今天我们来看一看Workspace ONE Access如何同步AD用户，AD用户同步的方式可以说是最常用的场景，借助本文我们一起来看一下吧。

对于已有UEM(Airwatch)的用户来说，可以选择通过UEM和AD集成，再通过UEM用户预置到Workspace ONE Access中去。这种方式的好处在于只有一个组件和AD集成，但无法支持所有的uses case。

所以一般我们选择的是透过Access Connector的方式来和AD进行集成。这个是Access原生的模式，可以支持所有的Use case，透过更多access connector做负载均衡，并且不需要必须有UEM。

当然在有UEM的情况下也不会有什么影响，缺点无非是UEM和Access分别和AD集成。

下面我们分别看一下实现两种模式的具体步骤。

01 通过UEM和AD集成

首先将UEM和AD集成，当然是透过ACC(云链接器)，最好的方式是通过向导完成，对界面较为熟悉的也可以去到UEM设置里面完成和AD集成。

向导可以选择开启Access 集成模式，UEM会透过API在Access中创建用户。

在向导完成后，在Access管理控制台可以看到UEM(Airwatch)集成信息，UEM和Access已经自动继承好了。

也可以看到UEM自动创建的用户资料库，类型为其他目录 。

02 Access和AD集成

我们再来看看第二种模式，通过Access Connector和AD集成。大致过程如下。

1安装Connector(目录同步服务)。

2指定需要同步的用户属性。

3创建目录，匹配到安装的目录同步服务(Connector)。

4指定同步设置，包括用户和用户组，时间计划等等。

5匹配Access属性到AD属性。

6同步用户和用户组。

创建目录的时候首先注意使用可辨识的目录名，不光是给管理员使用，用户在登录的时候也需要选择这个目录名。

其次需要选择是透过LDAP还是IWA(intergated windows authentication)。

IWA相比LDAP更加现代化一些，实际中也用的多一些，不过我们还是都看一下。

至少需要选择一个Connector，多选就可以实现负载均衡。推荐多选。

user auth hosts也可以多选，选中后会自动创建好验证方式，密码(云部署)。当然也可以之后手工创建出来。

用户名也可以选择是sAM或用户主题名称。

如果有DNS存在的情况下，选择透过DNS查找域控服务器地址。

没有的话就取消勾选。

也可以借助这种方式来制定域控服务器。

最后还需要填写集成所需的绑定用户凭证。

LDAP集成必须要指定好Base DN。

Connector会使用绑定的用户凭证来访问AD目录。

要注意的是，绑定的用户最好设置成密码永不过期，要不然就需要做好变更管理，记得在这里更新密码。

如果是IWA集成模式，就不需要指定Base DN了。

那么LDAP和IWA如何选择?

如果是单AD环境，不管是LDAP还是IWA都可以。

如果是多域，单森林的模式，最好是选择IWA(最简单)，或LDAP加上global catalog。

如果是多森林互相信任的模式，选择IWA。

如果是多森林，没有互相信任，可以选择这种混用方式集成，创建不同的目录。

03 目录同步

Access使用只读方式的目录同步。也就是说Access不会修改AD目录的信息。

只有一种例外，在用户门户中允许修改密码，那么终端用户可以借由Access用户门户修改密码。

为了避免在同一次同步中增加/删除大量用户，Access内建了safeguard保险模式。

当然手工同步时可以选择不使用Safeguard或忽略它。