Rajouter un attribut personalisé dans Azure

Dans cette documentation nous allons montrer comment faire pour rajouter la propriété sAMAccountName au jeton envoyé à Wikit pour l’authentification vous pouvez changer la propriété avec celle qui vous convien

📘 Documentation Technique – Ajout de sAMAccountName via OIDC Azure AD

1. Configuration du Claim sAMAccountName

A. Via le portail Azure (Entreprise ou App registrations)

1. Connectez-vous au Portail Azure → Azure AD.
2. Allez dans Enterprise Applications (ou App registrations selon le cas) puis sélectionnez votre application.
3. Accédez à Single sign‑on → Attributes & Claims (Attributs et déclarations).
4. Cliquez sur Edit → Add new claim et configurez :
   • Name : sAMAccountName (ou autre)
   • Source : user
   • Source attribute : onPremisesSamAccountName (ou autre)
5. Cliquez sur Save.

2. Activation de acceptMappedClaims et version du token

1. Toujours dans App registrations → sélectionnez votre application → onglet Manifest.

2. Mettez à jour cette propriété :

   {
     "acceptMappedClaims": true
   }

   • acceptMappedClaims permet à Azure AD d’inclure les claims mappés

3. Enregistrez le manifeste.

3. (Optionnel) Méthode PowerShell – Claims Mapping Policy

Pour gestion avancée ou cluster multi‑tenant :

$policy = New-AzureADPolicy -Definition @('{
 "ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true",
  "ClaimsSchema":[
    {"Source":"user","ID":"onpremisessamaccountname","JwtClaimType":"samAccountName"}
  ]
 }
}') -DisplayName "CustomSAM" -Type "ClaimsMappingPolicy"

Add-AzureADServicePrincipalPolicy -Id <ServicePrincipal_ObjectID> -RefObjectId $policy.Id

Cela fournit un contrôle plus fin sur la déclaration sAMAccountName (Documentation Azure, Microsoft Learn).

4. Test de la configuration via jwt.ms

1. Dans App registrations → votre application → onglet Authentication.

2. Sous Redirect URIs, ajoutez l’URI :

   • https://jwt.ms
   • type Web, cochez ID tokens (Microsoft Learn, Microsoft Learn).

3. Enregistrez.

4. Demandez un ID token via navigateur avec une URL OIDC :

   https://login.microsoftonline.com/<TENANT_ID>/oauth2/v2.0/authorize?
     client_id=<CLIENT_ID>&response_type=id_token&
     redirect_uri=https%3A%2F%2Fjwt.ms&
     scope=openid%20profile&response_mode=fragment&state=123&nonce=678

   ⚠️ remplacer TENANT_ID et CLIENT_ID avec vos informations

5. Après authentification, jwt.ms affichera le token décodé. Vérifiez la présence de "sAMAccountName": "<utilisateur>".

6. Vous pouvez supprimer la configuration de la redirection vers jwt.ms en retournant dans le menu :

   → App registrations → votre application → onglet Authentication.

6. Remarques & bon usage

• Si vous obtenez l’erreur AADSTS50146, vérifiez que acceptMappedClaims est bien défini à true et accessTokenAcceptedVersion à 2 (Stack Overflow, Microsoft for Developers, community.cyberark.com).
• Privilégiez l’ajout via portail pour OIDC dès que possible. Le script PowerShell reste utile pour des scénarios plus complexes.