Добавление утверждений группы безопасности в маркер SAML для настраиваемого приложения Azure Active Directory
Я добавил пользовательское приложение в наш активный каталог для руководства MS здесь
Как настроить утверждения, предоставленные в токене SAML, для обеспечения групп безопасности аутентифицированного пользователя. В этой статье не упоминаются группы https://azure.microsoft.com/en-us/documentation/articles/active-directory-saml-claims-customization/
Обычно я знаю, что для приложения Azure в AD я могу изменить манифест, чтобы он возвращал группы безопасности. Однако у меня нет опыта работы с версией SAML. У нас очень ограниченное количество групп, о которых мы заботимся, поэтому даже логический флаг InGroupA будет работать.
Я использую kentor Authservices, и эта часть работает нормально, но она не претендует на группы. Я попытался сделать так, чтобы для него требовался атрибут http://schemas.microsoft.com/ws/2008/06/identity/claims/groups однако он по-прежнему регистрирует меня без маркера, содержащего это утверждение.
Есть идеи?
1 ответ
Это возможно, однако вам нужно сделать это через REST API
Найдите приложение через его объект. Обновите свойство groupMembershipClaims, указав значение All.
Вы также можете использовать этот скрипт PowerShell.
Используя скрипт здесь, я загрузил необходимые библиотеки и затем выполнил следующие команды:
Connect-AAD (use the tenant GA credentials)
Execute-AADQuery -Base "applications" -HTTPVerb Get
Execute-AADQuery -Base "applications/<GUID>" -HTTPVerb Patch -Data (New-Object -TypeName PsObject -Property @{"groupMembershipClaims"="All"})