Workspace ONE Access 主控台中設定指向企業 Active Directory 或 LDAP 目錄的連線時,您可以指定要同步到 Workspace ONE Access 的使用者和群組。最初,您在建立目錄時,需要指定使用者和群組。稍後,您可以從同步設定 > 使用者同步設定 > 群組索引標籤中檢視及修改使用者和群組。

新增群組時,請記住下列考慮事項:

  • 最佳做法是在建立目錄時,僅新增並同步少數群組。初始設定後,您可以新增更多的群組。
  • 新增群組並進行同步時,只有群組名稱會同步到目錄。在群組有權使用應用程式或群組名稱新增至存取原則規則之前,作為群組成員的使用者不會同步至目錄。
    備註: 您可以在 設定 > 登入喜好設定頁面中,選取 新增群組時同步群組成員至目錄選項,以覆寫此限制。
  • (Active Directory) 同步群組時,在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者,皆不會進行同步。
  • (LDAP 目錄) 如果您的 LDAP 目錄中有多個具有相同名稱的群組,您必須在群組區段中為其指定唯一名稱。

新增使用者時,請記住下列考慮事項:

  • 由於在群組有權使用應用程式或新增至存取原則規則之前,群組中的成員不會同步至目錄,因此,請新增所有需要在設定群組權利之前進行驗證的使用者。
  • 依預設,您在該目錄的 [繫結使用者詳細資料] 區段中指定的繫結使用者不會同步至 Workspace ONE Access 服務。如果您想要同步繫結使用者,請在 [使用者] 區段中輸入繫結使用者 DN。目錄同步之後,您可以視需要設定繫結使用者的角色。

程序

  1. 若要導覽至使用者和群組頁面,請從以下選項中選擇。
    • 如果您要在建立 Workspace ONE Access 目錄時新增使用者和群組,請繼續執行精靈的同步群組區段。
    • 建立 Workspace ONE Access 目錄後,若要新增或修改使用者和群組,請執行下列動作:
      1. 選取整合 > 目錄
      2. 按一下您要更新的目錄。
      3. 選取同步設定 > 群組索引標籤。

        您可以看到以前新增的群組 DN,以及每個群組 DN 下方選取進行同步的群組。

  2. 選取要從企業目錄同步至 Workspace ONE Access 目錄的群組。
    若要選取群組,請指定一或多個群組 DN,並選取其下的群組。
    1. 按一下新增
    2. 建立群組對話方塊中,輸入最上層群組 DN,然後按一下新增
      例如,指定 CN=users,DC=example,DC=company,DC=com。
      提示: 不建議輸入高階 DN (例如基準 DN) 來進行搜尋,因為搜尋需要很長時間。請嘗試輸入更具體的 DN 來進行搜尋。
      重要: 請指定位於該目錄的 基準 DN 文字方塊中所輸入基準 DN 下方的群組 DN。如果某個群組 DN 在基準 DN 的外部,則來自該 DN 的使用者仍會進行同步,但將無法登入。
    3. 如果您想要選取已新增群組 DN 下方的所有群組,請選取全選核取方塊。
      例如:
      為最上層群組 CN=Users,DC=example,DC=com 選取了 [全選] 選項。
      如果在建立 Workspace ONE Access 目錄後在企業目錄的群組 DN 中新增或刪除群組,則所做的變更會反映在後續同步中。
    4. 如果您想要選取群組 DN 下方的特定群組,而非選取所有群組,請按一下選取群組進行選取,然後按一下儲存
      為最上層群組 CN=Users,DC=example,DC=com 選取了 [選取群組] 選項。
      您可以在 對應的群組結果區段中檢視群組對應。
    5. 視需要選取或取消選取同步巢狀群組成員核取方塊。
      依預設,會選取 同步巢狀群組成員核取方塊。一旦選取此核取方塊,系統會在群組獲得授權時,同步直接屬於您所選群組的所有使用者,以及屬於其下巢狀群組的所有使用者。請注意,系統不會對巢狀群組進行同步;只會對屬於巢狀群組的使用者進行同步。在 Workspace ONE Access 目錄中,這些使用者將會是您選取要同步之父系群組的成員。

      如果未選取同步巢狀群組成員核取方塊,則在指定要同步的群組時,將會同步直接屬於該群組的所有使用者,但不會同步屬於該群組中巢狀群組的使用者。如果取消選取此選項,對於周遊群組樹狀目錄會耗用大量資源和時間的大型目錄組態,將有所幫助。如果您取消選取此選項,請確定您選取您要同步其使用者的所有群組。

    6. 群組區段中,按一下儲存
  3. 導覽至 [使用者] 頁面。
    • 如果您要在建立目錄時新增使用者和群組,請繼續執行精靈的同步使用者區段。
    • 如果您要在建立目錄後新增或修改使用者和群組,請移至目錄的同步設定 > 使用者索引標籤。
  4. 選取要從企業目錄同步到 Workspace ONE Access 目錄的使用者。
    1. 按一下新增,輸入使用者 DN,然後按一下新增
      例如,指定 CN=username,CN=Users,OU=Sales,DC=example,DC=com。
      ""
      重要: 請指定位於 [新增目錄] 頁面 基準 DN 文字方塊中所輸入之基準 DN 下方的使用者 DN。如果某個使用者 DN 在基準 DN 的外部,則來自該 DN 的使用者仍會進行同步,但將無法登入。
      若要檢查使用者 DN 是否有效以及查看將要同步的使用者數目,請對該資料列按一下 測試按鈕。
      ""
    2. 請視需要指定篩選器以將使用者納入 DN 或從中排除。
  5. 儲存您的變更。