您可以將服務與 Active Directory 環境整合,該環境可由單一 Active Directory 網域、單一 Active Directory 樹系中的多個網域,或多個 Active Directory 樹系中的多個網域組成。
單一 Active Directory 網域環境
有了單一 Active Directory 部署,您即可以同步單一 Active Directory 網域中的使用者和群組。
針對此環境,將目錄新增至 VMware Identity Manager 服務時,請選取 Active Directory over LDAP/IWA 作為要新增的目錄。
如需詳細資訊,請參閱:
擁有多網域的單一樹系 Active Directory 環境
在多網域的單一樹系 Active Directory 部署中,您可以從單一樹系內多個 Active Directory 網域中同步使用者和群組。
- 建議的選項是建立單一 Active Directory (整合式 Windows 驗證) 目錄類型。
為此環境新增目錄時,請選取 Active Directory (整合式 Windows 驗證) 選項。請確定在目錄的網域與 VMware Identity Manager Connector 加入的網域之間設定直接 (不可轉換) 的雙向信任。
如需詳細資訊,請參閱:
- 如果整合式 Windows 驗證無法在您的 Active Directory 環境中運作,請建立 Active Directory over LDAP 目錄類型,然後選取全域目錄選項。
選取全域目錄選項的部分限制包括:
- 複寫至全域目錄的 Active Directory 物件屬性,在 Active Directory 結構描述中會被識別為部分屬性組 (PAS)。只有這些屬性可供服務用於屬性對應。如有需要,請編輯結構描述,以新增或移除儲存在全域目錄中的屬性。
- 全域目錄只會儲存萬用群組的群組成員資格 (成員屬性)。只有萬用群組會同步至服務。如有需要,請將群組的範圍從本機網域或全域變更為萬用。
- 您在服務中設定目錄時所定義的繫結 DN 帳戶,必須具有讀取 Token-Groups-Global-And-Universal (TGGAU) 屬性的權限。
- 當 Workspace ONE UEM 與 VMware Identity Manager 整合,且設定了多個 Workspace ONE UEM 組織群組時,[Active Directory 全域目錄] 選項將無法使用。
Active Directory 會使用連接埠 389 和 636 進行標準 LDAP 查詢。對於全域目錄查詢,則會使用連接埠 3268 和 3269。
當您為全域目錄環境新增目錄時,請在設定期間指定下列項目。
- 選取 Active Directory over LDAP 選項。
- 取消選取此目錄支援 DNS 服務位置選項的核取方塊。
- 選取此目錄具有全域目錄選項。當您選取此選項時,伺服器連接埠號碼會自動變更為 3268。此外,由於在設定全域目錄選項時並不需要基準 DN,因此 [基準 DN] 文字方塊不會顯示。
- 新增 Active Directory 伺服器主機名稱。
- 如果您的 Active Directory 需要透過 SSL 進行存取,請選取此目錄要求所有連線使用 SSL 選項,然後將憑證貼到提供的文字方塊中。當您選取此選項時,伺服器連接埠號碼會自動變更為 3269。
具備信任關係的多樹系 Active Directory 環境
在具備信任關係的多樹系 Active Directory 部署中,您可以在網域之間存在雙向信任的各個樹系間,同步多個 Active Directory 網域中的使用者和群組。您可針對此 Active Directory 環境,將服務設定為單一 Active Directory - 整合式 Windows 驗證目錄類型。
為此環境新增目錄時,請選取 Active Directory - 整合式 Windows 驗證選項。請確定在目錄樹系中的網域與 VMware Identity Manager Connector 加入的網域之間設定直接 (不可轉換) 的雙向信任。
為此環境新增目錄時,請選取 Active Directory (整合式 Windows 驗證) 選項。
如需詳細資訊,請參閱:
不具備信任關係的多樹系 Active Directory 環境
在不具備信任關係的多樹系 Active Directory 部署中,您可以在網域之間不存在信任關係的各個樹系間,同步多個 Active Directory 網域中的使用者和群組。在此環境中,您會在 VMware Identity Manager 服務中建立多個目錄,每個樹系一個目錄。
在服務中建立的目錄類型視樹系而定。針對具備多個網域的樹系,請選取 Active Directory (整合式 Windows 驗證) 選項。針對具備單一網域的樹系,請選取 Active Directory over LDAP 選項。
如需詳細資訊,請參閱: