Сопоставление утверждений пользователей совместной работы B2B в Внешняя идентификация Microsoft Entra

С помощью Внешняя идентификация Microsoft Entra можно настроить утверждения, выданные в токене SAML для пользователей службы совместной работы B2B. Когда пользователь проходит проверку подлинности в приложении, идентификатор Microsoft Entra выдает маркер SAML приложению, который содержит сведения (или утверждения) о пользователе, который однозначно идентифицирует их. По умолчанию это утверждение включает имя пользователя, адрес электронной почты, имя и фамилию пользователя.

В Центре администрирования Microsoft Entra можно просмотреть или изменить утверждения, отправляемые в токен SAML приложению. Чтобы получить доступ к параметрам, перейдите к приложениям> Identity>Applications>Enterprise, которые настроены для единого входа.> Параметры токена SAML отобразятся в разделе Атрибуты пользователя.

У вас могут быть две причины изменять утверждения, выдаваемые в токене SAML:

1. Возможно, приложение ожидает утверждения с другим набором URI и значениями.

2. Приложению требуется утверждение NameIdentifier, отличное от имени участника-пользователя (UPN), хранящегося в идентификаторе Microsoft Entra ID.

Сведения о добавлении и изменении утверждений см. в разделе "Настройка утверждений" в токене SAML для корпоративных приложений в идентификаторе Microsoft Entra.

Поведение утверждений участника-пользователя для пользователей B2B

Если необходимо выдать значение имени участника-пользователя в качестве утверждения маркера приложения, фактическое сопоставление утверждений может вести себя по-разному для пользователей B2B. Если пользователь B2B проходит проверку подлинности с помощью внешнего удостоверения Microsoft Entra и выдает имя user.user.userprincipalname в качестве исходного атрибута, идентификатор Microsoft Entra id выдает атрибут имени участника-пользователя из домашнего клиента для этого пользователя.

Все другие типы внешних удостоверений, такие как SAML/WS-Fed, Google, Email OTP выдает значение имени участника-пользователя, а не значение электронной почты при выдаче имени user.userprincipalname в качестве утверждения. Если вы хотите, чтобы фактическое имя участника-пользователя было выдано в утверждении токена для всех пользователей B2B, можно задать имя user.localuserprincipalname в качестве исходного атрибута.

Примечание.

Поведение, упоминание в этом разделе, совпадает как для пользователей B2B, так и для пользователей, которые были приглашены или преобразованы в совместную работу B2B.

Следующие шаги

• Сведения о свойствах пользователя совместной работы B2B см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B".
• Сведения о маркерах пользователей для совместной работы B2B см. в статье "Общие сведения о маркерах пользователей в совместной работе Microsoft Entra B2B".