我创建了一个将SAML2集成到Azure AD Web应用程序的企业应用程序,SAML属性的唯一用户标识符设置为user.userprincipalname。而且我没有更改任何配置属性映射,默认的源属性是userName的userPrincipalName。内部用户aa@aa.com已添加到企业应用程序中,我邀请了外部电子邮件 bb@gmail.com 到应用程序中。
当我尝试使用内部用户aa@aa.com登录我的应用程序时,我的应用程序接受了SAML中的NameID断言为aa@aa.com,并且来自Azure AD的设置消息中的UserName的值为aa @ aa .com。这是预期的。
当我尝试为外部用户bb@gmail.com登录我的应用程序时,断言中接受的NameID为 bb_gmail.com#EXT#@aa.com ,但UserName是电子邮件地址通过Azure AD设置过程 bb@gmail.com 。
Azure AD的userPrincipalName属性的发布值与被入侵的外部用户不同,为什么? 这是Azure AD上的错误吗?
我希望添加到企业应用程序中的所有帐户都可以同步到我的应用程序,并且可以在我的应用程序超级管理员中进行管理,这些帐户由Azure AD和我的应用程序进行身份验证。如果NameID与来自Azure AD的同步帐户不匹配,则我的应用程序拒绝用户登录。如何在Azure AD中配置企业应用程序?
感谢您的帮助。