Mapping delle attestazioni utente di Collaborazione B2B in Microsoft Entra per ID esterno
Con Microsoft Entra per ID esterno, è possibile personalizzare le attestazioni rilasciate nel token SAML per gli utenti di Collaborazione B2B. Quando un utente esegue l'autenticazione all'applicazione, Microsoft Entra ID rilascia un token SAML all'app che contiene informazioni (o attestazioni) sull'utente che li identifica in modo univoco. Per impostazione predefinita, questa attestazione include il nome utente, l'indirizzo di posta elettronica, il nome e il cognome dell'utente.
Nell'interfaccia di amministrazione di Microsoft Entra è possibile visualizzare o modificare le attestazioni inviate nel token SAML all'applicazione. Per accedere alle impostazioni, passare ad Applicazioni di identità>Aziendali>> l'applicazione configurata per l'accesso Single Sign-On.> Visualizzare le impostazioni del token SAML nella sezione Attributi utente.
I due possibili motivi per cui potrebbe essere necessario modificare le attestazioni rilasciate nel token SAML sono i seguenti:
L'applicazione richiede un set diverso di URI di attestazione o valori di attestazione.
L'applicazione richiede che l'attestazione NameIdentifier sia diversa dal nome dell'entità utente (UPN) archiviata in Microsoft Entra ID.
Per informazioni su come aggiungere e modificare attestazioni, vedere Personalizzazione delle attestazioni rilasciate nel token SAML per le applicazioni aziendali in Microsoft Entra ID.
Comportamento delle attestazioni UPN per gli utenti B2B
Se è necessario rilasciare il valore UPN come attestazione del token applicazione, il mapping effettivo delle attestazioni può comportarsi in modo diverso per gli utenti B2B. Se l'utente B2B esegue l'autenticazione con un'identità Microsoft Entra esterna e si rilascia user.userprincipalname come attributo di origine, Microsoft Entra ID rilascia l'attributo UPN dal tenant principale per questo utente.
Tutti gli altri tipi di identità esterni, ad esempio SAML/WS-Fed, Google, Email OTP, rilasciano il valore UPN anziché il valore di posta elettronica quando si rilascia user.userprincipalname come attestazione. Se si vuole che l'UPN effettivo venga rilasciato nell'attestazione token per tutti gli utenti B2B, è possibile impostare user.localuserprincipalname come attributo di origine.
Nota
Il comportamento indicato in questa sezione è identico sia per gli utenti B2B solo cloud che per gli utenti sincronizzati che sono stati invitati/convertiti in Collaborazione B2B.
Passaggi successivi
- Per informazioni sulle proprietà utente di Collaborazione B2B, vedere Proprietà di un utente di Collaborazione B2B di Microsoft Entra.
- Per informazioni sui token utente per gli utenti di Collaborazione B2B, vedere Informazioni sui token utente in Collaborazione B2B di Microsoft Entra.