将 Active Directory 或 LDAP 目录与 Workspace ONE Access 集成时,需指定要同步的用户 DN。您可以对用户 DN 应用筛选器,以包含或排除特定用户。
如果 DN 包含不需要同步到 Workspace ONE Access 的多余用户对象,您可以指定 LDAP 筛选器以缩小查询范围,也可以在执行查询后筛选掉这些对象。您使用的选项取决于特定的场景。如果 DN 中有大量对象需要排除,将包含筛选器结合 DN 使用可提高查询和同步过程的效率,因为 Workspace ONE Access 不必从 Active Directory 或 LDAP 目录中检索额外的对象。另一方面,如果您只需排除少量对象,可以使用排除筛选器。排除筛选器在从 Active Directory 或 LDAP 目录中检索所有用户对象后应用。
使用包含筛选器
要指定包含筛选器,请在要筛选的用户 DN 后面附加一个分号,然后输入筛选器。使用标准 LDAP 搜索筛选语法。例如,如果您的 DN 为 CN=Users,DC=sales,DC=example,DC=com,并且您希望仅同步已启用的用户,则可以使用以下查询:
CN=Users,DC=sales,DC=example,DC=com;(&(objectClass=User)(objectCategory=Person)(UserAccountControl=512))
要检查查询是否有效,以及要查看将要同步的用户数,请单击测试按钮。
如果未指定筛选器,默认情况下 Workspace ONE Access 会应用以下筛选器。
- 对于 Active Directory:(&(objectClass=User)(objectCategory=Person))
- 对于 LDAP 目录:在 Workspace ONE Access 中创建 LDAP 目录时,在 LDAP 配置部分中指定的筛选器。
使用排除筛选器
您可以在添加筛选器以排除用户部分中创建排除筛选器,以根据所选属性排除用户。您可以创建多个排除筛选器。
您可以选择要作为筛选条件的用户属性,以及要应用于所定义值的查询筛选器。
| 选项 | 描述 |
|---|---|
| 包含 | 排除与设置的属性和值匹配的所有用户。例如,name 包含 Jane 会排除名为“Jane”的用户。 |
| 不包含 | 排除与设置的属性和值匹配的用户之外的所有用户。例如,telephoneNumber 不包含 800 会仅包含电话号码含“800”的用户。 |
| 开头为 | 排除属性值以指定字符开头的所有用户。例如,employeeID 开头为 ACME0 会排除员工 ID 号以“ACME0”开头的所有用户。 |
| 结尾为 | 排除属性值以指定字符结尾的所有用户。例如,mail 结尾为 example1.com 会排除电子邮件地址以“example1.com”结尾的所有用户。 |
值不区分大小写。请勿在值字符串中使用以下符号。
- 星号
* - 脱字号
^ - 圆括号
() - 问号
? - 感叹号
! - 美元符号
$
