Azure AD SCIM 属性映射 - 组成员资格表达式
Azure AD SCIM Attribute Mapping - Group Membership Expression
我想在 Azure AD 中为 SCIM 属性映射创建一个表达式,以根据特定 AD 组的用户成员身份将值传递给接收应用程序的属性。
例如,如果 Azure AD 属性 user.department 的值等于 [=13=,则以下表达式将值 New 传递给接收应用程序的属性 userType ],如果没有则传递值Old。
IIF([department]="new_hr", "New", "Old")
参见下面的示例设置:
但是,我无法在 Azure AD 的表达式中查询或检查用户的组成员身份。我想创建一个表达式来检查用户是否是组 abc 的成员,如果 true 它应该传递值 X,如果 false,它应该传递值 Y
知道如何做到这一点吗?
目前无法进行。组成员资格被视为组对象的 属性,不能调用到用户对象的任何逻辑表达式中。
根据@ZollnerdMSFT 的建议,目前无法在 Azure 中直接使用表达式查询 AD 组成员资格。解决方案是使用 App roles。我向 Azure 中的企业应用程序添加了新的应用程序角色,然后将所需的应用程序角色分配给每个组。 AD 组中的用户继承分配给他们所属组的应用程序角色。
然后可以使用表达式查询这些继承的 应用程序角色。然后我编写了一个表达式来获取用户继承的应用程序角色,并根据用户拥有的应用程序角色返回所需的值——这隐含地反映了用户的组成员身份。
我想在 Azure AD 中为 SCIM 属性映射创建一个表达式,以根据特定 AD 组的用户成员身份将值传递给接收应用程序的属性。
例如,如果 Azure AD 属性 user.department 的值等于 [=13=,则以下表达式将值 New 传递给接收应用程序的属性 userType ],如果没有则传递值Old。
IIF([department]="new_hr", "New", "Old")
参见下面的示例设置:
但是,我无法在 Azure AD 的表达式中查询或检查用户的组成员身份。我想创建一个表达式来检查用户是否是组 abc 的成员,如果 true 它应该传递值 X,如果 false,它应该传递值 Y
知道如何做到这一点吗?
目前无法进行。组成员资格被视为组对象的 属性,不能调用到用户对象的任何逻辑表达式中。
根据@ZollnerdMSFT 的建议,目前无法在 Azure 中直接使用表达式查询 AD 组成员资格。解决方案是使用 App roles。我向 Azure 中的企业应用程序添加了新的应用程序角色,然后将所需的应用程序角色分配给每个组。 AD 组中的用户继承分配给他们所属组的应用程序角色。
然后可以使用表达式查询这些继承的 应用程序角色。然后我编写了一个表达式来获取用户继承的应用程序角色,并根据用户拥有的应用程序角色返回所需的值——这隐含地反映了用户的组成员身份。