Azure AD 企业应用 SAML 配置

Question

我正在尝试配置 SAML 非图库企业应用，但在配置声明时遇到问题。总结当前声明，objectGUID 作为名称标识符发送。他们将extensionAttribute6 发送为OrgID。 GivenName、sn 和 e-mail 地址在没有任何更改的情况下发送。

AD Connect 已配置为将 objectGUID 和 extensionAttribute6 同步到 AAD，这些属性在企业应用程序的 SSO 配置刀片中可用。

我的问题是：

1) 是否需要为objectGUID 定义命名空间，或者是否可以仅从声明和名称标识符中的源属性中选择？

2) 如何将extensionAttribute6 转换为OrgID？

ADFS 中当前的声明规则是：

1)

c:[类型 == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 发行人 == "广告授权"] => issue(store = "Active Directory", types = ("GUID"), query = ";objectGuid;{0}", param = c.Value);

2)

c:[Type == "GUID"] =>问题（类型=“http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier”， 发行人 = c.Issuer，OriginalIssuer = c.OriginalIssuer，价值 = c.Value， ValueType = c.ValueType, 属性["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified");

3)

c:[类型 == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 发行人 == "广告授权"] =>问题（商店=“活动目录”，类型=（“给定名称”，“sn”，“组织ID”，“邮件”），查询= ";givenName,sn,extensionAttribute6,mail;{0}", 参数 = c.Value);

Answer 1

当您将 User.ObjectID 映射为 NameID 声明时，您不必指定命名空间。另请注意，不要选择任何 NameID 格式并将其保留为默认值。 Azure AD 支持成对名称标识符。这意味着，如果服务提供者发送 NameID 格式，那么应用程序将根据 SAML 请求中指定的格式从 Azure AD 获取该格式。

如果您尝试将 User.ObjectID 声明映射为另一个声明，那么您可以根据需要添加命名空间值，但这取决于应用程序如何需要它。

关于转换 OrgID 我不确定您要发送什么。您可以将其定义为声明名称，然后选择 ExtensionAttribute 6 作为值，如果用户存在该值，那么您应该在 SAML 响应中看到它。

我希望这会有所帮助。

感谢和问候，

吉万·迪萨达