Active Directory の UPN がない Active Directory ユーザーを接続サーバで識別できるように、LDAP URL フィルタを設定できます。
接続サーバ ホストで ADAM ADSI Edit を使用する必要があります。識別名 DC=vdi, DC=vmware, DC=int を入力して接続できます。[OU=Properties] を展開して、[OU=Authenticator] を選択します。
[pae-LDAPURLList] 属性を編集して、LDAP URL フィルタを追加できます。
たとえば、次のフィルタを追加します。
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(telephoneNumber=$NAMEID)
接続サーバは、次のデフォルトの LDAP URL フィルタを使用します。
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))
LDAP URL フィルタを設定すると、接続サーバはこの LDAP URL フィルタを使用してユーザーを識別します。デフォルトの LDAP URL フィルタは使用されません。
Active Directory UPN がない Active Directory ユーザーの SAML 認証に使用できる識別子の例:
-
"cn" -
"mail" -
"description" -
"givenName" -
"sn" -
"canonicalName" -
"sAMAccountName" -
"member" -
"memberOf" -
"distinguishedName" -
"telephoneNumber" -
"primaryGroupID"
