Microsoft Entra 外部 ID での B2B コラボレーション ユーザー要求マッピング

  • [アーティクル]

Microsoft Entra 外部 ID では、B2B コラボレーション ユーザーの SAML トークンで発行される要求のカスタマイズがサポートされています。 アプリケーションに対するユーザーの認証時に、Microsoft Entra ID は、ユーザーを一意に識別する情報 (要求) を含む SAML トークンをアプリに発行します。 既定では、この要求にはユーザーのユーザー名、電子メール アドレス、名、および姓が含まれます。

Microsoft Entra 管理センター では、アプリケーションに SAML トークンで送信された要求を表示または編集できます。 設定にアクセスするには、[ID]>[エンタープライズ アプリケーション]>[エンタープライズ アプリケーション]> シングル サインオン用に構成されたアプリケーション >[シングル サインオン] を参照します。 [ユーザー属性] セクションの SAML トークン設定を参照してください。

Screenshot of the SAML token attributes in the UI.

SAML トークンで発行された要求を編集する必要がある理由は、2 つ考えられます。

  1. アプリケーションで、別の要求 URI または要求値のセットが必要である。

  2. アプリケーションで、NameIdentifier 要求を Microsoft Entra ID に保存されているユーザー プリンシパル名 (UPN) 以外のものにする必要がある。

要求を追加および編集する方法については、「Microsoft Entra ID のエンタープライズ アプリケーションの SAML トークンで発行された要求のカスタマイズ」を参照してください。

B2B ユーザーの UPN 要求の動作

UPN 値をアプリケーション トークン要求として発行する必要がある場合は、B2B ユーザーに対して実際の要求マッピングの動作が異なる場合があります。 B2B ユーザーが外部の Microsoft Entra ID で認証を行った場合に、user.userprincipalname をソース属性として発行すると、Microsoft Entra ID は代わりにメール属性を発行します。

たとえば、メールが james@contoso.com で、その ID が 外部 Microsoft Entra テナントに存在する外部ユーザーを招待するとします。 招待テナントの James の UPN は、招待されたメールと招待テナントの元の既定のドメインから作成されます。 James の UPN が James_contoso.com#EXT#@fabrikam.onmicrosoft.com になるとします。 NameID として user.userprincipalname を発行する SAML アプリケーションの場合、James に渡される値は james@contoso.com です。

SAML/WS-Fed、Google、Email OTP などの他のすべての外部 ID の種類は、user.userprincipalname を要求として発行するときに、電子メール値ではなく UPN 値を発行します。 すべての B2B ユーザーのトークン要求で実際の UPN を発行する場合は、代わりに user.localuserprincipalname をソース属性として設定できます。

Note

このセクションで説明する動作は、クラウドのみの B2B ユーザーと、 B2B コラボレーションに招待または変換された同期されたユーザーの両方で同じです。

次のステップ