對於 Workspace ONE Access 中屬於 Active Directory 和 LDAP 類型的目錄,您可以在目錄的 [同步設定] 頁面上,從 [使用者與群組] 索引標籤中,檢視和修改選取用於同步的使用者和群組。

新增群組時,請記住下列考慮事項。

  • 最佳做法是一開始時先新增並同步少量的群組。初始設定後,您可以新增更多的群組。
  • 新增並同步群組時,群組名稱會同步至目錄。在群組有權使用應用程式或群組名稱新增至存取原則規則之前,作為群組成員的使用者不會同步至目錄。
    備註: 您可以在 身分識別與存取管理 > 設定 > 喜好設定頁面中啟用 新增群組時同步群組成員至目錄,以覆寫此限制。
  • 同步群組時,在 Active Directory 中未使用網域使用者做為其主要群組的任何使用者,皆不會進行同步。

新增使用者時,請記住下列考慮事項:

  • 由於在群組有權使用應用程式或新增至存取原則規則之前,群組中的成員不會同步至目錄,因此,請新增所有需要在設定群組權利之前進行驗證的使用者。
  • 依預設,您在 [繫結詳細資料] 區段中指定的繫結使用者不會同步至 Workspace ONE Access 服務。如果您想要同步繫結使用者,請在 [使用者] 索引標籤上輸入繫結使用者 DN。在目錄同步後,請視需要設定繫結使用者的角色。

程序

  1. 導覽至身分識別與存取管理 > 管理 > 目錄頁面。
  2. 按一下您要更新的目錄。
  3. 按一下同步設定,然後選取群組索引標籤。
    此頁面會顯示您先前新增的群組 DN,以及每個已選取要同步之群組 DN 中的群組數目。
  4. 按一下選取以查看群組 DN 下方的群組清單,並視需要選取或取消選取群組。
  5. 若要新增更多群組 DN,請執行下列步驟。
    1. 指定最上層群組資料列中按一下 +,並指定最上層群組 DN。例如 CN=users,DC=example,DC=company,DC=com。
      提示: 不建議輸入高階 DN (例如基準 DN) 來進行搜尋,因為搜尋需要很長時間。請嘗試輸入更具體的 DN 來進行搜尋。
      重要: 請指定位於 [新增目錄] 頁面 基準 DN 文字方塊中所輸入基準 DN 下方的群組 DN。如果某個群組 DN 在基準 DN 的外部,則來自該 DN 的使用者仍會進行同步,但將無法登入。
    2. 如果您想要選取已新增群組 DN 下方的所有群組,請選取全選核取方塊。
      如果在建立目錄後從 Active Directory 中的群組 DN 新增或刪除群組,則變更會在後續同步中反映出來。
    3. 如果您想要選取群組 DN 下方的特定群組,而非選取所有群組,請按一下選取群組進行選取,然後按一下儲存
      當您按一下 選取群組時,系統會列出在 DN 中找到的所有群組。您可以在搜尋方塊中輸入搜尋詞彙,以縮小結果或搜尋特定群組。
    4. 視需要選取或取消選取同步巢狀群組成員選項。
      依預設會啟用 同步巢狀群組成員選項。此選項啟用時,系統會在群組獲得授權時,同步直接屬於您選取之群組的所有使用者,以及屬於其下巢狀群組的所有使用者。請注意,系統不會對巢狀群組進行同步;只會對屬於巢狀群組的使用者進行同步。在 Workspace ONE Access 目錄中,這些使用者將會是您選取要同步之父系群組的成員。

      如果停用同步巢狀群組成員選項,當您指定要同步的群組時,將會對直接屬於該群組的所有使用者進行同步。系統不會對屬於其下方巢狀群組的使用者進行同步。停用此選項對於大型 Active Directory 組態有幫助,其中,周遊群組樹狀目錄為耗用大量資源和時間的作業。如果您停用此選項,請確保您選取您要同步其使用者的所有群組。

  6. 按一下儲存
  7. 按一下使用者索引標籤,然後選取要同步的使用者。
    1. 指定使用者 DN 資料列中按一下 +,並輸入使用者 DN。例如:

      CN=username,CN=Users,OU=myUnit,DC=example,DC=com

      重要: 請指定位於 [新增目錄] 頁面 基準 DN 文字方塊中所輸入之基準 DN 下方的使用者 DN。如果某個使用者 DN 在基準 DN 的外部,則來自該 DN 的使用者仍會進行同步,但將無法登入。

      若要檢查使用者 DN 是否有效以及查看將要同步的使用者數目,請對該資料列按一下測試按鈕。

    2. 請視需要指定篩選器以將使用者納入 DN 或從中排除。
      如需詳細資訊,請參閱 在 Workspace ONE Access 中指定目錄同步的篩選器