將您的 Active Directory 或 LDAP 目錄與 Workspace ONE Access 整合時,您可以指定要同步的使用者 DN。您可以對使用者 DN 套用篩選器,以包含或排除特定使用者。
如果 DN 包含不需要同步至 Workspace ONE Access 的外來使用者物件,您可以指定 LDAP 篩選器以縮小查詢範圍,或在查詢完成後篩除物件。您可使用的選項取決於您的特定案例。如果 DN 中有大量物件需要排除,則對 DN 使用包含篩選器會使查詢和同步程序更有效率,因為 Workspace ONE Access 不需從 Active Directory 或 LDAP 目錄中擷取額外的物件。另一方面,如果您只需要排除少量物件,則可以使用排除篩選器。從 Active Directory 或 LDAP 目錄中擷取所有的使用者物件後,即會套用排除篩選器。
使用包含篩選器
若要指定包含篩選器,請為您要篩選的使用者 DN 附加分號,然後輸入篩選條件。請使用標準 LDAP 搜尋篩選器語法。例如,如果您的 DN 是 CN=Users,DC=sales,DC=example,DC=com,而您想要僅同步已啟用的使用者,您可以使用下列查詢:
CN=Users,DC=sales,DC=example,DC=com;(&(objectClass=User)(objectCategory=Person)(UserAccountControl=512))
若要檢查查詢是否有效以及查看將要同步的使用者數目,請按一下測試按鈕。
若未指定篩選器,Workspace ONE Access 依預設會套用下列篩選器。
- 對於 Active Directory:(&(objectClass=User)(objectCategory=Person))
- 對於 LDAP 目錄:您在 Workspace ONE Access 中建立 LDAP 目錄時,在 LDAP 組態區段中指定的篩選器。
使用排除篩選器
您可以在篩選器以排除使用者區段中建立排除篩選器,以根據選擇的屬性排除使用者。您可以建立多個排除篩選器。
選取要作為篩選依據的使用者屬性和查詢篩選,以套用至您所定義的值。
| 選項 | 說明 |
|---|---|
| 包含 | 排除符合屬性和值集的所有使用者。例如,名稱包含 Jane 會排除名為「Jane」的使用者。 |
| 不包含 | 排除所有使用者,除了那些符合屬性和值集的使用者以外。例如,telephoneNumber 不包含 800 只會包括電話號碼包含「800」的使用者。 |
| 開頭為 | 排除屬性值以指定字元開頭的所有使用者。例如,employeeID 開頭為 ACME0 會排除員工識別碼開頭包含「ACME0」的所有使用者。 |
| 結尾為 | 排除屬性值以指定字元結尾的所有使用者。例如,電子郵件結尾為 example1.com 會排除電子郵件地址結尾為「example1.com」的所有使用者。 |
該值不區分大小寫。請勿在值字串中使用下列符號。
- 星號
* - 插入號
^ - 括號
() - 問號
? - 驚嘆號
! - 貨幣符號
$
