Mapeamentos de declarações de usuários da colaboração B2B no Microsoft Entra External ID
Aplica-se a: 
Locatários da força de trabalho 
Locatários externos (saiba mais)
Com o Microsoft Entra External ID, você pode personalizar as declarações que são emitidas no token de SAML para usuários da Colaboração B2B. Quando um usuário se autentica no aplicativo, o Microsoft Entra ID emite um token SAML para o aplicativo que contém informações (ou declarações) sobre o usuário que o identifica com exclusividade. Por padrão, essa declaração inclui o nome de usuário, o endereço de email, o nome e sobrenome do usuário.
No Centro de Administração Microsoft Entra, você pode exibir ou editar as declarações enviadas no token SAML para o aplicativo. Para acessar as configurações, navegue até Identidade>Aplicativos>Aplicativos empresariais> o aplicativo que está configurado para logon único >logon único. Consulte as configurações de token SAML na seção Atributos de usuário.
Há dois possíveis motivos para você precisar editar as declarações emitidas no token SAML:
O aplicativo exige um conjunto diferente de URIs ou valores de declaração.
O aplicativo exige que a declaração NameIdentifier seja algo diferente do nome UPN armazenado no Microsoft Entra ID.
Para obter informações sobre como adicionar e editar declarações, confira Personalização de reivindicações emitidas no token SAML para aplicativos corporativos no Microsoft Entra ID.
Comportamento de declarações UPN para usuários B2B
Se você precisar emitir o valor UPN como uma declaração de token de aplicativo, o mapeamento de declaração real poderá se comportar de forma diferente para usuários B2B. Se o usuário B2B se autenticar com uma identidade externa do Microsoft Entra e você emitir user.userprincipalname como o atributo de origem, o Microsoft Entra ID emitirá o atributo UPN do locatário inicial para esse usuário.
Todos os outros tipos de identidade externa, como SAML/WS-Fed, Google, Email OTP emitem o valor UPN em vez do valor de email quando você emite user.userprincipalname como uma declaração. Se você quiser que o UPN real seja emitido na declaração de token para todos os usuários B2B, você poderá definir user.localuserprincipalname como o atributo de origem.
Observação
O comportamento mencionado nesta seção é o mesmo para usuários B2B somente na nuvem e usuários sincronizados que foram convidados/convertidos em colaboração B2B.
Conteúdo relacionado
- Para obter informações sobre as propriedades do usuário de colaboração B2B, confira Propriedades de um usuário de colaboração B2B do Microsoft Entra.