Workspace ONE Access 主控台中,輸入連線至 Active Directory 所需的資訊,並選取要與 Workspace ONE Access 目錄同步的使用者和群組。Active Directory 連線選項是 Active Directory over LDAP 或透過整合式 Windows 驗證的 Active Directory。Active Directory over LDAP 連線支援 DNS 服務位置查閱。

必要條件

  • 安裝目錄同步服務,此服務從 20.01.0.0 版開始作為 Workspace ONE Access Connector 的元件提供。如需相關資訊,請參閱最新版本的《安裝 VMware Workspace ONE Access Connector》

    如果您想要使用使用者驗證服務來驗證目錄的使用者,請同時安裝使用者驗證服務元件。

  • Workspace ONE Access 主控台的設定 > 使用者屬性頁面上選取必要的屬性,並視需要新增其他屬性。請參閱 在 Workspace ONE Access 中管理使用者屬性。請留意下列考量事項:
    • 對於必要的使用者屬性,您必須為要同步的所有使用者設定其值。未設定值的使用者不會同步。
    • 屬性會套用至所有目錄。
    • Workspace ONE Access 服務中設定一或多個目錄後,即無法再將屬性標示為必要。
  • 建立要從 Active Directory 進行同步的 Active Directory 使用者和群組清單。群組名稱會立即同步至目錄。群組成員在群組有權使用資源或新增至原則規則之前不會進行同步。需要在設定群組權利之前進行驗證的使用者應在初始設定期間新增。
    備註: Workspace ONE Access Connector 19.03 版及更舊版本不支援在群組名稱或 distinguishedName 屬性中使用 / 和 $ 字元。此限制適用於您新增至群組 DN 的群組,以及未直接新增至群組 DN,但在選取巢狀群組成員資格時作為父系群組一部分進行同步的群組。

    如果您計劃將群組同步至 Workspace ONE Access,且使用 Connector 19.03 版或更舊版本,請勿在群組名稱或 distinguishedName 屬性中使用 / 或 $ 字元。

  • 如果您使用 [全域目錄] 選項建立 Active Directory over LDAP 類型的目錄,則必須確定 Workspace ONE Access 承租人中沒有其他目錄會從與全域類別目錄相同的網域同步使用者。衝突可能會導致同步失敗。
  • 對於 Active Directory over LDAP,您需要基準 DN、繫結使用者 DN 及密碼。

    繫結使用者必須在 Active Directory 中具備下列權限,才能將存取權授與使用者和群組物件:

    • 讀取
    • 讀取全部內容
    • 讀取權限
    備註: 建議您使用密碼不會到期的繫結使用者帳戶。
  • 對於透過整合式 Windows 驗證的 Active Directory,您需要繫結使用者的使用者名稱和密碼,且該使用者有權查詢所需網域的使用者和群組。

    繫結使用者必須在 Active Directory 中具備下列權限,才能將存取權授與使用者和群組物件:

    • 讀取
    • 讀取全部內容
    • 讀取權限
    備註: 建議您使用密碼不會到期的繫結使用者帳戶。
  • 如果 Active Directory 要求透過 SSL/TLS 存取,則需要所有相關 Active Directory 網域之網域控制站的中繼 (如有使用) 和根 CA 憑證。如果網域控制站擁有來自多個中繼和根憑證授權機構的憑證,則需要所有中繼和根 CA 憑證。
    備註: 對於類型為「透過整合式 Windows 驗證的 Active Directory」的目錄,系統會自動將 SASL Kerberos 繫結用於加密。不需要憑證。
  • 對於透過整合式 Windows 驗證的 Active Directory,如果您已設定多樹系 Active Directory 並且網域本機群組包含來自不同樹系中網域的成員,請確保已將繫結使用者新增至網域本機群組所在網域的管理員群組。如果未這麼做,網域本機群組中會遺失這些成員。
  • 對於透過整合式 Windows 驗證的 Active Directory:
    • 針對 SRV 記錄中列出的所有網域控制站和隱藏的 RODC,對主機名稱和 IP 位址進行 nslookup 應可正常運作。
    • 所有網域控制站的網路連線方面必須可連接。

程序

  1. Workspace ONE Access 主控台中,選取整合 > 目錄
  2. 按一下新增目錄,然後選取 Active Directory
  3. 輸入 Workspace ONE Access 目錄的名稱。
  4. 選取您要整合的 Active Directory 類型,Active Directory over LDAP透過整合式 Windows 驗證的 Active Directory
  5. 如果您要整合 Active Directory over LDAP,請依照下列步驟操作,否則請繼續執行步驟 6。
    1. 目錄同步與驗證區段中,選取以下項目。
      選項 敘述
      目錄同步主機 選取要用來同步此目錄的一或多個目錄同步服務執行個體。清單中會列出已向承租人登錄的所有目錄同步服務執行個體。您僅能選取處於作用中狀態的執行個體。

      如果您選取多個執行個體,Workspace ONE Access 會使用清單中第一個選取的執行個體來同步目錄。如果第一個執行個體無法使用,則會使用下一個選取的執行個體,依此類推。您可以在建立目錄後,從目錄的 [同步設定] 頁面重新排序清單。

      驗證 如果您想要使用使用者驗證服務來驗證此目錄的使用者,請選取。必須已安裝使用者驗證服務。如果您選取,系統會自動為目錄建立密碼 (雲端部署) 驗證方法,以及名為 IDP for directoryName、屬於「內嵌」類型的身分識別提供者。

      如果您不想使用使用者驗證服務來驗證此目錄的使用者,請選取。如果您決定稍後使用使用者驗證服務,則可以手動為目錄建立密碼 (雲端部署) 驗證方法和身分識別提供者。執行此動作時,請在整合 > 身分識別提供者頁面中,選取新增身分識別提供者 > 建立內建 IDP,為目錄建立新的身分識別提供者。不建議使用預先建立的身分識別提供者 (名為內建)。

      使用者驗證主機 驗證設定為時,即會顯示此選項。選取要用來驗證此目錄使用者的一或多個使用者驗證服務執行個體。系統會列出已向承租人登錄且處於作用中狀態的所有使用者驗證服務執行個體。

      如果您選取多個執行個體,Workspace ONE Access 會以循環配置資源順序將驗證要求傳送至選取的執行個體。

      使用者名稱 選取包含使用者名稱的帳戶屬性。
      外部識別碼

      您要讓 Workspace ONE Access 目錄中的使用者作為唯一識別碼的屬性。預設值為 objectGUID。

      您可以將外部識別碼設定為下列任何屬性:

      • 任何字串屬性,例如 sAMAccountName 或 distinguishedName
      • 二進位屬性 objectSid、objectGUID 或 mS-DS-ConsistencyGuid

      外部識別碼設定只會套用至 Workspace ONE Access 中的使用者。對於群組,外部識別碼一律會設定為 objectGUID,且無法變更。

      重要: 所有使用者都必須具有為屬性定義的唯一非空值。此值在 Workspace ONE Access 承租人中必須是唯一的。如果有任何使用者沒有屬性值,則不會同步目錄。

      設定外部識別碼時,請留意下列考量事項:

      • 如果您要整合 Workspace ONE Access 與 Workspace ONE UEM,請務必在兩個產品中將外部識別碼設定為相同屬性。
      • 您可以在建立目錄後變更外部識別碼。但最佳做法是先設定外部識別碼,再將使用者同步至 Workspace ONE Access。變更外部識別碼時,系統會重新建立使用者。因此,所有使用者都將登出,且必須重新登入。您還需要重新設定 Web 應用程式和 ThinApp 的使用者權利。Horizon、Horizon Cloud 和 Citrix 的權利將會刪除,然後在下一次同步權利時重新建立。
      • [外部識別碼] 選項適用於 Workspace ONE Access Connector 20.10 版或更新版本以及 19.03.0.1。所有與 Workspace ONE Access 服務相關聯的連接器都必須是 20.10 版或更新版本,或必須全都是 19.03.0.1 版。如果有不同版本的連接器與服務相關聯,則不會顯示 [外部識別碼] 選項。
    2. 伺服器位置加密區段中,從以下選項中選取。
      選項 敘述
      如果您想要對 Active Directory 使用 DNS 服務位置查閱 使用此選項時,Workspace ONE Access 會尋找並使用最佳化網域控制器。如果您不想使用選取的最佳化網域控制器,請不要選取此選項。
      1. 伺服器位置區段中,選取此目錄支援 DNS 服務位置核取方塊。
      2. 如果您的 Active Directory 需要透過 SSL/TLS 進行存取,請在加密區段中選取所有連線都需要 STARTTLS 核取方塊。
        備註: 如果選取 此目錄支援 DNS 服務位置選項,則會將 STARTTLS 用於透過連接埠 389 的加密。如果取消選取 此目錄支援 DNS 服務位置選項,則會將 LDAPS 用於透過連接埠 636 的加密。
      3. 請將網域控制站的中繼 (如有使用) 和根 CA 憑證複製並貼到 SSL 憑證文字方塊中。先輸入中繼 CA 憑證,然後輸入根 CA 憑證。確認每個憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 這兩行。

        如果網域控制站擁有來自多個中繼和根憑證授權機構的憑證,請逐一輸入所有的中繼根 CA 憑證鏈結。

        例如:

        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 1>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Intermediate Certificate 2>
        ...
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ...
        <Root Certificate 2>
        ...
        -----END CERTIFICATE-----
        備註: 如果 Active Directory 要求透過 SSL/TLS 存取但您未提供憑證,將無法建立目錄。
      如果您不想對 Active Directory 使用 DNS 服務位置查閱
      1. 伺服器位置區段中,確認此目錄支援 DNS 服務位置核取方塊未選取,然後輸入 Active Directory 伺服器主機名稱和連接埠號碼。

        若要將目錄設定為全域目錄,請參閱整合 Active Directory 與 Workspace ONE Access中的〈擁有多網域的單一樹系 Active Directory 環境〉一節。

      2. 如果您的 Active Directory 需要透過 SSL/TLS 進行存取,請在加密區段中選取所有連線都需要 LDAPS 核取方塊。
        備註: 如果選取 此目錄支援 DNS 服務位置選項,則會將 STARTTLS 用於透過連接埠 389 的加密。如果取消選取 此目錄支援 DNS 服務位置選項,則會將 LDAPS 用於透過連接埠 636 的加密。
      3. 請將網域控制站的中繼 (如有使用) 和根 CA 憑證複製並貼到 SSL 憑證文字方塊中。先輸入中繼 CA 憑證,然後輸入根 CA 憑證。確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 這兩行。
        備註: 如果 Active Directory 要求透過 SSL/TLS 存取但您未提供憑證,將無法建立目錄。
      如果您要將目錄整合成全域類別目錄
      1. 伺服器位置區段中,取消選取此目錄支援 DNS 服務位置選項。
      2. 選取此目錄具有全域類別目錄選項。
      3. 伺服器主機文字方塊中,輸入 Active Directory 伺服器主機名稱。
      4. 伺服器連接埠將設定為 3268。如果在加密區段中選取 SSL/TLS,則連接埠將設定為 3269。
      5. 如果您的 Active Directory 需要透過 SSL/TLS 進行存取,請在加密區段中選取所有連線都需要 LDAPS 選項。
      6. 請將網域控制站的中繼 (如有使用) 和根 CA 憑證複製並貼到 SSL 憑證文字方塊中。先輸入中繼 CA 憑證,然後輸入根 CA 憑證。確認憑證為 PEM 格式且包含 BEGIN CERTIFICATE 和 END CERTIFICATE 這兩行。
    3. 繫結使用者詳細資料區段中,輸入下列資訊。
      選項 敘述
      基準 DN 輸入要開始搜尋帳戶的 DN。例如,OU=myUnit,DC=myCorp,DC=com。
      重要: 將使用基準 DN 進行驗證。只有基準 DN 下的使用者才能進行驗證。請確定您稍後指定用於同步的群組 DN 和使用者 DN 位於此基準 DN 下。
      備註: 如果您要將目錄新增為全域類別,則不需要基準 DN,且不會出現該選項。
      繫結使用者 DN 輸入可搜尋使用者的帳戶。例如,CN=binduser,OU=myUnit,DC=myCorp,DC=com。
      備註: 建議您使用密碼不會到期的繫結使用者帳戶。
      繫結使用者密碼 繫結使用者密碼。
  6. 如果您要整合透過整合式 Windows 驗證的 Active Directory,請遵循以下步驟。
    1. 目錄同步與驗證區段中,選取以下項目。
      選項 敘述
      目錄同步主機 選取要用來同步此目錄的一或多個目錄同步服務執行個體。系統會列出已向承租人登錄且處於作用中狀態的所有目錄同步服務執行個體。

      如果您選取多個執行個體,Workspace ONE Access 會使用清單中第一個選取的執行個體來同步目錄。如果第一個執行個體無法使用,則會使用下一個選取的執行個體,依此類推。您可以在建立目錄後,從目錄的 [同步設定] 頁面重新排序清單。

      驗證 如果您想要使用使用者驗證服務來驗證此目錄的使用者,請選取。必須已安裝使用者驗證服務。如果您選取,系統會自動為目錄建立密碼 (雲端部署) 驗證方法,以及名為 IDP for directory、屬於「內嵌」類型的身分識別提供者。

      如果您不想使用使用者驗證服務來驗證此目錄的使用者,請選取。如果您稍後變更主意,可以手動為目錄建立密碼 (雲端部署) 驗證方法和身分識別提供者。執行此動作時,請在整合 > 身分識別提供者頁面中,選取新增身分識別提供者 > 建立內建 IDP,為目錄建立新的身分識別提供者。不建議使用預先建立的身分識別提供者 (名為內建)。

      使用者驗證主機 驗證設定為時,即會顯示此選項。選取要用來驗證此目錄使用者的一或多個使用者驗證服務執行個體。系統會列出已向承租人登錄且處於作用中狀態的所有使用者驗證服務執行個體。

      如果您選取多個執行個體,Workspace ONE Access 會以循環配置資源順序將驗證要求傳送至選取的執行個體。

      使用者名稱 選取包含使用者名稱的帳戶屬性。
      外部識別碼

      您要讓 Workspace ONE Access 目錄中的使用者作為唯一識別碼的屬性。預設值為 objectGUID。

      您可以將外部識別碼設定為下列任何屬性:

      • 任何字串屬性,例如 sAMAccountName 或 distinguishedName
      • 二進位屬性 objectSid、objectGUID 或 mS-DS-ConsistencyGuid

      外部識別碼設定只會套用至 Workspace ONE Access 中的使用者。對於群組,外部識別碼一律會設定為 objectGUID,且無法變更。

      重要: 所有使用者都必須具有為屬性定義的唯一值。此值在 Workspace ONE Access 承租人中必須是唯一的。

      設定外部識別碼時,請留意下列考量事項:

      • 如果您要整合 Workspace ONE Access 與 Workspace ONE UEM,請務必在兩個產品中將外部識別碼設定為相同屬性。
      • 您可以在建立目錄後變更外部識別碼。但最佳做法是先設定外部識別碼,再將使用者同步至 Workspace ONE Access。變更外部識別碼時,系統會重新建立使用者。因此,所有使用者都將登出,且必須重新登入。您還需要重新設定 Web 應用程式和 ThinApp 的使用者權利。Horizon、Horizon Cloud 和 Citrix 的權利將會刪除,然後在下一次同步權利時重新建立。
      • [外部識別碼] 選項適用於 Workspace ONE Access Connector 20.10 版或更新版本以及 19.03.0.1。所有與 Workspace ONE Access 服務相關聯的連接器都必須是 20.10 版或更新版本,或必須全都是 19.03.0.1 版。如果有不同版本的連接器與服務相關聯,則不會顯示 [外部識別碼] 選項。
    2. 加密區段中無須執行任何動作。類型為「透過整合式 Windows 驗證的 Active Directory」的目錄會自動使用 SASL Kerberos 繫結,且您不需要選取 LDAPS 或 STARTTLS。
    3. 繫結使用者詳細資料區段中,輸入有權查詢所需網域的使用者和群組之繫結使用者的使用者名稱和密碼。以 sAMAccountName@domain 形式輸入使用者名稱,其中的 domain 是完整網域名稱。例如 jdoe@example.com。
      備註: 建議您使用密碼不會到期的繫結使用者帳戶。
  7. 按一下儲存 & 下一步
  8. 在 [選取網域] 頁面中,選取網域 (如果適用),然後按下一步
    • 對於屬於 Active Directory over LDAP 類型的目錄,網域會列出並已選取。
    • 對於屬於「透過整合式 Windows 驗證的 Active Directory」類型的目錄,請選取應與此 Active Directory 連線相關聯的網域。接著會列出與基底網域具有雙向信任關係的所有網域。

      如果在建立 Workspace ONE Access 目錄後才將與基底網域具有雙向信任關係的網域新增至 Active Directory,您可以按一下重新整理圖示取得最新清單,以從目錄的同步設定 > 網域頁面新增這些網域。

      提示: 請逐一選擇信任的網域,而非一次選取所有網域。如此可確保網域儲存不會長時間執行作業,因而可能逾時。依序選擇網域可確保目錄同步服務只將時間花費在嘗試解析單一網域。
    • 如果您要在選取 [全域目錄] 選項的情況下建立 Active Directory over LDAP 目錄,則不會顯示 [網域] 索引標籤。
  9. 在 [對應使用者屬性] 頁面中,確認 Workspace ONE Access 目錄屬性名稱對應至正確的 Active Directory 屬性,並視需要進行變更,然後按下一步
    重要: 對於標示為必要的屬性,您必須為要同步的所有使用者設定其值。遺漏必要屬性值的使用者記錄將不會同步。
  10. 依照選取要同步至 Workspace ONE Access 目錄的使用者和群組中的說明,在選取您要同步的群組頁面中新增群組,在選取您要同步的使用者頁面中新增使用者。
  11. 在 [同步頻率] 頁面中,設定同步排程以定期同步使用者和群組,或者如果您不想要設定排程,則請在同步頻率下拉式清單中選取手動
    時間以 UTC 設定。
    提示: 排程同步間隔,使間隔長度大於同步時間。如果在排程下一次同步時將使用者和群組同步至目錄,則會在上一次同步結束後立即開始新的同步。
    如果您選取 手動,則每當您想要同步目錄時,都必須按一下目錄頁面上的 同步按鈕。
  12. 按一下儲存以建立目錄,或按一下同步目錄以建立目錄並開始同步。

結果

與 Active Directory 的連線已建立。如果您先前按一下同步目錄,則使用者和群組名稱會從 Active Directory 同步至 Workspace ONE Access 目錄。

如需關於群組同步方式的詳細資訊,請參閱《VMware Workspace ONE Access 管理》中的〈管理使用者和群組〉。

下一步

  • 如果您將驗證選項設為,則會為目錄自動建立名為 IDP for directoryname 的身分識別提供者和密碼 (雲端部署) 驗證方法。您可以在整合 > 身分識別提供者整合 > 驗證方法頁面上,檢視這些資訊。您也可以從驗證方法頁面中,為目錄建立更多驗證方法。如需建立驗證方法的相關資訊,請參閱在 Workspace ONE Access 中管理使用者驗證方法
  • 資源 > 原則頁面上,檢閱預設存取原則。
  • 檢閱預設同步保護措施設定,並視需要進行變更。如需詳細資訊,請參閱在 Workspace ONE Access 中設定目錄同步保護