Workspace ONE Access можно интегрировать со средой Active Directory для синхронизации пользователей и групп Active Directory со службой Workspace ONE Access. От типа среды Active Directory зависит тип каталога, который создается в службе Workspace ONE Access.
Среды Active Directory
Службу Workspace ONE Access можно интегрировать в среду Active Directory, которая состоит из одного домена Active Directory, нескольких доменов в одном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory.
Среда с одним доменом Active Directory
С помощью одиночного развертывания домена Active Directory можно синхронизировать пользователей и группы из одного домена Active Directory.
В этой среде в службе Workspace ONE Access можно создать каталог типа «Active Directory с протоколом LDAP» или «Active Directory со встроенной проверкой подлинности Windows».
Дополнительные сведения см. в следующих документах:
Среда Active Directory в нескольких доменах и одном лесу
В развертывании Active Directory с несколькими доменами и одним лесом можно синхронизировать пользователей и группы из нескольких доменов Active Directory в пределах одного леса.
- Рекомендуется создать один каталог «Active Directory со встроенной проверкой подлинности Windows».
При добавлении каталога для этой среды выберите параметр «Active Directory со встроенной проверкой подлинности Windows». Убедитесь, что между доменами в каталоге и доменом, членом которого является пользователь подключения к каталогу, настроено прямое двухстороннее (нетранзитивное) доверие.
Дополнительные сведения см. в следующих документах:
- Если встроенная проверка подлинности Windows не работает в среде Active Directory, создайте каталог «Active Directory с протоколом LDAP» и выберите параметр «Глобальный каталог».
При выборе параметра «Глобальный каталог» действует ряд ограничений, которые перечислены ниже.
- Атрибуты объектов Active Directory, которые реплицируются в глобальный каталог, определяются в схеме Active Directory как частичный набор атрибутов (PAS). Служба может сопоставлять только эти атрибуты. При необходимости измените схему, добавив или удалив в ней атрибуты, которые хранятся в глобальном каталоге.
- Для глобального каталога членство в группе (атрибут участника) сохраняется только в случае, если группы универсальные. Со службой синхронизируются только универсальные группы. Если группа локальная или глобальная, при необходимости можно изменить ее область действия на универсальную.
- Для учетной записи с различающимся именем для подключения, определенной при настройке каталога в службе, необходимо предоставить права на чтение атрибута Token-Groups-Global-And-Universal (TGGAU).
- Пользователи могут осуществить синхронизацию с глобальным каталогом Workspace ONE Access из нескольких доменов Active Directory непосредственно или посредством членства в группах. Необходимо убедиться, что пользователи из одних доменов не синхронизируются с помощью других каталогов в арендаторе Workspace ONE Access. В противном случае возможны ошибки синхронизации вследствие конфликта.
- Если Workspace ONE UEM интегрировано с Workspace ONE Access и настроено несколько организационных групп Workspace ONE UEM, параметр «Глобальный каталог» Active Directory использовать нельзя.
Active Directory использует порты 389 и 636 для стандартных запросов LDAP. Для запросов глобального каталога используются порты 3268 и 3269.
Среда Active Directory в нескольких лесах с отношениями доверия
В развертывании Active Directory в нескольких лесах с отношениями доверия можно синхронизировать пользователей и группы из нескольких доменов Active Directory в нескольких лесах, где между доменами существуют двусторонние отношения доверия. Создайте в службе Workspace ONE Access для этой среды Active Directory один каталог «Active Directory со встроенной проверкой подлинности Windows».
При добавлении каталога для этой среды выберите параметр «Active Directory со встроенной проверкой подлинности Windows». Убедитесь, что между доменами в каталоге и доменом, членом которого является пользователь подключения к каталогу, настроено прямое двухстороннее (нетранзитивное) доверие.
Дополнительные сведения см. в следующих документах:
Среда Active Directory в нескольких лесах без отношений доверия
В развертывании Active Directory в нескольких лесах без отношений доверия можно синхронизировать пользователей и группы из нескольких доменов Active Directory в нескольких лесах, где между доменами нет двусторонних отношений доверия. В этой среде в службе Workspace ONE Access создаются несколько каталогов, по одному каталогу для каждого леса.
Дополнительные сведения см. в следующих документах: