統合Windows認証を利用する際は、IIJ IDユーザのexternalUserNameにADユーザの「（samAccountName） + "@" + （ADドメイン）」を設定する必要があります。

通常はuserPrincipalNameをexternalUserNameに指定することで上記の条件を満たすことができますが、代替のUPNサフィックスを利用している場合にはuserPrincipalNameと一致しない場合があります。
一致しない場合には、以下のようにconvertを利用した設定ファイルを作成します。

config.ymlの設定例

iid:
  scim:
    attribute:
      user:
        ad_bind:
          externalUserName:   sAMAccountName
        convert:
          externalUserName:
            - pattern: '\z'
              replacement: '@(ADドメイン)'