Que peut-on faire pour vous aider aujourd'hui?
Modification des règles de revendication pour réécrire l'UPN dans AzureAD SSO
Le processus de connexion SSO correspond à l'UPN transmis par AzureAD avec AD (Active Directory sur site).
Lorsque ceux-ci ne correspondent pas, un avertissement s'affiche indiquant que votre nom de connexion ne correspond pas et que la connexion n'est pas accordée.
Si vous rencontrez un cas où l'UPN de vos utilisateurs sur AzureAD ne correspond pas à AD, par exemple s'ils ont été créés manuellement et ne sont pas synchronisés, ou s'ils sont modifiés lors de la synchronisation, vous devrez modifier la règle de réclamation par défaut sur l'application Entreprise. pour MyWorkDrive dans AzureAD pour les réécrire pour qu'ils correspondent à l'UPN sur AD afin que les connexions SSO réussissent.
Le moyen le plus simple de réécrire l'UPN sur l'application est d'utiliser un RegEx. Extrayez le préfixe upn (la partie du nom avant le @domain) et écrivez dans un domaine personnalisé.
Dans ce cas, nos utilisateurs UPN sur AD utilisent le domaine « @corp.company.com »
et leur upn sur AzureAD est le domaine « @company.com », qui est réécrit pour correspondre à leur adresse e-mail
Ainsi, lorsqu'ils se connectent sur AzureAD avec user@company.com, le SSO rejette leur connexion car elle ne correspond pas à user@corp.company.com sur Active Directory.
Connectez-vous à Azure et modifiez l'application AzureAD (Entra) Enterprise pour votre MyWorkDrive SSO
Dans le panneau d'authentification unique, cliquez pour modifier la zone 2, Attributs et revendications.
Cliquez sur la première entrée, la réclamation requise
Changer la source d'attributs en transformation
Dans la nouvelle fenêtre qui s'ouvre, sélectionnez Transformation « RegExReplace() »
pour le nom de l'attribut, sélectionnez « user.userprincipalname » au bas de la liste
Dans le modèle RegEx, vous souhaitez spécifier le nom de domaine à partir duquel vous modifiez, c'est-à-dire le domaine dans AzureAD. Conservez la mise en forme et les caractères comme indiqué dans l'exemple.
(?'domaine'^.*?)(?i)(\@entreprise\.com)$
Dans le modèle de remplacement, vous spécifierez la variable {domain} et saisirez le nom de domaine vers lequel vous changez, c'est-à-dire le domaine dans AD
{domain}@corp.company.com
Vous pouvez ensuite utiliser l'outil de test pour valider que l'expression régulière réécrit correctement votre connexion.
Entrez l'e-mail de l'utilisateur (upn d'AzureAD) et il affichera la transformation vers l'UPN qui correspond à AD. Nous entrons user@company.com et nous nous attendons à ce qu'il affiche user@corp.company.com, et c'est le cas.
Si vous faites une erreur dans la traduction, un avertissement s'affichera en haut de la page
(dans ce cas, nous avons mal orthographié le nom de domaine de l'utilisateur test)
Pour terminer l'enregistrement de vos modifications, faites défiler vers le bas et cliquez sur Ajouter. La fenêtre devrait se fermer.
Cliquez sur Enregistrer sur la page Gérer la réclamation.
Vous devriez maintenant pouvoir accéder à l'URL de connexion de votre serveur MyWorkDrive, saisir votre e-mail (user@company.com) et vous connecter avec succès.
Vous pouvez également tester que l'UPN AD (user@corp.company.com) a accès à l'aide du Partager l'outil de test sur la page Partages de MyWorkDrive Admin.
Sélectionnez test, sélectionnez SSO et utilisez l'UPN tel que saisi sur AD (dans ce cas, user@corp.company.com). Si l'outil de test valide l'accès et que la réécriture est correcte, les connexions des utilisateurs réussiront.
S'il y a des erreurs, résolvez les erreurs dans votre environnement (partager les autorisations, délégation non défini, l'utilisateur n'est pas membre d'un groupe ayant l'autorisation d'accéder au partager, etc)
