B2B-samarbetsanspråkmappning i externt ID för Microsoft Entra

  • Artikel

Gäller för:Grön cirkel med en vit bockmarkeringssymbol. Personalklientorganisationer Vit cirkel med en grå X-symbol. Externa klienter (läs mer)

Med microsoft entra externt ID kan du anpassa de anspråk som utfärdas i SAML-token för B2B-samarbetsanvändare . När en användare autentiserar till programmet utfärdar Microsoft Entra-ID en SAML-token till appen som innehåller information (eller anspråk) om den användare som unikt identifierar dem. Det här anspråket innehåller som standard användarens användarnamn, e-postadress, förnamn och efternamn.

I administrationscentret för Microsoft Entra kan du visa eller redigera anspråken som skickas i SAML-token till programmet. För att komma åt inställningarna bläddrar du till Identity>Applications>Enterprise-program> >det program som har konfigurerats för enkel inloggning med enkel inloggning. Se inställningarna för SAML-token i avsnittet Användarattribut .

Skärmbild av SAML-tokenattributen i användargränssnittet.

Det finns två möjliga orsaker till varför du kan behöva redigera anspråken som utfärdas i SAML-token:

  1. Programmet kräver en annan uppsättning anspråks-URI:er eller anspråksvärden.

  2. Programmet kräver att NameIdentifier-anspråket är något annat än det användarhuvudnamn (UPN) som lagras i Microsoft Entra-ID.

Information om hur du lägger till och redigerar anspråk finns i Anpassa anspråk som utfärdats i SAML-token för företagsprogram i Microsoft Entra-ID.

UPN-anspråksbeteende för B2B-användare

Om du behöver utfärda UPN-värdet som ett programtokenanspråk kan den faktiska anspråksmappningen bete sig annorlunda för B2B-användare. Om B2B-användaren autentiserar med en extern Microsoft Entra-identitet och du utfärdar user.userprincipalname som källattribut, utfärdar Microsoft Entra-ID UPN-attributet från hemklientorganisationen för den här användaren.

Alla andra externa identitetstyper som SAML/WS-Fed, Google, OTP för e-post utfärdar UPN-värdet i stället för e-postvärdet när du utfärdar user.userprincipalname som ett anspråk. Om du vill att det faktiska UPN ska utfärdas i tokenanspråket för alla B2B-användare kan du ange user.localuserprincipalname som källattribut i stället.

Not

Det beteende som nämns i det här avsnittet är detsamma för både B2B-användare som endast är molnbaserade och synkroniserade användare som har bjudits in/konverterats till B2B-samarbete.

Relaterat innehåll