将安全组声明添加到自定义 Azure Active Directory 应用程序的 SAML 令牌
Add Security Group Claims to SAML token for Custom Azure Active Directory Application
我已根据 MS 指南将自定义应用程序添加到我们的活动目录 here
如何自定义 SAML 令牌中提供的声明以提供经过身份验证的用户的安全组。本文未提及组 https://azure.microsoft.com/en-us/documentation/articles/active-directory-saml-claims-customization/
我通常知道对于 AD 中的 Azure 应用程序,我可以更改清单以将其发送到 return 安全组。但是我没有使用 SAML 版本的经验。我们关心的组数量非常有限,因此即使是 InGroupA 的布尔标志也可以使用。
我正在使用 kentor Authservices,那部分工作正常,但它没有团体声明。我试图让它需要属性 http://schemas.microsoft.com/ws/2008/06/identity/claims/groups 但是它仍然让我在没有包含此声明的令牌的情况下登录。
有什么想法吗?
这是可能的,但是您需要通过 REST API
通过objectid找到应用程序
将 属性 groupMembershipClaims 更新为值 All
您也可以使用此 PowerShell 脚本。
使用脚本 here 我加载了所需的库,然后 运行 以下命令:
Connect-AAD (use the tenant GA credentials)
Execute-AADQuery -Base "applications" -HTTPVerb Get
Execute-AADQuery -Base "applications/<GUID>" -HTTPVerb Patch -Data (New-Object -TypeName PsObject -Property @{"groupMembershipClaims"="All"})
我已根据 MS 指南将自定义应用程序添加到我们的活动目录 here
如何自定义 SAML 令牌中提供的声明以提供经过身份验证的用户的安全组。本文未提及组 https://azure.microsoft.com/en-us/documentation/articles/active-directory-saml-claims-customization/
我通常知道对于 AD 中的 Azure 应用程序,我可以更改清单以将其发送到 return 安全组。但是我没有使用 SAML 版本的经验。我们关心的组数量非常有限,因此即使是 InGroupA 的布尔标志也可以使用。
我正在使用 kentor Authservices,那部分工作正常,但它没有团体声明。我试图让它需要属性 http://schemas.microsoft.com/ws/2008/06/identity/claims/groups 但是它仍然让我在没有包含此声明的令牌的情况下登录。
有什么想法吗?
这是可能的,但是您需要通过 REST API
通过objectid找到应用程序 将 属性 groupMembershipClaims 更新为值 All
您也可以使用此 PowerShell 脚本。
使用脚本 here 我加载了所需的库,然后 运行 以下命令:
Connect-AAD (use the tenant GA credentials)
Execute-AADQuery -Base "applications" -HTTPVerb Get
Execute-AADQuery -Base "applications/<GUID>" -HTTPVerb Patch -Data (New-Object -TypeName PsObject -Property @{"groupMembershipClaims"="All"})