groupes à synchroniser avec votre annuaire Workspace ONE Access.
  8. Dans la section Synchroniser les utilisateurs, ajoutez les utilisateurs que vous souhaitez synchroniser. Reportez-vous à la section Sélectionner des utilisateurs et groupes à synchroniser avec votre annuaire Workspace ONE Access.
  9. Dans la section Fréquence de synchronisation, configurez une planification de synchronisation pour synchroniser les utilisateurs et les groupes à intervalles réguliers ou sélectionnez Manuellement dans le menu déroulant Fréquence de synchronisation si vous ne souhaitez définir aucune planification.
    L'heure est définie en UTC.
    Info-bulle : Planifiez les intervalles de synchronisation pour qu'ils soient plus longs que le délai de synchronisation de l'annuaire. Si les utilisateurs et les groupes sont en cours de synchronisation avec l'annuaire lorsque la synchronisation suivante est planifiée, la nouvelle synchronisation démarre immédiatement après la fin de la synchronisation précédente. Avec cette planification, le processus de synchronisation est continu.
    Si vous sélectionnez Manuellement, vous devez sélectionner Synchroniser > Synchroniser avec protections ou Synchroniser > Synchroniser sans protection sur la page de l'annuaire lorsque vous souhaitez synchroniser ce dernier.
  10. Cliquez sur Enregistrer pour créer l'annuaire ou sur Enregistrer et synchroniser pour créer l'annuaire et commencer à le synchroniser.

Résultats

La connexion à l'annuaire LDAP est établie. Si vous avez cliqué sur Enregistrer et synchroniser, les noms d'utilisateurs et de groupes sont synchronisés entre l'annuaire LDAP et l'annuaire Workspace ONE Access.

Pour plus d'informations sur le mode de synchronisation des groupes, reportez-vous à la section « Gestion des utilisateurs et des groupes » dans la section Administration de VMware Workspace ONE Access.

Que faire ensuite

  • Si vous avez défini l'option Authentification sur Configurer l'authentification par mot de passe pour cet annuaire, un fournisseur d'identité nommé IDP pour directoryname et une méthode d'authentification par mot de passe (déploiement de cloud) sont automatiquement créés pour l'annuaire. Vous pouvez les afficher sur les pages Intégrations > Fournisseurs d'identité et Intégrations > Méthodes d'authentification du connecteur. Vous pouvez également créer d'autres méthodes d'authentification pour l'annuaire sur les pages Méthodes d'authentification du connecteur et Méthodes d'authentification. Pour plus d'informations sur la création de méthodes d'authentification, reportez-vous à la section Gestion des méthodes d'authentification utilisateur dans Workspace ONE Access.
  • Vérifiez la stratégie d'accès par défaut sur la page Ressources > Stratégies.
  • Examinez les paramètres de protections de synchronisation par défaut et apportez des modifications, si nécessaire. Voir Configurer les protections de synchronisation d'annuaire dans Workspace ONE Access pour plus d'informations.