Während der Einrichtung des Workspace ONE Access-Verzeichnisses wählen Sie die Benutzerattribute aus, die von Ihrem Unternehmensverzeichnis mit dem Workspace ONE Access-Verzeichnis synchronisiert werden sollen. Sie verwalten die Liste der Benutzerattribute auf der Seite Einstellungen > Benutzerattribute in der Workspace ONE Access-Konsole.

Standardattribute

Die Seite „Benutzerattribute“ zeigt die Workspace ONE Access-Standardverzeichnisattribute an, die den Active Directory- oder LDAP-Verzeichnisattributen zugeordnet werden können.

Sie können auswählen, welche Attribute erforderlich und welche optional sind. Attribute, die als erforderlich gekennzeichnet sind, müssen für alle synchronisierten Benutzerdatensätze aufgefüllt werden. Benutzerdatensätze, bei denen Werte für die erforderlichen Attribute fehlen, werden nicht mit Workspace ONE Access synchronisiert. Beachten Sie außerdem, dass Sie Attribute nur als erforderlich kennzeichnen können, bevor ein Verzeichnis im Workspace ONE Access-Dienst erstellt wird. Nach der Erstellung eines Verzeichnisses können Sie keine weiteren Attribute mehr als erforderlich festlegen.

In der folgenden Tabelle sind die Attribute aufgeführt, die Standardzuordnungen zu Active Directory-Attributen aufweisen. Sie können die Zuordnungen aktualisieren, wenn Sie das Workspace ONE Access-Verzeichnis erstellen.

Tabelle 1. Standardattribute für die Synchronisierung mit dem Workspace ONE Access-Verzeichnis
Workspace ONE Access-Verzeichnisattributname Standardzuordnung zu aktives Verzeichnis-Attribut
userPrincipalName userPrincipalName
Domäne canonicalName

Fügt den vollqualifizierten Domänennamen des Objekts ein.

deaktiviert (externer Benutzer deaktiviert) Benutzerkontokontrolle. Gekennzeichnet mit „UF_Account_Disable“.

Wenn ein Konto deaktiviert ist, können sich Benutzer nicht mehr anmelden, um auf ihre Anwendungen und Ressourcen zuzugreifen. Die den Benutzern zugewiesenen Ressourcen werden nicht aus dem Konto entfernt, sodass sich die Benutzer nach dem Entfernen des Flags aus dem Konto anmelden und auf die ihnen zugewiesenen Ressourcen zugreifen können.
distinguishedName distinguishedName
E-Mail mail
employeeID employeeID
Vorname givenName
Nachname sn
sourceAnchor objectGUID
Telefon Telefonnummer
Benutzername sAMAccountName

Benutzerdefinierte Attribute

Auf der Seite "Benutzerattribute" können Sie auch zusätzliche Attribute eingeben, die Sie mit dem Verzeichnis synchronisieren möchten. Beim Hinzufügen von Attributen muss bei der Eingabe des Attributnamens auf die Groß-/Kleinschreibung geachtet werden. Beispiel: adresse, Adresse und ADRESSE sind verschiedene Attribute.

Die folgenden Attribute können nicht als Namen benutzerdefinierter Attribute verwendet werden, da der Workspace ONE Access-Dienst diese Attribute intern für das Identitätsmanagement der Benutzer verwendet.

Tabelle 2. Attribute, die nicht als benutzerdefinierte Attributnamen verwendet werden können
active externalId locale phoneNumbers timezone
addresses externalUserDisabled meta photos title
displayName Gruppen name preferredLanguage userName
emails id nickName profileUrl userType
employeeNumber ims Kennwort schemas x509Certificates
Hinweis: Wenn Ihr Unternehmensverzeichnis eines dieser Attribute enthält und Sie das Attribut mit Workspace ONE Access synchronisieren müssen, erstellen Sie ein benutzerdefiniertes Attribut in Workspace ONE Access mit einem anderen Namen und ordnen Sie es dem Verzeichnisattribut zu. Beispiel: Zum Synchronisieren des Attributs „employeeNumber“ aus Ihrem Verzeichnis in Workspace ONE Access können Sie ein Attribut mit dem Namen „newEmployeeID“ in Workspace ONE Access erstellen und es dem Attribut „employeeNumber“ zuordnen, wenn Sie das Verzeichnis Workspace ONE Access erstellen.

Funktionsweise von Attributen

Die Einstellungen auf der Seite „Benutzerattribute“ gelten für alle Verzeichnisse im Workspace ONE Access-Dienst. Wenn Sie Änderungen an Benutzerattributen vornehmen, sollten Sie die Auswirkungen auf alle Verzeichnisse berücksichtigen. Beispiel: Wenn Sie sowohl Active Directory als auch LDAP-Verzeichnisse hinzufügen möchten, dürfen Sie mit Ausnahme des erforderlichen Attributs „Username“ keine Attribute markieren. Wenn ein Attribut als erforderlich gekennzeichnet ist, werden Benutzerdatensätze, die keinen Wert für dieses Attribut enthalten, nicht mit dem Workspace ONE Access-Dienst synchronisiert.

Wenn Sie ein Verzeichnis erstellen, wird die Liste der Attribute von der Seite „Benutzerattribute“ im Abschnitt Attribute zuordnen des Assistenten angezeigt, und Sie können die Zuordnung zwischen den Workspace ONE Access-Attributen und den Active Directory- oder LDAP-Verzeichnisattributen festlegen. Nachdem Sie das Verzeichnis erstellt haben, können Sie die Attributzuordnungen auf der Registerkarte Synchronisierungseinstellungen des Verzeichnisses anzeigen und aktualisieren.

Nachdem ein Verzeichnis im Workspace ONE Access­Dienst erstellt wurde, können Sie auf der Seite „Benutzerattribute“ keine weiteren Attribute mehr als erforderlich kennzeichnen. Die folgenden Änderungen an Benutzerattributen sind weiterhin zulässig:

  • Benutzerdefinierte Attribute hinzufügen (Seite „Benutzerattribute“)
  • Benutzerdefinierte Attribute löschen (Seite „Benutzerattribute“)
  • Erforderliche Attribute in optional ändern (Seite „Benutzerattribute“)
  • Zuordnung von Attributen ändern (Registerkarte Synchronisierungseinstellungen des Verzeichnisses)

Änderungen, die nach dem Erstellen eines Verzeichnisses auf der Seite „Benutzerattribute“ vorgenommen und gespeichert werden, werden bei der nächsten Synchronisierung auf das Verzeichnis angewendet.

Wichtige Anforderungen

  • Wenn Sie ein Benutzerattribut dem Active Directory-Attribut objectGUID oder mS-DS-ConsistencyGuid zuordnen, müssen alle Benutzer einen nicht leeren Wert für das Attribut in Active Directory aufweisen und der Wert muss genau 16 Byte lang sein. Außerdem müssen Sie das Workspace ONE Access-Attribut dem richtigen Active Directory-Attributnamen unter Beachtung der korrekten Groß- und Kleinschreibung zuordnen. Wenn die Attributnamen nicht übereinstimmen, wird ein Nullwert zurückgegeben und die Verzeichnissynchronisierung schlägt fehl. Wenn Sie beispielsweise das Attribut mS-DS-ConsistencyGuid in Active Directory verwenden und ms-DS-ConsistencyGuid in Workspace ONE Access angeben, kann die Verzeichnissynchronisierung nicht erfolgreich durchgeführt werden.
  • Für das Attribut sourceAnchor gelten die folgenden Anforderungen:
    • Beim Attribut sourceAnchor wird Groß- und Kleinschreibung berücksichtigt.
    • Attributwerte können nicht geändert werden, nachdem Benutzer mit Workspace ONE Access synchronisiert wurden.
    • Attributwerte müssen weniger als 60 Zeichen lang sein. Zeichen, die nicht a-z, A-Z oder 0-9 sind, werden kodiert und als 3 Zeichen gezählt.
    • Attributwerte dürfen kein Sonderzeichen enthalten: \ ! # $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _
    • Wenn Sie das Attribut sourceAnchor einem Attribut zuordnen, das nicht vom Typ „String“ ist, kodieren Sie die Attributwerte mit Base64, um sicherzustellen, dass keine Sonderzeichen erscheinen und die Werte dem Microsoft-Kodierungsformat entsprechen.
    • Wenn Sie das Attribut sourceAnchor einem binären Attribut zuordnen, stellen Sie sicher, dass die Werte dem richtigen GUID-Format entsprechen.
    • Eine vollständige Liste der Anforderungen für das Attribut finden Sie unter Auswählen eines guten Attributs sourceAnchor in der Microsoft-Dokumentation.