È possibile integrare il servizio Workspace ONE Access in un ambiente Active Directory composto da un singolo dominio Active Directory, più domini in una singola foresta Active Directory o più domini in più foreste Active Directory.

Ambiente con singolo dominio Active Directory

Con una singola distribuzione del dominio Active Directory, è possibile sincronizzare utenti e gruppi da un singolo dominio Active Directory.

Per questo ambiente, creare una directory di tipo Active Directory su LDAP nel servizio di Workspace ONE Access.

Per ulteriori informazioni, vedere:

Ambiente con foresta Active Directory singola e multidominio

In una distribuzione con più domini in una singola foresta Active Directory, è possibile sincronizzare utenti e gruppi di più domini Active Directory con una singola foresta.

Per questo ambiente, nel servizio di Workspace ONE Access è possibile creare un'unica directory Active Directory su Autenticazione integrata di Windows o una directory Active Directory su LDAP configurata con l'opzione di catalogo globale.
  • L'opzione consigliata è la creazione di un'unica directory Active directory con Autenticazione integrata di Windows.

    Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory su Autenticazione integrata di Windows. Assicurarsi che una relazione di attendibilità bidirezionale (non transitiva) diretta sia configurata tra i domini della directory e il dominio a cui appartiene l'utente di binding della directory.

    Per ulteriori informazioni, vedere:

  • Se l'Autenticazione integrata di Windows non funziona nel proprio ambiente di Active Directory, creare una directory Active Directory su LDAP e selezionare l'opzione del catalogo globale.

    Tra le limitazioni della selezione dell'opzione del catalogo globale vi sono:

    • Gli attributi dell'oggetto di Active Directory che sono replicati sul catalogo globale sono identificati nello schema Active Directory come serie di attributi parziale (PAS, partial attribute set). Solo questi attributi sono disponibili per l'associazione degli attributi mediante il servizio. Se necessario, modificare lo schema per aggiungere o rimuovere gli attributi memorizzati nel catalogo globale.
    • Il catalogo globale memorizza l'appartenenza al gruppo (l'attributo member) solo dei gruppi universali. Solo i gruppi universali sono sincronizzati con il servizio. Se necessario, modificare l'ambito di un gruppo da un dominio locale o globale a universale.
    • L'account del Nome distinto di binding che viene definito quando si configura una directory nel servizio deve disporre delle autorizzazioni di lettura dell'attributo Token-Groups-Global-And-Universal (TGGAU).
    • Quando Workspace ONE UEM è integrato con Workspace ONE Access e sono configurati più gruppi di organizzazioni Workspace ONE UEM, l'opzione Catalogo globale di Active Directory non può essere usata.

    Active Directory utilizza le porte 389 e 636 per le query LDAP standard. Per le query del catalogo globale, vengono invece utilizzate le porte 3268 e 3269.

    Se si aggiunge una directory per l'ambiente del catalogo globale, durante la configurazione specificare quanto riportato di seguito.

    • Selezionare l'opzione Active Directory su LDAP.
    • Deselezionare la casella di controllo per l'opzione Questa directory supporta la posizione servizio DNS.
    • Selezionare l'opzione Questa directory dispone di un catalogo globale. Se si seleziona questa opzione, il numero di porta del server cambia automaticamente in 3268. Inoltre, poiché il Nome distinto di base non è necessario durante la configurazione dell'opzione del catalogo globale, la casella di testo Nome distinto di base non viene visualizzata.
    • Aggiungere il nome host del server Active Directory.
    • Se Active Directory richiede un accesso s SSL, selezionare l'opzione Questa directory richiede che tutte le connessioni utilizzino SSL e incollare il certificato nella casella di testo fornita. Se si seleziona questa opzione, il numero di porta del server cambia automaticamente in 3269.

Ambiente Active Directory multiforesta con relazioni di trust

In una distribuzione di Active Directory con più foreste e relazioni di attendibilità, è possibile sincronizzare utenti e gruppi di più domini Active Directory tra le foreste in cui esiste una relazione di attendibilità bidirezionale tra i domini. Nel servizio di Workspace ONE Access, per questo ambiente Active Directory, creare una singola directory Active Directory su Autenticazione integrata di Windows.

Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory su Autenticazione integrata di Windows. Assicurarsi che una relazione di attendibilità bidirezionale (non transitiva) diretta sia configurata tra i domini della directory e il dominio a cui appartiene l'utente di binding della directory.

Per ulteriori informazioni, vedere:

Ambiente Active Directory multiforesta senza relazioni di trust

In una distribuzione di Active Directory con più foreste senza relazioni di attendibilità, è possibile sincronizzare utenti e gruppi di più domini Active Directory tra le foreste senza una relazione di attendibilità tra i domini. Per questo ambiente occorre creare più directory nel servizio di Workspace ONE Access, una per ogni foresta.

Il tipo di directory create nel servizio di Workspace ONE Access dipende dalla foresta. Per foreste con domini multipli, selezionare l'opzione Active Directory su Autenticazione integrata di Windows. Per una foresta con dominio singolo, selezionare l'opzione Active Directory su LDAP.

Per ulteriori informazioni, vedere: