在Umbrella控制面板中配置AD FS
简介
本文档介绍如何在Cisco Umbrella Dashboard中配置AD FS以允许使用电子邮件地址登录。
概述
本文档适用于想要在Cisco Umbrella Dashboard和Active Directory联合服务(AD FS)之间配置单点登录身份验证的用户。 本文档是使用SAML配置Cisco Umbrella with Active Directory Federation Services(AD FS)3.0版指南中AD FS主要说明的附录。
本文还提供配置AD FS以允许使用电子邮件地址登录的示例。
配置
默认情况下,AD FS根据用户的用户主体名称(UPN)对用户进行身份验证。 通常,此UPN匹配用户的电子邮件地址和Umbrella帐户电子邮件地址,因此不需要执行任何操作。
但是,在某些情况下,用户的电子邮件地址与其UPN不同,因此需要执行以下附加步骤。
注意:此示例根据工作AD FS环境按“原样”提供。Umbrella支持无法帮助配置单个AD FS环境。
步骤1.允许电子邮件地址登录(可选)
PowerShell命令将AD FS配置为允许mail属性用作登录ID。将<Domain>替换为Active Directory域的名称:
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests <Domain>
这避免了最终用户的混淆,因为他们可以对两个系统使用相同的用户名。进行此更改后,用户能够以以下身份登录:
- 输入Umbrella用户名(例如email@domain.tld)
- 输入email@domain.tld或upn@domain.tld作为AD FS用户名
如果不执行此步骤,最终用户可能需要对两个系统使用不同的用户名:
- 输入Umbrella用户名(例如email@domain.tld)
- 输入upn@domain.tld作为AD FS用户名
步骤2.编辑领款申请规则(必填)
请参阅使用SAML配置Cisco Umbrella with Active Directory Federation Services(AD FS)版本3.0指南中AD FS说明中的信息。必须删除声明规则userPrincipalName to Email address,并将其替换为称为mail to Email address的规则。
这指示AD FS在其SAML响应中包括mail属性:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"), query = ";mail;{0}", param = c.Value);
声明规则必须按正确的顺序配置,并将邮件至电邮地址作为第一条规则:
360024534972
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
31-Oct-2025
|
初始版本 |
反馈