Microsoft Entra ID 组名同步

默认情况下， OPL 数据空间从 Microsoft Entra ID 收到的往往是组 GUID，而不是人类可读的组名。本教程的目标是让 token 返回 group display name。

做法概览

1. 在 App Registration 中启用 groups claim
2. 修改 manifest，为 groups 增加 cloud_displayname
3. 把 groupMembershipClaims 设为 ApplicationGroup
4. 在 Enterprise Application 中显式分配需要同步的组
5. 在 OPL 数据空间里打开 OAuth group management

Manifest 关键点

"groupMembershipClaims": "ApplicationGroup"

并在 optionalClaims 里给 groups 增加：

"additionalProperties": ["cloud_displayname"]

注意

如果 groupMembershipClaims 不是 ApplicationGroup，cloud_displayname 往往不会生效，最终还是只会回传 GUID。

OPL 数据空间侧

需要配好 Microsoft OAuth，并启用组同步相关变量。详细变量说明见：

• SSO
• Environment Configuration