Nella console di Workspace ONE Access, immettere le informazioni richieste per connettersi ad Active Directory e selezionare gli utenti e i gruppi da sincronizzare con la directory di Workspace ONE Access.

Le opzioni di connessione di Active Directory sono Active Directory su LDAP o Active Directory (autenticazione integrata di Windows). Una connessione Active Directory su LDAP supporta la ricerca posizione servizio DNS.

Prerequisiti

  • Installare il servizio di sincronizzazione directory, disponibile come componente della versione di Workspace ONE Access Connector 20.01.0.0 o successiva. Per informazioni, vedere Installazione e configurazione di VMware Workspace ONE Access Connector.

    Se si desidera utilizzare il servizio di autenticazione utente per autenticare gli utenti della directory, installare anche il componente del servizio di autenticazione utente.

  • Nella pagina Attributi utente nella console di Workspace ONE Access, selezionare quali attributi utente sono obbligatori e aggiungere altri attributi, se necessario. Vedere Gestione degli attributi dell'utente in Workspace ONE Access.
  • Creare un elenco di utenti e gruppi di Active Directory da sincronizzare da Active Directory. I nomi dei gruppi vengono sincronizzati con la directory immediatamente. I membri di un gruppo non vengono sincronizzati fino a quando il gruppo non viene autorizzato per le risorse o aggiunto a una regola del criterio. Gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo, devono essere aggiunti durante la configurazione iniziale.
  • Per Active Directory su LDAP, è necessario indicare DN di base, DN e password dell'utente di binding.

    L'utente di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo:

    • Lettura
    • Lettura di tutte le proprietà
    • Autorizzazioni di lettura
    Nota: È consigliabile utilizzare un account utente di binding con una password che non scada mai.
  • Per Active Directory (autenticazione integrata di Windows), sono necessari il nome utente e la password dell'utente di binding che dispone dell'autorizzazione per eseguire query in utenti e gruppi dei domini richiesti.

    L'utente di binding deve disporre delle seguenti autorizzazioni in Active Directory per garantire l'accesso a oggetti utente e gruppo:

    • Lettura
    • Lettura di tutte le proprietà
    • Autorizzazioni di lettura
    Nota: È consigliabile utilizzare un account utente di binding con una password che non scada mai.
  • Se Active Directory richiede l'accesso su SSL/TLS, sono necessari i certificati intermedi (se in uso) e CA root dei controller di dominio per tutti i domini di Active Directory pertinenti. Se i controller di dominio dispongono di certificati provenienti da più autorità di certificazione che utilizzano certificati intermedi e root, sono necessari tutti i certificati intermedi e CA root.
  • Per Active Directory su Autenticazione integrata di Windows, se sono configurate più foreste di Active Directory e il gruppo Dominio locale contiene membri di domini di altre foreste, assicurarsi che l'utente di binding sia aggiunto al gruppo Amministratori del dominio in cui si trova il gruppo Dominio locale. In caso contrario, tali membri risulteranno mancanti dal gruppo Dominio locale.
  • Per Active Directory (autenticazione integrata di Windows):
    • Per tutti i controller di dominio elencati nei record SRV e i controller di dominio di sola lettura nascosti, nslookup del nome host e indirizzo IP dovrebbero funzionare.
    • Tutti i controller di dominio devono essere raggiungibili in termini di connettività di rete.

Procedura

  1. Nella console di Workspace ONE Access, passare alla pagina Gestione identità e accessi > Gestisci > Directory.
  2. Fare clic su Aggiungi directory e selezionare Aggiungi Active Directory su LDAP/IWA.
  3. Immettere un nome per la directory di Workspace ONE Access.
  4. Selezionare il tipo di Active Directory che si sta integrando, Active Directory su LDAP o Active Directory su Autenticazione integrata di Windows.
  5. Se si sta integrando Active Directory su LDAP, attenersi alla seguente procedura, altrimenti procedere con il passaggio 6.
    1. Nella sezione Sincronizzazione e autenticazione directory, eseguire le seguenti selezioni.
      Opzione Descrizione
      Host di sincronizzazione directory Selezionare una o più istanze del servizio di sincronizzazione directory da utilizzare per sincronizzare questa directory. Sono elencate tutte le istanze del servizio di sincronizzazione directory registrate nel tenant. È possibile selezionare solo le istanze in stato attivo.

      Se si selezionano più istanze, Workspace ONE Access utilizza la prima istanza selezionata nell'elenco per sincronizzare la directory. Se la prima istanza non è disponibile, viene utilizzata la seconda istanza selezionata e così via. Dopo aver creato la directory, è possibile riordinare l'elenco dalla pagina Impostazioni di sincronizzazione della directory.

      Autenticazione Selezionare se si desidera autenticare gli utenti di questa directory con il servizio di autenticazione utente. Il servizio di autenticazione utente deve essere già installato. Se si seleziona , per la directory vengono creati automaticamente il metodo di autenticazione Password (distribuzione cloud) e un fornitore di identità.

      Selezionare No se non si desidera autenticare gli utenti di questa directory con il servizio di autenticazione utente. Se si decide di utilizzare il servizio di autenticazione utente in un secondo momento, è possibile creare manualmente il metodo di autenticazione Password (distribuzione cloud) e il fornitore di identità per la directory.

      Host di autenticazione utente Questa opzione viene visualizzata quando Autenticazione è impostata su . Selezionare una o più istanze del servizio di autenticazione utente da utilizzare per autenticare gli utenti di questa directory. Sono elencate tutte le istanze del servizio di autenticazione utente registrate nel tenant e che si trovano nello stato attivo.

      Se si selezionano più istanze, Workspace ONE Access invia le richieste di autenticazione alle istanze selezionate nell'ordine round-robin.

      Attributo di ricerca directory Selezionare l'attributo dell'account che contiene il nome utente.
    2. Se si desidera utilizzare la ricerca della posizione del servizio DNS per Active Directory, effettuare le selezioni riportate di seguito.
      • Nella sezione Posizione server, selezionare la casella di controllo Questa directory supporta la posizione servizio DNS.

        Workspace ONE Access individua e utilizza i controller di dominio ottimali. Se non si desidera utilizzare la selezione dei controller di dominio ottimizzata, seguire invece le procedure descritte nel passaggio c.

      • Se Active Directory richiede l'accesso su SSL/TLS, selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino STARTTLS nella sezione Certificati e copiare e incollare i certificati intermedi (se in uso) e CA root dei controller di dominio nella casella di testo Certificato SSL.

        Immettere innanzitutto il certificato CA intermedio, quindi il certificato CA root. Assicurarsi che ciascun certificato sia in formato PEM e che includa le righe BEGIN CERTIFICATE e END CERTIFICATE.

        Se i controller di dominio dispongono di certificati provenienti da più autorità di certificazione che utilizzano certificati intermedi e CA root, sono necessarie tutte le catene di certificati intermedi-CA root, uno dopo l'altro.

        Ad esempio:

        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 2>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 2>
        ...
        -----END CERTIFICATE-----
        Nota: Se Active Directory richiede l'accesso su SSL/TLS e non si forniscono i certificati, non sarà possibile creare la directory.
    3. Se non si desidera utilizzare la ricerca della posizione del servizio DNS per Active Directory, effettuare le selezioni riportate di seguito.
      • Nella sezione Posizione server, verificare che la casella di controllo Questa directory supporta posizione servizio DNS non sia selezionata ed immettere il nome host e il numero di porta del server Active Directory.

        Per configurare la directory come catalogo globale, vedere la sezione Ambiente con foresta Active Directory singola e multidominio in Ambienti Active Directory.

      • Se Active Directory richiede l'accesso su SSL/TLS, selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino SSL nella sezione Certificati e copiare e incollare i certificati intermedi (se in uso) e CA root dei controller di dominio nel campo Certificato SSL.

        Immettere innanzitutto il certificato CA intermedio, quindi il certificato CA root. Assicurarsi che il certificato sia in formato PEM e che includa le righe BEGIN CERTIFICATE e END CERTIFICATE.

        Nota: Se Active Directory richiede l'accesso su SSL/TLS e non si fornisce il certificato, non sarà possibile creare la directory.
    4. Nella sezione Dettagli utente Bind, immettere le seguenti informazioni.
      Opzione Descrizione
      Nome distinto di base Immettere il DN da cui iniziare le ricerche degli account. Ad esempio, OU=myUnit,DC=myCorp,DC=com.
      Nota: Il DN di base verrà utilizzato per l'autenticazione. Solo gli utenti del DN di base saranno in grado di eseguire l'autenticazione. Assicurarsi che i DN di gruppo e i DN utente specificati in un secondo momento per la sincronizzazione rientrino in questo DN di base.
      Nome distinto utente di binding Immettere l'account che può cercare gli utenti. Ad esempio, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
      Nota: È consigliabile utilizzare un account utente di binding con una password che non scada mai.
      Password utente bind La password dell'utente di binding.
  6. Se si sta integrando Active Directory su Autenticazione integrata di Windows, attenersi alla seguente procedura.
    1. Nella sezione Sincronizzazione e autenticazione directory, eseguire le seguenti selezioni.
      Opzione Descrizione
      Host di sincronizzazione directory Selezionare una o più istanze del servizio di sincronizzazione directory da utilizzare per sincronizzare questa directory. Sono elencate tutte le istanze del servizio di sincronizzazione directory registrate nel tenant e che si trovano nello stato attivo.

      Se si selezionano più istanze, Workspace ONE Access utilizza la prima istanza selezionata nell'elenco per sincronizzare la directory. Se la prima istanza non è disponibile, viene utilizzata la seconda istanza selezionata e così via. Dopo aver creato la directory, è possibile riordinare l'elenco dalla pagina Impostazioni di sincronizzazione della directory.

      Autenticazione Selezionare se si desidera autenticare gli utenti di questa directory con il servizio di autenticazione utente. Il servizio di autenticazione utente deve essere già installato. Se si seleziona , per la directory vengono creati automaticamente il metodo di autenticazione Password (distribuzione cloud) e un fornitore di identità.

      Selezionare No se non si desidera autenticare gli utenti di questa directory con il servizio di autenticazione utente. Se in un secondo momento si cambia idea, è possibile creare manualmente il metodo di autenticazione Password (distribuzione cloud) e il fornitore di identità per la directory.

      Host di autenticazione utente Questa opzione viene visualizzata quando Autenticazione è impostata su . Selezionare una o più istanze del servizio di autenticazione utente da utilizzare per autenticare gli utenti di questa directory. Sono elencate tutte le istanze del servizio di autenticazione utente registrate nel tenant e che si trovano nello stato attivo.

      Se si selezionano più istanze, Workspace ONE Access invia le richieste di autenticazione alle istanze selezionate nell'ordine round-robin.

      Attributo di ricerca directory Selezionare l'attributo dell'account che contiene il nome utente.
    2. Se Active Directory richiede l'accesso su SSL/TLS, selezionare la casella di controllo Questa directory richiede che tutte le connessioni utilizzino STARTTLS nella sezione Certificati e copiare e incollare i certificati intermedi (se in uso) e CA root dei controller di dominio nella casella di testo Certificato SSL.

      Immettere innanzitutto il certificato CA intermedio, quindi il certificato CA root. Assicurarsi che ciascun certificato sia in formato PEM e che includa le righe BEGIN CERTIFICATE e END CERTIFICATE.

      Se i controller di dominio dispongono di certificati provenienti da più autorità di certificazione che utilizzano certificati intermedi e CA root, sono necessarie tutte le catene di certificati intermedi-CA root, uno dopo l'altro.

      Ad esempio:

      -----BEGIN CERTIFICATE-----
      ...
      <Intermediate Certificate 1>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Root Certificate 1>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Intermediate Certificate 2>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Root Certificate 2>
      ...
      -----END CERTIFICATE-----
      Nota: Se Active Directory richiede l'accesso su SSL/TLS e non si forniscono i certificati, non sarà possibile creare la directory.
    3. Nella sezione Dettagli utente di binding, immettere il nome utente e la password dell'utente di binding che dispone dell'autorizzazione per eseguire query in utenti e gruppi dei domini richiesti. Immettere il nome utente come sAMAccountName@domain, dove domain è il nome del dominio completo. Ad esempio, jdoe@example.com.
      Nota: È consigliabile utilizzare un account utente di binding con una password che non scada mai.
  7. Fare clic su Salva e avanti.
  8. Nella pagina Selezionare i domini, selezionare i domini, se applicabile, quindi fare clic su Avanti.
    • Per Active Directory su LDAP, i domini sono elencati e già selezionati.
    • Per Active Directory su Autenticazione integrata di Windows, selezionare i domini da associare a questa connessione di Active Directory. Sono elencati tutti i domini con una relazione di attendibilità bidirezionale con il dominio di base.

      Se dopo la creazione della directory di Workspace ONE Access vengono aggiunti ad Active Directory i domini con una relazione di attendibilità bidirezionale con il dominio di base, è possibile aggiungerli dalla pagina Impostazioni di sincronizzazione della directory > Domini facendo clic su Aggiorna per recuperare l'elenco più recente.

      Suggerimento: Scegliere i domini attendibili uno alla volta anziché selezionare tutti i domini contemporaneamente. In questo modo il salvataggio del dominio non sarà un'operazione che dura a lungo e che può quindi scadere. La scelta dei domini in sequenza garantisce che il servizio di sincronizzazione directory tenti di risolvere un solo dominio alla volta.
    • Se si sta creando una directory Active Directory su LDAP con l'opzione Catalogo globale selezionata, la scheda Domini non viene visualizzata.
  9. Nella pagina Mappa attributi utente, verificare che i nomi degli attributi della directory di Workspace ONE Access siano associati agli attributi di Active Directory corretti, apportare le modifiche eventualmente necessarie, quindi fare clic su Avanti.
  10. Selezionare i gruppi che si desidera sincronizzare da Active Directory alla directory di Workspace ONE Access.
    Quando si aggiungono gruppi, tenere presenti le considerazioni seguenti.
    • È consigliabile aggiungere e sincronizzare un numero limitato di gruppi quando si crea una directory. Dopo la configurazione iniziale, è possibile aggiungere altri gruppi.
    • Quando vengono aggiunti e sincronizzati i gruppi, i nomi dei gruppi vengono sincronizzati con la directory. Gli utenti che sono membri del gruppo non vengono sincronizzati con la directory fino a quando il gruppo è autorizzato per un'applicazione o il nome del gruppo viene aggiunto a una regola del criterio di accesso.
      Nota: È possibile eseguire l'override di questa restrizione abilitando l'opzione Sincronizza membri del gruppo con la directory all'aggiunta del gruppo nella pagina Gestione identità e accessi > Configurazione > Preferenze.
    • Quando si sincronizza un gruppo, gli utenti che non hanno Utenti di dominio come gruppo primario in Active Directory non vengono sincronizzati.
    Per selezionare i gruppi, specificare uno o più DN e selezionare i gruppi in essi contenuti.
    1. Nella riga Specificare i DN gruppo, fare clic su + e specificare il DN del gruppo. Ad esempio, CN=users,DC=example,DC=company,DC=com.
      Suggerimento: Non è consigliabile immettere un DN di alto livello come il DN di base in cui cercare, poiché la ricerca richiederà molto tempo. Provare a immettere un DN più specifico in cui cercare.
      Importante: Specificare i DN di gruppo che si trovano sotto il DN di base immesso nella casella di testo DN di base nella pagina Aggiungi directory. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.
    2. Se si desidera selezionare tutti i gruppi nel DN di gruppo, fare clic su Seleziona tutto.
      Se vengono aggiunti o eliminati gruppi nel DN del gruppo in Active Directory dopo la creazione della directory, le modifiche si rifletteranno sulle sincronizzazioni successive.
    3. Se si desidera selezionare gruppi specifici nel DN di gruppo anziché selezionarli tutti, fare clic su Seleziona, effettuare le selezioni e fare clic su Salva.
      Quando si fa clic su Seleziona, vengono elencati tutti i gruppi trovati nel DN. È possibile restringere i risultati o cercare gruppi specifici immettendo un termine di ricerca nella casella di ricerca.
    4. Selezionare o deselezionare l'opzione Sincronizza membri del gruppo nidificati, se necessario.
      Per impostazione predefinita, l'opzione Sincronizza membri del gruppo nidificati è abilitata. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati quando il gruppo viene autorizzato. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di Workspace ONE Access, questi utenti saranno membri del gruppo principale selezionato per la sincronizzazione.

      Se l'opzione Sincronizza membri del gruppo nidificati è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo verranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di Active Directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti.

  11. Fare clic su Avanti.
  12. Selezionare gli utenti da sincronizzare.
    Quando si aggiungono utenti, tenere presenti le considerazioni seguenti:
    • Poiché i membri nei gruppi non vengono sincronizzati con la directory finché il gruppo non viene autorizzato per le applicazioni o aggiunto a una regola del criterio di accesso, aggiungere tutti gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo.
    • Per impostazione predefinita, l'utente di binding specificato nella sezione Dettagli binding non viene sincronizzato con il servizio Workspace ONE Access. Se si desidera sincronizzare l'utente di binding, immettere il DN utente in questa scheda. Dopo la sincronizzazione della directory, è possibile impostare il ruolo per l'utente di binding, se necessario.
    1. Nella riga Specificare i DN utente, fare clic su + e immettere i DN degli utenti. Ad esempio, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Specificare i DN degli utenti che si trovano nel DN di base immesso nella casella di testo DN di base nella pagina Aggiungi directory. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.
    2. (Facoltativo) Per escludere utenti, creare filtri per escludere utenti in base all'attributo selezionato. È possibile creare più filtri di esclusione.
      Selezionare l'attributo utente in base al quale applicare il filtro e il filtro di query da applicare al valore definito.
      Opzione Descrizione
      Contiene Esclude tutti gli utenti che soddisfano l'attributo e il set di valori. Ad esempio, il nome contiene Jane esclude gli utenti che si chiamano "Jane".
      Non contiene Esclude tutti gli utenti, ad eccezione di quelli che soddisfano l'attributo e il set di valori. Ad esempio, telephoneNumber non contiene 800 include solo gli utenti con un numero di telefono che include "800".
      Inizia con Esclude tutti gli utenti in cui il valore dell'attributo inizia con i caratteri specificati. Ad esempio, employeeID inizia con ACME0 esclude tutti gli utenti che dispongono di un ID dipendente che inizia con "ACME0".
      Finisce con Esclude tutti gli utenti in cui il valore dell'attributo termina con i caratteri specificati. Ad esempio mail finisce con example1.com esclude tutti gli utenti che dispongono di un indirizzo e-mail che termina con "example1.com".
    Nel valore viene fatta distinzione tra maiuscole e minuscole. Non utilizzare i seguenti simboli nella stringa del valore.
    • Asterisco *
    • Accento circonflesso ^
    • Parentesi ( )
    • Punto interrogativo ?
    • Punto esclamativo !
    • Simbolo del dollaro $
  13. Fare clic su Avanti.
  14. Nella pagina Frequenza di sincronizzazione, configurare una pianificazione di sincronizzazione per sincronizzare utenti e gruppi a intervalli regolari oppure selezionare Manualmente nell'elenco a discesa Frequenza di sincronizzazione se non si desidera impostare una pianificazione.
    L'ora è impostata in UTC.
    Suggerimento: Pianificare gli intervalli della sincronizzazione in modo che siano più lunghi del tempo necessario per la sincronizzazione. Se si stanno sincronizzando utenti e gruppi con la directory proprio nel momento in cui è pianificata la sincronizzazione successiva, la nuova sincronizzazione viene avviata immediatamente dopo la fine della sincronizzazione precedente.
    Se si seleziona Manualmente, è necessario fare clic sul pulsante Sincronizza nella pagina della directory ogni volta che si desidera sincronizzare la directory.
  15. Fare clic su Salva per creare la directory o Sincronizza directory per creare la directory e iniziare a sincronizzarla.

risultati

Viene stabilita la connessione ad Active Directory. Se si fa clic su Sincronizza directory, gli utenti e i nomi dei gruppi vengono sincronizzati da Active Directory alla directory di Workspace ONE Access.

Per ulteriori informazioni su come i gruppi vengono sincronizzati, vedere "Gestione di utenti e gruppi" in Amministrazione di VMware Workspace ONE Access.

Operazioni successive

  • Se si imposta l'opzione di autenticazione su Sì, per la directory vengono creati automaticamente un fornitore di identità denominato IDP per directoryname e un metodo di autenticazione Password (distribuzione cloud). È possibile visualizzarli nelle pagine Gestione identità e accessi > Gestisci > Fornitori di identità e Metodi di autenticazione Enterprise . È inoltre possibile creare più metodi di autenticazione per la directory dalla scheda Metodi di autenticazione Enterprise. Per informazioni sulla creazione di metodi di autenticazione, vedere la guida <AuthGuide>.
  • Rivedere il criterio di accesso predefinito nella pagina Gestione identità e accessi > Gestisci > Criteri.
  • Rivedere le impostazioni di protezione della sincronizzazione predefinite e apportare le modifiche eventualmente necessarie. Per informazioni, vedere Configurazione delle protezioni della sincronizzazione della directory.