Wie können wir Ihnen heute helfen?
Anspruchsregeln ändern, um UPN in AzureAD SSO neu zu schreiben
Der SSO-Anmeldevorgang gleicht den von AzureAD übergebenen UPN mit AD (lokales Active Directory) ab.
Wenn diese nicht übereinstimmen, wird eine Warnung angezeigt, dass Ihr Anmeldename nicht übereinstimmt, und die Anmeldung wird nicht gewährt.
Wenn Sie den Fall haben, dass der UPN Ihrer Benutzer in AzureAD nicht mit AD übereinstimmt, weil sie beispielsweise manuell erstellt und nicht synchronisiert wurden oder bei der Synchronisierung geändert wurden, müssen Sie die Standardanspruchsregel in der Unternehmens-APP ändern Damit MyWorkDrive in AzureAD sie neu schreibt, damit sie mit dem UPN in AD übereinstimmen, damit SSO-Anmeldungen erfolgreich sind.
Der einfachste Weg, den UPN in der App neu zu schreiben, ist die Verwendung eines RegEx. Extrahieren Sie das UPN-Präfix (den Namensteil vor der @domain) und schreiben Sie eine benutzerdefinierte Domäne ein.
In diesem Fall verwenden unsere Benutzer UPN auf AD die Domäne „@corp.company.com“.
und ihr UPN auf AzureAD ist die Domäne „@company.com“, die so umgeschrieben wird, dass sie mit ihrer E-Mail übereinstimmt
Wenn sie sich also bei AzureAD mit user@company.com anmelden, lehnt das SSO ihre Anmeldung ab, da sie nicht mit user@corp.company.com im Active Directory übereinstimmt
Melden Sie sich bei Azure an und bearbeiten Sie die AzureAD (Entra) Enterprise App für Ihr MyWorkDrive SSO
Klicken Sie im Bereich „Single Sign On“ auf Feld 2 „Attribute und Ansprüche“, um es zu bearbeiten
Klicken Sie auf den ersten Eintrag, den erforderlichen Anspruch
Ändern Sie die Quelle von Attributen in Transformation
Wählen Sie im neuen Fenster, das sich öffnet, die Transformation „RegExReplace()“ aus.
Wählen Sie für den Attributnamen unten in der Liste „user.userprincipalname“ aus
Im RegEx-Muster möchten Sie den Domänennamen angeben, von dem aus Sie wechseln, also die Domäne in AzureAD. Behalten Sie die Formatierung und Zeichen wie im Beispiel gezeigt bei.
(?'domain'^.*?)(?i)(\@company\.com)$
Im Ersetzungsmuster geben Sie die Variable {domain} an und geben den Domänennamen ein, zu dem Sie wechseln möchten, also die Domäne in AD
{domain}@corp.company.com
Anschließend können Sie mit dem Testtool überprüfen, ob die Regex Ihre Anmeldung korrekt umschreibt.
Geben Sie die E-Mail-Adresse des Benutzers (UpN von AzureAD) ein und es wird die Umwandlung in den UPN angezeigt, der mit AD übereinstimmt. Wir geben user@company.com ein und erwarten, dass user@corp.company.com ausgegeben wird, und das tut es auch.
Wenn Ihnen bei der Übersetzung ein Fehler unterläuft, wird oben auf der Seite eine Warnung angezeigt
(In diesem Fall haben wir den Domainnamen für den Testbenutzer falsch geschrieben.)
Um das Speichern Ihrer Änderungen abzuschließen, scrollen Sie nach unten und klicken Sie auf Hinzufügen. Das Fenster sollte sich schließen.
Klicken Sie auf der Seite „Anspruch verwalten“ auf „Speichern“.
Sie sollten nun in der Lage sein, die Anmelde-URL für Ihren MyWorkDrive-Server aufzurufen, Ihre E-Mail-Adresse (user@company.com) einzugeben und sich erfolgreich anzumelden.
Sie können auch testen, ob der AD-UPN (user@corp.company.com) Zugriff hat, indem Sie Folgendes verwenden Teilen Sie das Testtool Option auf der Seite „Freigaben“ von MyWorkDrive Admin.
Wählen Sie „Test“ und dann „SSO“ aus und verwenden Sie den UPN, wie er im AD eingegeben wurde (in diesem Fall user@corp.company.com). Wenn das Testtool den Zugriff validiert und das Umschreiben korrekt ist, sind Benutzeranmeldungen erfolgreich.
Wenn Fehler auftreten, beheben Sie die Fehler in Ihrer Umgebung (Freigabeberechtigungen, Delegation nicht festgelegt, der Benutzer ist kein Mitglied einer Gruppe, die dazu berechtigt ist Aktie, usw)
