Каталог типа «Другой», в котором хранятся пользователи и группы, синхронизированные из Workspace ONE UEM, можно преобразовать в каталог типа Active Directory с протоколом LDAP или Active Directory со встроенной проверкой подлинности Windows, связанный с соединителем VMware Identity Manager. После преобразования каталога соединитель VMware Identity Manager будет использоваться вместо ACC для синхронизации пользователей и групп из корпоративного каталога в VMware Identity Manager.

Необходимые условия

  • Установите и активируйте VMware Identity Manager Connector.

    Чтобы использовать некоторые функции, сервер Windows должен быть присоединен к домену, установка VMware Identity Manager Connector должна быть выполнена от имени пользователя домена, который входит в группу администраторов сервера Windows, а служба IDM Connector должна быть запущена от имени пользователя домена Windows.

    Данное требование применимо для следующих случаев.

    • Если планируется преобразование каталога типа «Другой» в Active Directory со встроенной проверкой подлинности Windows

    • Если вы планируете использовать проверку подлинности Kerberos

    • Если планируется интеграция Horizon View с VMware Identity Manager и требуется воспользоваться параметрами «Выполнить синхронизацию каталогов» или «Настройка сервера подключений 5.x»

  • Вам понадобится следующая информация по Active Directory:

    • Если вы выполняете преобразование в Active Directory по LDAP, требуется указать базовое различающееся имя, различающееся имя домена и пароль к нему. Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.

    • Если выполняется преобразование в Active Directory со встроенной проверкой подлинности Windows, потребуется UPN-адрес и пароль пользователя с привязкой. Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.

    • Если для Active Directory необходим доступ по протоколу SSL или STARTTLS, требуется сертификат корневого центра сертификации контроллера домена Active Directory.

    • Если для встроенной проверки подлинности Windows в Active Directory настроена служба Active Directory с несколькими лесами, а локальная группа домена содержит участников из доменов в разных лесах, обязательно добавьте пользователя подключения в группу администраторов домена, в котором находится локальная группа домена. Если не сделать этого, эти участники не будут входить в локальную группу домена.

Процедура

  1. В консоли администрирования VMware Identity Manager перейдите на вкладку Управление учетными данными и доступом и выберите вкладку Каталоги.
  2. Выберите каталог, который необходимо преобразовать.
  3. На странице каталога нажмите кнопку Преобразовать.
  4. На странице «Добавить каталог» измените имя каталога, если это необходимо, и выберите тип каталога, в который вы хотите преобразовать каталог типа «Другой»: Active Directory с протоколом LDAP или Active Directory (встроенная проверка подлинности Windows).
  5. Введите информацию по соединению с Active Directory и запустите установщик, чтобы выполнить настройку каталога.

    Для получения более подробной информации см. раздел «Конфигурация соединения Active Directory со службой» в руководстве Интеграция каталога с VMware Identity Manager.

    Придерживайтесь следующих инструкций.

    • В поле Синхронизация соединителя выберите установленный соединитель VMware Identity Manager.

    • В разделе Синхронизация каталогов и проверка подлинности выберите Да для параметра Проверка подлинности, если только вы не собираетесь использовать для проверки подлинности стороннего поставщика удостоверений вместо соединителя.

    • Убедитесь, что преобразованный каталог настроен точно так же, как и каталог Workspace ONE UEM. Оба каталога должны иметь одинаковую структуру. Выберите одинаковые домены. При указании пользователей и групп для синхронизации выберите те же варианты, что и для каталога Workspace ONE UEM так, чтобы в преобразованном каталоге синхронизировались те же пользователи и группы.

  6. На последней странице мастера нажмите Синхронизировать каталог.

    Каталог будет преобразован и настроен для использования соединителя VMware Identity Manager. Будет создан поставщик удостоверений Workspace, если он еще не существовал до этого, и каталог будет автоматически связан с этим поставщиком. Метод проверки подлинности с помощью пароля для данного каталога уже активирован.

  7. (Необязательно) Для активации других методов проверки подлинности каталога выполните данные шаги.
    1. На вкладке Управление учетными данными и доступом щелкните Настройка.
    2. На странице «Соединители» определите соединитель и рабочий процесс, с которым связан преобразованный каталог, и нажмите ссылку в столбце Рабочий процесс.
    3. На странице рабочего процесса нажмите вкладку Адаптеры проверки подлинности.
    4. Настройте и включите адаптеры проверки подлинности, которые необходимо использовать для каталога. Для этого щелкните ссылку для каждого из них и введите сведения о конфигурации.

      Для получения более подробной информации по настройке адаптеров подлинности см. раздел Управление VMware Identity Manager.

  8. Отредактируйте default_access_policy_set и любые пользовательские политики, чтобы выбрать методы проверки подлинности соединителя VMware Identity Manager вместо использования пароля (AirWatch Connector).
    1. На вкладке Управление учетными данными и доступом выберите вкладку Политики.
    2. Щелкните Редактировать политику по умолчанию.
    3. Щелкните Конфигурация.
    4. Измените все правила политики и поменяйте метод проверки подлинности Пароль (AirWatch Connector) на Пароль, являющийся методом проверки подлинности VMware Identity Manager Connector.
    5. Cнова выберите вкладку Политики и измените пользовательские политики, если таковые имеются, так, чтобы в них использовался пароль либо иной настроенный вами метод проверки подлинности VMware Identity Manager соединителя.
      Важно!.

      Если не заменить Пароль (Airwatch Connector) на Пароль либо иной метод VMware Identity Manager проверки подлинности на основе соединителя, пользователи конвертированного каталога не смогут войти в систему.

Дальнейшие действия

Остановите синхронизацию каталога из Workspace ONE UEM в преобразованный каталог.