При настройке подключения к корпоративному каталогу Active Directory или LDAP в консоли Workspace ONE Access необходимо указать пользователей и группы для синхронизации с Workspace ONE Access. Первоначально необходимо указать пользователей и группы при создании каталога. Позже можно просмотреть и изменить пользователей и группы на вкладках Параметры синхронизации > Пользователи и Параметры синхронизации > Группы.

При добавлении групп учитывайте следующие соображения:

  • При создании каталога рекомендуется добавлять и синхронизировать только несколько групп. После начальной настройки можно добавить другие группы.
  • При добавлении и синхронизации групп с каталогом синхронизируются только их имена. Пользователи, входящие в группу, не синхронизируются с каталогом, пока группе не будет предоставлено право на доступ к приложению или имя группы не будет добавлено в правило политики доступа.
    Примечание: Это ограничение можно переопределить путем выбора параметра Синхронизировать участников группы с каталогом при добавлении группы на странице Параметры > Параметры входа.
  • (Active Directory) При синхронизации группы все пользователи, для которых группа «Пользователи домена» в Active Directory не является основной, не синхронизируются.
  • (Каталог LDAP) Если в каталоге LDAP есть несколько групп с одинаковыми именами, в разделе групп необходимо указать для них уникальные имена.

При добавлении пользователей учитывайте следующие рекомендации.

  • Так как участники группы не синхронизируются с каталогом, пока группе не будут предоставлены права на доступ к приложению или пока она не будет добавлена в правило политики доступа, добавьте всех пользователей, которым нужно пройти проверку подлинности, перед настройкой прав группы.
  • Пользователь подключения, указанный в разделе «Сведения о пользователе подключения» в каталоге, по умолчанию не синхронизируется со службой Workspace ONE Access. Если необходимо синхронизировать пользователя подключения, введите различающееся имя пользователя подключения в разделе «Пользователи». При необходимости после синхронизации каталога можно задать роль для пользователя подключения.

Процедура

  1. Чтобы перейти на страницы пользователей и групп, выберите один из следующих параметров.
    • Добавляя пользователей и группы при создании каталога Workspace ONE Access, перейдите к разделу Синхронизировать группы в мастере.
    • При добавлении или изменении пользователей и групп после создания каталога Workspace ONE Access выполните указанные ниже действия.
      1. а.Выберите Интеграции > Каталоги.
      2. б.Нажмите каталог, который нужно обновить.
      3. в.Выберите вкладку Настройка синхронизации > Группы.

        Для каждого различающегося имени группы можно просмотреть ранее добавленные различающиеся имена групп, а также группы, выбранные для синхронизации.

  2. Выберите группы в корпоративном каталоге, которые должны синхронизироваться с каталогом Workspace ONE Access.
    Чтобы выбрать группы, укажите одно или несколько различающихся имен и выберите под ними группы.
    1. а. Нажмите кнопку Добавить.
    2. б. В диалоговом окне Создание группы введите различающееся имя группы верхнего уровня, а затем щелкните Добавить.
      Например, укажите CN=users,DC=example,DC=company,DC=com.
      Совет: Ввод различающегося имени высокого уровня, такого как базовое различающееся имя, для поиска не рекомендуется, так как поиск займет много времени. Попробуйте ввести для поиска более конкретное различающееся имя.
      Важно!: Укажите различающиеся имена групп, входящие в базовое различающееся имя, введенное в текстовом поле Базовое различающееся имя каталога. Если различающееся имя группы не соответствует базовому различающемуся имени, данные пользователей из группы с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
    3. в. Если необходимо выбрать все группы с различающимся именем группы, установите флажок Выбрать все.
      Например:
      Вариант «Выбрать все» выбран для группы верхнего уровня CN=Users,DC=example,DC=com.
      Если группы добавляются в различающееся имя группы или удаляются из него в корпоративном каталоге после создания каталога Workspace ONE Access, изменения отражаются при последующих синхронизациях.
    4. г. Если необходимо выбрать не все, а конкретные группы с различающимся именем, нажмите Выбрать группы, сделайте выбор и нажмите Сохранить.
      Опция «Выбрать группы» выбрана для группы верхнего уровня CN=Users,DC=example,DC=com.
      Сопоставления групп можно просмотреть в разделе Результаты сопоставленных групп.
    5. д. При необходимости установите или снимите флажок Синхронизировать участников вложенных групп.
      Флажок Синхронизировать участников вложенных групп установлен по умолчанию. Когда этот флажок установлен, все пользователи, которые принадлежат непосредственно к выбранной группе, а также к вложенным группам этой группы, синхронизируются, если группе предоставлены права. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге Workspace ONE Access эти пользователи будут участниками родительской группы, выбранной для синхронизации.

      Если флажок Синхронизировать участников вложенных групп не установлен, при указании группы для синхронизации все пользователи, которые принадлежат непосредственно к группе, синхронизируются, но пользователи, принадлежащие к вложенным группам этой группы, не синхронизируются. Отключение этого параметра полезно для больших конфигураций каталога, где навигация по дереву групп требует значительных объемов ресурсов и времени. Но перед его отключением убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.

    6. е. Щелкните Сохранить. в разделе Группы.
  3. Перейдите на страницу пользователей.
    • Добавляя пользователей и группы при создании каталога, перейдите к разделу Синхронизировать пользователей мастера.
    • При добавлении или изменении пользователей и групп после создания каталога перейдите на вкладку Параметры синхронизации > Пользователи.
  4. Выберите пользователей в корпоративном каталоге, которые должны синхронизироваться с каталогом Workspace ONE Access.
    1. а. Щелкните добавить Добавить, введите различающееся имя пользователя, а затем щелкните Добавить..
      Например, укажите CN=username,CN=Users,OU=Sales,DC=example,DC=com.
      «»
      Важно!: Укажите различающиеся имена пользователей, входящие в базовое различающееся имя, которое введено в текстовом поле Базовое различающееся имя на странице «Добавить каталог». Если различающееся имя пользователя не соответствует базовому различающемуся имени, данные пользователей с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
      Чтобы проверить допустимость различающегося имени пользователя и просмотреть количество пользователей, которые будут синхронизированы, нажмите кнопку Тест для соответствующей строки.
      «»
    2. б. При необходимости укажите фильтры, чтобы включить или исключить пользователей для различающихся имен.
      Дополнительные сведения см. в разделе Указание фильтров для синхронизации каталогов в Workspace ONE Access.
  5. Сохраните изменения.