Problem
In diesem Artikel wird das Verhalten des inkonsistenten "Benutzernamens" in der Gruppen Kartierung diskutiert, wenn mehrere Gruppen-Mapping-Profile auf der Firewall konfiguriert werden.
Zum Beispiel sind zwei Gruppen-Mapping-Profile konfiguriert, eines für die Abholung des "samaccount" und das andere für "UserPrincipalName". Es wird beobachtet, dass sich der "Benutzername" von "UserPrincipalName" auf "samaccount" und umgekehrt ändert.
Der folgende Abschnitt veranschaulicht dieses Verhalten mit einem Beispiel:
Gruppen-Mapping-Profil, um Benutzernamen mit "samaccount" zu bevölkern
Gruppen-Mapping-Profil, um Benutzernamen mit "UserPrincipalName" zu bevölkern
Hier ist ein Test Benutzer mit folgenden Parametern auf dem aktiven Verzeichnis vorhanden.
"UserPrincipalName": Dennis. Lee @ lab333. lokales
"samaccount": lab333\dlee
Die erste Kartierung für den Benutzer zeigt den "UserPrincipalName", der abgeholt wird
PA-VM-1 > Benutzer Benutzer anzeigen-IDs
Benutzer Name Vsys
-Gruppen------------------------------------------------------------------
lab333\dennis.Lee vsys1 CN = Support-Gruppe, ou = User-Groups, ou = Abteilungen, DC = lab333, DC = local
Total: 1
*: Custom Group
Eine manuelle Auffrischung der Gruppe mit samaccount überschreibt die UPN mit dem samaccount
PA-VM-1 > Debug-Benutzer-ID-Refresh-Gruppe-Mapping-Gruppe-Mapping-Name AD-10.129.80.115-samaccount
PA-VM-1 > Benutzer Benutzer anzeigen-IDs
Benutzer Name Vsys Gruppen
------------------------------------------------------------------
lab333\dlee vsys1 CN = Support-Gruppe, ou = User-Groups, ou = Departements, DC = lab333, DC = local
Total: 1
*: Custom Group
Lösung
Dieses Verhalten wird gesehen, weil das Gruppen-Mapping-Profil die Benutzer für die gleiche Gruppe holt und das Profil erfrischend zuletzt die vorherige Kartierung überschreibt.
Wenn es darum geht, ein konsistentes Benutzernamen-Attribut für den Benutzer der Gruppe zu haben, ist es ratsam, ein einzelnes Gruppen-Mapping-Profil zu verwenden.