要求
本文讨论在从活动目录获取组映射时, 为同一用户检索多个 "用户名" 属性。
请参阅下面的文章, 其中讨论了当多个组映射配置文件用于为属于同一用户组的用户获取不同的 "用户名" 属性时的行为:
具有多个组映射配置文件的用户名不一致
如上文所述, 用户的 "用户名" 属性可能会被 "组映射" 配置文件刷新最后的覆盖。
在各种实际情况下, 可能需要为同一用户获取不同的 "用户名" 属性, 如 "userPrincipalName"、"sAMaccount"、"电子邮件" 等, 以便用于身份验证和授权。
例如, 登录到其工作站的用户可能需要通过 "sAMaccount" 进行身份验证/授权, 而全局保护用户可能需要相同的 "userPrincipalName"。
解决方案
为同一用户检索不同的 "用户名" 属性可以通过对用户使用不同的组并将
组映射配置文件配置为使用"包含组"选项 来实现。
此选项有助于筛选组并检索 "用户名" 属性, 以保护其不被覆盖。
下一节介绍了上述解决方案的示例, 其中用户"丹尼斯李"属于两个组:
"营销组"和"支持组"
以下是在活动目录中配置的用户的 "用户名" 参数:
"userPrincipalName": 丹尼斯. lee@lab333 当地的
"sAMaccount": lab333\dlee
两个组映射配置文件正在使用"包含组"选项:
1。组映射配置文件 1: 检索"sAMaccount":
2。组映射配置文件 2: 检索"userPrincipalName":
现在正在成功检索"userPrincipalName" 和 "sAMaccount" 参数:
PA-VM-1> 显示用户用户 id
用户名 Vsys 组
------------------------------------------------------------------
lab333\dlee vsys1 cn=marketing-group,ou=user-groups,ou=departments,dc=lab333,dc=local
lab333 \丹尼斯. 李 vsys1 cn=support-group,ou=user-groups,ou=departments,dc=lab333,dc=local
总计: 3
*: 自定义组