Sie können LDAP-URL-Filter für Verbindungsserver konfigurieren, um einen AD-Benutzer zu identifizieren, der über keine AD-UPN verfügt.
Sie müssen den ADAM ADSI-Editor auf einem Verbindungsserver-Host verwenden. Sie können durch Eingabe des definierten Namens DC=vdi, DC=vmware, DC=int eine Verbindung herstellen. Erweitern Sie OU=Properties und wählen Sie OU=Authenticator aus.
Sie können dann das Pae-LDAPURLList-Attribut bearbeiten, um einen LDAP-URL-Filter hinzuzufügen.
Fügen Sie z. B. den folgenden Filter hinzu:
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(telephoneNumber=$NAMEID)
Der Verbindungsserver verwendet die folgenden standardmäßigen LDAP-URL-Filter:
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))
Wenn Sie einen LDAP-URL-Filter konfigurieren, wird dieser vom Verbindungsserver zur Identifizierung des Benutzers verwendet und nicht der Standard-LDAP-URL-Filter.
Beispiele für Bezeichner, die Sie zur SAML-Authentifizierung für einen AD-Benutzer verwenden können, der über keinen Active Directory-UPN verfügt:
"cn""mail""description""givenName""sn""canonicalName""sAMAccountName""member""memberOf""distinguishedName""telephoneNumber""primaryGroupID"
LDAP-URL-Filter werden für Benutzer aus nicht vertrauenswürdigen Domänen nicht unterstützt.
