Workspace ONE UEM から同期されたユーザーとグループを保存する、タイプが他のディレクトリを、VMware Identity Manager Connector に関連付けられている、タイプが LDAP 経由の Active Directory または統合 Windows 認証経由の Active Directory のディレクトリに変換できます。ディレクトリを変換した後、VMware Identity Manager コネクタが ACC の代わりに使用され、ユーザーとグループがエンタープライズ ディレクトリから VMware Identity Manager に同期されます。

前提条件

  • VMware Identity Manager Connector をインストールし、アクティブ化します。

    一部の機能を使用するには、Windows サーバをドメインに参加させる必要があり、管理者グループに属するドメイン ユーザーとして VMware Identity Manager Connector を Windows サーバにインストールする必要があります。また、Windows ドメイン ユーザーとして IDM コネクタ サービスを実行する必要があります。

    この要件は、次の場合に適用されます。

    • 他のディレクトリを統合 Windows 認証経由の Active Directory に変換する場合

    • Kerberos 認証を使用する場合

    • Horizon View を VMware Identity Manager と統合し、[ディレクトリ同期を実行] オプションまたは [5.x Connection Server の構成] オプションを使用する場合

  • 次の Active Directory 情報が必要です。

    • LDAP 経由の Active Directory に変換する場合、ベース DN、バインド DN、およびバインド DN パスワードが必要です。有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

    • 統合 Windows 認証経由の Active Directory に変換する場合、ドメインのバインド ユーザー UPN アドレスとパスワードが必要です。有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

    • Active Directory が SSL または STARTTLS 経由のアクセスを必要とする場合は、Active Directory ドメイン コントローラのルート CA 証明書が必要となります。

    • 統合 Windows 認証 を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。

手順

  1. VMware Identity Manager 管理コンソールで、[ID とアクセス管理] タブをクリックしてから、[ディレクトリ] タブをクリックします。
  2. 変換するディレクトリをクリックします。
  3. [ディレクトリ] ページで、[変換] ボタンをクリックします。
  4. [ディレクトリを追加] ページで、必要に応じてディレクトリの名前を変更し、他のディレクトリの変換先のディレクトリ タイプ [LDAP 経由の Active Directory] または [Active Directory(統合 Windows 認証)] を選択します。
  5. Active Directory 接続情報を入力し、ウィザードを続行してディレクトリをセットアップします。

    詳細については、『VMware Identity Manager とのディレクトリ統合』ガイドの「サービスへの Active Directory 接続の構成」を参照してください。

    次のガイドラインに従ってください。

    • [コネクタを同期] フィールドで、インストールした VMware Identity Manager コネクタを選択します。

    • [ディレクトリの同期と認証] セクションで、認証にコネクタではなくサード パーティ ID プロバイダを使用する場合を除き、[認証][はい] を選択します。

    • 変換されたディレクトリを Workspace ONE UEM ディレクトリと同様にセットアップし、ディレクトリ構造が同じになるようにします。同じドメインを選択します。同期するユーザーとグループを指定する際は Workspace ONE UEM ディレクトリと同じ選択を行って、同じユーザーとグループが変換されたディレクトリに同期されるようにします。

  6. ウィザードの最後のページで、[ディレクトリ同期] をクリックします。

    ディレクトリが変換され、VMware Identity Manager コネクタが使用されるようにセットアップされます。Workspace Identity Provider がまだない場合は作成され、ディレクトリがそれと自動的に関連付けられます。パスワード認証方法は、ディレクトリに対してすでに有効になっています。

  7. (オプション)ディレクトリに対して他の認証方法を有効にするには、以下の手順を実行します。
    1. [ID とアクセス管理] タブで、[セットアップ] をクリックします。
    2. [コネクタ] ページで、変換されたディレクトリと関連付けられているコネクタとワーカーを検索し、[ワーカー] 列でのリンクをクリックします。
    3. [ワーカー] ページで、[認証アダプタ] タブをクリックします。
    4. 各リンクをクリックし、構成情報を入力して、ディレクトリに使用する認証アダプタを設定して有効にします。

      認証アダプタの構成については、『VMware Identity Manager の管理』を参照してください。

  8. default_access_policy_set と任意のカスタム ポリシーを編集し、パスワード (AirWatch Connector) の代わりに VMware Identity Manager コネクタ認証方法を選択します。[]
    1. [ID とアクセス管理] タブで、[ポリシー] タブをクリックします。
    2. [デフォルト ポリシーの編集] をクリックします。
    3. [構成] をクリックします。
    4. 各ポリシー ルールを編集し、[パスワード (AirWatch Connector)] 認証方法を VMware Identity Manager Connector の認証方法である [パスワード] に置き換えます。
    5. [ポリシー] タブを再度クリックし、ある場合はカスタム ポリシーを編集して、パスワード、または構成したその他の VMware Identity Manager コネクタ認証方法を使用します。
      重要:

      パスワード (Airwatch Connector) をパスワード、または別の VMware Identity Manager コネクタベースの認証方法に変更しないと、変換されたディレクトリのユーザーはログインできなくなります。

次のタスク

Workspace ONE UEM から変換されたディレクトリへのディレクトリ同期を停止します。