我们在 Entra ID(云)中创建了一个新的企业应用程序,用于连接到第三方 SaaS 解决方案。他们的部分要求是我们需要提供一个声明“teams”,其值由用户所属团队的逗号分隔列表组成。
在我们这边,在 Entra ID 中,这些团队是使用专用安全组实现的。因此,用户可以是其中一个或多个安全组的成员。我们现在需要一种方法来将此组成员身份转换为适当的 SAML 声明。
为此,我们在企业应用程序的单点登录 SAML 配置中添加了新的组声明,并使用“自定义组声明的名称”功能将该声明重命名为“团队”。因此,现在我们的 SAML 令牌包含以下声明(缩写):
<AttributeStatement>
...
<Attribute Name="teams">
<AttributeValue>Group1</AttributeValue>
<AttributeValue>Group2</AttributeValue>
<AttributeValue>Group3</AttributeValue>
</Attribute>
...
</AttributeStatement>
如您所见,这些组在多个单独的元素中返回AttributeValue。我们需要它们位于一个AttributeValue元素中,如下所示:
<AttributeStatement>
...
<Attribute Name="teams">
<AttributeValue>Group1,Group2,Group3</AttributeValue>
</Attribute>
...
</AttributeStatement>
有没有办法在 Entra ID 中实现这一点?