Mapeamentos de declarações de usuários da colaboração B2B no Microsoft Entra External ID
Com o Microsoft Entra External ID, você pode personalizar as declarações que são emitidas no token de SAML para usuários da Colaboração B2B. Quando um usuário se autentica no aplicativo, o Microsoft Entra ID emite um token SAML para o aplicativo que contém informações (ou declarações) sobre o usuário que o identifica com exclusividade. Por padrão, essa declaração inclui o nome de usuário, o endereço de email, o nome e sobrenome do usuário.
No Centro de Administração Microsoft Entra, você pode exibir ou editar as declarações enviadas no token SAML para o aplicativo. Para acessar as configurações, navegue até Identidade>Aplicativos>Aplicativos empresariais> o aplicativo que está configurado para logon único >logon único. Consulte as configurações de token SAML na seção Atributos de usuário.
Há dois possíveis motivos para você precisar editar as declarações emitidas no token SAML:
O aplicativo exige um conjunto diferente de URIs ou valores de declaração.
O aplicativo exige que a declaração NameIdentifier seja algo diferente do nome UPN armazenado no Microsoft Entra ID.
Para obter informações sobre como adicionar e editar declarações, confira Personalização de reivindicações emitidas no token SAML para aplicativos corporativos no Microsoft Entra ID.
Comportamento de declarações UPN para usuários B2B
Se você precisar emitir o valor UPN como uma declaração de token de aplicativo, o mapeamento de declaração real poderá se comportar de forma diferente para usuários B2B. Se o usuário B2B se autenticar com uma identidade externa do Microsoft Entra e você emitir user.userprincipalname como atributo de origem, o Microsoft Entra ID emitirá o atributo de email.
Por exemplo, digamos que você convide um usuário externo cujo email sejajames@contoso.com
e cuja identidade exista em um locatário externo do Microsoft Entra. O UPN de James no locatário convidativo é criado a partir do email convidado e do domínio padrão original do locatário convidativo. Então, digamos que o UPN do James se torne James_contoso.com#EXT#@fabrikam.onmicrosoft.com
. Para o aplicativo SAML que emite user.userprincipalname como NameID, o valor passado para James é james@contoso.com
.
Todos os outros tipos de identidade externa, como SAML/WS-Fed, Google, Email OTP emitem o valor UPN em vez do valor de email quando você emite user.userprincipalname como uma declaração. Se você quiser que o UPN real seja emitido na declaração de token para todos os usuários B2B, você poderá definir user.localuserprincipalname como o atributo de origem.
Observação
O comportamento mencionado nesta seção é o mesmo para usuários B2B somente na nuvem e usuários sincronizados que foram convidados/convertidos em colaboração B2B.
Próximas etapas
- Para obter informações sobre as propriedades do usuário de colaboração B2B, confira Propriedades de um usuário de colaboração B2B do Microsoft Entra.
- Para obter informações sobre tokens de usuário para usuários de colaboração B2B, confira Entenda os tokens de usuário de colaboração B2B no Microsoft Entra.