Active Directory와 Workspace ONE Access 통합

Workspace ONE Access를 Active Directory 배포와 통합하여 Active Directory에서 Workspace ONE Access 서비스로 사용자 및 그룹을 동기화할 수 있습니다. Active Directory 환경의 유형에 따라 Workspace ONE Access 서비스에서 생성하는 디렉토리 유형이 결정됩니다.

Active Directory 환경

단일 Active Directory 도메인, 단일 Active Directory 포리스트의 여러 도메인 또는 여러 Active Directory 포리스트에 걸친 여러 도메인으로 구성된 Active Directory 환경과 Workspace ONE Access 서비스를 통합할 수 있습니다.

단일 Active Directory 도메인 환경

단일 Active Directory 도메인 배포를 사용하여 단일 Active Directory 도메인의 사용자와 그룹을 동기화할 수 있습니다.

이 환경에서는 Workspace ONE Access 서비스에서 LDAP를 통한 Active Directory 유형의 디렉토리 또는 Windows 통합 인증을 통한 Active Directory 유형의 디렉토리를 생성할 수 있습니다.

자세한 정보는 다음을 참조하십시오.

다중 도메인, 단일 포리스트 Active Directory 환경

다중 도메인, 단일 포리스트 Active Directory 배포에서는 단일 포리스트 내에 있는 다중 Active Directory 도메인의 사용자와 그룹을 동기화할 수 있습니다.

이 환경의 경우 Workspace ONE Access 서비스에서 단일 Windows 통합 인증을 통한 Active Directory 디렉토리 또는 글로벌 카탈로그 옵션으로 구성된 LDAP를 통한 Active Directory 디렉토리를 생성할 수 있습니다.

권장되는 옵션은 단일 Windows 통합 인증을 통한 Active Directory 디렉토리를 생성하는 것입니다.
이 환경에 대해 디렉토리를 추가하는 경우 [Windows 통합 인증을 통한 Active Directory] 옵션을 선택합니다. 직접(비전이적) 양방향 트러스트가 디렉토리의 도메인과 디렉토리 바인딩 사용자가 가입된 도메인 사이에 설정되어 있는지 확인합니다.

자세한 정보는 다음을 참조하십시오.
- Workspace ONE Access에서 사용자 특성 관리
- Workspace ONE Access에서 Active Directory 연결 구성
통합 Windows 인증이 Active Directory 환경에서 작동하지 않는 경우에는 LDAP를 통한 Active Directory 디렉토리를 생성하고 글로벌 카탈로그 옵션을 선택합니다.
글로벌 카탈로그 옵션 선택과 관련된 제한 사항에는 다음과 같은 것이 포함됩니다.
- 글로벌 카탈로그에 복제된 Active Directory 개체 특성은 Active Directory 스키마에서 PAS(부분 특성 집합)로 식별됩니다. 서비스에서는 이러한 특성만 특성 매핑에 사용할 수 있습니다. 필요한 경우에는 스키마를 편집하여 글로벌 카탈로그에 저장된 특성을 추가 또는 제거합니다.
- 글로벌 카탈로그에는 유니버설 그룹의 그룹 멤버 자격(멤버 특성)만 저장됩니다. 유니버설 그룹만 서비스에 동기화됩니다. 필요한 경우에는 그룹의 범위를 로컬 도메인이나 글로벌에서 유니버설로 변경합니다.
- 서비스에서 디렉토리를 구성할 때 정의한 바인딩 DN 계정에는 TGGAU(Token-Groups-Global-And-Universal) 특성을 읽을 수 있는 사용 권한이 있어야 합니다.
- 직접 또는 그룹 멤버 자격을 통해 여러 Active Directory 도메인에서 Workspace ONE Access 글로벌 카탈로그 디렉토리와 동기화할 수 있습니다. Workspace ONE Access 테넌트의 다른 디렉토리가 동일한 도메인의 사용자를 동기화하지 않는지 확인해야 합니다. 그렇지 않으면 충돌로 인해 동기화가 실패할 수 있습니다.
- Workspace ONE UEM이 Workspace ONE Access와 통합되고 여러 Workspace ONE UEM 조직 그룹이 구성되면 Active Directory 글로벌 카탈로그 옵션을 사용할 수 없습니다.
Active Directory에서는 표준 LDAP 쿼리에 포트 389 및 636을 사용합니다. 글로벌 카탈로그 쿼리에는 포트 3268 및 3269를 사용합니다.

신뢰 관계가 있는 다중 포리스트 Active Directory 환경

신뢰 관계가 있는 다중 포리스트 Active Directory 배포에서는 여러 포리스트에서 도메인 간에 양방향 신뢰가 있는 다중 Active Directory 도메인의 사용자와 그룹을 동기화할 수 있습니다. Workspace ONE Access 서비스에서 이 Active Directory 환경에 대해 단일 Windows 통합 인증을 통한 Active Directory 디렉토리를 생성합니다.

이 환경에 대해 디렉토리를 추가하는 경우 [Windows 통합 인증을 통한 Active Directory] 옵션을 선택합니다. 직접(비전이적) 양방향 트러스트가 디렉토리의 도메인과 디렉토리 바인딩 사용자가 가입된 도메인 사이에 설정되어 있는지 확인합니다.

자세한 정보는 다음을 참조하십시오.

신뢰 관계가 없는 다중 포리스트 Active Directory 환경

신뢰 관계가 없는 다중 포리스트 Active Directory 배포에서는 여러 포리스트에서 도메인 간에 신뢰 관계가 없는 다중 Active Directory 도메인의 사용자와 그룹을 동기화할 수 있습니다. 이 환경에서는 Workspace ONE Access 서비스에서 여러 디렉토리를 생성합니다(각 포리스트에 디렉토리 하나).

자세한 정보는 다음을 참조하십시오.