Azure 组声明返回对象 ID - 需要组名称

Question

一直在使用 Azure 进行单点登录。

对于组声明，在断言期间我们在响应期间仅看到安全组对象 ID。

e4feedb1-df0e-46ff-8a02-e63474015610

是否可以在响应中获取组名称而不是组对象 ID

Answer 1

如果(且仅当)相关群组是从本地 AD 同步的群组时，您可以将群组声明配置为包含本地 sAMAccountName 或本地SID。

Note: Including the display name is not supported. (Display names are not unique, and in most organization, any user is able to create and manage their own groups, making any sort of authorization decision based on group display names a very risky proposition.)

对于库或非库(即自定义)SAML 应用程序(即在企业应用程序下)，可以通过 Azure 门户中的应用程序注册(应用程序注册 > token 配置)或直接在应用程序上进行发布组通过更新 optionalClaims 属性(例如通过 list 编辑器或 Microsoft Graph)来注册的 Application 对象。

• https://learn.microsoft.com/azure/active-directory/hybrid/how-to-connect-fed-group-claims