Quando si integra Active Directory o la directory LDAP con Workspace ONE Access, si specificano i DN utente da sincronizzare. È possibile applicare filtri ai DN utente per includere o escludere utenti specifici.

Se un DN contiene oggetti utente estranei che non devono essere sincronizzati con Workspace ONE Access, è possibile specificare filtri LDAP per limitare la query oppure escludere gli oggetti una volta eseguita la query. L'opzione utilizzata dipende dallo scenario specifico. Se è necessario escludere un numero elevato di oggetti nel DN, l'utilizzo di un filtro di inclusione con il DN rende più efficiente la query e il processo di sincronizzazione perché Workspace ONE Access non deve recuperare gli oggetti extra dalla directory di Active Directory o LDAP. Se invece è necessario escludere solo un numero limitato di oggetti, è possibile utilizzare i filtri di esclusione. I filtri di esclusione vengono applicati dopo che tutti gli oggetti utente vengono recuperati dalla directory di Active Directory o LDAP.

Nota: I filtri di inclusione sono disponibili con Workspace ONE Access Connector 20.10 e versioni successive.

Utilizzo dei filtri di inclusione

Per specificare un filtro di inclusione, aggiungere un punto e virgola al DN utente che si desidera filtrare, quindi immettere il filtro. Utilizzare la sintassi del filtro di ricerca LDAP standard. Ad esempio, se il DN è CN=Users,DC=sales,DC=example,DC=com e si desidera sincronizzare solo gli utenti abilitati, è possibile utilizzare la seguente query:

CN=Users,DC=sales,DC=example,DC=com;(&(objectClass=User)(objectCategory=Person)(UserAccountControl=512))

Immettere il DN utente, seguito da un punto e virgola e dal filtro.

Per verificare se la query è valida e visualizzare il numero di utenti che verranno sincronizzati, fare clic sul pulsante Test.

Se non si specifica un filtro, per impostazione predefinita Workspace ONE Access applica il filtro seguente.

  • Per Active Directory: (&(objectClass=User)(objectCategory=Person))
  • Per la directory LDAP: il filtro specificato nella sezione Configurazione LDAP durante la creazione della directory LDAP in Workspace ONE Access.

Utilizzo dei filtri di esclusione

È possibile creare filtri di esclusione nella sezione Filtri per escludere gli utenti per escludere utenti in base all'attributo scelto. È possibile creare più filtri di esclusione.

Selezionare l'attributo utente in base al quale applicare il filtro e il filtro di query da applicare al valore definito.

Opzione Descrizione
Contiene Esclude tutti gli utenti che soddisfano l'attributo e il set di valori. Ad esempio, il nome contiene Jane esclude gli utenti che si chiamano "Jane".
Non contiene Esclude tutti gli utenti, ad eccezione di quelli che soddisfano l'attributo e il set di valori. Ad esempio, telephoneNumber non contiene 800 include solo gli utenti con un numero di telefono che include "800".
Inizia con Esclude tutti gli utenti in cui il valore dell'attributo inizia con i caratteri specificati. Ad esempio, employeeID inizia con ACME0 esclude tutti gli utenti che dispongono di un ID dipendente che inizia con "ACME0".
Termina con Esclude tutti gli utenti in cui il valore dell'attributo termina con i caratteri specificati. Ad esempio mail finisce con example1.com esclude tutti gli utenti che dispongono di un indirizzo e-mail che termina con "example1.com".

Nel valore viene fatta distinzione tra maiuscole e minuscole. Non utilizzare i seguenti simboli nella stringa del valore.

  • Asterisco *
  • Accento circonflesso ^
  • Parentesi ( )
  • Punto interrogativo ?
  • Punto esclamativo !
  • Simbolo del dollaro $
Ad esempio, se il DN è CN=Users,DC=sales,DC=example,DC=com e si desidera escludere gli utenti disattivati, è possibile utilizzare il filtro seguente:
userAccountControl contiene 514.