È possibile convertire una directory di tipo Altra directory, che include gli utenti e i gruppi sincronizzati da Workspace ONE UEM, in una directory di tipo Active Directory su LDAP o Active Directory su Autenticazione integrata di Windows, che sono associate a VMware Identity Manager Connector. Dopo la conversione della directory, per sincronizzare utenti e gruppi della directory aziendale con il servizio VMware Identity Manager viene utilizzato VMware Identity Manager Connector anziché ACC.

Prerequisiti

  • Installare e attivare VMware Identity Manager Connector.

    Per utilizzare alcune funzionalità, è necessario aggiungere Windows Server al dominio e installare il componente VMware Identity Manager Connector come utente del dominio che fa parte del gruppo di amministratori in Windows Server, nonché scegliere di eseguire il servizio IDM Connector come utente del dominio di Windows.

    Questo requisito si applica ai casi seguenti.

    • Se si intende convertire la directory di tipo Altra directory in Active Directory su Autenticazione integrata di Windows
    • Se si intende utilizzare l'autenticazione Kerberos
  • Sono necessarie le informazioni seguenti relative ad Active Directory:
    • Se si esegue la conversione in Active Directory su LDAP, è necessario specificare il DN di base, nonché il DN e la password dell'utente di binding.

      L'utente di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo:

      • Lettura
      • Lettura di tutte le proprietà
      • Autorizzazioni di lettura

      È consigliabile utilizzare un account utente di binding con una password che non scada mai.

    • Per la conversione ad Active Directory su Autenticazione integrata di Windows, sono necessari il nome utente e la password dell'utente di binding che dispone dell'autorizzazione per eseguire query in utenti e gruppi per i domini richiesti.

      L'utente di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo:

      • Lettura
      • Lettura di tutte le proprietà
      • Autorizzazioni di lettura

      È consigliabile utilizzare un account utente di binding con una password che non scada mai.

    • Se Active Directory richiede l'accesso su SSL/TLS, sono necessari i certificati intermedi (se in uso) e CA root dei controller di dominio per tutti i domini di Active Directory pertinenti. Se i controller di dominio dispongono di certificati provenienti da più autorità di certificazione che utilizzano certificati intermedi e root, sono necessari tutti i certificati intermedi e CA root.
    • Per Active Directory su Autenticazione integrata di Windows, se sono configurate più foreste di Active Directory e il gruppo Dominio locale contiene membri di domini di altre foreste, assicurarsi che l'utente di binding sia aggiunto al gruppo Amministratori del dominio in cui si trova il gruppo Dominio locale. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale.
    • Per Active Directory (autenticazione integrata di Windows):
      • Per tutti i controller di dominio elencati nei record SRV e i controller di dominio di sola lettura nascosti, nslookup del nome host e indirizzo IP dovrebbero funzionare.
      • Tutti i controller di dominio devono essere raggiungibili in termini di connettività di rete.

Procedura

  1. Nella console di amministrazione di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi, quindi sulla scheda Directory.
  2. Fare clic sulla directory che si desidera convertire.
  3. Nella pagina della directory, fare clic sul pulsante Converti.
  4. Nella pagina Aggiungi directory, modificare il nome della directory, se necessario, e selezionare il tipo di directory in cui si desidera convertire la directory di tipo Altra directory, ovvero Active Directory su LDAP o Active Directory su Autenticazione integrata di Windows.
  5. Immettere le informazioni relative alla connessione di Active Directory e continuare la procedura guidata per configurare la directory.
    Per informazioni, vedere la sezione relativa alla "configurazione della connessione di Active Directory al servizio" nella guida di integrazione di Active Directory con VMware Identity Manager.

    Seguire queste indicazioni.

    • Nel campo Connettore di sincronizzazione, selezionare l'istanza di VMware Identity Manager Connector installata.
    • Nella sezione Sincronizzazione e autenticazione directory, selezionare per Autenticazione, a meno che per l'autenticazione non si intenda utilizzare un provider di identità di terze parti anziché il connettore.
    • Assicurarsi di configurare la directory convertita come la directory di Workspace ONE UEM, in modo che abbia la stessa struttura. Selezionare gli stessi domini. Quando si specificano utenti e gruppi da sincronizzare, effettuare selezioni analoghe a quelle della directory di Workspace ONE UEM in modo che nella directory convertita vengano sincronizzati gli stessi utenti e gruppi.
  6. Nell'ultima pagina della procedura guidata, fare clic su Sincronizza directory.
    La directory viene convertita e configurata per l'utilizzo di VMware Identity Manager Connector. Viene creato un provider di identità Workspace, se non ne esiste già uno, e la directory viene associata automaticamente a questo provider di identità. Il metodo di autenticazione Password è già abilitato per la directory.
  7. (Facoltativo) Per abilitare altri metodi di autenticazione per la directory, eseguire questi passaggi.
    1. Nella scheda Gestione identità e accessi fare clic su Configura.
    2. Nella pagina Connettori, individuare il connettore e il worker a cui la directory convertita è associata e fare clic sul collegamento nella colonna Worker.
    3. Nella pagina del worker, fare clic sulla scheda Adattatori autenticazione.
    4. Configurare e abilitare gli adattatori di autenticazione che si desidera utilizzare per la directory facendo clic sul collegamento corrispondente e immettendo le informazioni di configurazione.
      Per ulteriori informazioni sulla configurazione degli adattatori di autenticazione, vedere Amministrazione di VMware Identity Manager.
  8. Modificare default_access_policy_set e tutti gli eventuali criteri personalizzati in modo che vengano selezionati i metodi di autenticazione di VMware Identity Manager Connector anziché Password (AirWatch Connector).
    1. Nella scheda Gestione identità e accessi, fare clic sulla scheda Criteri.
    2. Fare clic su Modifica criterio predefinito.
    3. Fare clic su Configurazione.
    4. Modificare ogni regola del criterio e sostituire il metodo di autenticazione Password (AirWatch Connector) con Password, che è un metodo di autenticazione di VMware Identity Manager Connector.
    5. Fare di nuovo clic sulla scheda Criteri e modificare i criteri personalizzati eventualmente presenti in modo che utilizzino Password o qualsiasi altro metodo di autenticazione di VMware Identity Manager Connector configurato.
      Importante: Se non si sostituisce Password (Airwatch Connector) con Password o un altro metodo di autenticazione basato su VMware Identity Manager Connector, gli utenti della directory convertita non potranno accedere.

Operazioni successive

Interrompere la sincronizzazione della directory da Workspace ONE UEM alla directory convertita.