您可以將企業 LDAP 目錄與 VMware Workspace ONE Access 整合,以將使用者和群組從 LDAP 目錄同步至 VMware Workspace ONE Access 服務。

若要整合您的 LDAP 目錄,您必須建立對應的 VMware Workspace ONE Access 目錄,並將使用者和群組從 LDAP 目錄同步至 VMware Workspace ONE Access 目錄。您可以設定定期的同步排程以進行後續更新。

您也可以選取要為使用者同步的 LDAP 屬性,並將其對應至 VMware Workspace ONE Access屬性。

您的 LDAP 目錄組態可能是以預設結構描述或自訂結構描述為基礎。其中可能也有自訂屬性。若要讓 VMware Workspace ONE Access能夠查詢您的 LDAP 目錄以取得使用者或群組物件,您必須提供適用於 LDAP 目錄的 LDAP 搜尋篩選器和屬性名稱。

特別是,您必須提供下列資訊。

  • 用以取得群組、使用者和繫結使用者的 LDAP 搜尋篩選器
  • 群組成員資格的 LDAP 屬性名稱、外部識別碼和辨別名稱或同等屬性

LDAP 目錄整合功能有其特定限制。請參閱 LDAP 目錄整合的限制

必要條件

  • 安裝目錄同步服務,此服務從 20.01.0.0 版開始作為 Workspace ONE Access Connector 的元件提供。如需相關資訊,請參閱最新版本的《安裝 VMware Workspace ONE Access Connector》

    如果您想要使用使用者驗證服務來驗證目錄的使用者,請同時安裝使用者驗證服務元件。

  • 檢閱身分識別與存取管理 > 設定 > 使用者屬性頁面中的屬性,然後新增您要同步的其他屬性。在建立目錄時,您會將 VMware Workspace ONE Access 屬性對應至 LDAP 目錄屬性。這些屬性會針對目錄中的使用者進行同步。
    備註: 當您對使用者屬性進行變更時,請考量這對 Workspace ONE Access 服務中的其他目錄有何影響。如果您預計要同時新增 Active Directory 和 LDAP 目錄,請確保您未將 使用者名稱(可標示為必要) 以外的任何屬性標示為必要。[使用者屬性] 頁面中的設定會套用至服務中的所有目錄。如果屬性標示為必要,不具該屬性的使用者將不會同步至 VMware Workspace ONE Access服務。
  • 繫結 DN 使用者帳戶。建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
  • 在您的 LDAP 目錄中,使用者和群組的 UUID 必須採用純文字格式。
  • 在您的 LDAP 目錄中,所有的使用者和群組都必須要有網域屬性。

    在建立 VMware Workspace ONE Access目錄時,您會將此屬性對應至 VMware Workspace ONE Access 網域屬性。

  • 使用者名稱不可包含空格。如果使用者名稱包含空格,則系統仍會同步使用者,但使用者將不具有權利。
  • 如果您使用憑證驗證,則使用者必須要有 userPrincipalName 的值,以及電子郵件地址屬性。

程序

  1. Workspace ONE Access 主控台中,移至身分識別與存取管理 > 管理 > 目錄頁面。
  2. 按一下新增目錄,然後選取 LDAP 目錄
  3. 在 [新增目錄] 頁面中輸入必要資訊。
    選項 說明
    目錄名稱 輸入 VMware Workspace ONE Access 目錄的名稱。
    目錄同步與驗證
    1. 對於目錄同步主機,請選取要用來同步此目錄的一或多個目錄同步服務執行個體。清單中會列出已向承租人登錄的所有目錄同步服務執行個體。您僅能選取處於作用中狀態的執行個體。

      如果您選取多個執行個體,Workspace ONE Access 會使用清單中第一個選取的執行個體來同步目錄。如果第一個執行個體無法使用,則會使用下一個選取的執行個體,依此類推。您可以在建立目錄後,從目錄的 [同步設定] 頁面重新排序清單。

    2. 對於驗證,如果您想要使用使用者驗證服務來驗證此目錄的使用者,請選取。必須已安裝使用者驗證服務。如果您選取,系統會自動為目錄建立密碼 (雲端部署) 驗證方法,以及名為 IDP for directoryName、屬於「內嵌」類型的身分識別提供者。

      如果您不想使用使用者驗證服務來驗證此目錄的使用者,請選取。如果您決定稍後使用使用者驗證服務,則可以手動為目錄建立密碼 (雲端部署) 驗證方法和身分識別提供者。執行此動作時,請在身分識別與存取管理 > 身分識別提供者頁面中,選取新增身分識別提供者 > 建立內建 IDP,為目錄建立新的身分識別提供者。不建議使用預先建立的身分識別提供者 (名為內建)。

    3. 驗證設定為時,系統會顯示使用者驗證主機選項。選取要用來驗證此目錄使用者的一或多個使用者驗證服務執行個體。系統會列出已向承租人登錄且處於作用中狀態的所有使用者驗證服務執行個體。

      如果您選取多個執行個體,Workspace ONE Access 會以循環配置資源順序將驗證要求傳送至選取的執行個體。

    4. 使用者名稱文字方塊中,選取要用於使用者名稱的 LDAP 目錄屬性。如果屬性未列出,請選取自訂並輸入要用於使用者和群組的自訂屬性名稱。例如 cn
    伺服器位置 輸入 LDAP Directory 伺服器主機和連接埠號碼。對於伺服器主機,您可以指定完整網域名稱或 IP 位址。例如 myLDAPserver.example.com100.00.00.0

    如果在負載平衡器後方有伺服器叢集,請改為輸入負載平衡器資訊。

    LDAP 組態 指定可讓 VMware Workspace ONE Access 用來查詢您的 LDAP 目錄的 LDAP 搜尋篩選器和屬性。系統會根據核心 LDAP 結構描述提供預設值。

    篩選查詢

    • 群組:用來取得群組物件的搜尋篩選器。

      例如:(objectClass=groupOfNames)

    • 繫結使用者:用來取得繫結使用者物件 (即,可繫結至目錄的使用者) 的搜尋篩選器。

      例如:(objectClass=person)

    • 使用者:用來取得所要同步之使用者的搜尋篩選器。

      例如:(&(objectClass=user)(objectCategory=person))

    屬性

    • 成員資格:在您的 LDAP 目錄中用來定義群組成員的屬性。

      例如:member

    • 外部識別碼:您要讓 Workspace ONE Access 目錄中的使用者和群組作為唯一識別碼的屬性。預設值為 entryUUID。
      重要: 所有使用者都必須具有為屬性定義的唯一非空值。此值在 Workspace ONE Access 承租人中必須是唯一的。如果有任何使用者沒有屬性值,則不會同步目錄。

      設定外部識別碼時,請留意下列考量事項:

      • 如果您要整合 Workspace ONE Access 與 Workspace ONE UEM,請務必在兩個產品中將外部識別碼設定為相同屬性。
      • 您可以在建立目錄後變更外部識別碼。但最佳做法是先設定外部識別碼,再將使用者同步至 Workspace ONE Access。變更外部識別碼時,系統會重新建立使用者。因此,所有使用者都將登出,且必須重新登入。您還需要重新設定 Web 應用程式和 ThinApp 的使用者權利。Horizon、Horizon Cloud 和 Citrix 的權利將會刪除,然後在下一次同步權利時重新建立。
      • [外部識別碼] 選項適用於 Workspace ONE Access Connector 20.10 和 19.03.0.1。所有與 Workspace ONE Access 服務相關聯的連接器都必須是 20.10 版,或必須全都是 19.03.0.1 版。如果有不同版本的連接器與服務相關聯,則不會顯示 [外部識別碼] 選項。
    • 辨別名稱:(選用) 在您的 LDAP 目錄中用於使用者或群組之辨別名稱的屬性。

      例如:dn

      依預設,辨別名稱屬性會用來唯一識別使用者和群組物件。如果您的 LDAP 結構描述沒有辨別名稱屬性,請選取啟用進階 LDAP 組態選項,並輸入用來識別群組和使用者的值。

    • 啟用進階 LDAP 組態:選取核取方塊來檢視進階 LDAP 組態選項。如果您的 LDAP 結構描述沒有辨別名稱屬性,或如果它使用 posixGroups,請使用進階組態。
      • 群組篩選:用來查詢和識別群組的值。如果您的 LDAP 結構描述沒有辨別名稱屬性,則此值為必要。

        例如:cn

      • 使用者篩選:用來查詢和識別使用者的值。如果您的 LDAP 結構描述沒有辨別名稱屬性,則此值為必要。

        例如:uid

      • 使用者成員資格對應篩選:(選用) 使用 posixGroups 的 LDAP 目錄通常需要此選項。使用者成員資格對應篩選可用來查詢和識別成員資格屬性傳回的使用者。

        例如:uidNumber

    加密 如果您的 LDAP 目錄需要透過 SSL 進行存取,請選取所有連線都需要 LDAPS 核取方塊,然後將 LDAP 目錄伺服器的根 CA SSL 憑證複製並貼到文字方塊中。確認憑證為 PEM 格式且包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 文字行。
    繫結使用者詳細資料 基準 DN:輸入要從中開始搜尋的 DN。例如 cn=users,dc=example,dc=com
    繫結使用者 DN:輸入要用來繫結至 LDAP 目錄的使用者名稱。
    備註: 建議您使用繫結 DN 使用者帳戶與不會到期的密碼。

    繫結使用者密碼:輸入繫結 DN 使用者的密碼。

  4. 按一下儲存並設定
  5. 在 [網域] 頁面中,確認正確的網域已列出,然後按下一步
  6. 在 [對應屬性] 頁面中,確認 VMware Workspace ONE Access 屬性已對應至正確的 LDAP 目錄屬性,並視需要進行變更。

    這些屬性將會針對使用者進行同步。

    重要: 您必須指定 網域屬性的對應。

    您可以從設定 > 使用者屬性頁面中,新增屬性並管理必要屬性的清單。

    重要: 對於標示為必要的屬性,您必須為要同步的所有使用者設定其值。遺漏必要屬性值的使用者記錄將不會同步。
  7. 下一步
  8. 選取要從 LDAP 目錄同步至 Workspace ONE Access 目錄的群組。
    新增群組時,請記住下列考慮事項。
    • 最佳做法是在建立目錄時新增並同步少量的群組。初始設定後,您可以新增更多的群組。
    • 新增並同步群組時,群組名稱會同步至目錄。在群組有權使用應用程式或群組名稱新增至存取原則規則之前,作為群組成員的使用者不會同步至目錄。
      備註: 您可以在 身分識別與存取管理 > 設定 > 喜好設定頁面中啟用 新增群組時同步群組成員至目錄,以覆寫此限制。
    • 如果您的 LDAP 目錄中有多個具有相同名稱的群組,您必須在群組頁面中為其指定唯一名稱。
    若要選取群組,您必須指定一或多個群組 DN,並選取其下的群組。
    1. 指定最上層群組資料列中按一下 +,並指定群組 DN。例如 CN=users,DC=example,DC=company,DC=com。
      提示: 不建議輸入高階 DN (例如基準 DN) 來進行搜尋,因為搜尋需要很長時間。請嘗試輸入更具體的 DN 來進行搜尋。
      重要: 請指定位於 [新增目錄] 頁面 基準 DN 文字方塊中所輸入基準 DN 下方的群組 DN。如果某個群組 DN 在基準 DN 的外部,則來自該 DN 的使用者仍會進行同步,但將無法登入。
    2. 如果您想要選取已新增的群組 DN 下方的所有群組,請按一下全選核取方塊。
      如果在建立目錄後從 Active Directory 中的群組 DN 新增或刪除群組,則變更會在後續同步中反映出來。
    3. 如果您想要選取群組 DN 下方的特定群組,而非選取所有群組,請按一下選取群組進行選取,然後按一下儲存
      當您按一下 選取群組時,系統會列出在 DN 中找到的所有群組。您可以在搜尋方塊中輸入搜尋詞彙,以縮小結果或搜尋特定群組。
    4. 視需要選取或取消選取同步巢狀群組成員選項。
      依預設會啟用 同步巢狀群組成員選項。此選項啟用時,系統會在群組獲得授權時,同步直接屬於您選取之群組的所有使用者,以及屬於其下巢狀群組的所有使用者。請注意,系統不會對巢狀群組進行同步;只會對屬於巢狀群組的使用者進行同步。在 Workspace ONE Access 目錄中,這些使用者將會是您選取要同步之父系群組的成員。

      如果停用同步巢狀群組成員選項,當您指定要同步的群組時,將會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項,對於周遊群組樹狀目錄會耗用大量資源和時間的大型目錄組態,將有所幫助。如果您停用此選項,請確保您選取您要同步其使用者的所有群組。

  9. 下一步
  10. 選取要同步的使用者。
    新增使用者時,請記住下列考慮事項:
    • 由於在群組有權使用應用程式或新增至存取原則規則之前,群組中的成員不會同步至目錄,因此,請新增所有需要在設定群組權利之前進行驗證的使用者。
    • 依預設,您在 [繫結詳細資料] 區段中指定的繫結使用者不會同步至 Workspace ONE Access 服務。如果您想要同步繫結使用者,請在此索引標籤上輸入使用者 DN。
    1. 指定使用者 DN 資料列中按一下 +,並輸入使用者 DN。例如:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      重要: 請指定位於 [新增目錄] 頁面 基準 DN 文字方塊中所輸入之基準 DN 下方的使用者 DN。如果某個使用者 DN 在基準 DN 的外部,則來自該 DN 的使用者仍會進行同步,但將無法登入。

      若要檢查使用者 DN 是否有效以及查看將要同步的使用者數目,請對該資料列按一下測試按鈕。

    2. 請視需要指定篩選器以將使用者納入 DN 或從中排除。
  11. 在 [同步頻率] 頁面中,設定同步排程以定期同步使用者和群組,或者如果您不想要設定排程,則請在同步頻率下拉式清單中選取手動
    時間以 UTC 設定。
    提示: 排程同步間隔,使間隔長度大於同步時間。如果在排程下一次同步時將使用者和群組同步至目錄,則會在上一次同步結束後立即開始新的同步。使用此排程後,系統會連續進行同步程序。
    如果您選取 手動,則每當您想要同步目錄時,都必須按一下目錄頁面上的 同步按鈕。
  12. 按一下儲存以建立目錄,或按一下同步目錄以建立目錄並開始同步。

結果

與 LDAP 目錄的連線已建立。如果您先前按一下同步目錄,則使用者和群組名稱會從 LDAP 目錄同步至 Workspace ONE Access 目錄。

如需關於群組同步方式的詳細資訊,請參閱《VMware Workspace ONE Access 管理》中的〈管理使用者和群組〉。

後續步驟

  • 如果您將驗證選項設定為 [是],則會為目錄自動建立名為 IDP for directoryname 的身分識別提供者和密碼 (雲端部署) 驗證方法。您可以在身分識別與存取管理 > 管理 > 身分識別提供者以及企業驗證方法頁面中檢視這些項目。您也可以從企業驗證方法索引標籤中為目錄建立更多驗證方法。如需關於建立驗證方法的詳細資訊,請參閱在 Workspace ONE Access 中管理使用者驗證方法
  • 身分識別與存取管理 > 管理 > 原則頁面上檢閱預設的存取原則。
  • 檢閱預設同步保護措施設定,並視需要進行變更。如需詳細資訊,請參閱在 Workspace ONE Access 中設定目錄同步保護