È possibile integrare la directory LDAP dell'azienda con VMware Workspace ONE Access per sincronizzare utenti e gruppi dalla directory LDAP al servizio di VMware Workspace ONE Access.

Per l'integrazione con la directory LDAP, è necessario creare una directory di VMware Workspace ONE Access corrispondente e sincronizzare utenti e gruppi dalla directory LDAP alla directory di VMware Workspace ONE Access. È possibile impostare una pianificazione di sincronizzazione regolare per gli aggiornamenti successivi.

Si possono anche selezionare gli attributi LDAP che si desidera sincronizzare per gli utenti e associarli ad attributi di VMware Workspace ONE Access.

La configurazione della directory LDAP potrebbe essere basata su schemi predefiniti o personalizzati. Può inoltre disporre di attributi personalizzati. Affinché VMware Workspace ONE Access possa eseguire query nella directory LDAP per ottenere oggetti utente o gruppo, è necessario fornire i filtri di ricerca LDAP e i nomi degli attributi applicabili alla directory LDAP.

Nello specifico, è necessario fornire la seguenti informazioni.

  • Filtri di ricerca LDAP per ottenere gruppi, utenti e l'utente di binding
  • Nomi degli attributi LDAP per l'appartenenza al gruppo, UUID e nome distinto o attributo equivalente

La funzionalità di integrazione della directory LDAP è soggetta a specifiche limitazioni. Vedere Limitazioni dell'integrazione della directory LDAP.

Prerequisiti

  • Rivedere gli attributi nella pagina Gestione identità e accessi > Configura > Attributi utente e aggiungere gli altri attributi che si desidera sincronizzare. Gli attributi di VMware Workspace ONE Access vengono mappati con quelli della directory LDAP in fase di creazione della directory. Gli attributi vengono sincronizzati per gli utenti nella directory.
    Nota: Quando si apportano modifiche agli attributi degli utenti, considerare l'effetto sulle altre directory nel servizio Workspace ONE Access. Se si pianifica di aggiungere sia Active Directory che directory LDAP, assicurarsi di non contrassegnare alcun attributo come obbligatorio, eccetto userName, che può essere contrassegnato come obbligatorio. Le impostazioni nella pagina Attributi utente si applicano a tutte le directory nel servizio. Se un attributo è contrassegnato come obbligatorio, gli utenti senza l'attributo non vengono sincronizzati nel servizio di VMware Workspace ONE Access.
  • Un account utente Nome distinto di binding. L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.
  • Nella directory LDAP, gli UUID di utenti e gruppi devono essere in formato testo normale.
  • Nella directory LDAP, per tutti gli utenti e i gruppi deve esistere un attributo di dominio.

    Questo attributo viene associato all'attributo dominio di VMware Workspace ONE Access quando si crea la directory di VMware Workspace ONE Access.

  • I nomi utente non devono contenere spazi. Se un nome utente contiene spazi, l'utente viene sincronizzato ma i permessi non saranno disponibili per l'utente.
  • Se si utilizza l'autenticazione con certificato, per gli utenti devono essere impostati valori per gli attributi userPrincipalName e indirizzo e-mail.

Procedura

  1. Nella console di Workspace ONE Access, passare alla pagina Gestione identità e accessi > Gestisci > Directory.
  2. Fare clic su Aggiungi directory e selezionare Aggiungi directory LDAP.
  3. Immettere le informazioni richieste nella pagina Aggiungi directory.
    Opzione Descrizione
    Nome directory Immettere un nome per la directory di VMware Workspace ONE Access.
    Sincronizzazione e autenticazione directory
    1. Per Host di sincronizzazione directory, selezionare una o più istanze del servizio di sincronizzazione directory da utilizzare per sincronizzare questa directory. Sono elencate tutte le istanze del servizio di sincronizzazione directory registrate nel tenant. È possibile selezionare solo le istanze in stato attivo.

      Se si selezionano più istanze, Workspace ONE Access utilizza la prima istanza selezionata nell'elenco per sincronizzare la directory. Se la prima istanza non è disponibile, viene utilizzata la seconda istanza selezionata e così via. Dopo aver creato la directory, è possibile riordinare l'elenco dalla pagina Impostazioni di sincronizzazione della directory.

    2. Per Autenticazione, selezionare se si desidera autenticare gli utenti di questa directory con il servizio di autenticazione utente. Il servizio di autenticazione utente deve essere già installato. Se si seleziona , per la directory vengono creati automaticamente il metodo di autenticazione Password (distribuzione cloud) e un fornitore di identità.

      Selezionare No se non si desidera autenticare gli utenti di questa directory con il servizio di autenticazione utente. Se si decide di utilizzare il servizio di autenticazione utente in un secondo momento, è possibile creare manualmente il metodo di autenticazione Password (distribuzione cloud) e il fornitore di identità per la directory.

    3. L'opzione Servizi di autenticazione utente viene visualizzata quando Autenticazione è impostata su . Selezionare una o più istanze del servizio di autenticazione utente da utilizzare per autenticare gli utenti di questa directory. Sono elencate tutte le istanze del servizio di autenticazione utente registrate nel tenant e che si trovano nello stato attivo.

      Se si selezionano più istanze, Workspace ONE Access invia le richieste di autenticazione alle istanze selezionate nell'ordine round-robin.

    4. Nella casella di testo Nome utente selezionare l'attributo della directory LDAP da utilizzare per il nome utente. Se l'attributo non è elencato, selezionare Personalizzato e digitare il nome dell'attributo personalizzato da utilizzare per gli utenti e i gruppi. Ad esempio, cn.
    Posizione server Immettere l'host del server e il numero di porta della directory LDAP. Per l'host del server, è possibile specificare sia il nome di dominio completo che l'indirizzo IP. Ad esempio, serverLDAP.esempio.com o 100.00.00.0.

    Se è presente un cluster di server con il bilanciamento del carico, immettere invece le informazioni sul bilanciamento.

    Configurazione LDAP Specificare i filtri di ricerca LDAP e gli attributi che possono essere utilizzati da VMware Workspace ONE Access per interrogare la propria directory LDAP. I valori predefiniti sono forniti in base allo schema LDAP principale.

    Query filtro

    • Gruppi: il filtro di ricerca per ottenere gli oggetti gruppo.

      Ad esempio: (objectClass=groupOfNames)

    • Utente bind: il filtro di ricerca per ottenere l'oggetto utente bind, ovvero l'utente che può eseguire il binding alla directory.

      Ad esempio: (objectClass=person)

    • Utenti: il filtro di ricerca per ottenere gli utenti da sincronizzare.

      Ad esempio: (&(objectClass=user)(objectCategory=person))

    Attributi

    • Appartenenza: questo attributo è utilizzato nella directory LDAP per definire i membri di un gruppo.

      Ad esempio: member

    • UUID oggetto: l'attributo utilizzato nella directory LDAP per definire l'UUID per un oggetto utente o gruppo.

      Ad esempio: entryUUID

    • Nome distinto: (facoltativo) l'attributo che viene utilizzato nella directory LDAP per il nome distinto di un utente o un gruppo.

      Ad esempio: dn

      Per impostazione predefinita, l'attributo del nome distinto viene utilizzato per identificare in modo univoco gli oggetti utente e gruppo. Se lo schema LDAP non dispone dell'attributo del nome distinto, selezionare l'opzione Abilita configurazione LDAP avanzata e immettere i valori da utilizzare per identificare i gruppi e gli utenti.

    • Abilita configurazione LDAP avanzata: selezionare la casella di controllo per visualizzare le opzioni della configurazione LDAP avanzata. Utilizzare la configurazione avanzata se lo schema LDAP non dispone dell'attributo del nome distinto o se utilizza posixGroups.
      • Filtro gruppo: il valore da utilizzare per eseguire query e identificare gruppi. Questo valore è obbligatorio se lo schema LDAP non dispone dell'attributo del nome distinto.

        Ad esempio: cn

      • Filtro utente: il valore da utilizzare per eseguire query sugli utenti e identificarli. Questo valore è obbligatorio se lo schema LDAP non dispone dell'attributo del nome distinto.

        Ad esempio: uid

      • Filtro mappatura appartenenza utente: (facoltativo) questa opzione è in genere necessaria per le directory LDAP che utilizzano posixGroups. L'opzione Filtro mappatura appartenenza utente viene utilizzata per eseguire query sugli utenti e identificare quelli restituiti dall'attributo di appartenenza.

        Ad esempio: uidNumber

    Certificati Se la directory LDAP richiede l'accesso tramite SSL, selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino SSL e copiare e incollare nella casella di testo il certificato SSL CA root del server della directory LDAP. Assicurarsi che il certificato sia in formato PEM e includere le righe "BEGIN CERTIFICATE" e "END CERTIFICATE".
    Dettagli utente bind Nome distinto di base: immettere il DN da cui iniziare le ricerche. Ad esempio, cn=users,dc=example,dc=com
    DN utente di binding: immettere il nome utente da utilizzare per il binding con la directory LDAP.
    Nota: L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.

    Password utente bind: immettere la password per l'utente bind.

  4. Fare clic su Salva e avanti.
  5. Verificare che il dominio corretto sia elencato nella pagina Domini e fare clic su Avanti.
  6. Nella pagina Mappa attributi, verificare che gli attributi di VMware Workspace ONE Access siano associati agli attributi della directory LDAP corretti e apportare modifiche se necessario.

    Questi attributi saranno sincronizzati per gli utenti.

    Importante: È necessario specificare un'associazione per l'attributo dominio.

    È possibile aggiungere attributi e gestire l'elenco degli attributi richiesti dalla pagina Configurazione > Attributi utente.

  7. Fare clic su Avanti.
  8. Selezionare i gruppi che si desidera sincronizzare dalla directory LDAP alla directory di Workspace ONE Access.
    Quando si aggiungono gruppi, tenere presenti le considerazioni seguenti.
    • È consigliabile aggiungere e sincronizzare un numero limitato di gruppi quando si crea una directory. Dopo la configurazione iniziale, è possibile aggiungere altri gruppi.
    • Quando vengono aggiunti e sincronizzati i gruppi, i nomi dei gruppi vengono sincronizzati con la directory. Gli utenti che sono membri del gruppo non vengono sincronizzati con la directory fino a quando il gruppo è autorizzato per un'applicazione o il nome del gruppo viene aggiunto a una regola del criterio di accesso.
      Nota: È possibile eseguire l'override di questa restrizione abilitando l'opzione Sincronizza membri del gruppo con la directory all'aggiunta del gruppo nella pagina Gestione identità e accessi > Configurazione > Preferenze.
    • Se nella directory LDAP sono presenti più gruppi con lo stesso nome, sarà necessario specificare nomi univoci sulla relativa pagina.
    Per selezionare i gruppi, specificare uno o più DN e selezionare i gruppi in essi contenuti.
    1. Nella riga Specificare i DN gruppo, fare clic su + e specificare il DN del gruppo. Ad esempio, CN=users,DC=example,DC=company,DC=com.
      Suggerimento: Non è consigliabile immettere un DN di alto livello come il DN di base in cui cercare, poiché la ricerca richiederà molto tempo. Provare a immettere un DN più specifico in cui cercare.
      Importante: Specificare i DN di gruppo che si trovano sotto il DN di base immesso nella casella di testo DN di base nella pagina Aggiungi directory. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.
    2. Se si desidera selezionare tutti i gruppi nel DN di gruppo, fare clic su Seleziona tutto.
      Se vengono aggiunti o eliminati gruppi nel DN del gruppo in Active Directory dopo la creazione della directory, le modifiche si rifletteranno sulle sincronizzazioni successive.
    3. Se si desidera selezionare gruppi specifici nel DN di gruppo anziché selezionarli tutti, fare clic su Seleziona, effettuare le selezioni e fare clic su Salva.
      Quando si fa clic su Seleziona, vengono elencati tutti i gruppi trovati nel DN. È possibile restringere i risultati o cercare gruppi specifici immettendo un termine di ricerca nella casella di ricerca.
    4. Selezionare o deselezionare l'opzione Sincronizza membri del gruppo nidificati, se necessario.
      Per impostazione predefinita, l'opzione Sincronizza membri del gruppo nidificati è abilitata. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati quando il gruppo viene autorizzato. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di Workspace ONE Access, questi utenti saranno membri del gruppo principale selezionato per la sincronizzazione.

      Se l'opzione Sincronizza membri del gruppo nidificati è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo verranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e di tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti.

  9. Fare clic su Avanti.
  10. Selezionare gli utenti da sincronizzare.
    Quando si aggiungono utenti, tenere presenti le considerazioni seguenti:
    • Poiché i membri nei gruppi non vengono sincronizzati con la directory finché il gruppo non viene autorizzato per le applicazioni o aggiunto a una regola del criterio di accesso, aggiungere tutti gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo.
    • Per impostazione predefinita, l'utente di binding specificato nella sezione Dettagli binding non viene sincronizzato con il servizio Workspace ONE Access. Se si desidera sincronizzare l'utente di binding, immettere il DN utente in questa scheda.
    1. Nella riga Specificare i DN utente, fare clic su + e immettere i DN degli utenti. Ad esempio, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Specificare i DN degli utenti che si trovano nel DN di base immesso nella casella di testo DN di base nella pagina Aggiungi directory. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.
    2. (Facoltativo) Per escludere utenti, creare filtri per escludere utenti in base all'attributo selezionato. È possibile creare più filtri di esclusione.
      Selezionare l'attributo utente in base al quale applicare il filtro e il filtro di query da applicare al valore definito.
      Opzione Descrizione
      Contiene Esclude tutti gli utenti che soddisfano l'attributo e il set di valori. Ad esempio, il nome contiene Jane esclude gli utenti che si chiamano "Jane".
      Non contiene Esclude tutti gli utenti, ad eccezione di quelli che soddisfano l'attributo e il set di valori. Ad esempio, telephoneNumber non contiene 800 include solo gli utenti con un numero di telefono che include "800".
      Inizia con Esclude tutti gli utenti in cui il valore dell'attributo inizia con i caratteri specificati. Ad esempio, employeeID inizia con ACME0 esclude tutti gli utenti che dispongono di un ID dipendente che inizia con "ACME0".
      Finisce con Esclude tutti gli utenti in cui il valore dell'attributo termina con i caratteri specificati. Ad esempio mail finisce con example1.com esclude tutti gli utenti che dispongono di un indirizzo e-mail che termina con "example1.com".
    Nel valore viene fatta distinzione tra maiuscole e minuscole. Non utilizzare i seguenti simboli nella stringa del valore.
    • Asterisco *
    • Accento circonflesso ^
    • Parentesi ( )
    • Punto interrogativo ?
    • Punto esclamativo !
    • Simbolo del dollaro $
  11. Nella pagina Frequenza di sincronizzazione, configurare una pianificazione di sincronizzazione per sincronizzare utenti e gruppi a intervalli regolari oppure selezionare Manualmente nell'elenco a discesa Frequenza di sincronizzazione se non si desidera impostare una pianificazione.
    L'ora è impostata in UTC.
    Suggerimento: Pianificare gli intervalli della sincronizzazione in modo che siano più lunghi del tempo necessario per la sincronizzazione. Se si stanno sincronizzando utenti e gruppi con la directory proprio nel momento in cui è pianificata la sincronizzazione successiva, la nuova sincronizzazione viene avviata immediatamente dopo la fine della sincronizzazione precedente. Con questa pianificazione, il processo di sincronizzazione è continuo.
    Se si seleziona Manualmente, è necessario fare clic sul pulsante Sincronizza nella pagina della directory ogni volta che si desidera sincronizzare la directory.
  12. Fare clic su Salva per creare la directory o Sincronizza directory per creare la directory e iniziare a sincronizzarla.

risultati

Viene stabilita la connessione alla directory LDAP. Se si fa clic su Sincronizza directory, gli utenti e i nomi dei gruppi vengono sincronizzati dalla directory LDAP alla directory di Workspace ONE Access.

Per ulteriori informazioni su come i gruppi vengono sincronizzati, vedere "Gestione di utenti e gruppi" in Amministrazione di VMware Workspace ONE Access.

Operazioni successive

  • Se si imposta l'opzione di autenticazione su Sì, per la directory vengono creati automaticamente un fornitore di identità denominato IDP per directoryname e un metodo di autenticazione Password (distribuzione cloud). È possibile visualizzarle nelle pagine Gestione identità e accessi > Gestisci > Fornitori di identità e Metodi di autenticazione Enterprise. È inoltre possibile creare più metodi di autenticazione per la directory dalla scheda Metodi di autenticazione Enterprise. Per ulteriori informazioni sulla creazione di metodi di autenticazione, vedere la guida <Auth>.
  • Rivedere il criterio di accesso predefinito nella pagina Gestione identità e accessi > Gestisci > Criteri.
  • Rivedere le impostazioni di protezione della sincronizzazione predefinite e apportare le modifiche eventualmente necessarie. Per informazioni, vedere Configurazione delle protezioni della sincronizzazione della directory.