Après avoir créé un annuaire, vous pouvez afficher et modifier les utilisateurs et les groupes sélectionnés pour la synchronisation dans les onglets Utilisateurs et Groupes de la page Paramètres de synchronisation de l'annuaire.

Tenez compte des considérations suivantes lors de l'ajout de groupes.

  • Il est recommandé d'ajouter et de synchroniser un petit nombre de groupes pour commencer. Après la configuration initiale, vous pouvez ajouter d'autres groupes.
  • Lorsque vous ajoutez et synchronisez des groupes, les noms des groupes sont synchronisés avec l'annuaire. Les utilisateurs qui sont membres du groupe ne sont synchronisés avec l'annuaire qu'une fois que le groupe dispose de droits d'accès à une application ou que le nom du groupe est ajouté à une règle de stratégie d'accès.
    Note : Vous pouvez remplacer cette restriction en activant l'option Synchroniser les membres d'un groupe avec l'annuaire lors de l'ajout d'un groupe sur la page Gestion d'identités et d'accès > Configuration > Préférences.
  • Lorsque vous synchronisez un groupe, les utilisateurs ne disposant pas d'Utilisateurs de domaine comme groupe principal dans Active Directory ne sont pas synchronisés.

Tenez compte des considérations suivantes lors de l'ajout d'utilisateurs :

  • Étant donné que les membres des groupes ne sont synchronisés avec l'annuaire qu'une fois que le groupe est autorisé à accéder à des applications ou ajouté à une règle de stratégie d'accès, ajoutez tous les utilisateurs ayant besoin de s'authentifier avant que les droits du groupe ne soient configurés.
  • L'utilisateur Bind que vous avez spécifié dans la section Détails de l'utilisateur Bind n'est pas synchronisé par défaut avec le service Workspace ONE Access. Si vous souhaitez synchroniser l'utilisateur Bind, entrez l'utilisateur Bind DN dans l'onglet Utilisateurs. Une fois l'annuaire synchronisé, définissez le rôle de l'utilisateur Bind, si nécessaire.

Procédure

  1. Accédez à la page Gestion d'identités et d'accès > Gérer > Annuaires.
  2. Cliquez sur l'annuaire à mettre à jour.
  3. Cliquez sur Paramètres de synchronisation, puis sélectionnez l'onglet Groupes.
    La page affiche les DN du groupe que vous avez ajoutés précédemment et le nombre de groupes dans chaque DN du groupe qui sont sélectionnés pour la synchronisation.
  4. Cliquez sur Sélectionner pour afficher la liste des groupes sous un DN du groupe et sélectionnez ou désélectionnez les groupes, si nécessaire.
  5. Pour ajouter d'autres DN du groupe, procédez comme suit.
    1. Dans la ligne Indiquer les DN du groupe, cliquez sur + et indiquez le DN du groupe. Par exemple, CN=users,DC=example,DC=company,DC=com.
      Info-bulle : Il n'est pas recommandé d'entrer un DN de niveau supérieur, tel que le DN de base sous lequel effectuer la recherche, car la recherche prendra longtemps. Essayez d'entrer un DN plus spécifique sous lequel effectuer la recherche.
      Important : Indiquez les DN du groupe qui se trouvent sous le DN de base que vous avez entré dans la zone de texte DN de base sur la page Ajouter un annuaire. Si un DN du groupe se trouve en dehors du DN de base, les utilisateurs de ce DN seront synchronisés, mais ne pourront pas se connecter.
    2. Si vous souhaitez sélectionner tous les groupes sous le DN du groupe, cliquez sur Tout sélectionner.
      Si des groupes sont ajoutés au DN du groupe ou supprimés de celui-ci dans Active Directory après la création de l'annuaire, les modifications sont reflétées lors des synchronisations suivantes.
    3. Si vous souhaitez sélectionner des groupes spécifiques sous le DN du groupe au lieu de les sélectionner tous, cliquez sur Sélectionner, effectuez vos sélections, puis cliquez sur Enregistrer.
      Lorsque vous cliquez sur Sélectionner, tous les groupes trouvés dans le DN sont répertoriés. Vous pouvez affiner les résultats ou rechercher des groupes spécifiques en entrant un terme à rechercher dans la zone de recherche.
    4. Sélectionnez ou désélectionnez l'option Synchroniser les membres du groupe imbriqué, si nécessaire.
      L'option Synchroniser les membres du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés lorsque des droits sont octroyés au groupe. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire Workspace ONE Access, ces utilisateurs seront des membres du groupe parent que vous avez sélectionné pour la synchronisation.

      Si l'option Synchroniser les membres du groupe imbriqué est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations Active Directory importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs.

  6. Cliquez sur Enregistrer.
  7. Cliquez sur l'onglet Utilisateurs et sélectionnez les utilisateurs à synchroniser.
    1. Dans la ligne Indiquer les DN de l'utilisateur, cliquez sur +, puis entrez les DN de l'utilisateur. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Important : Indiquez les DN de l'utilisateur qui se trouvent sous le DN de base que vous avez entré dans la zone de texte DN de base sur la page Ajouter un annuaire. Si un DN d'utilisateur se trouve en dehors du DN de base, les utilisateurs de ce DN seront synchronisés, mais ne pourront pas se connecter.
    2. (Facultatif) Pour exclure des utilisateurs, créez des filtres pour exclure les utilisateurs en fonction de l'attribut choisi. Vous pouvez créer plusieurs filtres d'exclusion.
      Vous pouvez sélectionner l'attribut utilisateur à filtrer et le filtre de requête à appliquer à la valeur que vous définissez.
      Option Description
      Contient Exclut tous les utilisateurs qui correspondent à l'ensemble des attributs et des valeurs. Par exemple, le nom contient Jane exclut les utilisateurs nommés « Jane ».
      Ne contient pas Exclut tous les utilisateurs à l'exception de ceux qui correspondent à l'ensemble des attributs et des valeurs. Par exemple, telephoneNumber ne contient pas 800, inclut uniquement les utilisateurs ayant un numéro de téléphone qui inclut « 800 ».
      Commence par Excluez tous les utilisateurs dont la valeur de l'attribut commence par les caractères spécifiés. Par exemple, employeeID commence par ACME0, exclut tous les utilisateurs dont l'ID d'employé inclut « ACME0 » au début de leur numéro d'ID.
      Se termine par Excluez tous les utilisateurs dont la valeur de l'attribut se termine par les caractères spécifiés. Par exemple, l'e-mail se termine par example1.com, exclut tous les utilisateurs dont l'adresse e-mail se termine par « example1.com ».
    La valeur est insensible à la casse. N'utilisez pas les symboles suivants dans la chaîne de valeur.
    • Astérisque *
    • Caret ^
    • Parenthèses ( )
    • Point d'interrogation ?
    • Point d'exclamation !
    • Symbole dollar $