У меня есть веб-приложение с интерфейсом ISA, которое изначально аутентифицируется в AD. Все пользователи в настоящее время входят в систему с именем sAMAccountName. Я хотел бы разрешить пользователям предоставлять личный адрес электронной почты и вместо этого иметь возможность аутентифицироваться по нему.
Насколько я понимаю, AD userPrincipalName обычно используется для внутреннего имени для входа в систему, которое по соглашению часто является их внутренним адресом электронной почты. Веб-приложение, которое у меня есть, является веб-приложением (около 3 миллионов учетных записей *), а не внутренним корпоративным приложением, поэтому адреса электронной почты будут из разных доменов. Могу ли я просто установить атрибут userPrincipalName AD на адрес электронной почты пользователя, и тогда ISA будет выполнять аутентификацию по этому атрибуту изначально? Я слышал слухи о том, что AD имеет максимальное количество суффиксов домена, которое разрешено в AD userPrincipalName ...? (предположительно, он их каталогизирует).
[* Я понимаю, что AD - не идеальный каталог аутентификации для пользователей такого масштаба.]
userPrincipalName Атрибут может быть установлен в любые значения с помощью ADSIedit. Однако чтобы сделать userPrincipalName полезно, вы должны установить его в определенный формат. Это всегда должно выглядеть так username@domain.name. Кроме того, вы не можете установить произвольные доменное имя. В противном случае Windows не сможет найти правильный контроллер домена для проверки подлинности.
Значение userPrincipalName пользователя AD можно редактировать в Active Directory User and Computer. Значение отображается под именем пользователя для входа на вкладке Учетная запись. На этой странице свойств вы сразу обнаружите, что можете редактировать только имя пользователя часть UPN. Windows дает вам поле со списком для доменное имя часть. Обычно там есть только один вариант - ваше доменное имя AD.
Чтобы использовать другие значения для доменное имя, вам необходимо добавить дополнительные суффиксы домена, используя Active Directory Domains and Trusts. Видеть Вот. Обратите внимание, что только администратор домена может добавлять дополнительные суффиксы домена для домена. После добавления дополнительных суффиксов домена вы можете вернуться к Active Directory User and Computer. Страница свойств пользователя теперь должна позволять вам выбирать вновь добавленные суффиксы домена вместе с доменным именем AD по умолчанию.
Пока значения уникальны, ответ - да.
Я тестировал загрузку объявления с 2000 пользователей, у каждого из которых были уникальные userprincipalNames. У всех них также были уникальные домены, которые не были зарегистрированы в AD Domains & Trusts (т.е. поэтому они не отображаются в раскрывающемся списке в Active Directory User and Computers)
Затем я протестировал вход в систему в качестве одного из этих пользователей с именем userprincipalname в веб-приложении, которое является внешним интерфейсом ISA, изначально аутентифицируется с помощью AD, и оно сработало без проблем.