Partilhar via

Mapeamento de declarações de usuário de colaboração B2B no ID Externo do Microsoft Entra

  • Artigo

Aplica-se a:Círculo verde com um símbolo de marca de verificação branco. Locatários da força deCírculo branco com um símbolo X cinzento. trabalho Locatários externos (saiba mais)

Com o Microsoft Entra External ID, você pode personalizar as declarações emitidas no token SAML para usuários de colaboração B2B. Quando um usuário se autentica no aplicativo, o Microsoft Entra ID emite um token SAML para o aplicativo que contém informações (ou declarações) sobre o usuário que o identifica exclusivamente. Por padrão, essa declaração inclui o nome de usuário, endereço de e-mail, nome próprio e nome da família do usuário.

No centro de administração do Microsoft Entra, você pode exibir ou editar as declarações enviadas no token SAML para o aplicativo. Para acessar as configurações, navegue até Identity>Applications>Enterprise applications>, o aplicativo configurado para logon >único Logon único. Consulte as configurações do token SAML na seção Atributos do usuário.

Captura de tela dos atributos de token SAML na interface do usuário.

Há dois motivos possíveis pelos quais talvez seja necessário editar as declarações emitidas no token SAML:

  1. O aplicativo requer um conjunto diferente de URIs de declaração ou valores de declaração.

  2. O aplicativo requer que a declaração NameIdentifier seja algo diferente do nome principal do usuário (UPN) armazenado no ID do Microsoft Entra.

Para obter informações sobre como adicionar e editar declarações, consulte Personalizando declarações emitidas no token SAML para aplicativos corporativos no Microsoft Entra ID.

UPN declara comportamento para usuários B2B

Se você precisar emitir o valor UPN como uma declaração de token de aplicativo, o mapeamento de declaração real pode se comportar de forma diferente para usuários B2B. Se o usuário B2B se autenticar com uma identidade externa do Microsoft Entra e você emitir user.userprincipalname como o atributo de origem, o Microsoft Entra ID emitirá o atributo UPN do locatário inicial para esse usuário.

Todos os outros tipos de identidade externa, como SAML/WS-Fed, Google, OTP de e-mail, emitem o valor UPN em vez do valor de e-mail quando você emite user.userprincipalname como uma declaração. Se desejar que o UPN real seja emitido na declaração de token para todos os usuários B2B, você pode definir user.localuserprincipalname como o atributo de origem.

Nota

O comportamento mencionado nesta seção é o mesmo para usuários B2B somente na nuvem e usuários sincronizados que foram convidados/convertidos para colaboração B2B.

Conteúdos relacionados

  • Para obter informações sobre as propriedades do usuário de colaboração B2B, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra.