AAD 声明 UPN 与本地 AD UPN

Posted

技术标签:

【中文标题】AAD 声明 UPN 与本地 AD UPN【英文标题】:AAD Claims UPN vs On-Premise AD UPN 【发布时间】:2018-06-19 13:19:39 【问题描述】:

我认为UserPrincipalName (UPN) 是目录中每个用户的单值,但是当我为特定用户运行 LDAP 查询时,我得到了 UPN:AO0S0020@mydomain.local

当针对 Azure AD(使用 AD Connect 同步)运行 OAuth (OpenId Connect) 授权时,我看到同一用户的声明 UPN:nati@mydomain.com

我在这里错过了什么?

【问题讨论】:

【参考方案1】:

您缺少Alternate login id 的概念。

您的 Azure AD 连接似乎配置了备用登录 ID。因此差异。

【讨论】:

我试图从 LDAP 中获取 AlternateLoginID 属性,但它现在确实存在。 AlternateLoginID 在 ADFS 和 ADConnect 中配置,而不是在 AD 中。通常,它指向 email AD 属性。 我会从 AD 获取 nati@mydomain.com 的 guid(或 OID),然后在 LDAP 的另一个字段中查找此 oid guid 值。 @SqlSurfer Azure AD 中的 OID 与您的本地环境完全断开。所以没有什么可以与之匹配的。从云到本地的链接是源锚。并且其配置各不相同并且可以更改(Azure AD Connect 设置)。

以上是关于AAD 声明 UPN 与本地 AD UPN的主要内容,如果未能解决你的问题,请参考以下文章

Azure AD 令牌中的哪些 JWT 声明可以安全地用于用户映射?

Azure AD B2C - 我们可以使用电子邮件 ID 而不是 UPN 登录 - 仅限本地帐户自定义策略吗?

AD创建UPN后缀

声明环境中用户主体名称的 SharePoint UserProfile

WSO2 身份服务器 5x AD 用户存储 20 个字符限制和 upn

当用户名是 UPN 格式时,即使密码正确,Azure AD 用户的 LogonUser() 也会失败