Per le directory di tipo Active Directory e LDAP in Workspace ONE Access, è possibile visualizzare e modificare gli utenti e i gruppi selezionati per la sincronizzazione dalle schede Utenti e Gruppi nella pagina Impostazioni di sincronizzazione della directory.

Quando si aggiungono gruppi, tenere presenti le considerazioni seguenti.

  • È consigliabile aggiungere e sincronizzare un numero limitato di gruppi per iniziare. Dopo la configurazione iniziale, è possibile aggiungere altri gruppi.
  • Quando vengono aggiunti e sincronizzati i gruppi, i nomi dei gruppi vengono sincronizzati con la directory. Gli utenti che sono membri del gruppo non vengono sincronizzati con la directory fino a quando il gruppo è autorizzato per un'applicazione o il nome del gruppo viene aggiunto a una regola del criterio di accesso.
    Nota: È possibile eseguire l'override di questa restrizione abilitando l'opzione Sincronizza membri del gruppo con la directory all'aggiunta del gruppo nella pagina Gestione identità e accessi > Configurazione > Preferenze.
  • Quando si sincronizza un gruppo, gli utenti che non hanno Utenti di dominio come gruppo primario in Active Directory non vengono sincronizzati.

Quando si aggiungono utenti, tenere presenti le considerazioni seguenti:

  • Poiché i membri nei gruppi non vengono sincronizzati con la directory finché il gruppo non viene autorizzato per le applicazioni o aggiunto a una regola del criterio di accesso, aggiungere tutti gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo.
  • Per impostazione predefinita, l'utente di binding specificato nella sezione Dettagli binding non viene sincronizzato con il servizio Workspace ONE Access. Se si desidera sincronizzare l'utente di binding, immettere il DN dell'utente di binding nella scheda Utenti. Dopo la sincronizzazione della directory, impostare il ruolo per l'utente di binding, se necessario.

Procedura

  1. Passare alla pagina Gestione identità e accessi > Gestisci > Directory.
  2. Fare clic sulla directory che si desidera aggiornare.
  3. Fare clic su Impostazioni di sincronizzazione, quindi selezionare la scheda Gruppi.
    La pagina visualizza i DN di gruppo aggiunti in precedenza e il numero di gruppi in ciascun DN di gruppo selezionati per la sincronizzazione.
  4. Fare clic su Seleziona per visualizzare l'elenco dei gruppi sotto un DN di gruppo e selezionare o deselezionare i gruppi come opportuno.
  5. Per aggiungere altri DN di gruppo, eseguire i passaggi seguenti.
    1. Nella riga Specificare il gruppo di livello superiore, fare clic su + e specificare il DN del gruppo di livello superiore. Ad esempio, CN=users,DC=example,DC=company,DC=com.
      Suggerimento: Non è consigliabile immettere un DN di alto livello come il DN di base in cui cercare, poiché la ricerca richiederà molto tempo. Provare a immettere un DN più specifico in cui cercare.
      Importante: Specificare i DN di gruppo che si trovano sotto il DN di base immesso nella casella di testo DN di base nella pagina Aggiungi directory. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.
    2. Se si desidera selezionare tutti i gruppi inclusi nel DN del gruppo aggiunto, fare selezionare la casella di controllo Seleziona tutto.
      Se vengono aggiunti o eliminati gruppi nel DN del gruppo in Active Directory dopo la creazione della directory, le modifiche si rifletteranno sulle sincronizzazioni successive.
    3. Se si desidera selezionare gruppi specifici nel DN del gruppo anziché selezionarli tutti, fare clic su Seleziona gruppi, effettuare le selezioni desiderate e fare clic su Salva.
      Quando si fa clic su Seleziona gruppi, vengono elencati tutti i gruppi trovati nel DN. È possibile restringere i risultati o cercare gruppi specifici immettendo un termine di ricerca nella casella di ricerca.
    4. Selezionare o deselezionare l'opzione Sincronizza membri del gruppo nidificati, se necessario.
      Per impostazione predefinita, l'opzione Sincronizza membri del gruppo nidificati è abilitata. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati quando il gruppo viene autorizzato. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di Workspace ONE Access, questi utenti saranno membri del gruppo principale selezionato per la sincronizzazione.

      Se l'opzione Sincronizza membri del gruppo nidificati è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo verranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di Active Directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti.

  6. Fare clic su Salva.
  7. Fare clic sulla scheda Utenti e selezionare gli utenti da sincronizzare.
    1. Nella riga Specificare i DN utente, fare clic su + e immettere i DN degli utenti. Ad esempio:

      CN=username,CN=Users,OU=myUnit,DC=example,DC=com

      Importante: Specificare i DN degli utenti che si trovano nel DN di base immesso nella casella di testo DN di base nella pagina Aggiungi directory. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.

      Per verificare se il DN utente è valido e visualizzare il numero di utenti che verranno sincronizzati, fare clic sul pulsante Test per tale riga.

    2. Specificare i filtri per includere o escludere gli utenti dai DN, se necessario.