Anforderung
In diesem Artikel wird diskutiert, mehrere "Benutzernamen"-Attribute für denselben Benutzer abzurufen, während Gruppen Mappings aus dem Active-Verzeichnis geholt werden.
Bitte lesen Sie den folgenden Artikel, in dem das Verhalten diskutiert wird, wenn mehrere Gruppen-Mapping-Profile verwendet werden, um verschiedene "Benutzernamen"-Attribute für den Benutzer, der zur gleichen Benutzergruppe gehört, zu holen:
Inkonsequenter Benutzer Name mit mehreren Gruppen-Mapping-Profilen
Wie im obigen Artikel besprochen, kann das Attribut "Benutzer Name" für einen Benutzer durch das Gruppen-Mapping-Profil erfrischend zuletzt überschrieben werden.
In verschiedenen praktischen Szenarien kann es erforderlich sein, verschiedene "Benutzernamen"-Attribute für den gleichen Benutzer wie "UserPrincipalName", "samaccount", "E-Mail" usw. zu holen, die für die Authentifizierung und Autorisierung verwendet werden.
Zum Beispiel müssen die Benutzer, die sich in ihren Arbeitsplatz einloggen, möglicherweise mit "samaccount" authentifiziert/autorisiert werden, während der Global-Protect-Benutzer den "UserPrincipalName" für das gleiche benötigen kann.
Lösung
Das Abrufen von verschiedenen "Benutzernamen"-Attributen für den gleichen Benutzer kann erreicht werden, indem verschiedene Gruppen für den Benutzer verwendet werden und
die Gruppen-Mapping-Profile konfiguriert werden, um die Option "Gruppen einschließen" zu verwenden.
Diese Option hilft, die Gruppen zu filtern und das Attribut "Benutzer Name" abzurufen, das Sie vor Überschreiben schützt.
Der folgende Abschnitt beschreibt die obige Lösung mit einem Beispiel, bei dem der Benutzer "Dennis Lee" zu zwei Gruppen gehört,
"Marketing-Gruppe" und "Support-Gruppe "
Im folgenden finden Sie die Parameter "Benutzer Name" für den Benutzer, wie Sie im aktiven Verzeichnis konfiguriert sind:
"UserPrincipalName": Dennis. Lee @ lab333. lokales
"samaccount": lab333\dlee
Mit der Option "Gruppen einschließen" werden zwei Gruppen-Mapping-Profile verwendet:
1. Gruppen-Mapping-Profil 1: Ruft das "samaccount" auf:
2. Gruppen-Mapping-Profil 2: Ruft den "UserPrincipalName" auf:
Sowohl die Parameter "UserPrincipalName" als auch "samaccount" werden nun erfolgreich abgerufen:
PA-VM-1 > Benutzer Benutzer anzeigen-IDs
Benutzer Name Vsys Groups
------------------------------------------------------------------
lab333\dlee vsys1 CN = Marketing-Group, ou = User-Groups, ou = Departements, DC = lab333, DC = local
lab333 \ Dennis. Lee vsys1 CN = Support-Gruppe, ou = User-Groups, ou = Abteilungen, DC = lab333, DC = local
Total: 3
*: Individual Group