Когда пользователь проходит аутентификацию в приложении через Azure AD, используя протокол SAML 2.0, Azure AD отправляет маркер в приложение (через HTTP POST).Затем приложение проверяет и использует токен для входа пользователя в систему вместо запроса имени пользователя и пароля.Эти токены SAML содержат фрагменты информации о пользователе, известной как утверждения.
Заявка - это информация, которую провайдер идентификации сообщает о пользователе внутри токена, который он выдает для этого пользователя.В токене SAML эти данные обычно содержатся в утверждении атрибута SAML.Уникальный идентификатор пользователя обычно представлен в теме SAML, также называемой идентификатором имени.
По умолчанию Azure AD выдает в приложение маркер SAML , содержащий утверждение NameIdentifier со значениемимя пользователя пользователя (также называемое именем участника-пользователя) в Azure AD, которое может однозначно идентифицировать пользователя.Маркер SAML также содержит дополнительные утверждения, содержащие адрес электронной почты, имя и фамилию пользователя.
Чтобы просмотреть или изменить утверждения, выданные в приложении токеном SAML, откройте приложение на портале Azure.Затем откройте раздел «Атрибуты и утверждения пользователя».
Если запрос SAML содержит элемент NameIDPolicy с определенным форматом, Azure AD будет учитывать форматв запросе.
Если запрос SAML не содержит элемента для NameIDPolicy, то Azure AD выдаст NameID в указанном вами формате.Если формат не указан, Azure AD будет использовать исходный формат по умолчанию, связанный с выбранным источником заявки.
Подробнее о сопоставлении заявок можно прочитать здесь:
https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-claims-mapping#table-3-valid-id-values-per-source
В двух словах, вы можете отправить токен SAML в бэкэнд-приложение и использовать ответ SAML для извлечения NameIdentifier и сопоставления его с вашей базой данных.
Hopeэто помогает.