2

ich eine benutzerdefinierte Anwendung zu unserem aktiven Verzeichnis pro MS Führer hereSecurity Group Ansprüche auf SAML-Token hinzufügen für Custom Azure Active Directory Application

hinzugefügt Wie kann ich die Ansprüche in der SAML-Token anpassen, um die Sicherheitsgruppen zu schaffen, des authentifizierten Benutzers. Dieser Artikel erwähnt keine Gruppen https://azure.microsoft.com/en-us/documentation/articles/active-directory-saml-claims-customization/

Ich weiß normalerweise für eine Azure-Anwendung in AD kann ich das Manifest ändern, um es die Sicherheitsgruppen zurückzugeben. Ich habe jedoch keine Erfahrung mit der SAML-Version. Wir haben eine sehr begrenzte Anzahl von Gruppen, die uns wichtig sind, so dass sogar die boolesche Flagge von InGroupA funktionieren würde.

Ich benutze kentor Authservices und dieser Teil funktioniert gut, aber es hat keinen Anspruch auf Gruppen. Ich habe versucht, es das Attribut http://schemas.microsoft.com/ws/2008/06/identity/claims/groups erfordern, aber es meldet mich immer noch ohne Token mit diesem Anspruch.

Irgendwelche Ideen?

+0

können Sie diesen Artikel überprüfen? http://www.dushyantgill.com/blog/2014/12/10/authorization-cloud-applications-using-ad-groups/ – Zeigeist

+0

Yeah - ich hatte das gelesen. Die über die Galerie hinzugefügte benutzerdefinierte Anwendung bietet keine Möglichkeit, das Manifest zu bearbeiten. Daher scheint es mir nicht möglich zu sein, Gruppenansprüche auf diese Weise zurückzugeben. SAML-Token enthält niemals Gruppen – GraemeMiller

Antwort

1

Dies ist möglich, jedoch müssen Sie es über die REST API

Finden Sie die Anwendung tun über sie objectid Update, um die Eigenschaft groupMembershipClaims ist auch All

Sie schätzen können diese Powershell-Skript verwenden.

Mit dem Skript here ich die benötigten Bibliotheken geladen und lief dann die folgenden Befehle:

Connect-AAD (use the tenant GA credentials) 
Execute-AADQuery -Base "applications" -HTTPVerb Get 
Execute-AADQuery -Base "applications/<GUID>" -HTTPVerb Patch -Data (New-Object -TypeName PsObject -Property @{"groupMembershipClaims"="All"})