在 Workspace ONE Access 目录设置过程中,您可以选择要同步到 Workspace ONE Access 目录的用户属性。可从页面管理用户属性列表。
“用户属性”页面列出了可映射到 Active Directory 或 LDAP 目录属性的默认 Workspace ONE Access 目录属性。您可以选择哪些属性是必需属性,哪些属性是可选属性。对于所有同步的用户记录,必须填充标记为“必需”的属性。缺少必需属性值的用户记录将不会同步到 Workspace ONE Access。还请记住,必须先将属性标记为“必需”,然后才能在 Workspace ONE Access 服务中创建任何目录。在创建目录后,您无法再将属性更改为必需属性。
| Workspace ONE Access 目录属性名称 | 默认映射到的 Active Directory 属性 |
|---|---|
| userPrincipalName | userPrincipalName |
| distinguishedName | distinguishedName |
| employeeId | employeeID |
| 域 | canonicalName。添加对象的完全限定域名。 |
| disabled(已禁用外部用户) | userAccountControl。带有 UF_Account_Disable 标记。 帐户停用后,用户将无法登录以访问其应用程序和资源。为用户分配的资源不会从帐户中移除,这样从帐户移除该标记后,用户便可以登录并访问为其分配的资源。 |
| phone | telephoneNumber |
| lastName | sn |
| firstName | givenName |
| userName | sAMAccountName: |
在“用户属性”页面上,您还可以输入要同步到目录的其他属性。在添加属性时,您输入的属性名称区分大小写。例如,address、Address 和 ADDRESS 分别是不同的属性。
无法将以下属性作为自定义属性名称,因为 Workspace ONE Access 服务在内部使用这些属性进行用户身份管理。
| active | externalId | locale | phoneNumbers | timezone |
| addresses | externalUserDisabled | meta | photos | title |
| displayName | 组 | name | preferredLanguage | userName |
| emails | id | nickName | profileUrl | userType |
| employeeNumber | ims | 密码 | schemas | x509Certificates |
“用户属性”页面中的属性适用于 Workspace ONE Access 服务中的所有目录。更改用户属性时,请考虑此操作对所有目录的影响。例如,如果打算同时添加 Active Directory 和 LDAP 目录,请确保不要将任何属性标记为“必需”,但 userName 除外。如果将属性标记为“必需”,则不包含该属性值的用户记录将不会同步到 Workspace ONE Access 服务。
创建目录时,“添加目录”向导的“映射的属性”页面上会显示“用户属性”页面中的属性列表,您可以指定 Workspace ONE Access 属性与 Active Directory 或 LDAP 目录属性之间的映射。创建目录后,可以从目录的“同步设置”页面访问“映射的属性”页面。
在 Workspace ONE Access 服务中创建任何目录后,您将无法再在“用户属性”页面上将属性标记为“必需”。仍然允许对用户属性进行以下更改:
- 添加自定义属性(“用户属性”页面)
- 删除自定义属性(“用户属性”页面)
- 将必需属性更改为可选属性(“用户属性”页面)
- 更改属性的映射(目录的“同步设置”页面)
创建目录后在“用户属性”页面中完成并保存的更改将在下次同步时应用到目录。
