Workspace ONE Access ディレクトリのセットアップ プロセスで、エンタープライズ ディレクトリから Workspace ONE Access ディレクトリに同期するユーザー属性を選択します。ユーザー属性のリストは、Workspace ONE Access コンソールの ページで管理します。
デフォルト属性
[ユーザー属性] ページには、Active Directory 属性または LDAP ディレクトリ属性にマッピングできるデフォルトの Workspace ONE Access ディレクトリ属性が表示されます。
必須およびオプションの属性を選択します。必須とマークされた属性は、同期されたユーザー レコードすべてについて入力する必要があります。必須属性の値が欠落しているユーザー レコードは Workspace ONE Access に同期されません。また、Workspace ONE Access サービスでディレクトリが作成される前にのみ、属性に必須のマークを付けることができることに注意してください。ディレクトリの作成後は、必須属性にする属性を変更できません。
Active Directory 属性に対するデフォルトのマッピングがある属性を次の表に示します。マッピングは Workspace ONE Access ディレクトリを作成するときに更新できます。
| Workspace ONE Access ディレクトリの属性名 | Active Directory 属性とのデフォルトのマッピング |
|---|---|
| userPrincipalName | userPrincipalName |
| ドメイン | canonicalName オブジェクトの完全修飾ドメイン名を追加します。 |
| disabled (external user disabled) | userAccountControl。UF_Account_Disable でフラグが設定されます。 アカウントが無効になると、ユーザーはログインしてアプリケーションとリソースにアクセスすることができません。ユーザーに割り当てられたリソースはアカウントから削除されないため、フラグがアカウントから削除されても、ユーザーはログインして割り当てられたリソースにアクセスすることができます。 |
| distinguishedName | distinguishedName |
| メール | |
| employeeID | employeeID |
| 名 | givenName |
| 姓 | sn |
| sourceAnchor | objectGUID |
| 電話番号 | telephoneNumber |
| ユーザー名 | sAMAccountName |
カスタム属性
[ユーザー属性] ページで、ディレクトリと同期する追加の属性を入力することもできます。属性を追加するときに入力する属性名では、大文字と小文字が区別されます。たとえば、address、Address、および ADDRESS は個別の属性です。
次の属性は、Workspace ONE Access サービスによってユーザー ID 管理の目的で内部的に使用されるため、カスタムの属性名としては使用できません。
| active | externalId | locale | phoneNumbers | timezone |
| addresses | externalUserDisabled | meta | photos | title |
| displayName | グループ | name | preferredLanguage | userName |
| emails | id | nickName | profileUrl | userType |
| employeeNumber | ims | パスワード | schemas | x509Certificates |
属性の機能
[ユーザー属性] ページの属性は、Workspace ONE Access サービスのすべてのディレクトリに適用されます。ユーザー属性を変更する場合は、すべてのディレクトリに対する影響を考慮してください。たとえば、Active Directory と LDAP ディレクトリの両方を追加する計画の場合は、ユーザー名以外の属性には必須のマークを付けないようにしてください。属性に必須のマークが付いている場合、その属性の値を含まないユーザー レコードは、Workspace ONE Access サービスに同期されません。
ディレクトリを作成すると、[ユーザー属性] ページの属性のリストが、ウィザードの [属性のマップ] セクションに表示され、Workspace ONE Access 属性と Active Directory 属性または LDAP ディレクトリ属性との間のマッピングを指定できます。ディレクトリを作成したら、そのディレクトリの [同期設定] タブから属性マッピングを表示したり更新したりできます。
Workspace ONE Access サービスでディレクトリが作成されると、[ユーザー属性] ページで属性に必須のマークを付けることができなくなります。ユーザー属性に対する次の変更は引き続き許可されます。
- カスタム属性の追加([ユーザー属性] ページ)
- カスタム属性の削除([ユーザー属性] ページ)
- 必須の属性をオプションに変更([ユーザー属性] ページ)
- 属性のマッピングの変更(ディレクトリの [同期設定] タブ)
ディレクトリが作成されてから [ユーザー属性] ページで加えられ保存された変更は、次の同期でディレクトリに適用されます。
重要な要件
- ユーザー属性を Active Directory の属性 objectGUID または mS-DS-ConsistencyGuid にマッピングする場合、すべてのユーザーの Active Directory の属性の値が空でないこと、値の長さはちょうど 16 バイトにすることが必要です。また、Workspace ONE Access 属性は正しい Active Directory 属性名に(大文字と小文字を区別して)マッピングする必要があります。属性名が一致しない場合、null 値が返され、ディレクトリ同期は失敗します。たとえば、Active Directory で mS-DS-ConsistencyGuid 属性を使用し、Workspace ONE Access で ms-DS-ConsistencyGuid を指定すると、ディレクトリ同期は成功しません。
- sourceAnchor 属性には次の要件があります。
- sourceAnchor 属性は大文字と小文字を区別します。
- ユーザーが Workspace ONE Access に同期されてからは、属性値を変更できません。
- 属性値の長さは 60 文字より短くする必要があります。a ~ z、A ~ Z、または 0 ~ 9 以外の文字はエンコードされ、3 文字としてカウントされます。
- 属性値には次の特殊文字を含めないでください。\ ! # $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _
- sourceAnchor 属性を string 型でない属性にマッピングする場合、Base64 による属性値のエンコードでは、特殊文字が出現しないようにし、値が Microsoft エンコード形式と一致するようにします。
- sourceAnchor 属性をバイナリ属性にマッピングする場合は、値が正しい GUID 形式に従うようにします。
- 属性の要件の全リストについては、Microsoft ドキュメントの Selecting a good sourceAnchor Attribute を参照してください。
