U kunt uw bedrijfs-LDAP-directory integreren met VMware Workspace ONE Access om gebruikers en groepen van de LDAP-directory te synchroniseren met de VMware Workspace ONE Access-service.

Om uw LDAP-directory te integreren, maakt u een overeenkomstige VMware Workspace ONE Access-directory en synchroniseert u gebruikers en groepen van uw LDAP-directory met de VMware Workspace ONE Access-directory. U kunt een planning voor regelmatig synchroniseren instellen voor volgende updates.

U kunt ook de LDAP-kenmerken selecteren die u voor gebruikers wilt synchroniseren en deze toewijzen aan VMware Workspace ONE Access-kenmerken.

De configuratie van de LDAP-directory kan worden gebaseerd op standaardschema's of aangepaste schema's. Deze kan ook aangepaste kenmerken hebben. Om VMware Workspace ONE Access uw LDAP-directory te laten vragen om gebruikers- of groepsobjecten te verkrijgen, moet u de LDAP-zoekfilters en namen van kenmerken opgeven die van applicatie zijn op uw LDAP-directory.

In het bijzonder dient u de volgende informatie op te geven.

  • LDAP-zoekfilters voor het verkrijgen van groepen, gebruikers en de Bind-gebruiker
  • LDAP-kenmerknamen voor groepslidmaatschap, Externe ID en DN-naam of een equivalent kenmerk

Voor de integratiefunctie van de LDAP-directory gelden bepaalde beperkingen. Zie Beperkingen van LDAP-directory-integratie.

Voorwaarden

  • Installeer de directorysynchronisatieservice, die vanaf versie 20.01.0.0 beschikbaar is als onderdeel van de Workspace ONE Access Connector. Zie de nieuwste versie van VMware Workspace ONE Access Connector installeren voor meer informatie.

    Als u de gebruikersverificatieservice wilt gebruiken om gebruikers van de directory te verifiëren, installeert u ook het onderdeel gebruikersverificatieservice.

  • Controleer de kenmerken op de pagina Identiteits- en toegangsbeheer > Installatie > Gebruikerskenmerken en voeg extra kenmerken toe die u wilt synchroniseren. U wijst de VMware Workspace ONE Access-kenmerken toe aan uw LDAP-directorykenmerken wanneer u de directory aanmaakt. Deze kenmerken worden gesynchroniseerd voor de gebruikers in de directory.
    Opmerking: Wanneer u gebruikerskenmerken wijzigt, houd er dan rekening mee dat deze wijzigingen ook gevolgen kunnen hebben voor andere directory's in de Workspace ONE Access-service. Wanneer u van plan bent om zowel Active Directory als LDAP-directory's toe te voegen, let er dan op dat u geen kenmerken markeert als zijnde vereist, behalve het kenmerk userName dat wel kan worden gemarkeerd als zijnde vereist. De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service. Wanneer een kenmerk als zijnde vereist is gemarkeerd, worden gebruikers zonder dat kenmerk niet gesynchroniseerd met de VMware Workspace ONE Access-service.
  • Een Bind-DN-gebruikersaccount. Het gebruik van een Bind DN-gebruikersaccount met een wachtwoord dat niet verloopt, wordt aanbevolen.
  • In uw LDAP-directory moet de UUID van gebruikers en groepen een standaard tekstindeling hebben.
  • In uw LDAP-directory moet een domeinkenmerk aanwezig zijn voor alle gebruikers en groepen.

    U kunt dit kenmerk toewijzen aan het kenmerk van het VMware Workspace ONE Access domein wanneer u de VMware Workspace ONE Access-directory aanmaakt.

  • Gebruikersnamen mogen geen spaties bevatten. Wanneer een gebruikersnaam een spatie bevat, wordt de gebruiker gesynchroniseerd, maar zijn de rechten niet beschikbaar voor de gebruiker.
  • Wanneer u certificaatverificatie gebruikt, moeten gebruikers waarden hebben voor userPrincipalName en e-mailadreskenmerken.

Procedure

  1. Ga in de Workspace ONE Access-console naar de pagina Identiteits- en toegangsbeheer > Beheren > Directory's.
  2. Klik op Directory toevoegen en selecteer LDAP-directory.
  3. Voer de vereiste informatie in op de pagina Directory toevoegen.
    Optie Beschrijving
    Directorynaam Voer een naam in voor de VMware Workspace ONE Access-directory.
    Directory synchroniseren en verificatie
    1. Selecteer voor Hosts voor directorysynchronisatie een of meer service-instanties voor Directorysynchronisatie die u wilt gebruiken om deze directory te synchroniseren. Alle Directorysynchronisatieservice-instanties die zijn geregistreerd bij de tenant, worden weergegeven. U kunt alleen instanties selecteren die de status Actief hebben.

      Als u meerdere instanties selecteert, gebruikt Workspace ONE Access de eerste geselecteerde instantie in de lijst om de directory te synchroniseren. Als de eerste instantie niet beschikbaar is, wordt de tweede connector gebruikt, enzovoort. U kunt de lijst opnieuw rangschikken op de pagina met synchronisatie-instellingen van de directory nadat de directory is gemaakt.

    2. Voor Verificatie selecteert u Ja als u gebruikers van deze directory wilt verifiëren met de gebruikersverificatieservice. De gebruikersverificatieservice moet al zijn geïnstalleerd. Als u Ja selecteert, worden de verificatiemethode Wachtwoord (cloudimplementatie) en een identiteitsprovider met de naam IDP voor directorynaam van het type Ingesloten automatisch gemaakt voor de directory.

      Selecteer Geen als u gebruikers van deze directory niet wilt verifiëren met de gebruikersverificatieservice. Als u ervoor kiest om de gebruikersverificatieservice later te gebruiken, kunt u de verificatiemethode wachtwoord (cloudimplementatie) en de identiteitsprovider handmatig voor de directory maken. Wanneer u dit doet, maakt u een nieuwe identiteitsprovider voor de directory door Identiteitsprovider toevoegen > Ingebouwde IdP maken te selecteren op de pagina Identiteits- en toegangsbeheer > Identiteitsproviders. Het gebruik van de vooraf gemaakte identiteitsprovider met de naam Ingebouwd wordt niet aanbevolen.

    3. De optie Gebruikersverificatiehosts wordt weergegeven wanneer Verificatie is ingesteld op Ja. Selecteer een of meer service-instanties voor gebruikersverificatie die u wilt gebruiken om gebruikers van deze directory te verifiëren. Alle instanties voor gebruikersverificatieservice die zijn geregistreerd bij de Tenant en die zich in de status Actief bevinden, worden weergegeven.

      Als u meerdere instanties selecteert, verzendt Workspace ONE Access verificatieaanvragen in de Round-robin-volgorde naar de geselecteerde instanties.

    4. Selecteer in het tekstvak Gebruikersnaam het LDAP-directorykenmerk dat voor de gebruikersnaam moet worden gebruikt. Als het kenmerk niet wordt vermeld, selecteert u Aangepast en typt u de aangepaste kenmerknaam die u voor gebruikers en groepen wilt gebruiken. Bijvoorbeeld cn.
    Serverlocatie Voer de serverhost en het poortnummer van de LDAP-directory in. Voor de serverhost kunt u de FQDN of het IP-adres specificeren. Bijvoorbeeld myLDAPserver.example.com of 100.00.00.0.

    Als u een cluster servers achter een load balancer hebt, voert u in plaats daarvan de informatie van de load balancer in.

    LDAP-configuratie Specificeer de zoekfilters en kenmerken van LDAP die VMware Workspace ONE Access kan gebruiken om uw LDAP-directory op te vragen. Standaardwaarden worden verstrekt op basis van het kern-LDAP-schema.

    Filterquery's

    • Groepen: het zoekfilter om groepsobjecten te verkrijgen.

      Bijvoorbeeld: (objectClass=groupOfNames)

    • Bind-gebruiker: het zoekfilter om een Bind-gebruikersobject te verkrijgen, ofwel de gebruiker die zich aan de directory kan binden.

      Bijvoorbeeld: (objectClass=person)

    • Gebruikers: het zoekfilter om gebruikers voor synchronisatie te verkrijgen.

      Bijvoorbeeld:(&(objectClass=user)(objectCategory=person))

    Kenmerken

    • Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory om leden van een groep te definiëren.

      Bijvoorbeeld: lid

    • Externe ID: Het kenmerk dat moet worden gebruikt als unieke ID voor gebruikers in de Workspace ONE Access-directory. De standaardwaarde is entryUUID.
      Belangrijk: Voor alle gebruikers moet een unieke en niet-lege waarde zijn gedefinieerd voor het kenmerk. De waarde moet uniek zijn voor de Workspace ONE Access-tenant. Als gebruikers geen waarde hebben voor het kenmerk, wordt de directory niet gesynchroniseerd.

      Houd rekening met de volgende overwegingen bij het instellen van Externe ID:

      • Als u Workspace ONE Access met Workspace ONE UEM integreert, moet u ervoor zorgen dat u Externe ID instelt op hetzelfde kenmerk in beide producten.
      • U kunt Externe ID wijzigen nadat u de directory heeft gemaakt. U wordt echter aanbevolen Externe ID in te stellen voordat u gebruikers synchroniseert met Workspace ONE Access. Wanneer u Externe ID wijzigt, worden gebruikers opnieuw gemaakt. Hierdoor worden alle gebruikers afgemeld en moeten ze zich opnieuw aanmelden. U moet ook gebruikersrechten voor webapps en ThinApps opnieuw configureren. Rechten voor Horizon, Horizon Cloud en Citrix worden verwijderd en vervolgens opnieuw gemaakt bij de volgende synchronisatie van rechten.
      • De optie Externe ID is beschikbaar met Workspace ONE Access Connector 20.10 en 19.03.0.1. Alle connectoren die aan de Workspace ONE Access-service zijn gekoppeld, moeten versie 20.10 zijn of ze moeten allemaal versie 19.03.0.1 zijn. Als er verschillende versies van de connector aan de service zijn gekoppeld, wordt de optie Externe ID niet weergegeven.
    • Distinguished Name: (optioneel) het kenmerk dat in uw LDAP-directory wordt gebruikt voor de kenmerkende naam van een gebruiker of groep.

      Bijvoorbeeld: dn.

      Standaard wordt het kenmerk Distinguished Name gebruikt om gebruikers- en groepsobjecten op unieke wijze te identificeren. Als uw LDAP-schema niet over het kenmerk Distinguished Name beschikt, selecteert u de optie Geavanceerde LDAP-configuratie inschakelen en voert u de waarden in die moeten worden gebruikt om groepen en gebruikers te identificeren.

    • Geavanceerde LDAP-configuratie inschakelen: schakel het selectievakje in om geavanceerde LDAP-configuratieopties weer te geven. Gebruik de geavanceerde configuratie als uw LDAP-schema niet over het kenmerk Distinguished Name beschikt of als het posixGroups gebruikt.
      • Groepsfilter: de waarde die moet worden gebruikt om groepen op te vragen en te identificeren. Deze waarde is vereist als uw LDAP-schema niet over het kenmerk Distinguished Name beschikt.

        Bijvoorbeeld: cn.

      • Gebruikersfilter: de waarde die wordt gebruikt om gebruikers op te vragen en te identificeren. Deze waarde is vereist als uw LDAP-schema niet over het kenmerk Distinguished Name beschikt.

        Bijvoorbeeld: uid

      • Toewijzingsfilter voor gebruikerslidmaatschap: (optioneel) deze optie is doorgaans vereist voor LDAP-directory's die gebruikmaken van posixGroups. Het Toewijzingsfilter voor gebruikerslidmaatschap wordt gebruikt om gebruikers op te vragen en te identificeren die door het lidmaatschapskenmerk worden geretourneerd.

        Bijvoorbeeld: uidNumber

    Versleuteling Als uw LDAP-directory toegang via SSL vereist, schakelt u het selectievakje LDAPS is vereist voor alle verbindingen in en kopieert en plakt u het root-CA-certificaat voor SSL van de LDAP-directoryserver in het tekstvak. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.
    Gegevens van bindingsgebruiker Basis DN: voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld cn=users,dc=example,dc=com
    DN Bind-gebruiker: voer de gebruikersnaam in die wordt gebruikt om aan de LDAP-directory te binden.
    Opmerking: Het gebruik van een Bind DN-gebruikersaccount met een wachtwoord dat niet verloopt, wordt aanbevolen.

    Bind-gebruikerswachtwoord: voer het wachtwoord voor de Bind DN-gebruiker in.

  4. Klik Opslaan en configureren.
  5. Verifieer op de pagina Domeinen of het juiste domein wordt weergegeven en klik dan op Volgende.
  6. Verifieer op de pagina Kenmerken toewijzen of de VMware Workspace ONE Access-kenmerken zijn toegewezen aan de juiste LDAP-directorykenmerken en voer wijzigingen door indien noodzakelijk.

    Deze kenmerken worden gesynchroniseerd voor gebruikers.

    Belangrijk: U moet een toewijzing specificeren voor het domein-kenmerk.

    U kunt kenmerken toevoegen en de lijst met vereiste kenmerken beheren via de pagina Installatie > Gebruikerskenmerken.

    Belangrijk: Als een kenmerk als vereist is gemarkeerd, moet de waarde worden ingesteld voor alle gebruikers die u wilt synchroniseren. Gebruikersrecords waarin waarden ontbreken voor de vereiste kenmerken, worden niet gesynchroniseerd.
  7. Klik op Volgende.
  8. Selecteer de groepen die u vanaf uw of LDAP-directory wilt synchroniseren naar de Workspace ONE Access-directory.
    Houd rekening met de volgende overwegingen bij het toevoegen van groepen.
    • Het is aan te raden een klein aantal groepen toe te voegen en te synchroniseren wanneer u een directory maakt. Na de eerste installatie kunt u meer groepen toevoegen.
    • Wanneer groepen worden toegevoegd en gesynchroniseerd, worden groepsnamen gesynchroniseerd naar de directory. Gebruikers die lid van de groep zijn, worden pas naar de directory gesynchroniseerd wanneer de groep rechten voor een applicatie heeft of de naam van de groep aan een toegangsbeleidsregel is toegevoegd.
      Opmerking: U kunt deze beperking overschrijven door de optie Groepsleden synchroniseren met de directory bij het toevoegen van groep in te schakelen op de pagina Identiteits- en toegangsbeheer > Installatie > Voorkeuren.
    • Als u meerdere groepen hebt met dezelfde naam in uw LDAP-directory, moet u unieke namen ervoor specificeren op de groepspagina.
    Als u groepen wilt selecteren, kunt u een of meer groeps-DN's opgeven en de onderliggende groepen selecteren.
    1. Klik in de rij De groep op het hoogste niveau opgeven op + en geef de groeps-DN op. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com.
      Tip: Het is niet raadzaam een DN op hoog niveau in te voeren, zoals de Base DN waarin moet worden gezocht, omdat de zoekactie veel tijd in beslag neemt. Probeer een specifiekere DN in te voeren om onder te zoeken.
      Belangrijk: Geef groeps-DN's op die zich onder de Base DN bevinden die u heeft ingevoerd in het tekstvak Base DN op de pagina Directory toevoegen. Als een groeps-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
    2. Als u alle groepen wilt selecteren onder de groeps-DN die u heeft toegevoegd, klikt u op het selectievakje Alle selecteren.
      Als er groepen worden toegevoegd aan of verwijderd uit de groeps-DN in Active Directory nadat de directory is gemaakt, worden de wijzigingen weergegeven in de volgende synchronisaties.
    3. Als u specifieke groepen onder de groeps-DN wilt selecteren in plaats van ze allemaal te selecteren, klikt u op Groepen selecteren, selecteert u de gewenste opties en klikt u op Opslaan.
      Wanneer u op Groepen selecteren klikt, worden alle groepen weergegeven die in de DN zijn gevonden. U kunt de resultaten beperken of specifieke groepen opzoeken door een zoekterm in te voeren in het zoekvak.
    4. Schakel zo nodig de optie Geneste groepsleden synchroniseren in of uit.
      De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers die direct tot de geselecteerde groep horen, en alle gebruikers die tot de geneste groepen eronder behoren, gesynchroniseerd zodra de groep de nodige rechten heeft. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de Workspace ONE Access-directory zijn deze gebruikers leden van de bovenliggende groep die u heeft geselecteerd om te synchroniseren.

      Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer u een groep opgeeft om te synchroniseren, worden alle gebruikers gesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze optie is handig voor grote directoryconfiguraties waar het doorkruisen van een groepsstructuur veel middelen en tijd kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.

  9. Klik op Volgende.
  10. Selecteer de gebruikers die u wilt synchroniseren.
    Houd rekening met de volgende overwegingen bij het toevoegen van gebruikers:
    • Omdat leden in groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd.
    • De BIND-gebruiker die u heeft opgegeven in het gedeelte Bind-gegevens, wordt standaard niet gesynchroniseerd met de Workspace ONE Access-service. Als u de BIND-gebruiker wilt synchroniseren, voert u de gebruikers-DN op dit tabblad in.
    1. Klik op + en voer de gebruikers-DN's in op de rij Geef de gebruiker-DN's op. Bijvoorbeeld:

      CN=gebruikersnaam,CN=gebruikers,OU=Sales,DC=example,DC=com

      Belangrijk: Geef gebruikers-DN's op die zich onder de Base DN bevinden die u heeft ingevoerd in het tekstvak Base DN op de pagina Directory toevoegen. Als een gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.

      Om te controleren of de gebruikers-DN geldig is en om het aantal gebruikers te zien dat wordt gesynchroniseerd, klikt u op de knop Testen voor die rij.

    2. Geef filters op om gebruikers van de DN's, indien nodig, in of uit te sluiten.
  11. Stel op de pagina synchronisatiefrequentie een synchronisatieplanning in om gebruikers en groepen regelmatig te synchroniseren of selecteer Handmatig in de vervolgkeuzelijst Synchronisatiefrequentie als u geen planning wilt instellen.
    De waarde is ingesteld in UTC.
    Tip: Zorg voor langere synchronisatie-intervallen dan de tijd die nodig is om te synchroniseren. Als gebruikers en groepen naar de directory worden gesynchroniseerd wanneer de volgende synchronisatie is gepland, wordt de nieuwe synchronisatie gestart direct na het einde van de vorige synchronisatie. Met dit schema is het synchronisatieproces doorlopend.
    Als u Handmatig wilt selecteren, klikt u op de knop Synchronisatie op de directorypagina wanneer u de directory wilt synchroniseren.
  12. Klik op Opslaan om de directory te maken of Directory synchroniseren om de Directory te maken en het synchroniseren te starten.

resultaten

De verbinding met de LDAP-directory wordt tot stand gebracht. Als u op Directory synchroniseren heeft geklikt, worden gebruikers- en groepsnamen gesynchroniseerd van de LDAP-directory naar de Workspace ONE Access-directory.

Zie 'Gebruikers en groepen beheren' in VMware Workspace ONE Access beheren voor meer informatie over hoe groepen worden gesynchroniseerd.

Volgende stappen

  • Als u de verificatie-optie op Ja instelt, wordt voor de Directory automatisch een identiteitsprovider met de naam IDP voor directorynaam en een verificatiemethode wachtwoord (cloudimplementatie) gemaakt. U kunt deze weergeven op de pagina's Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders en Ondernemingsverificatiemethoden. U kunt ook meer verificatiemethoden voor de directory maken op het tabblad Ondernemingsverificatiemethoden. Zie Verificatiemethoden voor gebruikers beheren in Workspace ONE Access voor meer informatie over het maken van verificatiemethoden.
  • Controleer het standaard toegangsbeleid op de pagina Identiteits- en toegangsbeheer > Beheren > Beleid.
  • Controleer de standaardinstellingen voor synchronisatiebeveiligingen en wijzig die indien nodig. Raadpleeg Beveiligingsmaatregelen voor directorysynchronisatie in Workspace ONE Access instellen voor meer informatie.