我已根据MS指南here
向我们的活动目录添加了自定义应用程序如何自定义SAML令牌中提供的声明以提供经过身份验证的用户的安全组。本文未提及组https://azure.microsoft.com/en-us/documentation/articles/active-directory-saml-claims-customization/
我通常知道AD中的Azure应用程序我可以更改清单以使其返回安全组。但是我没有使用SAML版本的经验。我们关心的团体数量非常有限,所以即使是InGroupA的布尔标志也可以。
我正在使用kentor Authservices,该部分工作正常,但它没有声明群组。我试图让它需要属性http://schemas.microsoft.com/ws/2008/06/identity/claims/groups但是它仍然会在没有包含此声明的令牌的情况下登录。
有什么想法吗?
答案 0 :(得分:1)
这是可能的,但您需要通过REST API
进行此操作通过它的objectid找到应用程序 将属性groupMembershipClaims更新为值All
您也可以使用此PowerShell脚本。
使用脚本here我加载了所需的库,然后运行以下命令:
Connect-AAD (use the tenant GA credentials)
Execute-AADQuery -Base "applications" -HTTPVerb Get
Execute-AADQuery -Base "applications/<GUID>" -HTTPVerb Patch -Data (New-Object -TypeName PsObject -Property @{"groupMembershipClaims"="All"})