我们可以在Azure AD SAML断言中配置组

Question

按照 https://azure.microsoft.com/en-us/documentation/articles/active-directory-token-and-claims/，我们应该在断言中获得组，如下所示：

<Attribute Name="../claims/groups">
<AttributeValue>07dd8a60-bf6d-4e17-8844-230b77145381</AttributeValue>

但是在我得到的断言中，我没有看到群组属性。

此外，当尝试向给定应用程序的SAML令牌添加属性时，我只能添加常规用户属性，例如givenName，surname等。我在下拉列表中看不到组属性。

互联网上的一些网站谈论下载和上传某些清单或使用Graph API调用。我是否缺少任何可以使组出现在断言中的配置选项？

Answer 1

要在断言中将组视为声明，请参阅：Using Group Claims in Azure Active Directory

在清单中，将groupMembershipClaims属性（将设置为null）更改为SecurityGroup，然后保存更改。

Answer 2

您似乎正在使用＆＃34; new＆＃34; Azure AD集成应用程序的类型。有几种方法可以使用Azure AD注册您的应用程序。一个允许您下载，编辑然后上传清单。此版本允许配置应用程序以发出组声明和应用程序角色。您似乎正在使用的更新方式是从＆＃34;从库中添加应用程序＆＃34;向导，然后选择＆＃34; custom＆＃34;。此类型允许配置SAML声明，但不允许您编辑任何清单。不幸的是，我知道没有办法将两者结合起来。

摩根

Answer 3

Azure AD身份提供商提供以下5种不同格式的组成员身份详细信息，

其中，组ID 表示Azure Active Directory中组的ID，仅当Azure AD与on-Active同步时，其余4个属性才提供pre-prem Active目录中的值。活动目录。

在使用Okta和ping身份的情况下，可以直接转发memberOf属性的原始值 {CN =组名，DC =域名} （即X500 SAML断言中从本地AD接收到的专有名称格式。

但是对于Azure Ad，不可能将memberOf属性的原始值直接从Azure AD转发到SAML断言，相反，Azure AD已经在内部解析了组成员身份属性，并提供了上述4种转发方式通过SAML断言令牌将组成员身份信息提供给服务提供商。