Desde que os valores sejam únicos, a resposta é sim.
Eu tenho um aplicativo da web que é front-ended pelo ISA, autenticando nativamente contra o AD. Todos os usuários atualmente fazem logon com sAMAccountName. Gostaria de permitir que os usuários fornecessem um endereço de e-mail pessoal e pudessem se autenticar contra isso.
Pelo que entendi, o userPrincipalName do AD é normalmente usado para um nome de logon gerado internamente, que por convenção, geralmente é seu endereço de email gerado internamente. O aplicativo da web que eu tenho é de escala da web (cerca de 3 milhões de contas *) e não é um aplicativo corporativo interno, portanto, os endereços de e-mail serão de diversos domínios. Posso apenas definir o atributo AD userPrincipalName para o endereço de email do usuário e, em seguida, o ISA será autenticado nativamente contra esse atributo? Eu ouvi rumores de AD ter um número máximo de sufixos de domínio que permite em userPrincipalName AD ...? (presumivelmente, ele os cataloga).
[* percebo que o AD não é o diretório de autenticação ideal para uma população de usuários dessa escala.]
userPrincipalName pode ser definido para qualquer valor usando o ADSIedit. No entanto, para tornar o userPrincipalName útil, você precisa defini-lo para algum formato definido. Ele deve sempre se parecer com esse [email protected] . Além disso, você não pode definir domain.name arbitrário. Caso contrário, o Windows não poderá procurar o controlador de domínio correto para fazer a autenticação.
O valor de userPrincipalName de um usuário do AD pode ser editado em Active Directory User and Computer . O valor é mostrado em Nome de logon do usuário na guia Conta. A partir desta página de propriedades, você descobre imediatamente que só pode editar a parte username do UPN. O Windows fornece uma caixa de combinação para a parte domain.name . Normalmente, existe apenas uma opção, que é o seu nome de domínio do AD.
Para usar alguns outros valores para domain.name , é necessário adicionar sufixos de domínio adicionais usando Active Directory Domains and Trusts . Consulte aqui . Observe que somente o administrador do domínio pode adicionar sufixos de domínio adicionais ao domínio. Depois de adicionar os sufixos de domínio adicionais, você pode voltar para Active Directory User and Computer . A página de propriedades do usuário agora deve permitir que você escolha os sufixos de domínio recém-adicionados, juntamente com o nome de domínio padrão do AD.
Testei o carregamento de um anúncio com 2000 usuários que tinham nomes de usuário exclusivos. Todos eles também tinham domínios exclusivos que não foram registrados no AD Domains & Relações de confiança (ou seja, para que não apareçam na lista suspensa em Usuários e computadores do Active Directory)
Eu, então, testei o logon como um desses usuários com um nome de usuário aceito em um aplicativo da Web que é iniciado pelo ISA, autenticando-se nativamente contra o AD e ele funcionou sem problemas.