È possibile integrare il servizio in un ambiente Active Directory composto da un singolo dominio Active Directory, più domini in una singola foresta Active Directory o più domini in più foreste Active Directory.
Ambiente con singolo dominio Active Directory
Con una singola distribuzione di Active Directory, è possibile sincronizzare utenti e gruppi da un singolo dominio Active Directory.
Per questo ambiente, quando si aggiunge una directory al servizio VMware Identity Manager, selezionare Active Directory su LDAP/IWA come directory da aggiungere.
Per ulteriori informazioni, vedere:
Ambiente con foresta Active Directory singola e multidominio
In una distribuzione con più domini in una singola foresta Active Directory, è possibile sincronizzare utenti e gruppi di più domini Active Directory con una singola foresta.
- È consigliabile creare un tipo di directory Active Directory (autenticazione integrata di Windows) singola.
Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Assicurarsi che una relazione di attendibilità bidirezionale (non transitiva) diretta sia configurata tra i domini della directory e il dominio a cui appartiene il VMware Identity Manager Connector.
Per ulteriori informazioni, vedere:
- Se l'autenticazione integrata di Windows non funziona nel proprio ambiente di Active Directory, creare un tipo di directory Active Directory su LDAP e selezionare l'opzione del catalogo globale.
Tra le limitazioni della selezione dell'opzione del catalogo globale vi sono:
- Gli attributi dell'oggetto di Active Directory che sono replicati sul catalogo globale sono identificati nello schema Active Directory come serie di attributi parziale (PAS, partial attribute set). Solo questi attributi sono disponibili per l'associazione degli attributi mediante il servizio. Se necessario, modificare lo schema per aggiungere o rimuovere gli attributi memorizzati nel catalogo globale.
- Il catalogo globale memorizza l'appartenenza al gruppo (l'attributo member) solo dei gruppi universali. Solo i gruppi universali sono sincronizzati con il servizio. Se necessario, modificare l'ambito di un gruppo da un dominio locale o globale a universale.
- L'account del Nome distinto di binding che viene definito quando si configura una directory nel servizio deve disporre delle autorizzazioni di lettura dell'attributo Token-Groups-Global-And-Universal (TGGAU).
- Quando Workspace ONE UEM è integrato con VMware Identity Manager e sono configurati più gruppi di organizzazioni di Workspace ONE UEM, l'opzione del catalogo globale di Active Directory non può essere utilizzata.
Active Directory utilizza le porte 389 e 636 per le query LDAP standard. Per le query del catalogo globale, vengono invece utilizzate le porte 3268 e 3269.
Se si aggiunge una directory per l'ambiente del catalogo globale, durante la configurazione specificare quanto riportato di seguito.
- Selezionare l'opzione Active Directory su LDAP.
- Deselezionare la casella di controllo per l'opzione Questa directory supporta la posizione servizio DNS.
- Selezionare l'opzione Questa directory dispone di un catalogo globale. Se si seleziona questa opzione, il numero di porta del server cambia automaticamente in 3268. Inoltre, poiché il Nome distinto di base non è necessario durante la configurazione dell'opzione del catalogo globale, la casella di testo Nome distinto di base non viene visualizzata.
- Aggiungere il nome host del server Active Directory.
- Se Active Directory richiede un accesso s SSL, selezionare l'opzione Questa directory richiede che tutte le connessioni utilizzino SSL e incollare il certificato nella casella di testo fornita. Se si seleziona questa opzione, il numero di porta del server cambia automaticamente in 3269.
Ambiente Active Directory multiforesta con relazioni di trust
In una distribuzione di Active Directory con più foreste e relazioni di attendibilità, è possibile sincronizzare utenti e gruppi di più domini Active Directory tra le foreste in cui esiste una relazione di attendibilità bidirezionale tra i domini. È possibile configurare il servizio per questo ambiente di Active Directory come tipo di directory Active Directory (autenticazione integrata di Windows) singola.
Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Assicurarsi che una relazione di attendibilità bidirezionale (non transitiva) diretta sia configurata tra i domini nelle foreste della directory e il dominio a cui appartiene il VMware Identity Manager Connector.
Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory (autenticazione integrata di Windows).
Per ulteriori informazioni, vedere:
Ambiente Active Directory multiforesta senza relazioni di trust
In una distribuzione di Active Directory con più foreste senza relazioni di attendibilità, è possibile sincronizzare utenti e gruppi di più domini Active Directory tra le foreste senza una relazione di attendibilità tra i domini. In questo ambiente è possibile creare più directory nel servizio VMware Identity Manager, una directory per ogni foresta.
Il tipo di directory create nel servizio dipende dalla foresta. Per foreste con domini multipli, selezionare l'opzione Active Directory (autenticazione integrata di Windows). Per una foresta con dominio singolo, selezionare l'opzione Active Directory su LDAP.
Per ulteriori informazioni, vedere: