Workspace ONE Access 目录设置过程中,您可以选择要同步到 Workspace ONE Access 目录的用户属性。可从身份和访问管理 > 设置 > 用户属性页面管理用户属性列表。

“用户属性”页面列出了可映射到 Active Directory 或 LDAP 目录属性的默认 Workspace ONE Access 目录属性。您可以选择哪些属性是必需属性,哪些属性是可选属性。对于所有同步的用户记录,必须填充标记为“必需”的属性。缺少必需属性值的用户记录将不会同步到 Workspace ONE Access。还请记住,必须先将属性标记为“必需”,然后才能在 Workspace ONE Access 服务中创建任何目录。在创建目录后,您无法再将属性更改为必需属性。

表 1. 要同步到目录的默认属性
Workspace ONE Access 目录属性名称 默认映射到的 Active Directory 属性
userPrincipalName userPrincipalName
distinguishedName distinguishedName
employeeId employeeID
domain canonicalName。添加对象的完全限定域名。
disabled(已禁用外部用户) userAccountControl。标记为 UF_Account_Disable

当帐户处于禁用状态时,用户无法登录以访问其应用程序和资源。用户有权使用的资源未从帐户中移除,以便从帐户中移除该标记时,用户可以登录并访问其授权的资源

phone telephoneNumber
lastName sn
firstName givenName
email mail
userName sAMAccountName

在“用户属性”页面上,您还可以输入要同步到目录的其他属性。在添加属性时,您输入的属性名称区分大小写。例如,address、Address 和 ADDRESS 分别是不同的属性。

无法将以下属性作为自定义属性名称,因为 Workspace ONE Access 服务在内部使用这些属性进行用户身份管理。

  • externalUserDisabled
  • employeeNumber
  • emails

“用户属性”页面中的属性适用于 Workspace ONE Access 服务中的所有目录。更改用户属性时,请考虑此操作对所有目录的影响。例如,如果打算同时添加 Active Directory 和 LDAP 目录,请确保不要将任何属性标记为“必需”,但 userName 除外。如果将属性标记为“必需”,则不包含该属性值的用户记录将不会同步到 Workspace ONE Access 服务。

创建目录时,“添加目录”向导的“映射的属性”页面上会显示“用户属性”页面中的属性列表,您可以指定 Workspace ONE Access 属性与 Active Directory 或 LDAP 目录属性之间的映射。创建目录后,可以从目录的“同步设置”页面访问“映射的属性”页面。

Workspace ONE Access 服务中创建任何目录后,您将无法再在“用户属性”页面上将属性标记为“必需”。仍然允许对用户属性进行以下更改:

  • 添加自定义属性(“用户属性”页面)
  • 删除自定义属性(“用户属性”页面)
  • 将必需属性更改为可选属性(“用户属性”页面)
  • 更改属性的映射(目录的“同步设置”页面)

创建目录后在“用户属性”页面中完成并保存的更改将在下次同步时应用到目录。