エンタープライズ LDAP ディレクトリと Workspace ONE Accessを連携して、ユーザーとグループを LDAP ディレクトリから Workspace ONE Access サービスに同期することができます。

LDAP ディレクトリを統合するには、対応する Workspace ONE Access ディレクトリを作成し、ユーザーとグループを LDAP ディレクトリから Workspace ONE Access ディレクトリに同期します。後続の更新のために定期的な同期スケジュールを設定することができます。

また、ユーザーのために同期させる LDAP 属性を選択し、Workspace ONE Access属性にマップします。

LDAP ディレクトリは、デフォルト スキーマまたはカスタム スキーマに基づいて構成することがあります。また、カスタム属性を使用する可能性もあります。Workspace ONE Accessで、LDAP ディレクトリを検索してユーザーまたはグループ オブジェクトを取得できるようにするには、LDAP ディレクトリに適用可能な LDAP 検索フィルタおよび属性名を指定する必要があります。

具体的には、次の情報を指定する必要があります。

  • グループ、ユーザーおよびバインド ユーザーを取得するための LDAP 検索フィルタ
  • グループ メンバーシップ、外部 ID、および識別名または同等の属性のための LDAP 属性名

LDAP ディレクトリの統合機能には特定の制限が適用されます。LDAP ディレクトリ統合の制限を参照してください。

前提条件

  • ディレクトリ同期サービスをインストールします。このサービスは、バージョン 20.01.0.0 から始まる Workspace ONE Access Connector のコンポーネントとして使用できます。詳細については、最新バージョンの『VMware Workspace ONE Access Connector のインストール』を参照してください。

    ユーザー認証サービスを使用してディレクトリのユーザーを認証する場合は、ユーザー認証サービス コンポーネントもインストールします。

  • [設定] > [ユーザー属性] ページでユーザー属性を確認し、必要に応じて、同期する属性を追加します。ディレクトリを作成するときは、Workspace ONE Access 属性を LDAP ディレクトリ属性にマップします。これらの属性はディレクトリ内のユーザーに対して同期されます。
    注: ユーザー属性を変更する場合は、 Workspace ONE Access サービスの他のディレクトリに対する影響を考慮してください。Active Directory と LDAP ディレクトリの両方を追加する計画の場合は、ユーザー名以外の属性には必須のマークを付けないようにしてください。[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性が必須の場合、その属性を持たないユーザーは Workspace ONE Access サービスに同期されません。
  • バインド DN ユーザー アカウント。有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
  • LDAP ディレクトリでは、ユーザーとグループの UUID はプレーン テキスト形式である必要があります。
  • LDAP ディレクトリには、すべてのユーザーおよびグループに対するドメイン属性が存在する必要があります。

    Workspace ONE Accessディレクトリを作成するときは、この属性を Workspace ONE Access[domain] 属性にマップします。

  • ユーザー名にスペースを含めることはできません。ユーザー名にスペースが含まれていると、ユーザーは同期されますが、資格を利用できません。
  • 証明書認証を使用する場合、ユーザーは userPrincipalName とメール アドレス属性の値を持っている必要があります。

手順

  1. Workspace ONE Access コンソールで、[統合] > [ディレクトリ] の順に選択します。
  2. [ディレクトリを追加] ドロップダウン メニューで [LDAP ディレクトリ] を選択します。
    [ディレクトリを追加] ドロップダウンの選択肢は、[Active Directory]、[LDAP ディレクトリ]、[ローカル ユーザー ディレクトリ] です。
  3. [ディレクトリ情報] セクションで、必須情報を入力します。
    オプション 説明
    ディレクトリ名 Workspace ONE Access ディレクトリの名前を入力します。
    ディレクトリ同期ホスト このディレクトリを同期するために使用するディレクトリ同期サービス インスタンスを 1 つ以上選択します。テナントに登録されているすべてのディレクトリ同期サービス インスタンスが一覧表示されます。選択できるインスタンスはアクティブ状態のものに限られます。

    インスタンスを複数選択すると、Workspace ONE Access では、リストで最初に選択されたインスタンスを使用してディレクトリを同期します。最初のインスタンスが使用できない場合は、次に選択されたインスタンスを使用します(以降同様)。ディレクトリを作成してからは、ディレクトリの [同期設定] タブからリストの順序を変更できます。
    認証 ユーザー認証サービスを使用してこのディレクトリのユーザーを認証する場合は [このディレクトリのパスワード認証を設定] を選択します。ユーザー認証サービスは前もってインストールされている必要があります。このオプションを選択すると、認証方法がパスワード(クラウド デプロイ)で [IDP for directoryName] という名前で組み込みタイプの ID プロバイダがディレクトリに自動作成されます。

    現時点でユーザー認証サービスを使用した認証を設定しない場合、またはサードパーティの ID プロバイダを使用する場合は、[後で認証方法を追加] を選択します。ユーザー認証サービスを後で使用する場合は、ディレクトリのパスワード(クラウド デプロイ)認証方法と ID プロバイダを手動で作成できます。これを行う場合は、[統合] > [ID プロバイダ] ページで、[追加] > [組み込み IDP] を選択して、ディレクトリに新しい ID プロバイダを作成します。[Built-in] という名前の事前に作成された ID プロバイダを使用することは推奨されません。
    ユーザー認証ホスト [ユーザー認証ホスト] オプションは、[このディレクトリのパスワード認証を設定] オプションが選択されている場合に表示されます。このディレクトリのユーザーを認証するために使用するユーザー認証サービス インスタンスを 1 つ以上選択します。テナントに登録されていてアクティブ状態にあるすべてのユーザー認証サービス インスタンスが一覧表示されます。

    インスタンスを複数選択すると、Workspace ONE Access では、認証要求をラウンドロビンの順序で、選択したインスタンスに送信します。
    ユーザー名 ユーザー名に使用する LDAP ディレクトリ属性を選択します。属性が表示されない場合は、[カスタム] を選択し、ユーザーおよびグループに使用するカスタム属性の名前を入力します。たとえば、cn にように入力します。
    サーバ ホスト LDAP ディレクトリのサーバ ホストを入力します。完全修飾ドメイン名または IP アドレスのいずれかを指定することができます。たとえば、myLDAPserver.example.com または 100.00.00.0 のように入力します。

    ロード バランサの背後にサーバのクラスタがある場合は、代わりにロード バランサの情報を入力します。
    サーバ ポート LDAP ディレクトリのポート番号を入力します。
  4. [LDAP 構成] セクションで、必須情報を入力します。
    オプション 説明
    クエリと属性 Workspace ONE Access が LDAP ディレクトリのクエリに使用することができる LDAP 検索フィルタおよび属性を指定します。デフォルト値はコア LDAP スキーマに基づいて提供されます。

    [フィルタ クエリ]

    • [グループ]:グループ オブジェクトを取得するための検索フィルタ。

      例:(objectClass=groupOfNames)

    • [バインド ユーザー]:バインド ユーザー オブジェクト、つまりディレクトリにバインドすることができるユーザーを取得するための検索フィルタ。

      例:(objectClass=person)

    • [ユーザー]:同期するユーザーを取得するための検索フィルタ。

      例:(&(objectClass=user)(objectCategory=person))

    [属性]

    • [メンバーシップ]:グループのメンバーを定義するために LDAP ディレクトリで使用される属性。

      例:member

    • [外部 ID]:Workspace ONE Access ディレクトリ内のユーザーおよびグループの一意の ID として使用する属性。デフォルト値は entryUUID です。
      重要: すべてのユーザーには、属性に対して空でない一意の値が定義されている必要があります。値は Workspace ONE Access テナント全体で一意にする必要があります。属性に値が設定されていないユーザーがいる場合、ディレクトリは同期されません。

      外部 ID を設定するときは、次の点に注意してください。

      • Workspace ONE Access を Workspace ONE UEM と統合する場合は、両方の製品で外部 ID が同じ属性に設定されているようにしてください。
      • 外部 ID は、ディレクトリの作成後に変更できます。ただし、ユーザーを Workspace ONE Access に同期する前に、外部 ID を設定することが推奨されるベスト プラクティスです。外部 ID を変更すると、ユーザーは再作成されます。その結果、すべてのユーザーがログアウトされるので、再度ログインする必要があります。また、Web アプリケーションと ThinApp のユーザー資格を再構成する必要があります。Horizon、Horizon Cloud、Citrix の資格が削除され、次回の資格同期で再作成されます。
      • 外部 ID オプションは、Workspace ONE Access コネクタ バージョン 20.10 以降で使用できます。Workspace ONE Access サービスに関連付けられているすべてのコネクタは、バージョン 20.10 以降である必要があります。バージョンの異なるコネクタがサービスに関連付けられている場合、外部 ID オプションは表示されません。
    • [識別名]:(オプション)LDAP ディレクトリでユーザーまたはグループの識別名に使用される属性。

      例:dn

      デフォルトでは、識別名属性は、ユーザーおよびグループ オブジェクトを一意に識別するために使用されます。LDAP スキーマに識別名属性がない場合は、[高度な LDAP 構成を有効にします] オプションを選択し、グループとユーザーを識別するために使用する値を入力します。

    • [高度な構成]:高度な LDAP 構成オプションを表示するには、[高度な LDAP 構成を有効にします] チェック ボックスをオンにします。LDAP スキーマに識別名属性がない場合、または posixGroups を使用している場合は、高度な構成を使用します。
      • [グループ フィルタ]:グループのクエリと識別に使用する値。この値は、LDAP スキーマに識別名属性がない場合に必要です。

        例:cn

      • [ユーザー フィルタ]:ユーザーのクエリと識別に使用する値。この値は、LDAP スキーマに識別名属性がない場合に必要です。

        例:uid

      • [ユーザーのメンバーシップ マッピング フィルタ]:(オプション)このオプションは、通常、posixGroups を使用する LDAP ディレクトリの場合に必要です。[ユーザーのメンバーシップ マッピング フィルタ] は、メンバーシップ属性によって返されるユーザーのクエリと識別に使用されます。

        例:uidNumber

    暗号化 LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、[すべての接続に LDAPS が必要です] チェック ボックスをオンにし、LDAP ディレクトリ サーバのルート CA SSL 証明書をコピーして [SSL 証明書] テキスト ボックスに貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいるようにします。
    バインド ユーザーの詳細 [ベース DN]:検索を開始する DN を入力します。たとえば、cn=users,dc=example,dc=com のように入力します。
    [バインド ユーザー DN]:LDAP ディレクトリにバインドするために使用するユーザー名を入力します。
    注: 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

    [バインド ユーザー パスワード]:バインド DN ユーザーのパスワードを入力します。

  5. [ドメインの選択] セクションで、正しいドメインがリストされていることを確認し、[保存] をクリックします。
  6. [ユーザー属性のマップ] セクションで、Workspace ONE Access 属性が正しい LDAP ディレクトリ属性にマッピングされていることを確認し、必要に応じて変更します。

    これらの属性がユーザーに対して同期されます。

    重要: [domain] 属性のマッピングを指定する必要があります

    [設定] > [ユーザー属性] ページからは、属性を追加したり、必須属性のリストを管理したりすることができます。

    重要: 属性に必須のマークが付いている場合は、同期するユーザー全員に対して属性の値を設定する必要があります。必須属性の値が欠落しているユーザー レコードは同期されません。
  7. [グループの同期] セクションで、同期するグループを追加します。Workspace ONE Access ディレクトリと同期するユーザーとグループの選択を参照してください。
  8. [ユーザーの同期] セクションで、同期するユーザーを追加します。Workspace ONE Access ディレクトリと同期するユーザーとグループの選択を参照してください。
  9. [同期間隔] セクションで、同期スケジュールをセットアップしてユーザーとグループを定期的に同期するか、スケジュールを設定しない場合は [同期間隔] ドロップダウン メニューで [手動] を選択します。
    この時間は UTC で設定されます。
    ヒント: ディレクトリの同期にかかる時間よりも長い同期間隔をスケジュール設定します。次回の同期をスケジューリングするときにユーザーとグループがディレクトリに同期されている場合、新しい同期は前の同期の終了直後に開始されます。このスケジュールで、同期プロセスが継続します。
    [手動] を選択する場合、ディレクトリを同期するときは常にディレクトリ ページで [同期] > [セーフガードを使用した同期] または [同期] > [セーフガードを使用しない同期] を選択する必要があります。
  10. [保存] をクリックしてディレクトリを作成するか、[保存と同期] をクリックしてディレクトリを作成し同期を開始します。

結果

LDAP ディレクトリへの接続が確立されます。[保存と同期] をクリックすると、ユーザーとグループ名が LDAP ディレクトリから Workspace ONE Access ディレクトリに同期されます。

グループの同期方法の詳細については、『VMware Workspace ONE Access の管理』の「ユーザーおよびグループの管理」を参照してください。

次のタスク

  • [認証] オプションを [このディレクトリのパスワード認証を設定] に設定すると、[directoryname の IDP] という名前の ID プロバイダおよびパスワード(クラウド デプロイ)認証方法がディレクトリに自動作成されます。これらは、[統合] > [ID プロバイダ] ページおよび [統合] > [コネクタ認証方法] ページに表示されます。[コネクタ認証方法] ページと [認証方法] ページでは、ディレクトリの認証方法をさらに作成することもできます。認証方法の作成の詳細については、Workspace ONE Access でのユーザー認証方法の管理を参照してください。
  • [リソース] > [ポリシー] ページでデフォルトのアクセス ポリシーを確認します。
  • 同期のセーフガードのデフォルト設定を確認し、必要に応じて変更します。詳細については、Workspace ONE Access でのディレクトリ同期のセーフガードの設定を参照してください。