用戶帳號管理

您可以讓系統管理員手動管理您組織的 Workplace 帳號,或使用雲端身分識別服務供應商自動管理帳號。Workplace 也支援透過 Active Directory 自動管理帳號。

本文僅適用於 Workplace Advanced 用戶。
「雲端身分識別服務供應商」可讓您直接在 Workplace 中啟用帳號自動管理功能。我們的身分識別和存取管理合作夥伴可提供下列優勢:
集中存放用戶資料。將您的主要身分存放區(例如 Microsoft Active Directory 或 Oracle Directory Server)與雲端目錄建立連結,即可同步處理 Workplace 等各種應用程式的用戶帳號。「雲端身分識別服務供應商」的代理程式或外掛程式,會將變更內容從您主要的身分存放區同步至雲端複本中。
整合紀錄系統。在用戶加入和離開貴組織時,維護您的主要身分存放區。
將帳號變更同步至 Workplace。「雲端身分識別服務供應商」和 Workplace 中的用戶帳號資訊和狀態變更會互相同步,因此有用戶加入和離開貴組織時,無須手動進行用戶管理作業。
若要開始進行,系統管理員必須按照這裡的說明步驟,建立自訂的整合應用程式來佈建用戶帳號。這些步驟會提供完成設定所需的值,如下所示:
  • 存取權杖:允許應用程式管理帳號的存取權杖。
  • SCIM 網址:雲端應用程式用來管理帳號的 API 端點。
  • 社群編號:可供雲端應用程式區分 Workplace 執行個體的貴組織編號。
接下來,請按照「雲端身分識別服務供應商」提供的指示進行操作。
請注意,Workplace 會以原生方式整合下列合作夥伴:
此資訊是否實用?
本文僅適用於 Workplace Essential 和 Workplace Advanced 用戶。
AD 同步元件的安裝需求如下:
  • 只有具備 AD 網域管理員權限的用戶才能安裝軟體。
  • AD 同步的執行平台為 Windows Server 2012 R2 或 Windows Server 2016;雖然可搭配其他配置使用(作業系統語言設為 en_US 時),但 Workplace 不提供支援。
  • 執行 AD 同步的電腦,必須透過網路連結至您的 Workplace 用戶所屬的同一個 AD 控制器。若您的 Workplace 用戶隸屬於多個 AD 網域,您可能必須在每個網域的伺服器上,按照 AD 同步的安裝和設定程序操作。
  • 伺服器上需具備下列 Microsoft 元件,如果沒有,系統將在安裝 AD 同步時一併安裝:.NET Framework 4.5.2 和 SQL Server 2014 Express LocalDB(SQL Server Express 精簡版),以便儲存用戶資料。系統必須安裝所有累積更新。
  • 您要從 Facebook 同步至 Workplace 的每組用戶,都必須指明以下項目:用戶所屬 Active Directory 的根項目辨別名稱(DN),並指明您想同步至 Workplace 的用戶的 LDAP 篩選器或 Active Directory 群組。
  • 您的網域控制器必須可支援使用連接埠 636 的 LDAPS(SSL)連線。
此資訊是否實用?
本文僅適用於 Workplace Essential 和 Workplace Advanced 用戶。
如果您的 Active Directory 已經同步至與 Workplace 合作的雲端身分識別服務供應商,建議您直接整合 Workplace 和您的雲端服務供應商。
Workplace AD 同步元件可讓您將指定的群組和組織單位從 Active Directory 同步至 Workplace,因此有人員加入和離開貴組織時,無須手動進行用戶管理作業。AD 同步可自動處理下列作業:
  • 在新人員需要 Workplace 使用權限時,佈建(建立)用戶帳號。
  • 在用戶設定檔屬性變更(例如電話號碼不同)時隨之更新。
  • 在人員離開組織或不需再取得使用權限時取消佈建(停用)用戶帳號。
在您的 IT 基礎架構中,AD 同步是以 Windows 服務的形式運作。在您設定 AD 同步來查詢 AD,尋找要授予 Workplace 使用權限的一組用戶之後,AD 同步會按照排程每 3 小時執行一次,以協調 AD 和 Workplace 間的帳號。
此資訊是否實用?
本文僅適用於 Workplace Essential 和 Workplace Advanced 用戶。
AD 同步元件的限制如下:
  • 只會同步處理伺服器所屬的 Active Directory 網域的用戶,或是將用戶同步至位於同一個 AD 樹系且已建立適當信任關係的網域。
  • 僅可設定依據下列項目同步處理用戶:LDAP 篩選器(例如特定的用戶類別或屬性值),或 AD 安全性/通訊群組。
  • 使用預設的非管理式 SQL Server 2014 Express LocalDB 時,最多僅能處理 100,000 名用戶左右。若要同步處理更多用戶,管理員必須自行管理資料庫。
  • 僅能在位於 Windows Server 2012 功能等級的 Active Directory 網域和樹系上進行測試。
  • 僅開放自訂下列用戶設定檔屬性的對應規則:格式化名稱和地點;所有其他屬性都會依據預設邏輯(詳情請參閱下方的已同步屬性參考資料表)進行對應。
  • 若用戶在下列 3 個 Workplace 必填欄位中未設有 AD 值,則 AD 同步元件不會同步處理用戶:電子郵件地址、顯示名稱和姓氏。
此資訊是否實用?
本文僅適用於 Workplace Essential 和 Workplace Advanced 用戶。
AD 同步會以單向批量複製指定用戶的設定檔資料。AD 同步元件無法寫回至您的目錄服務中。在您設定 AD 同步來查詢 AD,尋找要授予 Workplace 使用權限的一組用戶之後,AD 同步會按照排程每 3 小時執行一次,以協調 AD 和 Workplace 間的帳號。
此資訊是否實用?