次の方法で共有


Microsoft Entra 外部 ID での B2B コラボレーション ユーザー要求マッピング

適用対象: 白いチェック マーク記号が付いた緑の円。 従業員テナント 灰色の X 記号が付いた白い円。 外部テナント (詳細情報)

Microsoft Entra 外部 ID では、B2B コラボレーション ユーザーの SAML トークンで発行される要求のカスタマイズがサポートされています。 アプリケーションに対するユーザーの認証時に、Microsoft Entra ID は、ユーザーを一意に識別する情報 (要求) を含む SAML トークンをアプリに発行します。 既定では、この要求にはユーザーのユーザー名、電子メール アドレス、名、および姓が含まれます。

Microsoft Entra 管理センター では、アプリケーションに SAML トークンで送信された要求を表示または編集できます。 設定にアクセスするには、[ID]>[エンタープライズ アプリケーション]>[エンタープライズ アプリケーション]> シングル サインオン用に構成されたアプリケーション >[シングル サインオン] を参照します。 [ユーザー属性] セクションの SAML トークン設定を参照してください。

UI の SAML トークン属性のスクリーンショット。

SAML トークンで発行された要求を編集する必要がある理由は、2 つ考えられます。

  1. アプリケーションで、別の要求 URI または要求値のセットが必要である。

  2. アプリケーションで、NameIdentifier 要求を Microsoft Entra ID に保存されているユーザー プリンシパル名 (UPN) 以外のものにする必要がある。

要求を追加および編集する方法については、「Microsoft Entra ID のエンタープライズ アプリケーションの SAML トークンで発行された要求のカスタマイズ」を参照してください。

B2B ユーザーの UPN 要求の動作

UPN 値をアプリケーション トークン要求として発行する必要がある場合は、B2B ユーザーに対して実際の要求マッピングの動作が異なる場合があります。 B2B ユーザーが外部の Microsoft Entra ID で認証した場合に、user.userprincipalname をソース属性として発行すると、Microsoft Entra ID ではこのユーザーのホーム テナントから UPN 属性を発行します。

SAML/WS-Fed、Google、Email OTP などの他のすべての外部 ID の種類は、user.userprincipalname を要求として発行するときに、電子メール値ではなく UPN 値を発行します。 すべての B2B ユーザーのトークン要求で実際の UPN を発行する場合は、代わりに user.localuserprincipalname をソース属性として設定できます。

Note

このセクションで説明する動作は、クラウドのみの B2B ユーザーと、 B2B コラボレーションに招待または変換された同期されたユーザーの両方で同じです。