您可以將「其他」類型的目錄 (儲存從 Workspace ONE UEM 同步的使用者和群組) 轉換為 Active Directory over LDAP 或透過整合式 Windows 驗證的 Active Directory 類型的目錄,這些類型的目錄會與 VMware Identity Manager Connector 相關聯。轉換目錄後,系統會使用 VMware Identity Manager Connector (而非 ACC) 將使用者和群組從您的企業目錄同步至 VMware Identity Manager 服務。

必要條件

  • 安裝並啟用 VMware Identity Manager Connector。

    若要使用某些功能,您必須將 Windows Server 加入至網域,且您必須以 Windows Server 上屬於管理員群組的網域使用者身分來安裝 VMware Identity Manager Connector,並選擇以 Windows 網域使用者的身分執行 IDM Connector 服務。

    此需求適用於下列情況。

    • 如果您計劃要將其他目錄轉換為透過整合式 Windows 驗證的 Active Directory
    • 如果您計劃要使用 Kerberos 驗證
  • 下列是必要的 Active Directory 資訊:
    • 如果您要轉換為 Active Directory over LDAP,則需要基準 DN、繫結使用者 DN 和密碼。

      繫結使用者必須在 Active Directory 中具備下列權限,才能將存取權授與使用者和群組物件:

      • 讀取
      • 讀取全部內容
      • 讀取權限

      建議您使用密碼不會到期的繫結使用者帳戶。

    • 如果您要轉換至透過整合式 Windows 驗證的 Active Directory,則需要繫結使用者的使用者名稱和密碼,且該使用者有權查詢所需網域的使用者和群組。

      繫結使用者必須在 Active Directory 中具備下列權限,才能將存取權授與使用者和群組物件:

      • 讀取
      • 讀取全部內容
      • 讀取權限

      建議您使用密碼不會到期的繫結使用者帳戶。

    • 如果 Active Directory 要求透過 SSL/TLS 存取,則需要所有相關 Active Directory 網域之網域控制站的中繼 (如有使用) 和根 CA 憑證。如果網域控制站擁有來自多個中繼和根憑證授權機構的憑證,則需要所有中繼和根 CA 憑證。
    • 對於透過整合式 Windows 驗證的 Active Directory,如果您已設定多樹系 Active Directory 並且網域本機群組包含來自不同樹系中網域的成員,請確保已將繫結使用者新增至網域本機群組所在網域的管理員群組。如果未這麼做,網域本機群組中會遺失這些成員。
    • 對於透過整合式 Windows 驗證的 Active Directory:
      • 針對 SRV 記錄中列出的所有網域控制站和隱藏的 RODC,對主機名稱和 IP 位址進行 nslookup 應可正常運作。
      • 所有網域控制站的網路連線方面必須可連接。

程序

  1. VMware Identity Manager 管理主控台中,依序按一下身分識別與存取管理索引標籤和目錄索引標籤。
  2. 按一下您要轉換的目錄。
  3. 在 [目錄] 頁面中,按一下轉換按鈕。
  4. 在 [新增目錄] 頁面中,視需要變更目錄的名稱,然後選取您要將「其他」目錄轉換為哪種類型的目錄,即 Active Directory over LDAP透過整合式 Windows 驗證的 Active Directory
  5. 輸入 Active Directory 連線資訊,然後繼續執行精靈以設定目錄。
    如需相關資訊,請參閱 《目錄與 VMware Identity Manager 的整合》指南中的〈設定服務的 Active Directory 連線〉。

    請遵循下列準則。

    • 同步連接器欄位中,選取您已安裝的 VMware Identity Manager Connector。
    • 目錄同步與驗證區段中,除非您要使用第三方身分識別提供者 (而非連接器) 進行驗證,否則請針對驗證選取
    • 確定您已將轉換後的目錄設定為與 Workspace ONE UEM 目錄相同,使其具有相同的目錄結構。選取相同網域。當您指定要同步的使用者和群組時,請選取與 Workspace ONE UEM 目錄相同的項目,使相同的使用者和群組同步至轉換後的目錄。
  6. 在精靈的最後一個頁面上,按一下同步目錄
    目錄會進行轉換,且設定為使用 VMware Identity Manager Connector。如果 Workspace 身分識別提供者尚未存在,則系統會加以建立,且目錄會自動與其建立關聯。已針對目錄啟用密碼驗證方法。
  7. (選用) 若要為目錄啟用其他驗證方法,請遵循下列步驟。
    1. 身分識別與存取管理索引標籤中,按一下設定
    2. 在 [連接器] 頁面上,找出連接器以及與轉換目錄相關聯的 Worker,然後按一下 Worker 資料行中的連結。
    3. 在 [Worker] 頁面中,按一下驗證配接器索引標籤。
    4. 按一下每個驗證配接器的連結,並輸入組態資訊,以設定並啟用要用於目錄的驗證配接器。
      如需設定驗證配接器的相關資訊,請參閱 《VMware Identity Manager 管理》
  8. 編輯 default_access_policy_set 和任何自訂原則以選取 VMware Identity Manager Connector 驗證方法,而非 [密碼 (AirWatch Connector)]。
    1. 身分識別與存取管理索引標籤中,按一下原則索引標籤。
    2. 按一下編輯預設原則
    3. 按一下組態
    4. 編輯每個原則規則並將密碼 (AirWatch Connector) 驗證方法取代為密碼,此為 VMware Identity Manager Connector 驗證方法。
    5. 再次按一下原則索引標籤並編輯自訂原則 (若有),以使用 [密碼] 或您所設定的任何其他 VMware Identity Manager Connector 驗證方法。
      重要: 若未將 [密碼 (Airwatch Connector)] 變更為 [密碼] 或其他以 VMware Identity Manager Connector 為基礎的驗證方法,轉換後目錄的使用者將無法登入。

下一步

停止將目錄從 Workspace ONE UEM 同步至轉換後的目錄。