ISAによってフロントエンドされ、ADに対してネイティブに認証されるWebアプリがあります。現在、すべてのユーザーはsAMAccountNameでログオンしています。ユーザーが個人の電子メールアドレスを提供し、代わりにこれに対して認証できるようにしたいと思います。
私の理解では、AD userPrincipalNameは通常、内部で生成されたログオン名に使用されます。これは、慣例により、内部で生成された電子メールアドレスであることがよくあります。私が持っているウェブアプリはウェブ規模(約300万アカウント*)であり、社内の企業アプリではないため、メールアドレスはさまざまなドメインからのものになります。 AD userPrincipalName属性をユーザーの電子メールアドレスに設定するだけで、代わりにISAこの属性に対してネイティブに認証されますか?)で許可されるドメインサフィックスの最大数を持つADの噂を聞きましたAD userPrincipalName ...?(おそらくそれらをカタログ化します)。
[* ADはこの規模のユーザー集団にとって理想的な認証ディレクトリではないことを理解しています。]
値が一意である限り、答えは「はい」です。
userPrincipalName
属性は、ADSIeditを使用して任意の値に設定できます。ただし、userPrincipalName
を便利にするには、定義済みの形式に設定する必要があります。常に次のようになります[email protected]。また、任意のdomain.nameを設定することはできません。そうしないと、Windowsは認証を行うための正しいドメインコントローラーを検索できません。
ADユーザーのuserPrincipalName
の値は、Active Directory User and Computer
で編集できます。値は、[アカウント]タブの[ユーザーログオン名]の下に表示されます。このプロパティページから、UPNのユーザー名の部分しか編集できないことがすぐにわかります。 Windowsは、domain.name部分のコンボボックスを提供します。通常、そこにはADドメイン名という1つのオプションしかありません。
domain.nameに他の値を使用するには、次の方法でドメインサフィックスを追加する必要があります。 Active Directory Domains and Trusts
を使用します。 ここ を参照してください。ドメインの追加のドメインサフィックスを追加できるのは、ドメイン管理者のみであることに注意してください。ドメインサフィックスを追加したら、Active Directory User and Computer
に戻ることができます。これで、ユーザープロパティページで、新しく追加されたドメインサフィックスとデフォルトのADドメイン名を選択できるようになります。
私は、すべてが一意のuserprincipalNamesを持つ2000人のユーザーで広告をロードすることをテストしました。それらはすべて、AD Domains&Trustsに登録されていない一意のドメインも持っていました(つまり、Active Directoryユーザーとコンピューターのドロップダウンに表示されません)
次に、これらのユーザーの1人として、ISAによってフロントエンドされたWebアプリにuserprincipalnameを使用してログオンし、ADに対してネイティブに認証することをテストしましたが、問題なく動作しました。