Come possiamo aiutarvi oggi?
Modifica delle regole di attestazione per riscrivere UPN in AzureAD SSO
Il processo di accesso SSO corrisponde all'UPN passato da AzureAD con AD (in Active Directory locale).
Quando questi non corrispondono, viene mostrato un avviso che il tuo nome di accesso non corrisponde e l'accesso non è concesso.
Se ti trovi nel caso in cui l'UPN dei tuoi utenti su AzureAD non corrisponde ad AD, ad esempio sono stati creati manualmente e non sono sincronizzati o sono stati modificati durante la sincronizzazione, sarà necessario modificare la regola di attestazione predefinita nell'APP aziendale affinché MyWorkDrive in AzureAD li riscriva in modo che corrispondano all'UPN in AD affinché gli accessi SSO abbiano esito positivo.
Il modo più semplice per riscrivere l'UPN sull'app è utilizzare una RegEx. Estrai il prefisso upn (la parte del nome prima di @domain) e scrivi in un dominio personalizzato.
In questo caso, i nostri utenti UPN su AD utilizzano il dominio “@corp.company.com”
e il loro upn su AzureAD è il dominio "@company.com", che viene riscritto per corrispondere alla loro posta elettronica
Pertanto, quando accedono ad AzureAD con utente@azienda.com, SSO rifiuta l'accesso poiché non corrisponde a utente@azienda.com su Active Directory
Accedi ad Azure e modifica l'app aziendale AzureAD (Entra) per il tuo SSO MyWorkDrive
Dal pannello Single Sign On, fare clic per modificare la casella 2, Attributi e attestazioni
Fare clic sulla prima voce, Reclamo richiesto
Cambia la fonte da Attributi a Trasformazione
Nella nuova finestra che si apre, seleziona Trasformazione “RegExReplace()”
per Nome attributo, seleziona "user.userprincipalname" in fondo all'elenco
Nel pattern RegEx si desidera specificare il nome di dominio da cui si sta modificando, ovvero il dominio in AzureAD. Conservare la formattazione e i caratteri come mostrato nell'esempio.
(?'dominio'^.*?)(?i)(\@azienda\.com)$
Nel pattern di sostituzione specificherai la variabile {domain} e inserirai il nome del dominio a cui stai cambiando, ovvero il dominio in AD
{dominio}@corp.company.com
Puoi quindi utilizzare lo strumento di test per verificare che la regex riscriva correttamente il tuo login.
Immettere l'e-mail degli utenti (upn da AzureAD) e verrà mostrata la trasformazione nell'UPN che corrisponde ad AD. Stiamo inserendo user@company.com e ci aspettiamo che restituisca user@corp.company.com, e lo fa.
Se commetti un errore nella traduzione, verrà visualizzato un avviso nella parte superiore della pagina
(in questo caso, abbiamo scritto male il nome di dominio per l'utente di prova)
Per completare il salvataggio delle modifiche, scorri verso il basso e fai clic su Aggiungi. La finestra dovrebbe chiudersi.
Fare clic su Salva nella pagina Gestisci reclamo
Ora dovresti essere in grado di accedere all'URL di accesso per il tuo server MyWorkDrive e inserire la tua email (utente@azienda.com) e accedere correttamente.
Puoi anche verificare che l'UPN di AD (utente@corp.azienda.com) abbia accesso utilizzando il file Condividi strumento di test opzione nella pagina Condivisioni di MyWorkDrive Admin.
Selezionare test, selezionare SSO e utilizzare l'UPN immesso in AD (in questo caso, user@corp.company.com). Se lo strumento di test convalida l'accesso e la riscrittura è corretta, gli accessi degli utenti avranno esito positivo.
Se sono presenti errori, risolverli nel tuo ambiente (condividere le autorizzazioni, delegazione non impostato, l'utente non è membro di un gruppo che dispone dell'autorizzazione per condividere, eccetera)
