U kunt uw bedrijfs-LDAP-directory integreren met Workspace ONE Access om gebruikers en groepen van de LDAP-directory te synchroniseren met de Workspace ONE Access-service.

Om uw LDAP-directory te integreren, maakt u een overeenkomstige Workspace ONE Access-directory en synchroniseert u gebruikers en groepen van uw LDAP-directory met de Workspace ONE Access-directory. U kunt een planning voor regelmatig synchroniseren instellen voor volgende updates.

U kunt ook de LDAP-kenmerken selecteren die u voor gebruikers wilt synchroniseren en deze toewijzen aan Workspace ONE Access-kenmerken.

De configuratie van de LDAP-directory kan worden gebaseerd op standaardschema's of aangepaste schema's. Deze kan ook aangepaste kenmerken hebben. Om Workspace ONE Access uw LDAP-directory te laten vragen om gebruikers- of groepsobjecten te verkrijgen, moet u de LDAP-zoekfilters en namen van kenmerken opgeven die van applicatie zijn op uw LDAP-directory.

In het bijzonder dient u de volgende informatie op te geven.

  • LDAP-zoekfilters voor het verkrijgen van groepen, gebruikers en de Bind-gebruiker
  • LDAP-kenmerknamen voor groepslidmaatschap, Externe ID en DN-naam of een equivalent kenmerk

Voor de integratiefunctie van de LDAP-directory gelden bepaalde beperkingen. Zie Beperkingen van LDAP-directory-integratie.

Voorwaarden

  • Installeer de directorysynchronisatieservice, die vanaf versie 20.01.0.0 beschikbaar is als onderdeel van de Workspace ONE Access Connector. Zie de nieuwste versie van VMware Workspace ONE Access Connector installeren voor meer informatie.

    Als u de gebruikersverificatieservice wilt gebruiken om gebruikers van de directory te verifiëren, installeert u ook het onderdeel gebruikersverificatieservice.

  • Controleer de gebruikerskenmerken op de pagina Instellingen > Gebruikerskenmerken en voeg zo nodig extra kenmerken toe om te synchroniseren. U wijst de Workspace ONE Access-kenmerken toe aan uw LDAP-directorykenmerken wanneer u de directory aanmaakt. Deze kenmerken worden gesynchroniseerd voor de gebruikers in de directory.
    Opmerking: Wanneer u gebruikerskenmerken wijzigt, houd er dan rekening mee dat deze wijzigingen ook gevolgen kunnen hebben voor andere directory's in de Workspace ONE Access-service. Wanneer u van plan bent om zowel Active Directory als LDAP-directory's toe te voegen, let er dan op dat u geen kenmerken als vereist markeert, behalve het kenmerk Gebruikersnaam. De instellingen op de pagina Gebruikerskenmerken gelden voor alle directory's in de service. Wanneer een kenmerk is vereist, worden gebruikers zonder dat kenmerk niet gesynchroniseerd met de Workspace ONE Access-service.
  • Een Bind-DN-gebruikersaccount. Het gebruik van een Bind DN-gebruikersaccount met een wachtwoord dat niet verloopt, wordt aanbevolen.
  • In uw LDAP-directory moet de UUID van gebruikers en groepen een standaard tekstindeling hebben.
  • In uw LDAP-directory moet een domeinkenmerk aanwezig zijn voor alle gebruikers en groepen.

    U kunt dit kenmerk toewijzen aan het kenmerk van het Workspace ONE Access domein wanneer u de Workspace ONE Access-directory aanmaakt.

  • Gebruikersnamen mogen geen spaties bevatten. Wanneer een gebruikersnaam een spatie bevat, wordt de gebruiker gesynchroniseerd, maar zijn de rechten niet beschikbaar voor de gebruiker.
  • Wanneer u certificaatverificatie gebruikt, moeten gebruikers waarden hebben voor userPrincipalName en e-mailadreskenmerken.

Procedure

  1. Selecteer in de Workspace ONE Access-console de optie Integraties > Directory's.
  2. Selecteer in het vervolgkeuzemenu Directory toevoegen de optie LDAP-directory.
    De opties in het vervolgkeuzemenu Directory toevoegen zijn Active Directory, LDAP-directory en Lokale gebruikersdirectory.
  3. Voer de vereiste informatie in in de sectie Directory-informatie.
    Optie Beschrijving
    Directorynaam Voer een naam in voor de Workspace ONE Access-directory.
    Hosts voor directorysynchronisatie Selecteer een of meer service-instanties voor Directorysynchronisatie die u wilt gebruiken om deze directory te synchroniseren. Alle Directorysynchronisatieservice-instanties die zijn geregistreerd bij de tenant, worden weergegeven. U kunt alleen instanties selecteren die de status Actief hebben.

    Als u meerdere instanties selecteert, gebruikt Workspace ONE Access de eerste geselecteerde instantie in de lijst om de directory te synchroniseren. Als de eerste instantie niet beschikbaar is, wordt de tweede connector gebruikt, enzovoort. U kunt de lijst opnieuw rangschikken op het tabblad Synchronisatie-instellingen van de directory nadat de directory is gemaakt.
    Verificatie Selecteer Wachtwoordverificatie voor deze directory instellen als u gebruikers van deze directory wilt verifiëren met de service Gebruikersverificatie. De service Gebruikersverificatie moet al zijn geïnstalleerd. Als u deze optie selecteert, worden de verificatiemethode Wachtwoord (cloudimplementatie) en een identiteitsprovider met de naam IDP voor directorynaam van het type Ingesloten automatisch gemaakt voor de directory.

    Selecteer Verificatiemethoden later toevoegen als u op dit moment geen verificatie met de service Gebruikersverificatie wilt instellen of als u een externe identiteitsprovider wilt gebruiken. Als u ervoor kiest om de gebruikersverificatieservice later te gebruiken, kunt u de verificatiemethode wachtwoord (cloudimplementatie) en de identiteitsprovider handmatig voor de directory maken. Wanneer u dit doet, maakt u een nieuwe identiteitsprovider voor de directory door Toevoegen > Ingebouwde IDP te selecteren op de pagina Integraties > Identiteitsproviders. Het gebruik van de vooraf gemaakte identiteitsprovider met de naam Ingebouwd wordt niet aanbevolen.
    Hosts voor gebruikersverificatie De optie Hosts voor gebruikersverificatie wordt weergegeven wanneer de optie Wachtwoordverificatie voor deze directory instellen is geselecteerd. Selecteer een of meer service-instanties voor gebruikersverificatie die u wilt gebruiken om gebruikers van deze directory te verifiëren. Alle instanties voor gebruikersverificatieservice die zijn geregistreerd bij de Tenant en die zich in de status Actief bevinden, worden weergegeven.

    Als u meerdere instanties selecteert, verzendt Workspace ONE Access verificatieaanvragen in de Round-robin-volgorde naar de geselecteerde instanties.
    Gebruikersnaam Selecteer het LDAP-directorykenmerk dat voor de gebruikersnaam moet worden gebruikt. Als het kenmerk niet wordt vermeld, selecteert u Aangepast en voert u de aangepaste kenmerknaam in die u voor gebruikers en groepen wilt gebruiken. Bijvoorbeeld cn.
    Serverhost Voer de serverhost van de LDAP-directory in. U kunt de FQDN of het IP-adres opgeven. Bijvoorbeeld myLDAPserver.example.com of 100.00.00.0.

    Als u een cluster servers achter een load balancer hebt, voert u in plaats daarvan de informatie van de load balancer in.
    Serverpoort Voer het poortnummer van de LDAP-directory in.
  4. Voer de vereiste informatie in de sectie LDAP-configuratie in.
    Optie Beschrijving
    Query's en kenmerken Specificeer de zoekfilters en kenmerken van LDAP die Workspace ONE Access kan gebruiken om uw LDAP-directory op te vragen. Standaardwaarden worden verstrekt op basis van het kern-LDAP-schema.

    Filterquery's

    • Groepen: het zoekfilter om groepsobjecten te verkrijgen.

      Bijvoorbeeld: (objectClass=groupOfNames)

    • Bind-gebruiker: het zoekfilter om een Bind-gebruikersobject te verkrijgen, ofwel de gebruiker die zich aan de directory kan binden.

      Bijvoorbeeld: (objectClass=person)

    • Gebruikers: het zoekfilter om gebruikers voor synchronisatie te verkrijgen.

      Bijvoorbeeld:(&(objectClass=user)(objectCategory=person))

    Kenmerken

    • Lidmaatschap: het kenmerk dat wordt gebruikt in uw LDAP-directory om leden van een groep te definiëren.

      Bijvoorbeeld: lid

    • Externe ID: Het kenmerk dat moet worden gebruikt als unieke ID voor gebruikers in de Workspace ONE Access-directory. De standaardwaarde is entryUUID.
      Belangrijk: Voor alle gebruikers moet een unieke en niet-lege waarde zijn gedefinieerd voor het kenmerk. De waarde moet uniek zijn voor de Workspace ONE Access-tenant. Als gebruikers geen waarde hebben voor het kenmerk, wordt de directory niet gesynchroniseerd.

      Houd rekening met de volgende overwegingen bij het instellen van Externe ID:

      • Als u Workspace ONE Access met Workspace ONE UEM integreert, moet u ervoor zorgen dat u Externe ID instelt op hetzelfde kenmerk in beide producten.
      • U kunt Externe ID wijzigen nadat u de directory heeft gemaakt. U wordt echter aanbevolen Externe ID in te stellen voordat u gebruikers synchroniseert met Workspace ONE Access. Wanneer u Externe ID wijzigt, worden gebruikers opnieuw gemaakt. Hierdoor worden alle gebruikers afgemeld en moeten ze zich opnieuw aanmelden. U moet ook gebruikersrechten voor webapps en ThinApps opnieuw configureren. Rechten voor Horizon, Horizon Cloud en Citrix worden verwijderd en vervolgens opnieuw gemaakt bij de volgende synchronisatie van rechten.
      • De optie Externe ID is beschikbaar met Workspace ONE Access Connector versie 20.10 en hoger. Alle connectoren die aan de Workspace ONE Access-service zijn gekoppeld, moeten versie 20.10 of hoger zijn. Als verschillende versies van de connector aan de service zijn gekoppeld, wordt de optie Externe ID niet weergegeven.
    • Distinguished Name: (optioneel) het kenmerk dat in uw LDAP-directory wordt gebruikt voor de kenmerkende naam van een gebruiker of groep.

      Bijvoorbeeld: dn.

      Standaard wordt het kenmerk Distinguished Name gebruikt om gebruikers- en groepsobjecten op unieke wijze te identificeren. Als uw LDAP-schema niet over het kenmerk Distinguished Name beschikt, selecteert u de optie Geavanceerde LDAP-configuratie inschakelen en voert u de waarden in die moeten worden gebruikt om groepen en gebruikers te identificeren.

    • Geavanceerde configuratie: schakel het selectievakje Geavanceerde LDAPS-configuratie inschakelen in om opties voor geavanceerde LDAP-configuratie weer te geven. Gebruik de geavanceerde configuratie als uw LDAP-schema niet over het kenmerk Distinguished Name beschikt of als het posixGroups gebruikt.
      • Groepsfilter: de waarde die moet worden gebruikt om groepen op te vragen en te identificeren. Deze waarde is vereist als uw LDAP-schema niet over het kenmerk Distinguished Name beschikt.

        Bijvoorbeeld: cn.

      • Gebruikersfilter: de waarde die wordt gebruikt om gebruikers op te vragen en te identificeren. Deze waarde is vereist als uw LDAP-schema niet over het kenmerk Distinguished Name beschikt.

        Bijvoorbeeld: uid

      • Toewijzingsfilter voor gebruikerslidmaatschap: (optioneel) deze optie is doorgaans vereist voor LDAP-directory's die gebruikmaken van posixGroups. Het Toewijzingsfilter voor gebruikerslidmaatschap wordt gebruikt om gebruikers op te vragen en te identificeren die door het lidmaatschapskenmerk worden geretourneerd.

        Bijvoorbeeld: uidNumber

    Versleuteling Als uw LDAP-directory toegang via SSL vereist, schakelt u het selectievakje LDAPS vereisen voor alle verbindingen in en kopieert en plakt u het root-CA-certificaat voor SSL van de LDAP-directoryserver in het tekstvak SSL-certificaten. Zorg ervoor dat het certificaat in PEM-formaat is en neem de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" op.
    Gegevens van bindingsgebruiker Basis DN: voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld cn=users,dc=example,dc=com
    DN Bind-gebruiker: voer de gebruikersnaam in die wordt gebruikt om aan de LDAP-directory te binden.
    Opmerking: Het gebruik van een Bind DN-gebruikersaccount met een wachtwoord dat niet verloopt, wordt aanbevolen.

    Bind-gebruikerswachtwoord: voer het wachtwoord voor de Bind DN-gebruiker in.

  5. Controleer in de sectie Domeinen selecteren of het juiste domein wordt weergegeven en klik vervolgens op Opslaan.
  6. Controleer in de sectie Gebruikerskenmerken toewijzen of de Workspace ONE Access-kenmerken zijn toegewezen aan de juiste LDAP-directorykenmerken en breng zo nodig wijzigingen aan.

    Deze kenmerken worden gesynchroniseerd voor gebruikers.

    Belangrijk: U moet een toewijzing specificeren voor het domein-kenmerk.

    U kunt kenmerken toevoegen en de lijst met vereiste kenmerken beheren vanaf de pagina Instellingen > Gebruikerskenmerken.

    Belangrijk: Als een kenmerk als vereist is gemarkeerd, moet de waarde worden ingesteld voor alle gebruikers die u wilt synchroniseren. Gebruikersrecords waarin waarden ontbreken voor de vereiste kenmerken, worden niet gesynchroniseerd.
  7. Voeg in de sectie Groepen synchroniseren de groepen toe die u wilt synchroniseren. Zie Gebruikers en groepen selecteren om te synchroniseren naar uw Workspace ONE Access-directory.
  8. Voeg in de sectie Gebruikers synchroniseren de gebruikers toe die u wilt synchroniseren. Zie Gebruikers en groepen selecteren om te synchroniseren naar uw Workspace ONE Access-directory.
  9. Stel in de sectie Synchronisatiefrequentie een synchronisatieplanning in om gebruikers en groepen regelmatig te synchroniseren of selecteer Handmatig in het vervolgkeuzemenu Synchronisatiefrequentie als u geen planning wilt instellen.
    De waarde is ingesteld in UTC.
    Tip: Plan de synchronisatie-intervallen zodat deze langer zijn dan de tijd die nodig is om de directory te synchroniseren. Als gebruikers en groepen naar de directory worden gesynchroniseerd wanneer de volgende synchronisatie is gepland, wordt de nieuwe synchronisatie gestart direct na het einde van de vorige synchronisatie. Met dit schema is het synchronisatieproces doorlopend.
    Als u Handmatig selecteert, moet u Synchroniseren > Synchroniseren met beveiligingen of Synchroniseren > Synchroniseren zonder beveiligingen op de directorypagina selecteren wanneer u de directory wilt synchroniseren.
  10. Klik op Opslaan om de directory te maken of Opslaan en synchroniseren om de directory te maken en het synchroniseren te starten.

resultaten

De verbinding met de LDAP-directory wordt tot stand gebracht. Als u op Opslaan en synchroniseren heeft geklikt, worden gebruikers- en groepsnamen gesynchroniseerd van de LDAP-directory naar de Workspace ONE Access-directory.

Zie 'Gebruikers en groepen beheren' in VMware Workspace ONE Access beheren voor meer informatie over hoe groepen worden gesynchroniseerd.

Volgende stappen

  • Als u de optie Verificatie op Wachtwoordverificatie voor deze directory instellen instelt, worden voor de directory automatisch een identiteitsprovider met de naam IDP voor directorynaam en een verificatiemethode Wachtwoord (cloudimplementatie) gemaakt. U kunt deze bekijken op de pagina's Integraties > Identiteitsproviders en Integraties > Verificatiemethoden voor connector. U kunt ook meer verificatiemethoden voor de directory maken vanaf de pagina's Verificatiemethoden voor connector en Verificatiemethoden. Zie Verificatiemethoden voor gebruikers beheren in Workspace ONE Access voor informatie over het maken van verificatiemethoden.
  • Controleer het standaardtoegangsbeleid op de pagina Resources > Beleidsregels.
  • Controleer de standaardinstellingen voor synchronisatiebeveiligingen en wijzig die indien nodig. Raadpleeg Beveiligingsmaatregelen voor directorysynchronisatie in Workspace ONE Access instellen voor meer informatie.