È possibile integrare Workspace ONE Access con la distribuzione di Active Directory per sincronizzare utenti e gruppi di Active Directory con il servizio Workspace ONE Access. Il tipo di ambiente di Active Directory in uso determina il tipo di directory creata nel servizio Workspace ONE Access.

Ambienti Active Directory

È possibile integrare il servizio Workspace ONE Access in un ambiente Active Directory composto da un singolo dominio Active Directory, più domini in una singola foresta Active Directory o più domini in più foreste Active Directory.

Ambiente con singolo dominio Active Directory

Con una singola distribuzione del dominio Active Directory, è possibile sincronizzare utenti e gruppi da un singolo dominio Active Directory.

Per questo ambiente, è possibile creare una directory di tipo Active Directory su LDAP o di tipo Active Directory su Autenticazione integrata di Windows nel servizio Workspace ONE Access.

Per ulteriori informazioni, vedere:

Ambiente con foresta Active Directory singola e multidominio

In una distribuzione con più domini in una singola foresta Active Directory, è possibile sincronizzare utenti e gruppi di più domini Active Directory con una singola foresta.

Per questo ambiente, nel servizio Workspace ONE Access è possibile creare un'unica directory Active Directory su Autenticazione integrata di Windows o una directory Active Directory su LDAP configurata con l'opzione del catalogo globale.
  • L'opzione consigliata è la creazione di un'unica directory Active directory con Autenticazione integrata di Windows.

    Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory su Autenticazione integrata di Windows. Assicurarsi che una relazione di attendibilità bidirezionale (non transitiva) diretta sia configurata tra i domini della directory e il dominio a cui appartiene l'utente di binding della directory.

    Per ulteriori informazioni, vedere:

  • Se l'Autenticazione integrata di Windows non funziona nel proprio ambiente di Active Directory, creare una directory Active Directory su LDAP e selezionare l'opzione del catalogo globale.

    Le limitazioni della selezione dell'opzione del catalogo globale includono:

    • Gli attributi dell'oggetto di Active Directory che sono replicati sul catalogo globale sono identificati nello schema Active Directory come serie di attributi parziale (PAS, partial attribute set). Solo questi attributi sono disponibili per l'associazione degli attributi mediante il servizio. Se necessario, modificare lo schema per aggiungere o rimuovere gli attributi memorizzati nel catalogo globale.
    • Il catalogo globale memorizza l'appartenenza al gruppo (l'attributo member) solo dei gruppi universali. Solo i gruppi universali sono sincronizzati con il servizio. Se necessario, modificare l'ambito di un gruppo da un dominio locale o globale a universale.
    • L'account del Nome distinto di binding che viene definito quando si configura una directory nel servizio deve disporre delle autorizzazioni di lettura dell'attributo Token-Groups-Global-And-Universal (TGGAU).
    • Gli utenti possono eseguire la sincronizzazione con la directory del catalogo globale di Workspace ONE Access da più domini di Active Directory, direttamente o tramite appartenenze ai gruppi. È necessario assicurarsi che nessun'altra directory nel tenant di Workspace ONE Access sincronizzi gli utenti degli stessi domini. In caso contrario, il conflitto può causare errori di sincronizzazione.
    • Quando Workspace ONE UEM è integrato con Workspace ONE Access e sono configurati più gruppi di organizzazioni Workspace ONE UEM, l'opzione Catalogo globale di Active Directory non può essere usata.

    Active Directory utilizza le porte 389 e 636 per le query LDAP standard. Per le query del catalogo globale, vengono invece utilizzate le porte 3268 e 3269.

Ambiente Active Directory multiforesta con relazioni di trust

In una distribuzione di Active Directory con più foreste e relazioni di attendibilità, è possibile sincronizzare utenti e gruppi di più domini Active Directory tra le foreste in cui esiste una relazione di attendibilità bidirezionale tra i domini. Nel servizio di Workspace ONE Access, per questo ambiente Active Directory, creare una singola directory Active Directory su Autenticazione integrata di Windows.

Quando si aggiunge una directory per questo ambiente, selezionare l'opzione Active Directory su Autenticazione integrata di Windows. Assicurarsi che una relazione di attendibilità bidirezionale (non transitiva) diretta sia configurata tra i domini della directory e il dominio a cui appartiene l'utente di binding della directory.

Per ulteriori informazioni, vedere:

Ambiente Active Directory multiforesta senza relazioni di trust

In una distribuzione di Active Directory con più foreste senza relazioni di attendibilità, è possibile sincronizzare utenti e gruppi di più domini Active Directory tra le foreste senza una relazione di attendibilità tra i domini. Per questo ambiente occorre creare più directory nel servizio di Workspace ONE Access, una per ogni foresta.

Per ulteriori informazioni, vedere: