Identificar um usuário do AD que não tenha um UPN do AD

Você pode configurar filtros de URL LDAP para o Servidor de Conexão para identificar um usuário do AD que não tenha um UPN do AD.

Você deve usar o ADAM ADSI Edit em um host do Servidor de Conexão. Você pode se conectar digitando o nome distinto DC=vdi, DC=vmware, DC=int. Expanda OU=Properties e selecione OU=Authenticator.

Em seguida, você pode editar o atributo pae-LDAPURLList para adicionar um filtro de URL LDAP.

Por exemplo, adicione o seguinte filtro:

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(telephoneNumber=$NAMEID)

O Servidor de Conexão usa os seguintes filtros de URL LDAP padrão:

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))

 urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))

Se você configurar um filtro de URL LDAP, o Servidor de Conexão usará esse filtro de URL LDAP e não usará o filtro de URL LDAP padrão para identificar o usuário.

Exemplos de identificadores que você pode usar para autenticação SAML para um usuário do AD que não tem um UPN do AD:

"cn"
"mail"
"description"
"givenName"
"sn"
"canonicalName"
"sAMAccountName"
"member"
"memberOf"
"distinguishedName"
"telephoneNumber"
"primaryGroupID"

Os filtros de URL LDAP não são compatíveis com usuários de domínios não confiáveis.