Cuando integre Active Directory o el directorio LDAP con Workspace ONE Access, especifique los DN de usuario que desea sincronizar. Puede aplicar filtros a los DN del usuario para incluir o excluir usuarios específicos.

Si un DN contiene objetos de usuario extraños que no necesitan sincronizarse con Workspace ONE Access, puede especificar filtros LDAP para limitar la consulta o puede filtrar los objetos después de que se haya realizado la consulta. La opción que utilice dependerá de su escenario específico. Si es necesario excluir un gran número de objetos en el DN, si se utiliza un filtro de inclusión con el DN, el proceso de consulta y sincronización será más eficiente, ya que Workspace ONE Access no tiene que recuperar los objetos adicionales de Active Directory o el directorio LDAP. Por otro lado, si solo necesita excluir un pequeño número de objetos, puede usar filtros de exclusión. Los filtros de exclusión se aplican después de que todos los objetos de usuario se recuperen de Active Directory o del directorio LDAP.

Nota: Los filtros de inclusión están disponibles con Workspace ONE Access Connector 20.10 y versiones posteriores.

Usar filtros de inclusión

Para especificar un filtro de inclusión, anexe un punto y coma al DN de usuario que desea filtrar y, a continuación, introduzca el filtro. Utilice la sintaxis de filtro de búsqueda de LDAP estándar. Por ejemplo, si el DN es CN=Users,DC=sales,DC=example,DC=com y desea sincronizar solo los usuarios que están habilitados, puede utilizar la siguiente consulta:

CN=Users,DC=sales,DC=example,DC=com;(&(objectClass=User)(objectCategory=Person)(UserAccountControl=512))

Introduzca el DN de usuario, seguido de un punto y coma y el filtro.

Para comprobar si la consulta es válida y ver el número de usuarios que se sincronizarán, haga clic en el botón Probar.

Si no especifica un filtro, Workspace ONE Access aplica el siguiente filtro de forma predeterminada.

  • Para Active Directory: (&(objectClass=User)(objectCategory=Person))
  • Para el directorio LDAP: el filtro que especificó en la sección Configuración de LDAP al crear el directorio LDAP en Workspace ONE Access.

Usar filtros de exclusión

Si desea excluir a usuarios en función del atributo seleccionado, puede crear filtros de exclusión en la sección Filtros para excluir a usuarios. Puede crear varios filtros de exclusión.

Debe seleccionar el atributo de usuario por el que desea filtrar y el filtro de consulta que se aplicará al valor que defina.

Opción Descripción
Contiene Excluye todos los usuarios que coinciden con el atributo y el valor establecidos. Por ejemplo, nombre incluye Juan excluye los usuarios con el nombre "Juan".
No contiene Excluye todos los usuarios, excepto los que coinciden con el atributo y el valor establecidos. Por ejemplo, telephoneNumber no incluye 800 incluye solo los usuarios cuyo número de teléfono contiene "800".
Comienza con Excluye todos los usuarios cuyo valor de atributo comienza con los caracteres especificados. Por ejemplo, employeeID comienza con ACME0 excluye todos los usuarios que tienen un ID de empleado que incluye "ACME0" al principio del número de ID.
Termina con Excluye todos los usuarios cuyo valor de atributo termina en los caracteres especificados. Por ejemplo, correo termina con ejemplo1.com excluye todos los usuarios que tienen una dirección de correo electrónico que termina en "ejemplo1.com".

El valor distingue entre mayúsculas y minúsculas. No utilice los siguientes símbolos en la cadena de valores.

  • Asterisco *
  • Símbolo de intercalación ^
  • Paréntesis ( )
  • Signo de interrogación ?
  • Signo de exclamación !
  • Signo de dólar $
Por ejemplo, si el DN es CN=Users,DC=sales,DC=example,DC=com y desea excluir a los usuarios que están desactivados, puede utilizar el siguiente filtro:
userAccountControl contiene 514.