In Workspace ONE Access, è possibile convertire una directory di tipo Altro, che include gli utenti e i gruppi sincronizzati da Workspace ONE UEM, in una directory di tipo Active Directory su LDAP o Active Directory su autenticazione integrata di Windows, che sono associate a Workspace ONE Access Connector. Dopo la conversione della directory, viene utilizzato il servizio di sincronizzazione directory di Workspace ONE Access Connector anziché ACC per sincronizzare utenti e gruppi della directory Enterprise con il servizio Workspace ONE Access.
Prerequisiti
- Installare il servizio Sincronizzazione directory e il servizio di autenticazione degli utenti, che sono componenti di Workspace ONE Access Connector a partire dalla versione 20.01.0.0. Per informazioni, vedere la versione più recente di Installazione di VMware Workspace ONE Access Connector.
- Sono necessarie le informazioni seguenti relative ad Active Directory:
- Se si esegue la conversione in Active Directory su LDAP, è necessario specificare il DN di base, nonché il DN e la password dell'utente di binding.
L'utente di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo:
- Lettura
- Lettura di tutte le proprietà
- Autorizzazioni di lettura
È consigliabile utilizzare un account utente di binding con una password che non scada mai.
- Per la conversione ad Active Directory su Autenticazione integrata di Windows, sono necessari il nome utente e la password dell'utente di binding che dispone dell'autorizzazione per eseguire query in utenti e gruppi per i domini richiesti.
L'utente di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo:
- Lettura
- Lettura di tutte le proprietà
- Autorizzazioni di lettura
È consigliabile utilizzare un account utente di binding con una password che non scada mai.
- Se Active Directory richiede l'accesso su SSL/TLS, sono necessari i certificati intermedi (se in uso) e CA root dei controller di dominio per tutti i domini di Active Directory pertinenti. Se i controller di dominio dispongono di certificati provenienti da più autorità di certificazione che utilizzano certificati intermedi e root, sono necessari tutti i certificati intermedi e CA root.
- Per Active Directory su Autenticazione integrata di Windows, se sono configurate più foreste di Active Directory e il gruppo Dominio locale contiene membri di domini di altre foreste, assicurarsi che l'utente di binding sia aggiunto al gruppo Amministratori del dominio in cui si trova il gruppo Dominio locale. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale.
- Per Active Directory (autenticazione integrata di Windows):
- Per tutti i controller di dominio elencati nei record SRV e i controller di dominio di sola lettura nascosti, nslookup del nome host e indirizzo IP dovrebbero funzionare.
- Tutti i controller di dominio devono essere raggiungibili in termini di connettività di rete.
Procedura
- Nella console di Workspace ONE Access, selezionare .
- Fare clic sulla directory che si desidera convertire.
- Nella pagina della directory, fare clic su Converti.
- Modificare il nome della directory, se necessario, e selezionare il tipo di directory in cui si desidera convertire la directory di tipo Altra directory, ovvero Active Directory su LDAP o Active Directory su Autenticazione integrata di Windows.
- Immettere le informazioni relative alla connessione di Active Directory e continuare la procedura guidata per configurare la directory.
Il processo è uguale a quello per la creazione di una nuova directory. Per ulteriori informazioni, vedere
Configurazione della connessione di Active Directory in Workspace ONE Access.
Seguire queste linee guida durante la configurazione della directory.
- Nella sezione Sincronizzazione e autenticazione directory, per Host di sincronizzazione directory, selezionare il servizio di sincronizzazione directory installato.
Sono elencate tutte le istanze del connettore in cui è installato il servizio di sincronizzazione directory. È possibile selezionare più istanze. Workspace ONE Access utilizza la prima istanza selezionata nell'elenco per sincronizzare la directory. Se la prima istanza non è disponibile, viene utilizzata la seconda istanza selezionata e così via. Dopo aver creato la directory, è possibile riordinare l'elenco dalla pagina Impostazioni di sincronizzazione della directory.
- In Autenticazione, selezionare Imposta l'autenticazione con password per questa directory. Quindi, in Host di autenticazione utente selezionare le istanze del servizio di autenticazione utente da utilizzare per l'autenticazione.
- Assicurarsi di configurare la directory convertita come la directory di Workspace ONE UEM, in modo che abbia la stessa struttura. Selezionare gli stessi domini. Quando si specificano gli utenti e i gruppi da sincronizzare, effettuare selezioni analoghe a quelle della directory di Workspace ONE UEM in modo che nella directory convertita vengano sincronizzati gli stessi utenti e gruppi.
- Assicurarsi di impostare l'ID esterno sullo stesso attributo su cui è impostato in Workspace ONE UEM.
- Nell'ultima pagina della procedura guidata, fare clic su Salva e sincronizza.
La directory viene convertita e configurata per utilizzare il servizio di sincronizzazione directory per sincronizzare utenti e gruppi. Se si imposta l'opzione
Autenticazione su
Imposta l'autenticazione con password per questa directory, per la directory vengono creati automaticamente un provider di identità denominato
IDP per directoryname e un metodo di autenticazione Password (distribuzione cloud).
- (Facoltativo) Per configurare altri metodi di autenticazione per la directory, passare alla pagina e creare metodi di autenticazione per la directory.
- Modificare il default_access_policy_set e tutti i criteri personalizzati per sostituire il metodo di autenticazione Password (AirWatch Connector) con Password (distribuzione cloud).
- Selezionare .
- Fare clic Modifica criterio predefinito, quindi fare clic su Configurazione nella procedura guidata Modifica criteri.
- Modificare ogni regola del criterio e sostituire il metodo di autenticazione Password (AirWatch Connector) con Password (distribuzione cloud).
- Nella pagina Criteri modificare i criteri personalizzati, se presenti, per sostituire il metodo di autenticazione Password (AirWatch Connector) con Password (distribuzione cloud).
- (Facoltativo) Modificare i criteri per utilizzare metodi di autenticazione aggiuntivi, come opportuno.
Importante: Se non si modifica Password (AirWatch Connector) con Password (distribuzione cloud) o un altro metodo di autenticazione del servizio autenticazione utente, gli utenti della directory convertita non potranno accedere.
Operazioni successive
Interrompere la sincronizzazione della directory da Workspace ONE UEM alla directory convertita.