Wenn Sie die Verbindung zum Active Directory oder LDAP-Verzeichnis Ihres Unternehmens in der Workspace ONE Access-Konsole konfigurieren, geben Sie die Benutzer und Gruppen an, die mit Workspace ONE Access synchronisiert werden sollen. Sie geben zunächst Benutzer und Gruppen an, wenn Sie ein Verzeichnis in Workspace ONE Access erstellen. Anschließend können Sie die Benutzer und Gruppen auf den Registerkarten Benutzer und Gruppen auf der Seite Synchronisierungseinstellungen des Verzeichnisses anzeigen und ändern.

Beachten Sie beim Hinzufügen von Gruppen Folgendes.

  • Als Best Practice sollten Sie bei der Erstellung des Verzeichnisses nur einige wenige Gruppen hinzufügen und synchronisieren. Nach der anfänglichen Einrichtung können Sie weitere Gruppen hinzufügen.
  • Wenn Sie Gruppen hinzufügen und synchronisieren, werden nur Gruppennamen mit dem Verzeichnis synchronisiert. Benutzer, die Mitglieder der Gruppe sind, werden erst mit dem Verzeichnis synchronisiert, wenn die Gruppe zur Nutzung einer Anwendung berechtigt ist wenn oder der Gruppenname zu einer Regel der Zugriffsrichtlinie hinzugefügt wurde.
    Hinweis: Sie können diese Einschränkung außer Kraft setzen, indem Sie die Option Gruppenmitglieder beim Hinzufügen der Gruppe mit dem Verzeichnis synchronisiere auf der Seite Einstellungen > Anmeldeeinstellungen auswählen.
  • (Active Directory) Wenn Sie eine Gruppe synchronisieren, werden alle Benutzer, für die „Domänenbenutzer“ nicht die primäre Gruppe in Active Directory darstellt, nicht synchronisiert.
  • (LDAP-Verzeichnis) Wenn Ihr LDAP-Verzeichnis über mehrere Gruppen mit demselben Namen verfügt, müssen Sie auf der Seite eindeutige Namen für diese Gruppen angeben .

Beachten Sie beim Hinzufügen von Benutzern Folgendes:

  • Da Mitglieder in Gruppen nicht mit dem Verzeichnis synchronisiert werden, bis die Gruppe zu Anwendungen berechtigt ist oder zu einer Regel der Zugriffsrichtlinie hinzugefügt wird, fügen Sie alle Benutzer hinzu, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden.
  • Der Bind-Benutzer, den Sie im Abschnitt „Bind-Details“ angegeben haben, wird standardmäßig nicht mit dem Workspace ONE Access-Dienst synchronisiert. Wenn Sie den Bind-Benutzer synchronisieren möchten, geben Sie den Bind-Benutzer-DN auf der Seite „Benutzer“ ein. Nachdem das Verzeichnis synchronisiert wurde, können Sie bei Bedarf die Rolle für den Bind-Benutzer festlegen.

Prozedur

  1. Um zu den Seiten „Benutzer und Gruppen“ zu navigieren, wählen Sie eine der folgenden Optionen aus.
    • Wenn Sie beim Erstellen des Workspace ONE Access-Verzeichnisses Benutzer und Gruppen hinzufügen, fahren Sie im Assistenten „Verzeichnis hinzufügen“ mit der Seite Gruppen für die Synchronisierung auswählen fort.
    • Wenn Sie nach dem Erstellen des Workspace ONE Access-Verzeichnisses Benutzer und Gruppen hinzufügen oder ändern:
      1. Wählen Sie Integrationen > Verzeichnisse aus.
      2. Klicken Sie auf das Verzeichnis, das Sie aktualisieren möchten.
      3. Klicken Sie auf Synchronisierungseinstellungen und wählen Sie dann die Registerkarte Gruppen aus.

        Die Seite zeigt den zuvor hinzugefügten Gruppen-DNs und die Anzahl der Gruppen in jedem Gruppen-DN an, die für die Synchronisierung ausgewählt wurden. Sie können auf Auswählen klicken, um die Liste der Gruppen unter einem Gruppen-DN anzuzeigen.

  2. Wählen Sie die Gruppen, die Sie aus Ihrem Unternehmensverzeichnis mit dem Workspace ONE Access-Verzeichnis synchronisieren möchten.
    Zum Auswählen von Gruppen geben Sie einen oder mehrere Gruppen-DNs an und wählen die Gruppen aus, die sich darunter befinden.
    1. Klicken Sie in der Zeile Gruppe der obersten Ebene angeben auf + und geben Sie den DN der Gruppe der obersten Ebene an. Beispielsweise: CN=Benutzer,DC=Beispiel,DC=com
      Tipp: Die Eingabe eines High-Level-DN, wie z. B. der Basis-DN, unter dem gesucht werden soll, wird nicht empfohlen, da die Suche sehr lange dauern wird. Geben Sie einen spezifischeren DN für die Suche ein.
      Wichtig: Geben Sie Gruppen-DNs an, die sich unter dem Basis-DN befinden, den Sie in das Textfeld Basis-DN auf der Seite „Verzeichnis hinzufügen“ eingegeben haben. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.
    2. Wenn Sie alle Gruppen unter dem Gruppen-DN auswählen möchten, aktivieren Sie das Kontrollkästchen Alle auswählen.
      Wenn Gruppen zum Gruppen-DN im Unternehmensverzeichnis hinzugefügt oder daraus gelöscht werden, nachdem das Workspace ONE Access-Verzeichnis erstellt wurde, werden die Änderungen bei nachfolgenden Synchronisierungen berücksichtigt.
    3. Wenn Sie bestimmte Gruppen unter dem Gruppen-DN auswählen möchten, anstatt sie alle auszuwählen, klicken Sie auf Gruppen auswählen, treffen Sie Ihre Auswahl und klicken Sie auf Speichern.
      Wenn Sie auf Gruppen auswählen klicken, werden alle im DN gefundenen Gruppen aufgelistet. Sie können die Ergebnisse einschränken oder nach bestimmten Gruppen suchen, indem Sie einen Suchbegriff in das Suchfeld eingeben.
    4. Aktivieren oder deaktivieren Sie nach Bedarf die Option Geschachtelte Gruppenmitglieder synchronisieren.
      Die Option Mitglieder verschachtelter Gruppen synchronisieren ist standardmäßig ausgewählt. Wenn diese Option ausgewählt ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu darin vorhandenen geschachtelten Gruppen gehören, wenn die Gruppe dazu berechtigt ist. Beachten Sie, dass die geschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den geschachtelten Gruppen gehören. Im Verzeichnis Workspace ONE Access werden diese Benutzer als Mitglieder der übergeordneten Gruppe angezeigt, die Sie für die Synchronisierung ausgewählt haben.

      Wenn die Option Mitglieder verschachtelter Gruppen synchronisieren nicht ausgewählt ist und Sie eine zu synchronisierende Gruppe angeben, werden alle Benutzer synchronisiert, die direkt zu dieser Gruppe gehören. Benutzer hingegen, die zu verschachtelten Gruppen gehören, werden nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Verzeichniskonfigurationen sinnvoll, bei denen die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, stellen Sie sicher, dass Sie alle Gruppen auswählen, deren Benutzer Sie synchronisieren möchten.

  3. Navigieren Sie zur Seite „Benutzer“.
    • Wenn Sie Benutzer und Gruppen über den Assistenten zum Hinzufügen von Verzeichnissen hinzufügen, klicken Sie auf Weiter, um mit der Seite Benutzer für die Synchronisierung auswählen fortzufahren.
    • Wenn Sie Benutzer und Gruppen auf den Seiten „Synchronisierungseinstellungen“ des Verzeichnisses hinzufügen oder ändern, klicken Sie auf der Registerkarte Gruppen auf Speichern und wählen Sie dann die Registerkarte Benutzer aus.
  4. Wählen Sie die Benutzer aus, die Sie aus Ihrem Unternehmensverzeichnis mit dem Workspace ONE Access-Verzeichnis synchronisieren möchten.
    1. Klicken Sie in der Zeile Benutzer-DNs angeben auf + und geben Sie die Benutzer-DNs ein. Beispiel:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      Wichtig: Geben Sie Benutzer-DNs an, die sich unter dem Basis-DN befinden, den Sie in das Textfeld Basis-DN auf der Seite „Verzeichnis hinzufügen“ eingegeben haben. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.

      Um zu überprüfen, ob der Benutzer-DN gültig ist, und um die Anzahl der Benutzer zu sehen, die synchronisiert werden, klicken Sie auf die Schaltfläche Test für diese Zeile.

    2. Geben Sie ggf. Filter zum Einschließen oder Ausschließen von Benutzern aus den DNs an.
      Weitere Informationen finden Sie unter Festlegen von Filtern für die Verzeichnissynchronisierung in Workspace ONE Access.
  5. Speichern Sie die Änderungen.