我在此处为我们的Active Directory添加了自定义应用程序
我如何自定义SAML令牌中提供的索赔,以提供身份验证的用户的安全组。本文没有提及小组https://azure.microsoft.com/en-us/documentation/articles/active-directory-saml-claims-customization/
我通常知道AD中的Azure应用程序,我可以更改清单以使其返回安全组。但是我没有SAML版本的经验。我们关心的小组数量非常有限,因此即使是Ingroupa的布尔国旗也可以正常工作。
我正在使用Kentor authservices,该部分正常工作,但对小组没有要求。我试图使它需要属性http://schemas.microsoft.com/ws/ws/2008/06/indistity/claims/groups/groups,但是它仍然可以在没有包含此说法的情况下记录我的身分。
有什么想法?
这是可能的,但是您需要通过REST API
进行操作通过其Objectid找到应用程序更新属性groupMembershipclaims以重视所有
您也可以使用此PowerShell脚本。
使用此处的脚本,我加载了所需的库,然后运行以下命令:
Connect-AAD (use the tenant GA credentials)
Execute-AADQuery -Base "applications" -HTTPVerb Get
Execute-AADQuery -Base "applications/<GUID>" -HTTPVerb Patch -Data (New-Object -TypeName PsObject -Property @{"groupMembershipClaims"="All"})