Во время процесса настройки каталога Workspace ONE Access необходимо выбрать атрибуты пользователя для синхронизации из вашего корпоративного каталога с каталогом Workspace ONE Access. В консоли Workspace ONE Access можно управлять списком атрибутов пользователей на странице .
Атрибуты по умолчанию
На странице «Атрибуты пользователя» перечислены атрибуты каталога Workspace ONE Access по умолчанию, которые могут быть сопоставлены с атрибутами Active Directory или каталога LDAP.
Вы можете указать обязательные и необязательные атрибуты. Для всех синхронизированных записей пользователя необходимо заполнить атрибуты, обозначенные как обязательные. Записи пользователей, в которых отсутствуют значения для обязательных атрибутов, не будут синхронизированы с Workspace ONE Access. Также следует учитывать, что отмечать атрибуты как обязательные можно только до создания каталога в службе Workspace ONE Access. После создания каталога атрибут уже нельзя будет сделать обязательным.
В таблице ниже перечислены атрибуты, сопоставленные с атрибутами Active Directory по умолчанию. Сопоставления можно обновить при создании каталога Workspace ONE Access.
| Имя атрибута каталога Workspace ONE Access | Сопоставление с атрибутом Active Directory по умолчанию |
|---|---|
| userPrincipalName | userPrincipalName |
| domain | canonicalName Добавляет полное доменное имя объекта. |
| отключено (внешний пользователь отключен) | userAccountControl. Помечено UF_Account_Disable. Пользователи с отключенными учетными записями не могут получить доступ к своим приложениям и ресурсам. Ресурсы, назначенные пользователям, не удаляются из учетной записи, поэтому в случае снятия пометки с учетной записи пользователи смогут войти и получить доступ к назначенным им ресурсам. |
| distinguishedName | distinguishedName |
| Электронная почта | |
| employeeID | employeeID |
| First Name | givenName |
| Last Name | sn |
| sourceAnchor | ObjectGUID |
| Phone | telephoneNumber |
| Username | sAMAccountName |
Настраиваемые атрибуты
На странице «Атрибуты пользователя» можно также ввести дополнительные атрибуты, которые необходимо синхронизировать с каталогом. При добавлении атрибутов в их именах учитывается регистр. Например, address, Address и ADDRESS — это разные атрибуты.
Следующие атрибуты нельзя использовать в качестве имен пользовательских атрибутов, так как служба Workspace ONE Access использует эти атрибуты внутренне для управления удостоверениями пользователей.
| active | externalId | locale | phoneNumbers | timezone |
| addresses | externalUserDisabled | meta | photos | title |
| displayName | groups | name | preferredLanguage | userName |
| emails | id | nickName | profileUrl | userType |
| employeeNumber | ims | password | schemas | x509Certificates |
Как работают атрибуты
Атрибуты на странице «Атрибуты пользователя» применяются ко всем каталогам службы Workspace ONE Access. При изменении атрибутов пользователя учтите влияние на все каталоги. Например, если планируется добавить Active Directory и каталоги LDAP, не отмечайте никакие атрибуты в качестве обязательных, кроме Username. Если атрибут отмечен как обязательный, записи пользователей, в которых для этого атрибута не содержится значение, не синхронизируются со службой Workspace ONE Access.
При создании каталога список атрибутов со страницы «Атрибуты пользователя» отображается в разделе Сопоставить атрибуты мастера, вы можете указать сопоставление между атрибутами Workspace ONE Access и атрибутами каталога Active Directory или LDAP. После создания каталога можно просмотреть и обновить сопоставления атрибутов на вкладке Параметры синхронизации каталога.
После создания любого каталога в службе Workspace ONE Access больше нельзя будет отмечать обязательные атрибуты на странице «Атрибуты пользователя». Следующие изменения в атрибутах пользователя все еще разрешены:
- Добавление настраиваемых атрибутов (страница «Атрибуты пользователя»)
- Удаление настраиваемых атрибутов (страница «Атрибуты пользователя»)
- Изменение обязательных атрибутов на необязательные (страница «Атрибуты пользователя»)
- Изменение сопоставления атрибутов (вкладка Параметры синхронизации каталога)
Изменения, внесенные и сохраненные на странице «Атрибуты пользователя» после создания каталога, применяются к каталогу при следующей синхронизации.
Важные требования
- Если атрибут пользователя сопоставить с атрибутом Active Directory objectGUID или mS-DS-ConsistencyGuid, у всех пользователей должно быть не пустое значение для атрибута в Active Directory, а его длина должна составлять всего 16 байт. Кроме того, атрибут Workspace ONE Access необходимо сопоставить с правильным именем атрибута Active Directory с использованием правильного регистра. Если имена атрибутов не совпадают, то возвращается нулевое значение, и синхронизация каталога завершается ошибкой. Например, если используется атрибут mS-DS-ConsistencyGuid в Active Directory и указан атрибут ms-DS-ConsistencyGuid в Workspace ONE Access, синхронизацию каталогов не удастся выполнить.
- Атрибут sourceAnchor имеет следующие требования:
- В атрибуте sourceAnchor учитывается регистр.
- Невозможно изменить значения атрибутов после синхронизации пользователей с Workspace ONE Access.
- Длина значений атрибутов не должна превышать 60 символов. Символы, которые не являются символами a–z, A–Z или 0–9, кодируются и считаются тремя символами.
- Значения атрибута не должны содержать специальный символ: \ ! # $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _
- Если атрибут sourceAnchor сопоставлен с атрибутом, который не имеет строкового типа, значения атрибута base64 кодируются так, чтобы не отображались специальные символы, и нужно убедиться, что значения совпадают с форматом кодировки Microsoft.
- При сопоставлении атрибута sourceAnchor с двоичным атрибутом убедитесь, что значения соответствуют правильному формату GUID.
- Полный список требований к атрибуту см. в разделе Выбор подходящего атрибута sourceAnchor документации Microsoft.
