È possibile configurare e modificare l'autenticazione con password (cloud) nella pagina Metodi di autenticazione del connettore della console di Workspace ONE Access dopo aver configurato il servizio Sincronizzazione directory con la directory Enterprise.

Le caselle di testo configurate per l'autenticazione con password (cloud) si basano sul tipo di directory selezionato. Di seguito è disponibile un elenco dei tipi di directory per l'autenticazione con password.
  • Active Directory con host e porta fissi
  • Active Directory con ricerca DNS
  • Directory catalogo globale
  • Directory IWA
  • Directory LDAP

Per informazioni su come il servizio di sincronizzazione della directory viene integrato con la directory aziendale, vedere la guida all'integrazione della directory con Workspace ONE Access.

Prerequisiti

  • Installare Workspace ONE Access Connector con il servizio Autenticazione utente configurato in Connector. Vedere la versione più recente della guida all'installazione di VMware Workspace ONE Access Connector.
    • Assicurarsi che tutte le istanze del servizio Autenticazione utente nell'ambiente siano configurate con Workspace ONE Connector 21.08. Non è possibile configurare i metodi di autenticazione del servizio Autenticazione utente se si combinano le versioni 21.08 e 20.x del servizio Autenticazione utente.
  • Servizio di sincronizzazione della directory installato in un'istanza di Workspace ONE Access Connector.
  • Directory configurate nella sezione Integrazioni della console di Workspace ONE Access.
  • Attributi utente mappati correttamente alla directory Enterprise.

Procedura

  1. Nella pagina Integrazioni > Metodi di autenticazione del connettore della console di Workspace ONE Access, fare clic su Nuovo e selezionare Password (distribuzione cloud).
  2. Selezionare la directory e l'host di servizio configurati con l'autenticazione con password.
  3. Nella pagina Configurazione, configurare le impostazioni del metodo di autenticazione con password (cloud).
    Tipo di directory Opzione Azione
    Tutti i tipi Numero di tentativi di autenticazione consentiti. Specificare il numero massimo di tentativi di accesso non riusciti quando si utilizza l'autenticazione con password in una directory. Il valore predefinito è due tentativi.
    Tutti i tipi Tipo di directory Selezionare il tipo di directory configurata quando è stato installato il servizio di sincronizzazione della directory nel server del connettore.

    Active Directory con host e porta fissi Porta server Selezionare la porta utilizzata per Active Directory, ovvero 389 o 636 per le query LDAP standard.

    Per le query del catalogo globale, immettere le porte 3268 o 3269.

    Active Directory con host e porta fissi Host server Selezionare una o più istanze del servizio di sincronizzazione della directory da utilizzare.
    Tutti i tipi Modalità di comunicazione Per impostazione predefinita, è selezionata la modalità di base. È possibile modificare la modalità di comunicazione.
    • Selezionare SSL se per la comunicazione con la directory si utilizza SSL/TLS.
    • Selezionare STARTTLS se per la comunicazione con la directory si utilizza la posizione del servizio DNS e SSL. Aggiungere i certificati.
    Tutti i tipi Certificato directory Se la directory Enterprise richiede l'accesso su SSL/TLS, copiare e incollare nella casella di testo il certificato SSL CA root del server della directory Enterprise. Assicurarsi che il certificato sia in formato PEM e che includa le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".
    Active Directory con ricerca DNS Usa posizione servizio DNS Selezionare questa casella per usare i record della posizione del servizio DNS per individuare i domini di Active Directory.

    Se non si utilizza la ricerca della posizione del servizio DNS, deselezionare la casella di controllo e immettere il nome host e la porta del server di Active Directory.

    • Active Directory con host e porta fissi
    • Active Directory con ricerca DNS
    • Directory IWA
    • Directory LDAP
    Nome distinto di base Immettere il nome distinto da cui iniziare le ricerche nella directory. Ad esempio, cn=users,dc=example,dc=com.
    Tutti i tipi Nome distinto di binding/nome utente (IWA) Immettere il nome utente da utilizzare per cercare gli utenti. Ad esempio, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
    Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.
    Tutti i tipi Password di binding Specificare la password dell'utente Nome distinto di binding.
    • Active Directory con host e porta fissi
    • Active Directory con ricerca DNS
    • Directory IWA
    Attributo di ricerca Immettere l'attributo dell'account che contiene il nome utente. Può essere sAMAcountName, UPN o personalizzato.
    • Directory LDAP
    Attributo di ricerca directory personalizzato per gli utenti Quando si immette Personalizzato nella casella di testo dell'attributo di ricerca, immettere l'attributo di ricerca personalizzato da utilizzare per eseguire una query nella directory LDAP per ottenere i nomi di utenti e gruppi. Ad esempio, UID.
    • Active Directory con host e porta fissi
    • Active Directory con ricerca DNS
    • Directory IWA
    Query filtro per recuperare gli utenti AD Immettere i filtri di ricerca utilizzati per eseguire una query nella directory Enterprise.
    • Filtro di ricerca dei gruppi per ottenere i gruppi. Ad esempio, (objectClass=groupOfNames).
    • Filtro di ricerca degli utenti per ottenere gli utenti da sincronizzare. Ad esempio, (&(objectClass=user) (objectCategory=person))
    • Active Directory con host e porta fissi
    • Active Directory con ricerca DNS
    • Directory IWA
    • Directory catalogo globale
    Formato Nome-ID SAML Immettere il valore di nameIdFormat utilizzato per identificare l'utente dopo l'autenticazione. Per impostazione predefinita, il valore è l'attributo UID di ricerca directory.
    Tutti i tipi Funzionalità modifica password abilitata Abilitare questa funzionalità per consentire agli utenti di reimpostare le password di Active Directory dalla pagina di accesso di Workspace ONE Access.
    Tutti i tipi Visualizza dominio nella pagina di accesso Abilitare questa opzione per visualizzare il dominio di sistema come opzione quando gli utenti eseguono l'accesso. Se questa opzione è disattivata ed è disponibile un solo dominio, la pagina di selezione del dominio non viene visualizzata.
  4. Fare clic su AVANTI per controllare la configurazione e quindi fare clic su SALVA.

Operazioni successive

Aggiungere Password (distribuzione cloud) come metodo di autenticazione al provider di identità integrato nella sezione Integrazioni.

Aggiungere il metodo di autenticazione al criterio di accesso predefinito. Nella console, accedere alla pagina Risorse > Criteri e modificare le regole del criterio predefinito per aggiungere il metodo di autenticazione con password alla regola. Vedere Gestione dei criteri di accesso nel servizio Workspace ONE Access.