В консоли Workspace ONE Access введите сведения, необходимые для подключения к Active Directory, а затем выберите пользователей и группы, которые необходимо синхронизировать с каталогом Workspace ONE Access.
Для подключения Active Directory можно использовать Active Directory с протоколом LDAP или встроенной проверкой подлинности Windows в Active Directory. Подключение «Active Directory по LDAP» поддерживает функцию поиска места расположения службы DNS.
Необходимые условия
- Установите службу синхронизации каталогов, которая доступна в качестве компонента Workspace ONE Access Connector версии 20.01.0.0 или более поздней. Дополнительные сведения см. в разделе Установка VMware Workspace ONE Access Connector 20.01.
Если необходимо использовать службу проверки подлинности пользователей для проверки подлинности пользователей каталога, установите также компонент «Служба проверки подлинности пользователей».
- Выберите обязательные атрибуты пользователя и при необходимости добавьте дополнительные атрибуты на странице «Атрибуты пользователя» в консоли Workspace ONE Access. См. Управление атрибутами пользователей в Workspace ONE Access.
- Создайте список групп и пользователей Active Directory, которые нужно синхронизировать из Active Directory. Имена групп сразу синхронизируются с каталогом. Участники группы не синхронизируются, пока группе не будут предоставлены права на использование ресурсов или пока добавлены в правило политики. Во время первоначальной настройки необходимо добавить пользователей, которым нужно пройти проверку подлинности перед настройкой права группы.
Примечание: Для Workspace ONE Access Connector 19.03 и более ранних версий не поддерживаются символы / и $ в имени группы или атрибуте distinguishedName. Это ограничение распространяется на группы, которые добавляются в список с различающимся именем группы, а также к группам, которые не добавляются непосредственно в этот список, но синхронизируются как часть родительской группы при включении членства во вложенных группах.
Не используйте символ / или $ в имени группы или атрибуте distinguishedName, если планируете синхронизировать группу с VMware Identity Manager, используя при этом Connector 19.03 или более поздних версий.
- Если создается каталог типа «Active Directory с протоколом LDAP» с использованием параметра «Глобальный каталог», необходимо убедиться, что в других каталогов арендатора Workspace ONE Access не синхронизируются пользователи из того же домена, что и каталог «Глобальный каталог». Конфликт может привести к ошибкам синхронизации.
- Для «Active Directory с протоколом LDAP» необходимо указать базовое различающееся имя, различающееся имя пользователя подключения и пароль.
Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:
- Чтение
- Чтение всех свойств
- Разрешения на чтение
Примечание: Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия. - Для подключения к Active Directory через встроенную службу проверки подлинности Windows необходимо указать имя и пароль пользователя подключения, который имеет разрешение на создание запросов к пользователям и группам для требуемых доменов.
Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:
- Чтение
- Чтение всех свойств
- Разрешения на чтение
Примечание: Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия. - Если для Active Directory требуется доступ по протоколу SSL/TLS, то необходимы сертификаты промежуточного (если используется) и корневого центров сертификации контроллеров доменов для всех соответствующих доменов Active Directory. Если контроллеры доменов имеют сертификаты от нескольких промежуточных и корневых центров сертификации, то необходимы все сертификаты промежуточных и корневых центров сертификации.
- Если для встроенной проверки подлинности Windows в Active Directory настроена служба Active Directory с несколькими лесами, а локальная группа домена содержит участников из доменов в разных лесах, обязательно добавьте пользователя подключения в группу администраторов домена, в котором находится локальная группа домена. Если не сделать этого, эти участники не будут входить в локальную группу домена.
- Для Active Directory с использованием встроенной проверки подлинности Windows:
- для всех контроллеров домена, указанных в SRV-записях и скрытых RODC, поиск имени узла и IP-адреса с помощью nslookup должен работать.
- На всех контроллерах доменов должно быть доступно сетевое подключение.
Процедура
Результаты
Подключение к Active Directory установлено. При нажатии кнопки Синхронизировать каталог имена пользователей и групп синхронизируются из Active Directory в каталог Workspace ONE Access.
Дополнительные сведения о синхронизации групп см. в разделе «Управление пользователями и группами» в документе Администрирование VMware Workspace ONE Access.
Дальнейшие действия
- Если для параметра проверки подлинности задать значение «Да», то для каталога автоматически создается поставщик удостоверений с именем Поставщик удостоверений для directoryname и метод проверки подлинности «Пароль (облачная среда)». Их можно просмотреть на страницах и Корпоративные методы проверки подлинности. Можно также создавать дополнительные методы проверки подлинности для каталога на вкладке Корпоративные методы проверки подлинности. Информацию о создании методов проверки подлинности см. в руководстве <AuthGuide>.
- Просмотрите политику доступа по умолчанию на странице .
- Просмотрите параметры мер безопасности по умолчанию и при необходимости внесите требуемые изменения. Дополнительные сведения см. в разделе Настройка мер безопасности при синхронизации каталогов.