Como podemos te ajudar hoje?
Alterar regras de declaração para reescrever UPN no AzureAD SSO
O processo de login SSO corresponde ao UPN passado do AzureAD com o AD (no Active Directory local).
Quando eles não correspondem, é mostrado um aviso de que seu nome de login não corresponde e o login não é concedido.
Se você tiver o caso em que o UPN dos seus usuários no AzureAD não corresponde ao AD, por exemplo, eles foram criados manualmente e não são sincronizados ou são alterados na sincronização, você precisará alterar a regra de reivindicação padrão no Enterprise APP para MyWorkDrive no AzureAD reescrevê-los para corresponder ao UPN no AD para que os logins SSO sejam bem-sucedidos.
A maneira mais fácil de reescrever o UPN no aplicativo é usar um RegEx. Extraia o prefixo upn (a parte do nome antes de @domain) e escreva em um domínio personalizado.
Nesse caso, nossos usuários UPN no AD usam o domínio “@corp.company.com”
e seu upn no AzureAD é o domínio “@company.com”, que foi reescrito para corresponder ao email
Portanto, quando eles fazem login no AzureAD com user@company.com, o SSO rejeita o login, pois não corresponde a user@corp.company.com no Active Directory
Faça login no Azure e edite o aplicativo AzureAD (Entra) Enterprise para seu SSO MyWorkDrive
No painel Logon único, clique para editar a caixa 2, Atributos e declarações
Clique na primeira entrada, a Reivindicação Obrigatória
Mude a Fonte de Atributos para Transformação
Na nova janela que se abre, selecione Transformação “RegExReplace()”
para Nome do atributo, selecione “user.userprincipalname” na parte inferior da lista
No Padrão RegEx, você deseja especificar o nome de domínio do qual está mudando, ou seja, o domínio no AzureAD. Mantenha a formatação e os caracteres conforme mostrado no exemplo.
(?'domínio'^.*?)(?i)(\@empresa\.com)$
No padrão de substituição você irá especificar a variável {domain} e inserir o nome de domínio para o qual está mudando, ou seja, o domínio no AD
{domínio}@corp.empresa.com
Você pode então usar a ferramenta de teste para validar se a regex reescreve seu login corretamente.
Insira o email dos usuários (upn do AzureAD) e ele mostrará a transformação para o UPN que corresponde ao AD. Estamos inserindo user@company.com e esperamos que a saída seja user@corp.company.com, e isso acontece.
Se você errar na tradução, um aviso será mostrado no topo da página
(neste caso, digitamos incorretamente o nome de domínio do usuário de teste)
Para terminar de salvar suas alterações, role para baixo e clique em Adicionar. A janela deve fechar.
Clique em salvar na página Gerenciar reivindicação
Agora você deve conseguir acessar o URL de login do seu servidor MyWorkDrive e inserir seu e-mail (usuário@empresa.com) e fazer o login com sucesso.
Você também pode testar se o AD UPN (user@corp.company.com) tem acesso usando o Compartilhar ferramenta de teste opção na página Compartilhamentos do MyWorkDrive Admin.
Selecione teste, selecione SSO e use o UPN conforme inserido no AD (neste caso, user@corp.company.com). Se a ferramenta de teste validar o acesso e a reescrita estiver correta, os logins dos usuários serão bem-sucedidos.
Se houver erros, solucione os erros em seu ambiente (compartilhar permissões, delegação não definido, o usuário não é membro de um grupo que tem permissão para o compartilhar, etc)
