Workspace ONE Access можно интегрировать со средой Active Directory для синхронизации пользователей и групп Active Directory со службой Workspace ONE Access. От типа среды Active Directory зависит тип каталога, который создается в службе Workspace ONE Access.

Среды Active Directory

Службу Workspace ONE Access можно интегрировать в среду Active Directory, которая состоит из одного домена Active Directory, нескольких доменов в одном лесу Active Directory или нескольких доменов в нескольких лесах Active Directory.

Среда с одним доменом Active Directory

С помощью одиночного развертывания домена Active Directory можно синхронизировать пользователей и группы из одного домена Active Directory.

В этой среде в службе Workspace ONE Access можно создать каталог типа «Active Directory с протоколом LDAP» или «Active Directory со встроенной проверкой подлинности Windows».

Дополнительные сведения см. в следующих документах:

Среда Active Directory в нескольких доменах и одном лесу

В развертывании Active Directory с несколькими доменами и одним лесом можно синхронизировать пользователей и группы из нескольких доменов Active Directory в пределах одного леса.

В этой среде в службе Workspace ONE Access можно создать либо один каталог «Active Directory со встроенной проверкой подлинности Windows», либо каталог «Active Directory с протоколом LDAP», настроенный с помощью параметра «Глобальный каталог».
  • Рекомендуется создать один каталог «Active Directory со встроенной проверкой подлинности Windows».

    При добавлении каталога для этой среды выберите параметр «Active Directory со встроенной проверкой подлинности Windows». Убедитесь, что между доменами в каталоге и доменом, членом которого является пользователь подключения к каталогу, настроено прямое двухстороннее (нетранзитивное) доверие.

    Дополнительные сведения см. в следующих документах:

  • Если встроенная проверка подлинности Windows не работает в среде Active Directory, создайте каталог «Active Directory с протоколом LDAP» и выберите параметр «Глобальный каталог».

    При выборе параметра «Глобальный каталог» действует ряд ограничений, которые перечислены ниже.

    • Атрибуты объектов Active Directory, которые реплицируются в глобальный каталог, определяются в схеме Active Directory как частичный набор атрибутов (PAS). Служба может сопоставлять только эти атрибуты. При необходимости измените схему, добавив или удалив в ней атрибуты, которые хранятся в глобальном каталоге.
    • Для глобального каталога членство в группе (атрибут участника) сохраняется только в случае, если группы универсальные. Со службой синхронизируются только универсальные группы. Если группа локальная или глобальная, при необходимости можно изменить ее область действия на универсальную.
    • Для учетной записи с различающимся именем для подключения, определенной при настройке каталога в службе, необходимо предоставить права на чтение атрибута Token-Groups-Global-And-Universal (TGGAU).
    • Пользователи могут синхронизироваться с глобальным каталогом Workspace ONE Access из нескольких доменов Active Directory непосредственно или посредством членства в группах. Необходимо убедиться, что пользователи из одних доменов не синхронизируются с помощью других каталогов в арендаторе Workspace ONE Access. В противном случае возможны ошибки синхронизации вследствие конфликта.
    • Если Workspace ONE UEM интегрировано с Workspace ONE Access и настроено несколько организационных групп Workspace ONE UEM, параметр «Глобальный каталог» Active Directory использовать нельзя.

    Active Directory использует порты 389 и 636 для стандартных запросов LDAP. Для запросов глобального каталога используются порты 3268 и 3269.

    При добавлении каталога для среды глобального каталога задайте следующие параметры.

    • Выберите параметр «Active Directory с протоколом LDAP».
    • Снимите флажок для параметра Данный каталог поддерживает поиск размещения службы DNS.
    • Выберите параметр Для этого каталога существует глобальный каталог. Если выбрать этот параметр, номер порта сервера автоматически изменится на 3268. Кроме того, поскольку при настройке глобального каталога базовое различающееся имя не требуется, текстовое поле «Базовое различающееся имя» не отображается.
    • Добавьте имя узла сервера Active Directory.
    • Если для Active Directory требуется доступ по протоколу SSL, выберите параметр Для всех подключений требуется LDAPS в разделе Шифрование и вставьте сертификат в соответствующее текстовое поле. Если выбрать этот параметр, номер порта сервера автоматически изменится на 3269.

Среда Active Directory в нескольких лесах с отношениями доверия

В развертывании Active Directory в нескольких лесах с отношениями доверия можно синхронизировать пользователей и группы из нескольких доменов Active Directory в нескольких лесах, где между доменами существуют двусторонние отношения доверия. Создайте в службе Workspace ONE Access для этой среды Active Directory один каталог «Active Directory со встроенной проверкой подлинности Windows».

При добавлении каталога для этой среды выберите параметр «Active Directory со встроенной проверкой подлинности Windows». Убедитесь, что между доменами в каталоге и доменом, членом которого является пользователь подключения к каталогу, настроено прямое двухстороннее (нетранзитивное) доверие.

Дополнительные сведения см. в следующих документах:

Среда Active Directory в нескольких лесах без отношений доверия

В развертывании Active Directory в нескольких лесах без отношений доверия можно синхронизировать пользователей и группы из нескольких доменов Active Directory в нескольких лесах, где между доменами нет двусторонних отношений доверия. В этой среде в службе Workspace ONE Access создаются несколько каталогов, по одному каталогу для каждого леса.

Дополнительные сведения см. в следующих документах: