在將目錄同步服務設定為使用 Active Directory 之後,您可以在 Workspace ONE Access 主控台的 [企業驗證] 頁面中設定和編輯密碼 (雲端) 驗證。

您為密碼 (雲端) 驗證設定的文字方塊會以您選取的目錄類型為基礎。以下是密碼驗證的目錄類型清單。
  • 具有固定主機和連接埠的 Active Directory
  • 具有 DNS 查詢的 Active Directory
  • 全域類別目錄
  • IWA 目錄
  • LDAP 目錄

請參閱《目錄與 Workspace ONE Access 的整合》指南,以瞭解目錄同步服務如何與您的 Active Directory 整合。

必要條件

  • Workspace ONE Access Connector 上已安裝目錄同步服務。
  • Workspace ONE Access 主控台 [身分識別與存取管理] 區段中已設定目錄。
  • 使用者屬性已與 Active Directory 正確對應。

程序

  1. Workspace ONE Access 主控台的 [身分識別與存取管理] 索引標籤中,選取管理 > 企業驗證方法
  2. 按一下新增,然後選取密碼 (雲端部署)
  3. 在 [目錄和主機] 畫面中,選取要設定使用密碼驗證的目錄服務主機
  4. 在 [組態] 頁面中,設定 [密碼 (雲端)] 驗證方法。
    目錄類型 選項 動作
    所有類型 允許的驗證嘗試次數。 對目錄使用密碼驗證時,輸入登入嘗試失敗次數上限。預設為兩次嘗試。
    所有類型 目錄類型 選取您在連接器伺服器中安裝目錄同步服務時所設定的目錄類型。

    具有固定主機和連接埠的 Active Directory 伺服器連接埠 選取用於 Active Directory 的連接埠,389 或 636 用於標準 LDAP 查詢。

    對於全域目錄查詢,請輸入連接埠 3268 或 3269。

    具有固定主機和連接埠的 Active Directory 伺服器主機 選取要使用的一或多個目錄同步服務執行個體。
    所有類型 通訊模式 依預設會選取基本模式。您可以變更通訊模式。
    • 如果將 SSL/TLS 用於與目錄的通訊,請選取 [SSL]。
    • 如果 DNS 服務位置和 SSL 會用於與目錄的通訊,請選取 [STARTTLS]。新增憑證。
    所有類型 目錄憑證 如果企業目錄需要透過 SSL 存取,請將企業目錄伺服器的根 CA SSL 憑證複製並貼到文字方塊中。確認憑證為 PEM 格式且包含「BEGIN CERTIFICATE」和「END CERTIFICATE」行。
    具有 DNS 查詢的 Active Directory 使用 DNS 服務位置 選取此方塊,可使用 DNS 服務位置記錄來尋找 Active Directory 網域。

    如果不使用 DNS 服務位置查閱,請取消選取該核取方塊,然後輸入 Active Directory 伺服器主機名稱和連接埠。

    • 具有固定主機和連接埠的 Active Directory
    • 具有 DNS 查詢的 Active Directory
    • IWA 目錄
    • LDAP 目錄
    基準 DN 輸入要從中開始搜尋之目錄的 DN。例如,cn=users,dc=example,dc=com。
    所有類型 繫結 DN/使用者名稱 (IWA) 輸入用來搜尋使用者的使用者名稱。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。
    備註: 建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
    所有類型 繫結密碼 輸入繫結 DN 使用者密碼。
    • 具有固定主機和連接埠的 Active Directory
    • 具有 DNS 查詢的 Active Directory
    • IWA 目錄
    搜尋屬性 輸入包含使用者名稱的帳戶屬性。這可以是 sAMAcountName、UPN 或自訂。
    • LDAP 目錄
    使用者的自訂目錄搜尋屬性 當您在 [搜尋屬性] 文字方塊中輸入 [自訂] 時,請輸入要用來查詢您的 LDAP 目錄以取得使用者和群組名稱的自訂搜尋屬性。例如,UID
    • 具有固定主機和連接埠的 Active Directory
    • 具有 DNS 查詢的 Active Directory
    • IWA 目錄
    篩選查詢以取得 AD 使用者 輸入用來查詢您的企業目錄的搜尋篩選。
    • 群組搜尋篩選,用來取得群組。例如,(objectClass=groupOfNames)。
    • 使用者搜尋篩選,用來取得要同步的使用者。例如,(&(objectClass=user) (objectCategory=person))
    • 具有固定主機和連接埠的 Active Directory
    • 具有 DNS 查詢的 Active Directory
    • IWA 目錄
    • 全域類別目錄
    SAML 名稱識別碼格式 輸入用於在驗證後識別使用者的 nameIdFormat 值。依預設,此值為目錄搜尋 UID 屬性。
    所有類型 已啟用變更密碼功能 啟用此功能可讓使用者從 Workspace ONE Access 登入頁面重設其 Active Directory 密碼。
    所有類型 在登入頁面中顯示網域 啟用此選項,以在使用者登入時將 [系統網域] 顯示為選項。如果停用此選項,且只有一個網域可供使用,則不會顯示網域選取頁面。
  5. 下一步以檢閱組態,然後按一下儲存

結果

後續步驟

將密碼 (雲端部署) 新增為內建身分識別提供者的驗證方法。

將驗證方法新增至預設存取原則。移至 [身分識別與存取管理] > [管理] > [原則] 頁面,然後編輯預設原則規則,以將密碼驗證方法新增至規則。請參閱 管理存取原則