AzureaD에서 SAML 공동 작업 시 NameID를 SAM 계정 이름으로 사용

개시하다
AzureaD에서SAML 연합을 할 때 일반적으로 NameID에서 UPN이나 메일 주소를 사용하지만 SP 측의 계정 이름은 때때로 AD 계정의 사용자 이름(SAMACcountName)으로 설정된다.
여기에는 SAMACcountName을 사용하는 SAML 결합 방법이 설명되어 있습니다.
전제 조건
이 단계는 AzureAdconnect를 사용하여 ID 공동 작업을 수행하는 경우를 전제로 합니다.
또한 로그인 ID 대신 를 사용하여 협력하는 경우 단계입니다.
AzureaD의 UPN: [email protected]
사전 AD 지원 UPN: [email protected]
※ "K12345"에서 직원 번호 등을 구상하고 SP 측 로그인 ID를 직원 번호로 설정할 경우
단계 설정
□ 속성 설정 및 클레임
엔터프라이즈 어플리케이션 - 단일 서명 설정
[편집]을 선택하여 기본값의 [userprincipalname]에서 [고유한 사용자 ID]를 수정합니다.

고유 사용자 식별자(이름 ID)를 선택합니다.

이름 식별자 형식을 기본값의 전자 메일 주소에서 지정되지 않음으로 변경합니다.

소스 속성을 "user.onpremisessamaccountname"으로 변경합니다.

"user.onpremisessamaccountname"은 미리 설정된Azure AD에서 동기화된SAM 계정 이름입니다.
유일한 사용자 ID가 "use.onpremisessamaccountname"으로 변경되었는지 확인합니다.

UPN 속성이 아닌 SAMACcountName을 사용하여 SAML 연합을 수행할 수 있습니다.
보태다
상기와 같은 SAMACcountName을 사용하여 SAML 연합을 진행할 때 SP 측의 NameID 형식은
"urn:oasis:names:'tc:SAML:1.1:nameid-format:emailAddress"시 일치하지 않아SAML 협업에 실패합니다.
이번 단계에서 SP 측이'urn:oasis:names:'tc:SAML:1.1:nameid-format:unspecified'에 대응하는 데 성공했음을 확인했습니다.
참고 자료
사용자 정의 SAML 토큰 요청