Workspace ONE Access 콘솔에서 Active Directory에 연결하는 데 필요한 정보를 입력하고 Workspace ONE Access 디렉토리와 동기화할 사용자 및 그룹을 선택합니다. Active Directory 연결 옵션은 [LDAP를 통한 Active Directory] 또는 [Windows 통합 인증을 통한 Active Directory]입니다. [LDAP를 통한 Active Directory] 연결은 DNS 서비스 위치 조회를 지원합니다.

사전 요구 사항

  • 버전 20.01.0.0으로 시작하는 Workspace ONE Access Connector의 구성 요소로 사용할 수 있는 디렉토리 동기화 서비스를 설치합니다. 자세한 내용은 "VMware Workspace ONE Access Connector 설치" 의 최신 버전을 참조하십시오.

    사용자 인증 서비스를 사용하여 디렉토리의 사용자를 인증하려는 경우 사용자 인증 서비스 구성 요소도 설치합니다.

  • Workspace ONE Access 콘솔의 ID 및 액세스 관리 > 설정 > 사용자 특성 페이지에서 필수 사용자 특성을 선택하고 필요에 따라 다른 특성을 더 추가합니다. Workspace ONE Access에서 사용자 특성 관리의 내용을 참조하십시오. 다음 고려 사항에 유의하십시오.
    • 사용자 특성이 필요한 경우 동기화하려는 모든 사용자에 대해 해당 값을 설정해야 합니다. 값 집합이 없는 사용자는 동기화되지 않습니다.
    • 특성은 모든 디렉토리에 적용됩니다.
    • 하나 이상의 디렉토리가 Workspace ONE Access 서비스에서 구성되고 나면 특성을 더 이상 필수로 표시할 수 없습니다.
  • Active Directory에서 동기화할 Active Directory 사용자 및 그룹의 목록을 만듭니다. 그룹 이름이 즉시 디렉토리로 동기화됩니다. 그룹의 멤버는 그룹이 리소스에 대한 사용 권한을 받거나 정책 규칙에 추가될 때까지 동기화되지 않습니다. 그룹 사용 권한을 구성하기 전에 인증해야 하는 사용자를 초기 구성 동안 추가해야 합니다.
    참고: Workspace ONE Access Connector 버전 19.03 및 이전 버전은 그룹의 이름 또는 distinguishedName 특성에서 / 및 $ 문자를 지원하지 않습니다. 이 제한은 그룹 DN에 추가하는 그룹과 그룹 DN에 직접 추가되지 않은 그룹에도 적용되지만 중첩된 그룹 멤버 자격을 사용하도록 설정하면 상위 그룹의 일부로 동기화됩니다.

    그룹을 VMware Identity Manager와 동기화하고 커넥터 버전 19.03 이하 버전을 사용하는 경우 그룹의 이름 또는 distinguishedName 특성에 / 또는 $ 문자를 사용하지 마십시오.

  • [글로벌 카탈로그] 옵션을 사용하여 LDAP를 통한 Active Directory 유형의 디렉토리를 생성하는 경우 Workspace ONE Access 테넌트의 다른 디렉토리가 글로벌 카탈로그 디렉토리와 동일한 도메인의 사용자를 동기화되지 않도록 해야 합니다. 충돌로 인해 동기화가 실패할 수 있습니다.
  • [LDAP를 통한 Active Directory]의 경우 기본 DN, 바인딩 사용자 DN, 암호가 필요합니다.

    바인딩 사용자는 사용자 및 그룹 개체에 대한 액세스 권한을 부여하려면 Active Directory에서 다음 사용 권한이 있어야 합니다.

    • 읽기
    • 모든 속성 읽기
    • 사용 권한 읽기
    참고: 만료되지 않는 암호를 사용하는 바인딩 사용자 계정을 사용하는 것이 좋습니다.
  • Windows 통합 인증을 통한 Active Directory의 경우 필요한 도메인에 대한 사용자 및 그룹을 쿼리하기 위한 권한이 있는 바인딩 사용자의 사용자 이름 및 암호가 필요합니다.

    바인딩 사용자는 사용자 및 그룹 개체에 대한 액세스 권한을 부여하려면 Active Directory에서 다음 사용 권한이 있어야 합니다.

    • 읽기
    • 모든 속성 읽기
    • 사용 권한 읽기
    참고: 만료되지 않는 암호를 사용하는 바인딩 사용자 계정을 사용하는 것이 좋습니다.
  • Active Directory에 SSL/TLS를 통한 액세스가 필요한 경우 모든 관련 Active Directory 도메인에 대한 중간(사용될 경우) 및 루트 CA 인증서가 필요합니다. 도메인 컨트롤러에 여러 중간 및 루트 인증 기관의 인증서가 있는 경우 모든 중간 및 루트 CA 인증서가 필요합니다.
    참고: Windows 통합 인증을 통한 Active Directory 유형 디렉토리의 경우 SASL Kerberos 바인딩이 자동으로 암호화에 사용됩니다. 인증서는 필요하지 않습니다.
  • Windows 통합 인증을 통한 Active Directory의 경우, 다중 포리스트 Active Directory를 구성했고 도메인 로컬 그룹에 서로 다른 포리스트의 도메인 구성원이 포함되었다면 도메인 로컬 그룹이 상주하는 도메인의 관리자 그룹에 바인딩 사용자를 추가해야 합니다. 이렇게 하지 않으면 이러한 구성원은 도메인 로컬 그룹에서 누락됩니다.
  • Windows 통합 인증을 통한 Active Directory의 경우:
    • SRV 레코드에 나열된 모든 도메인 컨트롤러와 숨겨진 RODC의 경우 호스트 이름 및 IP 주소의 nslookup이 작동해야 합니다.
    • 모든 도메인 컨트롤러는 네트워크에 연결될 수 있어야 합니다.

프로시저

  1. Workspace ONE Access 콘솔에서 ID 및 액세스 관리 > 관리 > 디렉토리 페이지로 이동합니다.
  2. 디렉토리 추가를 클릭하고 Active Directory를 선택합니다.
  3. Workspace ONE Access 디렉토리의 이름을 입력합니다.
  4. 통합하는 Active Directory의 유형을 LDAP를 통한 Active Directory 또는 Windows 통합 인증을 통한 Active Directory 중에서 선택합니다.
  5. LDAP를 통한 Active Directory를 통합하는 경우 다음 단계를 수행하고, 그러지 않으면 6단계를 진행합니다.
    1. 디렉토리 동기화 및 인증 섹션에서 다음 항목을 선택합니다.
      옵션 설명
      디렉토리 동기화 호스트 이 디렉토리를 동기화하는 데 사용할 하나 이상의 디렉토리 동기화 서비스 인스턴스를 선택합니다. 테넌트에 등록된 모든 디렉토리 동기화 서비스 인스턴스가 나열됩니다. 활성 상태인 인스턴스만 선택할 수 있습니다.

      여러 인스턴스를 선택하는 경우 Workspace ONE Access는 목록에서 첫 번째로 선택한 인스턴스를 사용하여 디렉토리를 동기화합니다. 첫 번째 인스턴스를 사용할 수 없는 경우에는 다음에 선택된 인스턴스를 사용하는 방식으로 계속됩니다. 디렉토리를 생성한 후 디렉토리의 [동기화 설정] 페이지에서 목록을 다시 정렬할 수 있습니다.

      인증 사용자 인증 서비스를 사용하여 이 디렉토리의 사용자를 인증하려면 를 선택합니다. 사용자 인증 서비스가 이미 설치되어 있어야 합니다. 를 선택하면 암호(클라우드 배포) 인증 방법과 Embedded 유형의 directoryName에 대한 IDP라는 ID 제공자가 디렉토리에 대해 자동으로 생성됩니다.

      사용자 인증 서비스를 사용하여 이 디렉토리의 사용자를 인증하지 않으려면 아니요를 선택합니다. 나중에 사용자 인증 서비스를 사용하기로 한 경우에는 디렉토리에 대해 암호(클라우드 배포) 인증 방법 및 ID 제공자를 수동으로 생성할 수 있습니다. 이렇게 하면 ID 및 액세스 관리 > ID 제공자 페이지에서 ID 제공자 추가 > 기본 제공 IDP 생성을 선택하여 디렉토리에 대한 새 ID 제공자를 생성합니다. 기본 제공이라는 미리 생성된 ID 제공자를 사용하는 것은 권장되지 않습니다.

      사용자 인증 호스트 이 옵션은 인증로 설정된 경우에 표시됩니다. 이 디렉토리의 사용자를 인증하는 데 사용할 사용자 인증 서비스 인스턴스를 하나 이상 선택합니다. 테넌트에 등록되어 있고 활성 상태인 모든 사용자 인증 서비스 인스턴스가 나열됩니다.

      여러 인스턴스를 선택하면 Workspace ONE Access가 선택한 인스턴스에 왕복으로 인증 요청을 전송합니다.

      사용자 이름 사용자 이름을 포함하는 계정 특성을 선택합니다.
      외부 ID

      Workspace ONE Access 디렉토리에서 사용자의 고유 식별자로 사용할 특성입니다. 기본값은 objectGUID입니다.

      외부 ID를 다음 특성 중 하나로 설정할 수 있습니다.

      • sAMAccountName 또는 distinguishedName 같은 문자열 특성
      • 이진 특성 objectSid, objectGUID 또는 mS-DS-ConsistencyGuid

      외부 ID 설정은 Workspace ONE Access 사용자에게만 적용됩니다. 그룹의 경우 외부 ID는 항상 objectGUID로 설정되므로 변경할 수 없습니다.

      중요: 모든 사용자에게는 특성에 대해 고유하고 비어 있지 않은 값이 정의되어 있어야 합니다. 값은 Workspace ONE Access 테넌트 전체에서 고유해야 합니다. 해당 특성 값이 없는 경우 디렉토리가 동기화되지 않습니다.

      외부 ID를 설정하는 동안 다음 고려 사항에 유의하십시오.

      • Workspace ONE Access를 Workspace ONE UEM과 통합할 경우 두 제품에서 외부 ID를 동일한 특성으로 설정해야 합니다.
      • 디렉토리를 생성한 후에는 외부 ID를 변경할 수 있습니다. 그러나 모범 사례는 사용자를 Workspace ONE Access와 동기화하기 전에 외부 ID를 설정하는 것입니다. 외부 ID를 변경하면 사용자가 다시 생성됩니다. 결과적으로 모든 사용자가 로그아웃되므로 다시 로그인해야 합니다. 또한 웹 애플리케이션 및 Thinapp에 대한 사용자 사용 권한도 다시 구성해야 합니다. Horizon, Horizon Cloud 및 Citrix에 대한 사용 권한이 삭제된 후 다음 사용 권한 동기화 시 다시 생성됩니다.
      • 외부 ID 옵션은 Workspace ONE Access Connector 20.10 및 19.03.0.1에서 사용할 수 있습니다. Workspace ONE Access 서비스와 연결된 모든 커넥터는 20.10 버전이거나 모두 버전 19.03.0.1이어야 합니다. 다른 버전의 커넥터가 서비스와 연결되어 있는 경우 외부 ID 옵션이 표시되지 않습니다.
    2. Active Directory 대한 DNS 서비스 위치 조회를 사용하려는 경우 다음과 같이 선택 합니다.
      • 서버 위치 섹션에서 이 디렉토리는 DNS 서비스 위치를 지원합니다. 확인란을 선택합니다.

        Workspace ONE Access는 최적의 도메인 컨트롤러를 찾아서 사용합니다. 최적화된 도메인 컨트롤러 선택을 사용하지 않으려면 대신 c 단계를 따르십시오.

      • Active Directory에 SSL/TLS를 통한 액세스가 필요한 경우 암호화 섹션에서 모든 연결에 STARTTLS 필요 확인란을 선택하십시오.
        참고: 이 디렉토리에서 DNS 서비스 위치 지원 옵션을 선택하면 포트 389를 통한 암호화에 STARTTLS가 사용됩니다. 이 디렉토리에서 DNS 서비스 위치 지원 옵션을 선택 취소하면 포트 636을 통한 암호화에 LDAPS가 사용됩니다.

        또한 도메인 컨트롤러의 중간 인증서(사용되는 경우) 및 루트 CA 인증서를 복사한 후 SSL 인증서 텍스트 상자에 붙여넣습니다. 먼저 중간 CA 인증서를 입력한 다음, 루트 CA 인증서를 입력합니다. 각 인증서가 PEM 형식인지 확인하고 BEGIN CERTIFICATE 및 END CERTIFICATE 줄을 포함합니다.

        도메인 컨트롤러에 여러 중간 및 루트 인증 기관의 인증서가 있는 경우 모든 중간-루트 CA 인증서 체인을 하나씩 입력합니다.

        예:

        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 2>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 2>
        ...
        -----END CERTIFICATE-----
        참고: Active Directory는 SSL/TLS를 통한 액세스를 요구하지만, 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.
    3. Active Directory에 대해 DNS 서비스 위치 조회를 사용하지 않으려는 경우 다음과 같이 선택합니다.
      • 서버 위치 섹션에서 이 디렉토리는 DNS 서비스 위치를 지원합니다. 확인란이 선택되지 않았는지 확인하고 Active Directory 서버 호스트 이름 및 포트 번호를 입력합니다.

        디렉토리를 글로벌 카탈로그로 구성하려면 Active Directory와 Workspace ONE Access 통합에서 다중 도메인, 단일 포리스트 Active Directory 환경 섹션을 참조하십시오.

      • Active Directory에 SSL/TLS를 통한 액세스가 필요한 경우 암호화 섹션에서 모든 연결에 LDAPS 필요 확인란을 선택하십시오.
        참고: 이 디렉토리에서 DNS 서비스 위치 지원 옵션을 선택하면 포트 389를 통한 암호화에 STARTTLS가 사용됩니다. 이 디렉토리에서 DNS 서비스 위치 지원 옵션을 선택 취소하면 포트 636을 통한 암호화에 LDAPS가 사용됩니다.

        또한 도메인 컨트롤러의 중간 인증서(사용되는 경우) 및 루트 CA 인증서를 복사한 후 SSL 인증서 텍스트 상자에 붙여넣습니다. 먼저 중간 CA 인증서를 입력한 다음, 루트 CA 인증서를 입력합니다. 인증서가 PEM 형식인지 확인하고 BEGIN CERTIFICATE 및 END CERTIFICATE 줄을 포함합니다.

        참고: Active Directory는 SSL/TLS를 통한 액세스를 요구하지만, 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.
    4. 바인딩 사용자 세부 정보 섹션에서 다음 정보를 입력합니다.
      옵션 설명
      기본 DN 계정 검색을 시작할 DN을 입력합니다. 예를 들어 OU=myUnit,DC=myCorp,DC=com을 입력합니다.
      참고: 기본 DN은 인증에 사용됩니다. 기본 DN에 있는 사용자만 인증할 수 있습니다. 나중에 동기화를 위해 지정하는 그룹 DN 및 사용자 DN이 이 기본 DN 아래에 있는지 확인합니다.
      바인딩 사용자 DN 사용자를 검색할 수 있는 계정을 입력합니다. 예를 들어 CN=binduser,OU=myUnit,DC=myCorp,DC=com을 입력합니다.
      참고: 만료되지 않는 암호를 사용하는 바인딩 사용자 계정을 사용하는 것이 좋습니다.
      바인딩 사용자 암호 바인딩 사용자 암호입니다.
  6. Windows 통합 인증을 통한 Active Directory를 통합하는 경우 다음 단계를 수행합니다.
    1. 디렉토리 동기화 및 인증 섹션에서 다음 항목을 선택합니다.
      옵션 설명
      디렉토리 동기화 호스트 이 디렉토리를 동기화하는 데 사용할 하나 이상의 디렉토리 동기화 서비스 인스턴스를 선택합니다. 테넌트에 등록되어 있고 활성 상태인 모든 디렉토리 동기화 서비스 인스턴스가 나열됩니다.

      여러 인스턴스를 선택하는 경우 Workspace ONE Access는 목록에서 첫 번째로 선택한 인스턴스를 사용하여 디렉토리를 동기화합니다. 첫 번째 인스턴스를 사용할 수 없는 경우에는 다음에 선택된 인스턴스를 사용하는 방식으로 계속됩니다. 디렉토리를 생성한 후 디렉토리의 [동기화 설정] 페이지에서 목록을 다시 정렬할 수 있습니다.

      인증 사용자 인증 서비스를 사용하여 이 디렉토리의 사용자를 인증하려면 를 선택합니다. 사용자 인증 서비스가 이미 설치되어 있어야 합니다. 를 선택하면 암호(클라우드 배포) 인증 방법과 Embedded 유형의 directory에 대한 IDP라는 ID 제공자가 디렉토리에 대해 자동으로 생성됩니다.

      사용자 인증 서비스를 사용하여 이 디렉토리의 사용자를 인증하지 않으려면 아니요를 선택합니다. 나중에 마음을 바꾸면 디렉토리에 대해 암호(클라우드 배포) 인증 방법 및 ID 제공자를 수동으로 생성할 수 있습니다. 이렇게 하면 ID 및 액세스 관리 > ID 제공자 페이지에서 ID 제공자 추가 > 기본 제공 IDP 생성을 선택하여 디렉토리에 대한 새 ID 제공자를 생성합니다. 기본 제공이라는 미리 생성된 ID 제공자를 사용하는 것은 권장되지 않습니다.

      사용자 인증 호스트 이 옵션은 인증로 설정된 경우에 표시됩니다. 이 디렉토리의 사용자를 인증하는 데 사용할 사용자 인증 서비스 인스턴스를 하나 이상 선택합니다. 테넌트에 등록되어 있고 활성 상태인 모든 사용자 인증 서비스 인스턴스가 나열됩니다.

      여러 인스턴스를 선택하면 Workspace ONE Access가 선택한 인스턴스에 왕복으로 인증 요청을 전송합니다.

      사용자 이름 사용자 이름을 포함하는 계정 특성을 선택합니다.
      외부 ID

      Workspace ONE Access 디렉토리에서 사용자의 고유 식별자로 사용할 특성입니다. 기본값은 objectGUID입니다.

      외부 ID를 다음 특성 중 하나로 설정할 수 있습니다.

      • sAMAccountName 또는 distinguishedName 같은 문자열 특성
      • 이진 특성 objectSid, objectGUID 또는 mS-DS-ConsistencyGuid

      외부 ID 설정은 Workspace ONE Access 사용자에게만 적용됩니다. 그룹의 경우 외부 ID는 항상 objectGUID로 설정되므로 변경할 수 없습니다.

      중요: 모든 사용자에게는 특성에 대해 고유한 값이 정의되어 있어야 합니다. 값은 Workspace ONE Access 테넌트 전체에서 고유해야 합니다.

      외부 ID를 설정하는 동안 다음 고려 사항에 유의하십시오.

      • Workspace ONE Access를 Workspace ONE UEM과 통합할 경우 두 제품에서 외부 ID를 동일한 특성으로 설정해야 합니다.
      • 디렉토리를 생성한 후에는 외부 ID를 변경할 수 있습니다. 그러나 모범 사례는 사용자를 Workspace ONE Access와 동기화하기 전에 외부 ID를 설정하는 것입니다. 외부 ID를 변경하면 사용자가 다시 생성됩니다. 결과적으로 모든 사용자가 로그아웃되므로 다시 로그인해야 합니다. 또한 웹 애플리케이션 및 Thinapp에 대한 사용자 사용 권한도 다시 구성해야 합니다. Horizon, Horizon Cloud 및 Citrix에 대한 사용 권한이 삭제된 후 다음 사용 권한 동기화 시 다시 생성됩니다.
      • 외부 ID 옵션은 Workspace ONE Access Connector 20.10 및 19.03.0.1에서 사용할 수 있습니다. Workspace ONE Access 서비스와 연결된 모든 커넥터는 20.10 버전이거나 모두 버전 19.03.0.1이어야 합니다. 다른 버전의 커넥터가 서비스와 연결되어 있는 경우 외부 ID 옵션이 표시되지 않습니다.
    2. 암호화 섹션에는 작업이 필요하지 않습니다. Windows 통합 인증을 통한 Active Directory 유형 디렉토리는 SASL Kerberos 바인딩을 자동으로 사용하므로 LDAPS 또는 STARTTLS를 사용하도록 설정할 필요가 없습니다.
    3. 바인딩 사용자 세부 정보 섹션에서 필요한 도메인에 대한 사용자 및 그룹을 쿼리하기 위한 권한이 있는 바인딩 사용자의 사용자 이름 및 암호를 입력합니다. 사용자 이름을 sAMAccountName@domain으로 입력합니다. 여기서 domain은 정규화된 도메인 이름입니다. 예를 들어 jdoe@example.com을 입력합니다.
      참고: 만료되지 않는 암호를 사용하는 바인딩 사용자 계정을 사용하는 것이 좋습니다.
  7. 저장 및 다음을 클릭합니다.
  8. [도메인 선택] 페이지에서 도메인(해당하는 경우)을 선택하고 다음을 클릭합니다.
    • [LDAP를 통한 Active Directory] 유형 디렉토리의 경우 도메인이 나열되고 미리 선택되어 있습니다.
    • [Windows 통합 인증을 통한 Active Directory] 유형 디렉토리의 경우 이 Active Directory 연결과 연결되어야 하는 도메인을 선택합니다. 기본 도메인과의 양방향 신뢰 관계가 있는 모든 도메인이 나열됩니다.

      Workspace ONE Access 디렉토리가 생성된 후 기본 도메인과 양방향 신뢰 관계가 있는 도메인이 Active Directory에 추가된 경우 [새로 고침] 아이콘을 클릭하여 최신 목록을 가져온 후 디렉토리의 동기화 설정 > 도메인 페이지에서 해당 도메인을 추가할 수 있습니다.

      팁: 모든 도메인을 한 번에 선택하지 않고 신뢰할 수 있는 도메인을 하나씩 선택합니다. 이렇게 하면 도메인 저장은 시간 초과될 수 있는 장기 실행 작업이 되지 않습니다. 도메인을 순차적으로 선택하면 디렉토리 동기화 서비스는 단일 도메인을 확인하는 데만 시간을 소비하게 됩니다.
    • [글로벌 카탈로그] 옵션을 선택하고 LDAP 디렉토리를 통한 Active Directory를 생성하는 경우 [도메인] 탭이 표시되지 않습니다.
  9. [사용자 특성 매핑] 페이지에서 Workspace ONE Access 디렉토리 특성 이름이 올바른 Active Directory 특성에 매핑되는지 확인하고 필요에 따라 변경을 수행한 후 다음을 클릭합니다.
    중요: 특성이 필수로 표시되면 동기화하려는 모든 사용자에 대해 해당 값을 설정해야 합니다. 필수 특성 값이 누락된 사용자 레코드는 동기화되지 않습니다.
  10. 동기화하려는 그룹 선택 페이지에서 Active Directory에서 Workspace ONE Access 디렉토리로 동기화하려는 그룹을 선택합니다.
    그룹을 추가할 때는 다음 고려 사항을 염두에 두십시오.
    • 가장 좋은 방법은 디렉토리를 생성할 때 소수의 그룹을 추가하고 동기화하는 것입니다. 초기 설정 후에 그룹을 더 추가할 수 있습니다.
    • 그룹을 추가하고 동기화하면 그룹 이름이 디렉토리로 동기화됩니다. 그룹 멤버인 사용자는 그룹에 애플리케이션 사용 권한이 부여되거나 그룹 이름이 액세스 정책 규칙에 추가될 때까지 디렉토리로 동기화되지 않습니다.
      참고: ID 및 액세스 관리 > 설정 > 환경설정 페이지에서 그룹을 추가할 때 디렉토리에 그룹 구성원 동기화 옵션을 사용하도록 설정하여 이 제한을 재정의할 수 있습니다.
    • 그룹을 동기화할 때 Active Directory에서 [도메인 사용자]가 기본 그룹으로 포함되어 있지 않은 사용자는 동기화되지 않습니다.
    그룹을 선택하려면 하나 이상의 그룹 DN을 지정하고 아래에 있는 그룹을 선택합니다.
    1. 최상위 수준 그룹 지정 행에서 +를 클릭하고 최상위 수준 그룹 DN을 지정합니다. 예: CN=users,DC=example,DC=company,DC=com.
      팁: 검색에는 시간이 오래 걸리므로 검색할 기본 DN과 같은 상위 수준 DN을 입력하는 것은 권장되지 않습니다. 검색할 좀 더 구체적인 DN을 입력하십시오.
      중요: [디렉토리 추가] 페이지의 기본 DN 텍스트 상자에 입력한 기본 DN 아래에 있는 그룹 DN을 지정합니다. 그룹 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.
    2. 추가한 그룹 DN 아래에 있는 모든 그룹을 선택하려면 모두 선택 확인란을 클릭합니다.
      디렉토리가 생성된 후 Active Directory의 그룹 DN에서 그룹을 추가하거나 삭제하면 후속 동기화 시 변경 내용이 반영됩니다.
    3. 그룹 DN 아래에 있는 모든 그룹을 선택하지 않고 특정 그룹을 선택하려는 경우 그룹 선택을 클릭하고 원하는 항목을 선택한 다음, 저장을 클릭합니다.
      그룹 선택을 클릭하면 DN에 있는 모든 그룹이 나열됩니다. 검색 상자에 검색 용어를 입력하여 결과 범위를 좁히거나 특정 그룹을 검색할 수 있습니다.
    4. 필요에 따라 중첩된 그룹 멤버 동기화 옵션을 선택하거나 선택을 취소합니다.
      중첩된 그룹 멤버 동기화 옵션이 기본적으로 사용되도록 설정되어 있습니다. 이 옵션이 사용되도록 설정되면 그룹에 사용 권한이 부여될 경우 선택한 그룹에 직접 속하는 모든 사용자와 그 아래 중첩된 그룹에 속하는 모든 사용자가 동기화됩니다. 중첩된 그룹은 동기화되지 않고 중첩된 그룹에 속하는 사용자만 동기화됩니다. Workspace ONE Access 디렉토리에서 이러한 사용자는 동기화를 위해 선택한 상위 그룹의 멤버가 됩니다.

      중첩된 그룹 멤버 동기화 옵션을 사용하지 않도록 설정하면 동기화할 그룹을 지정할 때 해당 그룹에 직접 속하는 모든 사용자가 동기화됩니다. 그 아래 중첩된 그룹에 속하는 사용자는 동기화되지 않습니다. 대규모 Active Directory 구성에서 그룹 트리를 탐색하는 데 리소스와 시간이 많이 소요되는 경우 이 옵션을 사용하지 않도록 설정하는 것이 좋습니다. 이 옵션을 사용하지 않도록 설정하는 경우 동기화할 사용자가 속하는 모든 그룹을 선택해야 합니다.

  11. 다음을 클릭합니다.
  12. 동기화할 사용자를 선택합니다.
    사용자를 추가할 때는 다음 고려 사항을 염두에 두십시오.
    • 그룹의 멤버는 그룹에 애플리케이션 사용 권한이 부여되거나 그룹이 액세스 정책 규칙에 추가될 때까지 디렉토리로 동기화되지 않으므로 그룹 사용 권한이 구성되기 전에 인증을 받아야 하는 모든 사용자를 추가합니다.
    • [바인딩 세부 정보] 섹션에서 지정한 바인딩 사용자는 기본적으로 Workspace ONE Access 서비스와 동기화되지 않습니다. 바인딩 사용자를 동기화하려면 이 탭에 사용자 DN을 입력합니다. 디렉토리가 동기화된 후에는 필요한 경우 바인딩 사용자에 대한 역할을 설정할 수 있습니다.
    1. 사용자 DN 지정 행에서 +를 클릭하고 사용자 DN을 입력합니다. 예:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      중요: [디렉토리 추가] 페이지의 기본 DN 텍스트 상자에 입력한 기본 DN 아래에 있는 사용자 DN을 지정합니다. 사용자 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.

      사용자 DN이 유효한지 확인하고 동기화할 사용자 수를 보려면 해당 행에 대해 테스트 버튼을 클릭합니다.

    2. 필요한 경우 DN에서 사용자를 포함하거나 제외하는 필터를 지정합니다.
      자세한 정보는 Workspace ONE Access에서 디렉토리 동기화를 위한 필터 지정의 내용을 참조하십시오.
  13. 다음을 클릭합니다.
  14. [동기화 빈도] 페이지에서 정기적으로 사용자 및 그룹을 동기화하도록 동기화 스케줄을 설정하거나, 스케줄을 설정하지 않으려면 동기화 빈도 드롭다운 목록에서 수동을 선택합니다.
    시간은 UTC(협정 세계시)로 설정됩니다.
    팁: 동기화 간격을 동기화할 시간보다 더 길게 스케줄링하십시오. 다음 동기화가 스케줄링될 때 사용자 및 그룹을 디렉토리에 동기화하도록 하면 이전 동기화가 끝나는 즉시 새 동기화가 시작됩니다.
    수동을 선택하는 경우 디렉토리를 동기화할 때마다 디렉토리 페이지에서 동기화 버튼을 클릭해야 합니다.
  15. 저장을 클릭하여 디렉토리를 생성하거나 디렉토리 동기화를 클릭하여 디렉토리를 생성하고 동기화를 시작합니다.

결과

Active Directory에 대한 연결이 설정됩니다. 디렉토리 동기화를 클릭한 경우 Active Directory에서 Workspace ONE Access 디렉토리로 사용자 및 그룹 이름이 동기화됩니다.

그룹이 동기화되는 방법에 대한 자세한 내용은 "VMware Workspace ONE Access 관리" 에서 "사용자 및 그룹 관리"를 참조하십시오.

다음에 수행할 작업

  • [인증] 옵션을 [예]로 설정하면 directoryname에 대한 IDP라는 ID 제공자와 암호(클라우드 배포) 인증 방법이 해당 디렉토리에 대해 자동으로 생성됩니다. ID 및 액세스 관리 > 관리 > ID 제공자엔터프라이즈 인증 방법 페이지에서 이러한 항목을 볼 수 있습니다. 엔터프라이즈 인증 방법 탭에서 디렉토리에 대한 추가 인증 방법을 생성할 수도 있습니다. 인증 방법 생성에 대한 자세한 내용은 Workspace ONE Access에서 사용자 인증 방법 관리를 참조하십시오.
  • ID 및 액세스 관리 > 관리 > 정책페이지에서 기본 액세스 정책을 검토합니다.
  • 기본 동기화 세이프가드 설정을 검토하고 필요한 경우 변경합니다. 자세한 정보는 Workspace ONE Access에서 디렉토리 동기화 세이프가드 설정의 내용을 참조하십시오.