Сопоставление утверждений пользователей совместной работы B2B в Внешняя идентификация Microsoft Entra

Область применения: Зеленый круг с символом белой галочки. клиенты рабочей силы внешниеБелый круг с серым символом X. клиенты (дополнительные сведения)

С помощью Внешняя идентификация Microsoft Entra можно настроить утверждения, выданные в токене SAML для пользователей службы совместной работы B2B. Когда пользователь проходит проверку подлинности в приложении, идентификатор Microsoft Entra выдает маркер SAML приложению, который содержит сведения (или утверждения) о пользователе, который однозначно идентифицирует их. По умолчанию это утверждение включает имя пользователя, адрес электронной почты, имя и имя семьи.

В Центре администрирования Microsoft Entra можно просмотреть или изменить утверждения, отправляемые в токен SAML приложению. Чтобы получить доступ к параметрам, перейдите к приложениям> Identity>Applications>Enterprise, которые настроены для единого входа.> Сведения о параметрах токена SAML см. в разделе "Атрибуты пользователя".

Снимок экрана: атрибуты токена SAML в пользовательском интерфейсе.

Существует две возможные причины, по которым может потребоваться изменить утверждения, выданные в токене SAML:

  1. Приложению требуется другой набор URI утверждений или значений утверждений.

  2. Приложению требуется утверждение NameIdentifier, отличное от имени участника-пользователя (UPN), хранящегося в идентификаторе Microsoft Entra ID.

Сведения о добавлении и изменении утверждений см. в разделе "Настройка утверждений" в токене SAML для корпоративных приложений в идентификаторе Microsoft Entra.

Поведение утверждений участника-пользователя для пользователей B2B

Если необходимо выдать значение имени участника-пользователя в качестве утверждения маркера приложения, фактическое сопоставление утверждений может вести себя по-разному для пользователей B2B. Если пользователь B2B проходит проверку подлинности с помощью внешнего удостоверения Microsoft Entra и выдает имя user.user.userprincipalname в качестве исходного атрибута, идентификатор Microsoft Entra id выдает атрибут имени участника-пользователя из домашнего клиента для этого пользователя.

Все другие типы внешних удостоверений, такие как SAML/WS-Fed, Google, Email OTP выдает значение имени участника-пользователя, а не значение электронной почты при выдаче имени user.userprincipalname в качестве утверждения. Если вы хотите, чтобы фактическое имя участника-пользователя было выдано в утверждении токена для всех пользователей B2B, можно задать имя user.localuserprincipalname в качестве исходного атрибута.

Заметка

Поведение, указанное в этом разделе, совпадает как для пользователей B2B, так и для пользователей, которые были приглашены и преобразованы в совместную работу B2B.

  • Сведения о свойствах пользователя совместной работы B2B см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B".