Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Workspace ONE Access pour synchroniser des utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Workspace ONE Access.

Pour intégrer votre annuaire LDAP, créez un annuaire VMware Workspace ONE Access correspondant et synchronisez les utilisateurs et les groupes depuis l'annuaire LDAP vers l'annuaire VMware Workspace ONE Access. Vous pouvez configurer un planning de synchronisation régulier pour les mises à jour suivantes.

De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les mappez aux attributs VMware Workspace ONE Access.

La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou des schémas personnalisés. Elle peut également comporter des attributs personnalisés. Pour que VMware Workspace ONE Access puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre annuaire LDAP.

En particulier, vous devez fournir les informations suivantes.

  • Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind
  • Noms d'attribut LDAP pour l'appartenance au groupe, l'UUID et le nom unique ou l'attribut équivalent

Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Voir Limites de l'intégration d'annuaire LDAP.

Conditions préalables

  • Examinez les attributs sur la page Gestion d'identités et d'accès > Configuration > Attributs utilisateur et ajoutez des attributs supplémentaires que vous voulez synchroniser. Vous mappez les attributs de VMware Workspace ONE Access aux attributs de votre annuaire LDAP lorsque vous créez l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire.
    Note : Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres annuaires dans le service Workspace ONE Access. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service VMware Workspace ONE Access.
  • Un compte d'utilisateur de Bind DN. Il est recommandé d'utiliser un compte d'utilisateur de Bind DN avec un mot de passe sans date d'expiration.
  • Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut.
  • Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes.

    Vous mappez cet attribut à l'attribut VMware Workspace ONE Access domain lorsque vous créez l'annuaire VMware Workspace ONE Access.

  • Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur.
  • Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les attributs userPrincipalName et d'adresse électronique.

Procédure

  1. Dans la console Workspace ONE Access, accédez à la page Gestion d'identités et d'accès > Gérer > Annuaires.
  2. Cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire LDAP.
  3. Entrez les informations requises sur la page Ajouter un annuaire.
    Option Description
    Nom du répertoire Entrez un nom pour l'annuaire VMware Workspace ONE Access.
    Synchronisation et authentification du répertoire
    1. Pour Hôtes de synchronisation d'annuaire, sélectionnez une ou plusieurs instances de service de synchronisation d'annuaire à utiliser pour synchroniser cet annuaire. Toutes les instances de service de synchronisation d'annuaire enregistrées dans le locataire sont répertoriées. Vous ne pouvez sélectionner que des instances qui sont dans l'état Actif.

      Si vous sélectionnez plusieurs instances, Workspace ONE Access utilise la première instance sélectionnée de la liste pour synchroniser l'annuaire. Si la première instance n'est pas disponible, il utilise la deuxième, etc. Vous pouvez réorganiser la liste depuis la page Paramètres de synchronisation de l'annuaire après avoir créé celui-ci.

    2. Sélectionnez Authentification, sélectionnez Oui si vous souhaitez authentifier les utilisateurs de cet annuaire avec le service d'authentification utilisateur. Ce service doit déjà être installé. Si vous sélectionnez Oui, la méthode d'authentification par mot de passe (déploiement de Cloud) et un fournisseur d'identité sont automatiquement créés pour l'annuaire.

      Sélectionnez Non si vous ne souhaitez pas authentifier les utilisateurs de cet annuaire avec le service d'authentification utilisateur. Si vous décidez d'utiliser le service d'authentification utilisateur ultérieurement, vous pouvez créer manuellement la méthode d'authentification par mot de passe (déploiement de Cloud) et le fournisseur d'identité pour l'annuaire.

    3. L'option Services d'authentification utilisateur s'affiche lorsque l'option Authentification est définie sur Oui. Sélectionnez une ou plusieurs instances de service d'authentification utilisateur à utiliser pour authentifier les utilisateurs de cet annuaire. Toutes les instances de service d'authentification utilisateur qui sont enregistrées dans le locataire et qui sont dans l'état Actif sont répertoriées.

      Si vous sélectionnez plusieurs instances, Workspace ONE Access envoie les demandes d'authentification aux instances sélectionnées de manière circulaire.

    4. Dans la zone de texte Nom d'utilisateur, sélectionnez l'attribut d'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'est pas répertorié, sélectionnez Personnalisé et entrez le nom d'attribut personnalisé à utiliser pour les utilisateurs et les groupes. Par exemple, cn.
    Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôte de serveur, vous pouvez spécifier le nom de domaine complet ou l'adresse IP. Par exemple : myLDAPserver.example.com ou 100.00.00.0.

    Si vous disposez d'un cluster de serveurs derrière un équilibrage de charge, entrez les informations de ce dernier à la place.

    Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP que VMware Workspace ONE Access peut utiliser pour interroger votre annuaire LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP principal.

    Requêtes de filtre

    • Groupes : filtre de recherche pour obtenir des objets de groupe.

      Par exemple : (objectClass=groupOfNames)

    • Utilisateur Bind : filtre de recherche pour obtenir l'objet d'utilisateur Bind, c'est-à-dire, l'utilisateur pouvant établir la liaison à l'annuaire.

      Par exemple : (objectClass=person)

    • Utilisateurs : filtre de recherche pour obtenir des utilisateurs à synchroniser.

      Par exemple :(&(objectClass=user)(objectCategory=person))

    Attributs

    • Appartenance : attribut utilisé dans votre annuaire LDAP pour définir les membres d'un groupe.

      Par exemple : membre

    • UUID d'objet : attribut utilisé dans votre annuaire LDAP pour définir l'UUID d'un objet d'utilisateur ou de groupe.

      Par exemple : entryUUID

    • Nom unique : (Facultatif) attribut utilisé dans votre annuaire LDAP pour le nom unique d'un utilisateur ou d'un groupe.

      Par exemple, dn

      Par défaut, l'attribut de nom unique est utilisé pour identifier de manière unique les objets d'utilisateur et de groupe. Si votre schéma LDAP ne contient pas l'attribut de nom unique, sélectionnez l'option Activer la configuration avancée de LDAP et entrez les valeurs à utiliser pour identifier des groupes et des utilisateurs.

    • Activer la configuration avancée de LDAP : cochez la case pour afficher les options de la configuration avancée de LDAP. Utilisez la configuration avancée si votre schéma LDAP ne contient pas l'attribut de nom unique ou s'il utilise posixGroups.
      • Filtre de groupe : valeur à utiliser pour interroger et identifier des groupes. Cette valeur est requise si votre schéma LDAP ne contient pas l'attribut de nom unique.

        Par exemple : cn

      • Filtre utilisateur : valeur à utiliser pour interroger et identifier des utilisateurs. Cette valeur est requise si votre schéma LDAP ne contient pas l'attribut de nom unique.

        Par exemple : uid

      • Filtre de mappage d'appartenance de l'utilisateur : (Facultatif) cette option est généralement requise pour les annuaires LDAP qui utilisent posixGroups. L'option Filtre de mappage d'appartenance de l'utilisateur permet d'interroger et d'identifier les utilisateurs renvoyés par l'attribut Appartenance.

        Par exemple : uidNumber

    Certificats Si votre annuaire LDAP nécessite l'accès sur SSL, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL, puis copiez et collez le certificat SSL d'autorité de certification racine du serveur d'annuaire LDAP dans la zone de texte. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
    Détails de l'utilisateur Bind DN de base : entrez le nom unique à partir duquel vous souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com
    Utilisateur Bind DN : entrez le nom d'utilisateur à utiliser pour établir la liaison à l'annuaire LDAP.
    Note : Il est recommandé d'utiliser un compte d'utilisateur de Bind DN avec un mot de passe sans date d'expiration.

    Mot de passe de l'utilisateur Bind DN : entrez le mot de passe de l'utilisateur Bind DN.

  4. Cliquez sur Enregistrer et Suivant.
  5. Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant.
  6. Sur la page Mapper des attributs, vérifiez que les attributs de VMware Workspace ONE Access sont mappés aux attributs d'annuaire LDAP appropriés, puis effectuez des modifications, si nécessaire.

    Ces attributs sont synchronisés pour les utilisateurs.

    Important : Vous devez spécifier un mappage pour l'attribut domain.

    Vous pouvez ajouter des attributs et gérer la liste des attributs requis depuis la page Configuration > Attributs utilisateur.

  7. Cliquez sur Suivant.
  8. Sélectionnez les groupes à synchroniser entre l'annuaire LDAP et l'annuaire Workspace ONE Access.
    Tenez compte des considérations suivantes lors de l'ajout de groupes.
    • Il est recommandé d'ajouter et de synchroniser un petit nombre de groupes lorsque vous créez un annuaire. Après la configuration initiale, vous pouvez ajouter d'autres groupes.
    • Lorsque vous ajoutez et synchronisez des groupes, les noms des groupes sont synchronisés avec l'annuaire. Les utilisateurs qui sont membres du groupe ne sont synchronisés avec l'annuaire qu'une fois que le groupe dispose de droits d'accès à une application ou que le nom du groupe est ajouté à une règle de stratégie d'accès.
      Note : Vous pouvez remplacer cette restriction en activant l'option Synchroniser les membres d'un groupe avec l'annuaire lors de l'ajout d'un groupe sur la page Gestion d'identités et d'accès > Configuration > Préférences.
    • Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez spécifier des noms uniques sur la page des groupes.
    Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et sélectionnez les groupes situés en dessous.
    1. Dans la ligne Indiquer les DN du groupe, cliquez sur + et indiquez le DN du groupe. Par exemple, CN=users,DC=example,DC=company,DC=com.
      Info-bulle : Il n'est pas recommandé d'entrer un DN de niveau supérieur, tel que le DN de base sous lequel effectuer la recherche, car la recherche prendra longtemps. Essayez d'entrer un DN plus spécifique sous lequel effectuer la recherche.
      Important : Indiquez les DN du groupe qui se trouvent sous le DN de base que vous avez entré dans la zone de texte DN de base sur la page Ajouter un annuaire. Si un DN du groupe se trouve en dehors du DN de base, les utilisateurs de ce DN seront synchronisés, mais ne pourront pas se connecter.
    2. Si vous souhaitez sélectionner tous les groupes sous le DN du groupe, cliquez sur Tout sélectionner.
      Si des groupes sont ajoutés au DN du groupe ou supprimés de celui-ci dans Active Directory après la création de l'annuaire, les modifications sont reflétées lors des synchronisations suivantes.
    3. Si vous souhaitez sélectionner des groupes spécifiques sous le DN du groupe au lieu de les sélectionner tous, cliquez sur Sélectionner, effectuez vos sélections, puis cliquez sur Enregistrer.
      Lorsque vous cliquez sur Sélectionner, tous les groupes trouvés dans le DN sont répertoriés. Vous pouvez affiner les résultats ou rechercher des groupes spécifiques en entrant un terme à rechercher dans la zone de recherche.
    4. Sélectionnez ou désélectionnez l'option Synchroniser les membres du groupe imbriqué, si nécessaire.
      L'option Synchroniser les membres du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés lorsque des droits sont octroyés au groupe. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire Workspace ONE Access, ces utilisateurs seront des membres du groupe parent que vous avez sélectionné pour la synchronisation.

      Si l'option Synchroniser les membres du groupe imbriqué est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs.

  9. Cliquez sur Suivant.
  10. Sélectionnez les utilisateurs à synchroniser.
    Tenez compte des considérations suivantes lors de l'ajout d'utilisateurs :
    • Étant donné que les membres des groupes ne sont synchronisés avec l'annuaire qu'une fois que le groupe est autorisé à accéder à des applications ou ajouté à une règle de stratégie d'accès, ajoutez tous les utilisateurs ayant besoin de s'authentifier avant que les droits du groupe ne soient configurés.
    • L'utilisateur Bind que vous avez spécifié dans la section Détails de l'utilisateur Bind n'est pas synchronisé par défaut avec le service Workspace ONE Access. Si vous souhaitez synchroniser l'utilisateur Bind, entrez le DN de l'utilisateur dans cet onglet.
    1. Dans la ligne Indiquer les DN de l'utilisateur, cliquez sur +, puis entrez les DN de l'utilisateur. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Important : Indiquez les DN de l'utilisateur qui se trouvent sous le DN de base que vous avez entré dans la zone de texte DN de base sur la page Ajouter un annuaire. Si un DN d'utilisateur se trouve en dehors du DN de base, les utilisateurs de ce DN seront synchronisés, mais ne pourront pas se connecter.
    2. (Facultatif) Pour exclure des utilisateurs, créez des filtres pour exclure les utilisateurs en fonction de l'attribut choisi. Vous pouvez créer plusieurs filtres d'exclusion.
      Vous pouvez sélectionner l'attribut utilisateur à filtrer et le filtre de requête à appliquer à la valeur que vous définissez.
      Option Description
      Contient Exclut tous les utilisateurs qui correspondent à l'ensemble des attributs et des valeurs. Par exemple, le nom contient Jane exclut les utilisateurs nommés « Jane ».
      Ne contient pas Exclut tous les utilisateurs à l'exception de ceux qui correspondent à l'ensemble des attributs et des valeurs. Par exemple, telephoneNumber ne contient pas 800, inclut uniquement les utilisateurs ayant un numéro de téléphone qui inclut « 800 ».
      Commence par Excluez tous les utilisateurs dont la valeur de l'attribut commence par les caractères spécifiés. Par exemple, employeeID commence par ACME0, exclut tous les utilisateurs dont l'ID d'employé inclut « ACME0 » au début de leur numéro d'ID.
      Se termine par Excluez tous les utilisateurs dont la valeur de l'attribut se termine par les caractères spécifiés. Par exemple, l'e-mail se termine par example1.com, exclut tous les utilisateurs dont l'adresse e-mail se termine par « example1.com ».
    La valeur est insensible à la casse. N'utilisez pas les symboles suivants dans la chaîne de valeur.
    • Astérisque *
    • Caret ^
    • Parenthèses ( )
    • Point d'interrogation ?
    • Point d'exclamation !
    • Symbole dollar $
  11. Sur la page Fréquence de synchronisation, configurez une planification de synchronisation pour synchroniser les utilisateurs et les groupes à intervalles réguliers ou sélectionnez Manuellement dans la liste déroulante Fréquence de synchronisation si vous ne souhaitez définir aucune planification.
    L'heure est définie en UTC.
    Info-bulle : Planifiez les intervalles de synchronisation pour qu'ils soient plus longs que le délai de synchronisation. Si les utilisateurs et les groupes sont en cours de synchronisation avec l'annuaire lorsque la synchronisation suivante est planifiée, la nouvelle synchronisation démarre immédiatement après la fin de la synchronisation précédente. Avec cette planification, le processus de synchronisation est continu.
    Si vous sélectionnez Manuellement, vous devez cliquer sur le bouton Synchroniser sur la page de l'annuaire à chaque synchronisation de l'annuaire.
  12. Cliquez sur Enregistrer pour créer l'annuaire ou sur Synchroniser l'annuaire pour créer l'annuaire et commencer à le synchroniser.

Résultats

La connexion à l'annuaire LDAP est établie. Si vous avez cliqué sur Synchroniser l'annuaire, les noms d'utilisateurs et de groupes sont synchronisés entre l'annuaire LDAP et l'annuaire Workspace ONE Access.

Pour plus d'informations sur le mode de synchronisation des groupes, reportez-vous à la section « Gestion des utilisateurs et des groupes » dans la section Administration de VMware Workspace ONE Access.

Que faire ensuite

  • Si vous avez défini l'option Authentification sur Oui, un fournisseur d'identité nommé IDP pour directoryname et une méthode d'authentification par mot de passe (déploiement de Cloud) sont automatiquement créés pour l'annuaire. Vous pouvez afficher ces éléments sur les pages Gestion d'identités et d'accès > Gérer > Fournisseurs d'identité et Méthodes d'authentification d'entreprise. Vous pouvez également créer d'autres méthodes d'authentification pour l'annuaire depuis l'onglet Méthodes d'authentification d'entreprise. Pour plus d'informations sur la création de méthodes d'authentification, consultez le guide <Auth>.
  • Examinez la stratégie d'accès par défaut sur la page Gestion d'identités et d'accès > Gérer > Stratégies.
  • Examinez les paramètres de sécurité de synchronisation par défaut et apportez des modifications, si nécessaire. Voir Configuration de la sécurité des synchronisations d'annuaire pour plus d'informations.