При интеграции каталога Active Directory или LDAP с Workspace ONE Access необходимо указать различающиеся имена пользователей для синхронизации. Фильтры можно применить к различающимся именам пользователей, чтобы включить или исключить определенных пользователей.

Если различающееся имя содержит лишние объекты-пользователи, которые не нужно синхронизировать с Workspace ONE Access, можно указать фильтры LDAP, чтобы сузить запрос, либо отфильтровать объекты после его выполнения. Используемый параметр зависит от конкретного сценария. Если необходимо исключить большое количество объектов в различающемся имени, используйте вместе с ним фильтр для включения. Это повысит эффективность обработки запроса и синхронизации, так как Workspace ONE Access не нужно извлекать дополнительные объекты из каталога Active Directory или LDAP. С другой стороны, если необходимо исключить небольшое количество объектов, можно использовать фильтры исключений. Фильтры исключений применяются после извлечения всех объектов-пользователей из каталога Active Directory или LDAP.

Примечание: Фильтры для включения доступны с Workspace ONE Access Connector 20.10 и более поздних версий.

Использование фильтров для включения

Чтобы указать фильтр для включения, добавьте точку с запятой к различающемуся имени пользователя, которое необходимо отфильтровать, а затем введите фильтр. Используйте стандартный синтаксис для фильтров поиска LDAP. Например, если используется различающееся имя CN=Users,DC=sales,DC=example,DC=com и необходимо синхронизировать только включенных пользователей, можно применить следующий запрос:

CN=Users,DC=sales,DC=example,DC=com;(&(objectClass=User)(objectCategory=Person)(UserAccountControl=512))

Введите различающееся имя пользователя, а затем точку с запятой и фильтр.

Чтобы проверить допустимость запроса и просмотреть количество пользователей, которые будут синхронизированы, нажмите кнопку Тест.

Если фильтр не указан, Workspace ONE Access по умолчанию применяет приведенный ниже фильтр.

  • Для Active Directory: (&(objectClass=User)(objectCategory=Person))
  • Для каталога LDAP: фильтр, указанный в разделе Настройка LDAP при создании каталога LDAP в Workspace ONE Access.

Использование фильтров исключений

В разделе Фильтры для исключения пользователей можно создать фильтры исключений, чтобы исключить пользователей по выбранному атрибуту. Можно создать несколько фильтров исключений.

Выберите атрибут пользователя для фильтрации и фильтр запроса для применения к определенному значению.

Параметр Описание
Содержит Исключает всех пользователей, которые соответствуют атрибуту и набору значений. Например, если указать имя содержит Jane, будут исключены пользователи с именем «Jane».
Не содержит Исключает всех пользователей, кроме тех, которые соответствуют атрибуту и набору значений. Например, если указать telephoneNumber не содержит 800, будут включены только пользователи с номером телефона, который включает в себя «800».
Начинается с Исключает всех пользователей, где значение атрибута начинается с указанных символов. Например, если указать employeeID начинается с ACME0, будут исключены все пользователи с идентификатором сотрудника, в котором значение «ACME0» указано в начале.
Заканчивается на Исключает всех пользователей, где значение атрибута заканчивается указанными символами. Например, если указать mail заканчивается example1.com, будут исключены все пользователи, адрес электронной почты которых заканчивается на «example1.com».

В значении не учитывается регистр. Не используйте следующие символы в строке значения.

  • Звездочка *
  • Крышка ^
  • Круглые скобки ( )
  • Вопросительный знак ?
  • Восклицательный знак !
  • Знак доллара $
Например, если ваше различающееся имя CN=Users,DC=sales,DC=example,DC=com, и вы хотите исключить пользователей, которые деактивированы, вы можете использовать следующий фильтр:
userAccountControl содержит 514.