Dopo aver creato una directory, è possibile visualizzare e modificare gli utenti e i gruppi selezionati per la sincronizzazione dalle schede Utenti e Gruppi nella pagina Impostazioni di sincronizzazione della directory.

Quando si aggiungono gruppi, tenere presenti le considerazioni seguenti.

  • È consigliabile aggiungere e sincronizzare un numero limitato di gruppi per iniziare. Dopo la configurazione iniziale, è possibile aggiungere altri gruppi.
  • Quando vengono aggiunti e sincronizzati i gruppi, i nomi dei gruppi vengono sincronizzati con la directory. Gli utenti che sono membri del gruppo non vengono sincronizzati con la directory fino a quando il gruppo è autorizzato per un'applicazione o il nome del gruppo viene aggiunto a una regola del criterio di accesso.
    Nota: È possibile eseguire l'override di questa restrizione abilitando l'opzione Sincronizza membri del gruppo con la directory all'aggiunta del gruppo nella pagina Gestione identità e accessi > Configurazione > Preferenze.
  • Quando si sincronizza un gruppo, gli utenti che non hanno Utenti di dominio come gruppo primario in Active Directory non vengono sincronizzati.

Quando si aggiungono utenti, tenere presenti le considerazioni seguenti:

  • Poiché i membri nei gruppi non vengono sincronizzati con la directory finché il gruppo non viene autorizzato per le applicazioni o aggiunto a una regola del criterio di accesso, aggiungere tutti gli utenti che devono autenticarsi prima che siano configurati i permessi del gruppo.
  • Per impostazione predefinita, l'utente di binding specificato nella sezione Dettagli binding non viene sincronizzato con il servizio Workspace ONE Access. Se si desidera sincronizzare l'utente di binding, immettere il DN dell'utente di binding nella scheda Utenti. Dopo la sincronizzazione della directory, impostare il ruolo per l'utente di binding, se necessario.

Procedura

  1. Passare alla pagina Gestione identità e accessi > Gestisci > Directory.
  2. Fare clic sulla directory che si desidera aggiornare.
  3. Fare clic su Impostazioni di sincronizzazione, quindi selezionare la scheda Gruppi.
    La pagina visualizza i DN di gruppo aggiunti in precedenza e il numero di gruppi in ciascun DN di gruppo selezionati per la sincronizzazione.
  4. Fare clic su Seleziona per visualizzare l'elenco dei gruppi sotto un DN di gruppo e selezionare o deselezionare i gruppi come opportuno.
  5. Per aggiungere altri DN di gruppo, eseguire i passaggi seguenti.
    1. Nella riga Specificare i DN gruppo, fare clic su + e specificare il DN del gruppo. Ad esempio, CN=users,DC=example,DC=company,DC=com.
      Suggerimento: Non è consigliabile immettere un DN di alto livello come il DN di base in cui cercare, poiché la ricerca richiederà molto tempo. Provare a immettere un DN più specifico in cui cercare.
      Importante: Specificare i DN di gruppo che si trovano sotto il DN di base immesso nella casella di testo DN di base nella pagina Aggiungi directory. Se il DN di un gruppo si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.
    2. Se si desidera selezionare tutti i gruppi nel DN di gruppo, fare clic su Seleziona tutto.
      Se vengono aggiunti o eliminati gruppi nel DN del gruppo in Active Directory dopo la creazione della directory, le modifiche si rifletteranno sulle sincronizzazioni successive.
    3. Se si desidera selezionare gruppi specifici nel DN di gruppo anziché selezionarli tutti, fare clic su Seleziona, effettuare le selezioni e fare clic su Salva.
      Quando si fa clic su Seleziona, vengono elencati tutti i gruppi trovati nel DN. È possibile restringere i risultati o cercare gruppi specifici immettendo un termine di ricerca nella casella di ricerca.
    4. Selezionare o deselezionare l'opzione Sincronizza membri del gruppo nidificati, se necessario.
      Per impostazione predefinita, l'opzione Sincronizza membri del gruppo nidificati è abilitata. Quando questa opzione è abilitata, tutti gli utenti che appartengono direttamente al gruppo selezionato così come gli utenti che appartengono ai gruppi nidificati al di sotto di esso vengono sincronizzati quando il gruppo viene autorizzato. Tenere presente che i gruppi nidificati non vengono sincronizzati; sono sincronizzati solo gli utenti che appartengono ai gruppi. Nella directory di Workspace ONE Access, questi utenti saranno membri del gruppo principale selezionato per la sincronizzazione.

      Se l'opzione Sincronizza membri del gruppo nidificati è disabilitata, quando si specifica un gruppo da sincronizzare, tutti gli utenti che appartengono direttamente a tale gruppo verranno sincronizzati. Gli utenti che appartengono ai gruppi nidificati al di sotto di esso non saranno sincronizzati. La disabilitazione di questa opzione è utile per configurazioni di Active Directory di grosse dimensioni dove l'attraversamento di una struttura di gruppi implica un uso intensivo di risorse e tempo. Se si disabilita questa opzione, assicurarsi di selezionare tutti i gruppi per cui si desidera sincronizzare gli utenti.

  6. Fare clic su Salva.
  7. Fare clic sulla scheda Utenti e selezionare gli utenti da sincronizzare.
    1. Nella riga Specificare i DN utente, fare clic su + e immettere i DN degli utenti. Ad esempio:

      CN=username,CN=Users,OU=myUnit,DC=example,DC=com

      È inoltre possibile specificare i filtri di ricerca LDAP con i DN utente per limitare la ricerca. I filtri utilizzati con i DN utente sono filtri di inclusione e consentono di eseguire una ricerca più efficace.

      Per specificare un filtro, aggiungere un punto e virgola al DN utente che si desidera filtrare, quindi immettere il filtro. Utilizzare la sintassi del filtro di ricerca LDAP standard. Ad esempio:

      CN=Users,DC=sales,DC=example,DC=com;(&(objectClass=User)(objectCategory=Person)(memberOf=CN=Domain Users,CN=Users,DC=sales,DC=example,DC=com)(UserAccountControl=512))

      Per verificare se il DN utente è valido e visualizzare il numero di utenti che verranno sincronizzati, fare clic sul pulsante Test per tale riga.

      Importante: Specificare i DN degli utenti che si trovano nel DN di base immesso nella casella di testo DN di base nella pagina Aggiungi directory. Se il DN di un utente si trova al di fuori del DN di base, gli utenti di tale DN verranno sincronizzati ma non potranno eseguire il login.
    2. (Facoltativo) Per escludere utenti, creare filtri per escludere utenti in base all'attributo selezionato. È possibile creare più filtri di esclusione.
      Selezionare l'attributo utente in base al quale applicare il filtro e il filtro di query da applicare al valore definito.
      Opzione Descrizione
      Contiene Esclude tutti gli utenti che soddisfano l'attributo e il set di valori. Ad esempio, il nome contiene Jane esclude gli utenti che si chiamano "Jane".
      Non contiene Esclude tutti gli utenti, ad eccezione di quelli che soddisfano l'attributo e il set di valori. Ad esempio, telephoneNumber non contiene 800 include solo gli utenti con un numero di telefono che include "800".
      Inizia con Esclude tutti gli utenti in cui il valore dell'attributo inizia con i caratteri specificati. Ad esempio, employeeID inizia con ACME0 esclude tutti gli utenti che dispongono di un ID dipendente che inizia con "ACME0".
      Termina con Esclude tutti gli utenti in cui il valore dell'attributo termina con i caratteri specificati. Ad esempio mail finisce con example1.com esclude tutti gli utenti che dispongono di un indirizzo e-mail che termina con "example1.com".
    Nel valore viene fatta distinzione tra maiuscole e minuscole. Non utilizzare i seguenti simboli nella stringa del valore.
    • Asterisco *
    • Accento circonflesso ^
    • Parentesi ( )
    • Punto interrogativo ?
    • Punto esclamativo !
    • Simbolo del dollaro $