Корпоративный каталог LDAP можно интегрировать с Workspace ONE Access для синхронизации пользователей и групп из каталога LDAP со службой Workspace ONE Access.

Для интеграции каталога LDAP необходимо создать соответствующий каталог Workspace ONE Access и синхронизировать пользователей и группы из каталога LDAP с каталогом Workspace ONE Access. Для последующих обновлений можно настроить регулярное расписание синхронизации.

Кроме того, следует выбрать атрибуты LDAP, которые нужно синхронизировать для пользователей, и сопоставить их с атрибутами Workspace ONE Access.

Конфигурация каталога LDAP может быть выполнена на основе стандартных или пользовательских схем. Она также может иметь настраиваемые атрибуты. Чтобы дать Workspace ONE Access возможность запрашивать каталог LDAP и получать объекты пользователей или групп, необходимо указать поисковые фильтры и имена атрибутов LDAP, применимых к каталогу LDAP.

В частности, необходимо указать следующие сведения.

  • Поисковые фильтры LDAP для получения групп и пользователей, а также пользователя подключения.
  • Имена атрибутов LDAP для членства в группе, внешнего идентификатора и различающегося имени или аналогичного атрибута

К интеграции каталогов LDAP применяются определенные ограничения. См. раздел Ограничения интеграции каталога LDAP.

Необходимые условия

  • Установите службу синхронизации каталогов, которая доступна в качестве компонента Workspace ONE Access Connector, начиная с версии 20.01.0.0. См. последнюю версию установки VMware Workspace ONE Access Connector для получения дополнительной информации.

    Если необходимо использовать службу проверки подлинности пользователей для проверки подлинности пользователей каталога, установите также компонент «Служба проверки подлинности пользователей».

  • Проверьте атрибуты пользователя на странице Параметры > Атрибуты пользователя и при необходимости добавьте дополнительные атрибуты для синхронизации. При создании каталога атрибуты Workspace ONE Access сопоставляются с каталогом LDAP. Они синхронизируются для пользователей в каталоге.
    Примечание: При изменении атрибутов пользователя учтите влияние на другие каталоги в службе Workspace ONE Access. Если планируется добавить каталоги Active Directory и LDAP, не отмечайте никакие атрибуты в качестве обязательных (кроме Username). Параметры на странице «Атрибуты пользователя» применяются ко всем каталогам службы. Если атрибут обязательный, пользователи без этого атрибута не будут синхронизироваться со службой Workspace ONE Access.
  • Учетная запись пользователя с различающимся именем для подключения. Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.
  • В каталоге LDAP универсальный уникальный идентификатор объекта пользователей и групп должен быть указан в текстовом формате.
  • В каталоге LDAP для всех пользователей и групп должен быть указан атрибут domain.

    Этот атрибут сопоставляется с атрибутом domain в Workspace ONE Access при создании каталога Workspace ONE Access.

  • В именах пользователей не должно быть пробелов. Если имя пользователя содержит пробел, пользователь синхронизируется, но права для него становятся недоступны.
  • При использовании проверки подлинности с помощью сертификата пользователи должны указать значения для атрибута userPrincipalName, а также атрибуты адреса электронной почты.

Процедура

  1. В консоли Workspace ONE Access выберите Интеграции > Каталоги.
  2. В раскрывающемся меню Добавить каталог выберите Каталог LDAP.
    В раскрывающемся меню «Добавить каталог» есть следующие опции: «Active Directory», «Каталог LDAP» и «Локальный каталог пользователей».
  3. В разделе Сведения о каталоге введите необходимые сведения.
    Параметр Описание
    Имя каталога Введите имя каталога Workspace ONE Access.
    Узлы синхронизации каталогов Выберите один или несколько экземпляров службы синхронизации каталогов, которые будут использоваться для синхронизации этого каталога. Отобразится список всех экземпляров службы синхронизации каталогов, зарегистрированных с этим арендатором. Можно выбрать только те экземпляры, которые находятся в активном состоянии.

    При выборе нескольких экземпляров Workspace ONE Access использует первый выбранный экземпляр в списке для синхронизации каталога. Если первый экземпляр недоступен, используется следующий выбранный экземпляр и т. д. После создания каталога можно изменить порядок списка на странице Параметры синхронизации каталога.
    Проверка подлинности Выберите Настроить для этого каталога проверку подлинности с помощью пароля, если необходимо проверять подлинность пользователей этого каталога с помощью службы проверки подлинности пользователей. Служба проверки подлинности пользователей уже должна быть установлена. Если выбрана эта опция, для каталога автоматически создаются метод проверки подлинности «Пароль (облачная среда)» и поставщик удостоверений с именем Поставщик удостоверений для directoryName типа «Внедренный».

    Выберите Добавить методы проверки подлинности позже если в данный момент не нужно настраивать проверку подлинности с помощью службы проверки подлинности пользователей или использовать сторонний поставщик удостоверений. Если потребуется использовать службу проверки подлинности пользователей позже, можно будет создать метод проверки подлинности «Пароль (облачная среда)» и поставщик удостоверений для каталога вручную. В таком случае создайте поставщика удостоверений для каталога, выбрав Добавить > Встроенный поставщик удостоверений на странице Интеграции > Поставщики удостоверений. Не рекомендуется использовать предварительно созданного поставщика удостоверений с именем Встроенный.
    Узлы проверки подлинности пользователей Параметр Узлы проверки подлинности пользователя отображается, если выбран параметр Настроить для этого каталога проверку подлинности с помощью пароля. Выберите один или несколько экземпляров службы проверки подлинности пользователей, которые будут использоваться для проверки подлинности пользователей в этом каталоге. Отобразится список всех экземпляров службы проверки подлинности пользователей, зарегистрированных у этого арендатора и находящихся в активном состоянии.

    При выборе нескольких экземпляров Workspace ONE Access отправляет запросы на проверку подлинности выбранным экземплярам в порядке циклического перебора.
    Имя пользователя Выберите атрибут каталога LDAP, который будет использоваться как имя пользователя. Если атрибут отсутствует в списке, выберите параметр Настраиваемый и введите имя настраиваемого атрибута, который будет использоваться для пользователей и групп. Например, cn.
    Узел сервера Введите узел сервера каталога LDAP. Можно указать полное доменное имя или IP-адрес. Например, myLDAPserver.example.com или 100.00.00.0.

    При наличии серверного кластера за средством балансировки нагрузки введите вместо этого сведения о средстве балансировки нагрузки.
    Порт сервера Введите номер порта каталога LDAP.
  4. В разделе Настройка LDAP введите необходимые сведения.
    Параметр Описание
    Запросы и атрибуты Укажите фильтры и атрибуты поиска LDAP, которые Workspace ONE Access следует использовать для создания запроса каталога LDAP. Значения по умолчанию указываются, исходя из данных основной схемы LDAP.

    Фильтрация запросов

    • Группы: поисковый фильтр для получения объектов группы.

      Например, (objectClass=groupOfNames)

    • Пользователь подключения: поисковый фильтр для получения объекта пользователя подключения, то есть пользователя, который может подключаться к каталогу.

      Например, (objectClass=person).

    • Пользователи: поисковый фильтр для получения данных пользователей, которые необходимо синхронизировать.

      Например, (&(objectClass=user)(objectCategory=person)).

    Атрибуты

    • Состав: атрибут, который используется в каталоге LDAP для определения участников группы.

      Пример: member

    • Внешний идентификатор: атрибут, который необходимо использовать в качестве уникального идентификатора пользователей и групп в каталоге Workspace ONE Access. Значение по умолчанию — entryUUID.
      Важно!: Все пользователи должны определить уникальное и непустое значение для атрибута. Значение должно быть уникальным в арендаторе Workspace ONE Access. Если какие-либо пользователи не задали значение атрибута, каталог не будет синхронизирован.

      При настройке внешнего идентификатора помните о следующем:

      • При интеграции Workspace ONE Access с Workspace ONE UEM обязательно установите для внешнего идентификатора один атрибут в обоих продуктах.
      • Внешний идентификатор можно изменить после создания каталога. Тем не менее внешний идентификатор рекомендуется установить перед синхронизацией пользователей с Workspace ONE Access. Изменение внешнего идентификатора приводит к повторному созданию пользователей. В результате все пользователи выйдут из системы, поэтому им придется войти в нее снова. Кроме того, понадобится перенастроить права пользователей для веб-приложений и ThinApp. Права для Horizon, Horizon Cloud и Citrix будут удалены, а затем повторно созданы при следующей синхронизации прав.
      • Внешний идентификатор доступен с Workspace ONE Access Connector 20.10 и более поздних версий. Версией всех соединителей, связанных со службой Workspace ONE Access, должна быть версия 20.10 или более поздняя. Если со службой связан соединитель другой версии, параметр «Внешний идентификатор» не отображается.
    • Различающееся имя: (необязательно) атрибут, который используется в каталоге LDAP для определения различающегося имени пользователя или группы.

      Например, dn.

      По умолчанию атрибут различающегося имени используется для уникального определения объектов пользователей и групп. Если в схеме LDAP отсутствует атрибут различающегося имени, выберите параметр Включить дополнительную настройку LDAP и введите значения, которые будут использоваться для идентификации групп и пользователей.

    • Дополнительная настройка: установите флажок Включить дополнительную настройку LDAP чтобы просмотреть параметры дополнительной настройки LDAP. Используйте дополнительную настройку, если в схеме LDAP отсутствует атрибут различающегося имени или в ней используется posixGroups.
      • Фильтр группы: значение, которое следует использовать для запроса и идентификации групп. Это значение является обязательным, если в схеме LDAP отсутствует атрибут различающегося имени.

        Например, cn

      • Фильтр пользователей: значение, которое следует использовать для запроса и идентификации пользователей. Это значение является обязательным, если в схеме LDAP отсутствует атрибут различающегося имени.

        Например, uid

      • Фильтр сопоставления членства пользователей: (необязательно) этот параметр обычно требуется для каталогов LDAP, использующих posixGroups. Фильтр сопоставления членства пользователей используется для запроса и идентификации пользователей, полученных от атрибута членства.

        Например, uidNumber

    Шифрование Если необходимо получение доступа к каталогу LDAP с использованием SSL, установите флажок Для всех подключений требуется протокол LDAP, а затем скопируйте и вставьте в текстовое поле Сертификат SSL из корневого центра сертификации, настроенного для сервера каталога LDAP. Убедитесь, что сертификат находится в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.
    Сведения о пользователе подключения Базовое различающееся имя: введите различающееся имя, с которого будет начинаться поиск. Например, cn=users,dc=example,dc=com.
    Различающееся имя пользователя подключения — введите имя пользователя, которое следует использовать для подключения к каталогу LDAP.
    Примечание: Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.

    Пароль пользователя подключения — введите пароль пользователя с различающимся именем для подключения.

  5. В разделе Выбор доменов убедитесь, что перечислены правильные домены, а затем нажмите Сохранить.
  6. В разделе Сопоставить атрибуты пользователей убедитесь, что атрибуты Workspace ONE Access сопоставлены с правильными атрибутами каталога LDAP и при необходимости внесите изменения.

    Эти атрибуты будут синхронизированы для пользователей.

    Важно!: Необходимо указать сопоставление для атрибута domain.

    Добавлять атрибуты и управлять списком необходимых атрибутов можно на странице Параметры > Атрибуты пользователя.

    Важно!: Если отметить атрибут в качестве обязательного, его значение должно быть установлено для всех пользователей, которых требуется синхронизировать. Записи пользователей, в которые отсутствуют значения для требуемых атрибутов, не будут синхронизированы.
  7. В разделе Синхронизировать группы добавьте группы, которые нужно синхронизировать. См. Выбор пользователей и групп для синхронизации с каталогом Workspace ONE Access.
  8. В разделе Синхронизировать пользователей добавьте пользователей, которых нужно синхронизировать. См. Выбор пользователей и групп для синхронизации с каталогом Workspace ONE Access.
  9. В разделе Интервал синхронизации настройте расписание синхронизации для синхронизации пользователей и групп через равные промежутки времени или выберите Вручную в раскрывающемся списке Интервал синхронизации, если не хотите настраивать расписание.
    Время задается по UTC.
    Совет: Запланируйте интервал синхронизации в расписании на большее время, чем требуется для синхронизации каталога. Если пользователи и группы синхронизируются в каталоге в то время, когда по расписанию запланирована следующая синхронизация, новый сеанс синхронизации запускается сразу после окончания предыдущей синхронизации. С таким расписанием процесс синхронизации будет непрерывным.
    Если выбрана функция Вручную необходимо выбрать Синхронизировать > Синхронизировать с мерами безопасности или Синхронизировать > Синхронизировать без мер безопасности при синхронизации каталога на странице каталога.
  10. Нажмите кнопку Сохранить, чтобы создать каталог или Сохранить и синхронизировать, чтобы создать каталог и начать его синхронизацию.

Результаты

Подключение к каталогу LDAP установлено. При нажатии кнопки Сохранить и синхронизировать имена пользователей и групп синхронизируются из каталога LDAP в каталог Workspace ONE Access.

Дополнительные сведения о синхронизации групп см. в разделе «Управление пользователями и группами» в документе Администрирование VMware Workspace ONE Access.

Дальнейшие действия

  • Если для параметра Проверка подлинности задать значение Настроить для этого каталога проверку подлинности с помощью пароля, то для каталога автоматически создается поставщик удостоверений с именем Поставщик удостоверений для directoryname и метод проверки подлинности «Пароль (облачная среда)». Их можно просмотреть на страницах Интеграции > Поставщики удостоверений и Интеграции > Методы проверки подлинности соединителя Connector. Можно также создавать дополнительные методы проверки подлинности для каталога на страницах Методы проверки подлинности соединителя Connector и Методы проверки подлинности. Дополнительные сведения о создании методов проверки подлинности см. в разделе Управление методами проверки подлинности пользователей в Workspace ONE Access.
  • Проверьте политику доступа по умолчанию на странице Ресурсы > Политики.
  • Просмотрите параметры мер безопасности по умолчанию и при необходимости внесите требуемые изменения. Дополнительные сведения см. в разделе Настройка мер безопасности при синхронизации каталогов в Workspace ONE Access.