U kunt Workspace ONE Access integreren met uw Active Directory-implementatie om gebruikers en groepen van Active Directory te synchroniseren met de Workspace ONE Access-service. Het type Active Directory-omgeving dat u heeft, bepaalt het type directory dat u in de Workspace ONE Access-service maakt.

Active Directory-omgevingen

U kunt de Workspace ONE Access-service integreren met een Active Directory-omgeving die bestaat uit één Active Directory-domein, meerdere domeinen in één Active Directory-forest of meerdere domeinen in meerdere Active Directory-forests.

Omgeving met één Active Directory-domein

In een domeinimplementatie met één Active Directory-domein kunt u gebruikers en groepen van één Active Directory-domein synchroniseren.

Voor deze omgeving kunt u een directory maken van het type Active Directory via LDAP of Active Directory via geïntegreerde Windows-verificatie in de Workspace ONE Access-service.

Voor meer informatie raadpleegt u:

Active Directory-omgeving met één forest en meerdere domeinen

In een Active Directory-implementatie met één forest en meerdere domeinen kunt u gebruikers en groepen van meerdere Active Directory-domeinen binnen één forest synchroniseren.

Voor deze omgeving kunt u in de Workspace ONE Access-service één directory van het type Active Directory via geïntegreerde Windows-verificatie maken, of een directory van het type Active Directory via LDAP die is geconfigureerd met de optie Global Catalog.
  • De aanbevolen optie is om de enkele Active Directory met geïntegreerde Windows-verificatie te maken.

    Wanneer u een directory voor deze omgeving toevoegt, selecteert u de optie Active Directory via geïntegreerde Windows-verificatie. Zorg ervoor dat een directe (niet-transitieve) vertrouwensrelatie in twee richtingen is ingesteld tussen domeinen in de directory en het domein waarop de Bind-gebruiker van de directory lid is.

    Voor meer informatie raadpleegt u:

  • Als geïntegreerde Windows-verificatie niet werkt in uw Active Directory-omgeving, maakt u een directory van het type Active Directory via LDAP en selecteert u de optie Global Catalog.

    Hier volgen een aantal beperkingen in verband met het selecteren van de optie Global Catalog:

    • De Active Directory-objectkenmerken die worden gekopieerd naar de globale catalogus worden in het Active Directory-schema vermeld als gedeeltelijke kenmerkreeks (PAS). Alleen deze kenmerken zijn beschikbaar voor het toewijzen van kenmerken door de service. Indien nodig kunt u het schema bewerken of kenmerken die in de globale catalogus zijn opgeslagen, toevoegen of verwijderen.
    • In de globale catalogus wordt uitsluitend het groepslidmaatschap (het lidmaatschapskenmerk) van universele groepen opgeslagen. Er worden alleen universele groepen gesynchroniseerd met de service. Indien nodig wijzigt u het bereik van een groep van een lokaal of globaal domein naar een universeel domein.
    • Het account van de bindings-DN dat u opgeeft wanneer u een directory in de service configureert, moet over toestemmingen beschikken om het kenmerk Token-Groups-Global-And-Universal (TGGAU) te kunnen lezen.
    • Gebruikers kunnen vanaf meerdere Active Directory-domeinen worden gesynchroniseerd naar de Global Catalog-directory van Workspace ONE Access, hetzij direct of via groepslidmaatschappen. U moet ervoor zorgen dat er geen andere directory in de Workspace ONE Access-tenant gebruikers uit dezelfde domeinen synchroniseert, anders kan het conflict synchronisatiefouten veroorzaken.
    • Wanneer Workspace ONE UEM met Workspace ONE Access is geïntegreerd en meerdere Workspace ONE UEM-organisatiegroepen zijn geconfigureerd, kan de optie Active Directory Global Catalog niet worden gebruikt.

    Active Directory gebruikt poorten 389 en 636 voor standaard LDAP-query's. Voor globale catalogusquery's worden poorten 3268 en 3269 gebruikt.

Active Directory-omgeving met meerdere forests met vertrouwensrelaties

In een Active Directory-implementatie met meerdere forests met vertrouwensrelaties kunt u gebruikers en groepen uit meerdere Active Directory-domeinen met meerdere forests synchroniseren als er een vertrouwensrelatie in twee richtingen bestaat tussen de domeinen. Maak in de Workspace ONE Access-Service voor deze Active Directory-omgeving een enkelvoudige Active Directory via geïntegreerde Windows-verificatiedirectory.

Wanneer u een directory voor deze omgeving toevoegt, selecteert u de optie Active Directory via geïntegreerde Windows-verificatie. Zorg ervoor dat een directe (niet-transitieve) vertrouwensrelatie in twee richtingen is ingesteld tussen domeinen in de directory en het domein waarop de Bind-gebruiker van de directory lid is.

Voor meer informatie raadpleegt u:

Active Directory-omgeving met meerdere forests zonder vertrouwensrelaties

In een Active Directory-implementatie met meerdere forests zonder vertrouwensrelaties kunt u gebruikers en groepen uit meerdere Active Directory-domeinen in meerdere forests synchroniseren zonder dat er een vertrouwensrelatie tussen de domeinen bestaat. In deze omgeving kunt u meerdere directory's maken in de Workspace ONE Access-service: één directory voor elk forest.

Voor meer informatie raadpleegt u: