Workspace ONE Access에서는 Workspace ONE UEM에서 동기화된 사용자 및 그룹을 저장하는 [기타] 유형의 디렉토리를 Workspace ONE Access Connector와 연결된 [LDAP를 통한 Active Directory] 또는 [Windows 통합 인증을 통한 Active Directory] 유형으로 변환할 수 있습니다. 디렉토리를 변환한 후에는 엔터프라이즈 디렉토리의 사용자 및 그룹을 Workspace ONE Access 서비스와 동기화하는 데 ACC 대신 Workspace ONE Access Connector의 디렉토리 동기화 서비스가 커넥터가 사용됩니다.

사전 요구 사항

  • 버전 20.01.0.0으로 시작하는 Workspace ONE Access Connector의 구성 요소인 디렉토리 동기화 서비스 및 사용자 인증 서비스를 설치합니다. 자세한 내용은 "VMware Workspace ONE Access Connector 설치" 의 최신 버전을 참조하십시오.
  • 다음 Active Directory 정보가 필요합니다.
    • [LDAP를 통한 Active Directory]로 변환하는 경우 기본 DN, 바인딩 사용자 DN 및 암호가 필요합니다.

      바인딩 사용자는 사용자 및 그룹 개체에 대한 액세스 권한을 부여하려면 Active Directory에서 다음 사용 권한이 있어야 합니다.

      • 읽기
      • 모든 속성 읽기
      • 사용 권한 읽기

      만료되지 않는 암호를 사용하는 바인딩 사용자 계정을 사용하는 것이 좋습니다.

    • Windows 통합 인증을 통한 Active Directory로 변환하는 경우 필요한 도메인에 대한 사용자 및 그룹을 쿼리하기 위한 사용 권한이 있는 바인딩 사용자의 사용자 이름 및 암호가 필요합니다.

      바인딩 사용자는 사용자 및 그룹 개체에 대한 액세스 권한을 부여하려면 Active Directory에서 다음 사용 권한이 있어야 합니다.

      • 읽기
      • 모든 속성 읽기
      • 사용 권한 읽기

      만료되지 않는 암호를 사용하는 바인딩 사용자 계정을 사용하는 것이 좋습니다.

    • Active Directory에 SSL/TLS를 통한 액세스가 필요한 경우 모든 관련 Active Directory 도메인에 대한 중간(사용될 경우) 및 루트 CA 인증서가 필요합니다. 도메인 컨트롤러에 여러 중간 및 루트 인증 기관의 인증서가 있는 경우 모든 중간 및 루트 CA 인증서가 필요합니다.
    • Windows 통합 인증을 통한 Active Directory의 경우, 다중 포리스트 Active Directory를 구성했고 도메인 로컬 그룹에 서로 다른 포리스트의 도메인 구성원이 포함되었다면 도메인 로컬 그룹이 상주하는 도메인의 관리자 그룹에 바인딩 사용자를 추가해야 합니다. 이렇게 하지 않으면 이러한 구성원은 도메인 로컬 그룹에서 누락됩니다.
    • Windows 통합 인증을 통한 Active Directory의 경우:
      • SRV 레코드에 나열된 모든 도메인 컨트롤러와 숨겨진 RODC의 경우 호스트 이름 및 IP 주소의 nslookup이 작동해야 합니다.
      • 모든 도메인 컨트롤러는 네트워크에 연결될 수 있어야 합니다.

프로시저

  1. Workspace ONE Access 콘솔에서 ID 및 액세스 관리 > 관리 > 디렉토리 페이지로 이동합니다.
  2. 변환할 디렉토리를 클릭합니다.
  3. 디렉토리 페이지에서 변환 버튼을 클릭합니다.
  4. [디렉토리 추가] 페이지에서 필요한 경우 디렉토리의 이름을 변경하고 [기타] 디렉토리를 변환할 디렉토리 유형을 LDAP를 통한 Active Directory 또는 Windows 통합 인증을 통한 Active Directory 중에서 선택합니다.
  5. Active Directory 연결 정보를 입력하고 마법사를 계속 진행하여 디렉토리를 설정합니다.
    이 프로세스는 새 디렉토리를 생성하는 것과 동일합니다. 자세한 내용은 Workspace ONE Access 서비스에 대한 Active Dirctory 연결 구성을 참조하십시오.

    디렉토리를 설정하는 동안 다음 지침을 따르십시오.

    • 디렉토리 동기화 및 인증 섹션에서 디렉토리 동기화 호스트에 대해 설치한 디렉토리 동기화 서비스를 선택합니다.

      디렉토리 동기화 서비스가 설치된 모든 커넥터 인스턴스가 나열됩니다. 인스턴스를 여러 개 선택할 수 있습니다. Workspace ONE Access는 목록에서 첫 번째로 선택한 인스턴스를 사용하여 디렉토리를 동기화합니다. 첫 번째 인스턴스를 사용할 수 없는 경우에는 다음에 선택된 인스턴스를 사용하는 방식으로 계속됩니다. 디렉토리를 생성한 후 디렉토리의 [동기화 설정] 페이지에서 목록을 다시 정렬할 수 있습니다.

    • 인증에 대해 를 선택합니다. 또한 인증에 사용할 사용자 인증 서비스 인스턴스를 선택합니다.
    • 동일한 디렉토리 구조를 갖도록 변환된 디렉토리를 Workspace ONE UEM 디렉토리와 동일하게 설정해야 합니다. 동일한 도메인을 선택합니다. 동기화할 사용자 및 그룹을 지정할 때는 동일한 사용자 및 그룹이 변환된 디렉토리와 동기화되도록 Workspace ONE UEM 디렉토리와 동일한 선택 항목을 지정합니다.
    • Workspace ONE UEM에서 설정된 것과 동일한 특성으로 외부 ID를 설정했는지 확인합니다.
  6. 마법사의 마지막 페이지에서 디렉토리 동기화를 클릭합니다.
    디렉토리가 변환되고 디렉토리 동기화 서비스를 사용하여 사용자 및 그룹을 동기화하도록 설정됩니다. [인증] 옵션을 [예]로 설정하면 directoryname에 대한 IDP라는 ID 제공자와 암호(클라우드 배포) 인증 방법이 해당 디렉토리에 대해 자동으로 생성됩니다.
  7. (선택 사항) 디렉토리에 대해 다른 인증 방법을 사용하도록 설정하려면 ID 및 액세스 관리 > 관리 > 엔터프라이즈 인증 방법 페이지로 이동한 후 디렉토리에 대한 인증 방법을 생성합니다.
    자세한 내용은 Workspace ONE Access의 사용자 인증 방법 관리를 참조하십시오.
  8. default_access_policy_set 및 모든 사용자 지정 정책을 편집하여 암호(AirWatch Connector) 인증 방법을 암호(클라우드 배포)로 바꿉니다.
    1. ID 및 액세스 관리 > 관리 > 정책 탭으로 이동합니다.
    2. 기본 정책 편집을 클릭한 다음, 정책 편집 마법사에서 구성을 클릭합니다.
    3. 각 정책 규칙을 편집하고 암호(AirWatch Connector) 인증 방법을 암호(클라우드 배포)로 바꿉니다.
    4. 정책 탭을 다시 클릭하고 사용자 지정 정책(있는 경우)을 편집하여 암호(AirWatch Connector) 인증 방법을 암호(클라우드 배포)로 바꿉니다.
    5. (선택 사항) 필요한 경우 추가 인증 방법을 사용하도록 정책을 수정합니다.
    중요: [암호(AirWatch Connector)]를 [암호(클라우드 배포)] 또는 다른 사용자 인증 서비스 인증 방법으로 변경하지 않으면 변환된 디렉토리의 사용자가 로그인할 수 없게 됩니다.

다음에 수행할 작업

Workspace ONE UEM에서 변환된 디렉토리로의 디렉토리 동기화를 중지합니다.