Каталог типа «Другой», в котором хранятся пользователи и группы, синхронизированные из Workspace ONE UEM, можно преобразовать в каталог типа Active Directory с протоколом LDAP или Active Directory со встроенной проверкой подлинности Windows, связанный с соединителем VMware Identity Manager. После преобразования каталога VMware Identity Manager Connector будет использоваться вместо ACC для синхронизации пользователей и групп из корпоративного каталога в службу VMware Identity Manager.

Необходимые условия

  • Установите и активируйте VMware Identity Manager Connector.

    Чтобы использовать некоторые функции, сервер Windows должен быть присоединен к домену, установка соединителя VMware Identity Manager должна быть выполнена от имени пользователя домена, который входит в группу администраторов сервера Windows, а служба IDM Connector должна быть запущена от имени пользователя домена Windows.

    Данное требование применимо для следующих случаев.

    • Если планируется преобразование каталога типа «Другой» в Active Directory со встроенной проверкой подлинности Windows
    • Если вы планируете использовать проверку подлинности Kerberos
  • Вам понадобится следующая информация по Active Directory:
    • Если выполняется преобразование в «Active Directory с протоколом LDAP», требуется указать базовое различающееся имя, различающееся имя пользователя подключения и пароль.

      Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:

      • Чтение
      • Чтение всех свойств
      • Разрешения на чтение

      Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.

    • При преобразовании в «Active Directory со встроенной проверкой подлинности Windows» необходимо указать имя и пароль пользователя подключения, который имеет разрешение на создание запросов к пользователям и группам для требуемых доменов.

      Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:

      • Чтение
      • Чтение всех свойств
      • Разрешения на чтение

      Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.

    • Если для Active Directory требуется доступ по протоколу SSL/TLS, то необходимы сертификаты промежуточного (если используется) и корневого центров сертификации контроллеров доменов для всех соответствующих доменов Active Directory. Если контроллеры доменов имеют сертификаты от нескольких промежуточных и корневых центров сертификации, то необходимы все сертификаты промежуточных и корневых центров сертификации.
    • Если для встроенной проверки подлинности Windows в Active Directory настроена служба Active Directory с несколькими лесами, а локальная группа домена содержит участников из доменов в разных лесах, обязательно добавьте пользователя подключения в группу администраторов домена, в котором находится локальная группа домена. Если не сделать этого, эти участники не будут входить в локальную группу домена.
    • Для Active Directory с использованием встроенной проверки подлинности Windows:
      • для всех контроллеров домена, указанных в SRV-записях и скрытых RODC, поиск имени узла и IP-адреса с помощью nslookup должен работать.
      • На всех контроллерах доменов должно быть доступно сетевое подключение.

Процедура

  1. В консоли администрирования VMware Identity Manager перейдите на вкладку Управление учетными данными и доступом и выберите вкладку Каталоги.
  2. Выберите каталог, который необходимо преобразовать.
  3. На странице каталога нажмите кнопку Преобразовать.
  4. На странице «Добавить каталог» измените имя каталога, если это необходимо, и выберите тип каталога, в который вы хотите преобразовать каталог типа «Другой»: Active Directory с протоколом LDAP или Active Directory со встроенной проверкой подлинности Windows.
  5. Введите информацию по соединению с Active Directory и запустите установщик, чтобы выполнить настройку каталога.
    Для получения более подробной информации см. раздел «Конфигурация соединения Active Directory со службой» в руководстве Интеграция каталога с VMware Identity Manager.

    Придерживайтесь следующих инструкций.

    • В поле Синхронизация соединителя выберите установленный соединитель VMware Identity Manager.
    • В разделе Синхронизация каталогов и проверка подлинности выберите Да для параметра Проверка подлинности, если только вы не собираетесь использовать для проверки подлинности стороннего поставщика удостоверений вместо соединителя.
    • Убедитесь, что преобразованный каталог настроен точно так же, как и каталог Workspace ONE UEM. Оба каталога должны иметь одинаковую структуру. Выберите одинаковые домены. При указании пользователей и групп для синхронизации выберите те же варианты, что и для каталога Workspace ONE UEM так, чтобы в преобразованном каталоге синхронизировались те же пользователи и группы.
  6. На последней странице мастера нажмите Синхронизировать каталог.
    Каталог будет преобразован и настроен для использования соединителя VMware Identity Manager. Будет создан поставщик удостоверений Workspace, если он еще не существовал до этого, и каталог будет автоматически связан с этим поставщиком. Метод проверки подлинности с помощью пароля для данного каталога уже активирован.
  7. (Необязательно) Для активации других методов проверки подлинности каталога выполните данные шаги.
    1. а. На вкладке Управление учетными данными и доступом щелкните Настройка.
    2. б. На странице «Соединители» определите соединитель и рабочий процесс, с которым связан преобразованный каталог, и нажмите ссылку в столбце Рабочий процесс.
    3. в. На странице рабочего процесса нажмите вкладку Адаптеры проверки подлинности.
    4. г. Настройте и включите адаптеры проверки подлинности, которые необходимо использовать для каталога. Для этого щелкните ссылку для каждого из них и введите сведения о конфигурации.
      Для получения более подробной информации по настройке адаптеров подлинности см. раздел Управление VMware Identity Manager.
  8. Отредактируйте default_access_policy_set и любые пользовательские политики, чтобы выбрать методы проверки подлинности соединителя VMware Identity Manager вместо использования пароля (AirWatch Connector).
    1. а. На вкладке Управление учетными данными и доступом выберите вкладку Политики.
    2. б. Щелкните Редактировать политику по умолчанию.
    3. в. Щелкните Конфигурация.
    4. г. Измените все правила политики и поменяйте метод проверки подлинности Пароль (AirWatch Connector) на Пароль, являющийся методом проверки подлинности VMware Identity Manager Connector.
    5. д. Cнова выберите вкладку Политики и измените пользовательские политики, если таковые имеются, так, чтобы в них использовался пароль либо иной настроенный вами метод проверки подлинности VMware Identity Manager соединителя.
      Важно!: Если не заменить Пароль (Airwatch Connector) на Пароль либо иной метод VMware Identity Manager проверки подлинности на основе соединителя, пользователи конвертированного каталога не смогут войти в систему.

Дальнейшие действия

Остановите синхронизацию каталога из Workspace ONE UEM в преобразованный каталог.