Puede configurar filtros en la URL de LDAP para que el servidor de conexión identifique a un usuario de AD que no tenga un UPN de AD.
Debe usar el Editor ADSI de ADAM en un host del servidor de conexión. Es posible conectarse introduciendo un nombre distintivo DC=vdi, DC=vmware, DC=int. Expanda OU=Properties y seleccione OU=Authenticator.
A continuación, puede editar el atributo pae-LDAPURLList si desea agregar un filtro para la URL de LDAP.
Por ejemplo, agregue el siguiente filtro:
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(telephoneNumber=$NAMEID)
De forma predeterminada, el servidor de conexión usa los siguientes filtros para la URL de LDAP:
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))
Si configura un filtro para la URL de LDAP, el servidor de conexión usa este filtro y no el predeterminado para identificar al usuario.
Ejemplos de identificadores que puede usar en una autenticación SAML para un usuario de AD que no tenga un UPN de AD:
"cn"
"mail"
"description"
"givenName"
"sn"
"canonicalName"
"sAMAccountName"
"member"
"memberOf"
"distinguishedName"
"telephoneNumber"
"primaryGroupID"
Los usuarios de dominios que no sean de confianza no admiten los filtros de URL de LDAP.