Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Workspace ONE Access pour synchroniser des utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Workspace ONE Access.

Pour intégrer votre annuaire LDAP, créez un annuaire VMware Workspace ONE Access correspondant et synchronisez les utilisateurs et les groupes depuis l'annuaire LDAP vers l'annuaire VMware Workspace ONE Access. Vous pouvez configurer un planning de synchronisation régulier pour les mises à jour suivantes.

De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les mappez aux attributs VMware Workspace ONE Access.

La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou des schémas personnalisés. Elle peut également comporter des attributs personnalisés. Pour que VMware Workspace ONE Access puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre annuaire LDAP.

En particulier, vous devez fournir les informations suivantes.

  • Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind
  • Noms d'attribut LDAP pour l'appartenance au groupe, l'ID externe et le nom unique ou l'attribut équivalent

Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Reportez-vous à la section Limites de l'intégration d'annuaire LDAP.

Conditions préalables

  • Installez le service Synchronisation d'annuaire, qui est disponible comme composant de Workspace ONE Access Connector à partir de la version 20.01.0.0. Pour plus d'informations, reportez-vous à la dernière version d'Installation de VMware Workspace ONE Access Connector.

    Installez également le composant Service d'authentification utilisateur si vous souhaitez l'utiliser pour authentifier les utilisateurs de l'annuaire.

  • Examinez les attributs sur la page Gestion des identités et des accès > Configuration > Attributs utilisateur et ajoutez des attributs supplémentaires que vous voulez synchroniser. Vous mappez les attributs de VMware Workspace ONE Access aux attributs de votre annuaire LDAP lorsque vous créez l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire.
    Note : Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres annuaires dans le service Workspace ONE Access. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service VMware Workspace ONE Access.
  • Un compte d'utilisateur de Bind DN. Il est recommandé d'utiliser un compte d'utilisateur de Bind DN avec un mot de passe sans date d'expiration.
  • Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut.
  • Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes.

    Vous mappez cet attribut à l'attribut VMware Workspace ONE Access domain lorsque vous créez l'annuaire VMware Workspace ONE Access.

  • Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.
  • Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les attributs userPrincipalName et d'adresse électronique.

Procédure

  1. Dans la console Workspace ONE Access, accédez à la page Gestion des identités et des accès > Gérer > Annuaires.
  2. Cliquez sur Ajouter un annuaire et sélectionnez Annuaire LDAP.
  3. Entrez les informations requises sur la page Ajouter un annuaire.
    Option Description
    Nom du répertoire Entrez un nom pour l'annuaire VMware Workspace ONE Access.
    Synchronisation et authentification du répertoire
    1. Pour Hôtes de synchronisation d'annuaire, sélectionnez une ou plusieurs instances de service de synchronisation d'annuaire à utiliser pour synchroniser cet annuaire. Toutes les instances de service de synchronisation d'annuaire enregistrées dans le locataire sont répertoriées. Vous ne pouvez sélectionner que des instances qui sont dans l'état Actif.

      Si vous sélectionnez plusieurs instances, Workspace ONE Access utilise la première instance sélectionnée de la liste pour synchroniser l'annuaire. Si la première instance n'est pas disponible, il utilise la deuxième, etc. Vous pouvez réorganiser la liste depuis la page Paramètres de synchronisation d'annuaire après avoir créé celui-ci.

    2. Sélectionnez Authentification, sélectionnez Oui si vous souhaitez authentifier les utilisateurs de cet annuaire avec le service d'authentification utilisateur. Ce service doit déjà être installé. Si vous sélectionnez Oui, la méthode d'authentification par mot de passe (déploiement de cloud) et un fournisseur d'identité nommé IDP pour directoryName de type Intégré sont automatiquement créés pour l'annuaire.

      Sélectionnez Non si vous ne souhaitez pas authentifier les utilisateurs de cet annuaire avec le service d'authentification utilisateur. Si vous décidez d'utiliser le service d'authentification utilisateur ultérieurement, vous pouvez créer manuellement la méthode d'authentification par mot de passe (déploiement de Cloud) et le fournisseur d'identité pour l'annuaire. Lorsque vous procédez, créez un fournisseur d'identité pour l'annuaire en sélectionnant Ajouter un fournisseur d'identité > Créer un fournisseur d'identité intégré sur la page Gestion des identités et des accès > Fournisseurs d'identité. Il n'est pas recommandé d'utiliser le fournisseur d'identité précréé nommé Intégré.

    3. L'option Hôtes d'authentification utilisateur s'affiche lorsque l'option Authentification est définie sur Oui. Sélectionnez une ou plusieurs instances de service d'authentification utilisateur à utiliser pour authentifier les utilisateurs de cet annuaire. Toutes les instances de service d'authentification utilisateur qui sont enregistrées dans le locataire et qui sont dans l'état Actif sont répertoriées.

      Si vous sélectionnez plusieurs instances, Workspace ONE Access envoie les demandes d'authentification aux instances sélectionnées de manière circulaire.

    4. Dans la zone de texte Nom d'utilisateur, sélectionnez l'attribut d'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'est pas répertorié, sélectionnez Personnalisé et entrez le nom d'attribut personnalisé à utiliser pour les utilisateurs et les groupes. Par exemple, cn.
    Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôte de serveur, vous pouvez spécifier le nom de domaine complet ou l'adresse IP. Par exemple : myLDAPserver.example.com ou 100.00.00.0.

    Si vous disposez d'un cluster de serveurs derrière un équilibrage de charge, entrez les informations de ce dernier à la place.

    Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP que VMware Workspace ONE Access peut utiliser pour interroger votre annuaire LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP principal.

    Requêtes de filtre

    • Groupes : filtre de recherche pour obtenir des objets de groupe.

      Par exemple : (objectClass=groupOfNames)

    • Utilisateur Bind : filtre de recherche pour obtenir l'objet d'utilisateur Bind, c'est-à-dire, l'utilisateur pouvant établir la liaison à l'annuaire.

      Par exemple : (objectClass=person)

    • Utilisateurs : filtre de recherche pour obtenir des utilisateurs à synchroniser.

      Par exemple :(&(objectClass=user)(objectCategory=person))

    Attributs

    • Appartenance : attribut utilisé dans votre annuaire LDAP pour définir les membres d'un groupe.

      Par exemple : member

    • ID externe : attribut à utiliser comme identifiant unique pour les utilisateurs et les groupes dans l'annuaire Workspace ONE Access. La valeur par défaut est entryUUID.
      Important : Une valeur unique et non vide doit être définie pour l'attribut de tous les utilisateurs. La valeur doit être unique dans le locataire Workspace ONE Access. Si les utilisateurs ne disposent d'aucune valeur pour l'attribut, l'annuaire n'est pas synchronisé.

      Tenez compte des remarques suivantes lors de la définition de l'ID externe :

      • Si vous intégrez Workspace ONE Access à Workspace ONE UEM, assurez-vous de définir l'ID externe sur le même attribut dans les deux produits.
      • Vous pouvez modifier l'ID externe après la création de l'annuaire. Toutefois, il est recommandé de définir l'ID externe avant de synchroniser les utilisateurs avec Workspace ONE Access. Lorsque vous modifiez l'ID externe, les utilisateurs sont recréés. Par conséquent, tous les utilisateurs seront déconnectés et devront se reconnecter. Vous devrez également configurer les droits d'utilisateur pour les applications Web et les applications ThinApp. Les droits pour Horizon, Horizon Cloud et Citrix seront supprimés, puis recréés à la prochaine synchronisation des droits.
      • L'option ID externe est disponible avec Workspace ONE Access Connector 20.10 et 19.03.0.1. Toutes les instances de Connector associées à Workspace ONE Access doivent être de version 20.10 ou elles doivent être toutes de version 19.03.0.1. Si des versions différentes de Connector sont associées au service, l'option ID externe ne s'affiche pas.
    • Nom unique : (Facultatif) attribut utilisé dans votre annuaire LDAP pour le nom unique d'un utilisateur ou d'un groupe.

      Par exemple, dn

      Par défaut, l'attribut de nom unique est utilisé pour identifier de manière unique les objets d'utilisateur et de groupe. Si votre schéma LDAP ne contient pas l'attribut de nom unique, sélectionnez l'option Activer la configuration avancée de LDAP et entrez les valeurs à utiliser pour identifier des groupes et des utilisateurs.

    • Activer la configuration avancée de LDAP : cochez la case pour afficher les options de la configuration avancée de LDAP. Utilisez la configuration avancée si votre schéma LDAP ne contient pas l'attribut de nom unique ou s'il utilise posixGroups.
      • Filtre de groupe : valeur à utiliser pour interroger et identifier des groupes. Cette valeur est requise si votre schéma LDAP ne contient pas l'attribut de nom unique.

        Par exemple : cn

      • Filtre utilisateur : valeur à utiliser pour interroger et identifier des utilisateurs. Cette valeur est requise si votre schéma LDAP ne contient pas l'attribut de nom unique.

        Par exemple : uid

      • Filtre de mappage d'appartenance de l'utilisateur : (Facultatif) cette option est généralement requise pour les annuaires LDAP qui utilisent posixGroups. L'option Filtre de mappage d'appartenance de l'utilisateur permet d'interroger et d'identifier les utilisateurs renvoyés par l'attribut Appartenance.

        Par exemple : uidNumber

    Chiffrement Si votre annuaire LDAP nécessite l'accès sur SSL, cochez la case LDAPS requis pour toutes les connexions, puis copiez et collez le certificat SSL d'autorité de certification racine du serveur d'annuaire LDAP dans la zone de texte. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
    Détails de l'utilisateur Bind DN de base : entrez le nom unique à partir duquel vous souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com
    Utilisateur Bind DN : entrez le nom d'utilisateur à utiliser pour établir la liaison à l'annuaire LDAP.
    Note : Il est recommandé d'utiliser un compte d'utilisateur de Bind DN avec un mot de passe sans date d'expiration.

    Mot de passe de l'utilisateur Bind DN : entrez le mot de passe de l'utilisateur Bind DN.

  4. Cliquez sur Enregistrer et configurer.
  5. Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant.
  6. Sur la page Mapper des attributs, vérifiez que les attributs de VMware Workspace ONE Access sont mappés aux attributs d'annuaire LDAP appropriés, puis effectuez des modifications, si nécessaire.

    Ces attributs sont synchronisés pour les utilisateurs.

    Important : Vous devez spécifier un mappage pour l'attribut domain.

    Vous pouvez ajouter des attributs et gérer la liste des attributs requis depuis la page Configuration > Attributs utilisateur.

    Important : Si un attribut est marqué obligatoire, sa valeur doit être définie pour tous les utilisateurs à synchroniser. Les enregistrements utilisateur pour lesquels la valeur est manquante pour les attributs obligatoires ne sont pas synchronisés.
  7. Cliquez sur Suivant.
  8. Sélectionnez les groupes à synchroniser entre l'annuaire LDAP et l'annuaire Workspace ONE Access.
    Tenez compte des considérations suivantes lors de l'ajout de groupes.
    • Il est recommandé d'ajouter et de synchroniser un petit nombre de groupes lorsque vous créez un annuaire. Après la configuration initiale, vous pouvez ajouter d'autres groupes.
    • Lorsque vous ajoutez et synchronisez des groupes, les noms des groupes sont synchronisés avec l'annuaire. Les utilisateurs qui sont membres du groupe ne sont synchronisés avec l'annuaire qu'une fois que le groupe dispose de droits d'accès à une application ou que le nom du groupe est ajouté à une règle de stratégie d'accès.
      Note : Vous pouvez remplacer cette restriction en activant l'option Synchroniser les membres d'un groupe avec l'annuaire lors de l'ajout d'un groupe sur la page Gestion des identités et des accès > Configuration > Préférences.
    • Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez spécifier des noms uniques sur la page des groupes.
    Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et sélectionnez les groupes situés en dessous.
    1. Dans la ligne Indiquer le groupe de niveau supérieur, cliquez sur + et indiquez le DN du groupe. Par exemple, CN=users,DC=example,DC=company,DC=com.
      Info-bulle : Il n'est pas recommandé d'entrer un DN de niveau supérieur, tel que le DN de base sous lequel effectuer la recherche, car la recherche prendra longtemps. Essayez d'entrer un DN plus spécifique sous lequel effectuer la recherche.
      Important : Indiquez les DN de groupes qui se trouvent sous le DN de base que vous avez entré dans la zone de texte DN de base sur la page Ajouter un annuaire. Si un DN du groupe se trouve en dehors du DN de base, les utilisateurs de ce DN seront synchronisés, mais ne pourront pas se connecter.
    2. Si vous souhaitez sélectionner tous les groupes sous le DN du groupe ajouté, cochez la case Tout sélectionner.
      Si des groupes sont ajoutés au DN du groupe ou supprimés de celui-ci dans Active Directory après la création de l'annuaire, les modifications sont reflétées lors des synchronisations suivantes.
    3. Si vous souhaitez sélectionner des groupes spécifiques sous le DN du groupe au lieu de les sélectionner tous, cliquez sur Sélectionner des groupes, effectuez vos sélections, puis cliquez sur Enregistrer.
      Lorsque vous cliquez sur Sélectionner des groupes, tous les groupes trouvés dans le DN sont répertoriés. Vous pouvez affiner les résultats ou rechercher des groupes spécifiques en entrant un terme à rechercher dans la zone de recherche.
    4. Sélectionnez ou désélectionnez l'option Synchroniser les membres du groupe imbriqué, si nécessaire.
      L'option Synchroniser les membres du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés lorsque des droits sont octroyés au groupe. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire Workspace ONE Access, ces utilisateurs seront des membres du groupe parent que vous avez sélectionné pour la synchronisation.

      Si l'option Synchroniser les membres du groupe imbriqué est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs.

  9. Cliquez sur Suivant.
  10. Sélectionnez les utilisateurs à synchroniser.
    Tenez compte des considérations suivantes lors de l'ajout d'utilisateurs :
    • Étant donné que les membres des groupes ne sont synchronisés avec l'annuaire qu'une fois que le groupe est autorisé à accéder à des applications ou ajouté à une règle de stratégie d'accès, ajoutez tous les utilisateurs ayant besoin de s'authentifier avant que les droits du groupe ne soient configurés.
    • L'utilisateur Bind que vous avez spécifié dans la section Détails de l'utilisateur Bind n'est pas synchronisé par défaut avec le service Workspace ONE Access. Si vous souhaitez synchroniser l'utilisateur Bind, entrez le DN de l'utilisateur dans cet onglet.
    1. Dans la ligne Indiquer les DN d'utilisateurs, cliquez sur +, puis entrez les DN d'utilisateurs. Par exemple :

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      Important : Indiquez les DN d'utilisateurs qui se trouvent sous le DN de base que vous avez entré dans la zone de texte DN de base sur la page Ajouter un annuaire. Si un DN d'utilisateur se trouve en dehors du DN de base, les utilisateurs de ce DN seront synchronisés, mais ne pourront pas se connecter.

      Pour vérifier si le DN de l'utilisateur est valide et pour voir le nombre d'utilisateurs qui seront synchronisés, cliquez sur le bouton Tester de cette ligne.

    2. Spécifiez des filtres pour inclure ou exclure des utilisateurs des DN, si nécessaire.
  11. Sur la page Fréquence de synchronisation, configurez une planification de synchronisation pour synchroniser les utilisateurs et les groupes à intervalles réguliers ou sélectionnez Manuellement dans la liste déroulante Fréquence de synchronisation si vous ne souhaitez définir aucune planification.
    L'heure est définie en UTC.
    Info-bulle : Planifiez les intervalles de synchronisation pour qu'ils soient plus longs que le délai de synchronisation. Si les utilisateurs et les groupes sont en cours de synchronisation avec l'annuaire lorsque la synchronisation suivante est planifiée, la nouvelle synchronisation démarre immédiatement après la fin de la synchronisation précédente. Avec cette planification, le processus de synchronisation est continu.
    Si vous sélectionnez Manuellement, vous devez cliquer sur le bouton Synchroniser sur la page de l'annuaire à chaque synchronisation d'annuaire.
  12. Cliquez sur Enregistrer pour créer l'annuaire ou sur Synchroniser l'annuaire pour créer l'annuaire et commencer à le synchroniser.

Résultats

La connexion à l'annuaire LDAP est établie. Si vous avez cliqué sur Synchroniser l'annuaire, les noms d'utilisateurs et de groupes sont synchronisés entre l'annuaire LDAP et l'annuaire Workspace ONE Access.

Pour plus d'informations sur le mode de synchronisation des groupes, reportez-vous à la section « Gestion des utilisateurs et des groupes » dans la section Administration de VMware Workspace ONE Access.

Que faire ensuite

  • Si vous avez défini l'option Authentification sur Oui, un fournisseur d'identité nommé IDP pour directoryname et une méthode d'authentification par mot de passe (déploiement de Cloud) sont automatiquement créés pour l'annuaire. Vous pouvez afficher ces éléments sur les pages Gestion des identités et des accès > Gérer > Fournisseurs d'identité et Méthodes d'authentification d'entreprise. Vous pouvez également créer d'autres méthodes d'authentification pour l'annuaire depuis l'onglet Méthodes d'authentification d'entreprise. Pour plus d'informations sur la création de méthodes d'authentification, reportez-vous à la section Gestion des méthodes d'authentification utilisateur dans Workspace ONE Access.
  • Examinez la stratégie d'accès par défaut sur la page Gestion des identités et des accès > Gérer > Stratégies.
  • Examinez les paramètres de protections de synchronisation par défaut et apportez des modifications, si nécessaire. Voir Configuration des protections de synchronisation d'annuaire dans Workspace ONE Access pour plus d'informations.