我们有两个来自供应商的 SaaS 应用实例,它们使用 OIDC 具有 SSO 功能。使用 SaaS 应用供应商提供的登录页面登录时,我们的应用用户会根据提供的电子邮件地址进行区分。
我们的一部分用户需要能够登录这两个门户,并且我正在尝试使一个 Azure AD 用户可以通过在身份验证时提供与其 Azure AD 用户关联的不同电子邮件来登录这两个门户(例如[email protected]vs.[email protected]或[email protected])。
对于需要执行相同操作的其他应用程序,我能够在 Azure AD 的 SAML SSO(Azure Active Directory> Enterprise applications> <target app>> Single sign-on)中通过基于电子邮件地址的转换自定义声明来完成此操作。
当我尝试在应用程序注册页面(Azure Active Directory> App registrations> <target app>> Token configuration)上执行相同操作时,我看到了添加可选 ID 和访问电子邮件声明的选项,但没有修改或转换它的选项。
我是 OIDC 的新手,所以我不确定这是否可行。有谁知道 a) 是否可以使用 OIDC 完成我想要做的事情,以及 b) 为我指明正确的操作方向?如果有什么不同,SaaS 应用程序使用email和openidMicrosoft Graph 权限。