Configurar o AD FS no Painel do Umbrella
Introdução
Este documento descreve como configurar o AD FS no Cisco Umbrella Dashboard para permitir logons com um endereço de email.
Overview
Este documento se aplica a usuários que desejam configurar a autenticação de logon único entre o Cisco Umbrella Dashboard e o Ative Diretory Federated Services (AD FS). Este documento é um apêndice às principais instruções do AD FS no Guia de configuração do Cisco Umbrella com Ative Diretory Federation Services (AD FS) versão 3.0 usando SAML.
Este artigo também fornece um exemplo de configuração do AD FS para permitir o logon com um endereço de email.
Configurar
Por padrão, o AD FS autentica usuários com base em seu Nome UPN. Muitas vezes, esse UPN corresponde ao endereço de e-mail e ao endereço de e-mail da conta Umbrella do usuário, portanto, nenhuma ação é necessária.
No entanto, em alguns casos, o endereço de e-mail do usuário difere do UPN, e essas etapas adicionais são necessárias.
Note: Este exemplo é fornecido 'no estado em que se encontra' com base em um ambiente de trabalho do AD FS. O Suporte Umbrella não pode ajudar com a configuração de ambientes AD FS individuais.
Etapa 1. Permitir Login no Endereço de E-mail (Opcional)
O comando PowerShell configura o AD FS para permitir que o atributo mail seja usado como ID de logon. Substitua <Domínio> pelo nome do seu domínio do Ative Diretory:
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests <Domain>
Isso evita confusão para o usuário final, já que ele pode usar o mesmo nome de usuário para ambos os sistemas. Após essa alteração, o usuário pode fazer logon como:
- Insira o nome de usuário do Umbrella (por exemplo, email@domain.tld)
- Insira email@domain.tld ou upn@domain.tld como o nome de usuário do AD FS
Se essa etapa não for seguida, o usuário final poderá precisar usar um nome de usuário diferente para os dois sistemas:
- Insira o nome de usuário do Umbrella (por exemplo, email@domain.tld)
- Insira upn@domain.tld como o nome de usuário do AD FS
Etapa 2. Editar Regras de Reivindicações (Obrigatório)
Revise as informações nas instruções do AD FS no Guia de configuração do Cisco Umbrella com Ative Diretory Federation Services (AD FS) versão 3.0 usando SAML. A regra de reivindicações userPrincipalName para o endereço de Email deve ser excluída e substituída pela regra chamada endereço de Email para Email.
Isso instrui o AD FS a incluir o atributo mail em sua resposta SAML:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);
As regras de reivindicações devem ser configuradas na ordem correta com endereço de e-mail como a primeira regra:
360024534972
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
31-Oct-2025
|
Versão inicial |
Feedback