识别没有 AD UPN 的 AD 用户

您可以为连接服务器配置 LDAP URL 筛选器以识别没有 AD UPN 的 AD 用户。

您必须在连接服务器主机上使用 ADAM ADSI 编辑。您可以通过键入标识名 DC=vdi, DC=vmware, DC=int 进行连接。展开 OU=Properties，并选择 OU=Authenticator。

然后，您可以编辑 pae-LDAPURLList 属性以添加 LDAP URL 筛选器。

例如，添加以下筛选器：

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(telephoneNumber=$NAMEID)

连接服务器使用以下默认 LDAP URL 筛选器：

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))

 urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))

如果您配置了 LDAP URL 筛选器，则连接服务器便会使用此 LDAP URL 筛选器识别用户，而不会使用默认 LDAP URL 筛选器。

可用于对没有 AD UPN 的 AD 用户进行 SAML 身份验证的标识符示例：

"cn"
"mail"
"description"
"givenName"
"sn"
"canonicalName"
"sAMAccountName"
"member"
"memberOf"
"distinguishedName"
"telephoneNumber"
"primaryGroupID"

对于不受信任的域中的用户，不支持使用 LDAP URL 筛选器。