您可以為連線伺服器設定 LDAP URL 篩選器,以識別沒有 AD UPN 的 AD 使用者。

您必須在連線伺服器主機上使用 ADAM ADSI Edit。您可以藉由輸入辨別名稱 DC=vdi, DC=vmware, DC=int 來進行連線。展開 OU=Properties,然後選取 OU=Authenticator

接著,您可以編輯 pae-LDAPURLList 屬性以新增 LDAP URL 篩選器。

例如,您可以新增下列篩選器:

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(telephoneNumber=$NAMEID)

連線伺服器會使用下列預設 LDAP URL 篩選器:

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified=ldap:///???(&(objectCategory=user)(objectclass=user)(sAMAccountName=$NAMEID)) ldap:///???(&(objectCategory=group)(objectclass=group)(sAMAccountName=$NAMEID))

如果您設定 LDAP URL 篩選器,連線伺服器就會使用此 LDAP URL 篩選器,而不會使用預設 LDAP URL 篩選器來識別使用者。

您可以用於沒有 AD UPN 的 AD 使用者之 SAML 驗證的識別碼範例:

  • "cn"
  • "mail"
  • "description"
  • "givenName"
  • "sn"
  • "canonicalName"
  • "sAMAccountName"
  • "member"
  • "memberOf"
  • "distinguishedName"
  • "telephoneNumber"
  • "primaryGroupID"

LDAP URL 篩選器不支援來自不受信任網域的使用者。