エンタープライズ ディレクトリでディレクトリ同期サービスを構成した後、Workspace ONE Access コンソールの [コネクタ認証方法] ページでパスワード(クラウド)認証を構成および編集できます。

パスワード(クラウド)認証用に構成するテキスト ボックスは、選択したディレクトリのタイプに基づきます。次に、パスワード認証のためのディレクトリのタイプを列記します。
  • ホストとポートが固定された Active Directory
  • DNS ルックアップを使用する Active Directory
  • グローバル カタログ ディレクトリ
  • IWA ディレクトリ
  • LDAP ディレクトリ

ディレクトリ同期サービスとエンタープライズ ディレクトリの統合方法については、『VMware Workspace ONE Access とディレクトリとの統合』ガイドを参照してください。

前提条件

  • コネクタで構成されたユーザー認証サービスを使用して Workspace ONE Access Connector をインストールします。最新バージョンのVMware Workspace ONE Access Connector インストール ガイドを参照してください。
    • 環境内のすべてのユーザー認証サービス インスタンスが Workspace ONE Connector バージョン 21.08 で構成されていることを確認します。Connector バージョン 21.08 と 20.x のユーザー認証サービスを混在させると、ユーザー認証サービスの認証方法を構成できません。
  • ディレクトリ同期サービスが Workspace ONE Access Connector にインストールされていること。
  • Workspace ONE Access コンソールの [統合] セクションで構成されたディレクトリ。
  • ユーザー属性がエンタープライズ ディレクトリに正しくマッピングされていること。

手順

  1. Workspace ONE Access コンソール [統合] > [コネクタ認証方法] ページで、[新規] をクリックし、[パスワード(クラウド デプロイ)] を選択します。
  2. パスワード認証で構成されている [ディレクトリ][サービス ホスト] を選択します。
  3. [構成] ページでパスワード(クラウド)認証方法設定を構成します。
    ディレクトリ タイプ オプション 操作
    すべてのタイプ 許可されている認証試行回数。 ディレクトリに対してパスワード認証を使用する場合のログイン失敗が許可される最大回数を入力します。デフォルトは、2 回です。
    すべてのタイプ ディレクトリ タイプ コネクタ サーバにディレクトリ同期サービスをインストールした場合に、設定したディレクトリのタイプを選択します。
    ホストとポートが固定された Active Directory サーバ ポート Active Directory で使用されるポートを選択します。標準 LDAP クエリの場合は 389 または 636 のいずれかです。

    グローバル カタログ クエリの場合は、ポート 3268 または 3269 のいずれかを入力します。
    ホストとポートが固定された Active Directory サーバ ホスト 使用する 1 つ以上のディレクトリ同期サービス インスタンスを選択します。
    すべてのタイプ 通信モード デフォルトで基本モードが選択されています。通信モードを変更することができます。
    • ディレクトリとの通信に SSL/TLS が使用されている場合は、SSL を選択します。
    • ディレクトリとの通信に DNS サービス ロケーションおよび SSL が使用されている場合は、STARTTLS を選択します。証明書を追加します。
    すべてのタイプ ディレクトリ証明書 エンタープライズ ディレクトリで SSL/TLS 経由のアクセスが必要な場合は、エンタープライズ ディレクトリ サーバのルート CA SSL 証明書をコピーしてテキスト ボックスに貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」および「END CERTIFICATE」行を含んでいることを確認します。
    DNS ルックアップを使用する Active Directory DNS サービス ロケーションの使用 DNS サービス ロケーション レコードを使用して Active Directory ドメインを検索するには、このボックスをオンにします。

    DNS サービス ロケーション ルックアップを使用しない場合、このチェック ボックスをオフにして、Active Directory サーバのホスト名とポートを入力します。

    • ホストとポートが固定された Active Directory
    • DNS ルックアップを使用する Active Directory
    • IWA ディレクトリ
    • LDAP ディレクトリ
    		 ベース DN ディレクトリ内の検索を開始する DN を入力します。例:cn=users,dc=example,dc=com
    すべてのタイプ バインド DN/ユーザー名 (IWA) ユーザーの検索に使用するユーザー名を入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。
    注: 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
    すべてのタイプ バインド パスワード バインド DN ユーザーのパスワードを入力します。
    • ホストとポートが固定された Active Directory
    • DNS ルックアップを使用する Active Directory
    • IWA ディレクトリ
    		 属性を検索 ユーザー名を含むアカウント属性を入力します。これは sAMAcountName、UPN、または Custom のどれかにすることができます。
    • LDAP ディレクトリ
    		 ユーザーのためのカスタム ディレクトリ検索属性 [検索属性] テキスト ボックスに Custom を入力した場合は、LDAP ディレクトリのクエリに使用するカスタム検索属性を入力して、ユーザーとグループの名前を取得します。例:[UID]
    • ホストとポートが固定された Active Directory
    • DNS ルックアップを使用する Active Directory
    • IWA ディレクトリ
    		 Active Directory ユーザーを取得するフィルタ クエリ エンタープライズ ディレクトリのクエリに使用する検索フィルタを入力します。
    • グループを取得する場合はグループ検索フィルタ。例:(objectClass=groupOfNames)
    • 同期するユーザーを取得する場合はユーザー検索フィルタ。例:(&(objectClass=user) (objectCategory=person))
    • ホストとポートが固定された Active Directory
    • DNS ルックアップを使用する Active Directory
    • IWA ディレクトリ
    • グローバル カタログ ディレクトリ
    		 SAML 名前-ID の形式 認証後にユーザーを識別するために使用される nameIdFormat 値を入力します。デフォルトでは、この値はディレクトリ検索 UID 属性になります。
    すべてのタイプ パスワードの変更機能が有効です ユーザーが Workspace ONE Access ログイン ページから Active Directory パスワードをリセットできるようにするには、この機能を有効にします。
    すべてのタイプ ログイン ページでのドメインの表示 ユーザーがサインオンしているときにオプションでシステム ドメインを表示するには、これを有効にします。これが無効にされて、1 つのドメインしか使用できない場合、ドメインの選択ページは表示されません。
  4. [次へ] をクリックし、構成を確認して [保存] をクリックします。

次のタスク

パスワード(クラウド デプロイ)を、組み込み ID プロバイダに認証方法として [統合] セクションに追加します。

デフォルトのアクセス ポリシーに認証方法を追加します。コンソールで、[リソース] > [ポリシー] ページに移動し、デフォルトのポリシー ルールを編集して、パスワード認証方法をルールに追加します。Workspace ONE Access サービスでのアクセス ポリシーの管理を参照してください。