Workspace ONE Access 主控台中,輸入連線至 Active Directory 所需的資訊,並選取要與 Workspace ONE Access 目錄同步的使用者和群組。Active Directory 連線選項是 Active Directory over LDAP 或透過整合式 Windows 驗證的 Active Directory。Active Directory over LDAP 連線支援 DNS 服務位置查閱。

必要條件

  • 安裝目錄同步服務,此服務從 20.01.0.0 版開始作為 Workspace ONE Access Connector 的元件提供。如需相關資訊,請參閱最新版本的《安裝 VMware Workspace ONE Access Connector》

    如果您想要使用使用者驗證服務來驗證目錄的使用者,請同時安裝使用者驗證服務元件。

  • Workspace ONE Access 主控台的身分識別與存取管理 > 設定 > 使用者屬性頁面上選取必要的使用者屬性,並視需要新增其他屬性。請參閱 在 Workspace ONE Access 中管理使用者屬性。請留意下列考量事項:
    • 對於必要的使用者屬性,您必須為要同步的所有使用者設定其值。未設定值的使用者不會同步。
    • 屬性會套用至所有目錄。
    • Workspace ONE Access 服務中設定一或多個目錄後,即無法再將屬性標示為必要。
  • 建立要從 Active Directory 進行同步的 Active Directory 使用者和群組清單。群組名稱會立即同步至目錄。群組成員在群組有權使用資源或新增至原則規則之前不會進行同步。需要在設定群組權利之前進行驗證的使用者應在初始設定期間新增。
    備註: Workspace ONE Access Connector 19.03 版及更舊版本不支援在群組名稱或 distinguishedName 屬性中使用 / 和 $ 字元。此限制適用於您新增至群組 DN 的群組,以及未直接新增至群組 DN,但在巢狀群組成員資格啟用時作為父系群組一部分進行同步的群組。

    如果您計劃將群組同步至 VMware Identity Manager,且使用 Connector 19.03 版或更舊版本,請勿在群組名稱或 distinguishedName 屬性中使用 / 或 $ 字元。

  • 如果您使用 [全域目錄] 選項建立 Active Directory over LDAP 類型的目錄,則必須確定 Workspace ONE Access 承租人中沒有其他目錄會從與全域類別目錄相同的網域同步使用者。衝突可能會導致同步失敗。
  • 對於 Active Directory over LDAP,您需要基準 DN、繫結使用者 DN 及密碼。

    繫結使用者必須在 Active Directory 中具備下列權限,才能將存取權授與使用者和群組物件:

    • 讀取
    • 讀取全部內容
    • 讀取權限
    備註: 建議您使用密碼不會到期的繫結使用者帳戶。
  • 對於透過整合式 Windows 驗證的 Active Directory,您需要繫結使用者的使用者名稱和密碼,且該使用者有權查詢所需網域的使用者和群組。

    繫結使用者必須在 Active Directory 中具備下列權限,才能將存取權授與使用者和群組物件:

    • 讀取
    • 讀取全部內容
    • 讀取權限
    備註: 建議您使用密碼不會到期的繫結使用者帳戶。
  • 如果 Active Directory 要求透過 SSL/TLS 存取,則需要所有相關 Active Directory 網域之網域控制站的中繼 (如有使用) 和根 CA 憑證。如果網域控制站擁有來自多個中繼和根憑證授權機構的憑證,則需要所有中繼和根 CA 憑證。
    備註: 對於類型為「透過整合式 Windows 驗證的 Active Directory」的目錄,系統會自動將 SASL Kerberos 繫結用於加密。不需要憑證。
  • 對於透過整合式 Windows 驗證的 Active Directory,如果您已設定多樹系 Active Directory 並且網域本機群組包含來自不同樹系中網域的成員,請確保已將繫結使用者新增至網域本機群組所在網域的管理員群組。如果未這麼做,網域本機群組中會遺失這些成員。
  • 對於透過整合式 Windows 驗證的 Active Directory:
    • 針對 SRV 記錄中列出的所有網域控制站和隱藏的 RODC,對主機名稱和 IP 位址進行 nslookup 應可正常運作。
    • 所有網域控制站的網路連線方面必須可連接。

程序

  1. Workspace ONE Access 主控台中,導覽至 身分識別與存取管理 > 管理 > 目錄
  2. 按一下新增目錄,然後選取 Active Directory
  3. 輸入 Workspace ONE Access 目錄的名稱。
  4. 選取您要整合的 Active Directory 類型,Active Directory over LDAP透過整合式 Windows 驗證的 Active Directory
  5. 如果您要整合 Active Directory over LDAP,請依照下列步驟操作,否則請繼續執行步驟 6。
    1. 目錄同步與驗證區段中,選取以下項目。
      選項 敘述
      目錄同步主機 選取要用來同步此目錄的一或多個目錄同步服務執行個體。清單中會列出已向承租人登錄的所有目錄同步服務執行個體。您僅能選取處於作用中狀態的執行個體。

      如果您選取多個執行個體,Workspace ONE Access 會使用清單中第一個選取的執行個體來同步目錄。如果第一個執行個體無法使用,則會使用下一個選取的執行個體,依此類推。您可以在建立目錄後,從目錄的 [同步設定] 頁面重新排序清單。

      驗證 如果您想要使用使用者驗證服務來驗證此目錄的使用者,請選取。必須已安裝使用者驗證服務。如果您選取,系統會自動為目錄建立密碼 (雲端部署) 驗證方法,以及名為 IDP for directoryName、屬於「內嵌」類型的身分識別提供者。

      如果您不想使用使用者驗證服務來驗證此目錄的使用者,請選取。如果您決定稍後使用使用者驗證服務,則可以手動為目錄建立密碼 (雲端部署) 驗證方法和身分識別提供者。執行此動作時,請在身分識別與存取管理 > 身分識別提供者頁面中,選取新增身分識別提供者 > 建立內建 IDP,為目錄建立新的身分識別提供者。不建議使用預先建立的身分識別提供者 (名為內建)。

      使用者驗證主機 驗證設定為時,即會顯示此選項。選取要用來驗證此目錄使用者的一或多個使用者驗證服務執行個體。系統會列出已向承租人登錄且處於作用中狀態的所有使用者驗證服務執行個體。

      如果您選取多個執行個體,Workspace ONE Access 會以循環配置資源順序將驗證要求傳送至選取的執行個體。

      使用者名稱 選取包含使用者名稱的帳戶屬性。
      外部識別碼

      您要讓 Workspace ONE Access 目錄中的使用者作為唯一識別碼的屬性。預設值為 objectGUID。

      您可以將外部識別碼設定為下列任何屬性:

      • 任何字串屬性,例如 sAMAccountName 或 distinguishedName
      • 二進位屬性 objectSid、objectGUID 或 mS-DS-ConsistencyGuid

      外部識別碼設定只會套用至 Workspace ONE Access 中的使用者。對於群組,外部識別碼一律會設定為 objectGUID,且無法變更。

      重要: 所有使用者都必須具有為屬性定義的唯一非空值。此值在 Workspace ONE Access 承租人中必須是唯一的。如果有任何使用者沒有屬性值,則不會同步目錄。

      設定外部識別碼時,請留意下列考量事項:

      • 如果您要整合 Workspace ONE Access 與 Workspace ONE UEM,請務必在兩個產品中將外部識別碼設定為相同屬性。
      • 您可以在建立目錄後變更外部識別碼。但最佳做法是先設定外部識別碼,再將使用者同步至 Workspace ONE Access。變更外部識別碼時,系統會重新建立使用者。因此,所有使用者都將登出,且必須重新登入。您還需要重新設定 Web 應用程式和 ThinApp 的使用者權利。Horizon、Horizon Cloud 和 Citrix 的權利將會刪除,然後在下一次同步權利時重新建立。
      • [外部識別碼] 選項適用於 Workspace ONE Access Connector 20.10 和 19.03.0.1。所有與 Workspace ONE Access 服務相關聯的連接器都必須是 20.10 版,或必須全都是 19.03.0.1 版。如果有不同版本的連接器與服務相關聯,則不會顯示 [外部識別碼] 選項。
    2. 如果您想要針對 Active Directory 使用 DNS 服務位置查閱,請選取以下項目。
      • 伺服器位置區段中,選取此目錄支援 DNS 服務位置核取方塊。

        Workspace ONE Access 會尋找並使用最佳的網域控制站。如果您不想使用最佳化的網域控制站選擇,請改為遵循步驟 c。

      • 如果您的 Active Directory 需要透過 SSL/TLS 進行存取,請在加密區段中選取所有連線都需要 STARTTLS 核取方塊。
        備註: 如果選取 此目錄支援 DNS 服務位置選項,則會將 STARTTLS 用於透過連接埠 389 的加密。如果取消選取 此目錄支援 DNS 服務位置選項,則會將 LDAPS 用於透過連接埠 636 的加密。

        此外,請將網域控制站的中繼 (如有使用) 和根 CA 憑證複製並貼到 SSL 憑證文字方塊中。請先輸入中繼 CA 憑證,然後再輸入根 CA 憑證。確認每個憑證都是 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。

        如果網域控制站擁有來自多個中繼和根憑證授權機構的憑證,請逐一輸入所有的中繼根 CA 憑證鏈結。

        例如:

        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 2>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 2>
        ...
        -----END CERTIFICATE-----
        備註: 如果 Active Directory 要求透過 SSL/TLS 存取但您未提供憑證,將無法建立目錄。
    3. 如果您不想針對 Active Directory 使用 DNS 服務位置查閱,請選取以下項目。
      • 伺服器位置區段中,確認此目錄支援 DNS 服務位置核取方塊未選取,然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。

        若要將目錄設定為全域目錄,請參閱整合 Active Directory 與 Workspace ONE Access中的〈擁有多網域的單一樹系 Active Directory 環境〉一節。

      • 如果您的 Active Directory 需要透過 SSL/TLS 進行存取,請在加密區段中選取所有連線都需要 LDAPS 核取方塊。
        備註: 如果選取 此目錄支援 DNS 服務位置選項,則會將 STARTTLS 用於透過連接埠 389 的加密。如果取消選取 此目錄支援 DNS 服務位置選項,則會將 LDAPS 用於透過連接埠 636 的加密。

        此外,請將網域控制站的中繼 (如有使用) 和根 CA 憑證複製並貼到 SSL 憑證文字方塊中。請先輸入中繼 CA 憑證,然後再輸入根 CA 憑證。確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 行。

        備註: 如果 Active Directory 要求透過 SSL/TLS 存取但您未提供憑證,將無法建立目錄。
    4. 繫結使用者詳細資料區段中,輸入下列資訊。
      選項 敘述
      基準 DN 輸入要開始搜尋帳戶的 DN。例如,OU=myUnit,DC=myCorp,DC=com。
      備註: 將使用基準 DN 進行驗證。只有基準 DN 下的使用者才能進行驗證。請確定您稍後指定用於同步的群組 DN 和使用者 DN 位於此基準 DN 下。
      繫結使用者 DN 輸入可搜尋使用者的帳戶。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。
      備註: 建議您使用密碼不會到期的繫結使用者帳戶。
      繫結使用者密碼 繫結使用者密碼。
  6. 如果您要整合透過整合式 Windows 驗證的 Active Directory,請遵循以下步驟。
    1. 目錄同步與驗證區段中,選取以下項目。
      選項 敘述
      目錄同步主機 選取要用來同步此目錄的一或多個目錄同步服務執行個體。系統會列出已向承租人登錄且處於作用中狀態的所有目錄同步服務執行個體。

      如果您選取多個執行個體,Workspace ONE Access 會使用清單中第一個選取的執行個體來同步目錄。如果第一個執行個體無法使用,則會使用下一個選取的執行個體,依此類推。您可以在建立目錄後,從目錄的 [同步設定] 頁面重新排序清單。

      驗證 如果您想要使用使用者驗證服務來驗證此目錄的使用者,請選取。必須已安裝使用者驗證服務。如果您選取,系統會自動為目錄建立密碼 (雲端部署) 驗證方法,以及名為 IDP for directory、屬於「內嵌」類型的身分識別提供者。

      如果您不想使用使用者驗證服務來驗證此目錄的使用者,請選取。如果您稍後變更主意,可以手動為目錄建立密碼 (雲端部署) 驗證方法和身分識別提供者。執行此動作時,請在身分識別與存取管理 > 身分識別提供者頁面中,選取新增身分識別提供者 > 建立內建 IDP,為目錄建立新的身分識別提供者。不建議使用預先建立的身分識別提供者 (名為內建)。

      使用者驗證主機 驗證設定為時,即會顯示此選項。選取要用來驗證此目錄使用者的一或多個使用者驗證服務執行個體。系統會列出已向承租人登錄且處於作用中狀態的所有使用者驗證服務執行個體。

      如果您選取多個執行個體,Workspace ONE Access 會以循環配置資源順序將驗證要求傳送至選取的執行個體。

      使用者名稱 選取包含使用者名稱的帳戶屬性。
      外部識別碼

      您要讓 Workspace ONE Access 目錄中的使用者作為唯一識別碼的屬性。預設值為 objectGUID。

      您可以將外部識別碼設定為下列任何屬性:

      • 任何字串屬性,例如 sAMAccountName 或 distinguishedName
      • 二進位屬性 objectSid、objectGUID 或 mS-DS-ConsistencyGuid

      外部識別碼設定只會套用至 Workspace ONE Access 中的使用者。對於群組,外部識別碼一律會設定為 objectGUID,且無法變更。

      重要: 所有使用者都必須具有為屬性定義的唯一值。此值在 Workspace ONE Access 承租人中必須是唯一的。

      設定外部識別碼時,請留意下列考量事項:

      • 如果您要整合 Workspace ONE Access 與 Workspace ONE UEM,請務必在兩個產品中將外部識別碼設定為相同屬性。
      • 您可以在建立目錄後變更外部識別碼。但最佳做法是先設定外部識別碼,再將使用者同步至 Workspace ONE Access。變更外部識別碼時,系統會重新建立使用者。因此,所有使用者都將登出,且必須重新登入。您還需要重新設定 Web 應用程式和 ThinApp 的使用者權利。Horizon、Horizon Cloud 和 Citrix 的權利將會刪除,然後在下一次同步權利時重新建立。
      • [外部識別碼] 選項適用於 Workspace ONE Access Connector 20.10 和 19.03.0.1。所有與 Workspace ONE Access 服務相關聯的連接器都必須是 20.10 版,或必須全都是 19.03.0.1 版。如果有不同版本的連接器與服務相關聯,則不會顯示 [外部識別碼] 選項。
    2. 加密區段中無須執行任何動作。類型為「透過整合式 Windows 驗證的 Active Directory」的目錄會自動使用 SASL Kerberos 繫結,且您不需要啟用 LDAPS 或 STARTTLS。
    3. 繫結使用者詳細資料區段中,輸入有權查詢所需網域的使用者和群組之繫結使用者的使用者名稱和密碼。請將使用者名稱輸入為 sAMAccountName@domain,其中 domain 為完整網域名稱。例如 jdoe@example.com。
      備註: 建議您使用密碼不會到期的繫結使用者帳戶。
  7. 按一下儲存 & 下一步
  8. 在 [選取網域] 頁面中,選取網域 (如果適用),然後按下一步
    • 對於屬於 Active Directory over LDAP 類型的目錄,網域會列出並已選取。
    • 對於屬於「透過整合式 Windows 驗證的 Active Directory」類型的目錄,請選取應與此 Active Directory 連線相關聯的網域。接著會列出與基底網域具有雙向信任關係的所有網域。

      如果在建立 Workspace ONE Access 目錄後才將與基底網域具有雙向信任關係的網域新增至 Active Directory,您可以按一下重新整理圖示取得最新清單,以從目錄的同步設定 > 網域頁面新增這些網域。

      提示: 請逐一選擇信任的網域,而非一次選取所有網域。如此可確保網域儲存不會長時間執行作業,因而可能逾時。依序選擇網域可確保目錄同步服務只將時間花費在嘗試解析單一網域。
    • 如果您要在選取 [全域目錄] 選項的情況下建立 Active Directory over LDAP 目錄,則不會顯示 [網域] 索引標籤。
  9. 在 [對應使用者屬性] 頁面中,確認 Workspace ONE Access 目錄屬性名稱對應至正確的 Active Directory 屬性,並視需要進行變更,然後按下一步
    重要: 對於標示為必要的屬性,您必須為要同步的所有使用者設定其值。遺漏必要屬性值的使用者記錄將不會同步。
  10. 選取您要同步的群組頁面中,選取您要從 Active Directory 同步至 Workspace ONE Access 目錄的群組。
    新增群組時,請記住下列考慮事項。
    • 最佳做法是在建立目錄時新增並同步少量的群組。初始設定後,您可以新增更多的群組。
    • 新增並同步群組時,群組名稱會同步至目錄。在群組有權使用應用程式或群組名稱新增至存取原則規則之前,作為群組成員的使用者不會同步至目錄。
      備註: 您可以在 身分識別與存取管理 > 設定 > 喜好設定頁面中啟用 新增群組時同步群組成員至目錄,以覆寫此限制。
    • 同步群組時,在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者,皆不會進行同步。
    若要選取群組,請指定一或多個群組 DN,並選取其下的群組。
    1. 指定最上層群組資料列中按一下 +,並指定最上層群組 DN。例如 CN=users,DC=example,DC=company,DC=com。
      提示: 不建議輸入高階 DN (例如基準 DN) 來進行搜尋,因為搜尋需要很長時間。請嘗試輸入更具體的 DN 來進行搜尋。
      重要: 請指定位於 [新增目錄] 頁面 基準 DN 文字方塊中所輸入基準 DN 下方的群組 DN。如果某個群組 DN 在基準 DN 的外部,則來自該 DN 的使用者仍會進行同步,但將無法登入。
    2. 如果您想要選取已新增的群組 DN 下方的所有群組,請按一下全選核取方塊。
      如果在建立目錄後從 Active Directory 中的群組 DN 新增或刪除群組,則變更會在後續同步中反映出來。
    3. 如果您想要選取群組 DN 下方的特定群組,而非選取所有群組,請按一下選取群組進行選取,然後按一下儲存
      當您按一下 選取群組時,系統會列出在 DN 中找到的所有群組。您可以在搜尋方塊中輸入搜尋詞彙,以縮小結果或搜尋特定群組。
    4. 視需要選取或取消選取同步巢狀群組成員選項。
      依預設會啟用 同步巢狀群組成員選項。此選項啟用時,系統會在群組獲得授權時,同步直接屬於您選取之群組的所有使用者,以及屬於其下巢狀群組的所有使用者。請注意,系統不會對巢狀群組進行同步;只會對屬於巢狀群組的使用者進行同步。在 Workspace ONE Access 目錄中,這些使用者將會是您選取要同步之父系群組的成員。

      如果停用同步巢狀群組成員選項,當您指定要同步的群組時,將會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項對於大型 Active Directory 組態有幫助,其中,周遊群組樹狀目錄為耗用大量資源和時間的作業。如果您停用此選項,請確保您選取您要同步其使用者的所有群組。

  11. 下一步
  12. 選取要同步的使用者。
    新增使用者時,請記住下列考慮事項:
    • 由於在群組有權使用應用程式或新增至存取原則規則之前,群組中的成員不會同步至目錄,因此,請新增所有需要在設定群組權利之前進行驗證的使用者。
    • 依預設,您在 [繫結詳細資料] 區段中指定的繫結使用者不會同步至 Workspace ONE Access 服務。如果您想要同步繫結使用者,請在此索引標籤上輸入使用者 DN。目錄同步之後,您可以視需要設定繫結使用者的角色。
    1. 指定使用者 DN 資料列中按一下 +,並輸入使用者 DN。例如:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      重要: 請指定位於 [新增目錄] 頁面 基準 DN 文字方塊中所輸入之基準 DN 下方的使用者 DN。如果某個使用者 DN 在基準 DN 的外部,則來自該 DN 的使用者仍會進行同步,但將無法登入。

      若要檢查使用者 DN 是否有效以及查看將要同步的使用者數目,請對該資料列按一下測試按鈕。

    2. 請視需要指定篩選器以將使用者納入 DN 或從中排除。
  13. 下一步
  14. 在 [同步頻率] 頁面中,設定同步排程以定期同步使用者和群組,或者如果您不想要設定排程,則請在同步頻率下拉式清單中選取手動
    時間以 UTC 設定。
    提示: 排程同步間隔,使間隔長度大於同步時間。如果在排程下一次同步時將使用者和群組同步至目錄,則會在上一次同步結束後立即開始新的同步。
    如果您選取 手動,則每當您想要同步目錄時,都必須按一下目錄頁面上的 同步按鈕。
  15. 按一下儲存以建立目錄,或按一下同步目錄以建立目錄並開始同步。

結果

與 Active Directory 的連線已建立。如果您先前按一下同步目錄,則使用者和群組名稱會從 Active Directory 同步至 Workspace ONE Access 目錄。

如需關於群組同步方式的詳細資訊,請參閱《VMware Workspace ONE Access 管理》中的〈管理使用者和群組〉。

後續步驟

  • 如果您將驗證選項設定為 [是],則會為目錄自動建立名為 IDP for directoryname 的身分識別提供者和密碼 (雲端部署) 驗證方法。您可以在身分識別與存取管理 > 管理 > 身分識別提供者以及企業驗證方法頁面中檢視這些項目。您也可以從企業驗證方法索引標籤中為目錄建立更多驗證方法。如需建立驗證方法的相關資訊,請參閱在 Workspace ONE Access 中管理使用者驗證方法
  • 身分識別與存取管理 > 管理 > 原則頁面上檢閱預設的存取原則。
  • 檢閱預設同步保護措施設定,並視需要進行變更。如需詳細資訊,請參閱在 Workspace ONE Access 中設定目錄同步保護