Workspace ONE Access 中,您可以將「其他」類型的目錄 (儲存從 Workspace ONE UEM 同步的使用者和群組) 轉換為 Active Directory over LDAP 或透過整合式 Windows 驗證的 Active Directory 類型的目錄,這些類型的目錄會與 Workspace ONE Access Connector 相關聯。轉換目錄後,系統會使用 Workspace ONE Access Connector 的目錄同步服務 (而非 ACC) 將使用者和群組從您的企業目錄同步至 Workspace ONE Access 服務。

必要條件

  • 安裝目錄同步服務和使用者驗證服務,這兩項服務從 20.01.0.0 版開始已成為 Workspace ONE Access Connector 的元件。如需相關資訊,請參閱最新版本的《安裝 VMware Workspace ONE Access Connector》
  • 下列是必要的 Active Directory 資訊:
    • 如果您要轉換為 Active Directory over LDAP,則需要基準 DN、繫結使用者 DN 和密碼。

      繫結使用者必須在 Active Directory 中具備下列權限,才能將存取權授與使用者和群組物件:

      • 讀取
      • 讀取全部內容
      • 讀取權限

      建議您使用密碼不會到期的繫結使用者帳戶。

    • 如果您要轉換至透過整合式 Windows 驗證的 Active Directory,則需要繫結使用者的使用者名稱和密碼,且該使用者有權查詢所需網域的使用者和群組。

      繫結使用者必須在 Active Directory 中具備下列權限,才能將存取權授與使用者和群組物件:

      • 讀取
      • 讀取全部內容
      • 讀取權限

      建議您使用密碼不會到期的繫結使用者帳戶。

    • 如果 Active Directory 要求透過 SSL/TLS 存取,則需要所有相關 Active Directory 網域之網域控制站的中繼 (如有使用) 和根 CA 憑證。如果網域控制站擁有來自多個中繼和根憑證授權機構的憑證,則需要所有中繼和根 CA 憑證。
    • 對於透過整合式 Windows 驗證的 Active Directory,如果您已設定多樹系 Active Directory 並且網域本機群組包含來自不同樹系中網域的成員,請確保已將繫結使用者新增至網域本機群組所在網域的管理員群組。如果未這麼做,網域本機群組中會遺失這些成員。
    • 對於透過整合式 Windows 驗證的 Active Directory:
      • 針對 SRV 記錄中列出的所有網域控制站和隱藏的 RODC,對主機名稱和 IP 位址進行 nslookup 應可正常運作。
      • 所有網域控制站的網路連線方面必須可連接。

程序

  1. Workspace ONE Access 主控台中,導覽至 身分識別與存取管理 > 管理 > 目錄
  2. 按一下您要轉換的目錄。
  3. 在 [目錄] 頁面中,按一下轉換按鈕。
  4. 在 [新增目錄] 頁面中,視需要變更目錄的名稱,然後選取您要將「其他」目錄轉換為哪種類型的目錄,即 Active Directory over LDAP透過整合式 Windows 驗證的 Active Directory
  5. 輸入 Active Directory 連線資訊,然後繼續執行精靈以設定目錄。
    此程序與建立新的目錄相同。如需詳細資訊,請參閱 設定 Workspace ONE Access 服務的 Active Directory 連線

    設定目錄時,請遵循下列準則。

    • 目錄同步與驗證區段中,針對目錄同步主機,選取您已安裝的目錄同步服務。

      將列出已安裝目錄同步服務的所有連接器執行個體。您可以選取多個執行個體。Workspace ONE Access 會使用清單中的第一個選取的執行個體來同步目錄。如果第一個執行個體無法使用,則會使用下一個選取的執行個體,依此類推。您可以在建立目錄後,從目錄的 [同步設定] 頁面重新排序清單。

    • 對於驗證,請選取。此外,請選取要用於驗證的使用者驗證服務執行個體。
    • 確定您以設定 Workspace ONE UEM 目錄的相同方式設定轉換的目錄,使其具有相同的目錄結構。選取相同網域。當您指定要同步的使用者和群組時,請選取與 Workspace ONE UEM 目錄相同的項目,使相同的使用者和群組同步至轉換的目錄。
    • 請確定將外部識別碼設定為 Workspace ONE UEM 中設定的相同屬性。
  6. 在精靈的最後一個頁面上,按一下同步目錄
    目錄會進行轉換,並設定為使用目錄同步服務來同步使用者和群組。如果您將驗證選項設定為 [是],則會為目錄自動建立名為 IDP for directoryname 的身分識別提供者和密碼 (雲端部署) 驗證方法。
  7. (選用) 若要啟用目錄的其他驗證方法,請導覽至身分識別與存取管理 > 管理 > 企業驗證方法頁面,並建立目錄的驗證方法。
  8. 編輯 default_access_policy_set 和任何自訂原則,以將密碼 (AirWatch Connector) 驗證方法取代為密碼 (雲端部署)。
    1. 導覽至身分識別與存取管理 > 管理 > 原則索引標籤。
    2. 按一下編輯預設原則,然後在 [編輯原則] 精靈中按一下組態
    3. 編輯每個原則規則,並使用密碼 (雲端部署) 取代 密碼 (AirWatch Connector) 驗證方法。
    4. 再次按一下原則索引標籤,然後編輯自訂原則 (如果有的話),以使用密碼 (雲端部署) 來取代密碼 (AirWatch Connector) 驗證方法。
    5. (選用) 視需要修改原則以使用其他驗證方法。
    重要: 若未將 [密碼 (AirWatch Connector)] 變更為 [密碼 (雲端部署)] 或其他使用者驗證服務驗證方法,轉換後目錄的使用者將無法登入。

後續步驟

停止將目錄從 Workspace ONE UEM 同步至轉換後的目錄。