他のディレクトリを LDAP 経由の Active Directory または統合 Windows 認証経由の Active Directory に変換する

Workspace ONE UEM から同期されたユーザーとグループを保存する、タイプが他のディレクトリを、VMware Identity Manager Connector に関連付けられている、タイプが LDAP 経由の Active Directory または統合 Windows 認証経由の Active Directory のディレクトリに変換できます。ディレクトリを変換した後、VMware Identity Manager Connector が ACC の代わりに使用され、ユーザーとグループがエンタープライズディレクトリから VMware Identity Manager サービスに同期されます。

前提条件

VMware Identity Manager Connector をインストールし、アクティブ化します。
一部の機能を使用するには、Windows Server をドメインに参加させる必要があり、管理者グループに属するドメインユーザーとして VMware Identity Manager Connector を Windows Server にインストールする必要があります。また、Windows ドメインユーザーとして IDM Connector サービスを実行する必要があります。
この要件は、次の場合に適用されます。
- 他のディレクトリを統合 Windows 認証経由の Active Directory に変換する場合
- Kerberos 認証を使用する場合
次の Active Directory 情報が必要です。
- LDAP 経由の Active Directory に変換する場合、ベース DN、およびバインドユーザー DN とパスワードが必要です。
  バインドユーザーがユーザーおよびグループオブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。
  - 読み取り
  - すべてのプロパティの読み取り
  - アクセス許可の読み取り
  有効期限のないパスワードを持つバインドユーザーアカウントを使用することを推奨します。
- 統合 Windows 認証を使用する Active Directory に変換する場合、必要なドメインのユーザーとグループをクエリする権限を持つバインドユーザーのユーザー名とパスワードが必要です。
  バインドユーザーがユーザーおよびグループオブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。
  - 読み取り
  - すべてのプロパティの読み取り
  - アクセス許可の読み取り
  有効期限のないパスワードを持つバインドユーザーアカウントを使用することを推奨します。
- Active Directory が SSL/TLS を介したアクセスを必要とする場合、関連するすべての Active Directory ドメインに対するドメインコントローラの中間（使用されている場合）およびルート CA 証明書が必要です。ドメインコントローラに複数の中間およびルート認証局の証明書がある場合は、すべての中間およびルート CA 証明書が必要です。
- 統合 Windows 認証を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメインローカルグループに異なるフォレストのドメインのメンバーが含まれる場合、バインドユーザーをドメインローカルグループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメインローカルグループに含まれません。
- 統合 Windows 認証を使用する Active Directory の場合：
  - SRV レコードのリストに含まれるすべてのドメインコントローラおよび非表示の RODC について、ホスト名と IP アドレスの nslookup が動作する必要があります。
  - ネットワーク接続で、すべてのドメインコントローラにアクセスできる必要があります。

手順

VMware Identity Manager 管理コンソールで、[ID とアクセス管理] タブをクリックしてから、[ディレクトリ] タブをクリックします。
変換するディレクトリをクリックします。
[ディレクトリ] ページで、[変換] ボタンをクリックします。
[ディレクトリを追加] ページで、必要に応じてディレクトリの名前を変更し、「その他」のディレクトリの変換先のディレクトリのタイプを、[LDAP 経由の Active Directory] と [統合 Windows 認証を使用する Active Directory] から選択します。
Active Directory 接続情報を入力し、ウィザードを続行してディレクトリをセットアップします。
詳細については、『 VMware Identity Manager とのディレクトリ統合』ガイドの「サービスへの Active Directory 接続の構成」を参照してください。
次のガイドラインに従ってください。
- [コネクタを同期] フィールドで、インストールした VMware Identity Manager コネクタを選択します。
- [ディレクトリの同期と認証] セクションで、認証にコネクタではなくサードパーティ ID プロバイダを使用する場合を除き、[認証] に [はい] を選択します。
- 変換されたディレクトリを Workspace ONE UEM ディレクトリと同様にセットアップし、ディレクトリ構造が同じになるようにします。同じドメインを選択します。同期するユーザーとグループを指定する際は Workspace ONE UEM ディレクトリと同じ選択を行って、同じユーザーとグループが変換されたディレクトリに同期されるようにします。
ウィザードの最後のページで、[ディレクトリ同期] をクリックします。
ディレクトリが変換され、 VMware Identity Manager コネクタが使用されるようにセットアップされます。Workspace Identity Provider がまだない場合は作成され、ディレクトリがそれと自動的に関連付けられます。パスワード認証方法は、ディレクトリに対してすでに有効になっています。
（オプション）ディレクトリに対して他の認証方法を有効にするには、以下の手順を実行します。
1. [ID とアクセス管理] タブで、[セットアップ] をクリックします。
2. [コネクタ] ページで、変換されたディレクトリと関連付けられているコネクタとワーカーを検索し、[ワーカー] 列でのリンクをクリックします。
3. [ワーカー] ページで、[認証アダプタ] タブをクリックします。
4. 各リンクをクリックし、構成情報を入力して、ディレクトリに使用する認証アダプタを構成して有効にします。
  認証アダプタの構成については、『 VMware Identity Manager の管理』を参照してください。
default_access_policy_set と任意のカスタムポリシーを編集し、パスワード (AirWatch Connector) の代わりに VMware Identity Manager コネクタ認証方法を選択します。[]
1. [ID とアクセス管理] タブで、[ポリシー] タブをクリックします。
2. [デフォルトポリシーの編集] をクリックします。
3. [構成] をクリックします。
4. 各ポリシールールを編集し、[パスワード (AirWatch Connector)] 認証方法を VMware Identity Manager Connector の認証方法である [パスワード] に置き換えます。
5. [ポリシー] タブを再度クリックし、ある場合はカスタムポリシーを編集して、パスワード、または構成したその他の VMware Identity Manager コネクタ認証方法を使用します。
  
  重要：パスワード (Airwatch Connector) をパスワード、または別の VMware Identity Manager コネクタベースの認証方法に変更しないと、変換されたディレクトリのユーザーはログインできなくなります。

次のタスク

Workspace ONE UEM から変換されたディレクトリへのディレクトリ同期を停止します。