Настройка подключения Active Directory в Workspace ONE Access

В консоли Workspace ONE Access создайте каталог, введите сведения, необходимые для подключения к Active Directory, а затем выберите пользователей и группы, которые необходимо синхронизировать с каталогом Workspace ONE Access. Для подключения Active Directory можно использовать Active Directory с протоколом LDAP или встроенной проверкой подлинности Windows в Active Directory. Подключение Active Directory с протоколом LDAP поддерживает функцию поиска места расположения службы DNS.

Необходимые условия

Установите службу синхронизации каталогов, которая доступна в качестве компонента Workspace ONE Access Connector, начиная с версии 20.01.0.0. См. последнюю версию установки VMware Workspace ONE Access Connector для получения дополнительной информации.
Если необходимо использовать службу проверки подлинности пользователей для проверки подлинности пользователей каталога, установите также компонент «Служба проверки подлинности пользователей».
Выберите обязательные атрибуты пользователя и при необходимости добавьте настраиваемые атрибуты на странице Параметры > Атрибуты пользователя в консоли Workspace ONE Access. См. Управление атрибутами пользователей в Workspace ONE Access. Следует учитывать следующие факторы:
- Если атрибут пользователя является обязательным, его значение должно быть установлено для всех пользователей, которых требуется синхронизировать. Пользователи без значений для атрибута не будут синхронизированы.
- Атрибуты применяются для всех каталогов.
- После настройки одного или более каталогов в службе Workspace ONE Access атрибуты больше нельзя будет пометить как требуемые.
Создайте список групп и пользователей, которые нужно синхронизировать из Active Directory. Имена групп сразу синхронизируются с каталогом. Участники группы не синхронизируются, пока группе не будут предоставлены права на использование ресурсов или пока добавлены в правило политики. Во время первоначальной настройки необходимо добавить пользователей, которым нужно пройти проверку подлинности перед настройкой права группы.
Если создается каталог типа «Active Directory с протоколом LDAP» с использованием параметра «Глобальный каталог», необходимо убедиться, что в других каталогов арендатора Workspace ONE Access не синхронизируются пользователи из того же домена, что и каталог «Глобальный каталог». Конфликт может привести к ошибкам синхронизации.
Для «Active Directory с протоколом LDAP» необходимо указать базовое различающееся имя, различающееся имя пользователя подключения и пароль.
Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:
- Чтение
- Чтение всех свойств
- Разрешения на чтение
Примечание: Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.
Для подключения к Active Directory через встроенную службу проверки подлинности Windows необходимо указать имя и пароль пользователя подключения, который имеет разрешение на создание запросов к пользователям и группам для требуемых доменов.
Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:
- Чтение
- Чтение всех свойств
- Разрешения на чтение
Примечание: Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.
Если для Active Directory требуется доступ по протоколу SSL/TLS, то необходимы сертификаты промежуточного (если используется) и корневого центров сертификации контроллеров доменов для всех соответствующих доменов Active Directory. Если контроллеры доменов имеют сертификаты от нескольких промежуточных и корневых центров сертификации, то необходимы все сертификаты промежуточных и корневых центров сертификации.

Примечание: В каталогах типа «Active Directory со встроенной проверкой подлинности Windows» для шифрования автоматически используется привязка SASL Kerberos. Сертификат не требуется.
Если для встроенной проверки подлинности Windows в Active Directory настроена служба Active Directory с несколькими лесами, а локальная группа домена содержит участников из доменов в разных лесах, обязательно добавьте пользователя подключения в группу администраторов домена, в котором находится локальная группа домена. Если не сделать этого, эти участники не будут входить в локальную группу домена.
Для Active Directory с использованием встроенной проверки подлинности Windows:
- для всех контроллеров домена, указанных в SRV-записях и скрытых RODC, поиск имени узла и IP-адреса с помощью nslookup должен работать.
- На всех контроллерах доменов должно быть доступно сетевое подключение.
Если соединитель Workspace ONE Access запущен в режиме FIPS, применяются дополнительные требования и предварительные условия. См. раздел Workspace ONE Access Connector и режим FIPS для нужной версии соединителя.

Процедура

В консоли Workspace ONE Access выберите Интеграции > Каталоги.
Из раскрывающегося меню Добавить каталог выберите Active Directory.

В разделе Сведения о каталоге введите следующие сведения.

Параметр	Описание
Имя каталога	Введите имя каталога Workspace ONE Access.
Type	Выберите тип каталога Active Directory с протоколом LDAP или Active Directory со встроенной проверкой подлинности Windows.

Если вы выбрали в качестве типа каталога Active Directory с протоколом LDAP, выполните следующие действия для раздела Настроить каталог. В противном случае перейдите к следующему шагу.

а. В разделе Синхронизация службы каталогов и проверка подлинности выполните следующие действия.

Опция	Описание
Узлы синхронизации каталогов	Выберите один или несколько экземпляров службы синхронизации каталогов, которые будут использоваться для синхронизации этого каталога. Отобразится список всех экземпляров службы синхронизации каталогов, зарегистрированных с этим арендатором. Можно выбрать только те экземпляры, которые находятся в активном состоянии. При выборе нескольких экземпляров Workspace ONE Access использует первый выбранный экземпляр в списке для синхронизации каталога. Если первый экземпляр недоступен, используется следующий выбранный экземпляр и т. д. После создания каталога можно изменить порядок списка на странице Параметры синхронизации каталога.
Проверка подлинности	Выберите Настроить для этого каталога проверку подлинности с помощью пароля, если необходимо проверять подлинность пользователей этого каталога с помощью службы проверки подлинности пользователей. Служба проверки подлинности пользователей уже должна быть установлена. Если выбрана эта опция, для каталога автоматически создаются метод проверки подлинности «Пароль (облачная среда)» и поставщик удостоверений с именем Поставщик удостоверений для `directoryName` типа «Внедренный». Выберите Добавить методы проверки подлинности позже, если не нужно проверять подлинность пользователей этого каталога с помощью службы проверки подлинности пользователей. Если потребуется использовать службу проверки подлинности пользователей позже, можно будет создать метод проверки подлинности «Пароль (облачная среда)» и поставщик удостоверений для каталога вручную. В таком случае создайте поставщика удостоверений для каталога, выбрав Добавить > Встроенный поставщик удостоверений на странице Интеграции > Поставщики удостоверений. Не рекомендуется использовать предварительно созданного поставщика удостоверений с именем Встроенный.
Узлы проверки подлинности пользователей	Этот параметр отображается, если для Проверка подлинности выбрано значение Настроить для этого каталога проверку подлинности с помощью пароля. Выберите один или несколько экземпляров службы проверки подлинности пользователей, которые будут использоваться для проверки подлинности пользователей в этом каталоге. Отобразится список всех экземпляров службы проверки подлинности пользователей, зарегистрированных у этого арендатора и находящихся в активном состоянии. При выборе нескольких экземпляров Workspace ONE Access отправляет запросы на проверку подлинности выбранным экземплярам в порядке циклического перебора.
Имя пользователя	Выберите атрибут учетной записи, который содержит имя пользователя.
Внешний идентификатор	Атрибут, который необходимо использовать в качестве уникального идентификатора пользователей в каталоге Workspace ONE Access. Значение по умолчанию — objectGUID. Для настройки «Внешний идентификатор» можно задать любой из следующих атрибутов: любой строковый атрибут, например sAMAccountName или distinguishedName; двоичные атрибуты objectSid, objectGUID или mS-DS-ConsistencyGuid. Параметр «Внешний идентификатор» применяется только к пользователям в Workspace ONE Access. В группах для параметра «Внешний идентификатор» всегда задается значение objectGUID без возможности изменения. Важно!: Все пользователи должны определить уникальное и непустое значение для атрибута. Значение должно быть уникальным во всем арендаторе Workspace ONE Access. Если какие-либо пользователи не задали значение атрибута, каталог не будет синхронизирован. Важно!: Если задать параметр «Внешний идентификатор» для атрибута Active Directory objectGUID или mS-DS-ConsistencyGuid, у всех пользователей должно быть значение атрибута, длина которого составляет ровно 16 байт. Кроме того, убедитесь, что в текстовом поле Внешний идентификатор указано правильное имя атрибута Active Directory с правильным регистром. Если имя не совпадает с именем атрибута в Active Directory, возвращается нулевое значение, и происходит сбой синхронизации каталога. Например, если используется атрибут mS-DS-ConsistencyGuid в Active Directory и задан параметр «Внешний идентификатор» на ms-DS-ConsistencyGuid, синхронизация каталогов не будет выполнена. При настройке внешнего идентификатора помните о следующем: При интеграции Workspace ONE Access с Workspace ONE UEM обязательно установите для внешнего идентификатора один атрибут в обоих продуктах. Внешний идентификатор можно изменить после создания каталога. Тем не менее внешний идентификатор рекомендуется установить перед синхронизацией пользователей с Workspace ONE Access. Изменение внешнего идентификатора приводит к повторному созданию пользователей. В результате все пользователи выйдут из системы, поэтому им придется войти в нее снова. Кроме того, понадобится перенастроить права пользователей для веб-приложений и ThinApp. Права для Horizon, Horizon Cloud и Citrix будут удалены, а затем повторно созданы при следующей синхронизации прав. Внешний идентификатор доступен с Workspace ONE Access Connector 20.10 и более поздних версий. Версией всех соединителей, связанных со службой Workspace ONE Access, должна быть версия 20.10 или более поздняя. Если со службой связан соединитель другой версии, параметр «Внешний идентификатор» не отображается.

б. Чтобы настроить параметры Расположение сервера и Шифрование, выберите один из следующих вариантов.

Опция	Описание
Если необходимо использовать поиск расположения служб DNS для Active Directory	В этом случае Workspace ONE Access находит и использует оптимальные контроллеры домена. Этот вариант не подходит, если не нужно использовать оптимизированный выбор контроллеров домена. В разделе Расположение сервера установите флажок Данный каталог поддерживает поиск размещения службы DNS. Если для Active Directory требуется доступ по SSL/TLS, установите флажок Для всех подключений требуется STARTTLS в разделе Шифрование. Примечание: Если выбран параметр Данный каталог поддерживает расположение службы DNS, для шифрования через порт 389 будет использоваться STARTTLS. Если параметр Данный каталог поддерживает расположение службы DNS не выбран, для шифрования через порт 636 будет использоваться LDAPS. Скопируйте и вставьте сертификаты корневого центра сертификации и промежуточные сертификаты контроллеров домена (если используются) в текстовое поле Сертификаты SSL. Сначала введите сертификат промежуточного центра сертификации, а затем корневого. Убедитесь, что каждый сертификат создан в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE. Если в контроллерах домена есть сертификаты от нескольких промежуточных и корневых центров сертификации, введите все цепочки сертификатов промежуточного и корневого центров сертификации один за другим. Например: -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 1> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Intermediate Certificate 2> ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ... <Root Certificate 2> ... -----END CERTIFICATE----- Примечание: Если для Active Directory требуется доступ по протоколу SSL/TLS, а сертификаты не предоставлены, создать каталог невозможно.
Если не нужно использовать поиск расположения служб DNS для Active Directory	Убедитесь, что в разделе Расположение сервера не установлен флажок Данный каталог поддерживает поиск размещения службы DNS, и введите имя узла сервера и номер порта Active Directory в текстовых полях Хост сервера и Порт сервера. Сведения о том, как настроить каталог в качестве глобального каталога, см. в разделе «Среда Active Directory в нескольких доменах и одном лесу» в Интеграция Active Directory с Workspace ONE Access. Если для Active Directory требуется доступ по SSL/TLS, установите флажок Для всех подключений требуется протокол LDAP в разделе Шифрование. Примечание: Если выбран параметр Данный каталог поддерживает расположение службы DNS, для шифрования через порт 389 будет использоваться STARTTLS. Если параметр Данный каталог поддерживает расположение службы DNS не выбран, для шифрования через порт 636 будет использоваться LDAPS. Скопируйте и вставьте сертификат корневого центра сертификации и промежуточный сертификат контроллера домена (если используется) в текстовое поле Сертификаты SSL. Сначала введите сертификат промежуточного центра сертификации, а затем корневого. Убедитесь, что сертификат создан в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE. Примечание: Если для Active Directory требуется доступ по протоколу SSL/TLS, а сертификаты не предоставлены, создать каталог невозможно.
Если каталог интегрируется как глобальный каталог	В разделе Расположение сервера снимите флажок для параметра Данный каталог поддерживает поиск размещения службы DNS. Выберите параметр Для этого каталога существует глобальный каталог. В текстовом поле Узел сервера введите имя узла сервера Active Directory. Для параметра Порт сервера задано значение 3268. Если выбрать SSL/TLS в разделе Шифрование, для порта будет установлено значение 3269. Если для Active Directory требуется доступ по SSL/TLS, выберите параметр Для всех подключений требуется протокол LDAP в разделе Шифрование. Скопируйте и вставьте сертификат корневого центра сертификации и промежуточный сертификат контроллера домена (если используется) в текстовое поле Сертификаты SSL. Сначала введите сертификат промежуточного центра сертификации, а затем корневого. Убедитесь, что сертификат создан в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

в. В разделе Сведения о пользователе подключения введите следующие сведения.

Опция	Описание
Базовое различающееся имя	Введите различающееся имя, с которого будет начинаться поиск учетных записей. Например, OU=myUnit, DC=myCorp, DC=com. Важно!: Для проверки подлинности будет использоваться базовое различающееся имя. Проверить подлинность смогут только пользователи с базовым различающимся именем. Убедитесь, что различающиеся имена групп и пользователей, которые будут указаны для синхронизации, попадают под это базовое различающееся имя. Примечание: При добавлении каталога в качестве глобального каталога базовое различающееся имя не требуется и этот параметр не отображается.
Различающееся имя пользователя подключения	Укажите учетную запись с правом поиска пользователей. Например, CN=binduser,OU=myUnit,DC=myCorp,DC=com. Примечание: Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.
Пароль пользователя подключения	Пароль пользователя подключения.

Если для типа каталога выбрано значение Active Directory со встроенной проверкой подлинности Windows, выполните следующие действия для раздела Настроить каталог.

а. В разделе Синхронизация службы каталогов и проверка подлинности выполните следующие действия.

Опция	Описание
Узлы синхронизации каталогов	Выберите один или несколько экземпляров службы синхронизации каталогов, которые будут использоваться для синхронизации этого каталога. Отобразится список всех экземпляров службы синхронизации каталогов, зарегистрированных у этого арендатора и находящихся в активном состоянии. При выборе нескольких экземпляров Workspace ONE Access использует первый выбранный экземпляр в списке для синхронизации каталога. Если первый экземпляр недоступен, используется следующий выбранный экземпляр и т. д. После создания каталога можно изменить порядок списка на странице Параметры синхронизации каталога.
Проверка подлинности	Выберите Настроить для этого каталога проверку подлинности с помощью пароля, если необходимо проверять подлинность пользователей этого каталога с помощью службы проверки подлинности пользователей. Служба проверки подлинности пользователей уже должна быть установлена. Если выбрана эта опция, для каталога автоматически создаются метод проверки подлинности «Пароль (облачная среда)» и поставщик удостоверений с именем Поставщик удостоверений для `каталога` типа «Внедренный». Выберите Добавить методы проверки подлинности позже, если не нужно проверять подлинность пользователей этого каталога с помощью службы проверки подлинности пользователей. Если потребуется использовать службу проверки подлинности пользователей позже, можно будет создать метод проверки подлинности «Пароль (облачная среда)» и поставщик удостоверений для каталога вручную. В таком случае создайте поставщика удостоверений для каталога, выбрав Добавить > Встроенный поставщик удостоверений на странице Интеграции > Поставщики удостоверений. Не рекомендуется использовать предварительно созданного поставщика удостоверений с именем Встроенный.
Узлы проверки подлинности пользователей	Этот параметр отображается, если для Проверка подлинности выбрано значение Настроить для этого каталога проверку подлинности с помощью пароля. Выберите один или несколько экземпляров службы проверки подлинности пользователей, которые будут использоваться для проверки подлинности пользователей в этом каталоге. Отобразится список всех экземпляров службы проверки подлинности пользователей, зарегистрированных у этого арендатора и находящихся в активном состоянии. При выборе нескольких экземпляров Workspace ONE Access отправляет запросы на проверку подлинности выбранным экземплярам в порядке циклического перебора.
Имя пользователя	Выберите атрибут учетной записи, который содержит имя пользователя.
Внешний идентификатор	Атрибут, который необходимо использовать в качестве уникального идентификатора пользователей в каталоге Workspace ONE Access. Значение по умолчанию — objectGUID. Для настройки «Внешний идентификатор» можно задать любой из следующих атрибутов: любой строковый атрибут, например sAMAccountName или distinguishedName; двоичные атрибуты objectSid, objectGUID или mS-DS-ConsistencyGuid. Параметр «Внешний идентификатор» применяется только к пользователям в Workspace ONE Access. В группах для параметра «Внешний идентификатор» всегда задается значение objectGUID без возможности изменения. Важно!: Все пользователи должны определить уникальное значение для атрибута. Значение должно быть уникальным в арендаторе Workspace ONE Access. Важно!: Если задать параметр «Внешний идентификатор» для атрибута Active Directory objectGUID или mS-DS-ConsistencyGuid, для всех пользователей должно быть непустое значение, длина которого составляет всего 16 байт. Кроме того, убедитесь, что в текстовом поле Внешний идентификатор указано правильное имя атрибута Active Directory с правильным регистром. Если имя не совпадает с именем атрибута в Active Directory, возвращается нулевое значение, и происходит сбой синхронизации каталога. Например, если используется атрибут mS-DS-ConsistencyGuid в Active Directory и задан параметр «Внешний идентификатор» на ms-DS-ConsistencyGuid, синхронизация каталогов не будет выполнена. При настройке внешнего идентификатора помните о следующем: При интеграции Workspace ONE Access с Workspace ONE UEM обязательно установите для внешнего идентификатора один атрибут в обоих продуктах. Внешний идентификатор можно изменить после создания каталога. Тем не менее внешний идентификатор рекомендуется установить перед синхронизацией пользователей с Workspace ONE Access. Изменение внешнего идентификатора приводит к повторному созданию пользователей. В результате все пользователи выйдут из системы, поэтому им придется войти в нее снова. Кроме того, понадобится перенастроить права пользователей для веб-приложений и ThinApp. Права для Horizon, Horizon Cloud и Citrix будут удалены, а затем повторно созданы при следующей синхронизации прав. Внешний идентификатор доступен с Workspace ONE Access Connector 20.10 и более поздних версий. Версией всех соединителей, связанных со службой Workspace ONE Access, должна быть версия 20.10 или более поздняя. Если со службой связан соединитель другой версии, параметр «Внешний идентификатор» не отображается.

б. Для параметра Шифрование действие не требуется. Для каталогов типа Active Directory со встроенной проверкой подлинности Windows автоматически используется привязка SASL Kerberos. Для них не требуется выбор LDAPS или STARTTLS.
в. В разделе Сведения о пользователе подключения введите имя и пароль пользователя подключения, который имеет разрешение на создание запросов пользователям и группам для требуемых доменов. Введите имя пользователя в формате sAMAccountName@domain, где domain — это полное доменное имя. Например, [email protected].

Примечание: Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.

Нажмите кнопку Сохранить.
В разделе Выбор доменов выберите домены, а затем нажмите Сохранить.
- Для каталогов типа Active Directory с протоколом LDAP перечислены указанные домены. Выберите домены, которые нужно связать с каталогом Workspace ONE Access.
- Для каталогов типа Active Directory со встроенной проверкой подлинности Windows выберите домены, которые связаны с каталогом Workspace ONE Access. Здесь перечислены все домены, имеющие двустороннее отношение доверия с базовым доменом.
  Если домены, имеющие двустороннее отношение доверия с базовым доменом, добавлены в Active Directory после создания каталога Workspace ONE Access, их можно добавить на странице Параметры синхронизации > Домены.
  
  Совет: Выбирайте доверенные домены не все сразу, а один за другим. Это необходимо во избежание слишком долгого сохранения, которое потенциально может привести к истечению времени ожидания. Последовательный выбор доменов гарантирует, что служба синхронизации каталогов будет тратить время на разрешение только одного домена.
- Если создается каталог «Active Directory с протоколом LDAP» с выбранным параметром Глобальный каталог, раздел Выберите домены отображаться не будет.
В разделе Сопоставить атрибуты пользователей сопоставьте атрибуты каталога Workspace ONE Access с атрибутами Active Directory, а затем щелкните Сохранить.

Добавлять атрибуты и управлять списком необходимых атрибутов можно на странице Параметры > Атрибуты пользователя.

Важно!: Если отметить атрибут в качестве обязательного, его значение должно быть установлено для всех пользователей, которых требуется синхронизировать. Записи пользователей, в которые отсутствуют значения для требуемых атрибутов, не будут синхронизированы.
В разделе Синхронизировать группы добавьте группы, которые нужно синхронизировать. Дополнительные сведения см. в разделе Выбор пользователей и групп для синхронизации с каталогом Workspace ONE Access.
В разделе Синхронизировать пользователей добавьте пользователей, которых нужно синхронизировать. Дополнительные сведения см. в разделе Выбор пользователей и групп для синхронизации с каталогом Workspace ONE Access.
В разделе Интервал синхронизации настройте расписание синхронизации для синхронизации пользователей и групп через равные промежутки времени или выберите Вручную в раскрывающемся списке Интервал синхронизации, если не хотите настраивать расписание.
Время задается по UTC.

Совет: Запланируйте интервал синхронизации в расписании на большее время, чем требуется для синхронизации каталога. Если пользователи и группы синхронизируются в каталоге в то время, когда по расписанию запланирована следующая синхронизация, новый сеанс синхронизации запускается сразу после окончания предыдущей синхронизации.

Если выбрана функция Вручную необходимо выбрать Синхронизировать > Синхронизировать с мерами безопасности или Синхронизировать > Синхронизировать без мер безопасности при синхронизации каталога на странице каталога.
Нажмите кнопку Сохранить, чтобы создать каталог или Сохранить и синхронизировать, чтобы создать каталог и начать его синхронизацию.

Результаты

Подключение к Active Directory установлено. При нажатии кнопки Сохранить и синхронизировать имена пользователей и групп синхронизируются из Active Directory в каталог Workspace ONE Access.

Дополнительные сведения о синхронизации групп см. в разделе «Управление пользователями и группами» в документе Администрирование VMware Workspace ONE Access.

Дальнейшие действия

Если для параметра Проверка подлинности задать значение Настроить для этого каталога проверку подлинности с помощью пароля, то для каталога автоматически создается поставщик удостоверений с именем Поставщик удостоверений для directoryname и метод проверки подлинности «Пароль (облачная среда)». Их можно просмотреть на страницах Интеграции > Поставщики удостоверений и Интеграции > Методы проверки подлинности. Можно также создавать дополнительные методы проверки подлинности для каталога на страницах Методы проверки подлинности соединителя Connector и Методы проверки подлинности. Дополнительные сведения о создании методов проверки подлинности см. в разделе Управление методами проверки подлинности пользователей в Workspace ONE Access.
Проверьте политику доступа по умолчанию на странице Ресурсы > Политики.
Просмотрите параметры мер безопасности по умолчанию и при необходимости внесите требуемые изменения. Дополнительные сведения см. в разделе Настройка мер безопасности при синхронизации каталогов в Workspace ONE Access.