我已根据 MS 指南 here 将自定义应用程序添加到我们的事件目录中
如何自定义 SAML token 中提供的声明以提供经过身份验证的用户的安全组。本文没有提及组 https://azure.microsoft.com/en-us/documentation/articles/active-directory-saml-claims-customization/
我知道通常对于 AD 中的 Azure 应用程序,我可以更改 list 以使其返回安全组。不过我对 SAML 版本没有经验。我们关心的组数量非常有限,因此即使是 InGroupA 的 bool 标志也可以工作。
我正在使用 kentor Authservices,该部分工作正常,但它没有针对团体的声明。我试图让它需要属性 http://schemas.microsoft.com/ws/2008/06/identity/claims/groups但是它仍然让我在没有包含此声明的 token 的情况下登录。
有什么想法吗?
最佳答案
这是可能的,但是您需要通过 REST API 来完成此操作
通过应用程序的objectid查找应用程序 将属性 groupMembershipClaims 更新为值 All
您还可以使用此 PowerShell 脚本。
使用脚本here我加载了所需的库,然后运行以下命令:
Connect-AAD (use the tenant GA credentials)
Execute-AADQuery -Base "applications" -HTTPVerb Get
Execute-AADQuery -Base "applications/<GUID>" -HTTPVerb Patch -Data (New-Object -TypeName PsObject -Property @{"groupMembershipClaims"="All"})
关于azure - 将安全组声明添加到自定义 Azure Active Directory 应用程序的 SAML token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37933580/