После создания каталога можно просматривать и изменять пользователей и группы, выбранные для синхронизации, на вкладках «Пользователи» и «Группы» на странице «Параметры синхронизации» каталога.

При добавлении групп учитывайте следующие соображения.

  • Рекомендуется начать с добавления и синхронизации небольшого количества групп. После начальной настройки можно добавить другие группы.
  • При добавлении и синхронизации групп их имена синхронизируются с каталогом. Пользователи, входящие в группу, не синхронизируются с каталогом, пока группе не будет предоставлено право на доступ к приложению или имя группы не будет добавлено в правило политики доступа.
    Примечание: Это ограничение можно переопределить путем включения параметра Синхронизировать участников группы с каталогом при добавлении группы на странице Управление учетными данными и доступом > Настройка > Параметры.
  • При синхронизации группы все пользователи, для которых группа «Пользователи домена» в Active Directory не является основной, не синхронизируются.

При добавлении пользователей учитывайте следующие рекомендации.

  • Так как участники группы не синхронизируются с каталогом, пока группе не будут предоставлены права на доступ к приложению или пока она не будет добавлена в правило политики доступа, добавьте всех пользователей, которым нужно пройти проверку подлинности, перед настройкой прав группы.
  • Пользователь подключения, указанный в разделе «Сведения о подключении», по умолчанию не синхронизируется со службой Workspace ONE Access. Если необходимо синхронизировать пользователя подключения, введите различающееся имя пользователя подключения на вкладке «Пользователи». При необходимости после синхронизации каталога задайте роль для пользователя подключения.

Процедура

  1. Перейдите к странице Управление учетными данными и доступом > Управление > Каталоги.
  2. Нажмите каталог, который нужно обновить.
  3. Нажмите Параметры синхронизации, а затем выберите вкладку Группы.
    На этой странице отображается ранее добавленные различающиеся имена групп и количество групп в каждом различающемся имени группы, выбранном для синхронизации.
  4. Нажмите Выбрать, чтобы просмотреть список групп с различающимся именем группы, а затем выберите или отмените выбор групп по мере необходимости.
  5. Чтобы добавить больше различающихся имен групп, выполните следующие действия.
    1. а. В строке Укажите различающиеся имена групп нажмите + и введите различающееся имя группы. Например, CN=users,DC=example,DC=company,DC=com.
      Совет: Ввод различающегося имени высокого уровня, такого как базовое различающееся имя, для поиска не рекомендуется, так как поиск займет много времени. Попробуйте ввести для поиска более конкретное различающееся имя.
      Важно!: Укажите различающиеся имена групп, входящие в базовое различающееся имя, введенное в текстовом поле Базовое различающееся имя на странице «Добавить каталог». Если различающееся имя группы не соответствует базовому различающемуся имени, данные пользователей из группы с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
    2. б. Если необходимо выбрать все группы с различающимся именем группы, нажмите Выбрать все.
      Если после создания каталога группы добавляются в различающееся имя группы в Active Directory или удаляются из него, изменения отражаются при последующих синхронизациях.
    3. в. Если необходимо выбрать не все, а конкретные группы с различающимся именем, нажмите Выбрать, сделайте выбор и нажмите Сохранить.
      При нажатии Выбрать будут перечислены все группы, найденные в различающемся имени. Для сужения результатов или поиска определенных групп введите ключевое слово в поле поиска.
    4. г. При необходимости установите или снимите флажок параметра Синхронизировать участников вложенных групп.
      Параметр Синхронизировать участников вложенных групп включен по умолчанию. Когда этот параметр включен, все пользователи, которые принадлежат непосредственно к выбранной группе, а также к вложенным группам этой группы, синхронизируются, если группе предоставлены права. Обратите внимание, что синхронизируются не вложенные группы, а только пользователи, принадлежащие к ним. В каталоге Workspace ONE Access эти пользователи будут участниками родительской группы, выбранной для синхронизации.

      Если параметр Синхронизировать участников вложенных групп отключен, то при указании группы для синхронизации все пользователи, которые принадлежат непосредственно к ней, будут синхронизированы. Пользователи, которые принадлежат к вложенным группам этой группы, не синхронизируются. Отключение этого параметра может потребоваться в больших конфигурациях Active Directory, где навигация по дереву групп требует значительных объемов ресурсов и времени. Но перед тем как его отключить, убедитесь, что выбраны все группы, пользователей которых необходимо синхронизировать.

  6. Нажмите кнопку Сохранить.
  7. Нажмите вкладку Пользователи и выберите пользователей для синхронизации.
    1. а. В строке Укажите различающиеся имена пользователей щелкните + и введите различающиеся имена пользователей. Например, CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      Важно!: Укажите различающиеся имена пользователей, входящие в базовое различающееся имя, которое введено в текстовом поле Базовое различающееся имя на странице «Добавить каталог». Если различающееся имя пользователя не соответствует базовому различающемуся имени, данные пользователей с этим различающимся именем будут синхронизироваться, но сами пользователи не смогут выполнить вход.
    2. б. (Необязательно) Чтобы исключить пользователей, создайте фильтры для исключения пользователей в зависимости от выбранного атрибута. Можно создать несколько фильтров для исключения.
      Выберите атрибут пользователя для фильтрации и фильтр запроса для применения к определенному значению.
      Параметр Описание
      Содержит Исключает всех пользователей, которые соответствуют атрибуту и набору значений. Например, если указать имя содержит Jane, будут исключены пользователи с именем «Jane».
      Не содержит Исключает всех пользователей, кроме тех, которые соответствуют атрибуту и набору значений. Например, если указать telephoneNumber не содержит 800, будут включены только пользователи с номером телефона, который включает в себя «800».
      Начинается с Исключает всех пользователей, где значение атрибута начинается с указанных символов. Например, если указать employeeID начинается с ACME0, будут исключены все пользователи с идентификатором сотрудника, в котором значение «ACME0» указано в начале.
      Заканчивается Исключает всех пользователей, где значение атрибута заканчивается указанными символами. Например, если указать mail заканчивается example1.com, будут исключены все пользователи, адрес электронной почты которых заканчивается на «example1.com».
    В значении не учитывается регистр. Не используйте следующие символы в строке значения.
    • Звездочка *
    • Крышка ^
    • Круглые скобки ( )
    • Вопросительный знак ?
    • Восклицательный знак !
    • Знак доллара $