Wir haben in unserer Entra ID (Cloud) eine neue Enterprise-Anwendung für die Verbindung mit einer SaaS-Lösung eines Drittanbieters erstellt. Zu den Anforderungen gehört, dass wir einen Anspruch „Teams“ angeben müssen, dessen Wert aus einer durch Kommas getrennten Liste der Teams besteht, denen ein Benutzer angehört.
Auf unserer Seite, in Entra ID, werden diese Teams mithilfe dedizierter Sicherheitsgruppen implementiert. Ein Benutzer kann also Mitglied einer oder mehrerer dieser Sicherheitsgruppen sein. Wir benötigen nun eine Möglichkeit, diese Gruppenmitgliedschaft in einen richtigen SAML-Anspruch umzuwandeln.
Zu diesem Zweck haben wir der Single Sign-On SAML-Konfiguration unserer Enterprise-Anwendung einen neuen Gruppenanspruch hinzugefügt und den Anspruch mithilfe der Funktion „Name des Gruppenanspruchs anpassen“ in „Teams“ umbenannt. Unser SAML-Token enthält nun den folgenden Anspruch (abgekürzt):
<AttributeStatement>
...
<Attribute Name="teams">
<AttributeValue>Group1</AttributeValue>
<AttributeValue>Group2</AttributeValue>
<AttributeValue>Group3</AttributeValue>
</Attribute>
...
</AttributeStatement>
Wie Sie sehen, werden die Gruppen in mehreren separaten AttributeValueElementen zurückgegeben. Wir benötigen sie in einem AttributeValueElement, wie folgt:
<AttributeStatement>
...
<Attribute Name="teams">
<AttributeValue>Group1,Group2,Group3</AttributeValue>
</Attribute>
...
</AttributeStatement>
Gibt es eine Möglichkeit, dies in Entra ID zu realisieren?