在 Workspace ONE Access 目錄設定程序執行期間,您可以選取要從您的企業目錄同步至 Workspace ONE Access 目錄的使用者屬性。您可以從 Workspace ONE Access 主控台的頁面中管理使用者屬性清單。
預設屬性
[使用者屬性] 頁面會列出可對應至 Active Directory 或 LDAP 目錄屬性的預設 Workspace ONE Access 目錄屬性。
您可以選取哪些屬性是必要的,哪些屬性是選用的。所有同步的使用者記錄都必須填入標示為必要的屬性。遺漏必要屬性值的使用者記錄將不會同步至 Workspace ONE Access。此外請留意,您只能在 Workspace ONE Access 服務中尚未建立任何目錄之前將屬性標示為必要。目錄建立後,您即無法再將屬性變更為必要屬性。
下表列出了具有對應至 Active Directory 屬性的預設對應的屬性。您可以在建立 Workspace ONE Access 目錄時更新這些對應。
| Workspace ONE Access 目錄屬性名稱 | Active Directory 屬性的預設對應 |
|---|---|
| userPrincipalName | userPrincipalName |
| 網域 | canonicalName 新增物件的完整網域名稱。 |
| 已停用 (已停用外部使用者) | userAccountControl。標記為 UF_Account_Disable。 停用帳戶時,使用者無法登入以存取其應用程式和資源。指派給使用者的資源不會從帳戶中移除,因此當將旗標從帳戶中移除後,使用者仍可登入並存取指派給他們的資源。 |
| distinguishedName | distinguishedName |
| 電子郵件 | |
| employeeID | employeeID |
| 名字 | givenName |
| 姓氏 | sn |
| sourceAnchor | objectGUID |
| 電話 | telephoneNumber |
| 使用者名稱 | sAMAccountName |
自訂屬性
在 [使用者屬性] 頁面上,您也可以輸入要同步至目錄的其他屬性。新增屬性時,您輸入的屬性名稱會區分大小寫。例如 address、Address 和 ADDRESS 是不同的屬性。
下列屬性無法用作自訂屬性名稱,因為 Workspace ONE Access 服務會在內部使用這些屬性來進行使用者身分識別管理。
| active | externalId | locale | phoneNumbers | timezone |
| addresses | externalUserDisabled | meta | photos | title |
| displayName | 群組 | name | preferredLanguage | userName |
| emails | id | nickName | profileUrl | userType |
| employeeNumber | ims | 密碼 | 架構 | x509Certificates |
屬性的運作方式
[使用者屬性] 頁面上的屬性會套用至 Workspace ONE Access 服務中的所有目錄。當您對使用者屬性進行變更時,請考量這對所有目錄有何影響。例如,如果您預計要同時新增 Active Directory 和 LDAP 目錄,請確保您未將 Username 以外的任何屬性標示為必要。如果某個屬性標示為必要,未包含該屬性值的使用者記錄將不會同步至 Workspace ONE Access 服務。
建立目錄時,[使用者屬性] 頁面中的屬性清單會顯示在精靈的對應屬性區段上,您可以指定 Workspace ONE Access 屬性與 Active Directory 或 LDAP 目錄屬性之間的對應。在建立目錄後,您可以從目錄的同步設定索引標籤中檢視和更新屬性對應。
在 Workspace ONE Access 服務中建立任何目錄後,您即無法在 [使用者屬性] 頁面上再將屬性標示為必要。您仍可對使用者屬性進行下列變更:
- 新增自訂屬性 ([使用者屬性] 頁面)
- 刪除自訂屬性 ([使用者屬性] 頁面)
- 將必要屬性變更為選用 ([使用者屬性] 頁面)
- 變更屬性的對應 (目錄的同步設定索引標籤)
建立目錄後在 [使用者屬性] 頁面中所進行且儲存的變更,會在下一次同步時套用至目錄。
重要需求
- 如果將任何使用者屬性對應至 Active Directory 屬性 objectGUID 或 mS-DS-ConsistencyGuid,則所有使用者必須在 Active Directory 中具有非空屬性值,並且該值的長度必須恰好為 16 位元組。此外,您必須使用正確大小寫將 Workspace ONE Access 屬性對應到正確的 Active Directory 屬性名稱。如果屬性名稱不相符,則會傳回空值,並且目錄同步失敗。例如,如果在 Active Directory 中使用 mS-DS-ConsistencyGuid 屬性,並在 Workspace ONE Access 中指定 ms-DS-ConsistencyGuid,目錄同步將失敗。
- sourceAnchor 屬性具有以下需求:
- sourceAnchor 屬性區分大小寫。
- 在將使用者同步到 Workspace ONE Access 後,無法變更屬性值。
- 屬性值的長度必須少於 60 個字元。不是 a-z、A-Z 或 0-9 的字元將編碼並計為 3 個字元。
- 屬性值不得包含特殊字元:\ ! # $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _
- 如果將 sourceAnchor 屬性對應到非字串類型的屬性,則對屬性值進行 Base64 編碼以確保不會出現特殊字元,並確保這些值與 Microsoft 編碼格式相符。
- 如果將 sourceAnchor 屬性對應到二進位屬性,請確保這些值符合正確的 GUID 格式。
- 有關屬性需求的完整清單,請參閱 Microsoft 說明文件中的選取正確的 sourceAnchor 屬性。
