Administrar atributos de usuario en Workspace ONE Access

Durante el proceso de configuración del directorio de Workspace ONE Access, seleccione los atributos de usuario que desea sincronizar desde el directorio empresarial con el directorio de Workspace ONE Access. La lista de atributos de usuario se administra desde la página Configuración > Atributos de usuario de la consola de Workspace ONE Access.

Atributos predeterminados

En la página Atributos de usuario se muestran los atributos predeterminados del directorio de Workspace ONE Access que se pueden asignar a atributos del directorio LDAP o Active Directory.

Puede seleccionar qué atributos son obligatorios y cuáles son opcionales. Los atributos marcados como obligatorios deben rellenarse para todos los registros de usuario sincronizados. Los registros de usuario a los que les falten valores en los atributos obligatorios no se sincronizarán con Workspace ONE Access. Tenga en cuenta también que solo puede marcar los atributos obligatorios antes de crear cualquier directorio en el servicio de Workspace ONE Access. Después de crear un directorio, ya no podrá convertir un atributo en un atributo obligatorio.

En la siguiente tabla se enumeran los atributos que tienen asignaciones predeterminadas para atributos de Active Directory. Puede actualizar las asignaciones cuando cree el directorio de Workspace ONE Access.

Tabla 1. Atributos predeterminados para sincronizar con el directorio de Workspace ONE Access
Nombre de atributo del directorio de Workspace ONE Access	Asignación predeterminada al atributo de Active Directory
userPrincipalName	userPrincipalName
dominio	canonicalName Agrega el nombre de dominio completo del objeto.
disabled (usuario externo deshabilitado)	userAccountControl. Marcado con UF_Account_Disable. Cuando se desactiva una cuenta, los usuarios no pueden iniciar sesión para acceder a sus aplicaciones y recursos. Los recursos asignados a los usuarios no se eliminan de la cuenta para que, cuando se quite la marca de la cuenta, puedan iniciar sesión y acceder a los recursos asignados.
distinguishedName	distinguishedName
Correo electrónico	mail
employeeID	employeeID
Nombre	givenName
Apellidos	sn
sourceAnchor	objectGUID
Teléfono	telephoneNumber
Nombre de usuario	sAMAccountName

Atributos personalizados

En la página Atributos de usuario, también puede introducir atributos adicionales que desee sincronizar con el directorio. Cuando agrega atributos, el nombre distingue entre mayúsculas y minúsculas. Por ejemplo, dirección, Dirección y DIRECCIÓN son atributos diferentes.

Los siguientes atributos no pueden utilizarse como nombres de atributos personalizados porque el servicio de Workspace ONE Access los utiliza internamente para la administración de identidades de usuario:

Tabla 2. Atributos que no se pueden utilizar como nombres de atributos personalizados
active	externalId	locale	phoneNumbers	timezone
addresses	externalUserDisabled	meta	photos	title
displayName	grupos	name	preferredLanguage	userName
emails	id	nickName	profileUrl	userType
employeeNumber	ims	contraseña	esquemas	x509Certificates

Nota: Si el directorio empresarial incluye alguno de estos atributos y necesita sincronizar el atributo con Workspace ONE Access, cree un atributo personalizado en Workspace ONE Access con un nombre diferente y asígnelo al atributo del directorio. Por ejemplo, para sincronizar el atributo employeeNumber de su directorio con Workspace ONE Access, puede crear un atributo llamado newEmployeeID en Workspace ONE Access y asignarlo al atributo de employeeNumber cuando cree el directorio de Workspace ONE Access.

Cómo funcionan los atributos

Los atributos de la página Atributos de usuario se aplican a todos los directorios del servicio de Workspace ONE Access. Si realiza cambios en los atributos de usuario, tenga en cuenta los efectos que puedan tener en todos los directorios. Por ejemplo, si tiene previsto agregar tanto directorios LDAP como Active Directory, asegúrese de no marcar ningún atributo como obligatorio, excepto Username. Si un atributo está marcado como obligatorio, los registros de usuario que no contengan un valor para ese atributo no se sincronizarán con el servicio de Workspace ONE Access.

Cuando se crea un directorio, la lista de atributos de la página Atributos de usuario aparece en la sección Asignar atributos del asistente, y se puede especificar la asignación entre los atributos de Workspace ONE Access y los del directorio LDAP o Active Directory. Tras crear el directorio, puede ver y actualizar las asignaciones de atributos en la pestaña Configuración de sincronización del directorio.

Después de crear un directorio en el servicio de Workspace ONE Access, ya no podrá marcar los atributos obligatorios en la página Atributos de usuario. Se permiten los siguientes cambios en los atributos de usuario:

Agregar atributos personalizados (página Atributos de usuario)
Eliminar atributos personalizados (página Atributos de usuario)
Cambiar los atributos obligatorios a opcionales (página Atributos de usuario)
Cambiar la asignación de atributos (pestaña Configuración de sincronización del directorio)

Los cambios que se llevan a cabo y se guardan en la página Atributos de usuario tras crear un directorio se aplican a este en la siguiente sincronización.

Requisitos importantes

Si asigna un atributo de usuario a los atributos objectGUID o mS-DS-ConsistencyGuid de Active Directory, todos los usuarios deberán tener un valor no vacío con un tamaño exacto de 16 bytes para el atributo que corresponda de los dos mencionados en Active Directory. Asimismo, debe asignar el atributo de Workspace ONE Access al nombre de atributo correcto de Active Directory, incluidas mayúsculas y minúsculas. Si los nombres de atributo no coinciden, se devolverá un valor nulo y se producirá un error en la sincronización del directorio. Por ejemplo, si utiliza el atributo mS-DS-ConsistencyGuid en Active Directory y especifica ms-DS-ConsistencyGuid en Workspace ONE Access, la sincronización del directorio no se completará correctamente.
El atributo sourceAnchor tiene los siguientes requisitos:
- El atributo sourceAnchor distingue entre mayúsculas y minúsculas.
- Los valores de atributo no se pueden cambiar una vez que se sincronizan los usuarios con Workspace ONE Access.
- Los valores de atributo deben tener menos de 60 caracteres. Los caracteres que no son a-z, A-Z o 0-9 se codifican y cuentan como 3 caracteres.
- Los valores de atributo no deben contener un carácter especial: \ ! # $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _
- Si asigna el atributo sourceAnchor a un atributo que no sea de tipo cadena, Base64 codificará los valores de atributo para asegurarse de que no aparezcan caracteres especiales y de que los valores coincidan con el formato de codificación de Microsoft.
- Si asigna el atributo sourceAnchor a un atributo binario, asegúrese de que los valores tengan el formato de GUID adecuado.
- Consulte Selección de un buen atributo sourceAnchor en la documentación de Microsoft para acceder a la lista completa de requisitos del atributo.