Comment faire pour récupérer plusieurs noms d'utilisateur "attributs pour le même utilisateur avec mappage de groupe"

Comment faire pour récupérer plusieurs noms d'utilisateur "attributs pour le même utilisateur avec mappage de groupe"

27985
Created On 09/26/18 13:48 PM - Last Modified 12/07/22 02:33 AM


Resolution


Exigence


Cet article traite de la récupération de plusieurs attributs «nom d'utilisateur» pour le même utilisateur lors de l'extraction de mappages de groupe à partir d'Active Directory.

 

Référez-vous à l'article ci-dessous qui traite du comportement lorsque plusieurs profils de mappage de groupe sont utilisés pour extraire différents attributs de "nom d'utilisateur" pour l'utilisateur appartenant au même groupe d'utilisateurs:


Nom d'utilisateur incohérent avec plusieurs profils de mappage de groupe

 

Comme indiqué dans l'article ci-dessus, l'attribut «nom d'utilisateur» pour un utilisateur peut être écrasé par le profil de mappage de groupe actualisant en dernier.


Dans différents scénarios pratiques, il peut être nécessaire d'extraire différents attributs "nom d'utilisateur" pour le même utilisateur comme "userPrincipalName", "sAMaccount", "E-mail", etc pour être utilisé pour l'authentification et l'autorisation.


Par exemple, les utilisateurs qui se connectent à leur station de travail peuvent devoir être authentifiés/autorisés avec «sAMaccount» alors que l'utilisateur global-Protect peut exiger le «userPrincipalName» pour le même.

 

 

Solution


La récupération de différents attributs "nom d'utilisateur" pour le même utilisateur peut être obtenue en utilisant différents groupes pour l'utilisateur et en
configurant les profils de mappage de groupe pour utiliser l' option "inclure les groupes" .


Cette option permet de filtrer les groupes et de récupérer l'attribut "nom d'utilisateur" qui le protège d'être écrasé.


La section suivante décrit la solution ci-dessus avec un exemple, où l'utilisateur "Dennis Lee" appartient à deux groupes,
"Marketing-Group" et "support- Group"

 

 
Voici les paramètres «nom d'utilisateur» de l'utilisateur configurés dans Active Directory:

 


"userPrincipalName": Dennis. Lee @ lab333. local
"sAMaccount": lab333\dlee

 


Deux profils de mappage de groupe sont utilisés avec l' option "inclure les groupes" :

 

1. Mappage de groupe profil 1: récupère le "sAMaccount":

 

Snip20170130_11. pngSnip20170130_13. png

 

 

 

 

2. Mappage de groupe profil 2: récupère le "userPrincipalName":

 

 

Snip20170130_10. pngSnip20170130_9. png

 

 

 

 

Les paramètres «UserPrincipalName» et «sAMaccount» sont maintenant récupérés avec succès:

 


PA-VM-1 > afficher l'utilisateur user-IDS

nom d'utilisateur VSys groupes
------------------------------------------------------------------
lab333\dlee vsys1 CN = Marketing-Group, ou = User-Groups, ou = départements, DC = lab333, DC = local 
lab333 \ Dennis. Lee vsys1 CN = Support-Group, ou = User-Groups, ou = départements, DC = lab333, DC = local


total: 3
*: Custom  Group

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Clp7CAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language