Получение неизменного идентификатора пользователя office365 / azure для подтверждения SAML

Question

Глядя на их документацию (https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-saml-idp), кажется, что нам нужно три вещи в утверждении SAML.

NameID -    The value of this assertion must be the same as the Azure AD user’s ImmutableID

IDPEmail -  The User Principal Name (UPN) is listed in the SAML response as an element with the name IDPEmail

Issuer -    Required to be a URI of the identity provider

Я предполагаю, что электронная почта idp - это просто электронная почта пользователя, соответствующая полю userPrincipalName в API графа Microsoft. Это мы можем легко получить из API.

Я не уверен, однако, что такое ImmutableID.

Есть ли способ получить его с помощью API графа Microsoft? Если нет, как мы это получим?

Answer 1

@ nkpatel Да, используя Graph API, вы можете получить значение для неизменяемого идентификатора. В случае, если пользовательский объект был извлечен из On-Prem AD в AAD с помощью AAD Connect Tool, пользовательский объект будет иметь атрибут « onPremisesImmutableId » в ответе API Graph для этого пользователя.

Eg: GET  https://graph.microsoft.com/beta/users/<UPN of the user>

Значение, которое вы наматываете в этом атрибуте " onPremisesImmutableId ", будет содержать значение Base64Encoded . По умолчанию пользователь ObjectGUID on-Prem имеет base64-кодировку и хранится в « onPremisesImmutableId » в Azure AD.

Надеюсь, это поможет.