In questo passaggio della configurazione della federazione aziendale, viene creata una directory interna in cui vengono archiviati gli utenti e i gruppi sincronizzati da Active Directory.

È possibile sincronizzare gruppi e utenti da uno o più domini Active Directory.
  • Selezionare l'opzione Dominio AD singolo quando tutti gli utenti e i gruppi a cui si desidera concedere l'accesso federato a VMware Cloud services si trovano in un singolo dominio AD. Se si dispone di più domini di Active Directory e non è presente alcuna relazione di attendibilità tra questi domini, utilizzare questa opzione. Una volta configurata la federazione, è possibile aggiungere una nuova directory per ogni dominio AD aggiuntivo.
  • Selezionare Domini AD multipli quando gli utenti e i gruppi a cui si desidera concedere l'accesso federato a VMware Cloud services si trovano in domini AD differenti, si dispone di Active Directory multi-foresta e viene stabilita la relazione di attendibilità tra i diversi domini.

Dopo l'abilitazione della federazione aziendale, i gruppi e gli utenti sincronizzati in questo passaggio del workflow di federazione vengono visualizzati nella pagina Gruppi di Cloud Services Console. È possibile accedere alla pagina passando a Gestione accessi e identità > Gruppi. È possibile sincronizzare gruppi e utenti aggiuntivi per l'azienda dopo aver abilitato la configurazione della federazione.

Tutti gli account federati devono essere sincronizzati per consentire agli utenti di accedere a VMware Cloud services con i loro account aziendali. Agli utenti sincronizzati non viene chiesto di creare account VMware al momento dell'accesso, a meno che non debbano visualizzare le informazioni di fatturazione; in questo caso inoltrare un ticket di supporto. Gli Amministratori aziendali che sono anche proprietari dell'organizzazione o sono invitati a completare la configurazione della federazione prima che il dominio venga federato, devono creare un account VMware. Gli Amministratori aziendali che vengono aggiunti all'organizzazione della federazione speciale dopo la federazione del dominio, non devono creare un account VMware.

Prerequisiti

  • Se Active Directory richiede l'accesso tramite SSL/TLS, è necessario caricare i certificati CA intermedio (se utilizzato) e root del controller di dominio.
  • Per la sincronizzazione di gruppi e utenti, è necessario utilizzare qualsiasi servizio o account utente che disponga di un privilegio di lettura su Active Directory e di una password senza scadenza per il DN/nome dell'utente di binding per la connessione ad Active Directory.
    Attenzione: Se i criteri di protezione dell'azienda richiedono l'utilizzo di un account di servizio con una password in scadenza e la password scade prima del rinnovo, i gruppi e gli utenti non vengono sincronizzati. Se la sincronizzazione viene interrotta, è necessario ristabilire la connessione tra Active Directory e Workspace ONE Access Connector.

Procedura

  1. Nella sezione Sincronizza gruppi e utenti della pagina Configura la Federazione aziendale, fare clic su Inizia.
    Viene visualizzata la sezione Aggiungi una directory.
  2. Nella casella di testo Nome directory, immettere un nome per la directory interna che si sta per creare.
    È possibile specificare un nome qualsiasi per la directory aziendale. Non è necessario che corrisponda al nome utilizzato internamente.
  3. Per questo esempio, mantenere selezionate le voci di menu predefinite Dominio AD singolo e No.
  4. Fare clic su Avanti.
    La sezione Fornisci credenziali utente di binding del workflow viene espansa.
  5. Fornire le credenziali di amministratore dell'utente di binding dell'account del servizio che verrà utilizzato per sincronizzare il gruppo e gli utenti dall'Active Directory aziendale.
    Di seguito è riportato un esempio di come definire il DN dell'utente di binding. Si supponga che il DN dell'utente di binding per il servizio di directory aziendale sia admin@acme.com. Si analizzi come viene definita la sintassi del nome utente nella configurazione della federazione:
    1. Nella casella di testo DN utente di binding, inserire "CN=admin,DC=acme,DC=com".
      La casella di testo DN di base viene compilata automaticamente per visualizzare "DC=acme,DC=com".
    2. Nella casella di testo Bind User Password immettere la password dell'amministratore dell'utente di binding.
    Nota: Il DN dell'utente di binding e le credenziali del DN di binding immessi devono rispettare la sintassi indicata negli esempi.
  6. Fare clic su Avanti.
    La sezione Sincronizza gruppi del workflow viene espansa.
  7. Inserire il DN (Distinguish Name) di gruppo per i gruppi che si desidera sincronizzare.
    Utilizzare una sintassi simile a quella specificata nel passaggio 5 di questa attività per definire gruppi di utenti specifici dalla directory aziendale, ad esempio CN=Users,DC=acme,DC=com.
    Nota: Gli attributi minimi per sincronizzare gruppi e utenti sono nome, cognome, e-mail, nome utente e dominio. Se l'azienda utilizza il nome dell'entità utente (UPN) per autenticare gli utenti, questo attributo deve avere anche un valore per la sincronizzazione. Le password degli utenti non vengono mai sincronizzate. Solo i DN di utenti e gruppi configurati in questo passaggio vengono sincronizzati e non l'intera Active Directory.
  8. Fare clic sul collegamento Seleziona gruppi.
    Viene visualizzata una finestra popup che mostra tutti i risultati del gruppo disponibili per i criteri DN di gruppo immessi. Se i risultati della ricerca generano più di 1000 gruppi, è possibile tornare al passaggio 7 e affinare i criteri di ricerca.
  9. Selezionare i gruppi da sincronizzare per la configurazione della federazione e fare clic su Salva.
    La pagina del workflow di federazione viene aggiornata e viene visualizzato il numero di gruppi aggiunti per la sincronizzazione in questo passaggio. È possibile aggiungere altri gruppi facendo clic su Aggiungi.
  10. Fare clic su Avanti.
  11. Nella sezione Sincronizza utente che viene espansa, immettere i DN utente che si desidera sincronizzare.
    Utilizzare una sintassi simile a quella specificata nel passaggio 7 di questa attività per definire utenti specifici della directory aziendale, ad esempio CN=admin,CN=users,DC=acme,DC=com.
    Tutti i gruppi e gli utenti aggiunti vengono ora visualizzati nella sezione Controlla gruppi e utenti.
    Per testare la configurazione della federazione e convalidare l'accesso dell'utente con il provider di identità dell'azienda, assicurarsi di aggiungere e sincronizzare correttamente i gruppi e gli utenti che testaranno la configurazione della federazione, incluso sé stessi.
    Nota: Gli utenti che non sono sincronizzati non riusciranno a eseguire l'autenticazione utente dopo l'abilitazione della federazione aziendale.
  12. Fare clic su Sincronizza.
    Lo stato della sincronizzazione in corso resta visualizzato finché non si fa clic su Controlla stato sincronizzazione.
  13. Per visualizzare lo stato aggiornato della sincronizzazione, è necessario fare clic su Controlla stato sincronizzazione.
    Nota: La sincronizzazione non riesce se mancano gli attributi minimi richiesti, come nome, cognome, e-mail, nome utente, dominio e UPN (se utilizzato).
    Quando la sincronizzazione riesce, lo stato diventa verde.
    Nota: Se si verifica un errore di eccezione per il DN dell'utente di binding, è possibile ignorarlo. Per tutti gli altri errori, è necessario risolvere i problemi di configurazione.
  14. Fare clic su Continua.

Operazioni successive

A questo punto è possibile configurare il provider di identità aziendale per la federazione aziendale con VMware Cloud services.