要件
この資料では、アクティブディレクトリからグループマッピングをフェッチしているときに、同じユーザーの複数の "ユーザー名" 属性を取得する方法について説明します。
同じユーザグループに属するユーザに対して、複数のグループマッピングプロファイルを使用して異なる「ユーザ名」属性を取得する場合の動作については、以下の記事を参照してください。
複数のグループマッピングプロファイルを持つ一貫性のないユーザー名
上記の記事で説明したように、ユーザーの "ユーザー名" 属性は、最後に更新されたグループマッピングプロファイルで上書きできます。
さまざまな実際的シナリオでは、認証と承認に使用する "userPrincipalName"、"sAMaccount"、"電子メール" など、同じユーザーに対して異なる "ユーザー名" 属性をフェッチすることが必要になる場合があります。
たとえば、ワークステーションにログインしているユーザーは、"sAMaccount" を使用して認証/承認する必要があり、グローバル保護ユーザーは同じ "userPrincipalName" を必要とする場合があります。
ソリューション
同じユーザーに対して異なる "ユーザー名" 属性を取得するには、ユーザーに異なるグループを使用し、"グループを
含める"オプションを使用するようにグループマッピングプロファイルを構成することで実現できます。
このオプションは、グループをフィルタリングし、上書きされないように「ユーザー名」属性を取得するのに役立ちます。
次のセクションでは、ユーザー "デニスリー" は2 つのグループ、
"マーケティンググループ"と"サポートグループ " に属している例では、上記のソリューションについて説明します
アクティブディレクトリで構成されているユーザーの "ユーザー名" パラメータを次に示します。
"userPrincipalName": デニス・リー @ lab333 ローカル
"sAMaccount": lab333\dlee
"グループを含める"オプションと共に、2つのグループマッピングプロファイルが使用されています。
1。グループマッピングプロファイル 1: "sAMaccount" を取得します。
2。グループマッピングプロファイル 2: "userPrincipalName" を取得します。
"userPrincipalName"と"sAMaccount"パラメータの両方が正常に取得されました:
PA-VM-1 > ユーザーユーザー id を表示するユーザー
名 Vsys グループ
------------------------------------------------------------------
lab333\dlee vsys1 cn = マーケティンググループ、ou = ユーザーグループ、ou = 部署、dc = lab333、dc = ローカル
lab333 \デニス・イ・ vsys1 cn = サポートグループ、ou = ユーザー・グループ、ou = 部門、dc = lab333、dc = ローカル
合計: 3
*: カスタム・ グループ