È possibile integrare il servizio in un ambiente Active Directory composto da un singolo dominio Active Directory, più domini in una singola foresta Active Directory o più domini in più foreste Active Directory.

Ambiente con singolo dominio Active Directory

Una distribuzione di Active Directory singola consente di sincronizzare gli utenti e i gruppi di un singolo dominio Active Directory.

Per questo ambiente, quando si aggiunge una directory al servizio, selezionare l'opzione Active Directory su LDAP.

Per ulteriori informazioni, vedere:

Ambiente con foresta Active Directory singola e multidominio

Una distribuzione con una singola foresta Active Directory e multidominio consente di sincronizzare gli utenti e i gruppi da più domini Active Directory appartenenti a un'unica foresta.

È possibile configurare il servizio per questo ambiente Active Directory come tipo di directory con autenticazione integrata di Windows e singola Active Directory oppure, in alternativa, come tipo di directory Active Directory su LDAP configurata con l'opzione di catalogo globale.

  • L'opzione consigliata è creare il tipo di directory con autenticazione integrata di Windows e singola Active Directory.

    Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory (autenticazione integrata di Windows).

    Per ulteriori informazioni, vedere:

  • Se l'autenticazione integrata di Windows non funziona nel proprio ambiente di Active Directory, creare un tipo di directory Active Directory su LDAP e selezionare l'opzione del catalogo globale.

    Tra le limitazioni della selezione dell'opzione del catalogo globale vi sono:

    • Gli attributi dell'oggetto di Active Directory che sono replicati sul catalogo globale sono identificati nello schema Active Directory come serie di attributi parziale (PAS, partial attribute set). Solo questi attributi sono disponibili per l'associazione degli attributi mediante il servizio. Se necessario, modificare lo schema per aggiungere o rimuovere gli attributi memorizzati nel catalogo globale.

    • Il catalogo globale memorizza l'appartenenza al gruppo (l'attributo member) solo dei gruppi universali. Solo i gruppi universali sono sincronizzati con il servizio. Se necessario, modificare l'ambito di un gruppo da un dominio locale o globale a universale.

    • L'account del Nome distinto di binding che viene definito quando si configura una directory nel servizio deve disporre delle autorizzazioni di lettura dell'attributo Token-Groups-Global-And-Universal (TGGAU).

    • Quando AirWatch è integrato con VMware Identity Manager e sono configurati più gruppi di organizzazioni di AirWatch, l'opzione del catalogo globale di Active Directory non può essere utilizzata.

    Active Directory utilizza le porte 389 e 636 per le query LDAP standard. Per le query del catalogo globale, vengono invece utilizzate le porte 3268 e 3269.

    Se si aggiunge una directory per l'ambiente del catalogo globale, durante la configurazione specificare quanto riportato di seguito.

    • Selezionare l'opzione Active Directory su LDAP.

    • Deselezionare la casella di controllo per l'opzione Questa directory supporta la posizione servizio DNS.

    • Selezionare l'opzione Questa directory dispone di un catalogo globale. Se si seleziona questa opzione, il numero di porta del server cambia automaticamente in 3268. Inoltre, poiché il Nome distinto di base non è necessario durante la configurazione dell'opzione del catalogo globale, la casella di testo Nome distinto di base non viene visualizzata.

    • Aggiungere il nome host del server Active Directory.

    • Se Active Directory richiede un accesso s SSL, selezionare l'opzione Questa directory richiede che tutte le connessioni utilizzino SSL e incollare il certificato nella casella di testo fornita. Se si seleziona questa opzione, il numero di porta del server cambia automaticamente in 3269.

Ambiente Active Directory multiforesta con relazioni di trust

Una distribuzione Active Directory multiforesta con relazioni di trust consente di sincronizzare gli utenti e i gruppi da più domini Active Directory tra foreste in cui esistono relazioni di trust bidirezionale tra domini.

Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory (autenticazione integrata di Windows).

Per ulteriori informazioni, vedere:

Ambiente Active Directory multiforesta senza relazioni di trust

Una distribuzione Active Directory multiforesta senza relazioni di trust consente di sincronizzare gli utenti e i gruppi da più domini Active Directory tra foreste senza una relazione di trust tra domini. Per questo ambiente occorre creare più directory nel servizio, una per ogni foresta.

Il tipo di directory create nel servizio dipende dalla foresta. Per foreste con domini multipli, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Per una foresta con dominio singolo, selezionare l'opzione Active Directory su LDAP.

Per ulteriori informazioni, vedere: