¿Cómo podemos ayudarle hoy?
Cambiar las reglas de notificación para reescribir UPN en AzureAD SSO
El proceso de inicio de sesión de SSO coincide con el UPN pasado desde AzureAD con AD (Active Directory local).
Cuando no coinciden, se muestra una advertencia indicando que su nombre de inicio de sesión no coincide y no se permite el inicio de sesión.
Si tiene el caso en el que el UPN de sus usuarios en AzureAD no coincide con AD, por ejemplo, se crearon manualmente y no se sincronizaron, o se cambiaron en Sync, deberá cambiar la regla de reclamo predeterminada en la aplicación empresarial. para que MyWorkDrive en AzureAD los reescriba para que coincidan con el UPN en AD para que los inicios de sesión SSO se realicen correctamente.
La forma más sencilla de reescribir el UPN en la aplicación es utilizar una expresión regular. Extraiga el prefijo upn (la parte del nombre antes del @dominio) y escriba en un dominio personalizado.
En este caso, nuestros usuarios UPN en AD usan el dominio “@corp.company.com”
y su upn en AzureAD es el dominio "@company.com", que se reescribe para que coincida con su correo electrónico.
Entonces, cuando inician sesión en AzureAD con usuario@empresa.com, el SSO rechaza su inicio de sesión porque no coincide con usuario@corp.empresa.com en Active Directory.
Inicie sesión en Azure y edite la aplicación empresarial AzureAD (Entra) para su SSO MyWorkDrive
Desde el panel de inicio de sesión único, haga clic para editar el cuadro 2, Atributos y reclamaciones
Haga clic en la primera entrada, el Reclamo requerido
Cambiar la fuente de atributos a transformación
En la nueva ventana que se abre, seleccione Transformación “RegExReplace()”
para Nombre de atributo, seleccione "user.userprincipalname" en la parte inferior de la lista
En el patrón RegEx, desea especificar el nombre de dominio desde el que está cambiando, es decir, el dominio en AzureAD. Conserve el formato y los caracteres como se muestra en el ejemplo.
(?'dominio'^.*?)(?i)(\@empresa\.com)$
En el patrón de reemplazo, especificará la variable {dominio} e ingresará el nombre de dominio al que está cambiando, es decir, el dominio en AD.
{dominio}@corp.empresa.com
Luego puede utilizar la herramienta de prueba para validar que la expresión regular reescribe correctamente su inicio de sesión.
Ingrese el correo electrónico de los usuarios (upn de AzureAD) y mostrará la transformación al UPN que coincide con AD. Ingresamos usuario@empresa.com y esperamos que genere usuario@corp.empresa.com, y así es.
Si comete un error en la traducción, se mostrará una advertencia en la parte superior de la página.
(en este caso, escribimos mal el nombre de dominio del usuario de prueba)
Para terminar de guardar los cambios, desplácese hacia abajo y haga clic en Agregar. La ventana debería cerrarse.
Haga clic en guardar en la página Administrar reclamo
Ahora debería poder ir a la URL de inicio de sesión de su servidor MyWorkDrive e ingresar su correo electrónico (usuario@empresa.com) e iniciar sesión correctamente.
También puede probar que AD UPN (usuario@corp.company.com) tiene acceso mediante el Compartir herramienta de prueba opción en la página Acciones de MyWorkDrive Admin.
Seleccione prueba, seleccione SSO y use el UPN tal como se ingresó en AD (en este caso, usuario@corp.company.com). Si la herramienta de prueba valida el acceso y la reescritura es correcta, los inicios de sesión de los usuarios se realizarán correctamente.
Si hay errores, solucione los errores en su entorno (compartir permisos, delegación no configurado, el usuario no es miembro de un grupo que tenga permiso para compartir, etc)
