Azure AD SCIM 属性映射 - 组成员关系表达式
[英]Azure AD SCIM Attribute Mapping - Group Membership Expression
问题描述
我想为 Azure AD 中的 SCIM 属性映射创建一个表达式,以根据特定 AD 组的用户成员身份将值传递给接收应用程序的属性。
例如,下面的表达式如果 Azure AD 属性user.department的值等于hr_new ,则将值New传递给接收应用程序的属性userType ,否则传递值Old 。
IIF([department]="new_hr", "New", "Old")
请参阅下面的示例设置:
但是,我无法在 Azure AD 的表达式中查询或检查用户的组成员身份。 我想创建一个表达式来检查用户是否是组abc的成员,如果为true ,则应传递值X ,如果为false ,则应传递值Y
任何想法如何做到这一点?
2 个解决方案
解决方案1
0 2021-12-16 15:38:15
目前这是不可能的。 组成员资格被认为是组 object 的属性,不能在任何用户对象的逻辑表达式中调用。
解决方案2
0 已采纳 2022-01-20 13:10:39
正如@ZollnerdMSFT 所建议的,目前在 Azure 中无法直接使用表达式查询 AD 组成员资格。 解决方案是使用App roles 。 我在 Azure 中的企业应用程序中添加了新的应用程序角色,然后将所需的应用程序角色分配给每个组。 AD 组中的用户继承分配给他们所属组的应用角色。
然后可以使用表达式查询这些继承的App 角色。 然后我编写了一个表达式来获取用户继承的应用程序角色,并根据用户拥有的应用程序角色返回所需的值 - 这隐含地反映了用户的组成员身份。
Azure AD中的Phantom组成员身份
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.