Службу можно интегрировать в среду Active Directory, которая состоит из одного домена Active Directory, нескольких доменов в одном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory.
Среда с одним доменом Active Directory
С помощью одиночного развертывания Active Directory можно синхронизировать пользователей и группы из одного домена Active Directory.
Для этой среды при добавлении каталога в службу VMware Identity Manager выберите параметр «Active Directory с помощью LDAP или IWA» в качестве каталога для добавления.
Дополнительные сведения см. в следующих документах:
Среда Active Directory в нескольких доменах и одном лесу
В развертывании Active Directory с несколькими доменами и одним лесом можно синхронизировать пользователей и группы из нескольких доменов Active Directory в пределах одного леса.
- Рекомендуемый вариант — создание одного типа каталога Active Directory (встроенная проверка подлинности Windows).
При добавлении каталога для этой среды выберите параметр «Active Directory (встроенная проверка подлинности Windows)». Убедитесь, что между доменами в каталоге и доменом, к которому присоединяется VMware Identity Manager Connector, настроено прямое двухстороннее (нетранзитивное) доверие.
Дополнительные сведения см. в следующих документах:
- Если встроенная проверка подлинности Windows не работает в среде Active Directory, создайте каталог типа «Active Directory с протоколом LDAP» и укажите, что он должен быть глобальным.
При выборе глобального каталога действует ряд ограничений, которые перечислены ниже.
- Атрибуты объектов Active Directory, которые реплицируются в глобальный каталог, определяются в схеме Active Directory как частичный набор атрибутов (PAS). Служба может сопоставлять только эти атрибуты. При необходимости измените схему, добавив или удалив в ней атрибуты, которые хранятся в глобальном каталоге.
- Для глобального каталога членство в группе (атрибут участника) сохраняется только в случае, если группы универсальные. Со службой синхронизируются только универсальные группы. Если группа локальная или глобальная, при необходимости можно изменить ее область действия на универсальную.
- Для учетной записи с различающимся именем для подключения, определенной при настройке каталога в службе, необходимо предоставить права на чтение атрибута Token-Groups-Global-And-Universal (TGGAU).
- Если решение Workspace ONE UEM интегрировано с VMware Identity Manager и настроено несколько организационных групп Workspace ONE UEM, параметр «Глобальный каталог Active Directory» использовать нельзя.
Active Directory использует порты 389 и 636 для стандартных запросов LDAP. Для запросов глобального каталога используются порты 3268 и 3269.
При добавлении каталога для среды глобального каталога задайте следующие параметры.
- Выберите параметр «Active Directory с протоколом LDAP».
- Снимите флажок для параметра Данный каталог поддерживает поиск размещения службы DNS.
- Выберите параметр Для этого каталога существует глобальный каталог. Если выбрать этот параметр, номер порта сервера автоматически изменится на 3268. Кроме того, поскольку при настройке глобального каталога базовое различающееся имя не требуется, текстовое поле «Базовое различающееся имя» не отображается.
- Добавьте имя узла сервера Active Directory.
- Если для Active Directory требуется доступ по протоколу SSL, выберите параметр Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL и вставьте сертификат в соответствующее текстовое поле. Если выбрать этот параметр, номер порта сервера автоматически изменится на 3269.
Среда Active Directory в нескольких лесах с отношениями доверия
В развертывании Active Directory в нескольких лесах с отношениями доверия можно синхронизировать пользователей и группы из нескольких доменов Active Directory в нескольких лесах, где между доменами существуют двусторонние отношения доверия. Службу можно настроить для этой среды Active Directory в качестве единого типа каталога Active Directory (встроенная проверка подлинности Windows).
При добавлении каталога для этой среды выберите параметр «Active Directory (встроенная проверка подлинности Windows)». Убедитесь, что между доменами в лесах каталогов и доменом, к которому присоединяется VMware Identity Manager Connector, настроено прямое двухстороннее (нетранзитивное) доверие.
При добавлении каталога для этой среды выберите параметр «Active Directory (встроенная проверка подлинности Windows)».
Дополнительные сведения см. в следующих документах:
Среда Active Directory в нескольких лесах без отношений доверия
В развертывании Active Directory в нескольких лесах без отношений доверия можно синхронизировать пользователей и группы из нескольких доменов Active Directory в нескольких лесах, где между доменами нет двусторонних отношений доверия. В этой среде в службе VMware Identity Manager создаются несколько каталогов, по одному каталогу для каждого леса.
Тип каталогов, которые вы создаете в службе, зависит от леса. Для лесов с несколькими доменами выберите параметр «Active Directory (встроенная проверка подлинности Windows)». Для леса с одним доменом выберите параметр «Active Directory по LDAP».
Дополнительные сведения см. в следующих документах: