В консоли Workspace ONE Access введите сведения, необходимые для подключения к Active Directory, а затем выберите пользователей и группы, которые необходимо синхронизировать с каталогом Workspace ONE Access.

Для подключения Active Directory можно использовать Active Directory с протоколом LDAP или встроенной проверкой подлинности Windows в Active Directory. Подключение «Active Directory по LDAP» поддерживает функцию поиска места расположения службы DNS.

Необходимые условия

  • Установите службу синхронизации каталогов, которая доступна в качестве компонента Workspace ONE Access Connector версии 20.01.0.0 или более поздней. Дополнительные сведения см. в разделе Установка VMware Workspace ONE Access Connector 20.01.

    Если необходимо использовать службу проверки подлинности пользователей для проверки подлинности пользователей каталога, установите также компонент «Служба проверки подлинности пользователей».

  • Выберите обязательные атрибуты пользователя и при необходимости добавьте дополнительные атрибуты на странице «Атрибуты пользователя» в консоли Workspace ONE Access. См. Управление атрибутами пользователей в Workspace ONE Access.
  • Создайте список групп и пользователей Active Directory, которые нужно синхронизировать из Active Directory. Имена групп сразу синхронизируются с каталогом. Участники группы не синхронизируются, пока группе не будут предоставлены права на использование ресурсов или пока добавлены в правило политики. Во время первоначальной настройки необходимо добавить пользователей, которым нужно пройти проверку подлинности перед настройкой права группы.
    Примечание: Для Workspace ONE Access Connector 19.03 и более ранних версий не поддерживаются символы / и $ в имени группы или атрибуте distinguishedName. Это ограничение распространяется на группы, которые добавляются в список с различающимся именем группы, а также к группам, которые не добавляются непосредственно в этот список, но синхронизируются как часть родительской группы при включении членства во вложенных группах.

    Не используйте символ / или $ в имени группы или атрибуте distinguishedName, если планируете синхронизировать группу с VMware Identity Manager, используя при этом Connector 19.03 или более поздних версий.

  • Если создается каталог типа «Active Directory с протоколом LDAP» с использованием параметра «Глобальный каталог», необходимо убедиться, что в других каталогов арендатора Workspace ONE Access не синхронизируются пользователи из того же домена, что и каталог «Глобальный каталог». Конфликт может привести к ошибкам синхронизации.
  • Для «Active Directory с протоколом LDAP» необходимо указать базовое различающееся имя, различающееся имя пользователя подключения и пароль.

    Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:

    • Чтение
    • Чтение всех свойств
    • Разрешения на чтение
    Примечание: Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.
  • Для подключения к Active Directory через встроенную службу проверки подлинности Windows необходимо указать имя и пароль пользователя подключения, который имеет разрешение на создание запросов к пользователям и группам для требуемых доменов.

    Пользователь подключения должен иметь следующие разрешения в Active Directory для предоставления доступа к объектам пользователей и групп:

    • Чтение
    • Чтение всех свойств
    • Разрешения на чтение
    Примечание: Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.
  • Если для Active Directory требуется доступ по протоколу SSL/TLS, то необходимы сертификаты промежуточного (если используется) и корневого центров сертификации контроллеров доменов для всех соответствующих доменов Active Directory. Если контроллеры доменов имеют сертификаты от нескольких промежуточных и корневых центров сертификации, то необходимы все сертификаты промежуточных и корневых центров сертификации.
  • Если для встроенной проверки подлинности Windows в Active Directory настроена служба Active Directory с несколькими лесами, а локальная группа домена содержит участников из доменов в разных лесах, обязательно добавьте пользователя подключения в группу администраторов домена, в котором находится локальная группа домена. Если не сделать этого, эти участники не будут входить в локальную группу домена.
  • Для Active Directory с использованием встроенной проверки подлинности Windows:
    • для всех контроллеров домена, указанных в SRV-записях и скрытых RODC, поиск имени узла и IP-адреса с помощью nslookup должен работать.
    • На всех контроллерах доменов должно быть доступно сетевое подключение.

Процедура

  1. В консоли Workspace ONE Access перейдите в раздел Управление учетными данными и доступом > Управление > Каталоги.
  2. Нажмите Добавить каталог и выберите пункт Добавить каталог Active Directory с протоколом LDAP или IWA.
  3. Введите имя каталога Workspace ONE Access.
  4. Выберите тип интегрируемого каталога Active Directory: Active Directory с протоколом LDAP или Active Directory со встроенной проверкой подлинности Windows.
  5. При интеграции Active Directory с протоколом LDAP выполните следующие действия, в противном случае перейдите к шагу 6.
    1. а. В разделе Синхронизация службы каталогов и проверка подлинности выполните следующие действия.
      Опция Описание
      Узлы синхронизации каталогов Выберите один или несколько экземпляров службы синхронизации каталогов, которые будут использоваться для синхронизации этого каталога. Отобразится список всех экземпляров службы синхронизации каталогов, зарегистрированных с этим арендатором. Можно выбрать только те экземпляры, которые находятся в активном состоянии.

      При выборе нескольких экземпляров Workspace ONE Access использует первый выбранный экземпляр в списке для синхронизации каталога. Если первый экземпляр недоступен, используется следующий выбранный экземпляр и т. д. После создания каталога можно изменить порядок списка на странице «Параметры синхронизации» каталога.

      Проверка подлинности Выберите Да, если необходимо проверять подлинность пользователей этого каталога с помощью службы проверки подлинности пользователей. Служба проверки подлинности пользователей уже должна быть установлена. Если выбрано значение Да, для каталога автоматически создаются метод проверки подлинности «Пароль (облачная среда)» и поставщик удостоверений с именем Поставщик удостоверений для directoryName типа «Внедренный».

      Выберите Нет, если не нужно проверять подлинность пользователей этого каталога с помощью службы проверки подлинности пользователей. Если потребуется использовать службу проверки подлинности пользователей позже, можно будет создать метод проверки подлинности «Пароль (облачная среда)» и поставщик удостоверений для каталога вручную. В таком случае создайте поставщика удостоверений для каталога, выбрав Добавить поставщика удостоверений > Создать встроенного поставщика удостоверений на странице Управление учетными данными и доступом > Поставщики удостоверений. Не рекомендуется использовать предварительно созданного поставщика удостоверений с именем Встроенный.

      Узлы проверки подлинности пользователей Этот параметр отображается, если для пункта Проверка подлинности выбрано значение Да. Выберите один или несколько экземпляров службы проверки подлинности пользователей, которые будут использоваться для проверки подлинности пользователей в этом каталоге. Отобразится список всех экземпляров службы проверки подлинности пользователей, зарегистрированных у этого арендатора и находящихся в активном состоянии.

      При выборе нескольких экземпляров Workspace ONE Access отправляет запросы на проверку подлинности выбранным экземплярам в порядке циклического перебора.

      Атрибут поиска каталога Выберите атрибут учетной записи, который содержит имя пользователя.
      Внешний идентификатор

      Атрибут, который необходимо использовать в качестве уникального идентификатора пользователей в каталоге Workspace ONE Access. Значение по умолчанию — objectGUID.

      Для настройки «Внешний идентификатор» можно задать любой из следующих атрибутов:

      • любой строковый атрибут, например sAMAccountName или distinguishedName;
      • двоичные атрибуты objectSid, objectGUID или mS-DS-ConsistencyGuid.

      Параметр «Внешний идентификатор» применяется только к пользователям в Workspace ONE Access. В группах для параметра «Внешний идентификатор» всегда задается значение objectGUID без возможности изменения.

      Важно!: Все пользователи должны определить уникальное и непустое значение для атрибута. Значение должно быть уникальным в арендаторе Workspace ONE Access. Если какие-либо пользователи не задали значение атрибута, каталог не будет синхронизирован.

      При настройке внешнего идентификатора помните о следующем:

      • При интеграции Workspace ONE Access с Workspace ONE UEM обязательно установите для внешнего идентификатора один атрибут в обоих продуктах.
      • Внешний идентификатор можно изменить после создания каталога. Тем не менее внешний идентификатор рекомендуется установить перед синхронизацией пользователей с Workspace ONE Access. Изменение внешнего идентификатора приводит к повторному созданию пользователей. В результате все пользователи выйдут из системы, поэтому им придется войти в нее снова. Кроме того, понадобится перенастроить права пользователей для веб-приложений и ThinApp. Права для Horizon, Horizon Cloud и Citrix будут удалены, а затем повторно созданы при следующей синхронизации прав.
      • Параметр «Внешний идентификатор» доступен для Workspace ONE Access Connector 20.10 и 19.03.0.1. Все соединители, связанные со службой Workspace ONE Access, должны быть версии 20.10 или 19.03.0.1. Если с этой службой связаны соединители разных версий, параметр «Внешний идентификатор» не отображается.
    2. б. Если необходимо использовать поиск расположения служб DNS для Active Directory, установите следующие параметры.
      • В разделе Расположение сервера установите флажок Данный каталог поддерживает поиск размещения службы DNS.

        Workspace ONE Access находит и использует оптимальные контроллеры домена. Если не требуется использовать оптимизированные контроллеры домена, переходите к шагу c.

      • Если для Active Directory требуется доступ по протоколу SSL/TLS, установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола STARTTLS в разделе Сертификаты, а также скопируйте и вставьте сертификаты промежуточного (если используются) и корневого центров сертификации контроллеров доменов в текстовом поле Сертификат SSL.

        Сначала введите сертификат промежуточного центра сертификации, а затем сертификат корневого центра сертификации. Убедитесь, что каждый сертификат создан в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

        Если в контроллерах домена есть сертификаты от нескольких промежуточных и корневых центров сертификации, введите все цепочки сертификатов промежуточного и корневого центров сертификации один за другим.

        Пример:

        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 2>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 2>
        ...
        -----END CERTIFICATE-----
        Примечание: Если для Active Directory требуется доступ по протоколу SSL/TLS, а сертификаты не предоставлены, создать каталог невозможно.
    3. в. Если не требуется использовать поиск расположения служб DNS для Active Directory, установите следующие параметры.
      • Убедитесь, что в разделе Расположение сервера не установлен флажок Данный каталог поддерживает поиск размещения службы DNS, и введите имя узла сервера и номер порта Active Directory.

        Сведения о том, как настроить каталог в качестве глобального каталога, см. в разделе «Среда Active Directory в нескольких доменах и одном лесу» в #GUID-0D2293FD-7634-40DD-A7ED-8F72401A3939.

      • Если для Active Directory требуется доступ по протоколу SSL/TLS, установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола SSL в разделе Сертификаты, а также скопируйте и вставьте сертификат промежуточного (если используются) и корневого центров сертификации контроллера домена в поле Сертификат SSL.

        Сначала введите сертификат промежуточного центра сертификации, а затем сертификат корневого центра сертификации. Убедитесь, что сертификат создан в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

        Примечание: Если для Active Directory требуется доступ по протоколу SSL/TLS, а сертификаты не предоставлены, создать каталог невозможно.
    4. г. В разделе Сведения о пользователе подключения введите следующие сведения.
      Опция Описание
      Базовое различающееся имя Введите различающееся имя, с которого будет начинаться поиск учетных записей. Например, OU=myUnit, DC=myCorp, DC=com.
      Примечание: Базовое различающееся имя будет использоваться для проверки подлинности. Проверить подлинность смогут только пользователи с базовым различающимся именем. Убедитесь, что различающиеся имена групп и пользователей, которые будут указаны для синхронизации, попадают под это базовое различающееся имя.
      Различающееся имя пользователя подключения Укажите учетную запись с правом поиска пользователей. Например, CN=binduser,OU=myUnit,DC=myCorp,DC=com.
      Примечание: Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.
      Пароль пользователя подключения Пароль пользователя подключения.
  6. При интеграции Active Directory со встроенной проверкой подлинности Windows выполните следующие действия.
    1. а. В разделе Синхронизация службы каталогов и проверка подлинности выполните следующие действия.
      Опция Описание
      Узлы синхронизации каталогов Выберите один или несколько экземпляров службы синхронизации каталогов, которые будут использоваться для синхронизации этого каталога. Отобразится список всех экземпляров службы синхронизации каталогов, зарегистрированных у этого арендатора и находящихся в активном состоянии.

      При выборе нескольких экземпляров Workspace ONE Access использует первый выбранный экземпляр в списке для синхронизации каталога. Если первый экземпляр недоступен, используется следующий выбранный экземпляр и т. д. После создания каталога можно изменить порядок списка на странице «Параметры синхронизации» каталога.

      Проверка подлинности Выберите Да, если необходимо проверять подлинность пользователей этого каталога с помощью службы проверки подлинности пользователей. Служба проверки подлинности пользователей уже должна быть установлена. Если выбрано значение Да, для каталога автоматически создаются метод проверки подлинности «Пароль (облачная среда)» и поставщик удостоверений с именем Поставщик удостоверений для каталога типа «Внедренный».

      Выберите Нет, если не нужно проверять подлинность пользователей этого каталога с помощью службы проверки подлинности пользователей. Если впоследствии потребности изменятся, можно будет создать метод проверки подлинности «Пароль (облачная среда)» и поставщик удостоверений для каталога вручную. В таком случае создайте поставщика удостоверений для каталога, выбрав Добавить поставщика удостоверений > Создать встроенного поставщика удостоверений на странице Управление учетными данными и доступом > Поставщики удостоверений. Не рекомендуется использовать предварительно созданного поставщика удостоверений с именем Встроенный.

      Узлы проверки подлинности пользователей Этот параметр отображается, если для пункта Проверка подлинности выбрано значение Да. Выберите один или несколько экземпляров службы проверки подлинности пользователей, которые будут использоваться для проверки подлинности пользователей в этом каталоге. Отобразится список всех экземпляров службы проверки подлинности пользователей, зарегистрированных у этого арендатора и находящихся в активном состоянии.

      При выборе нескольких экземпляров Workspace ONE Access отправляет запросы на проверку подлинности выбранным экземплярам в порядке циклического перебора.

      Атрибут поиска каталога Выберите атрибут учетной записи, который содержит имя пользователя.
      Внешний идентификатор

      Атрибут, который необходимо использовать в качестве уникального идентификатора пользователей в каталоге Workspace ONE Access. Значение по умолчанию — objectGUID.

      Для настройки «Внешний идентификатор» можно задать любой из следующих атрибутов:

      • любой строковый атрибут, например sAMAccountName или distinguishedName;
      • двоичные атрибуты objectSid, objectGUID или mS-DS-ConsistencyGuid.

      Параметр «Внешний идентификатор» применяется только к пользователям в Workspace ONE Access. В группах для параметра «Внешний идентификатор» всегда задается значение objectGUID без возможности изменения.

      Важно!: Все пользователи должны определить уникальное значение для атрибута. Значение должно быть уникальным в арендаторе Workspace ONE Access.

      При настройке внешнего идентификатора помните о следующем:

      • При интеграции Workspace ONE Access с Workspace ONE UEM обязательно установите для внешнего идентификатора один атрибут в обоих продуктах.
      • Внешний идентификатор можно изменить после создания каталога. Тем не менее внешний идентификатор рекомендуется установить перед синхронизацией пользователей с Workspace ONE Access. Изменение внешнего идентификатора приводит к повторному созданию пользователей. В результате все пользователи выйдут из системы, поэтому им придется войти в нее снова. Кроме того, понадобится перенастроить права пользователей для веб-приложений и ThinApp. Права для Horizon, Horizon Cloud и Citrix будут удалены, а затем повторно созданы при следующей синхронизации прав.
      • Параметр «Внешний идентификатор» доступен для Workspace ONE Access Connector 20.10 и 19.03.0.1. Все соединители, связанные со службой Workspace ONE Access, должны быть версии 20.10 или 19.03.0.1. Если с этой службой связаны соединители разных версий, параметр «Внешний идентификатор» не отображается.
    2. б. Если для Active Directory требуется доступ по протоколу SSL/TLS, установите флажок Все подключения объектов, входящих в данный каталог, выполняются с использованием протокола STARTTLS в разделе Сертификаты, а также скопируйте и вставьте сертификаты промежуточного (если используются) и корневого центров сертификации контроллеров доменов в текстовом поле Сертификат SSL.

      Сначала введите сертификат промежуточного центра сертификации, а затем сертификат корневого центра сертификации. Убедитесь, что каждый сертификат создан в формате PEM и содержит строки BEGIN CERTIFICATE и END CERTIFICATE.

      Если в контроллерах домена есть сертификаты от нескольких промежуточных и корневых центров сертификации, введите все цепочки сертификатов промежуточного и корневого центров сертификации один за другим.

      Пример:

      -----BEGIN CERTIFICATE-----
      ...
      <Intermediate Certificate 1>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Root Certificate 1>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Intermediate Certificate 2>
      ...
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ...
      <Root Certificate 2>
      ...
      -----END CERTIFICATE-----
      Примечание: Если для Active Directory требуется доступ по протоколу SSL/TLS, а сертификаты не предоставлены, создать каталог невозможно.
    3. в. В разделе Сведения о пользователе подключения введите имя и пароль пользователя подключения, который имеет разрешение на создание запросов пользователям и группам для требуемых доменов. Введите имя пользователя в формате sAMAccountName@domain, где domain — это полное имя домена. Например, jdoe@example.com.
      Примечание: Рекомендуется использовать учетную запись пользователя подключения с паролем без срока действия.
  7. Нажмите Сохранить и Далее.
  8. На странице «Выберите домены» выберите домены (если применимо), а затем нажмите Далее.
    • Для «Active Directory с протоколом LDAP» указанные домены перечислены и уже выбраны.
    • Для «Active Directory со встроенной проверкой подлинности Windows» выберите домены, которые необходимо связать с этим подключением к Active Directory. Здесь перечислены все домены, имеющие двустороннее отношение доверия с базовым доменом.

      Если домены, имеющие двустороннее отношение доверия с базовым доменом, добавлены в Active Directory после создания каталога Workspace ONE Access, их можно добавить на странице «Параметры синхронизации» > «Домены», нажав кнопку «Обновить» для получения актуального списка.

      Совет: Выбирайте доверенные домены не все сразу, а один за другим. Это необходимо во избежание слишком долгого сохранения, которое потенциально может привести к истечению времени ожидания. Последовательный выбор доменов гарантирует, что служба синхронизации каталогов будет тратить время на разрешение только одного домена.
    • Если создается каталог «Active Directory с протоколом LDAP» с выбранным параметром «Глобальный каталог», вкладка «Домены» отображаться не будет.
  9. Убедитесь, что на странице «Сопоставить атрибуты пользователей» имена атрибутов каталогов Workspace ONE Access сопоставлены с правильными атрибутами Active Directory, и при необходимости внесите изменения, а затем нажмите кнопку Далее.
  10. Выберите группы, которые должны синхронизироваться с каталогом Workspace ONE Access на основе Active Directory.
    При добавлении групп учитывайте следующие соображения.
    • Рекомендуется добавлять и синхронизировать небольшое количество групп при создании каталога. После начальной настройки можно добавить другие группы.
    • При добавлении и синхронизации групп их имена синхронизируются с каталогом. Пользователи, входящие в группу, не синхронизируются с каталогом, пока группе не будет предоставлено право на доступ к приложению или имя группы не будет добавлено в правило политики доступа.
      Примечание: Это ограничение можно переопределить путем включения параметра Синхронизировать участников группы с каталогом при добавлении группы на странице Управление учетными данными и доступом > Настройка > Параметры.
    • При синхронизации группы все пользователи, для которых группа «Пользователи домена» в Active Directory не является основной, не синхронизируются.
    Чтобы выбрать группы, укажите одно или несколько различающихся имен и выберите под ними группы.
    1. а. В строке Укажите различающиеся имена групп нажмите + и введите различающееся имя группы. Например, CN=users,DC=example,DC=company,DC=com.
      Совет: Ввод различающегося имени высокого уровня, такого как базовое различающееся имя, для поиска не рекомендуется, так как поиск займет много времени. Попробуйте ввести для поиска более конкретное различающееся имя.
      Важно!: Укажите различающиеся имена групп, входящие в базовое различающееся имя, введенное в текстовом поле Базовое различающееся имя на странице «Добавить каталог». Если различающееся имя группы не соответствует базовому различающемуся имени, данные пользователей из группы с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
    2. б. Если необходимо выбрать все группы с различающимся именем группы, нажмите Выбрать все.
      Если после создания каталога группы добавляются в различающееся имя группы в Active Directory или удаляются из него, изменения отражаются при последующих синхронизациях.
    3. в. Если необходимо выбрать не все, а конкретные группы с различающимся именем, нажмите Выбрать, сделайте выбор и нажмите Сохранить.
      При нажатии Выбрать будут перечислены все группы, найденные в различающемся имени. Для сужения результатов или поиска определенных групп введите ключевое слово в поле поиска.
    4. г. При необходимости установите или снимите флажок параметра Синхронизировать участников вложенных групп.
      Параметр Синхронизировать участников вложенных групп включен по умолчанию. Когда этот параметр включен, все пользователи, которые принадлежат непосредственно к выбранной группе, а также к вложенным группам этой группы, синхронизируются, если группе предоставлены права. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге Workspace ONE Access эти пользователи будут участниками родительской группы, выбранной для синхронизации.

      Если параметр Синхронизировать участников вложенных групп отключен, то при указании группы для синхронизации все пользователи, которые принадлежат непосредственно к ней, будут синхронизированы. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра может потребоваться в больших конфигурациях Active Directory, где навигация по дереву групп требует значительных объемов ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.

  11. Нажмите кнопку Далее.
  12. Выберите пользователей для синхронизации.
    При добавлении пользователей учитывайте следующие рекомендации.
    • Так как участники группы не синхронизируются с каталогом, пока группе не будут предоставлены права на доступ к приложению или пока она не будет добавлена в правило политики доступа, добавьте всех пользователей, которым нужно пройти проверку подлинности, перед настройкой прав группы.
    • Пользователь подключения, указанный в разделе «Сведения о подключении», по умолчанию не синхронизируется со службой Workspace ONE Access. Если необходимо синхронизировать пользователя подключения, введите различающееся имя пользователя на этой вкладке. При необходимости после синхронизации каталога можно задать роль для пользователя подключения.
    1. а. В строке Укажите различающиеся имена пользователей щелкните + и введите различающиеся имена пользователей. Пример:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      Важно!: Укажите различающиеся имена пользователей, входящие в базовое различающееся имя, которое введено в текстовом поле Базовое различающееся имя на странице «Добавить каталог». Если различающееся имя пользователя не соответствует базовому различающемуся имени, данные пользователей с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
    2. б. При необходимости укажите фильтры, чтобы включить или исключить пользователей для различающихся имен.
  13. Нажмите кнопку Далее.
  14. На странице «Интервал синхронизации» настройте расписание синхронизации для синхронизации пользователей и групп через равные промежутки времени или выберите Вручную в раскрывающемся списке Интервал синхронизации, если не хотите настраивать расписание.
    Время задается по UTC.
    Совет: Периодичность синхронизации, указанная в расписании, должна быть больше времени синхронизации. Если пользователи и группы синхронизируются в каталоге в то время, когда по расписанию запланирована следующая синхронизация, новый сеанс синхронизации запускается сразу после окончания предыдущей синхронизации.
    Если выбран параметр Вручную, для синхронизации каталога необходимо каждый раз нажимать кнопку Синхронизация на странице каталога.
  15. Нажмите кнопку Сохранить, чтобы создать каталог или Синхронизировать каталог, чтобы создать каталог и начать его синхронизацию.

Результаты

Подключение к Active Directory установлено. При нажатии кнопки Синхронизировать каталог имена пользователей и групп синхронизируются из Active Directory в каталог Workspace ONE Access.

Дополнительные сведения о синхронизации групп см. в разделе «Управление пользователями и группами» в документе Администрирование VMware Workspace ONE Access.

Дальнейшие действия

  • Если для параметра проверки подлинности задать значение «Да», то для каталога автоматически создается поставщик удостоверений с именем Поставщик удостоверений для directoryname и метод проверки подлинности «Пароль (облачная среда)». Их можно просмотреть на страницах Управление учетными данными и доступом > Управление > Поставщики удостоверений и Корпоративные методы проверки подлинности. Можно также создавать дополнительные методы проверки подлинности для каталога на вкладке Корпоративные методы проверки подлинности. Информацию о создании методов проверки подлинности см. в руководстве <AuthGuide>.
  • Просмотрите политику доступа по умолчанию на странице Управление учетными данными и доступом > Управление > Политики.
  • Просмотрите параметры мер безопасности по умолчанию и при необходимости внесите требуемые изменения. Дополнительные сведения см. в разделе Настройка мер безопасности при синхронизации каталогов.