Workspace ONE UEM에서 동기화된 사용자 및 그룹을 저장하는 [기타] 유형의 디렉토리를 VMware Identity Manager Connector와 연결된 [LDAP를 통한 Active Directory] 또는 [Windows 통합 인증을 통한 Active Directory] 유형으로 변환할 수 있습니다. 디렉토리를 변환한 후에는 엔터프라이즈 디렉토리의 사용자 및 그룹을 VMware Identity Manager 서비스와 동기화하는 데 ACC 대신 VMware Identity Manager Connector가 사용됩니다.

사전 요구 사항

  • VMware Identity Manager Connector를 설치하고 활성화합니다.

    일부 기능을 사용하려면 Windows 서버를 도메인에 가입해야 하며 Windows 서버에서 관리자 그룹에 속하는 도메인 사용자 권한으로 VMware Identity Manager Connector를 설치하고, IDM Connector 서비스를 Windows 도메인 사용자 권한으로 실행하도록 선택해야 합니다.

    이러한 요구 사항은 다음 경우에 적용됩니다.

    • [기타] 디렉토리를 [Windows 통합 인증을 통한 Active Directory]로 변환하려는 경우
    • Kerberos 인증을 사용하려는 경우
  • 다음 Active Directory 정보가 필요합니다.
    • [LDAP를 통한 Active Directory]로 변환하는 경우 기본 DN, 바인딩 사용자 DN 및 암호가 필요합니다.

      바인딩 사용자는 사용자 및 그룹 개체에 대한 액세스 권한을 부여하려면 Active Directory에서 다음 사용 권한이 있어야 합니다.

      • 읽기
      • 모든 속성 읽기
      • 사용 권한 읽기

      만료되지 않는 암호를 사용하는 바인딩 사용자 계정을 사용하는 것이 좋습니다.

    • Windows 통합 인증을 통한 Active Directory로 변환하는 경우 필요한 도메인에 대한 사용자 및 그룹을 쿼리하기 위한 사용 권한이 있는 바인딩 사용자의 사용자 이름 및 암호가 필요합니다.

      바인딩 사용자는 사용자 및 그룹 개체에 대한 액세스 권한을 부여하려면 Active Directory에서 다음 사용 권한이 있어야 합니다.

      • 읽기
      • 모든 속성 읽기
      • 사용 권한 읽기

      만료되지 않는 암호를 사용하는 바인딩 사용자 계정을 사용하는 것이 좋습니다.

    • Active Directory에 SSL/TLS를 통한 액세스가 필요한 경우 모든 관련 Active Directory 도메인에 대한 중간(사용될 경우) 및 루트 CA 인증서가 필요합니다. 도메인 컨트롤러에 여러 중간 및 루트 인증 기관의 인증서가 있는 경우 모든 중간 및 루트 CA 인증서가 필요합니다.
    • Windows 통합 인증을 통한 Active Directory의 경우, 다중 포리스트 Active Directory를 구성했고 도메인 로컬 그룹에 서로 다른 포리스트의 도메인 구성원이 포함되었다면 도메인 로컬 그룹이 상주하는 도메인의 관리자 그룹에 바인딩 사용자를 추가해야 합니다. 이렇게 하지 않으면 이러한 구성원은 도메인 로컬 그룹에서 누락됩니다.
    • Windows 통합 인증을 통한 Active Directory의 경우:
      • SRV 레코드에 나열된 모든 도메인 컨트롤러와 숨겨진 RODC의 경우 호스트 이름 및 IP 주소의 nslookup이 작동해야 합니다.
      • 모든 도메인 컨트롤러는 네트워크에 연결될 수 있어야 합니다.

프로시저

  1. VMware Identity Manager 관리 콘솔에서 ID 및 액세스 관리 탭을 클릭한 다음 디렉토리 탭을 클릭합니다.
  2. 변환할 디렉토리를 클릭합니다.
  3. 디렉토리 페이지에서 변환 버튼을 클릭합니다.
  4. [디렉토리 추가] 페이지에서 필요한 경우 디렉토리의 이름을 변경하고 [기타] 디렉토리를 변환할 디렉토리 유형을 LDAP를 통한 Active Directory 또는 Windows 통합 인증을 통한 Active Directory 중에서 선택합니다.
  5. Active Directory 연결 정보를 입력하고 마법사를 계속 진행하여 디렉토리를 설정합니다.
    자세한 내용은 " VMware Identity Manager와 디렉토리 통합" 가이드의 "서비스에 대한 Active Directory 연결 구성"을 참조하십시오.

    다음 지침을 따르십시오.

    • 커넥터 동기화 필드에서 설치한 VMware Identity Manager 커넥터를 선택합니다.
    • 인증을 위해 커넥터 대신 타사 ID 제공자를 사용하려는 경우가 아니면 디렉토리 동기화 및 인증 섹션에서 인증에 대해 를 선택합니다.
    • 동일한 디렉토리 구조를 갖도록 변환된 디렉토리를 Workspace ONE UEM 디렉토리와 동일하게 설정해야 합니다. 동일한 도메인을 선택합니다. 동기화할 사용자 및 그룹을 지정할 때는 동일한 사용자 및 그룹이 변환된 디렉토리와 동기화되도록 Workspace ONE UEM 디렉토리와 동일한 선택 항목을 지정합니다.
  6. 마법사의 마지막 페이지에서 디렉토리 동기화를 클릭합니다.
    디렉토리가 변환되고 VMware Identity Manager Connector를 사용하도록 설정됩니다. Workspace ID 제공자가 아직 없으면 생성되고 디렉토리가 자동으로 이 제공자와 연결됩니다. 디렉토리에 대해 암호 인증 방법이 이미 사용되도록 설정되어 있습니다.
  7. (선택 사항) 디렉토리에 대해 다른 인증 방법을 사용하도록 설정하려면 다음 단계를 따르십시오.
    1. ID 및 액세스 관리 탭에서 설정을 클릭합니다.
    2. [커넥터] 페이지에서 변환된 디렉토리가 연결된 커넥터 및 작업자를 찾고 작업자 열의 링크를 클릭합니다.
    3. [작업자] 페이지에서 인증 어댑터 탭을 클릭합니다.
    4. 각각에 대한 링크를 클릭하고 구성 정보를 입력하여 디렉토리에 대해 사용하려는 인증 어댑터를 구성하고 사용하도록 설정합니다.
      인증 어댑터 구성에 대한 자세한 내용은 " VMware Identity Manager 관리" 를 참조하십시오.
  8. default_access_policy_set 및 사용자 지정 정책이 [암호(AirWatch Connector)] 대신 VMware Identity Manager Connector 인증 방법을 선택하도록 편집합니다.
    1. ID 및 액세스 관리 탭에서 정책 탭을 클릭합니다.
    2. 기본 정책 편집을 클릭합니다.
    3. 구성을 클릭합니다.
    4. 각 정책 규칙을 편집하고 암호(AirWatch Connector) 인증 방법을 VMware Identity Manager Connector 인증 방법에 해당하는 암호로 바꿉니다.
    5. 정책 탭을 다시 클릭하고 사용자 지정 정책이 있는 경우 [암호] 또는 구성한 기타 VMware Identity Manager Connector 인증 방법을 사용하도록 편집합니다.
      중요: [암호(Airwatch Connector)]를 [암호] 또는 다른 VMware Identity Manager Connector 기반 인증 방법으로 변경하지 않으면 변환된 디렉토리의 사용자가 로그인할 수 없게 됩니다.

다음에 수행할 작업

Workspace ONE UEM에서 변환된 디렉토리로의 디렉토리 동기화를 중지합니다.