Condividi tramite


Mapping delle attestazioni utente di Collaborazione B2B in Microsoft Entra per ID esterno

Si applica a: Cerchio verde con segno di spunta bianco. Tenant delle risorse Cerchio bianco con il simbolo X grigio. Tenant esterni (altre informazioni)

Con Microsoft Entra per ID esterno, è possibile personalizzare le attestazioni rilasciate nel token SAML per gli utenti di Collaborazione B2B. Quando un utente esegue l'autenticazione all'applicazione, Microsoft Entra ID rilascia un token SAML all'app contenente informazioni (o attestazioni) sull'utente, che lo identificano in modo univoco. Per impostazione predefinita, questa attestazione utente include il nome utente, l'indirizzo email, il nome e il cognome dell'utente.

Nell'interfaccia di amministrazione di Microsoft Entra è possibile visualizzare o modificare le attestazioni inviate all'applicazione nel token SAML. Per accedere alle impostazioni, passare a Identità>Applicazioni>Applicazioni aziendali> applicazione configurata per il Single Sign-On >Single Sign-On. Visualizzare le impostazioni del token SAML nella sezione Attributi utente.

Screenshot degli attributi del token SAML nell'interfaccia utente.

I due possibili motivi per cui potrebbe essere necessario modificare le attestazioni rilasciate nel token SAML sono i seguenti:

  1. L'applicazione richiede un set diverso di URI di attestazione o valori di attestazione.

  2. L'applicazione richiede che l'attestazione NameIdentifier sia diversa dal nome dell'entità utente (UPN)archiviato in Microsoft Entra ID.

Per altre informazioni su come aggiungere e modificare attestazioni, vedere Personalizzazione delle attestazioni rilasciate nel token SAML per le applicazioni aziendali in Microsoft Entra ID.

Comportamento delle attestazioni UPN per gli utenti B2B

Se è necessario rilasciare il valore UPN come attestazione del token dell'applicazione, il mapping di attestazioni effettivo può comportarsi in modo diverso per gli utenti B2B. Se l'utente B2B esegue l'autenticazione con un'identità Microsoft Entra esterna e viene rilasciato user.userprincipalname come attributo di origine, Microsoft Entra ID rilascia l'attributo UPN dal tenant principale per questo utente.

Tutti gli altri tipi di identità esterna, ad esempio SAML/WS-Fed, Google, Email OTP, rilasciano il valore UPN anziché il valore di posta elettronica quando si rilascia user.userprincipalname come attestazione. Se si vuole rilasciare l'UPN effettivo nell'attestazione token per tutti gli utenti B2B, è possibile impostare user.localuserprincipalname come attributo di origine.

Nota

Il comportamento indicato in questa sezione è identico sia per gli utenti B2B solo cloud sia per gli utenti sincronizzati che sono stati invitati/convertiti alla collaborazione B2B.