Bagikan melalui

Pemetaan klaim pengguna kolaborasi B2B di ID Eksternal Microsoft Entra

  • Artikel

Berlaku untuk: Lingkaran hijau dengan simbol tanda centang putih. Penyewa Tenaga Kerja Penyewa Lingkaran putih dengan simbol X abu-abu. eksternal (pelajari lebih lanjut)

Dengan MICROSOFT Entra External ID, Anda dapat menyesuaikan klaim yang dikeluarkan dalam token SAML untuk pengguna kolaborasi B2B. Saat pengguna mengautentikasi ke aplikasi, ID Microsoft Entra mengeluarkan token SAML ke aplikasi yang berisi informasi (atau klaim) tentang pengguna yang mengidentifikasinya secara unik. Secara default, klaim ini mencakup nama pengguna, alamat email, nama depan, dan nama belakang pengguna.

Di pusat admin Microsoft Entra, Anda dapat melihat atau mengedit klaim yang dikirim dalam token SAML ke aplikasi. Untuk mengakses pengaturan, telusuri ke aplikasi> Identity>Applications>Enterprise aplikasi yang dikonfigurasi >untuk akses menyeluruh Akses menyeluruh. Lihat pengaturan token SAML di bagian Atribut Pengguna.

Cuplikan layar atribut token SAML di UI.

Ada dua kemungkinan alasan mengapa Anda mungkin perlu mengedit klaim yang dikeluarkan dalam token SAML:

  1. Aplikasi ini memerlukan sekumpulan URI klaim atau nilai klaim yang berbeda.

  2. Aplikasi ini memerlukan klaim NameIdentifier sebagai sesuatu selain nama prinsipal pengguna (UPN) yang disimpan di ID Microsoft Entra.

Untuk informasi tentang cara menambahkan dan mengedit klaim, lihat Menyesuaikan klaim yang dikeluarkan dalam token SAML untuk aplikasi perusahaan di ID Microsoft Entra.

Perilaku klaim UPN untuk pengguna B2B

Jika Anda perlu mengeluarkan nilai UPN sebagai klaim token aplikasi, pemetaan klaim aktual mungkin berperilaku berbeda untuk pengguna B2B. Jika pengguna B2B mengautentikasi dengan identitas Microsoft Entra eksternal dan Anda mengeluarkan user.userprincipalname sebagai atribut sumber, ID Microsoft Entra mengeluarkan atribut UPN dari penyewa rumah untuk pengguna ini.

Semua jenis identitas eksternal lainnya seperti SAML/WS-Fed, Google, Email OTP mengeluarkan nilai UPN daripada nilai email saat Anda mengeluarkan user.userprincipalname sebagai klaim. Jika Anda ingin UPN aktual dikeluarkan dalam klaim token untuk semua pengguna B2B, Anda dapat mengatur user.localuserprincipalname sebagai atribut sumber sebagai gantinya.

Catatan

Perilaku yang disebutkan di bagian ini sama untuk pengguna B2B khusus cloud dan pengguna yang disinkronkan yang diundang /dikonversi ke kolaborasi B2B.

Langkah berikutnya