Workspace ONE Access ディレクトリのセットアップ プロセスで、Workspace ONE Access ディレクトリに同期するユーザー属性を選択します。ユーザー属性のリストは、[ID とアクセス管理] > [セットアップ] > [ユーザー属性] ページから管理されます。

[ユーザー属性] ページには、Active Directory 属性または LDAP ディレクトリ属性にマッピングできるデフォルトの Workspace ONE Access ディレクトリ属性が表示されます。必須およびオプションの属性を選択します。必須とマークされた属性は、同期されたユーザー レコードすべてについて入力する必要があります。必須属性の値が欠落しているユーザー レコードは Workspace ONE Access に同期されません。また、Workspace ONE Access サービスでディレクトリが作成される前にのみ、属性に必須のマークを付けることができることに注意してください。ディレクトリの作成後は、必須属性にする属性を変更できません。

表 1. ディレクトリに同期するデフォルトの属性
Workspace ONE Access ディレクトリの属性名 Active Directory 属性とのデフォルトのマッピング
userPrincipalName userPrincipalName
distinguishedName distinguishedName
employeeId employeeID
ドメイン canonicalName。オブジェクトの完全修飾ドメイン名を追加します。
disabled (external user disabled) userAccountControl。UF_Account_Disable でフラグが設定されます。

アカウントが無効になると、ユーザーはログインしてアプリケーションとリソースにアクセスすることができません。ユーザーに使用資格が付与されているリソースはアカウントから削除されないため、フラグがアカウントから削除されても、ユーザーはログインして使用資格が付与されているリソースにアクセスすることができます。
phone telephoneNumber
lastName sn
firstName givenName
email mail
userName sAMAccountName

[ユーザー属性] ページで、ディレクトリと同期する追加の属性を入力することもできます。属性を追加するときに入力する属性名では、大文字と小文字が区別されます。たとえば、address、Address、および ADDRESS は個別の属性です。

次の属性は、Workspace ONE Access サービスによってユーザー ID 管理の目的で内部的に使用されるため、カスタムの属性名としては使用できません。

表 2. カスタムの属性名として使用できない属性
active externalId locale phoneNumbers timezone
addresses externalUserDisabled meta photos title
displayName グループ name preferredLanguage userName
emails id nickName profileUrl userType
employeeNumber ims password schemas x509Certificates
注: エンタープライズ ディレクトリにこれらの属性のいずれかが含まれていて、その属性を Workspace ONE Access と同期する必要がある場合は、Workspace ONE Access でカスタム属性を別の名前で作成し、ディレクトリ属性にマッピングします。たとえば、ディレクトリから Workspace ONE Access に employeeNumber 属性を同期するには、Workspace ONE Access で newEmployeeID という名前の属性を作成し、 Workspace ONE Access ディレクトリを作成するときにそれを employeeNumber 属性にマッピングできます。

[ユーザー属性] ページの属性は、Workspace ONE Access サービスのすべてのディレクトリに適用されます。ユーザー属性を変更する場合は、すべてのディレクトリに対する影響を考慮してください。たとえば、Active Directory と LDAP ディレクトリの両方を追加する計画の場合、[userName] 以外の属性には、必須のマークを付けないようにしてください。属性に必須のマークが付いている場合、その属性の値を含まないユーザー レコードは、Workspace ONE Access サービスに同期されません。

ディレクトリを作成すると、[ユーザー属性] ページの属性のリストが、ディレクトリの追加ウィザードの [マップされた属性] ページに表示され、Workspace ONE Access 属性と Active Directory 属性または LDAP ディレクトリ属性との間のマッピングを指定できます。ディレクトリを作成したら、[マップされた属性] ページはディレクトリの [同期設定] ページで使用できます。

Workspace ONE Access サービスでディレクトリが作成されると、[ユーザー属性] ページで属性に必須のマークを付けることができなくなります。ユーザー属性に対する次の変更は引き続き許可されます。

  • カスタム属性の追加([ユーザー属性] ページ)
  • カスタム属性の削除([ユーザー属性] ページ)
  • 必須の属性をオプションに変更([ユーザー属性] ページ)
  • 属性のマッピングの変更(ディレクトリの [同期設定] ページ)

ディレクトリが作成されてから [ユーザー属性] ページで加えられ保存された変更は、次の同期でディレクトリに適用されます。