Problème
Cet article traite du comportement d'un «nom d'utilisateur» incohérent dans le mappage de groupe lorsque plusieurs profils de mappage de groupe sont configurés sur le pare-feu.
Par exemple, il existe deux profils de mappage de groupe configurés, l'un pour extraire le «sAMaccount» et l'autre pour «userPrincipalName». Il est observé que le "nom d'utilisateur" passe de "userPrincipalName" à "sAMaccount" et vice-versa
.
La section suivante illustre ce comportement par un exemple:
Profil de mappage de groupe pour remplir le nom d'utilisateur avec "sAMaccount"
Profil de mappage de groupe pour remplir le nom d'utilisateur avec "userPrincipalName"
Ici, un utilisateur de test avec les paramètres suivants est présent sur Active Directory
"userPrincipalName": Dennis. Lee @ lab333. local
"sAMaccount": lab333\dlee
Le mappage initial de l'utilisateur indique que le "userPrincipalName" est récupéré
PA-VM-1 > afficher l'utilisateur user-IDS
nom d'utilisateur VSys groupes
------------------------------------------------------------------
lab333\dennis.Lee vsys1 CN = Support-Group, ou = User-Groups, ou = départements, DC = lab333, DC = local
total: 1
*: Groupe personnalisé
Une actualisation manuelle du groupe avec sAMaccount remplace l'UPN par le sAMaccount
PA-VM-1 > Debug User-ID Refresh Group-Groupe de mappage-mappage-nom AD-10.129.80.115-sAMaccount
PA-VM-1 > Show utilisateur user-IDS
nom d'utilisateur VSys groupes
------------------------------------------------------------------
lab333\dlee vsys1 CN = Support-Group, ou = User-Groups, ou = départements, DC = lab333, DC = local
total: 1
*: Groupe personnalisé
Solution
Ce comportement est vu parce que le profil de mappage de groupe récupère les utilisateurs pour le même groupe et que la dernière actualisation du profil remplace le mappage précédent.
Si l'exigence doit avoir un attribut de nom d'utilisateur cohérent pour l'utilisateur appartenant au groupe, il est conseillé d'utiliser un profil de mappage de groupe unique.