Geef in de Workspace ONE Access-console de informatie op die nodig is om verbinding te maken met uw Active Directory en selecteer de gebruikers en groepen om te synchroniseren met de Workspace ONE Access-directory. De verbindingsopties van de Active Directory zijn Active Directory via LDAP of Active Directory via geïntegreerde Windows-verificatie. De verbinding Active Directory via LDAP ondersteunt de opzoekfunctie DNS Service Location.

Voorwaarden

  • Installeer de directorysynchronisatieservice, die vanaf versie 20.01.0.0 beschikbaar is als onderdeel van de Workspace ONE Access Connector. Zie de nieuwste versie van VMware Workspace ONE Access Connector installeren voor meer informatie.

    Als u de gebruikersverificatieservice wilt gebruiken om gebruikers van de directory te verifiëren, installeert u ook het onderdeel gebruikersverificatieservice.

  • Selecteer welke gebruikerskenmerken zijn vereist en voeg zo nodig extra kenmerken toe op de pagina Identiteits- en toegangsbeheer > Instellen > Gebruikerskenmerken in de Workspace ONE Access-console. Zie Gebruikerskenmerken beheren in Workspace ONE Access. Houd rekening met de volgende overwegingen:
    • Als een gebruikerskenmerk is vereist, moet de waarde worden ingesteld voor alle gebruikers die u wilt synchroniseren. Gebruikers die geen waardeset hebben, worden niet gesynchroniseerd.
    • Kenmerken zijn van toepassing op alle directory's.
    • Nadat een of meer directory's in de Workspace ONE Access-service zijn geconfigureerd, kunnen kenmerken langer worden gemarkeerd als vereist.
  • Maak een lijst met de Active Directory-gebruikers en -groepen die u vanuit Active Directory wilt synchroniseren. Groepsnamen worden onmiddellijk gesynchroniseerd naar de directory. Leden van een groep worden niet gesynchroniseerd tot de groep rechten heeft voor bronnen of is toegevoegd aan een beleidsregel. Gebruikers die zich moeten verifiëren voordat groepsrechten worden geconfigureerd, moet worden toegevoegd tijdens de oorspronkelijke configuratie.
    Opmerking: Workspace ONE Access Connector 19.03 en lagere versies ondersteunen de tekens / en $ niet in de naam of het distinguishedName-kenmerk van een groep. Deze beperking is van toepassing op groepen die u toevoegt aan de groeps-DN en aan groepen die niet direct worden toegevoegd aan de groeps-DN, maar die worden gesynchroniseerd als onderdeel van een bovenliggende groep, wanneer geneste groepslidmaatschappen zijn ingeschakeld.

    Gebruik het teken / of $ niet in de naam of het distinguishedName-kenmerk van een groep als u van plan bent om de groep te synchroniseren met VMware Identity Manager en u Connector 19.03 of lagere versies gebruikt.

  • Als u een directory van het type Active Directory via LDAP maakt met behulp van de optie Global Catalog, moet u ervoor zorgen dat geen andere directory's in de Workspace ONE Access-tenant gebruikers van dezelfde domeinen synchroniseren als de Global Catalog-directory. Het conflict kan synchronisatiefouten veroorzaken.
  • Voor Active Directory via LDAP is onder andere de Base DN vereist en de Bind-gebruiker DN en het wachtwoord.

    De Bind-gebruiker moet de volgende machtigingen in Active Directory hebben om toegang te verlenen aan gebruikers en groepsobjecten:

    • Lezen
    • Alle eigenschappen lezen
    • Leesmachtigingen
    Opmerking: U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt.
  • Voor Active Directory via geïntegreerde Windows-verificatie heeft u de gebruikersnaam en het wachtwoord nodig van de Bind-gebruiker die is gemachtigd om gebruikers en groepen voor de vereiste domeinen op te vragen.

    De Bind-gebruiker moet de volgende machtigingen in Active Directory hebben om toegang te verlenen aan gebruikers en groepsobjecten:

    • Lezen
    • Alle eigenschappen lezen
    • Leesmachtigingen
    Opmerking: U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt.
  • Als uw Active Directory toegang via SSL/TLS vereist, zijn de tussenliggende en root-CA-certificaten van de domeincontrollers voor alle relevante Active Directory-domeinen vereist. Als de domeincontrollers certificaten hebben van meerdere tussenliggende en rootcertificeringsinstanties, zijn alle tussenliggende en root-CA-certificaten vereist.
    Opmerking: Voor directory's van het type Active Directory via geïntegreerde Windows-verificatie wordt automatisch SASL Kerberos-binding gebruikt voor versleuteling. Een certificaat is niet vereist.
  • Voor Active Directory via geïntegreerde Windows-verificatie met een configuratie van meerdere forests voor Active Directory en een lokale domeingroep met meerdere leden van domeinen in verschillende forests, moet u ervoor zorgen dat de Bind-gebruiker wordt toegevoegd aan de groep Administrators van het domein waarin zich de lokale domeingroep bevindt. Als u dit niet doet, ontbreken deze leden in de lokale domeingroep.
  • Voor Active Directory via geïntegreerde Windows-verificatie:
    • Voor alle domeincontrollers in SRV-records en verborgen RODC's moeten nslookup van hostnaam en IP-adres werken.
    • Alle domeincontrollers moeten via het netwerk bereikbaar zijn.

Procedure

  1. Ga in de Workspace ONE Access-console naar de pagina Identiteits- en toegangsbeheer > Beheren > Directory's.
  2. Klik op Directory toevoegen en selecteer Active Directory.
  3. Voer een naam in voor de Workspace ONE Access-directory.
  4. Selecteer het type Active Directory dat u integreert, Active Directory via LDAP of Active Directory via geïntegreerde Windows-verificatie.
  5. Als u Active Directory via LDAP integreert, voert u de volgende stappen uit, anders gaat u verder met stap 6.
    1. Maak in de sectie Directorysynchronisatie en -verificatie de volgende selecties.
      Optie Beschrijving
      Hosts voor directorysynchronisatie Selecteer een of meer service-instanties voor Directorysynchronisatie die u wilt gebruiken om deze directory te synchroniseren. Alle Directorysynchronisatieservice-instanties die zijn geregistreerd bij de tenant, worden weergegeven. U kunt alleen instanties selecteren die de status Actief hebben.

      Als u meerdere instanties selecteert, gebruikt Workspace ONE Access de eerste geselecteerde instantie in de lijst om de directory te synchroniseren. Als de eerste instantie niet beschikbaar is, wordt de tweede connector gebruikt, enzovoort. U kunt de lijst opnieuw rangschikken op de pagina met synchronisatie-instellingen van de directory nadat de directory is gemaakt.

      Verificatie Selecteer Ja als u gebruikers van deze directory wilt verifiëren met de gebruikersverificatieservice. De gebruikersverificatieservice moet al zijn geïnstalleerd. Als u Ja selecteert, worden de verificatiemethode Wachtwoord (cloudimplementatie) en een identiteitsprovider met de naam IDP voor directorynaam van het type Ingesloten automatisch gemaakt voor de directory.

      Selecteer Geen als u gebruikers van deze directory niet wilt verifiëren met de gebruikersverificatieservice. Als u ervoor kiest om de gebruikersverificatieservice later te gebruiken, kunt u de verificatiemethode wachtwoord (cloudimplementatie) en de identiteitsprovider handmatig voor de directory maken. Wanneer u dit doet, maakt u een nieuwe identiteitsprovider voor de directory door Identiteitsprovider toevoegen > Ingebouwde IdP maken te selecteren op de pagina Identiteits- en toegangsbeheer > Identiteitsproviders. Het gebruik van de vooraf gemaakte identiteitsprovider met de naam Ingebouwd wordt niet aanbevolen.

      Hosts voor gebruikersverificatie Deze optie wordt weergegeven wanneer Verificatie is ingesteld op Ja. Selecteer een of meer service-instanties voor gebruikersverificatie die u wilt gebruiken om gebruikers van deze directory te verifiëren. Alle instanties voor gebruikersverificatieservice die zijn geregistreerd bij de Tenant en die zich in de status Actief bevinden, worden weergegeven.

      Als u meerdere instanties selecteert, verzendt Workspace ONE Access verificatieaanvragen in de Round-robin-volgorde naar de geselecteerde instanties.

      Gebruikersnaam Selecteer het accountkenmerk dat de gebruikersnaam bevat.
      Externe ID

      Het kenmerk dat moet worden gebruikt als unieke ID voor gebruikers in de Workspace ONE Access-directory. De standaardwaarde is objectGUID.

      U kunt Externe ID instellen op een van de volgende kenmerken:

      • Een willekeurig tekenreekskenmerk zoals sAMAccountName of distinguishedName
      • De binaire kenmerken objectSid, objectGUID of mS-DS-ConsistencyGuid

      De instelling Externe ID is alleen van toepassing op gebruikers in Workspace ONE Access. Voor groepen is Externe ID altijd ingesteld op objectGUID en kan deze instelling niet worden gewijzigd.

      Belangrijk: Voor alle gebruikers moet een unieke en niet-lege waarde zijn gedefinieerd voor het kenmerk. De waarde moet uniek zijn voor de Workspace ONE Access-tenant. Als gebruikers geen waarde hebben voor het kenmerk, wordt de directory niet gesynchroniseerd.

      Houd rekening met de volgende overwegingen bij het instellen van Externe ID:

      • Als u Workspace ONE Access met Workspace ONE UEM integreert, moet u ervoor zorgen dat u Externe ID instelt op hetzelfde kenmerk in beide producten.
      • U kunt Externe ID wijzigen nadat u de directory heeft gemaakt. U wordt echter aanbevolen Externe ID in te stellen voordat u gebruikers synchroniseert met Workspace ONE Access. Wanneer u Externe ID wijzigt, worden gebruikers opnieuw gemaakt. Hierdoor worden alle gebruikers afgemeld en moeten ze zich opnieuw aanmelden. U moet ook gebruikersrechten voor webapps en ThinApps opnieuw configureren. Rechten voor Horizon, Horizon Cloud en Citrix worden verwijderd en vervolgens opnieuw gemaakt bij de volgende synchronisatie van rechten.
      • De optie Externe ID is beschikbaar met Workspace ONE Access Connector 20.10 en 19.03.0.1. Alle connectoren die aan de Workspace ONE Access-service zijn gekoppeld, moeten versie 20.10 zijn of ze moeten allemaal versie 19.03.0.1 zijn. Als er verschillende versies van de connector aan de service zijn gekoppeld, wordt de optie Externe ID niet weergegeven.
    2. Als u DNS Service Location-opzoekingen voor Active Directory wilt gebruiken, maakt u de volgende selecties.
      • Schakel in de sectie Serverlocatie het selectievakje Deze directory ondersteunt DNS-servicelocatie in.

        Workspace ONE Access vindt en gebruikt optimale domeincontrollers. Als u geen gebruik wilt maken van de selectie van geoptimaliseerde domeincontrollers, volgt u stap c.

      • Als uw Active Directory toegang via SSL/TLS vereist, schakelt u het selectievakje STARTTLS is vereist voor alle verbindingen in de sectie Versleuteling in.
        Opmerking: Als deze optie Deze directory ondersteunt DNS-servicelocatie is geselecteerd, wordt STARTTLS gebruikt voor versleuteling via poort 389. Als de optie Deze directory ondersteunt DNS-servicelocatie is uitgeschakeld, wordt LDAPS gebruikt voor versleuteling via poort 636.

        Kopieer en plak ook de tussenliggende (indien gebruikt) en root-CA-certificaten van de domeincontrollers in het tekstvak SSL-certificaten . Voer eerst het tussenliggende CA-certificaat in en daarna het root-CA-certificaat. Zorg ervoor dat elk certificaat de PEM-indeling heeft en dat regels 'BEGIN CERTIFICATE' en 'END CERTIFICATE' erin zijn opgenomen.

        Als de domeincontrollers certificaten hebben van meerdere tussenliggende en rootcertificeringsinstanties, voert u alle tussenliggende CA-certificaatketens een voor een in.

        Bijvoorbeeld:

        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 2>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 2>
        ...
        -----END CERTIFICATE-----
        Opmerking: Als uw Active Directory SSL/TLS vereist en u verstrekt het certificaten niet, kunt u de directory niet maken.
    3. Als u DNS Service Location-opzoekingen voor Active Directory niet wilt gebruiken, maakt u de volgende selecties.
      • In de sectie Serverlocatie controleert u of het selectievakje Deze directory ondersteunt DNS-servicelocatie niet is ingeschakeld en voert u de serverhostnaam en het poortnummer van de Active Directory in.

        Zie de sectie Multi-domein, Single Forest Active Directory-omgeving in Active Directory integreren met Workspace ONE Access om de directory als een algemene catalogus te configureren.

      • Als uw Active Directory toegang via SSL/TLS vereist, schakelt u het selectievakje LDAPS is vereist voor alle verbindingen in de sectie Versleuteling in.
        Opmerking: Als deze optie Deze directory ondersteunt DNS-servicelocatie is geselecteerd, wordt STARTTLS gebruikt voor versleuteling via poort 389. Als de optie Deze directory ondersteunt DNS-servicelocatie is uitgeschakeld, wordt LDAPS gebruikt voor versleuteling via poort 636.

        Kopieer en plak ook het tussenliggende (indien gebruikt) en root-CA-certificaat van de domeincontroller naar het tekstvak SSL-certificaten. Voer eerst het tussenliggende CA-certificaat in en daarna het root-CA-certificaat. Zorg ervoor dat het certificaat de PEM-indeling heeft en dat de regels "BEGIN CERTIFICATE" en "END CERTIFICATE" erin zijn opgenomen.

        Opmerking: Als uw Active Directory SSL/TLS vereist en u verstrekt het certificaat niet, kunt u de directory niet maken.
    4. Voer de volgende informatie in de sectie Details van BIND-gebruiker.
      Optie Beschrijving
      Basis-DN Voer de DN in vanwaar zoekopdrachten worden gestart. Bijvoorbeeld OU=myUnit,DC=myCorp,DC=com.
      Opmerking: De Base DN wordt gebruikt voor verificatie. Alleen gebruikers onder de Base DN kunnen zich verifiëren. Zorg ervoor dat de groeps-DN's en gebruikers-DN's die u later opgeeft voor synchronisatie, onder deze Base DN vallen.
      DN van Bind-gebruiker Voer het account in waarmee u kunt zoeken naar gebruikers. Bijvoorbeeld CN=binduser,OU=myUnit,DC=myCorp,DC=com.
      Opmerking: U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt.
      Bind-gebruikerswachtwoord Voer het wachtwoord van de bind-gebruiker in.
  6. Als u Active Directory via geïntegreerde Windows-verificatie integreert, voert u de volgende stappen uit.
    1. Maak in de sectie Directorysynchronisatie en -verificatie de volgende selecties.
      Optie Beschrijving
      Hosts voor directorysynchronisatie Selecteer een of meer service-instanties voor Directorysynchronisatie die u wilt gebruiken om deze directory te synchroniseren. Alle instanties voor Directorysynchronisatieservices die zijn geregistreerd bij de tenant en die zich in de status Actief bevinden, worden weergegeven.

      Als u meerdere instanties selecteert, gebruikt Workspace ONE Access de eerste geselecteerde instantie in de lijst om de directory te synchroniseren. Als de eerste instantie niet beschikbaar is, wordt de tweede connector gebruikt, enzovoort. U kunt de lijst opnieuw rangschikken op de pagina met synchronisatie-instellingen van de directory nadat de directory is gemaakt.

      Verificatie Selecteer Ja als u gebruikers van deze directory wilt verifiëren met de gebruikersverificatieservice. De gebruikersverificatieservice moet al zijn geïnstalleerd. Als u Ja selecteert, worden de verificatiemethode Wachtwoord (cloudimplementatie) en een identiteitsprovider met de naam IDP voor directory van het type Ingesloten automatisch gemaakt voor de directory.

      Selecteer Geen als u gebruikers van deze directory niet wilt verifiëren met de gebruikersverificatieservice. Als u later van gedachten verandert, kunt u de verificatiemethode wachtwoord (cloudimplementatie) en de identiteitsprovider voor de directory handmatig maken. Wanneer u dit doet, maakt u een nieuwe identiteitsprovider voor de directory door Identiteitsprovider toevoegen > Ingebouwde IdP maken te selecteren op de pagina Identiteits- en toegangsbeheer > Identiteitsproviders. Het gebruik van de vooraf gemaakte identiteitsprovider met de naam Ingebouwd wordt niet aanbevolen.

      Hosts voor gebruikersverificatie Deze optie wordt weergegeven wanneer Verificatie is ingesteld op Ja. Selecteer een of meer service-instanties voor gebruikersverificatie die u wilt gebruiken om gebruikers van deze directory te verifiëren. Alle instanties voor gebruikersverificatieservice die zijn geregistreerd bij de Tenant en die zich in de status Actief bevinden, worden weergegeven.

      Als u meerdere instanties selecteert, verzendt Workspace ONE Access verificatieaanvragen in de Round-robin-volgorde naar de geselecteerde instanties.

      Gebruikersnaam Selecteer het accountkenmerk dat de gebruikersnaam bevat.
      Externe ID

      Het kenmerk dat moet worden gebruikt als unieke ID voor gebruikers in de Workspace ONE Access-directory. De standaardwaarde is objectGUID.

      U kunt Externe ID instellen op een van de volgende kenmerken:

      • Een willekeurig tekenreekskenmerk zoals sAMAccountName of distinguishedName
      • De binaire kenmerken objectSid, objectGUID of mS-DS-ConsistencyGuid

      De instelling Externe ID is alleen van toepassing op gebruikers in Workspace ONE Access. Voor groepen is Externe ID altijd ingesteld op objectGUID en kan deze instelling niet worden gewijzigd.

      Belangrijk: Voor alle gebruikers moet een unieke waarde zijn gedefinieerd voor het kenmerk. De waarde moet uniek zijn voor de Workspace ONE Access-tenant.

      Houd rekening met de volgende overwegingen bij het instellen van Externe ID:

      • Als u Workspace ONE Access met Workspace ONE UEM integreert, moet u ervoor zorgen dat u Externe ID instelt op hetzelfde kenmerk in beide producten.
      • U kunt Externe ID wijzigen nadat u de directory heeft gemaakt. U wordt echter aanbevolen Externe ID in te stellen voordat u gebruikers synchroniseert met Workspace ONE Access. Wanneer u Externe ID wijzigt, worden gebruikers opnieuw gemaakt. Hierdoor worden alle gebruikers afgemeld en moeten ze zich opnieuw aanmelden. U moet ook gebruikersrechten voor webapps en ThinApps opnieuw configureren. Rechten voor Horizon, Horizon Cloud en Citrix worden verwijderd en vervolgens opnieuw gemaakt bij de volgende synchronisatie van rechten.
      • De optie Externe ID is beschikbaar met Workspace ONE Access Connector 20.10 en 19.03.0.1. Alle connectoren die aan de Workspace ONE Access-service zijn gekoppeld, moeten versie 20.10 zijn of ze moeten allemaal versie 19.03.0.1 zijn. Als er verschillende versies van de connector aan de service zijn gekoppeld, wordt de optie Externe ID niet weergegeven.
    2. Er is geen actie vereist in de sectie Versleuteling. Directory's van het type Active Directory via geïntegreerde Windows-verificatie gebruiken automatisch SASL Kerberos-binding en u hoeft LDAPS of STARTTLS niet in te schakelen.
    3. Voer in de sectie Gebruikersdetails Bind de gebruikersnaam en het wachtwoord in van de Bind-gebruiker die is gemachtigd om gebruikers en groepen voor de vereiste domeinen op te vragen. Voer de gebruikersnaam in als sAMAccountNaam@domein, waarbij domein de volledig gekwalificeerde domeinnaam is. Bijvoorbeeld: jjansen@voorbeeld.nl.
      Opmerking: U wordt aanbevolen een Bind-gebruikersaccount te gebruiken met een wachtwoord dat niet verloopt.
  7. Klik op Opslaan en Volgende.
  8. Selecteer op de pagina Domeinen selecteren, de domeinen indien van toepassing, en klik vervolgens op volgende .
    • Voor een directory van het type Active Directory via LDAP zijn de domeinen vermeld en al geselecteerd.
    • Voor een directory van het type Active Directory via geïntegreerde Windows-verificatie selecteert u de domeinen die moeten worden gekoppeld aan deze Active Directory-verbinding. Alle domeinen met een vertrouwensrelatie in twee richtingen met het basisdomein worden weergegeven.

      Als domeinen met een vertrouwensrelatie in twee richtingen met het basisdomein worden toegevoegd aan Active Directory nadat de Workspace ONE Access-directory is gemaakt, kunt u deze toevoegen via de pagina Synchronisatie-instellingen > Domeinen van de directory door op Vernieuwen te klikken om de meest recente lijst op te halen.

      Tip: Kies een of meer vertrouwde domeinen in plaats van alle domeinen tegelijk te selecteren. Dit zorgt ervoor dat het opslaan van het domein geen langdurige bewerking is die mogelijk een time-out kan veroorzaken. Als u de domeinen op de juiste wijze kiest, zorgt u ervoor dat de Directorysynchronisatieservice tijd besteedt aan het oplossen van alleen één domein.
    • Als u een Active Directory via LDAP-directory maakt waarvoor de optie Globale catalogus is geselecteerd, wordt het tabblad domeinen niet weergegeven.
  9. Controleer op de pagina Gebruikersattributen toewijzen of de kenmerknamen van de Workspace ONE Access-directory zijn toegewezen aan de juiste Active Directory-kenmerken en breng zo nodig wijzigingen aan. Klik vervolgens op Volgende.
    Belangrijk: Als een kenmerk als vereist is gemarkeerd, moet de waarde worden ingesteld voor alle gebruikers die u wilt synchroniseren. Gebruikersrecords waarin waarden ontbreken voor de vereiste kenmerken, worden niet gesynchroniseerd.
  10. Selecteer op de pagina Selecteer de groepen die u wilt synchroniseren de groepen die u wilt synchroniseren van Active Directory naar de Workspace ONE Access-directory.
    Houd rekening met de volgende overwegingen bij het toevoegen van groepen.
    • Het is aan te raden een klein aantal groepen toe te voegen en te synchroniseren wanneer u de directory maakt. Na de eerste installatie kunt u meer groepen toevoegen.
    • Wanneer groepen worden toegevoegd en gesynchroniseerd, worden groepsnamen gesynchroniseerd naar de directory. Gebruikers die lid van de groep zijn, worden pas naar de directory gesynchroniseerd wanneer de groep rechten voor een applicatie heeft of de naam van de groep aan een toegangsbeleidsregel is toegevoegd.
      Opmerking: U kunt deze beperking overschrijven door de optie Groepsleden synchroniseren met de directory bij het toevoegen van groep in te schakelen op de pagina Identiteits- en toegangsbeheer > Installatie > Voorkeuren.
    • Wanneer u een groep synchroniseert, worden gebruikers die geen Domeingebruikers als hun primaire groep in Active Directory hebben, niet gesynchroniseerd.
    Als u groepen wilt selecteren, geeft u een of meer groeps-DN's op en selecteert u de onderliggende groepen.
    1. Klik in de rij De groep op het hoogste niveau opgeven op + en voer de groeps-DN op het hoogste niveau in. Bijvoorbeeld CN=gebruikers,DC=voorbeeld,DC=bedrijf,DC=com.
      Tip: Het is niet raadzaam een DN op hoog niveau in te voeren, zoals de Base DN waarin moet worden gezocht, omdat de zoekactie veel tijd in beslag neemt. Probeer een specifiekere DN in te voeren om onder te zoeken.
      Belangrijk: Geef groeps-DN's op die zich onder de Base DN bevinden die u heeft ingevoerd in het tekstvak Base DN op de pagina Directory toevoegen. Als een groeps-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.
    2. Als u alle groepen wilt selecteren onder de groeps-DN die u heeft toegevoegd, klikt u op het selectievakje Alle selecteren.
      Als er groepen worden toegevoegd aan of verwijderd uit de groeps-DN in Active Directory nadat de directory is gemaakt, worden de wijzigingen weergegeven in de volgende synchronisaties.
    3. Als u specifieke groepen onder de groeps-DN wilt selecteren in plaats van ze allemaal te selecteren, klikt u op Groepen selecteren, selecteert u de gewenste opties en klikt u op Opslaan.
      Wanneer u op Groepen selecteren klikt, worden alle groepen weergegeven die in de DN zijn gevonden. U kunt de resultaten beperken of specifieke groepen opzoeken door een zoekterm in te voeren in het zoekvak.
    4. Schakel zo nodig de optie Geneste groepsleden synchroniseren in of uit.
      De optie Geneste groepsleden synchroniseren is standaard ingeschakeld. Wanneer deze optie is ingeschakeld, worden alle gebruikers die direct tot de geselecteerde groep horen, en alle gebruikers die tot de geneste groepen eronder behoren, gesynchroniseerd zodra de groep de nodige rechten heeft. Let op dat de geneste groepen niet worden gesynchroniseerd; alleen de gebruikers die tot de geneste groepen behoren, worden gesynchroniseerd. In de Workspace ONE Access-directory zijn deze gebruikers leden van de bovenliggende groep die u heeft geselecteerd om te synchroniseren.

      Als de optie Geneste groepsleden synchroniseren is uitgeschakeld, wanneer u een groep opgeeft om te synchroniseren, worden alle gebruikers gesynchroniseerd die tot die groep behoren. Gebruikers die tot geneste groepen eronder behoren, worden niet gesynchroniseerd. Het uitschakelen van deze functie is handig voor grote Active Directory-configuraties waarbij het doorkruisen van een groepsstructuur veel tijd en middelen kost. Als u deze optie uitschakelt, zorgt u ervoor dat u alle groepen selecteert waarvan u de gebruikers wilt synchroniseren.

  11. Klik op Volgende.
  12. Selecteer de gebruikers die u wilt synchroniseren.
    Houd rekening met de volgende overwegingen bij het toevoegen van gebruikers:
    • Omdat leden in groepen pas naar de directory worden gesynchroniseerd nadat de groep rechten heeft gekregen voor applicaties of is toegevoegd aan een toegangsbeleidsregel, voegt u alle gebruikers die zich moeten verifiëren toe voordat groepsrechten worden geconfigureerd.
    • De BIND-gebruiker die u heeft opgegeven in het gedeelte Bind-gegevens, wordt standaard niet gesynchroniseerd met de Workspace ONE Access-service. Als u de BIND-gebruiker wilt synchroniseren, voert u de gebruikers-DN op dit tabblad in. Nadat de directory is gesynchroniseerd, kunt u de rol voor de BIND-gebruiker zo nodig instellen.
    1. Klik op + en voer de gebruikers-DN's in op de rij Geef de gebruiker-DN's op. Bijvoorbeeld:

      CN=gebruikersnaam,CN=gebruikers,OU=Sales,DC=example,DC=com

      Belangrijk: Geef gebruikers-DN's op die zich onder de Base DN bevinden die u heeft ingevoerd in het tekstvak Base DN op de pagina Directory toevoegen. Als een gebruikers-DN buiten de basis-DN ligt, worden gebruikers van die DN gesynchroniseerd, maar kunnen zij zich niet aanmelden.

      Om te controleren of de gebruikers-DN geldig is en om het aantal gebruikers te zien dat wordt gesynchroniseerd, klikt u op de knop Testen voor die rij.

    2. Geef filters op om gebruikers van de DN's, indien nodig, in of uit te sluiten.
  13. Klik op Volgende.
  14. Stel op de pagina synchronisatiefrequentie een synchronisatieplanning in om gebruikers en groepen regelmatig te synchroniseren of selecteer Handmatig in de vervolgkeuzelijst Synchronisatiefrequentie als u geen planning wilt instellen.
    De waarde is ingesteld in UTC.
    Tip: Zorg voor langere synchronisatie-intervallen dan de tijd die nodig is om te synchroniseren. Als gebruikers en groepen naar de directory worden gesynchroniseerd wanneer de volgende synchronisatie is gepland, wordt de nieuwe synchronisatie gestart direct na het einde van de vorige synchronisatie.
    Als u Handmatig wilt selecteren, klikt u op de knop Synchronisatie op de directorypagina wanneer u de directory wilt synchroniseren.
  15. Klik op Opslaan om de directory te maken of Directory synchroniseren om de Directory te maken en het synchroniseren te starten.

resultaten

De verbinding met Active Directory is tot stand gebracht. Als u op Directory synchroniseren heeft geklikt, worden gebruikers- en groepsnamen gesynchroniseerd van Active Directory naar de Workspace ONE Access-directory.

Zie 'Gebruikers en groepen beheren' in VMware Workspace ONE Access beheren voor meer informatie over hoe groepen worden gesynchroniseerd.

Volgende stappen

  • Als u de verificatie-optie op Ja instelt, wordt voor de Directory automatisch een identiteitsprovider met de naam IDP voor directorynaam en een verificatiemethode wachtwoord (cloudimplementatie) gemaakt. U kunt deze weergeven op de pagina's Identiteits- en toegangsbeheer > Beheren > Identiteitsproviders en Ondernemingsverificatiemethoden. U kunt ook meer verificatiemethoden voor de directory maken op het tabblad Ondernemingsverificatiemethoden. Zie Verificatiemethoden voor gebruikers beheren in Workspace ONE Access voor informatie over het maken van verificatiemethoden.
  • Controleer het standaard toegangsbeleid op de pagina Identiteits- en toegangsbeheer > Beheren > Beleid.
  • Controleer de standaardinstellingen voor synchronisatiebeveiligingen en wijzig die indien nodig. Raadpleeg Beveiligingsmaatregelen voor directorysynchronisatie in Workspace ONE Access instellen voor meer informatie.