Entra IDにおけるSAMLレスポンスのNameIDに設定される値について

https://learn.microsoft.com/ja-jp/entra/identity-platform/single-sign-on-saml-protocol#subject-1

「NameID 値は、トークンの対象ユーザーであるサービス プロバイダーにのみ送信されるターゲット識別子です。 これは永続的です」と記載があります。

EntraからのSAMLレスポンスのNameIDには、どの値が設定されるのでしょうか。確認してみました。

NameID

SAML Assertion内の要素に含まれる必須の識別情報で、主にユーザーを一意に識別するために使用されます

Entra IDにおけるName ID の既定値は user.userprincipalname となっており、ユーザーの UPN が使用されます。

EntraからのSAMLレスポンスのNameIDに設定される値

NameID に設定される値は「ソース属性」の設定値に従っています。確認方法は以下です。

1. Azure Portal (https://portal.azure.com) にアクセスし、管理者アカウントでサインインします。

2. [Microsoft Entra ID] > [エンタープライズ アプリケーション] > 該当のアプリ[シングル サインオン] に移動します。

3. [属性とクレーム] の編集ボタンをクリック

4. 一意のユーザー識別子 (名前 ID) の行をクリック

5. 以下の画面のように [ソース属性] を確認できます。

(補足)

・上記説明の 「3. [属性とクレーム] の編集ボタンをクリック」の画面において、① 基本的な SAML 構成を実施したのちに、[属性とクレーム] の編集ボタンがクリックできるようになります。

・画面によって、「一意のユーザー ID」「一意のユーザー識別子 (名前 ID)」と表記が統一されていませんが、同じ意味となります(「一意のユーザー ID」=「一意のユーザー識別子 (名前 ID)」)

ソース属性に設定できる値

ソース属性に設定できる値は以下が参考とおなります。

—– 該当部分抜粋 —–

出典:SAML トークン クレームをカスタマイズする – Microsoft identity platform | Microsoft Learn

Entra

Posted by MITSUAKI TSURUTA