Можно преобразовать каталог типа «Другой», в котором хранятся пользователи и группы, синхронизированные из AirWatch, в каталог типа Active Directory с протоколом LDAP или Active Directory (встроенная проверка подлинности Windows), связанный с соединителем VMware Identity Manager. После преобразования каталога соединитель VMware Identity Manager будет использоваться вместо ACC для синхронизации пользователей и групп из корпоративного каталога в VMware Identity Manager.

Необходимые условия

  • Установите и активируйте компонент Соединитель VMware Identity Manager VMware Enterprise Systems Connector на сервере Windows Server.

    Чтобы использовать некоторые функции, сервер Windows Server должен быть соединен с доменом, установка компонента Соединитель VMware Identity Manager должна быть выполнена от имени пользователя домена, который входит в группу администраторов сервера Windows Server, а служба IDM Connector должна быть запущена от имени пользователя домена Windows.

    Данное требование применимо для следующих случаев.

    • Если вы планируете преобразовать каталог с типом «Другой» в Active Directory (встроенная проверка подлинности Windows)

    • Если вы планируете использовать проверку подлинности Kerberos

    • Если планируется интеграция Horizon View с VMware Identity Manager и требуется воспользоваться параметрами «Выполнить синхронизацию каталогов» или «Настройка сервера подключений 5.x».

  • Вам понадобится следующая информация по Active Directory:

    • Если вы выполняете преобразование в Active Directory по LDAP, требуется указать базовое различающееся имя, различающееся имя домена и пароль к нему. Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.

    • Если вы выполняете преобразование в Active Directory (встроенная проверка подлинности Windows), потребуется UPN-адрес и пароль пользователя привязки. Рекомендуется использовать учетную запись пользователя различающегося имени для подключения с паролем без срока действия.

    • Если для Active Directory необходим доступ по протоколу SSL или STARTTLS, требуется сертификат корневого центра сертификации контроллера домена Active Directory.

    • Если для встроенной проверки подлинности Windows в Active Directory настроена служба Active Directory с несколькими лесами, а локальная группа домена содержит участников из доменов в разных лесах, обязательно добавьте пользователя привязки в группу администраторов домена, в котором находится локальная группа домена. Если не сделать этого, эти участники не будут входить в локальную группу домена.

Процедура

  1. В консоли администрирования VMware Identity Manager перейдите на вкладку Управление учетными данными и доступом и выберите вкладку Каталоги.
  2. Нажмите название каталога, который вы хотите преобразовать.
  3. На странице каталога нажмите кнопку Преобразовать.
  4. На странице «Добавить каталог» измените имя каталога, если это необходимо, и выберите тип каталога, в который вы хотите преобразовать каталог типа «Другой»: Active Directory с протоколом LDAP или Active Directory (встроенная проверка подлинности Windows).
  5. Введите информацию по соединению с Active Directory и запустите установщик, чтобы выполнить настройку каталога.

    Для получения более подробной информации см. раздел «Конфигурация соединения Active Directory со службой» в руководстве Интеграция каталога с VMware Identity Manager.

    Придерживайтесь следующих инструкций.

    • В поле Синхронизация соединителя выберите установленный соединитель VMware Identity Manager.

    • В разделе Синхронизация каталогов и проверка подлинности выберите Да для параметра Проверка подлинности, если только вы не собираетесь использовать для проверки подлинности стороннего поставщика удостоверений вместо соединителя.

    • Убедитесь, что вы настроили преобразованный каталог точно так же, как и каталог AirWatch. Оба каталога должны иметь одинаковую структуру. Выберите одинаковые домены. При указании пользователей и групп для синхронизации выберите те же варианты, что и для каталога AirWatch, так, чтобы в преобразованном каталоге синхронизировались те же пользователи и группы.

  6. На последней странице мастера нажмите Синхронизировать каталог.

    Каталог будет преобразован и настроен для использования соединителя VMware Identity Manager. Будет создан поставщик удостоверений Workspace, если он еще не существовал до этого, и каталог будет автоматически связан с этим поставщиком. Метод проверки подлинности с помощью пароля для данного каталога уже активирован.

  7. (Необязательно) Для активации других методов проверки подлинности каталога выполните данные шаги.
    1. На вкладке Управление учетными данными и доступом щелкните Настройка.
    2. На странице «Соединители» определите соединитель и рабочий процесс, с которым связан преобразованный каталог, и нажмите ссылку в столбце Рабочий процесс.
    3. На странице рабочего процесса нажмите вкладку Адаптеры проверки подлинности.
    4. Настройте и включите адаптеры проверки подлинности, которые необходимо использовать для каталога. Для этого щелкните ссылку для каждого из них и введите сведения о конфигурации.

      Для получения более подробной информации по настройке адаптеров подлинности см. раздел Управление VMware Identity Manager.

  8. Отредактируйте default_access_policy_set и любые пользовательские политики, чтобы выбрать методы проверки подлинности соединителя VMware Identity Manager вместо использования пароля (AirWatch Connector).
    1. На вкладке Управление учетными данными и доступом выберите вкладку Политики.
    2. Щелкните Редактировать политику по умолчанию.
    3. В меню Правила и политика отредактируйте столбец Методы проверки подлинности для каждого правила и вместо Пароль (AirWatch Connector) выберите Пароль. Это будет методом определения подлинности VMware Identity Manager соединителя.
    4. Cнова выберите вкладку Политики и измените пользовательские политики, если таковые имеются, так, чтобы в них использовался пароль либо иной настроенный вами метод проверки подлинности VMware Identity Manager соединителя.
      Важно:

      Если не заменить Пароль (Airwatch Connector) на Пароль либо иной метод VMware Identity Manager проверки подлинности на основе соединителя, пользователи конвертированного каталога не смогут войти в систему.

Дальнейшие действия

Остановить синхронизацию каталога с AirWatch на конвертированный каталог.