В Workspace ONE Access можно преобразовать каталог типа «Другой», в котором хранятся пользователи и группы, синхронизированные из Workspace ONE UEM, в каталог типа «Active Directory с протоколом LDAP» или «Active Directory со встроенной проверкой подлинности Windows», связанный с Workspace ONE Access Connector. После преобразования каталога для синхронизации пользователей и групп из корпоративного каталога со службой Workspace ONE Access будет использоваться служба синхронизации каталогов Workspace ONE Access Connector вместо ACC.

Необходимые условия

  • Установите службу синхронизации каталогов и службу проверки подлинности пользователей, которые являются компонентами Workspace ONE Access Connector, начиная с версии 20.01.0.0. См. последнюю версию установки VMware Workspace ONE Access Connector для получения дополнительной информации.
  • Вам понадобится следующая информация по Active Directory:
    • Если выполняется преобразование в «Active Directory с протоколом LDAP», требуется указать базовое различающееся имя, различающееся имя пользователя подключения и пароль.

      Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:

      • Чтение
      • Чтение всех свойств
      • Разрешения на чтение

      Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.

    • При преобразовании в «Active Directory со встроенной проверкой подлинности Windows» необходимо указать имя и пароль пользователя подключения, который имеет разрешение на создание запросов к пользователям и группам для требуемых доменов.

      Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:

      • Чтение
      • Чтение всех свойств
      • Разрешения на чтение

      Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.

    • Если для Active Directory требуется доступ по протоколу SSL/TLS, то необходимы сертификаты промежуточного (если используется) и корневого центров сертификации контроллеров доменов для всех соответствующих доменов Active Directory. Если контроллеры доменов имеют сертификаты от нескольких промежуточных и корневых центров сертификации, то необходимы все сертификаты промежуточных и корневых центров сертификации.
    • Если для встроенной проверки подлинности Windows в Active Directory настроена служба Active Directory с несколькими лесами, а локальная группа домена содержит участников из доменов в разных лесах, обязательно добавьте пользователя подключения в группу администраторов домена, в котором находится локальная группа домена. Если не сделать этого, эти участники не будут входить в локальную группу домена.
    • Для Active Directory с использованием встроенной проверки подлинности Windows:
      • для всех контроллеров домена, указанных в SRV-записях и скрытых RODC, поиск имени узла и IP-адреса с помощью nslookup должен работать.
      • На всех контроллерах доменов должно быть доступно сетевое подключение.

Процедура

  1. В консоли Workspace ONE Access выберите Интеграции > Каталоги.
  2. Выберите каталог, который необходимо преобразовать.
  3. На странице каталога щелкните Преобразовать.
    ""
  4. Измените имя каталога, если это необходимо, и выберите тип каталога, в который вы хотите преобразовать каталог типа «Другой»: Active Directory с протоколом LDAP или Active Directory со встроенной проверкой подлинности Windows.
  5. Введите информацию по соединению с Active Directory и запустите установщик, чтобы выполнить настройку каталога.
    Процесс аналогичен созданию нового каталога. Дополнительные сведения см. в разделе Настройка подключения Active Directory в Workspace ONE Access.

    При настройке каталога следуйте этим рекомендациям.

    • В разделе Синхронизация службы каталогов и проверка подлинности для параметра Узлы синхронизации каталогов выберите установленную службу синхронизации каталогов.

      Здесь перечислены все экземпляры соединителей, на которых установлена служба синхронизации каталогов. Можно выбрать несколько экземпляров. Workspace ONE Access использует первый выбранный экземпляр в списке для синхронизации каталога. Если первый экземпляр недоступен, используется следующий выбранный экземпляр и т. д. После создания каталога можно изменить порядок списка на странице «Параметры синхронизации» каталога.

    • В разделе Проверка подлинности выберите Настроить для этого каталога проверку подлинности с помощью пароля. Затем для Узлы проверки подлинности пользователей, выберите экземпляры службы проверки подлинности, которые будут использоваться для проверки подлинности.
    • Убедитесь, что вы настроили преобразованный каталог точно так же, как и каталог Workspace ONE UEM. Оба каталога должны иметь одинаковую структуру. Выберите одинаковые домены. При указании пользователей и групп для синхронизации выберите те же варианты, что и для каталога Workspace ONE UEM, чтобы в преобразованном каталоге синхронизировались те же пользователи и группы.
    • Убедитесь, что для внешнего идентификатора задан тот же атрибут, что и для внешнего идентификатора в Workspace ONE UEM.
  6. На последней странице мастера нажмите Сохранить и синхронизировать.
    Каталог будет преобразован и настроен на использование службы синхронизации каталогов для синхронизации пользователей и групп. Если для параметра Проверка подлинности задать значение Настроить для этого каталога проверку подлинности с помощью пароля, то для каталога автоматически создается поставщик удостоверений с именем Поставщик удостоверений для directoryname и метод проверки подлинности «Пароль (облачная среда)».
  7. (Дополнительно) Чтобы настроить другие методы проверки подлинности для каталога, перейдите к странице Интеграции > Методы проверки подлинности соединителя Connector и создайте методы проверки подлинности для каталога.
    Дополнительные сведения см. в разделе Управление методами проверки подлинности пользователей в Workspace ONE Access.
  8. Отредактируйте default_access_policy_set и любые пользовательские политики, чтобы заменить метод проверки подлинности «Пароль (AirWatch Connector)» на «Пароль (облачная среда)».
    1. а. Выберите Ресурсы > Политики.
    2. б. В мастере изменения политики нажмите Редактировать политику по умолчанию, затем нажмите Настройка.
    3. в. Измените каждое правило политики и замените метод проверки подлинности Пароль (AirWatch Connector) на Пароль (облачная среда).
    4. г. Со страницы Политики измените пользовательские политики, если таковые имеются, чтобы заменить метод проверки подлинности Пароль (AirWatch Connector) на Пароль (облачная среда).
    5. д. (Необязательно.) При необходимости измените политики, чтобы использовать дополнительные методы проверки подлинности.
    Важно!: Если не заменить «Пароль (AirWatch Connector)» на «Пароль (облачная среда)» либо иной метод проверки подлинности службы проверки подлинности пользователей, пользователи преобразованного каталога не смогут войти в систему.

Дальнейшие действия

Остановите синхронизацию каталога из Workspace ONE UEM в преобразованный каталог.