AAD 声明 UPN 与本地 AD UPN
Posted
技术标签:
【中文标题】AAD 声明 UPN 与本地 AD UPN【英文标题】:AAD Claims UPN vs On-Premise AD UPN 【发布时间】:2018-06-19 13:19:39 【问题描述】:我认为UserPrincipalName
(UPN) 是目录中每个用户的单值,但是当我为特定用户运行 LDAP 查询时,我得到了 UPN:AO0S0020@mydomain.local
,
当针对 Azure AD(使用 AD Connect
同步)运行 OAuth (OpenId Connect) 授权时,我看到同一用户的声明 UPN:nati@mydomain.com
我在这里错过了什么?
【问题讨论】:
【参考方案1】:您缺少Alternate login id 的概念。
您的 Azure AD 连接似乎配置了备用登录 ID。因此差异。
【讨论】:
我试图从 LDAP 中获取AlternateLoginID
属性,但它现在确实存在。
AlternateLoginID 在 ADFS 和 ADConnect 中配置,而不是在 AD 中。通常,它指向 email AD 属性。
我会从 AD 获取 nati@mydomain.com 的 guid(或 OID),然后在 LDAP 的另一个字段中查找此 oid guid 值。
@SqlSurfer Azure AD 中的 OID 与您的本地环境完全断开。所以没有什么可以与之匹配的。从云到本地的链接是源锚。并且其配置各不相同并且可以更改(Azure AD Connect 设置)。以上是关于AAD 声明 UPN 与本地 AD UPN的主要内容,如果未能解决你的问题,请参考以下文章
Azure AD 令牌中的哪些 JWT 声明可以安全地用于用户映射?
Azure AD B2C - 我们可以使用电子邮件 ID 而不是 UPN 登录 - 仅限本地帐户自定义策略吗?
声明环境中用户主体名称的 SharePoint UserProfile