在 Workspace ONE Access 控制台中配置与企业 Active Directory 或 LDAP 目录的连接时,您可以指定要同步到 Workspace ONE Access 的用户和组。最初在创建目录时指定用户和组。稍后,您可以从和选项卡中查看和修改用户和组。
在添加组时,请牢记以下注意事项:
- 最佳做法是,在创建目录时仅添加并同步几个组。初始设置完成后,您可以添加更多组。
- 添加组并进行同步时,只有组名称会同步到目录。在授权组使用应用程序或将组名称添加到访问策略规则后,才会将作为组成员的用户同步到目录。
注: 您可以选择 页面中的 添加组时将组成员同步到目录选项以覆盖该限制。
- (Active Directory) 在同步组时,不会同步没有将“域用户”作为 Active Directory 中的主要组的任何用户。
- (LDAP 目录)如果在 LDAP 目录中具有多个同名的组,则必须在“组”部分中为这些组指定唯一的名称。
添加用户时,请牢记以下注意事项:
- 由于在授权组使用应用程序或将组添加到访问策略规则后才会将组中的成员同步到目录,因此,请添加在配置组授权之前需要进行身份验证的所有用户。
- 默认情况下,您在目录的“绑定用户详细信息”部分中指定的绑定用户不会同步到 Workspace ONE Access 服务。如果要同步绑定用户,请在“用户”部分中输入绑定用户 DN。同步目录后,您可以根据需要为绑定用户设置角色。
过程
- 选择要从企业目录同步到 Workspace ONE Access 目录的组。
要选择组,请指定一个或多个组 DN,然后选择这些组 DN 下的组。
- 单击添加。
- 在创建组对话框中,输入顶级组 DN,然后单击添加。
例如,指定 CN=users,DC=example,DC=company,DC=com。提示: 建议不要输入高级别 DN(如基本 DN)作为搜索范围,因为此类搜索将需要很长时间。请尝试输入一个更具体的 DN 作为搜索范围。重要说明: 指定在目录的 基本 DN 文本框中输入的基本 DN 下面的组 DN。如果组 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。
- 如果要选择添加的组 DN 下面的所有组,请选中全选复选框。
例如:
如果创建 Workspace ONE Access 目录后在企业目录的组 DN 中添加或删除组,则所做的更改会在后续同步中反映出来。 - 如果要选择组 DN 下的特定组,而不是选择所有组,请单击选择组,进行选择,然后单击保存。
您可以在 映射的组结果部分中查看组映射。 - 根据需要,选中或取消选中同步嵌套的组成员复选框。
默认情况下,将选中 同步嵌套的组成员复选框。如果选中了该复选框,在为所选的组授权后,将同步直接属于该组的所有用户以及属于该组中的嵌套组的所有用户。请注意,不会同步嵌套组;只会同步属于嵌套组的用户。在 Workspace ONE Access 目录中,这些用户将为您选择进行同步的父组的成员。
如果未选中同步嵌套的组成员复选框,在指定要同步的组时,将同步直接属于该组的所有用户,但不会同步属于该组中的嵌套组的用户。在大型目录配置中,遍历组树会耗用大量资源和时间,对于这类配置,取消选择该选项会非常有用。如果取消选择该选项,请确保选择要同步其用户的所有组。
- 在组部分中,单击保存。
- 选择要从企业目录同步到 Workspace ONE Access 目录的用户。
- 单击添加,输入用户 DN,然后单击添加。
例如,指定 CN=username,CN=Users,OU=Sales,DC=example,DC=com。
重要说明: 指定在“添加目录”页面的 基本 DN 文本框中输入的基本 DN 下的用户 DN。如果用户 DN 在基本 DN 之外,则该 DN 中的用户将会被同步,但这些用户无法登录。要检查用户 DN 是否有效以及查看将同步的用户数,请单击该行中的 测试按钮。
- 如有需要,请指定筛选器,以在 DN 中包含或从中排除用户。
有关信息,请参阅 在 Workspace ONE Access 中指定目录同步筛选器。
- 单击添加,输入用户 DN,然后单击添加。
