Workspace ONE UEM から同期されたユーザーとグループを保存する、タイプが他のディレクトリを、VMware Identity Manager Connector に関連付けられている、タイプが LDAP 経由の Active Directory または統合 Windows 認証経由の Active Directory のディレクトリに変換できます。ディレクトリを変換した後、VMware Identity Manager Connector が ACC の代わりに使用され、ユーザーとグループがエンタープライズ ディレクトリから VMware Identity Manager サービスに同期されます。

前提条件

  • VMware Identity Manager Connector をインストールし、アクティブ化します。

    一部の機能を使用するには、Windows Server をドメインに参加させる必要があり、管理者グループに属するドメイン ユーザーとして VMware Identity Manager Connector を Windows Server にインストールする必要があります。また、Windows ドメイン ユーザーとして IDM Connector サービスを実行する必要があります。

    この要件は、次の場合に適用されます。

    • 他のディレクトリを統合 Windows 認証経由の Active Directory に変換する場合
    • Kerberos 認証を使用する場合
  • 次の Active Directory 情報が必要です。
    • LDAP 経由の Active Directory に変換する場合、ベース DN、およびバインド ユーザー DN とパスワードが必要です。

      バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。

      • 読み取り
      • すべてのプロパティの読み取り
      • アクセス許可の読み取り

      有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。

    • 統合 Windows 認証を使用する Active Directory に変換する場合、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードが必要です。

      バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。

      • 読み取り
      • すべてのプロパティの読み取り
      • アクセス許可の読み取り

      有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。

    • Active Directory が SSL/TLS を介したアクセスを必要とする場合、関連するすべての Active Directory ドメインに対するドメイン コントローラの中間(使用されている場合)およびルート CA 証明書が必要です。ドメイン コントローラに複数の中間およびルート認証局の証明書がある場合は、すべての中間およびルート CA 証明書が必要です。
    • 統合 Windows 認証 を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。
    • 統合 Windows 認証を使用する Active Directory の場合:
      • SRV レコードのリストに含まれるすべてのドメイン コントローラおよび非表示の RODC について、ホスト名と IP アドレスの nslookup が動作する必要があります。
      • ネットワーク接続で、すべてのドメイン コントローラにアクセスできる必要があります。

手順

  1. VMware Identity Manager 管理コンソールで、[ID とアクセス管理] タブをクリックしてから、[ディレクトリ] タブをクリックします。
  2. 変換するディレクトリをクリックします。
  3. [ディレクトリ] ページで、[変換] ボタンをクリックします。
  4. [ディレクトリを追加] ページで、必要に応じてディレクトリの名前を変更し、「その他」のディレクトリの変換先のディレクトリのタイプを、[LDAP 経由の Active Directory][統合 Windows 認証を使用する Active Directory] から選択します。
  5. Active Directory 接続情報を入力し、ウィザードを続行してディレクトリをセットアップします。
    詳細については、『 VMware Identity Manager とのディレクトリ統合』ガイドの「サービスへの Active Directory 接続の構成」を参照してください。

    次のガイドラインに従ってください。

    • [コネクタを同期] フィールドで、インストールした VMware Identity Manager コネクタを選択します。
    • [ディレクトリの同期と認証] セクションで、認証にコネクタではなくサード パーティ ID プロバイダを使用する場合を除き、[認証][はい] を選択します。
    • 変換されたディレクトリを Workspace ONE UEM ディレクトリと同様にセットアップし、ディレクトリ構造が同じになるようにします。同じドメインを選択します。同期するユーザーとグループを指定する際は Workspace ONE UEM ディレクトリと同じ選択を行って、同じユーザーとグループが変換されたディレクトリに同期されるようにします。
  6. ウィザードの最後のページで、[ディレクトリ同期] をクリックします。
    ディレクトリが変換され、 VMware Identity Manager コネクタが使用されるようにセットアップされます。Workspace Identity Provider がまだない場合は作成され、ディレクトリがそれと自動的に関連付けられます。パスワード認証方法は、ディレクトリに対してすでに有効になっています。
  7. (オプション)ディレクトリに対して他の認証方法を有効にするには、以下の手順を実行します。
    1. [ID とアクセス管理] タブで、[セットアップ] をクリックします。
    2. [コネクタ] ページで、変換されたディレクトリと関連付けられているコネクタとワーカーを検索し、[ワーカー] 列でのリンクをクリックします。
    3. [ワーカー] ページで、[認証アダプタ] タブをクリックします。
    4. 各リンクをクリックし、構成情報を入力して、ディレクトリに使用する認証アダプタを構成して有効にします。
      認証アダプタの構成については、『 VMware Identity Manager の管理』を参照してください。
  8. default_access_policy_set と任意のカスタム ポリシーを編集し、パスワード (AirWatch Connector) の代わりに VMware Identity Manager コネクタ認証方法を選択します。[]
    1. [ID とアクセス管理] タブで、[ポリシー] タブをクリックします。
    2. [デフォルト ポリシーの編集] をクリックします。
    3. [構成] をクリックします。
    4. 各ポリシー ルールを編集し、[パスワード (AirWatch Connector)] 認証方法を VMware Identity Manager Connector の認証方法である [パスワード] に置き換えます。
    5. [ポリシー] タブを再度クリックし、ある場合はカスタム ポリシーを編集して、パスワード、または構成したその他の VMware Identity Manager コネクタ認証方法を使用します。
      重要: パスワード (Airwatch Connector) をパスワード、または別の VMware Identity Manager コネクタベースの認証方法に変更しないと、変換されたディレクトリのユーザーはログインできなくなります。

次のタスク

Workspace ONE UEM から変換されたディレクトリへのディレクトリ同期を停止します。