在聯盟設定的這個步驟中,您可以建立一個內部目錄,以儲存您從Active Directory同步的使用者和群組。

您可以同步單一或多個 Active Directory 網域中的群組和使用者。
  • 如果要為其授與對 VMware Cloud services 的聯盟存取權的所有使用者和群組均位於單一 AD 網域,則選取單一 AD 網域選項。如果您有多個 AD 網域,且這些網域之間沒有信任,則使用此選項。設定聯盟後,您可以選擇針對每個額外的 AD 網域新增目錄。
  • 如果要為其授與對 VMware Cloud services 的聯盟存取權的使用者和群組跨越不同的 AD 網域,並且設定了多樹系 Active Directory 以及建立了不同網域之間的信任,則選取多個 AD 網域

啟用企業聯盟後,在聯盟工作流程的這一步驟中同步的群組和使用者會顯示在 Cloud Services 主控台 中的群組頁面上。可以透過導覽至身分識別與存取管理 > 群組來存取此頁面。啟用聯盟設定後,可以同步您企業的其他群組和使用者。

必須同步所有聯盟帳戶,才能允許使用者透過其企業帳戶存取 VMware Cloud services。登入時不會要求已同步的使用者建立 VMware 帳戶,除非他們必須檢視圖計費資訊、提出支援票證。如果企業管理員同時是組織擁有者使用者或在網域聯盟前受邀完成聯盟設定,則必須建立 VMware 帳戶。如果企業管理員在網域聯盟後將新增至特殊聯盟組織,則不需要建立 VMware 帳戶。

必要條件

  • 如果 Active Directory 需要透過 SSL/TLS 進行存取,則必須上傳網域控制站的中繼 CA 憑證 (如果已使用) 和根 CA 憑證。
  • 對於群組和使用者同步,必須使用在 Active Directory 上具有讀取權限的任何服務或使用者帳戶以及繫結使用者 DN/名稱的未到期密碼,以連線至 Active Directory。
    注意: 如果公司的安全性原則要求您使用密碼即將到期的服務帳戶,且該密碼在更新前到期,則群組和使用者不會同步。如果同步中斷,必須重新建立 Active Directory 與 Workspace ONE Access Connector 之間的連線。

程序

  1. 設定企業聯盟頁面的同步群組和使用者區段中,按一下開始
    此時將顯示 新增目錄區段。
  2. 目錄名稱文字方塊中,輸入即將建立之內部目錄的名稱。
    可以為企業目錄提供任何名稱,此名稱不必與內部使用的名稱相符。
  3. 對於此範例而言,請將預設單一 AD 網域功能表項目保持選取狀態。
  4. 下一步
    此時將展開工作流程的 提供繫結使用者認證區段。
  5. 提供將用於從企業 Active Directory 同步群組和使用者之服務帳戶的繫結使用者管理員認證。
    以下是有關如何定義繫結使用者辨別名稱 (DN) 的範例。假設企業目錄服務的繫結使用者 DN 為 [email protected]。查看如何在聯盟設定中定義使用者名稱的語法:
    1. 繫結使用者 DN 文字方塊中,輸入 "CN=admin,DC=acme,DC=com”
      將自動填入 基本 DN 文字方塊,以顯示 "DC=acme,DC=com”
    2. 繫結使用者密碼文字方塊中,輸入繫結使用者管理員的密碼。
    備註: 您輸入的繫結使用者 DN 和繫結 DN 認證必須遵循這些範例中呈現的語法。
  6. 下一步
    此時將展開工作流程的 同步群組區段。
  7. 輸入要同步之群組的群組辨別名稱 (DN)。
    使用與此工作之步驟 5 中輸入內容類似的語法,定義您企業目錄中的特定使用者群組,例如 CN=Users,DC=acme,DC=com
    備註: 同步群組和使用者所需的最少屬性包括名字、姓氏、電子郵件、使用者名稱和網域。如果您的企業使用使用者主體名稱 (UPN) 驗證使用者,則此屬性還必須具有用於同步的值。永遠不會同步使用者密碼。僅同步此步驟中設定的使用者和群組 DN,而非同步整個 AD。
  8. 按一下選取群組連結。
    快顯視窗隨即出現,並顯示您輸入的群組 DN 準則的所有可用群組結果。如果搜尋結果超過 1000 個群組,可以返回步驟 7 並精簡搜尋準則範圍。
  9. 選取要針對聯盟設定同步的群組,然後按一下儲存
    聯盟工作流程頁面隨即重新整理,並顯示此步驟中新增用於同步的群組數目。可以按一下 新增以新增更多群組。
  10. 下一步
  11. 在展開的同步使用者區段中,輸入您要同步的使用者 DN。
    使用與此工作之步驟 7 中輸入內容類似的語法,定義您企業目錄中的特定使用者,例如 CN=admin,CN=users,DC=acme,DC=com
    現在,所有已新增的群組和使用者都將顯示在 檢閱群組和使用者區段中。
    若要測試聯盟設定並驗證使用者使用企業身分識別提供者登入的情況,請確保新增並成功同步即將測試聯盟設定的群組和使用者 (包括您自己)。
    備註: 啟用企業聯盟後,未同步的使用者將無法通過使用者驗證。
  12. 按一下同步
    [同步進行中] 狀態隨即顯示並保持不變,直到您按一下 檢查同步狀態
  13. 若要查看同步的更新狀態,則必須按一下檢查同步狀態
    備註: 如果所需的最少屬性 (例如名字、姓氏、電子郵件、使用者名稱、網域和 UPN (如果已使用)) 遺失,則同步會失敗。
    同步成功時,狀態會變更為綠色。
    備註: 如果繫結使用者 DN 發生例外狀況錯誤,可將其略過。對於所有其他錯誤,必須對設定進行疑難排解。
  14. 按一下繼續

下一步

現在,您已準備好設定企業 IdP 以使用 VMware Cloud services 進行企業聯盟。