O Workspace ONE Access é uma solução de gerenciamento de identidade dos produtos da VMware, foi projetado para fornecer acesso mais rápido a aplicativos móveis, da web e de SaaS com autenticação multifator, acesso condicional e logon único. Maiores detalhes, podemos obter neste link oficial.
Como já informei nos artigos anteriores, implantamos os três produtos de uma só vez (Aria Lifecycle Suite, Workspace ONE Access e Aria Automation). O Workspace ONE Access antes era chamado de VMware Identity Manager, como o processo de “rebranding” ainda está acontecendo em alguns produtos da VMware, ainda em algumas telas da interface gráfica você verá o nome antigo.
Todos os produtos nessa instalação já foram integrados ao Workspace ONE Access durante a implantação. No entanto, apenas usuários locais podem fazer login nesses produtos porque nós não os integramos ainda o Active Directory ao Workspace ONE Access. Mas iremos fazer isso agora nesse artigo.
Explicações Iniciais do Workspace ONE Access
Antes de iniciarmos, precisamos compreender os conceitos de Autenticação e Autorização para nossas configurações, conforme imagem abaixo:
Quando integramos o Active Directory com o Workspace ONE Access estamos realizando o processo de Autenticação, para realizar o processo de Autorização é necessário definir as roles dentro dos produtos, como por exemplo no Aria Automation onde temos a opção de definir um grupo que terá permissão (role) de realizar deploy de máquinas virtuais utilizando um catálogo de serviços, sendo que essa automação ficará aguardando uma aprovação. Essa aprovação por suas vez poderá ser realizada por outro grupo que terá a permissão de autorizar ou não o prosseguimento desse deploy, assunto esse que iremos realizar e explicar melhor em outro artigo.
O Workspace ONE Access quando integrado ao AD, sincroniza apenas os objetos usuários e grupos.
São dois tipos de integração disponíveis:
Active Directory over LDAP
- Utilizamos ele quando a organização possui um único domínio do Active Directory.
- Para esta opção, o conector se liga ao Active Directory através de autenticação simples.
Active Directory, Integrated Windows Authentication
- Utilizamos ele quando o Active Directory uma floresta com vários domínios.
- Para esta opção, o conector se liga ao Active Directory com Integrated Windows Authentication
Procedimento de Integração do Workspace ONE Access
01. Vamos logar na página do Workspace ONE Access com o usuário e senha local que definimos lá na implantação, se não souber de onde tiramos esse usuário, basta ler o primeiro artigo:
02. Na página inicial, observem que como instalamos os três produtos juntos, eles já estão integrados ao Workspace ONE Access.
03. Em seguida, vamos clicar no login do usuário e clicar em “Administration Console”:
04. Na tela inicial já caímos na aba “Dashboard”, reparem que 40 total users é referente à 40 usuários locais dentro do Workspace ONE Access. Para iniciar nossa integração com o Active Directory, precisamos clicar na aba “Identity & Access Management”:
05. Nesta aba, iremos clicar em “Add Directory” e escolher a opção “Add Active Directory over LDAP/IWA”:
06. Em “Directory Name” voce pode colocar o nome de sua preferência, eu decidi colocar o nome do meu domínio:
07. Em “Bind User Details” perceba que todos os campos são obrigatórios, nele iremos preencher de acordo com nosso Active Directory.
- Base DN: Inserimos o caminho na qual iremos utilizar para que o conector realize a consulta dos usuários de grupos.
- Bind DN: O caminho completo do usuário que irá realizar essa consulta, esse usuário precisa ter permissao para isso
- Bind User Password: A senha deste usuário.
É recomendado que você crie um usuário para essa tarefa, as permissões necessárias são apenas:
- Read
- Read All Properties
- Read Permissions
08. Após esse preenchimento, você pode testar a conexão com o AD clicando em “Test Connection”. Se a resposta tiver sido “Connection is successful”, basta clicar em “Save & Next”:
09. Em seguida, o assistente irá nos conduzir para os próximos passos. Já com o domínio adicionado e e marcado, basta clicar em “Next”:
10. Agora iremos mapear os atributos de usuários que o Workspace ONE Access irá importar. Reparem que alguns campos são Required (Obrigatório). Você pode utilizar o padrão que ele já está sugerindo e clicar em “Next”:
11. Na tela seguinte iremos especificar quais os grupos iremos importar para o Workspace ONE Access. Para isso, basta clicar no sinal de + verde, digitar o caminho DN do grupo e clicar em “Find Groups”. Se você deixar a checkbox “Sync nested groups members”, ele será capaz de trazer os grupos que estão dentro dos grupos. Você também pode selecionar vários grupos de uma só vez, basta clicar outras vezes no sinal de + verde. Clicar em “Next”
12. Na tela seguinte, já vem pré-configurado o usuário que será utilizado para a sincronização dos usuários que estão no grupo que selecionamos. Ainda nessa tela, podemos também excluir um usuário que não queremos que seja importado, mas que está dentro do grupo. Clicar em “Next”:
13. E aqui temos um “Review” da quantidade de grupos e usuários que irão ser adicionados, eu havia colocado 30 usuários de exemplo neste grupo chamado Cloud-Users. Percebam o erro logo abaixo, é apenas informando que existem atributos obrigatórios faltando no usuário Administrator. Agora basta clicar no botão “Sync Directory” para realizar a importação.
14. A importação irá iniciar, para checar o status, você pode clicar em “Refresh Page to see sync status”:
15. Agora vemos que a importação ocorreu com sucesso, identificando inclusive a data e hora da última sincronização:
16. Uma outra opção importante é configurar o período de sincronização que você deseja que ocorra. Para isso, você pode clicar no nome do seu diretório recém criado:
17. Em seguida clicar em “Sync Settings”:
18. Na primeira aba, podemos definir qual a frequência que você deseja. Também nessa tela é onde podemos adicionar mais grupos que você deseja sincronizar:
19. E para finalizar e confirmar que seus usuários foram sincronizados para o Workspace ONE Access, basta clicar na aba “Users & Groups”:
20. Agora, se você sair e entrar novamente, você poderá adicionar um usuário de domínio com a role de “Super Admin” para administração do Workspace ONE Access. Para isso, basta clicar na aba “Roles”, marcar a role “Super Admin” e clicar no botão “Assign”:
21. Na tela seguinte que se abrir, você insere seu usuário ou grupo que você deseja que tenha permissão full no Workspace ONE Access e clicar em “SAVE”:
22. Ao logar novamente, perceba que eu estou logando no domínio vmbeans.local com meu usuário de domínio:
23. Observem que após essa configuração, os usuários do AD que foram importados para o Workspace ONE Access através daquele grupo, também já aparecem no Aria Automation, pois como expliquei anteriormente, todos os produtos que estão implantados via Aria Lifecycle Suite, utilizam o Workspace ONE Access como seu gerenciador de identidade. A diferença é que eles ainda não possuem nenhuma role associados a eles, ou seja, não possuem nenhuma permissão:
Conclusão
Acredito que abordamos os principais pontos para a integração do Workspace ONE Access com o Active Directory, um passo crucial para uma administração eficaz de identidade e permissão em um ambiente corporativo.
Esta integração não só facilita a gestão de usuários e acessos, mas também potencializa a segurança e a eficiência operacional. Ao finalizar a integração e configurar as roles apropriadas, podemos assegurar que apenas os usuários certos tenham o acesso necessário aos recursos críticos, melhorando tanto a conformidade quanto a segurança.
Dúvidas, críticas e elogios, basta comentar abaixo!
