AirWatch から同期されたユーザーとグループを保存する、タイプが他のディレクトリを、VMware Identity Manager コネクタに関連付けられている、タイプが LDAP 経由の Active Directory または Active Directory(統合 Windows 認証)のディレクトリに変換できます。ディレクトリを変換した後、VMware Identity Manager コネクタが ACC の代わりに使用され、ユーザーとグループがエンタープライズ ディレクトリから VMware Identity Manager に同期されます。

前提条件

  • VMware Enterprise Systems ConnectorVMware Identity Manager Connector コンポーネントを Windows サーバにインストールし、アクティブ化します。

    一部の機能を使用するには、Windows サーバがドメインに参加している必要があり、管理者グループに属するドメイン ユーザーとして VMware Identity Manager Connector コンポーネントを Windows サーバにインストールする必要があります。また、Windows ドメイン ユーザーとして IDM コネクタ サービスを実行する必要があります。

    この要件は、次の場合に適用されます。

    • 他のディレクトリを Active Directory(統合 Windows 認証)に変換する場合

    • Kerberos 認証を使用する場合

    • Horizon View を VMware Identity Manager と統合し、[ディレクトリ同期を実行] オプションまたは [5.x 接続サーバの構成] オプションを使用する場合

  • 次の Active Directory 情報が必要です。

    • LDAP 経由の Active Directory に変換する場合、ベース DN、バインド DN、およびバインド DN パスワードが必要です。有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

    • Active Directory(統合 Windows 認証)に変換する場合、ドメインのバインド ユーザー UPN アドレスとパスワードが必要です。有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

    • Active Directory が SSL または STARTTLS 経由のアクセスを必要とする場合は、Active Directory ドメイン コントローラのルート CA 証明書が必要となります。

    • Active Directory(統合 Windows 認証)では、マルチフォレスト Active Directory を構成しており、ドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。

手順

  1. VMware Identity Manager 管理コンソールで、ID とアクセス管理 タブをクリックしてから、ディレクトリ タブをクリックします。
  2. 変換するディレクトリの名前をクリックします。
  3. [ディレクトリ] ページで、変換 ボタンをクリックします。
  4. [ディレクトリを追加] ページで、必要に応じてディレクトリの名前を変更し、他のディレクトリの変換先のディレクトリ タイプ LDAP 経由の Active Directory または Active Directory(統合 Windows 認証) を選択します。
  5. Active Directory 接続情報を入力し、ウィザードを続行してディレクトリをセットアップします。

    詳細については、『VMware Identity Manager とのディレクトリ統合』ガイドの「サービスへの Active Directory 接続の構成」を参照してください。

    次のガイドラインに従ってください。

    • コネクタを同期 フィールドで、インストールした VMware Identity Manager コネクタを選択します。

    • ディレクトリの同期と認証 セクションで、認証にコネクタではなくサード パーティ ID プロバイダを使用する場合を除き、認証はい を選択します。

    • 変換されたディレクトリを AirWatch ディレクトリと同様にセットアップし、ディレクトリ構造が同じになるようにします。同じドメインを選択します。同期するユーザーとグループを指定する際は AirWatch ディレクトリと同じ選択を行って、同じユーザーとグループが変換されたディレクトリに同期されるようにします。

  6. ウィザードの最後のページで、ディレクトリ同期 をクリックします。

    ディレクトリが変換され、VMware Identity Manager コネクタが使用されるようにセットアップされます。Workspace Identity Provider がまだない場合は作成され、ディレクトリがそれと自動的に関連付けられます。パスワード認証方法は、ディレクトリに対してすでに有効になっています。

  7. (オプション)ディレクトリに対して他の認証方法を有効にするには、以下の手順を実行します。
    1. ID とアクセス管理 タブで、セットアップ をクリックします。
    2. [コネクタ] ページで、変換されたディレクトリと関連付けられているコネクタとワーカーを検索し、ワーカー 列でのリンクをクリックします。
    3. [ワーカー] ページで、認証アダプタ タブをクリックします。
    4. 各リンクをクリックし、構成情報を入力して、ディレクトリに使用する認証アダプタを設定して有効にします。

      認証アダプタの構成については、『VMware Identity Manager の管理』を参照してください。

  8. default_access_policy_set と任意のカスタム ポリシーを編集し、パスワード (AirWatch Connector) の代わりに VMware Identity Manager コネクタ認証方法を選択します。
    1. ID とアクセス管理 タブで、ポリシー タブをクリックします。
    2. デフォルト ポリシーの編集 をクリックします。
    3. ポリシー ルール で、ルールごとに 認証方法 列を編集し、パスワード (AirWatch Connector)VMware Identity Manager コネクタ認証方法である パスワード に置き換えます。
    4. ポリシー タブを再度クリックし、ある場合はカスタム ポリシーを編集して、パスワード、または構成したその他の VMware Identity Manager コネクタ認証方法を使用します。
      重要:

      パスワード (Airwatch Connector) をパスワード、または別の VMware Identity Manager コネクタベースの認証方法に変更しないと、変換されたディレクトリのユーザーはログインできなくなります。

次のタスク

AirWatch から変換されたディレクトリへのディレクトリ同期を停止します。