Получение электронной почты и идентификатора менеджера в атрибутах SAML из Azure AD - PullRequest
Новая
       15

Получение электронной почты и идентификатора менеджера в атрибутах SAML из Azure AD

0 голосов
/ 16 мая 2018

Я успешно создал единый знак интеграции Azure AD с моим приложением, создав приложение Enterprise с использованием единого входа SAML. Теперь моя проблема заключается в том, что определенные атрибуты либо не передаются в качестве утверждений, как ожидалось, либо нет очевидного способа их добавления.

Во-первых: письмо было заполнено в профиле пользователя:

enter image description here

Но даже при том, что это было сопоставлено в Атрибутах токена SAML (дважды, чтобы быть уверенным) ...

enter image description here

... основная электронная почта не передается в SAML (все же альтернативная / другая электронная почта): 

<AttributeStatement>
  <Attribute Name="http://schemas.microsoft.com/identity/claims/tenantid">
    <AttributeValue>7204392b-...</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
    <AttributeValue>05f0140b-...</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.microsoft.com/identity/claims/displayname">
    <AttributeValue>Joe Bloggs</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.microsoft.com/identity/claims/identityprovider">
    <AttributeValue>https://sts.windows.net/7204392b-...</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.microsoft.com/claims/authnmethodsreferences">
    <AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
    <AttributeValue>Joe</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
    <AttributeValue>Bloggs</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
    <AttributeValue>Joe.Bloggs@EXAMPLE.onmicrosoft.com</AttributeValue>
  </Attribute>
  <Attribute Name="jobtitle">
    <AttributeValue>my job title</AttributeValue>
  </Attribute>
  <Attribute Name="otheremail">
    <AttributeValue>Joe.Bloggs@example.net</AttributeValue>
  </Attribute>
</AttributeStatement>

Наконец, я не вижу способа передачи идентификаторов менеджера пользователей. Заполняется в профиле пользователя ...

enter image description here

... но нет способа сопоставить это с атрибутом SAML (в списке вариантов нет ничего похожего на ID менеджера):

enter image description here

1 Ответ

0 голосов
/ 13 апреля 2019

Атрибут Менеджер пока недоступен в качестве источника заявок, как и ряд других пользовательских атрибутов, которые вы ожидаете использовать.У нас есть работа в нашем резерве, чтобы сделать их доступными.Следите за обновлениями в документации позднее в этом году.

При возникновении проблемы с атрибутом email вы должны иметь возможность отправлять его как заявление, если оно заполнено.Он будет заполнен только в том случае, если пользователь является пользователем office365 с почтовым ящиком Office365 или если они синхронизированы из домена Windows Active Directory с почтовым ящиком. Проверьте с помощью powershell get-azureaduser, установлен ли атрибут mail.Алгоритм отображения заявок будет игнорировать заявку, когда источник пуст.

...