In Workspace ONE Access, è possibile convertire una directory di tipo Altro, che include gli utenti e i gruppi sincronizzati da Workspace ONE UEM, in una directory di tipo Active Directory su LDAP o Active Directory su autenticazione integrata di Windows, che sono associate a Workspace ONE Access Connector. Dopo la conversione della directory, viene utilizzato il servizio di sincronizzazione directory di Workspace ONE Access Connector anziché ACC per sincronizzare utenti e gruppi della directory Enterprise con il servizio Workspace ONE Access.

Prerequisiti

  • Installare il servizio Sincronizzazione directory e il servizio di autenticazione degli utenti, che sono componenti di Workspace ONE Access Connector a partire dalla versione 20.01.0.0. Per informazioni, vedere la versione più recente di Installazione di VMware Workspace ONE Access Connector.
  • Sono necessarie le informazioni seguenti relative ad Active Directory:
    • Se si esegue la conversione in Active Directory su LDAP, è necessario specificare il DN di base, nonché il DN e la password dell'utente di binding.

      L'utente di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo:

      • Lettura
      • Lettura di tutte le proprietà
      • Autorizzazioni di lettura

      È consigliabile utilizzare un account utente di binding con una password che non scada mai.

    • Per la conversione ad Active Directory su Autenticazione integrata di Windows, sono necessari il nome utente e la password dell'utente di binding che dispone dell'autorizzazione per eseguire query in utenti e gruppi per i domini richiesti.

      L'utente di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo:

      • Lettura
      • Lettura di tutte le proprietà
      • Autorizzazioni di lettura

      È consigliabile utilizzare un account utente di binding con una password che non scada mai.

    • Se Active Directory richiede l'accesso su SSL/TLS, sono necessari i certificati intermedi (se in uso) e CA root dei controller di dominio per tutti i domini di Active Directory pertinenti. Se i controller di dominio dispongono di certificati provenienti da più autorità di certificazione che utilizzano certificati intermedi e root, sono necessari tutti i certificati intermedi e CA root.
    • Per Active Directory su Autenticazione integrata di Windows, se sono configurate più foreste di Active Directory e il gruppo Dominio locale contiene membri di domini di altre foreste, assicurarsi che l'utente di binding sia aggiunto al gruppo Amministratori del dominio in cui si trova il gruppo Dominio locale. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale.
    • Per Active Directory (autenticazione integrata di Windows):
      • Per tutti i controller di dominio elencati nei record SRV e i controller di dominio di sola lettura nascosti, nslookup del nome host e indirizzo IP dovrebbero funzionare.
      • Tutti i controller di dominio devono essere raggiungibili in termini di connettività di rete.

Procedura

  1. Nella console di Workspace ONE Access, passare alla pagina Gestione identità e accessi > Gestisci > Directory.
  2. Fare clic sulla directory che si desidera convertire.
  3. Nella pagina della directory, fare clic sul pulsante Converti.
  4. Nella pagina Aggiungi directory, modificare il nome della directory, se necessario, e selezionare il tipo di directory in cui si desidera convertire la directory di tipo Altra directory, ovvero Active Directory su LDAP o Active Directory su Autenticazione integrata di Windows.
  5. Immettere le informazioni relative alla connessione di Active Directory e continuare la procedura guidata per configurare la directory.
    Il processo è uguale a quello per la creazione di una nuova directory. Per ulteriori informazioni, vedere Configurazione della connessione di Active Directory al servizio Workspace ONE Access.

    Seguire queste linee guida durante la configurazione della directory.

    • Nella sezione Sincronizzazione e autenticazione directory, per Host di sincronizzazione directory, selezionare il servizio di sincronizzazione directory installato.

      Sono elencate tutte le istanze del connettore in cui è installato il servizio di sincronizzazione directory. È possibile selezionare più istanze. Workspace ONE Access utilizza la prima istanza selezionata nell'elenco per sincronizzare la directory. Se la prima istanza non è disponibile, viene utilizzata la seconda istanza selezionata e così via. Dopo aver creato la directory, è possibile riordinare l'elenco dalla pagina Impostazioni di sincronizzazione della directory.

    • Per Autenticazione, selezionare . Selezionare anche le istanze del servizio di autenticazione utente da utilizzare per l'autenticazione.
    • Assicurarsi di configurare la directory convertita come la directory di Workspace ONE UEM, in modo che abbia la stessa struttura. Selezionare gli stessi domini. Quando si specificano gli utenti e i gruppi da sincronizzare, effettuare selezioni analoghe a quelle della directory di Workspace ONE UEM in modo che nella directory convertita vengano sincronizzati gli stessi utenti e gruppi.
    • Assicurarsi di impostare l'ID esterno sullo stesso attributo su cui è impostato in Workspace ONE UEM.
  6. Nell'ultima pagina della procedura guidata, fare clic su Sincronizza directory.
    La directory viene convertita e configurata per utilizzare il servizio di sincronizzazione directory per sincronizzare utenti e gruppi. Se si imposta l'opzione di autenticazione su Sì, per la directory vengono creati automaticamente un provider di identità denominato IDP per directoryname e un metodo di autenticazione Password (distribuzione cloud).
  7. (Facoltativo) Per abilitare altri metodi di autenticazione per la directory, passare alla pagina Gestione identità e accessi > Gestisci > Metodi di autenticazione Enterprise e creare metodi di autenticazione per la directory.
  8. Modificare il default_access_policy_set e tutti i criteri personalizzati per sostituire il metodo di autenticazione Password (AirWatch Connector) con Password (distribuzione cloud).
    1. Passare alla scheda Gestione identità e accessi > Gestisci > Criteri.
    2. Fare clic Modifica criterio predefinito, quindi fare clic su Configurazione nella procedura guidata Modifica criteri.
    3. Modificare ogni regola del criterio e sostituire il metodo di autenticazione Password (AirWatch Connector) con Password (distribuzione cloud).
    4. Fare di nuovo clic sulla scheda Criteri e modificare i criteri personalizzati, se presenti, per sostituire il metodo di autenticazione Password (AirWatch Connector) con Password (distribuzione cloud).
    5. (Facoltativo) Modificare i criteri per utilizzare metodi di autenticazione aggiuntivi, come opportuno.
    Importante: Se non si modifica Password (AirWatch Connector) con Password (distribuzione cloud) o un altro metodo di autenticazione del servizio autenticazione utente, gli utenti della directory convertita non potranno accedere.

Operazioni successive

Interrompere la sincronizzazione della directory da Workspace ONE UEM alla directory convertita.