您可以在 Workspace ONE Access 服务中创建组、向组添加成员以及创建组规则。

不要分别授权每个用户,而是通过组同时授权多个用户使用相同的资源。用户可以属于多个组。例如,如果您创建了 Sales 组和 Management 组,销售经理则可以属于这两个组。

您可以指定要应用于组成员的组规则。组中的用户通过您为用户属性设置的规则来定义。如果与定义的组规则值相比,用户的属性值发生了变化,则会从组中移除该用户。

过程

  1. Workspace ONE Access 控制台的帐户 > 用户组页面,单击添加组
  2. 组信息部分中,添加组名和组的描述
  3. 组用户部分中,添加用户或排除用户。
    1. 要添加用户,请在添加用户行中输入用户名的几个字母。
    2. 要排除用户,请在排除用户行中输入用户名的几个字母。
    将显示与您的文本匹配的名称。
  4. 组规则部分中,选择授予组成员资格的方式。为您的组配置一个或多个规则。规则可以嵌套。
    1. 组规则部分中,单击搜索,然后从下拉菜单中选择一个属性。选择用户组规则的属性
    2. 搜索值部分中,选择属性值的匹配条件。

      可以使用以下匹配条件,具体取决于所选择的属性。

      • 选择可选择要与此组关联的组或目录。在文本框中输入名称。在键入时会出现可用组或目录的列表。
      • 选择不是可选择要排除的组或目录。在文本框中输入名称。在键入时会出现可用组或目录的列表。
      • 选择匹配可向与输入的条件完全匹配的条目授予组成员资格。例如,组织可能设立了一个共用一个电话主机号码的差旅部门。如果要授权共用该电话号码的所有员工访问旅行预订应用程序,则可以创建规则,如“Phone matches (555) 555-1000”。
      • 选择不匹配可向除了与所输入条件匹配的条目之外的所有目录服务器条目授予组成员资格。例如,如果您的一个部门共用一个电话主机号码,要禁止该部门访问社交网络应用程序,您可以创建规则,如“Phone does not match (555) 555-2000”。使用其他电话号码的目录服务器条目则有权访问该应用程序。
      • 选择开头是可向开头满足所输入条件的目录服务器条目授予组成员资格。例如,组织的电子邮件地址可能以部门名称开头,如 sales_username@example.com。如果您希望授权所有销售人员访问应用程序,则可以创建规则,如“email starts with sales_”。
      • 选择开头不是可向除了开头满足所输入条件的条目之外的所有目录服务器条目授予组成员资格。例如,如果人力资源部门的电子邮件地址采用 hr_username@example.com 格式,要拒绝此部门人员对应用程序的访问,您可以设置规则,如“email does not start with hr_”。使用其他电子邮件地址的目录服务器条目则可以访问该应用程序。
    3. 在最后一部分中,定义要在规则中匹配的值。
    4. 对于其他规则,请单击加号 +,然后选择它是 AND 还是 OR 运算符。为 Workspace ONE 用户组添加另一个规则
  5. 单击保存

下一步做什么

从“用户组”列表中选择组,然后在“应用程序”选项卡中添加该组有权使用的应用程序。