Después de crear un directorio, puede ver y modificar los usuarios y los grupos seleccionados para la sincronización en las pestañas Usuarios y Grupos de la página Configuración de sincronización del directorio.

Tenga en cuenta las siguientes consideraciones al agregar grupos:

  • Como práctica recomendada, comience por agregar y sincronizar una pequeña cantidad de grupos. Tras la configuración inicial, puede agregar otros.
  • Cuando se agregan y sincronizan grupos, sus nombres también se sincronizan con el directorio. Los usuarios que son miembros del grupo no se sincronizan con el directorio hasta que el grupo tenga autorización para una aplicación o el nombre del grupo se agregue a una regla de directiva de acceso.
    Nota: Para anular esta restricción, habilite la opción Sincronizar los miembros del grupo con el directorio al agregar un grupo en la página Administración de acceso e identidad > Configurar > Preferencias.
  • Cuando sincroniza un grupo, los usuarios que no tengan Usuarios del dominio como su grupo principal en Active Directory no se sincronizan.

Tenga en cuenta las siguientes consideraciones al agregar usuarios:

  • Debido a que los miembros de grupos no se sincronizan con el directorio hasta que el grupo tiene autorización para aplicaciones o se lo agrega a una regla de directiva de acceso, agregue todos los usuarios que necesitan autenticarse antes de que se configuren las autorizaciones de grupo.
  • El usuario de enlace que se especifica en la sección de detalles correspondiente no se sincroniza con el servicio de Workspace ONE Access de forma predeterminada. Si desea sincronizar el usuario de enlace, introduzca el DN de usuario de enlace en la pestaña Usuarios. Después de sincronizar el directorio, establezca la función del usuario de enlace si es necesario.

Procedimiento

  1. Vaya a la página Administración de acceso e identidad > Administrar > Directorios.
  2. Haga clic en el directorio que desee actualizar.
  3. Haga clic en Configuración de sincronización y seleccione la pestaña Grupos.
    La página muestra los DN de grupo que agregó anteriormente y el número de grupos incluidos en los DN de este tipo que están seleccionados para la sincronización.
  4. Haga clic en Seleccionar para ver la lista de grupos incluidos en un DN de grupo y, a continuación, seleccione los grupos o anule su selección según sea necesario.
  5. Para agregar más DN de grupo, siga estos pasos:
    1. En la fila Especificar DN de grupo, haga clic en + y especifique el DN de grupo. Por ejemplo, CN=users,DC=example,DC=company,DC=com.
      Sugerencia: No se recomienda introducir un DN de alto nivel como DN base en el que realizar la búsqueda, ya que esta operación precisaría mucho tiempo. A estos efectos, intente introducir un DN más específico.
      Importante: Especifique los DN de grupo que aparecen a continuación del DN base que introdujo en el cuadro de texto DN base en la página Agregar directorio. Si un DN de grupo aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
    2. Si desea seleccionar todos los grupos que aparecen a continuación del DN de grupo, haga clic en Seleccionar todo.
      Cuando se agregan o eliminan grupos en el DN de grupo en Active Directory después de crear el directorio, los cambios se reflejan en las sincronizaciones posteriores.
    3. Si desea seleccionar grupos específicos en el DN de grupo en lugar de elegirlos todos, haga clic en Seleccionar, elija los elementos que desee y haga clic en Guardar.
      Al hacer clic en Seleccionar, aparecen todos los grupos que se encuentran en el DN. Para limitar los resultados o buscar grupos específicos, introduzca un término de búsqueda en el cuadro correspondiente.
    4. Seleccione la opción Sincronizar miembros de grupo anidados o anule su selección, según sea necesario.
      La opción Sincronizar miembros de grupo anidados se habilita de forma predeterminada. Cuando se habilita esta opción, todos los usuarios que pertenecen directamente al grupo que seleccione y los que pertenecen a grupos anidados dentro de este grupo se sincronizan cuando el grupo está autorizado. Tenga en cuenta que los grupos anidados no se sincronizan. Solo se sincronizarán los usuarios que pertenezcan a los grupos anidados. En el directorio de Workspace ONE Access, estos usuarios serán miembros del grupo de nivel principal que seleccionó para sincronizarse.

      Si deshabilita la opción Sincronizar miembros de grupo anidados, todos los usuarios que pertenezcan directamente a ese grupo se sincronizarán en el grupo que especificó. Los usuarios que pertenezcan a grupos anidados bajo este grupo no se sincronizarán. Deshabilitar esta opción resulta útil para las grandes configuraciones de Active Directory en las que atravesar un árbol de grupo requiera demasiado tiempo o demasiados recursos. Si deshabilita esta opción, asegúrese de que selecciona todos los grupos cuyos usuarios desee sincronizar.

  6. Haga clic en Guardar.
  7. Haga clic en la pestaña Usuarios y seleccione los usuarios que desea sincronizar.
    1. En la fila Especificar DN de usuario, haga clic en + e introduzca estos DN. Por ejemplo, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Importante: Especifique los DN de usuario que aparecen a continuación del DN base que introdujo en el cuadro de texto DN base en la página Agregar directorio. Si un DN de usuario aparece fuera del DN base, los usuarios de dicho DN se sincronizarán, pero no podrán iniciar sesión.
    2. (Opcional) Para excluir usuarios, cree filtros para excluirlos según el atributo seleccionado. Puede crear varios filtros de exclusión.
      Debe seleccionar el atributo de usuario por el que desea filtrar y el filtro de consulta que se aplicará al valor que defina.
      Opción Descripción
      Incluye Excluye todos los usuarios que coinciden con el atributo y el valor establecidos. Por ejemplo, nombre incluye Juan excluye los usuarios con el nombre "Juan".
      No incluye Excluye todos los usuarios, excepto los que coinciden con el atributo y el valor establecidos. Por ejemplo, telephoneNumber no incluye 800 incluye solo los usuarios cuyo número de teléfono contiene "800".
      Comienza con Excluye todos los usuarios cuyo valor de atributo comienza con los caracteres especificados. Por ejemplo, employeeID comienza con ACME0 excluye todos los usuarios que tienen un ID de empleado que incluye "ACME0" al principio del número de ID.
      Termina con Excluye todos los usuarios cuyo valor de atributo termina en los caracteres especificados. Por ejemplo, correo termina con ejemplo1.com excluye todos los usuarios que tienen una dirección de correo electrónico que termina en "ejemplo1.com".
    El valor distingue entre mayúsculas y minúsculas. No utilice los siguientes símbolos en la cadena de valores.
    • Asterisco *
    • Símbolo de intercalación ^
    • Paréntesis ( )
    • Signo de interrogación ?
    • Signo de exclamación !
    • Signo de dólar $