Workspace ONE Access コンソールで、Active Directory に接続するために必要な情報を入力し、Workspace ONE Access ディレクトリに同期するユーザーおよびグループを選択します。

Active Directory では、LDAP 経由の Active Directory または統合 Windows 認証を使用する Active Directory の接続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービス ロケーション ルックアップがサポートされます。

前提条件

  • ディレクトリ同期サービスをインストールします。これは、Workspace ONE Access Connector バージョン 20.01.0.0 以降のコンポーネントとして使用可能です。詳細については、『VMware Workspace ONE Access Connector のインストールと構成』を参照してください。

    ユーザー認証サービスを使用してディレクトリのユーザーを認証する場合は、ユーザー認証サービス コンポーネントもインストールします。

  • Workspace ONE Access コンソールの [ユーザー属性] ページで、必須のユーザー属性を選択し、必要に応じてその他の属性を追加します。Workspace ONE Access のユーザー属性の管理 を参照してください。
  • Active Directory から同期する Active Directory のユーザーとグループのリストを作成します。グループ名はただちにディレクトリと同期されます。グループのメンバーは、グループにリソースの使用資格が付与されるか、グループがポリシー ルールに追加されるまで同期しません。グループ資格が構成される前に認証を必要とするユーザーは、最初の構成中に追加する必要があります。
  • LDAP 経由の Active Directory の場合、ベース DN、およびバインド ユーザー DN とパスワードが必要となります。

    バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。

    • 読み取り
    • すべてのプロパティの読み取り
    • アクセス許可の読み取り
    注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
  • 統合 Windows 認証を使用する Active Directory の場合、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードが必要です。

    バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。

    • 読み取り
    • すべてのプロパティの読み取り
    • アクセス許可の読み取り
    注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
  • Active Directory が SSL/TLS を介したアクセスを必要とする場合、関連するすべての Active Directory ドメインに対するドメイン コントローラの中間(使用されている場合)およびルート CA 証明書が必要です。ドメイン コントローラに複数の中間およびルート認証局の証明書がある場合は、すべての中間およびルート CA 証明書が必要です。
  • 統合 Windows 認証 を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。
  • 統合 Windows 認証を使用する Active Directory の場合:
    • SRV レコードのリストに含まれるすべてのドメイン コントローラおよび非表示の RODC について、ホスト名と IP アドレスの nslookup が動作する必要があります。
    • ネットワーク接続で、すべてのドメイン コントローラにアクセスできる必要があります。

手順

  1. Workspace ONE Access コンソールで、[ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動します。
  2. [ディレクトリを追加] をクリックし、[LDAP/IWA 経由の Active Directory を追加] を選択します。
  3. Workspace ONE Access ディレクトリの名前を入力します。
  4. 統合する Active Directory のタイプを [LDAP 経由の Active Directory][統合 Windows 認証を使用する Active Directory] から選択します。
  5. [LDAP 経由の Active Directory] を統合する場合は、次の手順を実行します。そうでない場合は、手順 6 に進みます。
    1. [ディレクトリの同期と認証] セクションで、次のように選択します。
      オプション 説明
      ディレクトリ同期ホスト このディレクトリを同期するために使用するディレクトリ同期サービス インスタンスを 1 つ以上選択します。テナントに登録されているすべてのディレクトリ同期サービス インスタンスが一覧表示されます。選択できるインスタンスはアクティブ状態のもののみです。

      インスタンスを複数選択すると、Workspace ONE Access では、リストで最初に選択されたインスタンスを使用してディレクトリを同期します。最初のインスタンスが使用できない場合は、次に選択されたインスタンスを使用します(以降同様)。ディレクトリを作成してからは、ディレクトリの [同期設定] ページからリストの順序を変更できます。

      認証 ユーザー認証サービスを使用してこのディレクトリのユーザーを認証する場合は [はい] を選択します。ユーザー認証サービスは前もってインストールされている必要があります。[はい] を選択すると、パスワード(クラウド デプロイ)認証方法と ID プロバイダがディレクトリに自動作成されます。

      このディレクトリのユーザーをユーザー認証サービスによって認証しない場合は [いいえ] を選択します。ユーザー認証サービスを後で使用する場合は、ディレクトリのパスワード(クラウド デプロイ)認証方法と ID プロバイダを手動で作成できます。

      ユーザー認証ホスト このオプションは、[認証][はい] に設定されている場合に表示されます。このディレクトリのユーザーを認証するために使用するユーザー認証サービス インスタンスを 1 つ以上選択します。テナントに登録されていてアクティブ状態にあるすべてのユーザー認証サービス インスタンスが一覧表示されます。

      インスタンスを複数選択すると、Workspace ONE Access は、認証要求をラウンドロビンの順序で選択したインスタンスに送信します。

      ディレクトリ検索属性 ユーザー名を含むアカウントの属性を選択します。
    2. Active Directory で DNS サービス ロケーション ルックアップを使用する場合は、次の項目を選択します。
      • [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェック ボックスを選択します。

        Workspace ONE Access が、最適なドメイン コントローラを検索して使用します。ドメイン コントローラの選択を最適化しない場合は、代わりに手順 c を実行します。

      • Active Directory が SSL/TLS 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要] チェック ボックスを選択し、ドメイン コントローラの中間(使用されている場合)およびルート CA 証明書をコピーして [SSL 証明書] テキスト ボックスに貼り付けます。

        まず中間 CA 証明書を入力し、それからルート CA 証明書を入力します。各証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行が含まれているようにします。

        ドメイン コントローラに複数の中間およびルート認証局の証明書がある場合は、すべての中間-ルート CA 証明書チェーンを 1 つずつ入力していきます。

        例:

        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 2>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 2>
        ...
        -----END CERTIFICATE-----
        注: Active Directory が SSL/TLS 経由のアクセスを必要とする場合、証明書がなければディレクトリを作成できません。
    3. Active Directory の DNS サービス ロケーション ルックアップを使用しない場合は、次の項目を選択します。
      • [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェック ボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。

        グローバル カタログとしてディレクトリを構成するには、Active Directory 環境の「マルチ ドメイン、シングル フォレストの Active Directory 環境」セクションを参照してください。

      • Active Directory が SSL/TLS 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリでは、すべての接続を SSL 経由にする] チェック ボックスを選択し、ドメイン コントローラの中間(使用されている場合)およびルート CA 証明書をコピーして [SSL 証明書] フィールドに貼り付けます。

        まず中間 CA 証明書を入力し、それからルート CA 証明書を入力します。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行が含まれているようにします。

        注: Active Directory が SSL/TLS 経由のアクセスを必要とする場合、証明書がなければディレクトリを作成できません。
    4. [バインド ユーザーの詳細] セクションで、次の情報を入力します。
      オプション 説明
      ベース DN アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。
      注: ベース DN は認証に使用されます。ベース DN の下にいるユーザーのみが認証を受けることができます。同期のために後で指定するグループ DN とユーザー DN が、このベース DN の下にあるようにします。
      バインド ユーザー DN ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。
      注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
      バインド ユーザー パスワード バインド ユーザーのパスワードです。
  6. [統合 Windows 認証を使用する Active Directory] を統合する場合は、次の手順を実行します。
    1. [ディレクトリの同期と認証] セクションで、次のように選択します。
      オプション 説明
      ディレクトリ同期ホスト このディレクトリを同期するために使用するディレクトリ同期サービス インスタンスを 1 つ以上選択します。テナントに登録されていてアクティブ状態にあるすべてディレクトリ同期サービス インスタンスが一覧表示されます。

      インスタンスを複数選択すると、Workspace ONE Access では、リストで最初に選択されたインスタンスを使用してディレクトリを同期します。最初のインスタンスが使用できない場合は、次に選択されたインスタンスを使用します(以降同様)。ディレクトリを作成してからは、ディレクトリの [同期設定] ページからリストの順序を変更できます。

      認証 ユーザー認証サービスを使用してこのディレクトリのユーザーを認証する場合は [はい] を選択します。ユーザー認証サービスは前もってインストールされている必要があります。[はい] を選択すると、パスワード(クラウド デプロイ)認証方法と ID プロバイダがディレクトリに自動作成されます。

      このディレクトリのユーザーをユーザー認証サービスによって認証しない場合は [いいえ] を選択します。後で考えが変わった場合は、ディレクトリのパスワード(クラウド デプロイ)認証方法と ID プロバイダを手動で作成できます。

      ユーザー認証ホスト このオプションは、[認証][はい] に設定されている場合に表示されます。このディレクトリのユーザーを認証するために使用するユーザー認証サービス インスタンスを 1 つ以上選択します。テナントに登録されていてアクティブ状態にあるすべてのユーザー認証サービス インスタンスが一覧表示されます。

      インスタンスを複数選択すると、Workspace ONE Access は、認証要求をラウンドロビンの順序で選択したインスタンスに送信します。

      ディレクトリ検索属性 ユーザー名を含むアカウントの属性を選択します。
    2. Active Directory が SSL/TLS 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要] チェック ボックスを選択し、ドメイン コントローラの中間(使用されている場合)およびルート CA 証明書をコピーして [SSL 証明書] テキスト ボックスに貼り付けます。

      まず中間 CA 証明書を入力し、それからルート CA 証明書を入力します。各証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行が含まれているようにします。

      ドメイン コントローラに複数の中間およびルート認証局の証明書がある場合は、すべての中間-ルート CA 証明書チェーンを 1 つずつ入力していきます。

      例:

      -----BEGIN CERTIFICATE-----
      ...
      <Intermediate Certificate 1>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Root Certificate 1>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Intermediate Certificate 2>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Root Certificate 2>
      ...
      -----END CERTIFICATE-----
      注: Active Directory が SSL/TLS 経由のアクセスを必要とする場合、証明書がなければディレクトリを作成できません。
    3. [バインド ユーザーの詳細] セクションに、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードを入力します。ユーザー名を sAMAccountName@domain として入力します。ここで、domain は完全修飾ドメイン名です。たとえば、jdoe@example.com のように入力します。
      注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
  7. [保存して次へ] をクリックします。
  8. [ドメインを選択] ページで、該当する場合はドメインを選択してから、[次へ] をクリックします。
    • [LDAP 経由の Active Directory] の場合、ドメインのリストが表示されますが、すでに選択されています。
    • [統合 Windows 認証を使用する Active Directory] の場合、この Active Directory 接続に関連付ける必要があるドメインを選択します。ベース ドメインとの双方向の信頼関係があるすべてのドメインが一覧表示されます。

      Workspace ONE Access ディレクトリが作成された後に、ベース ドメインとの双方向の信頼関係があるドメインが Active Directory に追加される場合は、ディレクトリの [同期設定] > [ドメイン] ページから追加できます([更新] をクリックして最新のリストを取得)。

      ヒント: すべてのドメインを一度に選択するのではなく、信頼されているドメインを 1 つずつ選択します。こうすることにより、ドメイン保存の実行時間が長くなってタイムアウトする可能性がなくなります。ドメインを順番に選択すると、ディレクトリ同期サービスでは、解決しようとするドメインを 1 つのみにして時間を費やすようになります。
    • [グローバル カタログ] オプションを選択して「LDAP 経由の Active Directory」ディレクトリを作成する場合、[ドメイン] タブは表示されません。
  9. [ユーザー属性のマップ] ページで、Workspace ONE Access ディレクトリの属性名が正しい Active Directory 属性にマッピングされていることを確認し、必要に応じて変更して、[次へ] をクリックします。
  10. Active Directory から Workspace ONE Access ディレクトリに同期するグループを選択します。
    グループを追加するときは、常に次の考慮事項に留意してください。
    • ベスト プラクティスとして、ディレクトリを作成する際は少数のグループを追加して同期します。初期セットアップの後なら、さらにグループを追加できます。
    • グループが追加され同期されると、グループ名がディレクトリと同期されます。グループのメンバーであるユーザーは、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセス ポリシー ルールに追加されるまで、ディレクトリに同期されません。
      注: この制限をオーバーライドするには、 [ID とアクセス管理] > [セットアップ] > [設定] ページで [グループを追加するときにグループ メンバーをディレクトリに同期] を有効にします。
    • グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。
    グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。
    1. [グループ DN を指定] 行で [+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。
      ヒント: 検索に長い時間がかかるため、検索するのにベース DN などの上位 DN を入力することは推奨されません。検索には、より具体的な DN を入力するようにします。
      重要: [ディレクトリを追加] ページの [ベース DN] テキスト ボックスに入力したベース DN の下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. グループ DN の下のすべてのグループを選択する場合は、[すべてを選択] をクリックします。
      ディレクトリを作成してから Active Directory のグループ DN に対しグループの追加または削除をした場合、その変更はそれ以降の同期で反映されます。
    3. グループ DN の下で、すべてではなく特定のグループを選択する場合は、[選択] をクリックして選択を行ってから、[保存] をクリックします。
      [選択] をクリックすると、DN にあるすべてのグループが一覧表示されます。検索する語句を検索ボックスに入力すると、検索結果を絞り込んだり、特定のグループを検索したりできます。
    4. 必要に応じて、[ネストされたグループ メンバーを同期] オプションを選択または選択解除します。
      [ネストされたグループ メンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっていると、グループに資格が付与されるときに、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。 Workspace ONE Access ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

      [ネストされたグループ メンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

  11. [次へ] をクリックします。
  12. 同期するユーザーを選択します。
    ユーザーを追加するときは、常に次の考慮事項に留意してください。
    • グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセス ポリシー ルールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
    • [バインドの詳細] セクションで指定したバインド ユーザーは、デフォルトでは Workspace ONE Access サービスに同期されません。バインド ユーザーを同期する場合、このタブでユーザー DN を入力します。ディレクトリが同期されてから、必要に応じてバインド ユーザーのロールを設定します。
    1. [ユーザー DN を指定] 行で [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
      重要: [ディレクトリを追加] ページの [ベース DN] テキスト ボックスに入力したベース DN の下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. (オプション)ユーザーを除外するには、選択した属性に基づいてユーザーを除外するフィルタを作成します。複数の除外フィルタを作成することができます。
      フィルタリングの基準となるユーザー属性と、定義した値に適用するクエリ フィルタを選択します。
      オプション 説明
      次を含む 設定した属性と値に一致するすべてのユーザーを除外します。たとえば、[name 次を含む Jane] は「Jane」という名前のユーザーを除外します。
      次を含まない 設定した属性と値に一致するユーザー以外のすべてのユーザーを除外します。たとえば、[telephoneNumber 次を含まない 800] は、電話番号に「800」が含まれるユーザーのみを含めます。
      次で始まる 属性値が指定の文字で始まるすべてのユーザーを除外します。たとえば、[employeeID 次で始まる ACME0] は、ID 番号の先頭に「ACME0」を含む従業員 ID を持つすべてのユーザーを除外します。
      次で終わる 属性値が指定の文字で終わるすべてのユーザーを除外します。たとえば、[mail 次で終わる example1.com] は、メール アドレスが「example1.com」で終わるすべてのユーザーを除外します。
    値は大文字と小文字を区別しません。値の文字列には、次の記号を使用しないでください。
    • アスタリスク *
    • カレット ^
    • 括弧 ( )
    • 疑問符 ?
    • 感嘆符 !
    • ドル記号 $
  13. [次へ] をクリックします。
  14. [同期間隔] ページで、同期スケジュールをセットアップしてユーザーとグループを定期的に同期するか、スケジュールを設定しない場合は [同期間隔] ドロップダウン リストで [手動] を選択します。
    この時間は UTC で設定されます。
    ヒント: 同期の間隔は同期する時間より長くなるようにスケジュールします。次回の同期をスケジューリングするときにユーザーとグループがディレクトリに同期されている場合、新しい同期は前の同期の終了直後に開始されます。
    [手動] を選択した場合は、ディレクトリを同期するたびに、[ディレクトリ] ページの [同期] ボタンをクリックする必要があります。
  15. [保存] をクリックしてディレクトリを作成するか、[ディレクトリ同期] をクリックしてディレクトリを作成し同期を開始します。

結果

Active Directory への接続が確立されます。[ディレクトリ同期] をクリックすると、ユーザーとグループ名が Active Directory から Workspace ONE Access ディレクトリに同期されます。

グループの同期方法の詳細については、『VMware Workspace ONE Access の管理』の「ユーザーおよびグループの管理」を参照してください。

次のタスク

  • [認証] オプションを [はい] に設定すると、[directoryname の IDP] という名前の ID プロバイダおよびパスワード(クラウド デプロイ)認証方法がディレクトリに自動作成されます。これらは、[ID とアクセス管理] > [管理] > [ID プロバイダ] ページと [エンタープライズ認証方法] ページで表示できます。[エンタープライズ認証方法] タブでは、ディレクトリの認証方法をさらに作成することもできます。認証方法の作成の詳細については、『[<AuthGuide>] ガイド』を参照してください。
  • デフォルトのアクセス ポリシーは、[ID とアクセス管理] > [管理] > [ポリシー] ページで確認します。
  • 同期のセーフガードのデフォルト設定を確認し、必要に応じて変更します。詳細については、ディレクトリ同期のセーフガードの設定を参照してください。