Sie können LDAP-URL-Filter für Verbindungsserver konfigurieren, um einen AD-Benutzer zu identifizieren, der über keine AD-UPN verfügt.

Sie müssen den ADAM ADSI-Editor auf einem Verbindungsserver-Host verwenden. Sie können durch Eingabe des definierten Namens DC=vdi, DC=vmware, DC=int eine Verbindung herstellen. Erweitern Sie OU=Properties und wählen Sie OU=Authenticator aus.

Sie können dann das Pae-LDAPURLList-Attribut bearbeiten, um einen LDAP-URL-Filter hinzuzufügen.

Fügen Sie z. B. den folgenden Filter hinzu:

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(telephoneNumber=$NAMEID)

Der Verbindungsserver verwendet die folgenden standardmäßigen LDAP-URL-Filter:

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))

urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))

Wenn Sie einen LDAP-URL-Filter konfigurieren, wird dieser vom Verbindungsserver zur Identifizierung des Benutzers verwendet und nicht der Standard-LDAP-URL-Filter.

Beispiele für Bezeichner, die Sie zur SAML-Authentifizierung für einen AD-Benutzer verwenden können, der über keinen Active Directory-UPN verfügt:

  • "cn"

  • "mail"

  • "description"

  • "givenName"

  • "sn"

  • "canonicalName"

  • "sAMAccountName"

  • "member"

  • "memberOf"

  • "distinguishedName"

  • "telephoneNumber"

  • "primaryGroupID"