VMware Identity Manager 服务中,组是由组名和域唯一标识的。

从 VMware Identity Manager 3.1 开始,在将新组从 Active Directory 添加到目录时,组名称会同步到目录。在以下情况下,属于组成员的用户可以同步到目录。

  • 已授权组使用 Workspace ONE 中的应用程序。
  • 已将组名称添加到访问策略中。
  • 已从“组”>“用户配置文件”页手动同步组中的用户。

在 3.1 之前,在添加组时,组成员将同步到目录。

注: 如果某些用户需要在组同步到目录之前进行身份验证,您可以将单个用户添加到目录的“同步设置”>“用户”页。

VMware Identity Manager 服务支持在不同的 Active Directory 域中存在多个同名组。同一个域中的组名称必须唯一。例如,您可以在 eng.example.com 域中使用一个名为 ALL_USERS 的组,并在 sales.example.com 域中使用另一个名为 ALL_USERS 的组。

在目录同步过程中,将会成功同步名称相同但域不同的组。如果某个域中出现组名称冲突,则会同步第一个组,而与其具有相同名称的后续组将在同步时出错。

在管理控制台的“用户和组”选项卡的“组”页中,Active Directory 组将按组名称和域列出。在该列表中,您可以区分具有相同名称的组。在 VMware Identity Manager 服务中以本地方式创建的组将以组名称格式列出。域将列为“本地用户”。