根据 https://azure.microsoft.com/en-us/documentation/articles/active-directory-token-and-claims/,我们应该在断言中获取groups,如下:
<Attribute Name="../claims/groups">
<AttributeValue>07dd8a60-bf6d-4e17-8844-230b77145381</AttributeValue>
但在我得到的断言中,我没有看到组属性。
此外,当尝试将属性添加到给定应用程序的 SAML 令牌时,我只能添加常规用户属性,例如 givenName、surname 等。我在下拉列表中看不到组属性。
互联网上的一些网站谈论下载和上传一些清单或使用 Graph API 调用。我是否缺少任何可以使组出现在断言中的配置选项?
【问题讨论】:
标签: azure saml azure-active-directory
要将组视为断言中的声明,请参阅:Using Group Claims in Azure Active Directory
在清单中,将 groupMembershipClaims 属性(将设置为 null)更改为 SecurityGroup,然后保存更改。
【讨论】:
您似乎正在使用“新”类型的 Azure AD 集成应用程序。有多种方法可以向 Azure AD 注册你的应用程序。一个允许您下载、编辑然后上传清单。此版本允许配置应用程序以发出组声明和应用程序角色。您似乎正在使用的较新方法是从“从库中添加应用程序”向导启动,然后选择“自定义”。此类型允许配置 SAML 声明,但不允许您编辑任何清单。不幸的是,据我所知,没有办法将两者结合起来。
摩根
【讨论】:
Azure AD 身份提供程序以 5 种不同格式提供组成员详细信息,如下所示,
其中,Group ID 表示 Azure Active Directory 中的组 ID,其余 4 个属性仅在 Azure AD 与 on- 同步时提供来自本地 Active Directory 的值。 prem 活动目录。
在 Okta 和 ping 身份的情况下,可以直接转发 memberOf 属性的原始值 {CN=group name, DC=domainname}(即 X500专有名称格式)从 SAML 断言中的本地 AD 接收。
但是在 Azure Ad 的情况下,不可能将 memberOf 属性的原始值从 Azure AD 转发到 SAML 断言,而是 Azure AD 已经在内部解析了组成员属性并给出了上述 4 种转发方式通过 SAML 断言令牌向服务提供者提供组成员信息。
【讨论】: