[英]Azure AD SCIM Attribute Mapping - Group Membership Expression
我想为 Azure AD 中的 SCIM 属性映射创建一个表达式,以根据特定 AD 组的用户成员身份将值传递给接收应用程序的属性。
例如,下面的表达式如果 Azure AD 属性user.department
的值等于hr_new
,则将值New
传递给接收应用程序的属性userType
,否则传递值Old
。
IIF([department]="new_hr", "New", "Old")
请参阅下面的示例设置:
但是,我无法在 Azure AD 的表达式中查询或检查用户的组成员身份。 我想创建一个表达式来检查用户是否是组abc
的成员,如果为true
,则应传递值X
,如果为false
,则应传递值Y
任何想法如何做到这一点?
目前这是不可能的。 组成员资格被认为是组 object 的属性,不能在任何用户对象的逻辑表达式中调用。
正如@ZollnerdMSFT 所建议的,目前在 Azure 中无法直接使用表达式查询 AD 组成员资格。 解决方案是使用App roles 。 我在 Azure 中的企业应用程序中添加了新的应用程序角色,然后将所需的应用程序角色分配给每个组。 AD 组中的用户继承分配给他们所属组的应用角色。
然后可以使用表达式查询这些继承的App 角色。 然后我编写了一个表达式来获取用户继承的应用程序角色,并根据用户拥有的应用程序角色返回所需的值 - 这隐含地反映了用户的组成员身份。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.