Azure Active Directory SAML2.0 身份驗證的用戶屬性映射 web 應用程序

Question

我在 Azure 中為我們的組織使用我們的 Azure AD 租戶作為身份提供者的外部站點部署了兩個應用程序注冊。 我的 SAML2.0 身份驗證工作正常，但它映射的唯一用戶配置文件屬性是 UID、UPN、名字和姓氏。 我想嘗試 map 一些額外的 AAD 配置文件屬性 - 特別是 jobTitle 和 physicalDeliveryOfficeName（在 MS Graph 中是 officeLocation）。

根據https://learn.microsoft.com/en-us/azure/active-directory/develop/active-directory-optional-claims#directory-extension-formatting ，我想我可以通過使用類似的東西來修改 App 清單到我下面的屏幕截圖，但是當我保存它時，我查看了“令牌配置”並看到這兩個聲明帶有警告“該聲明不受支持並且不會在令牌中返回”。

我的意圖是然后在屬性映射設置中使用http://schemas.microsoft.com/identity/claims/extn.officeLocation和http://schemas.microsoft.com/identity/claims/extn.jobTitle我們使用的應用程序，但這也不起作用。

我需要一些幫助，因為這超出了我的專業領域，而且應用程序開發人員無法提供幫助。

Answer 1

您需要在您嘗試在其中配置“令牌配置”的 Azure AD 應用程序（應用程序注冊）中創建自定義屬性officeLocation和jobTitle 。

您收到警告“聲明不受支持並且不會在令牌中返回”，因為自定義屬性是在另一個 Azure AD 應用程序中創建的。

您可以像這樣通過 Microsoft Graph 創建 extensionProperty ：

Post https://graph.microsoft.com/v1.0/applications/{object id of the Azure AD application}/extensionProperties

{"name":"jobTitle","dataType":"string","targetObjects":["User"]}

然后您將在您的 Azure AD 應用程序下的Token 配置中看到extn.jobTitle 。 您可以直接 select 點擊Add optional claim 。

您還可以編輯清單以立即添加它。