Wenn Sie die Verbindung zum Active Directory oder LDAP-Verzeichnis Ihres Unternehmens in der Workspace ONE Access-Konsole konfigurieren, geben Sie die Benutzer und Gruppen an, die mit Workspace ONE Access synchronisiert werden sollen. Sie geben zunächst Benutzer und Gruppen an, wenn Sie ein Verzeichnis erstellen. Später können Sie die Benutzer und Gruppen auf den Registerkarten Synchronisierungseinstellungen > Benutzer und Synchronisierungseinstellungen > Gruppen anzeigen und ändern.

Beachten Sie beim Hinzufügen von Gruppen Folgendes:

  • Als Best Practice sollten Sie bei der Erstellung des Verzeichnisses nur einige wenige Gruppen hinzufügen und synchronisieren. Nach der anfänglichen Einrichtung können Sie weitere Gruppen hinzufügen.
  • Wenn Sie Gruppen hinzufügen und synchronisieren, werden nur Gruppennamen mit dem Verzeichnis synchronisiert. Benutzer, die Mitglieder der Gruppe sind, werden erst mit dem Verzeichnis synchronisiert, wenn die Gruppe zur Nutzung einer Anwendung berechtigt ist wenn oder der Gruppenname zu einer Regel der Zugriffsrichtlinie hinzugefügt wurde.
    Hinweis: Sie können diese Einschränkung außer Kraft setzen, indem Sie die Option Gruppenmitglieder beim Hinzufügen der Gruppe mit dem Verzeichnis synchronisieren auf der Seite Einstellungen > Anmeldeeinstellungen auswählen.
  • (Active Directory) Wenn Sie eine Gruppe synchronisieren, werden alle Benutzer, für die „Domänenbenutzer“ nicht die primäre Gruppe in Active Directory darstellt, nicht synchronisiert.
  • (LDAP-Verzeichnis) Wenn Ihr LDAP-Verzeichnis mehrere Gruppen mit demselben Namen enthält, müssen Sie für diese im Abschnitt "Gruppen" eindeutige Namen angeben.

Beachten Sie beim Hinzufügen von Benutzern Folgendes:

  • Da Mitglieder in Gruppen nicht mit dem Verzeichnis synchronisiert werden, bis die Gruppe zu Anwendungen berechtigt ist oder zu einer Regel der Zugriffsrichtlinie hinzugefügt wird, fügen Sie alle Benutzer hinzu, die sich authentifizieren müssen, bevor Gruppenberechtigungen konfiguriert werden.
  • Der Bind-Benutzer, den Sie im Abschnitt „Bind-Benutzerdetails“ angegeben haben, wird standardmäßig nicht mit dem Workspace ONE Access-Dienst synchronisiert. Wenn Sie den Bind-Benutzer synchronisieren möchten, geben Sie den Bind-Benutzer-DN in den Abschnitt „Benutzer“ ein. Nachdem das Verzeichnis synchronisiert wurde, können Sie bei Bedarf die Rolle für den Bind-Benutzer festlegen.

Prozedur

  1. Um zu den Seiten „Benutzer und Gruppen“ zu navigieren, wählen Sie eine der folgenden Optionen aus.
    • Wenn Sie beim Erstellen des Workspace ONE Access-Verzeichnisses Benutzer und Gruppen hinzufügen, fahren Sie mit dem Abschnitt Gruppen synchronisieren des Assistenten fort.
    • Wenn Sie nach dem Erstellen des Workspace ONE Access-Verzeichnisses Benutzer und Gruppen hinzufügen oder ändern:
      1. Wählen Sie Integrationen > Verzeichnisse aus.
      2. Klicken Sie auf das Verzeichnis, das Sie aktualisieren möchten.
      3. Wählen Sie die Registerkarte Synchronisierungseinstellungen > Gruppen aus.

        Sie können die Gruppen-DNs sehen, die Sie zuvor hinzugefügt haben, sowie die Gruppen, die unter jedem Gruppen-DN für die Synchronisierung ausgewählt wurden.

  2. Wählen Sie die Gruppen, die Sie aus Ihrem Unternehmensverzeichnis mit dem Workspace ONE Access-Verzeichnis synchronisieren möchten.
    Zum Auswählen von Gruppen geben Sie einen oder mehrere Gruppen-DNs an und wählen die Gruppen aus, die sich darunter befinden.
    1. Klicken Sie auf Hinzufügen.
    2. Geben Sie im Dialogfeld Gruppe erstellen den DN der Gruppe der obersten Ebene ein und klicken Sie dann auf Hinzufügen.
      Geben Sie beispielsweise CN=users,DC=example,DC=company,DC=com an.
      Tipp: Die Eingabe eines High-Level-DN, wie z. B. der Basis-DN, unter dem gesucht werden soll, wird nicht empfohlen, da die Suche sehr lange dauern wird. Geben Sie einen spezifischeren DN für die Suche ein.
      Wichtig: Geben Sie Gruppen-DNs an, die sich unter dem Basis-DN befinden, den Sie in das Textfeld Basis-DN für das Verzeichnis eingegeben haben. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.
    3. Wenn Sie alle Gruppen unter dem Gruppen-DN auswählen möchten, aktivieren Sie das Kontrollkästchen Alle auswählen.
      Beispiel:
      Die Option „Alle auswählen“ ist für die Gruppe der obersten Ebene CN=Users, DC=example, DC=com ausgewählt.
      Wenn Gruppen zum Gruppen-DN im Unternehmensverzeichnis hinzugefügt oder daraus gelöscht werden, nachdem das Workspace ONE Access-Verzeichnis erstellt wurde, werden die Änderungen bei nachfolgenden Synchronisierungen berücksichtigt.
    4. Wenn Sie bestimmte Gruppen unter dem Gruppen-DN auswählen möchten, anstatt sie alle auszuwählen, klicken Sie auf Gruppen auswählen, treffen Sie Ihre Auswahl und klicken Sie auf Speichern.
      Die Option „Gruppen auswählen“ ist für die Gruppe der obersten Ebene CN=Users,DC=example,DC=com ausgewählt.
      Sie können die Gruppenzuordnungen im Abschnitt Ergebnis der zugeordneten Gruppe anzeigen.
    5. Aktivieren oder deaktivieren Sie je nach Bedarf das Kontrollkästchen Geschachtelte Gruppenmitglieder synchronisieren.
      Das Kontrollkästchen Geschachtelte Gruppenmitglieder synchronisieren ist standardmäßig aktiviert. Wenn dieses Kontrollkästchen aktiviert ist, werden alle Benutzer synchronisiert, die direkt zu der von Ihnen ausgewählten Gruppe gehören, sowie alle Benutzer, die zu darin vorhandenen geschachtelten Gruppen gehören, wenn die Gruppe dazu berechtigt ist. Beachten Sie, dass die geschachtelten Gruppen selbst nicht synchronisiert werden. Es werden nur die Benutzer synchronisiert, die zu den geschachtelten Gruppen gehören. Im Verzeichnis Workspace ONE Access werden diese Benutzer als Mitglieder der übergeordneten Gruppe angezeigt, die Sie für die Synchronisierung ausgewählt haben.

      Wenn das Kontrollkästchen Geschachtelte Gruppenmitglieder synchronisieren nicht aktiviert ist und Sie eine zu synchronisierende Gruppe angeben, werden alle Benutzer synchronisiert, die direkt zu dieser Gruppe gehören. Benutzer hingegen, die zu geschachtelten Gruppen gehören, werden nicht synchronisiert. Das Deaktivieren dieser Option ist bei großen Verzeichniskonfigurationen sinnvoll, bei denen die Durchsicht eines Gruppenstrukturbaums ressourcen- und zeitintensiv ist. Wenn Sie diese Option deaktivieren, stellen Sie sicher, dass Sie alle Gruppen auswählen, deren Benutzer Sie synchronisieren möchten.

    6. Klicken Sie im Abschnitt Gruppen auf Speichern.
  3. Navigieren Sie zur Seite „Benutzer“.
    • Wenn Sie beim Erstellen des Verzeichnisses Benutzer und Gruppen hinzufügen, fahren Sie mit dem Abschnitt Benutzer synchronisieren des Assistenten fort.
    • Wenn Sie nach dem Erstellen des Verzeichnisses Benutzer und Gruppen hinzufügen oder ändern, wechseln Sie zur Registerkarte Synchronisierungseinstellungen > Benutzer.
  4. Wählen Sie die Benutzer aus, die Sie aus Ihrem Unternehmensverzeichnis mit dem Workspace ONE Access-Verzeichnis synchronisieren möchten.
    1. Klicken Sie auf Hinzufügen, geben Sie den Benutzer-DN ein und klicken Sie dann auf Hinzufügen.
      Geben Sie beispielsweise CN=username,CN=Users,OU=Sales,DC=example,DC=com an.
      ""
      Wichtig: Geben Sie Benutzer-DNs an, die sich unter dem Basis-DN befinden, den Sie in das Textfeld Basis-DN auf der Seite „Verzeichnis hinzufügen“ eingegeben haben. Wenn sich ein Benutzer-DN außerhalb des Basis-DN befindet, werden die Benutzer von dem DN zwar synchronisiert, können sich aber nicht anmelden.
      Um zu überprüfen, ob der Benutzer-DN gültig ist, und um die Anzahl der Benutzer zu sehen, die synchronisiert werden, klicken Sie auf die Schaltfläche Test in dieser Zeile.
      ""
    2. Geben Sie ggf. Filter zum Einschließen oder Ausschließen von Benutzern aus den DNs an.
      Weitere Informationen finden Sie unter Festlegen von Filtern für die Verzeichnissynchronisierung in Workspace ONE Access.
  5. Speichern Sie die Änderungen.