您可以將企業 LDAP 目錄與 Workspace ONE Access 整合,以將使用者和群組從 LDAP 目錄同步至 Workspace ONE Access 服務。

若要整合您的 LDAP 目錄,您必須建立對應的 Workspace ONE Access 目錄,並將使用者和群組從 LDAP 目錄同步至 Workspace ONE Access 目錄。您可以設定定期的同步排程以進行後續更新。

您也可以選取要為使用者同步的 LDAP 屬性,並將其對應至 Workspace ONE Access屬性。

您的 LDAP 目錄組態可能是以預設結構描述或自訂結構描述為基礎。其中可能也有自訂屬性。若要讓 Workspace ONE Access能夠查詢您的 LDAP 目錄以取得使用者或群組物件,您必須提供適用於 LDAP 目錄的 LDAP 搜尋篩選器和屬性名稱。

特別是,您必須提供下列資訊。

  • 用以取得群組、使用者和繫結使用者的 LDAP 搜尋篩選器
  • 群組成員資格的 LDAP 屬性名稱、外部識別碼和辨別名稱或同等屬性

LDAP 目錄整合功能有其特定限制。請參閱 LDAP 目錄整合的限制

必要條件

  • 安裝目錄同步服務,此服務從 20.01.0.0 版開始作為 Workspace ONE Access Connector 的元件提供。如需相關資訊,請參閱最新版本的《安裝 VMware Workspace ONE Access Connector》

    如果您想要利用 [使用者驗證] 服務來驗證目錄的使用者,請同時安裝使用者驗證服務元件。

  • 檢閱設定 > 使用者屬性頁面中的使用者屬性,並視需要新增其他要同步的屬性。在建立目錄時,您會將 Workspace ONE Access 屬性對應至 LDAP 目錄屬性。這些屬性會針對目錄中的使用者進行同步。
    備註: 當您對使用者屬性進行變更時,請考量這對 Workspace ONE Access 服務中的其他目錄有何影響。如果您預計要同時新增 Active Directory 和 LDAP 目錄,請確保您未將 Username 以外的任何屬性標示為必要。[使用者屬性] 頁面中的設定會套用至服務中的所有目錄。如果屬性標示為必要,不具該屬性的使用者將不會同步至 Workspace ONE Access 服務。
  • 繫結 DN 使用者帳戶。建議您使用繫結 DN 使用者帳戶與不會到期的密碼。
  • 在您的 LDAP 目錄中,使用者和群組的 UUID 必須採用純文字格式。
  • 在您的 LDAP 目錄中,所有的使用者和群組都必須要有網域屬性。

    在建立 Workspace ONE Access目錄時,您會將此屬性對應至 Workspace ONE Access 網域屬性。

  • 使用者名稱不可包含空格。如果使用者名稱包含空格,則系統仍會同步使用者,但使用者將不具有權利。
  • 如果您使用憑證驗證,則使用者必須要有 userPrincipalName 的值,以及電子郵件地址屬性。

程序

  1. Workspace ONE Access 主控台中,選取整合 > 目錄
  2. 新增目錄下拉式功能表中,選取 LDAP 目錄
    [新增目錄] 下拉式功能表選項包括 [Active Directory]、[LDAP 目錄] 和 [本機使用者目錄]。
  3. 目錄資訊區段中,輸入所需的資訊。
    選項 說明
    目錄名稱 輸入 Workspace ONE Access 目錄的名稱。
    目錄同步主機 選取要用來同步此目錄的一或多個目錄同步服務執行個體。清單中會列出已向承租人登錄的所有目錄同步服務執行個體。您僅能選取處於作用中狀態的執行個體。

    如果您選取多個執行個體,Workspace ONE Access 會使用清單中第一個選取的執行個體來同步目錄。如果第一個執行個體無法使用,則會使用下一個選取的執行個體,依此類推。您可以在建立目錄後,從目錄的同步設定索引標籤中重新排序清單。
    驗證 如果您想要利用 [使用者驗證] 服務對該目錄的使用者進行驗證,請選取設定此目錄的密碼驗證。必須已安裝使用者驗證服務。如果您選取此選項,系統會自動為目錄建立密碼 (雲端部署) 驗證方法,以及名為 IDP for directoryName、屬於「內嵌」類型的身分識別提供者。

    如果您此時不想要設定利用 [使用者驗證] 服務的驗證,或者您想要使用第三方身分識別提供者,請選取稍後新增驗證方法。如果您決定稍後利用 [使用者驗證] 服務,則可以手動為目錄建立密碼 (雲端部署) 驗證方法和身分識別提供者。執行此動作時,請在整合 > 身分識別提供者頁面中,選取新增 > 內建 IDP,為目錄建立新的身分識別提供者。不建議使用預先建立的身分識別提供者 (名為內建)。
    使用者驗證主機 如果選取設定此目錄的密碼驗證選項,將顯示使用者驗證主機選項。選取要用來驗證此目錄使用者的一或多個使用者驗證服務執行個體。系統會列出已向承租人登錄且處於作用中狀態的所有使用者驗證服務執行個體。

    如果您選取多個執行個體,Workspace ONE Access 會以循環配置資源順序將驗證要求傳送至選取的執行個體。
    使用者名稱 選取要用於使用者名稱的 LDAP 目錄屬性。如果屬性未列出,請選取自訂並輸入要用於使用者和群組的自訂屬性名稱。例如 cn
    伺服器主機 輸入 LDAP 目錄伺服器主機。您可以指定完整網域名稱或 IP 位址。例如 myLDAPserver.example.com100.00.00.0

    如果在負載平衡器後方有伺服器叢集,請改為輸入負載平衡器資訊。
    伺服器連接埠 輸入 LDAP 目錄連接埠號碼。
  4. LDAP 組態區段中,輸入所需的資訊。
    選項 說明
    查詢和屬性 指定可讓 Workspace ONE Access 用來查詢您的 LDAP 目錄的 LDAP 搜尋篩選器和屬性。系統會根據核心 LDAP 結構描述提供預設值。

    篩選查詢

    • 群組:用來取得群組物件的搜尋篩選器。

      例如:(objectClass=groupOfNames)

    • 繫結使用者:用來取得繫結使用者物件 (即,可繫結至目錄的使用者) 的搜尋篩選器。

      例如:(objectClass=person)

    • 使用者:用來取得所要同步之使用者的搜尋篩選器。

      例如:(&(objectClass=user)(objectCategory=person))

    屬性

    • 成員資格:在您的 LDAP 目錄中用來定義群組成員的屬性。

      例如:member

    • 外部識別碼:您要讓 Workspace ONE Access 目錄中的使用者和群組作為唯一識別碼的屬性。預設值為 entryUUID。
      重要: 所有使用者都必須具有為屬性定義的唯一非空值。此值在 Workspace ONE Access 承租人中必須是唯一的。如果有任何使用者沒有屬性值,則不會同步目錄。

      設定外部識別碼時,請留意下列考量事項:

      • 如果您要整合 Workspace ONE Access 與 Workspace ONE UEM,請務必在兩項產品中將外部識別碼設定為相同的屬性。
      • 您可以在建立目錄後變更外部識別碼。但最佳做法是先設定外部識別碼,再將使用者同步至 Workspace ONE Access。變更外部識別碼時,系統會重新建立使用者。因此,所有使用者都將登出,且必須重新登入。您還需要重新設定 Web 應用程式和 ThinApp 的使用者權利。Horizon、Horizon Cloud 和 Citrix 的權利將會刪除,然後在下一次同步權利時重新建立。
      • [外部識別碼] 選項適用於 Workspace ONE Access Connector 20.10 版和更新版本。所有與 Workspace ONE Access 服務相關聯的連接器都必須是 20.10 版或更新版本。如果有不同版本的連接器與服務相關聯,則不會顯示 [外部識別碼] 選項。
    • 辨別名稱:(選用) 在您的 LDAP 目錄中用於使用者或群組之辨別名稱的屬性。

      例如:dn

      依預設,辨別名稱屬性會用來唯一識別使用者和群組物件。如果您的 LDAP 結構描述沒有辨別名稱屬性,請選取啟用進階 LDAP 組態選項,並輸入用來識別群組和使用者的值。

    • 進階組態:選取啟用進階 LDAPS 組態核取方塊以檢視進階 LDAP 組態選項。如果您的 LDAP 結構描述沒有辨別名稱屬性,或如果它使用 posixGroups,請使用進階組態。
      • 群組篩選:用來查詢和識別群組的值。如果您的 LDAP 結構描述沒有辨別名稱屬性,則此值為必要。

        例如:cn

      • 使用者篩選:用來查詢和識別使用者的值。如果您的 LDAP 結構描述沒有辨別名稱屬性,則此值為必要。

        例如:uid

      • 使用者成員資格對應篩選:(選用) 使用 posixGroups 的 LDAP 目錄通常需要此選項。使用者成員資格對應篩選可用來查詢和識別成員資格屬性傳回的使用者。

        例如:uidNumber

    加密 如果您的 LDAP 目錄需要透過 SSL 進行存取,請選取所有連線皆需要 LDAPS 核取方塊,然後將 LDAP 目錄伺服器的根 CA SSL 憑證複製並貼到 SSL 憑證文字方塊中。確認憑證為 PEM 格式且包含「BEGIN CERTIFICATE」和「END CERTIFICATE」這兩行。
    繫結使用者詳細資料 基準 DN:輸入要從中開始搜尋的 DN。例如 cn=users,dc=example,dc=com
    繫結使用者 DN:輸入要用來繫結至 LDAP 目錄的使用者名稱。
    備註: 建議您使用繫結 DN 使用者帳戶與不會到期的密碼。

    繫結使用者密碼:輸入繫結 DN 使用者的密碼。

  5. 選取網域區段中,確認列出了正確的網域,然後按一下儲存
  6. 對應使用者屬性區段中,確認 Workspace ONE Access 屬性已對應至正確的 LDAP 目錄屬性,並視需要進行變更。

    這些屬性將會針對使用者進行同步。

    重要: 您必須指定 網域屬性的對應。

    您可以從設定 > 使用者屬性頁面中,新增屬性並管理必要屬性的清單。

    重要: 對於標示為必要的屬性,您必須為要同步的所有使用者設定其值。遺漏必要屬性值的使用者記錄將不會同步。
  7. 同步群組區段中,新增要同步的群組。請參閱 選取要同步至 Workspace ONE Access 目錄的使用者和群組
  8. 同步使用者區段中,新增要同步的使用者。請參閱 選取要同步至 Workspace ONE Access 目錄的使用者和群組
  9. 同步頻率區段中,設定同步排程以定期同步使用者和群組,或者如果您不想要設定排程,則請在同步頻率下拉式清單中選取手動
    時間以 UTC 設定。
    提示: 讓排程的同步間隔大於同步目錄所需的時間。如果在排程下一次同步時將使用者和群組同步至目錄,則會在上一次同步結束後立即開始新的同步。使用此排程後,系統會連續進行同步程序。
    如果選取 手動,無論何時要同步目錄,都必須在目錄頁面上選取 同步 > 使用保護措施進行同步同步 > 不使用保護措施進行同步
  10. 按一下儲存以建立目錄,或按一下儲存並同步以建立目錄並開始同步。

結果

與 LDAP 目錄的連線已建立。如果您先前按一下儲存並同步,則使用者和群組名稱會從 LDAP 目錄同步至 Workspace ONE Access 目錄。

如需關於群組同步方式的詳細資訊,請參閱《VMware Workspace ONE Access 管理》中的〈管理使用者和群組〉。

下一步

  • 如果將驗證選項設定為設定此目錄的密碼驗證,則會自動為目錄建立名為 IDP for directoryname 的身分識別提供者以及密碼 (雲端部署) 驗證方法。您可以在整合 > 身分識別提供者整合 > 連接器驗證方法頁面上,檢視這些內容。您也可以從連接器驗證方法驗證方法頁面中為目錄建立更多驗證方法。如需建立驗證方法的相關資訊,請參閱在 Workspace ONE Access 中管理使用者驗證方法
  • 資源 > 原則頁面上檢閱預設存取原則。
  • 檢閱預設同步保護設定,並視需要進行變更。如需詳細資訊,請參閱在 Workspace ONE Access 中設定目錄同步保護措施