Wenn Sie Ihr Active Directory oder LDAP-Verzeichnis mit Workspace ONE Access integrieren, geben Sie die zu synchronisierenden Benutzer-DNs an. Sie können Filter auf die DNs des Benutzers anwenden, um bestimmte Benutzer einzubeziehen oder auszuschließen.

Wenn ein DN fremde Benutzerobjekte enthält, die nicht mit Workspace ONE Access synchronisiert werden müssen, können Sie LDAP-Filter angeben, um die Abfrage einzugrenzen, oder Sie können Objekte herausfiltern, nachdem die Abfrage abgeschlossen ist. Welche Option Sie verwenden, hängt von Ihrem spezifischen Szenario ab. Wenn eine große Anzahl von Objekten im DN ausgeschlossen werden muss, macht die Verwendung eines Einschlussfilters mit dem DN den Abfrage- und Synchronisierungsprozess effizienter, da Workspace ONE Access die zusätzlichen Objekte nicht aus Ihrem Active Directory- oder LDAP-Verzeichnis abrufen muss. Wenn Sie auf der anderen Seite nur eine kleine Objektanzahl ausschließen müssen, können Sie Ausschlussfilter verwenden. Ausschlussfilter werden angewendet, nachdem alle Benutzerobjekte aus Ihrem Active Directory oder LDAP-Verzeichnis abgerufen wurden.

Hinweis: Einschlussfilter sind mit Workspace ONE Access Connector 20.10 und höher verfügbar.

Verwenden von Einschlussfiltern

Um einen Einschlussfilter anzugeben, hängen Sie ein Semikolon an den Benutzer-DN an, den Sie filtern möchten, und geben Sie dann den Filter ein. Verwenden Sie die standardmäßige LDAP-Suchfiltersyntax. Wenn Ihr DN beispielsweise CN=Users,DC=sales,DC=example,DC=com lautet und Sie nur die aktivierten Benutzer synchronisieren möchten, können Sie die folgende Abfrage verwenden:

CN=Users,DC=sales,DC=example,DC=com;(&(objectClass=User)(objectCategory=Person)(UserAccountControl=512))

Geben Sie den Benutzer-DN ein, gefolgt von einem Semikolon und dem Filter.

Um zu überprüfen, ob die Abfrage gültig ist, und um die Anzahl der Benutzer zu sehen, die synchronisiert werden, klicken Sie auf die Schaltfläche Test.

Wenn Sie keinen Filter angeben, wendet Workspace ONE Access standardmäßig den folgenden Filter an.

  • Für Active Directory: (&(objectClass=User)(objectCategory=Person))
  • Für LDAP-Verzeichnis: Der Filter, den Sie im Abschnitt LDAP-Verzeichnis beim Erstellen der LDAP-Konfiguration in Workspace ONE Access angegeben haben.

Verwenden von Ausschlussfiltern

Sie können im Abschnitt Filter zum Ausschließen von Benutzern, Ausschlussfilter erstellen, um Benutzer auf der Grundlage des gewählten Attributs auszuschließen. Sie können mehrere Ausschlussfilter erstellen.

Wählen Sie das Benutzerattribut für den Filter und den Abfragefilter, um den von Ihnen definierten Wert anzuwenden.

Option Beschreibung
Enthält Schließt alle Benutzer aus, die mit dem eingestellten Attribut und Wert übereinstimmen. Beispielsweise schließt Name enthält Jane Benutzer mit dem Namen „Jane“ aus.
Enthält nicht Schließt alle Benutzer aus mit Ausnahme derjenigen, die mit dem eingestellten Attribut und Wert übereinstimmen. Beispielsweise schließt Telefonnummer enthält keine 800 nur Benutzer ein, deren Telefonnummer „800“ enthält.
Beginnt mit Schließen Sie alle Benutzer aus, bei denen der Attributwert mit den angegebenen Zeichen beginnt. Beispielsweise schließt Mitarbeiter-ID beginnt mit ACME0 alle Benutzer mit einer Mitarbeiter-ID aus, deren ID-Nummer am Anfang „ACME0“ enthält.
Endet mit Schließen Sie alle Benutzer aus, bei denen der Attributwert mit den angegebenen Zeichen endet. Beispielsweise schließt Mail endet mit example1.com alle Benutzer aus, deren E-Mail-Adresse auf "example1.com" endet.

Beim Wert die Groß- und Kleinschreibung beachten. Verwenden Sie nicht die folgenden Symbole in der Wertzeichenfolge.

  • Sternchen *
  • Zirkumflex^
  • Klammern ( )
  • Fragezeichen ?
  • Ausrufezeichen !
  • Dollarzeichen $
Wenn Ihr DN beispielsweise CN=Users,DC=sales,DC=example,DC=com lautet und Sie deaktivierte Benutzer ausschließen möchten, können Sie den folgenden Filter verwenden:
userAccountControl enthält 514.