U kunt de service integreren met een Active Directory-omgeving die bestaat uit één Active Directory-domein, meerdere domeinen in één Active Directory-forest of meerdere domeinen in meerdere Active Directory-forests.
Omgeving met één Active Directory-domein
In een implementatie met één Active Directory-domein kunt u gebruikers en groepen van één Active Directory-domein synchroniseren.
Selecteer de optie Active Directory via LDAP wanneer u een directory aan de service toevoegt voor deze omgeving.
Voor meer informatie raadpleegt u:
Active Directory-omgeving met één forest en meerdere domeinen
In een Active Directory-implementatie met één forest en meerdere domeinen kunt u gebruikers en groepen van meerdere Active Directory-domeinen binnen één forest synchroniseren.
U kunt de service voor deze Active Directory-omgeving configureren als één Active Directory-directorytype met geïntegreerde Windows-verificatie of, als alternatieve optie, als het directorytype Active Directory via LDAP met de optie voor de globale catalogus geconfigureerd.
De aanbevolen optie is om het enkele Active Directory-type met geïntegreerde Windows-verificatie te maken.
Wanneer u een directory voor deze omgeving toevoegt, selecteert u de optie Active Directory (geïntegreerde Windows-verificatie).
Voor meer informatie raadpleegt u:
Als Geïntegreerde Windows-verificatie niet werkt in uw Active Directory-omgeving, maakt u een directory van het type Active Directory via LDAP en selecteert u de optie globale catalogus.
Hier volgen een aantal beperkingen in verband met het selecteren van de optie globale catalogus:
De Active Directory-objectkenmerken die worden gekopieerd naar de globale catalogus worden in het Active Directory-schema vermeld als gedeeltelijke kenmerkreeks (PAS). Alleen deze kenmerken zijn beschikbaar voor het toewijzen van kenmerken door de service. Indien nodig kunt u het schema bewerken of kenmerken die in de globale catalogus zijn opgeslagen, toevoegen of verwijderen.
In de globale catalogus wordt uitsluitend het groepslidmaatschap (het lidmaatschapskenmerk) van universele groepen opgeslagen. Er worden alleen universele groepen gesynchroniseerd met de service. Indien nodig wijzigt u het bereik van een groep van een lokaal of globaal domein naar een universeel domein.
Het account van de bindings-DN dat u opgeeft wanneer u een directory in de service configureert, moet over toestemmingen beschikken om het kenmerk Token-Groups-Global-And-Universal (TGGAU) te kunnen lezen.
Wanneer Workspace ONE UEM met VMware Identity Manager is geïntegreerd en meerdere Workspace ONE UEM-organisatiegroepen worden geconfigureerd, kan de optie Active Directory Global Catalog niet worden gebruikt.
Active Directory gebruikt poorten 389 en 636 voor standaard LDAP-query's. Voor globale catalogusquery's worden poorten 3268 en 3269 gebruikt.
Wanneer u een directory toevoegt voor de globale catalogusomgeving, geeft u het volgende op tijdens de configuratie.
Selecteer de optie Active Directory via LDAP.
Schakel het selectievakje voor de optie Deze directory ondersteunt de locatie van de DNS-service.
Selecteer de optie Deze directory heeft een Global Catalog. Wanneer u deze optie selecteert, wordt het serverpoortnummer automatisch gewijzigd in 3268. Omdat de basis-DN niet noodzakelijk is tijdens het configureren van de optie globale catalogus, wordt het tekstvak Basis-DN niet weergegeven.
Voeg de serverhostnaam van de Active Directory toe.
Als voor uw Active Directory toegang via SSL is vereist, selecteert u de optie Voor deze directory is vereist dat alle verbindingen SSL gebruiken en plakt u het certificaat in het daarvoor bestemde tekstvak. Wanneer u deze optie selecteert, wordt het serverpoortnummer automatisch gewijzigd in 3269.
Active Directory-omgeving met meerdere forests met vertrouwensrelaties
In een Active Directory-implementatie met meerdere forests met vertrouwensrelaties kunt u gebruikers en groepen uit meerdere Active Directory-domeinen met meerdere forests synchroniseren als er een vertrouwensrelatie in twee richtingen bestaat tussen de domeinen.
Wanneer u een directory voor deze omgeving toevoegt, selecteert u de optie Active Directory (geïntegreerde Windows-verificatie).
Voor meer informatie raadpleegt u:
Active Directory-omgeving met meerdere forests zonder vertrouwensrelaties
In een Active Directory-implementatie met meerdere forests zonder vertrouwensrelaties kunt u gebruikers en groepen uit meerdere Active Directory-domeinen met meerdere forests synchroniseren zonder dat er een vertrouwensrelatie in twee richtingen bestaat tussen de domeinen. In deze omgeving kunt u meerdere directory's maken in de service: één directory voor elk forest.
Het type directory's dat u in de service maakt, is afhankelijk van het forest. Voor forests met meerdere domeinen selecteert u de optie Active Directory (geïntegreerde Windows-verificatie). Voor een forest met één domein kiest u de optie Active Directory via LDAP.
Voor meer informatie raadpleegt u: