Проверка подлинности с помощью пароля (облачная среда) настраивается и изменяется в консоли Workspace ONE Access на странице «Метод проверки подлинности соединителя» после настройки службы синхронизации каталогов с использованием корпоративного каталога.

Текстовые поля, которые необходимо настроить для проверки подлинности с помощью пароля (облачная среда), зависят от выбранного типа каталога. Ниже приведен список типов каталогов для проверки подлинности с помощью пароля.
  • Active Directory с фиксированным узлом и портом
  • Active Directory с поиском DNS
  • Каталог глобального каталога
  • Каталог IWA
  • Каталог LDAP

Сведения об интеграции службы синхронизации каталогов с корпоративным каталогом см. в руководстве «Интеграции каталогов с Workspace ONE Access».

Необходимые условия

  • Установите соединитель Workspace ONE Access Connector с помощью службы проверки подлинности пользователей, настроенной в соединителе. См. последнюю версию руководства по установке VMware Workspace ONE Access Connector.
    • Убедитесь, что все экземпляры службы проверки подлинности пользователей в среде настроены на Workspace ONE Connector версии 21.08. Невозможно настроить методы проверки в службе проверки подлинности пользователей в случае параллельного использования версий 21.08 и 20.x службы проверки подлинности пользователей.
  • Служба синхронизации каталогов установлена в Workspace ONE Access Connector.
  • Каталоги настроены в консоли Workspace ONE Access в разделе «Интеграции».
  • Атрибуты пользователей правильно сопоставлены с корпоративным каталогом.

Процедура

  1. В консоли Workspace ONE Access на странице Интеграции > Методы проверки подлинности соединителя Connector щелкните Создать и выберите Пароль (облачная среда).
  2. Выберите каталог и служебный узел, для которого выбрана проверка подлинности с помощью пароля.
  3. На странице «Конфигурация» настройте метод проверки подлинности «Пароль (облачная среда)».
    Тип каталога Параметр Действие
    Все типы Количество разрешенных попыток проверки подлинности. Введите максимально допустимое число неудачных попыток входа, когда проверка подлинности с помощью пароля выполняется по данным из каталога. По умолчанию дается две попытки.
    Все типы Тип каталога Выберите тип каталога, настроенного при установке службы синхронизации каталогов на сервере соединителя.

    Active Directory с фиксированным узлом и портом Порт сервера Выберите порт, используемый для Active Directory: 389 или 636 для стандартных запросов LDAP.

    Для запросов глобального каталога введите порт 3268 или 3269.

    Active Directory с фиксированным узлом и портом Узел сервера Выберите один или несколько экземпляров службы синхронизации каталогов, которые нужно использовать.
    Все типы Режим связи По умолчанию выбран базовый режим. Можно изменить режим связи.
    • Выберите SSL, если для обмена данными с каталогом используется протокол SSL/TLS.
    • Выберите STARTTLS, если для обмена данными с каталогом используются данные о расположении службы доменных имен (DNS) и протокол SSL. Добавьте сертификаты.
    Все типы Сертификат каталога Если для корпоративного каталога требуется доступ по протоколу SSL/TLS, скопируйте и вставьте в текстовое поле сертификат SSL корневого центра сертификации на сервере корпоративного каталога. Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.
    Active Directory с поиском DNS Использовать данные о расположении служб DNS Установите этот флажок, чтобы использовать записи расположения службы доменных имен (DNS) для поиска доменов Active Directory.

    Если функция поиска расположения службы доменных имен (DNS) не используется, снимите флажок и введите имя узла и порт сервера Active Directory.

    • Active Directory с фиксированным узлом и портом
    • Active Directory с поиском DNS
    • Каталог IWA
    • Каталог LDAP
    Базовое различающееся имя Введите различающееся имя, с которого необходимо начинать поиск в каталоге. Например, cn=users,dc=example,dc=com.
    Все типы Различающееся имя привязки или имя пользователя (IWA) Введите имя пользователя, применяемое для поиска пользователей. Например, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
    Примечание: Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.
    Все типы Пароль привязки Введите пароль пользователя с привязкой DN.
    • Active Directory с фиксированным узлом и портом
    • Active Directory с поиском DNS
    • Каталог IWA
    Атрибут поиска Укажите атрибут учетной записи, содержащий имя пользователя. Возможный атрибут: sAMAcountName, UPN или Custom.
    • Каталог LDAP
    Пользовательский атрибут поиска в каталоге для пользователей При вводе атрибута Custom в текстовом поле «Атрибут поиска» введите настраиваемый атрибут поиска, чтобы использовать его для отправки каталогу LDAP запроса на получение имен пользователей и групп, например UID.
    • Active Directory с фиксированным узлом и портом
    • Active Directory с поиском DNS
    • Каталог IWA
    Запрос с фильтром для получения списка пользователей Active Directory. Введите фильтры поиска, используемые для отправки запроса корпоративному каталогу.
    • Фильтр поиска групп для получения групп, например (objectClass=groupOfNames).
    • Фильтр поиска пользователей для получения пользователей, которых нужно синхронизировать, например (&(objectClass=user) (objectCategory=person)).
    • Active Directory с фиксированным узлом и портом
    • Active Directory с поиском DNS
    • Каталог IWA
    • Каталог глобального каталога
    Формат идентификатора имени SAML Введите значение nameIdFormat, которое используется для идентификации пользователя после проверки подлинности. По умолчанию это значение — атрибут UID поиска в каталоге.
    Все типы Функция смены пароля включена. Включите эту функцию, чтобы пользователи могли сбрасывать свои пароли Active Directory на странице входа в Workspace ONE Access.
    Все типы Отображать домен на странице входа Включите этот параметр, чтобы отображать системный домен в качестве варианта при входе пользователей в систему. Если этот параметр деактивирован и доступен только один домен, страница выбора домена не отображается.
  4. Щелкните сначала ДАЛЕЕ, чтобы просмотреть конфигурацию, а затем — СОХРАНИТЬ.

Дальнейшие действия

Добавьте «Пароль (облачная среда)» в качестве метода проверки подлинности во встроенный поставщик удостоверений в разделе «Интеграции».

Добавьте метод проверки подлинности в политику доступа по умолчанию. В консоли перейдите на страницу Ресурсы > Политики и измените правила политики по умолчанию, добавив в правило метод проверки подлинности с помощью пароля. См. Управление политиками доступа в службе Workspace ONE Access.