Requisito
En este artículo se analiza la recuperación de varios atributos de "nombre de usuario" para el mismo usuario mientras se recuperan las asignaciones de grupo de Active Directory.
Consulte el artículo siguiente que analiza el comportamiento cuando se utilizan varios perfiles de asignación de grupos para obtener los atributos de "nombre de usuario" diferentes para el usuario que pertenezca al mismo grupo de usuarios:
Nombre de usuario incoherente con varios perfiles de asignación de grupo
Como se ha comentado en el artículo anterior, el atributo "nombre de usuario" de un usuario puede sobrescribirse mediante el perfil de asignación de grupo refrescar último.
En varios escenarios prácticos, puede ser necesario obtener diferentes atributos de "nombre de usuario" para el mismo usuario como "userPrincipalName", "sAMaccount", "E-mail", etc. que se usarán para la autenticación y autorización.
Por ejemplo, es posible que los usuarios que inicien sesión en su estación de trabajo tengan que autenticarse/autorizarse con "sAMaccount" mientras que el usuario de protección global puede requerir el "userPrincipalName" para el mismo.
Solución
La recuperación de los diferentes atributos de "nombre de usuario" para el mismo usuario se puede lograr utilizando diferentes grupos para el usuario y configurando
los perfiles de asignación de grupo para utilizar la opción "incluir grupos" .
Esta opción ayuda a filtrar los grupos y recuperar el atributo "nombre de usuario" que lo protege de ser sobrescrito.
La siguiente sección describe la solución anterior con un ejemplo, donde el usuario "Dennis Lee" pertenece a dos grupos,
"grupo de Marketing" y "grupo de apoyo"
A continuación se muestran los parámetros "nombre de usuario" del usuario tal como se configura en Active Directory:
"userPrincipalName": Dennis. Lee @ lab333. local
"sAMaccount": lab333\dlee
Se utilizan dos perfiles de asignación de grupos con la opción "include groups" :
1. Perfil de asignación de grupo 1: recupera el "sAMaccount" :
2. Perfil de asignación de grupo 2: recupera el "userPrincipalName" :
Los parámetros "userPrincipalName" y "sAMaccount" se recuperan con éxito:
PA-VM-1 > Mostrar usuario usuario-IDS
nombre de usuario Vsys grupos
------------------------------------------------------------------
lab333\dlee vsys1 CN = Marketing-Grupo, ou = grupos de usuarios, ou = departments, DC = lab333, DC = local
lab333 \ Dennis. Lee vsys1 CN = grupo de apoyo, ou = grupos de usuarios, ou = departments, DC = lab333, DC =
total local: 3
*: grupo personalizado