تكوين AD FS في لوحة معلومات المظلة
المقدمة
يصف هذا المستند كيفية تكوين AD FS في لوحة معلومات Cisco Umbrella للسماح بعمليات تسجيل الدخول باستخدام عنوان بريد إلكتروني.
نظرة عامة
ينطبق هذا المستند على المستخدمين الذين يرغبون في تكوين مصادقة تسجيل الدخول الأحادي بين لوحة معلومات Cisco Umbrella والخدمات الموحدة ل Active Directory (AD FS). هذا المستند هو ملحق للتعليمات الرئيسية AD FS في دليل تكوين Cisco Umbrella باستخدام الإصدار 3.0 من Active Directory Federation Services (AD FS) باستخدام SAML.
كما تقدم هذه المقالة مثالا لتكوين AD FS للسماح بتسجيل الدخول باستخدام عنوان بريد إلكتروني.
التكوين
بشكل افتراضي، يصادق AD FS المستخدمين بناء على اسم المستخدم الأساسي (UPN). غالبا ما تتطابق خدمة UPN هذه مع كل من عنوان البريد الإلكتروني وعنوان البريد الإلكتروني لحساب Umbrella الخاص بالمستخدم، وبالتالي لا يلزم إتخاذ أي إجراء.
ومع ذلك، في بعض الحالات، يختلف عنوان البريد الإلكتروني للمستخدم عن UPN الخاص به، وهذه الخطوات الإضافية مطلوبة.
ملاحظة: يتم توفير هذا المثال 'كما هو' استنادا إلى بيئة عمل AD FS. يتعذر على "دعم Umbrella" المساعدة في تكوين بيئات AD FS الفردية.
الخطوة 1. السماح بتسجيل الدخول إلى عنوان البريد الإلكتروني (إختياري)
يقوم الأمر PowerShell بتكوين AD FS للسماح باستخدام سمة البريد كمعرف تسجيل الدخول. إستبدال <domain> باسم مجال Active Directory الخاص بك:
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests <Domain>
ويتجنب هذا الأمر الارتباك للمستخدم النهائي حيث إنه يمكن إستخدام نفس اسم المستخدم لكلا النظامين. بعد هذا التغيير، يمكن للمستخدم تسجيل الدخول باسم:
- أدخل اسم مستخدم Umbrella (على سبيل المثال، email@domain.tld)
- أدخل email@domain.tld أو upn@domain.tld كاسم مستخدم AD FS
في حالة عدم اتباع هذه الخطوة، قد يحتاج المستخدم النهائي إلى إستخدام اسم مستخدم مختلف لكلا النظامين:
- أدخل اسم مستخدم Umbrella (على سبيل المثال، email@domain.tld)
- أدخل upn@domain.tld باسم مستخدم AD FS
الخطوة 2 - تحرير قواعد المطالبات (مطلوب)
راجع المعلومات الواردة في تعليمات AD FS في دليل تكوين Cisco Umbrella باستخدام الإصدار 3.0 من Active Directory Federation Services (AD FS) باستخدام SAML. يجب حذف قاعدة المطالبات userPrincipalName إلى عنوان البريد الإلكتروني واستبدالها بالقاعدة المسماة البريد إلى عنوان البريد الإلكتروني.
وهذا يورد AD FS لتضمين سمة البريد في إستجابة SAML الخاصة به:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);
يجب تكوين قواعد المطالبات بالترتيب الصحيح باستخدام البريد إلى عنوان البريد الإلكتروني كالقاعدة الأولى:
360024534972
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
31-Oct-2025
|
الإصدار الأولي |
التعليقات