Можно преобразовать каталог типа «Другой», в котором хранятся пользователи и группы, синхронизированные из Workspace ONE UEM в каталог типа «Active Directory с протоколом LDAP» или «Active Directory со встроенной проверкой подлинности Windows», связанный с Workspace ONE Access Connector. После преобразования каталога для синхронизации пользователей и групп из корпоративного каталога со службой Workspace ONE Access будет использоваться служба синхронизации каталогов Workspace ONE Access Connector вместо ACC.

Необходимые условия

  • Установите службу синхронизации каталогов и компоненты службы проверки подлинности пользователей Workspace ONE Access Connector версии 20.01.0.0 или более поздней. Дополнительные сведения см. в разделе Установка и настройка VMware Workspace ONE Access Connector.
  • Вам понадобится следующая информация по Active Directory:
    • Если выполняется преобразование в «Active Directory с протоколом LDAP», требуется указать базовое различающееся имя, различающееся имя пользователя подключения и пароль.

      Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:

      • Чтение
      • Чтение всех свойств
      • Разрешения на чтение

      Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.

    • При преобразовании в «Active Directory со встроенной проверкой подлинности Windows» необходимо указать имя и пароль пользователя подключения, который имеет разрешение на создание запросов к пользователям и группам для требуемых доменов.

      Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:

      • Чтение
      • Чтение всех свойств
      • Разрешения на чтение

      Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.

    • Если для Active Directory требуется доступ по протоколу SSL/TLS, то необходимы сертификаты промежуточного (если используется) и корневого центров сертификации контроллеров доменов для всех соответствующих доменов Active Directory. Если контроллеры доменов имеют сертификаты от нескольких промежуточных и корневых центров сертификации, то необходимы все сертификаты промежуточных и корневых центров сертификации.
    • Если для встроенной проверки подлинности Windows в Active Directory настроена служба Active Directory с несколькими лесами, а локальная группа домена содержит участников из доменов в разных лесах, обязательно добавьте пользователя подключения в группу администраторов домена, в котором находится локальная группа домена. Если не сделать этого, эти участники не будут входить в локальную группу домена.
    • Для Active Directory с использованием встроенной проверки подлинности Windows:
      • для всех контроллеров домена, указанных в SRV-записях и скрытых RODC, поиск имени узла и IP-адреса с помощью nslookup должен работать.
      • На всех контроллерах доменов должно быть доступно сетевое подключение.

Процедура

  1. В консоли Workspace ONE Access перейдите в раздел Управление учетными данными и доступом > Управление > Каталоги.
  2. Выберите каталог, который необходимо преобразовать.
  3. На странице каталога нажмите кнопку Преобразовать.
  4. На странице «Добавить каталог» измените имя каталога, если это необходимо, и выберите тип каталога, в который вы хотите преобразовать каталог типа «Другой»: Active Directory с протоколом LDAP или Active Directory со встроенной проверкой подлинности Windows.
  5. Введите информацию по соединению с Active Directory и запустите установщик, чтобы выполнить настройку каталога.
    Процесс аналогичен созданию нового каталога. Дополнительные сведения см. в разделе Настройка подключения Active Directory к службе Workspace ONE Access.

    При настройке каталога следуйте этим рекомендациям.

    • В разделе Синхронизация службы каталогов и проверка подлинности для параметра Узлы синхронизации каталогов выберите установленную службу синхронизации каталогов.

      Здесь перечислены все экземпляры соединителей, на которых установлена служба синхронизации каталогов. Можно выбрать несколько экземпляров. Workspace ONE Access использует первый выбранный экземпляр в списке для синхронизации каталога. Если первый экземпляр недоступен, используется следующий выбранный экземпляр и т. д. После создания каталога можно изменить порядок списка на странице «Параметры синхронизации» каталога.

    • Для параметра Проверка подлинности выберите Да. Кроме того, выберите экземпляры службы проверки подлинности пользователей, которые будут использоваться для проверки подлинности.
    • Убедитесь, что вы настроили преобразованный каталог точно так же, как и каталог Workspace ONE UEM. Оба каталога должны иметь одинаковую структуру. Выберите одинаковые домены. При указании пользователей и групп для синхронизации выберите те же варианты, что и для каталога Workspace ONE UEM, чтобы в преобразованном каталоге синхронизировались те же пользователи и группы.
    • Убедитесь, что для внешнего идентификатора задан тот же атрибут, что и для внешнего идентификатора в Workspace ONE UEM.
  6. На последней странице мастера нажмите Синхронизировать каталог.
    Каталог будет преобразован и настроен на использование службы синхронизации каталогов для синхронизации пользователей и групп. Если для параметра проверки подлинности задать значение «Да», то для каталога автоматически создается поставщик удостоверений с именем Поставщик удостоверений для directoryname и метод проверки подлинности «Пароль (облачная среда)».
  7. (Необязательно.) Чтобы включить другие методы проверки подлинности для каталога, перейдите к странице Управление учетными данными и доступом > Управление > Корпоративные методы проверки подлинности и создайте методы проверки подлинности для каталога.
    Дополнительные сведения см. в руководстве <Auth guide>.
  8. Отредактируйте default_access_policy_set и любые пользовательские политики, чтобы заменить метод проверки подлинности «Пароль (AirWatch Connector)» на «Пароль (облачное развертывание)».
    1. а. На вкладке Управление учетными данными и доступом выберите вкладку Политики.
    2. б. В мастере изменения политики нажмите Редактировать политику по умолчанию, затем нажмите Настройка.
    3. в. Измените каждое правило политики и замените метод проверки подлинности Пароль (AirWatch Connector) на Пароль (облачное развертывание).
    4. г. Снова перейдите на вкладку Политики и измените пользовательские политики, если таковые имеются, чтобы заменить метод проверки подлинности Пароль (AirWatch Connector) на Пароль (облачное развертывание).
    5. д. (Необязательно.) При необходимости измените политики, чтобы использовать дополнительные методы проверки подлинности.
    Важно!: Если не заменить «Пароль (AirWatch Connector)» на «Пароль (облачное развертывание)» либо иной метод проверки подлинности службы проверки подлинности пользователей, пользователи преобразованного каталога не смогут войти в систему.

Дальнейшие действия

Остановите синхронизацию каталога из Workspace ONE UEM в преобразованный каталог.