エンタープライズ LDAP ディレクトリと VMware Workspace ONE Accessを連携して、ユーザーとグループを LDAP ディレクトリから VMware Workspace ONE Access サービスに同期することができます。

LDAP ディレクトリを統合するには、対応する VMware Workspace ONE Access ディレクトリを作成し、ユーザーとグループを LDAP ディレクトリから VMware Workspace ONE Access ディレクトリに同期します。後続の更新のために定期的な同期スケジュールを設定することができます。

また、ユーザーのために同期させる LDAP 属性を選択し、VMware Workspace ONE Access属性にマップします。

LDAP ディレクトリは、デフォルト スキーマまたはカスタム スキーマに基づいて構成することがあります。また、カスタム属性を使用する可能性もあります。VMware Workspace ONE Accessで、LDAP ディレクトリを検索してユーザーまたはグループ オブジェクトを取得できるようにするには、LDAP ディレクトリに適用可能な LDAP 検索フィルタおよび属性名を指定する必要があります。

具体的には、次の情報を指定する必要があります。

  • グループ、ユーザーおよびバインド ユーザーを取得するための LDAP 検索フィルタ
  • グループ メンバーシップ、外部 ID、および識別名または同等の属性のための LDAP 属性名

LDAP ディレクトリの統合機能には特定の制限が適用されます。LDAP ディレクトリ統合の制限を参照してください。

前提条件

  • ディレクトリ同期サービスをインストールします。このサービスは、バージョン 20.01.0.0 から始まる Workspace ONE Access Connector のコンポーネントとして使用できます。詳細については、最新バージョンの『VMware Workspace ONE Access Connector のインストール』を参照してください。

    ユーザー認証サービスを使用してディレクトリのユーザーを認証する場合は、ユーザー認証サービス コンポーネントもインストールします。

  • [ID とアクセス管理] > [セットアップ] > [ユーザー属性] ページの属性を確認し、同期する属性を追加します。ディレクトリを作成するときは、VMware Workspace ONE Access 属性を LDAP ディレクトリ属性にマップします。これらの属性はディレクトリ内のユーザーに対して同期されます。
    注: ユーザー属性を変更する場合は、 Workspace ONE Access サービスの他のディレクトリに対する影響を考慮してください。Active Directory と LDAP ディレクトリの両方を追加する計画の場合は、必須のマークを付けることができる [userName] を除いて、属性には必須のマークが付いていないことを確認してください。[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性に必須のマークが付いている場合は、その属性を持たないユーザーは VMware Workspace ONE Accessサービスに同期されません。
  • バインド DN ユーザー アカウント。有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
  • LDAP ディレクトリでは、ユーザーとグループの UUID はプレーン テキスト形式である必要があります。
  • LDAP ディレクトリには、すべてのユーザーおよびグループに対するドメイン属性が存在する必要があります。

    VMware Workspace ONE Accessディレクトリを作成するときは、この属性を VMware Workspace ONE Access[domain] 属性にマップします。

  • ユーザー名にスペースを含めることはできません。ユーザー名にスペースが含まれていると、ユーザーは同期されますが、資格を利用できません。
  • 証明書認証を使用する場合、ユーザーは userPrincipalName とメール アドレス属性の値を持っている必要があります。

手順

  1. Workspace ONE Access コンソールで、[ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動します。
  2. [ディレクトリを追加] をクリックし、[LDAP ディレクトリ] をクリックします。
  3. [ディレクトリを追加] ページに必要な情報を入力します。
    オプション 説明
    ディレクトリ名 VMware Workspace ONE Access ディレクトリの名前を入力します。
    ディレクトリの同期と認証
    1. [ディレクトリ同期ホスト] で、このディレクトリを同期するために使用するディレクトリ同期サービス インスタンスを 1 つ以上選択します。テナントに登録されているすべてのディレクトリ同期サービス インスタンスが一覧表示されます。選択できるインスタンスはアクティブ状態のもののみです。

      インスタンスを複数選択すると、Workspace ONE Access では、リストで最初に選択されたインスタンスを使用してディレクトリを同期します。最初のインスタンスが使用できない場合は、次に選択されたインスタンスを使用します(以降同様)。ディレクトリを作成してからは、ディレクトリの [同期設定] ページからリストの順序を変更できます。

    2. [認証] で、ユーザー認証サービスを使用してこのディレクトリのユーザーを認証する場合は [はい] を選択します。ユーザー認証サービスは前もってインストールされている必要があります。[はい] を選択すると、パスワード(クラウド デプロイ)認証方法および組み込みタイプの [IDP for directoryName] という名前の ID プロバイダがディレクトリに自動作成されます。

      このディレクトリのユーザーをユーザー認証サービスによって認証しない場合は [いいえ] を選択します。ユーザー認証サービスを後で使用する場合は、ディレクトリのパスワード(クラウド デプロイ)認証方法と ID プロバイダを手動で作成できます。これを行う場合は、[ID とアクセス管理] > [ID プロバイダ] ページで、[ID プロバイダを追加] > [組み込み ID プロバイダを作成] を選択して、ディレクトリに新しい ID プロバイダを作成します。[Built-in] という名前の事前に作成された ID プロバイダを使用することは推奨されません。

    3. [ユーザー認証ホスト] オプションは、[認証][はい] に設定されている場合に表示されます。このディレクトリのユーザーを認証するために使用するユーザー認証サービス インスタンスを 1 つ以上選択します。テナントに登録されていてアクティブ状態にあるすべてのユーザー認証サービス インスタンスが一覧表示されます。

      インスタンスを複数選択すると、Workspace ONE Access は、認証要求をラウンドロビンの順序で選択したインスタンスに送信します。

    4. [ユーザー名] テキスト ボックスで、ユーザー名に使用する LDAP ディレクトリ属性を選択します。属性が表示されない場合は、[カスタム] を選択し、ユーザーおよびグループに使用するカスタム属性の名前を入力します。たとえば、cn にように入力します。
    サーバの場所 LDAP ディレクトリ サーバのホスト名とポート番号を入力します。サーバ ホストには、完全修飾ドメイン名または IP アドレスのいずれかを指定することができます。たとえば、myLDAPserver.example.com または 100.00.00.0 のように入力します。

    ロード バランサの背後にサーバのクラスタがある場合は、代わりにロード バランサの情報を入力します。

    LDAP 構成 VMware Workspace ONE Access が LDAP ディレクトリのクエリに使用することができる LDAP 検索フィルタおよび属性を指定します。デフォルト値はコア LDAP スキーマに基づいて提供されます。

    [フィルタ クエリ]

    • [グループ]:グループ オブジェクトを取得するための検索フィルタ。

      例:(objectClass=groupOfNames)

    • [バインド ユーザー]:バインド ユーザー オブジェクト、つまりディレクトリにバインドすることができるユーザーを取得するための検索フィルタ。

      例:(objectClass=person)

    • [ユーザー]:同期するユーザーを取得するための検索フィルタ。

      例:(&(objectClass=user)(objectCategory=person))

    [属性]

    • [メンバーシップ]:グループのメンバーを定義するために LDAP ディレクトリで使用される属性。

      例:member

    • [外部 ID]:Workspace ONE Access ディレクトリ内のユーザーおよびグループの一意の ID として使用する属性。デフォルト値は entryUUID です。
      重要: すべてのユーザーには、属性に対して空でない一意の値が定義されている必要があります。値は Workspace ONE Access テナント全体で一意にする必要があります。属性に値が設定されていないユーザーがいる場合、ディレクトリは同期されません。

      外部 ID を設定するときは、次の点に注意してください。

      • Workspace ONE Access を Workspace ONE UEM と統合する場合は、両方の製品で外部 ID が同じ属性に設定されていることを確認してください。
      • 外部 ID は、ディレクトリの作成後に変更できます。ただし、ユーザーを Workspace ONE Access に同期する前に、外部 ID を設定することをお勧めします。外部 ID を変更すると、ユーザーは再作成されます。その結果、すべてのユーザーがログアウトされるので、再度ログインする必要があります。また、Web アプリケーションと ThinApp のユーザー資格を再構成する必要があります。Horizon、Horizon Cloud、Citrix の資格が削除され、次回の資格同期で再作成されます。
      • 外部 ID オプションは Workspace ONE Access Connector 20.10 および 19.03.0.1 で使用できます。Workspace ONE Access サービスに関連付けられたすべてのコネクタはバージョン 20.10 である必要があります。またはすべてバージョン 19.03.0.1 である必要があります。異なるバージョンのコネクタがサービスに関連付けられている場合、外部 ID オプションは表示されません。
    • [識別名]:(オプション)LDAP ディレクトリでユーザーまたはグループの識別名に使用される属性。

      例:dn

      デフォルトでは、識別名属性は、ユーザーおよびグループ オブジェクトを一意に識別するために使用されます。LDAP スキーマに識別名属性がない場合は、[高度な LDAP 設定を有効にします] オプションを選択し、グループとユーザーを識別するために使用する値を入力します。

    • [高度な LDAP 設定を有効にします]:高度な LDAP 構成オプションを表示するには、このチェック ボックスをオンにします。LDAP スキーマに識別名属性がない場合、または posixGroups を使用している場合は、高度な構成を使用します。
      • [グループ フィルタ]:グループのクエリと識別に使用する値。この値は、LDAP スキーマに識別名属性がない場合に必要です。

        例:cn

      • [ユーザー フィルタ]:ユーザーのクエリと識別に使用する値。この値は、LDAP スキーマに識別名属性がない場合に必要です。

        例:uid

      • [ユーザーのメンバーシップ マッピング フィルタ]:(オプション)このオプションは、通常、posixGroups を使用する LDAP ディレクトリの場合に必要です。[ユーザーのメンバーシップ マッピング フィルタ] は、メンバーシップ属性によって返されるユーザーのクエリと識別に使用されます。

        例:uidNumber

    暗号化 LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、[すべての接続に必要な LDAPS] チェック ボックスを選択し、LDAP ディレクトリ サーバのルート CA SSL 証明書をコピーしてテキスト ボックスに貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
    バインド ユーザーの詳細 [ベース DN]:検索を開始する DN を入力します。たとえば、cn=users,dc=example,dc=com のように入力します。
    [バインド ユーザー DN]:LDAP ディレクトリにバインドするために使用するユーザー名を入力します。
    注: 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

    [バインド ユーザー パスワード]:バインド DN ユーザーのパスワードを入力します。

  4. [保存と設定] をクリックします。
  5. [ドメイン] ページで、正しいドメインがリストされることを確認し、[次へ] をクリックします。
  6. [属性をマップ] ページで、VMware Workspace ONE Access 属性が正しい LDAP ディレクトリ属性にマップされていることを確認し、必要に応じて変更します。

    これらの属性がユーザーに対して同期されます。

    重要: [domain] 属性のマッピングを指定する必要があります

    [セットアップ] > [ユーザー属性] ページからは、属性を追加したり、必須属性のリストを管理したりすることができます。

    重要: 属性に必須のマークが付いている場合は、同期するユーザー全員に対して属性の値を設定する必要があります。必須属性の値が欠落しているユーザー レコードは同期されません。
  7. [次へ] をクリックします。
  8. LDAP ディレクトリから Workspace ONE Access ディレクトリに同期するグループを選択します。
    グループを追加するときは、常に次の考慮事項に留意してください。
    • ベスト プラクティスとして、ディレクトリを作成する際は少数のグループを追加して同期します。初期セットアップの後なら、さらにグループを追加できます。
    • グループが追加され同期されると、グループ名がディレクトリと同期されます。グループのメンバーであるユーザーは、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセス ポリシー ルールに追加されるまで、ディレクトリに同期されません。
      注: この制限をオーバーライドするには、 [ID とアクセス管理] > [セットアップ] > [設定] ページで [グループを追加するときにグループ メンバーをディレクトリに同期] を有効にします。
    • LDAP ディレクトリに同じ名前のグループが複数ある場合は、グループ ページ内でグループに一意の名前を指定する必要があります。
    グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。
    1. [トップレベル グループを指定] 行で [+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。
      ヒント: 検索に長い時間がかかるため、検索するのにベース DN などの上位 DN を入力することは推奨されません。検索には、より具体的な DN を入力するようにします。
      重要: [ディレクトリを追加] ページの [ベース DN] テキスト ボックスに入力したベース DN の下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. 追加したグループ DN の下のすべてのグループを選択する場合は、[すべてを選択] チェック ボックスをクリックします。
      ディレクトリを作成してから Active Directory のグループ DN に対しグループの追加または削除をした場合、その変更はそれ以降の同期で反映されます。
    3. グループ DN の下で、すべてではなく特定のグループを選択する場合は、[グループを選択] をクリックして選択を行ってから、[保存] をクリックします。
      [グループを選択] をクリックすると、DN にあるすべてのグループが一覧表示されます。検索する語句を検索ボックスに入力すると、検索結果を絞り込んだり、特定のグループを検索したりできます。
    4. 必要に応じて、[ネストされたグループ メンバーを同期] オプションを選択または選択解除します。
      [ネストされたグループ メンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっていると、グループに資格が付与されるときに、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。 Workspace ONE Access ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

      [ネストされたグループ メンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模なディレクトリ構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

  9. [次へ] をクリックします。
  10. 同期するユーザーを選択します。
    ユーザーを追加するときは、常に次の考慮事項に留意してください。
    • グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセス ポリシー ルールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
    • [バインドの詳細] セクションで指定したバインド ユーザーは、デフォルトでは Workspace ONE Access サービスに同期されません。バインド ユーザーを同期する場合、このタブでユーザー DN を入力します。
    1. [ユーザー DN を指定] 行で [+] をクリックし、ユーザー DN を入力します。例:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      重要: [ディレクトリを追加] ページの [ベース DN] テキスト ボックスに入力したベース DN の下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

      ユーザー DN が有効かどうかを確認し、同期されるユーザー数を確認するには、その行の [テスト] ボタンをクリックします。

    2. 必要に応じて、DN にユーザーを含めるか除外するフィルタを指定します。
      詳細については、 Workspace ONE Access でのディレクトリ同期のフィルタの指定を参照してください。
  11. [同期間隔] ページで、同期スケジュールをセットアップしてユーザーとグループを定期的に同期するか、スケジュールを設定しない場合は [同期間隔] ドロップダウン リストで [手動] を選択します。
    この時間は UTC で設定されます。
    ヒント: 同期の間隔は同期する時間より長くなるようにスケジュールします。次回の同期をスケジューリングするときにユーザーとグループがディレクトリに同期されている場合、新しい同期は前の同期の終了直後に開始されます。このスケジュールで、同期プロセスが継続します。
    [手動] を選択した場合は、ディレクトリを同期するたびに、[ディレクトリ] ページの [同期] ボタンをクリックする必要があります。
  12. [保存] をクリックしてディレクトリを作成するか、[ディレクトリ同期] をクリックしてディレクトリを作成し同期を開始します。

結果

LDAP ディレクトリへの接続が確立されます。[ディレクトリ同期] をクリックすると、ユーザーとグループ名が LDAP ディレクトリから Workspace ONE Access ディレクトリに同期されます。

グループの同期方法の詳細については、『VMware Workspace ONE Access の管理』の「ユーザーおよびグループの管理」を参照してください。

次のタスク

  • [認証] オプションを [はい] に設定すると、[directoryname の IDP] という名前の ID プロバイダおよびパスワード(クラウド デプロイ)認証方法がディレクトリに自動作成されます。これらは、[ID とアクセス管理] > [管理] > [ID プロバイダ] ページと [エンタープライズ認証方法] ページで表示できます。[エンタープライズ認証方法] タブでは、ディレクトリの認証方法をさらに作成することもできます。認証方法の作成の詳細については、Workspace ONE Access でのユーザー認証方法の管理を参照してください。
  • デフォルトのアクセス ポリシーは、[ID とアクセス管理] > [管理] > [ポリシー] ページで確認します。
  • 同期のセーフガードのデフォルト設定を確認し、必要に応じて変更します。詳細については、Workspace ONE Access でのディレクトリ同期のセーフガードの設定を参照してください。