我們在 Entra ID(雲端)中創建了一個新的企業應用程序,用於連接到第三方 SaaS 解決方案。他們的部分要求是我們需要提供一個聲明“團隊”,其值由用戶所屬團隊的逗號分隔清單組成。
在我們這邊,在 Entra ID 中,這些團隊是使用專門的安全群組來實施的。因此,使用者可以是一個或多個安全群組的成員。我們現在需要一種方法將此組成員身份轉換為正確的 SAML 聲明。
為此,我們在企業應用程式的單一登入 SAML 配置中新增了一個新的群組聲明,並使用「自訂群組聲明的名稱」功能將該聲明重新命名為「團隊」。現在我們的 SAML 令牌包含以下聲明(縮寫):
<AttributeStatement>
...
<Attribute Name="teams">
<AttributeValue>Group1</AttributeValue>
<AttributeValue>Group2</AttributeValue>
<AttributeValue>Group3</AttributeValue>
</Attribute>
...
</AttributeStatement>
正如您所看到的,這些群組在多個單獨的元素中返回AttributeValue。我們需要它們位於一個AttributeValue元素中,如下所示:
<AttributeStatement>
...
<Attribute Name="teams">
<AttributeValue>Group1,Group2,Group3</AttributeValue>
</Attribute>
...
</AttributeStatement>
Entra ID 有沒有辦法實現這一點?