#azure #azure-active-directory #single-sign-on #saml
Вопрос:
У меня есть приложение, которое я хочу подключить к Azure AD с помощью SAML, чтобы я мог получать роли пользователей при входе в систему. Я создал приложение в своей учетной записи Azure и подключил его к своему SSO. Когда я тестирую соединение, я вижу утверждения по умолчанию, и все работает нормально. Я добавил пользователя утверждения.назначенные роли через портал Azure -> Корпоративные приложения ->> MyApp ->>> SSO ->>>> Атрибуты и утверждения пользователя, и я не видел утверждения. Затем я изменил утверждение на user.city, и я мог видеть город, определенный для пользователя, с которым я его тестировал. Затем я снова изменил его обратно на user.assignedroles, и утверждение не обновляется (по-прежнему отображается город пользователя).
Как добавить роли пользователей, определенные в Azure AD, в утверждения SAML?
Ответ №1:
После того как вы назначили роли пользователю, вам необходимо добавить атрибут маркера SAML в разделе «Утверждения пользователя» диалогового окна «Атрибуты пользователя».:
Attribute name Attribute value
Role name user.assignedroles
Если значение утверждения роли равно null, то Azure AD не будет отправлять это значение в токене. https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-enterprise-app-role-management
Вы можете проверить это в Microsoft Graph Explorer:
https://graph.microsoft.com/beta/servicePrincipals/{Object ID of your Enterprise App}
Если значение «значение» равно нулю, то Azure AD не будет отправлять это значение в токене.