Mapeamento de declarações de usuário de colaboração B2B no ID Externo do Microsoft Entra

Com o Microsoft Entra External ID, você pode personalizar as declarações emitidas no token SAML para usuários de colaboração B2B. Quando um usuário se autentica no aplicativo, o Microsoft Entra ID emite um token SAML para o aplicativo que contém informações (ou declarações) sobre o usuário que o identifica exclusivamente. Por padrão, essa declaração inclui o nome de usuário, endereço de e-mail, nome e sobrenome do usuário.

No centro de administração do Microsoft Entra, você pode exibir ou editar as declarações enviadas no token SAML para o aplicativo. Para acessar as configurações, navegue até Identity>Applications>Enterprise applications>, o aplicativo configurado para logon >único Logon único. Consulte as configurações do token SAML na seção Atributos do usuário.

Há dois motivos possíveis pelos quais talvez seja necessário editar as declarações emitidas no token SAML:

1. O aplicativo requer um conjunto diferente de URIs de declaração ou valores de declaração.

2. O aplicativo requer que a declaração NameIdentifier seja algo diferente do nome principal do usuário (UPN) armazenado no ID do Microsoft Entra.

Para obter informações sobre como adicionar e editar declarações, consulte Personalizando declarações emitidas no token SAML para aplicativos corporativos no Microsoft Entra ID.

UPN declara comportamento para usuários B2B

Se você precisar emitir o valor UPN como uma declaração de token de aplicativo, o mapeamento de declaração real pode se comportar de forma diferente para usuários B2B. Se o usuário B2B se autenticar com uma identidade externa do Microsoft Entra e você emitir user.userprincipalname como o atributo de origem, o Microsoft Entra ID emitirá o atributo UPN do locatário inicial para esse usuário.

Todos os outros tipos de identidade externa, como SAML/WS-Fed, Google, OTP de e-mail, emitem o valor UPN em vez do valor de e-mail quando você emite user.userprincipalname como uma declaração. Se desejar que o UPN real seja emitido na declaração de token para todos os usuários B2B, você pode definir user.localuserprincipalname como o atributo de origem.

Nota

O comportamento mencionado nesta seção é o mesmo para usuários B2B somente na nuvem e usuários sincronizados que foram convidados/convertidos para colaboração B2B.

Próximos passos

• Para obter informações sobre as propriedades do usuário de colaboração B2B, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra.
• Para obter informações sobre tokens de usuário para usuários de colaboração B2B, consulte Compreender tokens de usuário na colaboração B2B do Microsoft Entra.