从Azure AD获取SAML属性中的电子邮件和经理ID

时间:2018-05-16 15:02:58

标签: azure-active-directory saml

通过使用SAML SSO创建企业应用程序,我已成功创建了从Azure AD到我的应用程序的集成的单一登录。我现在的问题是某些属性要么没有像预期的那样被转移,要么没有明显的添加方式。

首先:电子邮件已填入用户的个人资料中:

enter image description here

但即使它已经映射到SAML令牌属性中(两次,只是为了确定)......

enter image description here

...主要电子邮件未在SAML中传递(但备用/其他电子邮件确实如此):

<AttributeStatement>
  <Attribute Name="http://schemas.microsoft.com/identity/claims/tenantid">
    <AttributeValue>7204392b-...</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
    <AttributeValue>05f0140b-...</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Joe Bloggs</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.microsoft.com/identity/claims/identityprovider">
    <AttributeValue>https://sts.windows.net/7204392b-...</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.microsoft.com/claims/authnmethodsreferences">
    <AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
    <AttributeValue>Joe</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Bloggs</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
    <AttributeValue>Joe.Bloggs@EXAMPLE.onmicrosoft.com</AttributeValue>
  </Attribute>
  <Attribute Name="jobtitle">
    <AttributeValue>my job title</AttributeValue>
  </Attribute>
  <Attribute Name="otheremail">
    <AttributeValue>Joe.Bloggs@example.net</AttributeValue>
  </Attribute>
</AttributeStatement>

最后,我认为没有办法传递用户&#39;经理ID。它填写在用户的个人资料中......

enter image description here

...但是没有办法将其映射到SAML属性(在选择列表中没有类似于Manager ID的内容):

enter image description here

1 个答案:

答案 0 :(得分:1)

“管理器”属性尚未可用作声明的来源,您希望可以使用许多其他用户属性。我们需要进行积压工作以使这些可用。在今年晚些时候查找文档中的更新。

对于电子邮件属性的问题,如果已填充,则应该可以将其作为声明发出。仅当用户是具有Office365邮箱的Office365用户,或者从Windows Active Directory域具有邮箱的用户进行同步时,才会填充该消息。请使用powershell get-azureaduser检查是否设置了邮件属性。当源为空时,声明映射算法将忽略声明。

相关问题
最新问题