分享方式:


Microsoft Entra 外部 ID 中的 B2B 共同作業使用者宣告對應

適用於內含白色核取記號符號的綠色圓圈。 員工租用戶 內含灰色 X 符號的白色圓圈。 外部租用戶 (深入了解)

使用 Microsoft Entra 外部 ID,您可針對 B2B 協同合作使用者,自訂在 SAML 權杖中核發的宣告。 當使用者對應用程式進行驗證時,Microsoft Entra ID 會將 SAML 權杖核發給應用程式,其中包含可唯一識別使用者的使用者相關資訊 (或宣告)。 依預設,此宣告包含使用者的使用者名稱、電子郵件地址、名字和姓氏。

[Microsoft Entra 系統管理中心] 中,您可以檢視或編輯在 SAML 權杖中傳送給應用程式的宣告。 若要存取設定,請選取「身分識別」>「應用程式」>「企業應用程式」>針對單一登入設定的應用程式>單一登入。 請參閱 [使用者屬性] 區段中的 SAML 權杖設定。

使用者介面中的 SAML 權杖屬性螢幕擷取畫面。

編輯在 SAML 權杖中發出的宣告有兩個可能原因:

  1. 應用程式需要不同的宣告 URI 或宣告值組。

  2. 應用程式要求 NameIdentifier 宣告必須是 Microsoft Entra ID 中儲存的使用者主體名稱 (UPN) 以外的項目。

如需如何新增和編輯宣告的資訊,請參閱在 Microsoft Entra ID 中為企業應用程式自定義 SAML 令牌中發出的宣告

B2B 使用者的 UPN 宣告行為

如果您需要以應用程式令牌宣告的形式發出 UPN 值,則 B2B 使用者的實際宣告對應可能會有不同的表現。 如果 B2B 使用者使用外部 Microsoft Entra 身分識別驗證,而且您核發 user.userprincipalname 作為來源屬性,則 Microsoft Entra ID 會從此使用者的主租用戶核發 UPN 屬性。

所有其他外部身分識別類型,例如 SAML/WS-Fed、Google、電子郵件 OTP 皆會核發 UPN 值,而不是當您核發 user.userprincipalname 作為宣告時的電子郵件值。 如果您想要在所有 B2B 使用者的權杖宣告中核發實際的 UPN,您可以改為將 user.localuserprincipalname 設定為來源屬性。

注意

本節所述的行為與僅限雲端 B2B 使用者和已同步處理的使用者相同,這些使用者受邀/轉換成 B2B 共同作業