2

我已在此处根据 MS 指南将自定义应用程序添加到我们的活动目录中

如何自定义 SAML 令牌中提供的声明以提供经过身份验证的用户的安全组。本文未提及组https://azure.microsoft.com/en-us/documentation/articles/active-directory-saml-claims-customization/

我通常知道对于 AD 中的 Azure 应用程序,我可以更改清单以使其返回安全组。但是我没有使用 SAML 版本的经验。我们关心的组数量非常有限,因此即使是 InGroupA 的布尔标志也可以使用。

我正在使用 kentor Authservices 并且该部分工作正常,但它对组没有要求。我试图让它需要属性http://schemas.microsoft.com/ws/2008/06/identity/claims/groups但是它仍然在没有包含此声明的令牌的情况下让我登录。

有任何想法吗?

4

1 回答 1

1

这是可能的,但是您需要通过REST API来完成

通过它的 objectid 找到应用程序 将属性 groupMembershipClaims 更新为值 All

您也可以使用此 PowerShell 脚本。

使用此处的脚本,我加载了所需的库,然后运行以下命令:

Connect-AAD (use the tenant GA credentials)
Execute-AADQuery -Base "applications" -HTTPVerb Get
Execute-AADQuery -Base "applications/<GUID>" -HTTPVerb Patch -Data (New-Object -TypeName PsObject -Property @{"groupMembershipClaims"="All"})
于 2016-06-21T19:47:04.530 回答