こんにちは。今回はADFSの代替えIDについてご紹介します。デフォルトではADFSにログインする際、ADの属性「userPrincipalName」または「sAMAccountName」でログインします。代替えIDを使用すると、Mail属性など任意の属性を使用しログインできます。例えば、「userPrincipalName」の値が「test@local」、「sAMAccountName」の値が「test」で、「Mail」が「test2@o365」などの場合、「test2@o365」でADFSにログインできます。代替えIDで使用できる属性は、ADのグローバルカタログに登録されている属性に限ります。

代替えIDの設定を確認する

プライマリADFSサーバにログインし、PowerShell(管理者)を起動、コマンドを実行します。

Get-AdfsClaimsProviderTrust

実行結果

AlternateLoginID で指定されている属性名が代替えIDになります。デフォルトは「 UserPrincipalname」です。

代替えIDを設定する

プライマリADFSサーバにログインし、PowerShell(管理者)を起動、コマンドを実行します。

Set-AdfsClaimsProviderTrust -TargetIdentifier “AD AUTHORITY” -AlternateLogin mail -LookupForests {ADドメイン名.local}

実行結果

AlternateLoginID で指定されている属性名が「Mail」になります。これでADFSのログインがメールアドレス属性で可能になります。

補足

• AzureADConnectのインストーラを使用し、ADFSをインストールした場合、Office365の「userPrincipalName」として扱う属性が代替えIDとして自動設定されます。ただし、グローバルカタログにない属性を指定した場合は、「userPrincipalName」が設定されます。
• 代替えIDは、 Thunderbird などのメーラを使用したIMAP接続にも使用できます。先端認証に対応していないメーラからの認証に使えます。
• 代替えIDとして使用する属性の値が重複している場合ログインが失敗します。例えば、代替えIDに「Mail」を指定。ユーザAのMail属性が「test1@com」で、ユーザBのMail属性が「test1@com」の場合、値が重複しているため、ADFSへのログインが失敗します。

About サイオステクノロジーの中の人 1 Article

サイオステクノロジーで働く中の人です。

Twitter YouTube