Configurer le nom d'utilisateur principal de l'agent IWA Web Okta

Cette procédure s'applique uniquement aux entreprises qui utilisent plusieurs domaines. Elle nécessite l'agent IWA Web version 1.8.1 ou ultérieure.

Le nom d'utilisateur principal (UPN) dans Active Directory est le nom d'un utilisateur du système présenté sous forme d'e-mail. Vous devez configurer la transformation de l'UPN si vos utilisateurs se connectent à un domaine qui n'est pas celui de votre org Okta.

Par exemple, si vos utilisateurs se connectent pour travailler en utilisant username@abc.com, alors que les noms d'utilisateur Okta dans votre org sont au format username@xyz.com. Cela signifie que les noms d'utilisateurs authentifiés que votre entreprise envoie à Okta ne correspondent pas aux noms d'utilisateur dans votre org Okta. Au lieu d'être connectés automatiquement à leurs tableaux de bord Okta, vos utilisateurs sont invités à saisir leurs identifiants. Vous pouvez résoudre ce problème en ajoutant une règle au fichier web.config de l'agent qui transforme un nom d'utilisateur authentifié au format de nom d'utilisateur pour votre org Okta.

L'attribut match spécifie une expression régulière que l'agent IWA Web utilise pour vérifier les UPN. Si un UPN correspond à une règle de transformation d'UPN, l'agent IWA Web utilise l'expression spécifiée par l'attribut replace pour calculer un UPN transformé. Pour plus d'informations sur la correspondance et le remplacement, consultez Langage d’expression régulier - Aide-mémoire et Substitutions dans les expressions régulières.

L'agent IWA Web vérifie les règles dans l'ordre où elles sont spécifiées dans le fichier de configuration. Il applique la première règle qui correspond à l'UPN. Si aucune règle ne correspond à l'UPN, l'agent Web IWA envoie l'UPN d'origine à Okta.

Les administrateurs peuvent utiliser /IWA/authenticated.aspx pour vérifier et déboguer les règles de transformation.

  1. Modifiez le fichier C:\inetpub\wwwroot\IWA\web.config.
  2. Insérez le code ci-dessous comme enfant de l'élément <oktaSSOConfigGroup>. La règle prend tout nom d'utilisateur qui contient abc.com et le convertit pour qu'il utilise xyz.com :

    <upnTransformation> <rule match="(.+)@abc\.com" replace="${1}@xyz.com" /> </upnTransformation>

    La même logique peut être appliquée à d'autres cas d'utilisation courants, comme transformer company.local en company.com, ou company.com en company.okta.com.