由於ZTA模組中未接受使用者電子郵件,導致零信任訪問註冊失敗
問題
終端無法註冊到零信任訪問(ZTA)模組,因為註冊工作流不接受使用者電子郵件地址,即使確認使用者位於正確的組中。此問題發生在實施階段,並阻止向利益相關方演示和部署零信任訪問。
環境
- 技術:解決方案支援(SSPT — 需要合約)
- 子技術:安全訪問 — 零信任訪問(ZTNA、狀態、基於客戶端、註冊、專用資源)
- 產品系列:SECACCS
- 問題代碼:配置幫助
- 涉及使用者組成員資格和電子郵件地址驗證的ZTA模組註冊工作流
- 第一次在N/A軟體版本上看到;其他硬體和軟體版本也可能受到影響
解析
驗證Secure Access Dashboard > Connect > User/Groups > UPN Value 是否採用使用者ID而不是電子郵件格式。
註冊ZTA時,輸入CSA根據UPN值檢查的電子郵件地址。如果UPN值不是電子郵件格式,則會產生錯誤。
要解決此問題,請對DUO執行3個步驟:
1.在User > User attributes下,定義了一個使用者屬性。新增一個使用者屬性> UPN。選擇屬性名稱作為SSO身份驗證源。
inline_image_0.png2將「使用者屬性」對映到 — 目錄同步:
a.導航到Users > Directory Sync。
b.選擇要修改的Active Directory同步。
c.要配置同步屬性,請滾動到屬性部分。
inline_image_1.png3.在用於使用者同步的SSO應用程式下,對映這些屬性:
a.導航到Application - SSO Application。
b.選擇用於使用者同步的應用程式。
inline_image_2.png
原因
UPN值未作為來自DUO的電子郵件同步。
相關內容
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
14-Apr-2026
|
初始版本 |
意見