È possibile integrare la directory LDAP dell'azienda con Workspace ONE Access per sincronizzare utenti e gruppi dalla directory LDAP al servizio di Workspace ONE Access.

Per l'integrazione con la directory LDAP, è necessario creare una directory di Workspace ONE Access corrispondente e sincronizzare utenti e gruppi dalla directory LDAP alla directory di Workspace ONE Access. È possibile impostare una pianificazione di sincronizzazione regolare per gli aggiornamenti successivi.

Si possono anche selezionare gli attributi LDAP che si desidera sincronizzare per gli utenti e associarli ad attributi di Workspace ONE Access.

La configurazione della directory LDAP potrebbe essere basata su schemi predefiniti o personalizzati. Può inoltre disporre di attributi personalizzati. Affinché Workspace ONE Access possa eseguire query nella directory LDAP per ottenere oggetti utente o gruppo, è necessario fornire i filtri di ricerca LDAP e i nomi degli attributi applicabili alla directory LDAP.

Nello specifico, è necessario fornire la seguenti informazioni.

  • Filtri di ricerca LDAP per ottenere gruppi, utenti e l'utente di binding
  • Nomi degli attributi LDAP per l'appartenenza al gruppo, ID esterno e nome distinto o attributo equivalente

La funzionalità di integrazione della directory LDAP è soggetta a specifiche limitazioni. Vedere Limitazioni dell'integrazione della directory LDAP.

Prerequisiti

  • Installare il servizio Sincronizzazione directory, disponibile come componente di Workspace ONE Access Connector a partire dalla versione 20.01.0.0. Per informazioni, vedere la versione più recente di Installazione di VMware Workspace ONE Access Connector.

    Se si desidera utilizzare il servizio di autenticazione utente per autenticare gli utenti della directory, installare anche il componente del servizio di autenticazione utente.

  • Rivedere gli attributi degli utenti nella pagina Impostazioni > Attributi utente e aggiungere altri attributi da sincronizzare se necessario. Gli attributi di Workspace ONE Access vengono mappati con quelli della directory LDAP in fase di creazione della directory. Gli attributi vengono sincronizzati per gli utenti nella directory.
    Nota: Quando si apportano modifiche agli attributi degli utenti, considerare l'effetto sulle altre directory nel servizio Workspace ONE Access. Se si intende aggiungere sia Active Directory sia directory LDAP, assicurarsi di non contrassegnare alcun attributo come obbligatorio, ad eccezione di Nome utente. Le impostazioni nella pagina Attributi utente si applicano a tutte le directory nel servizio. Se un attributo è obbligatorio, gli utenti che non dispongono di tale attributo non vengono sincronizzati nel servizio Workspace ONE Access.
  • Un account utente Nome distinto di binding. L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.
  • Nella directory LDAP, gli UUID di utenti e gruppi devono essere in formato testo normale.
  • Nella directory LDAP, per tutti gli utenti e i gruppi deve esistere un attributo di dominio.

    Questo attributo viene associato all'attributo dominio di Workspace ONE Access quando si crea la directory di Workspace ONE Access.

  • I nomi utente non devono contenere spazi. Se un nome utente contiene spazi, l'utente viene sincronizzato ma i permessi non saranno disponibili per l'utente.
  • Se si utilizza l'autenticazione con certificato, per gli utenti devono essere impostati valori per gli attributi userPrincipalName e indirizzo e-mail.

Procedura

  1. Nella console di Workspace ONE Access, selezionare Integrazioni > Directory.
  2. Dal menu a discesa Aggiungi directory selezionare Directory LDAP.
    Le opzioni del menu a discesa Aggiungi directory sono Active Directory, Directory LDAP e Directory utente locale.
  3. Nella sezione Informazioni directory immettere le informazioni richieste.
    Opzione Descrizione
    Nome directory Immettere un nome per la directory di Workspace ONE Access.
    Host di sincronizzazione directory Selezionare una o più istanze del servizio di sincronizzazione directory da utilizzare per sincronizzare questa directory. Sono elencate tutte le istanze del servizio di sincronizzazione directory registrate nel tenant. È possibile selezionare solo le istanze in stato attivo.

    Se si selezionano più istanze, Workspace ONE Access utilizza la prima istanza selezionata nell'elenco per sincronizzare la directory. Se la prima istanza non è disponibile, viene utilizzata la seconda istanza selezionata e così via. Dopo aver creato la directory, è possibile riordinare l'elenco dalla scheda Impostazioni di sincronizzazione della directory.
    Autenticazione Selezionare Imposta l'autenticazione con password per questa directory se si desidera eseguire l'autenticazione degli utenti di questa directory con il servizio Autenticazione utente. Il servizio di autenticazione utente deve essere già installato. Se si seleziona questa opzione, per la directory vengono creati automaticamente il metodo di autenticazione Password (distribuzione cloud) e un provider di identità denominato IDP per directoryName di tipo Incorporato.

    Selezionare Aggiungi metodi di autenticazione in un secondo momento se non si desidera configurare l'autenticazione con il servizio Autenticazione utente in questo momento o se si desidera utilizzare un provider di identità di terze parti. Se si decide di utilizzare il servizio di autenticazione utente in un secondo momento, è possibile creare manualmente il metodo di autenticazione Password (distribuzione cloud) e il provider di identità per la directory. Quando si esegue questa operazione, creare un nuovo provider di identità per la directory selezionando Aggiungi > Provider di identità integrato nella pagina Integrazioni > Provider di identità. Non è consigliabile utilizzare il provider di identità creato in anticipo denominato Integrato.
    Host di autenticazione utente L'opzione Host di autenticazione utente viene visualizzata quando l'opzione Imposta l'autenticazione con password per questa directory è selezionata. Selezionare una o più istanze del servizio di autenticazione utente da utilizzare per autenticare gli utenti di questa directory. Sono elencate tutte le istanze del servizio di autenticazione utente registrate nel tenant e che si trovano nello stato attivo.

    Se si selezionano più istanze, Workspace ONE Access invia le richieste di autenticazione alle istanze selezionate nell'ordine round robin.
    Nome utente Selezionare l'attributo della directory LDAP da utilizzare per il nome utente. Se l'attributo non è elencato, selezionare Personalizzato e immettere il nome dell'attributo personalizzato da utilizzare per gli utenti e i gruppi. Ad esempio, cn.
    Host server Immettere l'host del server della directory LDAP. È possibile specificare il nome di dominio completo o l'indirizzo IP. Ad esempio, serverLDAP.esempio.com o 100.00.00.0.

    Se è presente un cluster di server con il bilanciamento del carico, immettere invece le informazioni sul bilanciamento.
    Porta server Immettere il numero di porta della directory LDAP.
  4. Nella sezione Configurazione LDAP, immettere le informazioni richieste.
    Opzione Descrizione
    Query e attributi Specificare i filtri di ricerca LDAP e gli attributi che possono essere utilizzati da Workspace ONE Access per interrogare la propria directory LDAP. I valori predefiniti sono forniti in base allo schema LDAP principale.

    Query filtro

    • Gruppi: il filtro di ricerca per ottenere gli oggetti gruppo.

      Ad esempio: (objectClass=groupOfNames)

    • Utente bind: il filtro di ricerca per ottenere l'oggetto utente bind, ovvero l'utente che può eseguire il binding alla directory.

      Ad esempio: (objectClass=person)

    • Utenti: il filtro di ricerca per ottenere gli utenti da sincronizzare.

      Ad esempio: (&(objectClass=user)(objectCategory=person))

    Attributi

    • Appartenenza: questo attributo è utilizzato nella directory LDAP per definire i membri di un gruppo.

      Ad esempio: member

    • ID esterno: attributo da utilizzare come identificatore univoco di utenti e gruppi nella directory di Workspace ONE Access. Il valore predefinito è entryUUID.
      Importante: Tutti gli utenti devono avere un valore univoco e non vuoto definito per l'attributo. Il valore deve essere univoco nel tenant di Workspace ONE Access. Se gli utenti non dispongono di un valore per l'attributo, la directory non verrà sincronizzata.

      Quando si imposta l'ID esterno, tenere presente quanto segue:

      • Se si sta integrando Workspace ONE Access con Workspace ONE UEM, assicurarsi di impostare l'ID esterno sullo stesso attributo in entrambi i prodotti.
      • È possibile modificare l'ID esterno dopo la creazione della directory. È tuttavia consigliabile impostare l'ID esterno prima di sincronizzare gli utenti con Workspace ONE Access. Quando si modifica l'ID esterno, gli utenti vengono ricreati. Di conseguenza, tutti gli utenti verranno disconnessi e dovranno eseguire di nuovo l'accesso. Sarà inoltre necessario riconfigurare i permessi degli utenti per le app Web e ThinApp. I permessi per Horizon, Horizon Cloud e Citrix verranno eliminati e quindi ricreati alla successiva sincronizzazione dei permessi.
      • L'opzione ID esterno è disponibile in Workspace ONE Access Connector 20.10 e versioni successive. La versione di tutti i connettori associati al servizio Workspace ONE Access deve essere 20.10 o successiva. Se al servizio sono associate versioni diverse del connettore, l'opzione ID esterno non viene visualizzata.
    • Nome distinto: (facoltativo) l'attributo che viene utilizzato nella directory LDAP per il nome distinto di un utente o un gruppo.

      Ad esempio: dn

      Per impostazione predefinita, l'attributo del nome distinto viene utilizzato per identificare in modo univoco gli oggetti utente e gruppo. Se lo schema LDAP non dispone dell'attributo del nome distinto, selezionare l'opzione Abilita configurazione LDAP avanzata e immettere i valori da utilizzare per identificare i gruppi e gli utenti.

    • Configurazione avanzata: selezionare la casella di controllo Abilita configurazione LDAP avanzata per visualizzare le opzioni di configurazione avanzata di LDAP. Utilizzare la configurazione avanzata se lo schema LDAP non dispone dell'attributo del nome distinto o se utilizza posixGroups.
      • Filtro gruppo: il valore da utilizzare per eseguire query e identificare gruppi. Questo valore è obbligatorio se lo schema LDAP non dispone dell'attributo del nome distinto.

        Ad esempio: cn

      • Filtro utente: il valore da utilizzare per eseguire query sugli utenti e identificarli. Questo valore è obbligatorio se lo schema LDAP non dispone dell'attributo del nome distinto.

        Ad esempio: uid

      • Filtro mappatura appartenenza utente: (facoltativo) questa opzione è in genere necessaria per le directory LDAP che utilizzano posixGroups. L'opzione Filtro mappatura appartenenza utente viene utilizzata per eseguire query sugli utenti e identificare quelli restituiti dall'attributo di appartenenza.

        Ad esempio: uidNumber

    Crittografia Se la directory LDAP richiede l'accesso tramite SSL, selezionare la casella di controllo Richiedi LDAPS per tutte le connessioni e copiare e incollare nella casella di testo Certificati SSL il certificato SSL della CA root del server della directory LDAP. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".
    Dettagli utente bind Nome distinto di base: immettere il DN da cui iniziare le ricerche. Ad esempio, cn=users,dc=example,dc=com
    DN utente di binding: immettere il nome utente da utilizzare per il binding con la directory LDAP.
    Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.

    Password utente bind: immettere la password per l'utente bind.

  5. Nella sezione Seleziona dominio, verificare che sia presente il dominio corretto, quindi fare clic su Salva.
  6. Nella sezione Mappa attributi utente, verificare che gli attributi di Workspace ONE Access siano mappati agli attributi della directory LDAP corretti e apportare le modifiche eventualmente necessarie.

    Questi attributi saranno sincronizzati per gli utenti.

    Importante: È necessario specificare un'associazione per l'attributo dominio.

    È possibile aggiungere attributi e gestire l'elenco degli attributi obbligatori dalla pagina Impostazioni > Attributi utente.

    Importante: Se un attributo è contrassegnato come obbligatorio, il suo valore deve essere impostato per tutti gli utenti che si desidera sincronizzare. I record degli utenti che non includono alcun valore per gli attributi obbligatori non verranno sincronizzati.
  7. Nella sezione Sincronizza gruppi aggiungere i gruppi che si desidera sincronizzare. Vedere Selezione di utenti e gruppi da sincronizzare con la directory di Workspace ONE Access.
  8. Nella sezione Sincronizza utenti aggiungere gli utenti che si desidera sincronizzare. Vedere Selezione di utenti e gruppi da sincronizzare con la directory di Workspace ONE Access.
  9. Nella sezione Frequenza di sincronizzazione, configurare una pianificazione di sincronizzazione per sincronizzare utenti e gruppi a intervalli regolari oppure selezionare Manualmente nel menu a discesa Frequenza di sincronizzazione se non si desidera impostare una pianificazione.
    L'ora è impostata in UTC.
    Suggerimento: Pianificare gli intervalli di sincronizzazione in modo che siano più lunghi del tempo necessario per sincronizzare la directory. Se si stanno sincronizzando utenti e gruppi con la directory proprio nel momento in cui è pianificata la sincronizzazione successiva, la nuova sincronizzazione viene avviata immediatamente dopo la fine della sincronizzazione precedente. Con questa pianificazione, il processo di sincronizzazione è continuo.
    Se si seleziona Manualmente, è necessario selezionare Sincronizza > Sincronizza con protezioni o Sincronizza > Sincronizza senza protezioni nella pagina della directory ogni volta che si desidera sincronizzare la directory.
  10. Fare clic su Salva per creare la directory o su Salva e sincronizza per creare la directory e iniziare a sincronizzarla.

risultati

Viene stabilita la connessione alla directory LDAP. Se si fa clic su Salva e sincronizza, i nomi degli utenti e dei gruppi vengono sincronizzati dalla directory LDAP alla directory di Workspace ONE Access.

Per ulteriori informazioni su come i gruppi vengono sincronizzati, vedere "Gestione di utenti e gruppi" in Amministrazione di VMware Workspace ONE Access.

Operazioni successive

  • Se si imposta l'opzione Autenticazione su Imposta l'autenticazione con password per questa directory, per la directory vengono creati automaticamente un provider di identità denominato IDP per directoryname e un metodo di autenticazione Password (distribuzione cloud). È possibile visualizzarli nelle pagine Integrazioni > Provider di identità e Integrazioni > Metodi di autenticazione del connettore. È inoltre possibile creare più metodi di autenticazione per la directory dalle pagine Metodi di autenticazione connettore e Metodi di autenticazione. Per informazioni sulla creazione di metodi di autenticazione, vedere Gestione dei metodi di autenticazione degli utenti in Workspace ONE Access.
  • Rivedere il criterio di accesso predefinito nella pagina Risorse > Criteri.
  • Rivedere le impostazioni di protezione della sincronizzazione predefinite e apportare le modifiche eventualmente necessarie. Per informazioni, vedere Configurazione delle protezioni della sincronizzazione della directory in Workspace ONE Access.