Microsoft Entra 외부 ID의 B2B 협업 사용자 클레임 매핑

Microsoft Entra 외부 ID를 사용하면 B2B 협업 사용자를 위해 SAML 토큰에서 발급되는 클레임을 사용자 지정할 수 있습니다. 사용자가 애플리케이션에 인증하면 Microsoft Entra ID는 사용자를 고유하게 식별하는 사용자에 대한 정보(또는 클레임)가 포함된 SAML 토큰을 앱에 발급합니다. 기본적으로 이 클레임은 사용자의 사용자 이름, 이메일 주소, 이름 및 성을 포함합니다.

Microsoft Entra 관리 센터에서는 SAML 토큰으로 애플리케이션에 전송된 클레임을 보거나 편집할 수 있습니다. 설정에 액세스하려면 ID>애플리케이션>엔터프라이즈 애플리케이션> Single Sign-On용으로 구성된 애플리케이션 >Single Sign-On으로 이동합니다. SAML 토큰 설정은 사용자 특성 섹션을 참조하세요.

SAML 토큰에 발급된 클레임을 편집해야 할만한 두 가지 이유는 다음과 같습니다.

1. 애플리케이션에 다른 클레임 URI 또는 클레임 값 집합이 필요합니다.

2. 애플리케이션에서는 NameIdentifier 클레임이 Microsoft Entra ID에 저장된 사용자 계정 이름(UPN)이 아닌 다른 이름이어야 합니다.

클레임을 추가하고 편집하는 방법에 대한 자세한 내용은 Microsoft Entra ID의 엔터프라이즈 애플리케이션용 SAML 토큰에서 발급된 클레임 사용자 지정을 참조하세요.

B2B 사용자에 대한 UPN 클레임 동작

UPN 값을 애플리케이션 토큰 클레임으로 발급해야 하는 경우 실제 클레임 매핑은 B2B 사용자에 대해 다르게 동작할 수 있습니다. B2B 사용자가 외부 Microsoft Entra ID로 인증하고 user.userprincipalname을 원본 특성으로 발급하는 경우 Microsoft Entra ID는 이 사용자의 홈 테넌트에서 UPN 특성을 발급합니다.

SAML/WS-Fed, Google, Email OTP와 같은 다른 모든 외부 ID 유형은 user.userprincipalname을 클레임으로 발급할 때 이메일 값이 아닌 UPN 값을 발급합니다. 모든 B2B 사용자에 대한 토큰 클레임에서 실제 UPN을 발급하려면 user.localuserprincipalname을 대신 원본 특성으로 설정할 수 있습니다.

참고 항목

이 섹션에서 언급한 동작은 클라우드 전용 B2B 사용자와 B2B 협업으로 초대/변환된 동기화된 사용자 모두에 대해 동일합니다.

다음 단계

• B2B 협업 사용자 속성에 대한 자세한 내용은 Microsoft Entra B2B 협업 사용자 속성을 참조하세요.
• B2B 협업 사용자를 위한 사용자 토큰에 대한 자세한 내용은 Microsoft Entra B2B 협업의 사용자 토큰 이해를 참조하세요.