Durante il processo di configurazione della directory di Workspace ONE Access, selezionare gli attributi utente da sincronizzare dalla directory aziendale alla directory di Workspace ONE Access. È possibile gestire l'elenco di attributi utente dalla pagina della console di Workspace ONE Access.
Attributi predefiniti
La pagina Attributi utente elenca gli attributi predefiniti della directory Workspace ONE Access che possono essere mappati agli attributi della directory Active Directory o LDAP.
È possibile selezionare gli attributi obbligatori e quelli facoltativi. Gli attributi contrassegnati come obbligatori devono essere compilati per tutti i record utente sincronizzati. I record utente in cui mancano i valori per gli attributi obbligatori non verranno sincronizzati con Workspace ONE Access. Tenere inoltre presente che è possibile contrassegnare gli attributi come obbligatori solo prima di creare qualsiasi directory nel servizio Workspace ONE Access. Dopo aver creato una directory, non è più possibile modificare un attributo in modo da renderlo obbligatorio.
Nella tabella seguente sono elencati gli attributi che dispongono di mappature predefinite agli attributi di Active Directory. È possibile aggiornare le mappature quando si crea la directory di Workspace ONE Access.
| Nome attributo directory di Workspace ONE Access | Mappatura predefinita nell'attributo di Active Directory |
|---|---|
| userPrincipalName | userPrincipalName |
| domain | canonicalName. Aggiunge il nome di dominio completo dell'oggetto. |
| disabled (utente esterno disabilitato) | userAccountControl. Con flag UF_Account_Disable. Quando un account è disattivato, gli utenti non possono accedere alle loro applicazioni e risorse. Le risorse assegnate agli utenti non vengono rimosse dall'account in modo che una volta rimosso il flag dall'account, gli utenti possano nuovamente effettuare l'accesso e utilizzare le risorse loro assegnate. |
| distinguishedName | distinguishedName |
| employeeID | employeeID |
| Nome | givenName |
| Cognome | sn |
| sourceAnchor | objectGUID |
| Telefono | telephoneNumber |
| Nome utente | sAMAccountName |
Attributi personalizzati
Nella pagina Attributi utente, è inoltre possibile immettere gli attributi aggiuntivi che si desidera sincronizzare con la directory. Quando si aggiungono attributi, al nome degli attributi che si immette viene applicata la distinzione tra maiuscole e minuscole. pertanto, ad esempio, indirizzo, Indirizzo e INDIRIZZO sono attributi diversi.
I seguenti attributi non possono essere utilizzati come nomi di attributi personalizzati poiché il servizio di Workspace ONE Access li utilizza internamente per la gestione delle identità degli utenti.
| active | externalId | locale | phoneNumbers | timezone |
| addresses | externalUserDisabled | meta | photos | title |
| displayName | gruppi | name | preferredLanguage | userName |
| emails | id | nickName | profileUrl | userType |
| employeeNumber | ims | password | schemas | x509Certificates |
Funzionamento degli attributi
Gli attributi nella pagina Attributi utente si applicano a tutte le directory nel servizio di Workspace ONE Access. Quando si apportano modifiche agli attributi degli utenti, considerare l'effetto su tutte le directory. Ad esempio, se si intende aggiungere sia Active Directory sia directory LDAP, assicurarsi di non contrassegnare alcun attributo come obbligatorio, ad eccezione di Nome utente. Se un attributo è contrassegnato come obbligatorio, i record utente che non contengono un valore per tale attributo non vengono sincronizzati con il servizio Workspace ONE Access.
Quando si crea una directory, l'elenco di attributi della pagina Attributi utente viene visualizzato nella sezione Mappa attributi della procedura guidata ed è possibile specificare la mappatura tra gli attributi di Workspace ONE Access e gli attributi di Active Directory o della directory LDAP. Dopo aver creato la directory, è possibile visualizzare e aggiornare le mappature degli attributi dalla scheda Impostazioni di sincronizzazione.
Dopo aver creato una directory nel servizio Workspace ONE Access, non è più possibile contrassegnare gli attributi come obbligatori nella pagina Attributi utente. È comunque consentito apportare le modifiche seguenti agli attributi utente:
- Aggiunta di attributi personalizzati (pagina Attributi utente)
- Eliminazione di attributi personalizzati (pagina Attributi utente)
- Modifica degli attributi obbligatori per renderli facoltativi (pagina Attributi utente)
- Modifica della mappatura degli attributi (scheda Impostazioni di sincronizzazione della directory)
Le modifiche apportate e salvate nella pagina Attributi utente dopo la creazione di una directory vengono applicate alla directory con la sincronizzazione successiva.
Requisiti importanti
- Se un attributo utente viene mappato all'attributo di Active Directory objectGUID o mS-DS-ConsistencyGuid, tutti gli utenti devono avere un valore non vuoto per l'attributo in Active Directory e l'attributo deve essere lungo esattamente 16 byte. È inoltre necessario mappare l'attributo di Workspace ONE Access al nome di attributo di Active Directory utilizzando la distinzione corretta tra maiuscole e minuscole. Se i nomi degli attributi non corrispondono, viene restituito un valore null e la sincronizzazione della directory non riesce. Ad esempio se si utilizza l'attributo mS-DS-ConsistencyGuid in Active Directory e si specifica ms-DS-ConsistencyGuid in Workspace ONE Access, la sincronizzazione della directory non riesce.
- L'attributo sourceAnchor ha i requisiti seguenti:
- Per l'attributo sourceAnchor viene applicata la distinzione tra maiuscole e minuscole.
- I valori degli attributi non possono essere modificati dopo la sincronizzazione degli utenti con Workspace ONE Access.
- I valori degli attributi devono contenere meno di 60 caratteri. I caratteri che non sono a-z, A-Z o 0-9 vengono codificati e contati come 3 caratteri.
- I valori degli attributi non possono contenere un carattere speciale: \ ! # $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _
- Se si mappa l'attributo sourceAnchor a un attributo che non è di tipo stringa, Base64 codifica i valori dell'attributo per assicurarsi che non sia presente alcun carattere speciale e verifica che i valori corrispondano al formato di codifica di Microsoft.
- Se si mappa l'attributo sourceAnchor a un attributo binario, assicurarsi che i valori siano espressi nel formato GUID corretto.
- Vedere Selezione di un attributo sourceAnchor valido nella documentazione di Microsoft per l'elenco completo dei requisiti per l'attributo.
