Exigence
Cet article traite de la récupération de plusieurs attributs «nom d'utilisateur» pour le même utilisateur lors de l'extraction de mappages de groupe à partir d'Active Directory.
Référez-vous à l'article ci-dessous qui traite du comportement lorsque plusieurs profils de mappage de groupe sont utilisés pour extraire différents attributs de "nom d'utilisateur" pour l'utilisateur appartenant au même groupe d'utilisateurs:
Nom d'utilisateur incohérent avec plusieurs profils de mappage de groupe
Comme indiqué dans l'article ci-dessus, l'attribut «nom d'utilisateur» pour un utilisateur peut être écrasé par le profil de mappage de groupe actualisant en dernier.
Dans différents scénarios pratiques, il peut être nécessaire d'extraire différents attributs "nom d'utilisateur" pour le même utilisateur comme "userPrincipalName", "sAMaccount", "E-mail", etc pour être utilisé pour l'authentification et l'autorisation.
Par exemple, les utilisateurs qui se connectent à leur station de travail peuvent devoir être authentifiés/autorisés avec «sAMaccount» alors que l'utilisateur global-Protect peut exiger le «userPrincipalName» pour le même.
Solution
La récupération de différents attributs "nom d'utilisateur" pour le même utilisateur peut être obtenue en utilisant différents groupes pour l'utilisateur et en
configurant les profils de mappage de groupe pour utiliser l' option "inclure les groupes" .
Cette option permet de filtrer les groupes et de récupérer l'attribut "nom d'utilisateur" qui le protège d'être écrasé.
La section suivante décrit la solution ci-dessus avec un exemple, où l'utilisateur "Dennis Lee" appartient à deux groupes,
"Marketing-Group" et "support- Group"
Voici les paramètres «nom d'utilisateur» de l'utilisateur configurés dans Active Directory:
"userPrincipalName": Dennis. Lee @ lab333. local
"sAMaccount": lab333\dlee
Deux profils de mappage de groupe sont utilisés avec l' option "inclure les groupes" :
1. Mappage de groupe profil 1: récupère le "sAMaccount":
2. Mappage de groupe profil 2: récupère le "userPrincipalName":
Les paramètres «UserPrincipalName» et «sAMaccount» sont maintenant récupérés avec succès:
PA-VM-1 > afficher l'utilisateur user-IDS
nom d'utilisateur VSys groupes
------------------------------------------------------------------
lab333\dlee vsys1 CN = Marketing-Group, ou = User-Groups, ou = départements, DC = lab333, DC = local
lab333 \ Dennis. Lee vsys1 CN = Support-Group, ou = User-Groups, ou = départements, DC = lab333, DC = local
total: 3
*: Custom Group