Корпоративный каталог LDAP можно интегрировать с VMware Workspace ONE Access для синхронизации пользователей и групп из каталога LDAP со службой VMware Workspace ONE Access.

Для интеграции каталога LDAP необходимо создать соответствующий каталог VMware Workspace ONE Access и синхронизировать пользователей и группы из каталога LDAP с каталогом VMware Workspace ONE Access. Для последующих обновлений можно настроить регулярное расписание синхронизации.

Кроме того, следует выбрать атрибуты LDAP, которые нужно синхронизировать для пользователей, и сопоставить их с атрибутами VMware Workspace ONE Access.

Конфигурация каталога LDAP может быть выполнена на основе стандартных или пользовательских схем. Она также может иметь настраиваемые атрибуты. Чтобы дать VMware Workspace ONE Access возможность запрашивать каталог LDAP и получать объекты пользователей или групп, необходимо указать поисковые фильтры и имена атрибутов LDAP, применимых к каталогу LDAP.

В частности, необходимо указать следующие сведения.

  • Поисковые фильтры LDAP для получения групп и пользователей, а также пользователя подключения.
  • Имена атрибутов LDAP для членства в группе, внешнего идентификатора и различающегося имени или аналогичного атрибута

К интеграции каталогов LDAP применяются определенные ограничения. См. раздел #GUID-6CD48490-9250-4E25-ABDD-D0CF392C0CB2.

Необходимые условия

  • Просмотрите атрибуты на странице Управление учетными данными и доступом > Настройка > Атрибуты пользователя и добавьте дополнительные атрибуты, которые нужно синхронизировать. При создании каталога атрибуты VMware Workspace ONE Access сопоставляются с каталогом LDAP. Они синхронизируются для пользователей в каталоге.
    Примечание: При изменении атрибутов пользователя учтите влияние на другие каталоги в службе Workspace ONE Access. Если планируется добавить каталоги Active Directory и LDAP, не отмечайте никакие атрибуты в качестве обязательных (кроме userName, который можно отметить в качестве обязательного). Параметры на странице «Атрибуты пользователя» применяются ко всем каталогам службы. Если атрибут обозначен как обязательный, пользователи без этого атрибута не будут синхронизироваться со службой VMware Workspace ONE Access.
  • Учетная запись пользователя с различающимся именем для подключения. Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.
  • В каталоге LDAP универсальный уникальный идентификатор объекта пользователей и групп должен быть указан в текстовом формате.
  • В каталоге LDAP для всех пользователей и групп должен быть указан атрибут domain.

    Этот атрибут сопоставляется с атрибутом domain в VMware Workspace ONE Access при создании каталога VMware Workspace ONE Access.

  • В именах пользователей не должно быть пробелов. Если имя пользователя содержит пробел, пользователь синхронизируется, но права для него становятся недоступны.
  • При использовании проверки подлинности с помощью сертификата пользователи должны указать значения для атрибута userPrincipalName, а также атрибуты адреса электронной почты.

Процедура

  1. В консоли Workspace ONE Access перейдите к странице Управление учетными данными и доступом > Управление > Каталоги.
  2. Выберите команду Добавить каталог, затем — Добавить каталог LDAP.
  3. Введите необходимую информацию на странице «Добавить каталог».
    Параметр Описание
    Имя каталога Введите имя каталога VMware Workspace ONE Access.
    Синхронизация службы каталогов и проверка подлинности
    1. а.Для параметра Узлы синхронизации каталогов выберите один или несколько экземпляров службы синхронизации каталогов, которые будут использоваться для синхронизации этого каталога. Отобразится список всех экземпляров службы синхронизации каталогов, зарегистрированных с этим арендатором. Можно выбрать только те экземпляры, которые находятся в активном состоянии.

      При выборе нескольких экземпляров Workspace ONE Access использует первый выбранный экземпляр в списке для синхронизации каталога. Если первый экземпляр недоступен, используется следующий выбранный экземпляр и т. д. После создания каталога можно изменить порядок списка на странице «Параметры синхронизации» каталога.

    2. б.Для параметра Проверка подлинности выберите Да, если необходимо проверять подлинность пользователей этого каталога с помощью службы проверки подлинности пользователей. Служба проверки подлинности пользователей уже должна быть установлена. Если выбрано значение Да, для каталога автоматически создаются метод проверки подлинности «Пароль (облачная среда)» и поставщик удостоверений с именем Поставщик удостоверений для directoryName типа «Внедренный».

      Выберите Нет, если не нужно проверять подлинность пользователей этого каталога с помощью службы проверки подлинности пользователей. Если потребуется использовать службу проверки подлинности пользователей позже, можно будет создать метод проверки подлинности «Пароль (облачная среда)» и поставщик удостоверений для каталога вручную. В таком случае создайте поставщика удостоверений для каталога, выбрав Добавить поставщика удостоверений > Создать встроенного поставщика удостоверений на странице Управление учетными данными и доступом > Поставщики удостоверений. Не рекомендуется использовать предварительно созданного поставщика удостоверений с именем Встроенный.

    3. в.Параметр Службы проверки подлинности пользователей отображается, когда для параметра Проверка подлинности задано значение Да. Выберите один или несколько экземпляров службы проверки подлинности пользователей, которые будут использоваться для проверки подлинности пользователей в этом каталоге. Отобразится список всех экземпляров службы проверки подлинности пользователей, зарегистрированных у этого арендатора и находящихся в активном состоянии.

      При выборе нескольких экземпляров Workspace ONE Access отправляет запросы на проверку подлинности выбранным экземплярам в порядке циклического перебора.

    4. г.В текстовом поле Имя пользователя укажите атрибут каталога LDAP, который будет использоваться в качестве имени пользователя. Если атрибут отсутствует в списке, выберите параметр Настраиваемый и введите имя настраиваемого атрибута, который будет использоваться для пользователей и групп. Например, cn.
    Расположение сервера Введите имя узла и номер порта узла сервера каталога LDAP. В качестве узла сервера можно указать полное доменное имя или IP-адрес. Например, myLDAPserver.example.com или 100.00.00.0.

    При наличии серверного кластера за средством балансировки нагрузки введите вместо этого сведения о средстве балансировки нагрузки.

    Настройка LDAP Укажите фильтры и атрибуты поиска LDAP, которые VMware Workspace ONE Access следует использовать для создания запроса каталога LDAP. Значения по умолчанию указываются, исходя из данных основной схемы LDAP.

    Фильтрация запросов

    • Группы: поисковый фильтр для получения объектов группы.

      Например, (objectClass=groupOfNames)

    • Пользователь подключения: поисковый фильтр для получения объекта пользователя подключения, то есть пользователя, который может подключаться к каталогу.

      Например, (objectClass=person).

    • Пользователи: поисковый фильтр для получения данных пользователей, которые необходимо синхронизировать.

      Например, (&(objectClass=user)(objectCategory=person)).

    Атрибуты

    • Состав: атрибут, который используется в каталоге LDAP для определения участников группы.

      Пример: member

    • Внешний идентификатор: атрибут, который необходимо использовать в качестве уникального идентификатора пользователей и групп в каталоге Workspace ONE Access. Значение по умолчанию — entryUUID.
      Важно!: Все пользователи должны определить уникальное и непустое значение для атрибута. Значение должно быть уникальным в арендаторе Workspace ONE Access. Если какие-либо пользователи не задали значение атрибута, каталог не будет синхронизирован.

      При настройке внешнего идентификатора помните о следующем:

      • При интеграции Workspace ONE Access с Workspace ONE UEM обязательно установите для внешнего идентификатора один атрибут в обоих продуктах.
      • Внешний идентификатор можно изменить после создания каталога. Тем не менее внешний идентификатор рекомендуется установить перед синхронизацией пользователей с Workspace ONE Access. Изменение внешнего идентификатора приводит к повторному созданию пользователей. В результате все пользователи выйдут из системы, поэтому им придется войти в нее снова. Кроме того, понадобится перенастроить права пользователей для веб-приложений и ThinApp. Права для Horizon, Horizon Cloud и Citrix будут удалены, а затем повторно созданы при следующей синхронизации прав.
      • Параметр «Внешний идентификатор» доступен для Workspace ONE Access Connector 20.10 и 19.03.0.1. Все соединители, связанные со службой Workspace ONE Access, должны быть версии 20.10 или 19.03.0.1. Если с этой службой связаны соединители разных версий, параметр «Внешний идентификатор» не отображается.
    • Различающееся имя: (необязательно) атрибут, который используется в каталоге LDAP для определения различающегося имени пользователя или группы.

      Например, dn.

      По умолчанию атрибут различающегося имени используется для уникального определения объектов пользователей и групп. Если в схеме LDAP отсутствует атрибут различающегося имени, выберите параметр Включить дополнительную настройку LDAP и введите значения, которые будут использоваться для идентификации групп и пользователей.

    • Включить дополнительную настройку LDAP. установите этот флажок, чтобы просматривать параметры дополнительной настройки LDAP. Используйте дополнительную настройку, если в схеме LDAP отсутствует атрибут различающегося имени или в ней используется posixGroups.
      • Фильтр группы: значение, которое следует использовать для запроса и идентификации групп. Это значение является обязательным, если в схеме LDAP отсутствует атрибут различающегося имени.

        Например, cn

      • Фильтр пользователей: значение, которое следует использовать для запроса и идентификации пользователей. Это значение является обязательным, если в схеме LDAP отсутствует атрибут различающегося имени.

        Например, uid

      • Фильтр сопоставления членства пользователей: (необязательно) этот параметр обычно требуется для каталогов LDAP, использующих posixGroups. Фильтр сопоставления членства пользователей используется для запроса и идентификации пользователей, полученных от атрибута членства.

        Например, uidNumber

    Сертификаты Если необходимо получение доступа к каталогу LDAP с использованием SSL, установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL, а затем скопируйте и вставьте в текстовое поле сертификат SSL из корневого центра сертификации, настроенного для сервера каталога LDAP. Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.
    Сведения о пользователе подключения Базовое различающееся имя: введите различающееся имя, с которого будет начинаться поиск. Например, cn=users,dc=example,dc=com.
    Различающееся имя пользователя подключения — введите имя пользователя, которое следует использовать для подключения к каталогу LDAP.
    Примечание: Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.

    Пароль пользователя подключения — введите пароль пользователя с различающимся именем для подключения.

  4. Нажмите Сохранить и Далее.
  5. На странице «Домены» убедитесь, что указан правильный домен, а затем нажмите кнопку Далее.
  6. На странице «Сопоставление атрибутов» убедитесь, что атрибуты VMware Workspace ONE Access сопоставлены с правильными атрибутами каталога LDAP и при необходимости внесите изменения.

    Эти атрибуты будут синхронизированы для пользователей.

    Важно!: Необходимо указать сопоставление для атрибута domain.

    Добавлять атрибуты и управлять списком необходимых атрибутов можно со страницы Настройка > Атрибуты пользователя.

  7. Нажмите кнопку Далее.
  8. Выберите группы в каталоге LDAP, которые должны синхронизироваться с каталогом Workspace ONE Access.
    При добавлении групп учитывайте следующие соображения.
    • Рекомендуется добавлять и синхронизировать небольшое количество групп при создании каталога. После начальной настройки можно добавить другие группы.
    • При добавлении и синхронизации групп их имена синхронизируются с каталогом. Пользователи, входящие в группу, не синхронизируются с каталогом, пока группе не будет предоставлено право на доступ к приложению или имя группы не будет добавлено в правило политики доступа.
      Примечание: Это ограничение можно переопределить путем включения параметра Синхронизировать участников группы с каталогом при добавлении группы на странице Управление учетными данными и доступом > Настройка > Параметры.
    • Если в каталоге LDAP есть несколько групп с одинаковыми именами, на странице групп необходимо указать для них уникальные имена.
    Чтобы выбрать группы, укажите одно или несколько различающихся имен и выберите под ними группы.
    1. а. В строке Укажите различающиеся имена групп нажмите + и введите различающееся имя группы. Например, CN=users,DC=example,DC=company,DC=com.
      Совет: Ввод различающегося имени высокого уровня, такого как базовое различающееся имя, для поиска не рекомендуется, так как поиск займет много времени. Попробуйте ввести для поиска более конкретное различающееся имя.
      Важно!: Укажите различающиеся имена групп, входящие в базовое различающееся имя, введенное в текстовом поле Базовое различающееся имя на странице «Добавить каталог». Если различающееся имя группы не соответствует базовому различающемуся имени, данные пользователей из группы с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
    2. б. Если необходимо выбрать все группы с различающимся именем группы, нажмите Выбрать все.
      Если после создания каталога группы добавляются в различающееся имя группы в Active Directory или удаляются из него, изменения отражаются при последующих синхронизациях.
    3. в. Если необходимо выбрать не все, а конкретные группы с различающимся именем, нажмите Выбрать, сделайте выбор и нажмите Сохранить.
      При нажатии Выбрать будут перечислены все группы, найденные в различающемся имени. Для сужения результатов или поиска определенных групп введите ключевое слово в поле поиска.
    4. г. При необходимости установите или снимите флажок параметра Синхронизировать участников вложенных групп.
      Параметр Синхронизировать участников вложенных групп включен по умолчанию. Когда этот параметр включен, все пользователи, которые принадлежат непосредственно к выбранной группе, а также к вложенным группам этой группы, синхронизируются, если группе предоставлены права. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге Workspace ONE Access эти пользователи будут участниками родительской группы, выбранной для синхронизации.

      Если параметр Синхронизировать участников вложенных групп отключен, то при указании группы для синхронизации все пользователи, которые принадлежат непосредственно к ней, будут синхронизированы. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра полезно для больших конфигураций каталога, где навигация по дереву групп требует значительных объемов ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.

  9. Нажмите кнопку Далее.
  10. Выберите пользователей для синхронизации.
    При добавлении пользователей учитывайте следующие рекомендации.
    • Так как участники группы не синхронизируются с каталогом, пока группе не будут предоставлены права на доступ к приложению или пока она не будет добавлена в правило политики доступа, добавьте всех пользователей, которым нужно пройти проверку подлинности, перед настройкой прав группы.
    • Пользователь подключения, указанный в разделе «Сведения о подключении», по умолчанию не синхронизируется со службой Workspace ONE Access. Если необходимо синхронизировать пользователя подключения, введите различающееся имя пользователя на этой вкладке.
    1. а. В строке Укажите различающиеся имена пользователей щелкните + и введите различающиеся имена пользователей. Пример:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      Важно!: Укажите различающиеся имена пользователей, входящие в базовое различающееся имя, которое введено в текстовом поле Базовое различающееся имя на странице «Добавить каталог». Если различающееся имя пользователя не соответствует базовому различающемуся имени, данные пользователей с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
    2. б. При необходимости укажите фильтры, чтобы включить или исключить пользователей для различающихся имен.
  11. На странице «Интервал синхронизации» настройте расписание синхронизации для синхронизации пользователей и групп через равные промежутки времени или выберите Вручную в раскрывающемся списке Интервал синхронизации, если не хотите настраивать расписание.
    Время задается по UTC.
    Совет: Периодичность синхронизации, указанная в расписании, должна быть больше времени синхронизации. Если пользователи и группы синхронизируются в каталоге в то время, когда по расписанию запланирована следующая синхронизация, новый сеанс синхронизации запускается сразу после окончания предыдущей синхронизации. С таким расписанием процесс синхронизации будет непрерывным.
    Если выбран параметр Вручную, для синхронизации каталога необходимо каждый раз нажимать кнопку Синхронизация на странице каталога.
  12. Нажмите кнопку Сохранить, чтобы создать каталог или Синхронизировать каталог, чтобы создать каталог и начать его синхронизацию.

Результаты

Подключение к каталогу LDAP установлено. При нажатии Синхронизировать каталог имена пользователей и групп синхронизируются из каталога LDAP в каталог Workspace ONE Access.

Дополнительные сведения о синхронизации групп см. в разделе «Управление пользователями и группами» в документе Администрирование VMware Workspace ONE Access.

Дальнейшие действия

  • Если для параметра проверки подлинности задать значение «Да», то для каталога автоматически создается поставщик удостоверений с именем Поставщик удостоверений для directoryname и метод проверки подлинности «Пароль (облачная среда)». Их можно просмотреть на страницах Управление учетными данными и доступом > Управление > Поставщики удостоверений и Корпоративные методы проверки подлинности. Можно также создавать дополнительные методы проверки подлинности для каталога на вкладке Корпоративные методы проверки подлинности. Дополнительную информацию о создании методов проверки подлинности см. в руководстве <Auth>.
  • Просмотрите политику доступа по умолчанию на странице Управление учетными данными и доступом > Управление > Политики.
  • Просмотрите параметры мер безопасности по умолчанию и при необходимости внесите требуемые изменения. Дополнительные сведения см. в разделе Настройка мер безопасности при синхронизации каталогов.