Udostępnij przez

Dostosowywanie oświadczeń przy użyciu zasad

Obiekt zasad reprezentuje zestaw reguł wymuszanych dla poszczególnych aplikacji lub wszystkich aplikacji w organizacji. Każdy typ zasad ma unikatową strukturę z zestawem właściwości, które są następnie stosowane do obiektów, do których są przypisane.

Identyfikator Entra firmy Microsoft obsługuje dwa sposoby dostosowywania oświadczeń przy użyciu programu Microsoft Graph/programu PowerShell dla aplikacji:

Zasady mapowania oświadczeń niestandardowych i oświadczeń to dwa różne typy obiektów zasad, które modyfikują oświadczenia zawarte w tokenach.

Zasady oświadczeń niestandardowych (wersja zapoznawcza) umożliwiają administratorom dostosowywanie dodatkowych oświadczeń dla swoich aplikacji. Można go używać zamiennie z dostosowywaniem oświadczeń oferowanych za pośrednictwem centrum administracyjnego firmy Microsoft Entra, umożliwiając administratorom zarządzanie oświadczeniami za pośrednictwem centrum administracyjnego firmy Microsoft Entra lub programu MS Graph/PowerShell. Zarówno zasady oświadczeń niestandardowych, jak i dostosowywanie oświadczeń oferowane za pośrednictwem centrum administracyjnego firmy Microsoft Entra używają tych samych zasad bazowych, aby skonfigurować dodatkowe oświadczenia dla jednostek usługi. Jednak administratorzy mogą skonfigurować tylko jedną zasadę oświadczeń niestandardowych (wersja zapoznawcza) dla jednostki usługi. Metoda PUT umożliwia administratorom utworzenie lub zastąpienie istniejącego obiektu zasad wartościami przekazanymi w treści żądania, podczas gdy PATCH metoda umożliwia administratorom aktualizowanie obiektu zasad wartościami przekazanymi w treści żądania. Dowiedz się , jak skonfigurować dodatkowe oświadczenia i zarządzać nimi przy użyciu niestandardowych zasad oświadczeń tutaj.

Zasady mapowania oświadczeń umożliwiają również administratorom dostosowywanie dodatkowych oświadczeń dla swoich aplikacji. Administratorzy mogą skonfigurować jedno zasady mapowania oświadczeń i przypisać je do wielu aplikacji w swojej dzierżawie. Jeśli administrator zdecyduje się używać zasad mapowania oświadczeń do zarządzania dodatkowymi oświadczeniami dla swoich aplikacji, nie będzie mógł edytować ani aktualizować oświadczeń w bloku dostosowywania oświadczeń w centrum administracyjnym firmy Microsoft Entra dla tych aplikacji. Dowiedz się , jak skonfigurować dodatkowe oświadczenia i zarządzać nimi przy użyciu zasad mapowania oświadczeń tutaj.

Uwaga

Zasady mapowania oświadczeń zastępują zarówno zasady oświadczeń niestandardowych, jak i dostosowania oświadczeń oferowane za pośrednictwem centrum administracyjnego firmy Microsoft Entra. Dostosowywanie oświadczeń dla aplikacji przy użyciu zasad mapowania oświadczeń oznacza, że tokeny wystawione dla tej aplikacji będą ignorować konfigurację w zasadach oświadczeń niestandardowych lub konfiguracji w bloku dostosowywania oświadczeń w centrum administracyjnym firmy Microsoft Entra. Aby uzyskać więcej informacji na temat dostosowywania oświadczeń, zobacz Dostosowywanie oświadczeń wystawionych w tokenie dla aplikacji dla przedsiębiorstw.

Zestawy oświadczeń

W poniższej tabeli wymieniono zestawy oświadczeń, które definiują sposób i czas ich użycia w tokenach.

Zestaw oświadczeń opis
Podstawowy zestaw oświadczeń Prezentuj w każdym tokenie niezależnie od zasad. Oświadczenia te są również uznawane za ograniczone i nie można ich modyfikować.
Podstawowy zestaw oświadczeń Zawiera oświadczenia, które są dołączane domyślnie dla tokenów oprócz podstawowego zestawu oświadczeń. Możesz pominąć lub zmodyfikować podstawowe oświadczenia przy użyciu niestandardowych zasad oświadczeń i zasad mapowania oświadczeń.
Zestaw oświadczeń z ograniczeniami Nie można modyfikować przy użyciu zasad. Źródła danych nie można zmienić i podczas generowania tych oświadczeń nie jest stosowane żadne przekształcenie.

Zestaw oświadczeń z ograniczeniami tokenu internetowego JSON (JWT)

Następujące oświadczenia znajdują się w zestawie oświadczeń z ograniczeniami dla JWT.

  • .
  • _claim_names
  • _claim_sources
  • aai
  • access_token
  • account_type
  • acct
  • acr
  • acrs
  • actor
  • actortoken
  • ageGroup
  • aio
  • altsecid
  • amr
  • app_chain
  • app_displayname
  • app_res
  • appctx
  • appctxsender
  • appid
  • appidacr
  • assertion
  • at_hash
  • aud
  • auth_data
  • auth_time
  • authorization_code
  • azp
  • azpacr
  • bk_claim
  • bk_enclave
  • bk_pub
  • brk_client_id
  • brk_redirect_uri
  • c_hash
  • ca_enf
  • ca_policy_result
  • capolids
  • capolids_latebind
  • cc
  • cert_token_use
  • child_client_id
  • child_redirect_uri
  • client_id
  • client_ip
  • cloud_graph_host_name
  • cloud_instance_host_name
  • cloud_instance_name
  • CloudAssignedMdmId
  • cnf
  • code
  • controls
  • controls_auds
  • credential_keys
  • csr
  • csr_type
  • ctry
  • deviceid
  • dns_names
  • domain_dns_name
  • domain_netbios_name
  • e_exp
  • email
  • endpoint
  • enfpolids
  • exp
  • expires_on
  • extn. as prefix
  • fido_auth_data
  • fido_ver
  • fwd
  • fwd_appidacr
  • grant_type
  • graph
  • group_sids
  • groups
  • hasgroups
  • hash_alg
  • haswids
  • home_oid
  • home_puid
  • home_tid
  • iat
  • identityprovider
  • idp
  • idtyp
  • in_corp
  • instance
  • inviteTicket
  • ipaddr
  • isbrowserhostedapp
  • iss
  • isViral
  • jwk
  • key_id
  • key_type
  • login_hint
  • mam_compliance_url
  • mam_enrollment_url
  • mam_terms_of_use_url
  • mdm_compliance_url
  • mdm_enrollment_url
  • mdm_terms_of_use_url
  • msgraph_host
  • msproxy
  • nameid
  • nbf
  • netbios_name
  • nickname
  • nonce
  • oid
  • on_prem_id
  • onprem_sam_account_name
  • onprem_sid
  • openid2_id
  • origin_header
  • password
  • platf
  • polids
  • pop_jwk
  • preferred_username
  • previous_refresh_token
  • primary_sid
  • prov_data
  • puid
  • pwd_exp
  • pwd_url
  • rdp_bt
  • redirect_uri
  • refresh_token
  • refresh_token_issued_on
  • refreshtoken
  • request_nonce
  • resource
  • rh
  • role
  • roles
  • rp_id
  • rt_type
  • scope
  • scp
  • secaud
  • sid
  • sid
  • signature
  • signin_state
  • source_anchor
  • src1
  • src2
  • sub
  • target_deviceid
  • tbid
  • tbidv2
  • tenant_ctry
  • tenant_display_name
  • tenant_id
  • tenant_region_scope
  • tenant_region_sub_scope
  • thumbnail_photo
  • tid
  • tokenAutologonEnabled
  • trustedfordelegation
  • ttr
  • unique_name
  • upn
  • user_agent
  • user_setting_sync_url
  • username
  • uti
  • ver
  • verified_primary_email
  • verified_secondary_email
  • vnet
  • vsm_binding_key
  • wamcompat_client_info
  • wamcompat_id_token
  • wamcompat_scopes
  • wids
  • win_ver
  • x5c_ca
  • xcb2b_rclient
  • xcb2b_rcloud
  • xcb2b_rtenant
  • ztdid

Uwaga

Każde oświadczenie rozpoczynające się od xms_ jest ograniczone.

Zestaw oświadczeń z ograniczeniami SAML

W poniższej tabeli wymieniono oświadczenia SAML, które znajdują się w zestawie oświadczeń z ograniczeniami.

Typ oświadczenia z ograniczeniami (URI):

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
  • http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
  • http://schemas.microsoft.com/2014/03/psso
  • http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
  • http://schemas.microsoft.com/claims/authnmethodsreferences
  • http://schemas.microsoft.com/claims/groups.link
  • http://schemas.microsoft.com/identity/claims/accesstoken
  • http://schemas.microsoft.com/identity/claims/acct
  • http://schemas.microsoft.com/identity/claims/agegroup
  • http://schemas.microsoft.com/identity/claims/aio
  • http://schemas.microsoft.com/identity/claims/identityprovider
  • http://schemas.microsoft.com/identity/claims/objectidentifier
  • http://schemas.microsoft.com/identity/claims/openid2_id
  • http://schemas.microsoft.com/identity/claims/puid
  • http://schemas.microsoft.com/identity/claims/scope
  • http://schemas.microsoft.com/identity/claims/tenantid
  • http://schemas.microsoft.com/identity/claims/xms_et
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor

Te oświadczenia są domyślnie ograniczone, ale nie są ograniczone, jeśli masz niestandardowy klucz podpisywania. Unikaj ustawiania acceptMappedClaims w manifeście aplikacji.

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

Te oświadczenia są domyślnie ograniczone, ale nie są ograniczone, jeśli masz niestandardowy klucz podpisywania:

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Właściwości zasad używanych do dostosowywania oświadczeń

Aby kontrolować dołączone oświadczenia i skąd pochodzą dane, użyj właściwości zasad do dostosowywania oświadczeń. Bez zasad system wystawia tokeny z następującymi oświadczeniami:

  • Podstawowy zestaw oświadczeń.
  • Podstawowy zestaw oświadczeń.
  • Wszelkie opcjonalne oświadczenia wybrane przez aplikację do odbierania.

Uwaga

Oświadczenia w zestawie oświadczeń podstawowych są obecne w każdym tokenie, niezależnie od tego, jaka właściwość jest ustawiona.

Sznurek Typ danych Podsumowanie
IncludeBasicClaimSet Wartość logiczna (prawda lub fałsz) Określa, czy podstawowy zestaw oświadczeń jest uwzględniony w tokenach, na które mają wpływ te zasady. W przypadku ustawienia wartości True wszystkie oświadczenia w podstawowym zestawie oświadczeń są emitowane w tokenach, których dotyczą zasady. Jeśli ustawiono wartość False, oświadczenia w podstawowym zestawie oświadczeń nie są w tokenach, chyba że są one indywidualnie dodawane we właściwości schematu oświadczeń tych samych zasad.
ClaimsSchema Obiekt blob JSON z co najmniej jednym wpisem schematu oświadczenia Definiuje, które oświadczenia znajdują się w tokenach, których dotyczą zasady, oprócz podstawowego zestawu oświadczeń i podstawowego zestawu oświadczeń. Dla każdego wpisu schematu oświadczenia zdefiniowanego w tej właściwości wymagane są pewne informacje. Określ, skąd pochodzą dane (wartość, para source/ID lub para Source/ExtensionID) i typ oświadczenia, który jest emitowany jako (JWTClaimType lub SamlClaimType).

Elementy wprowadzania schematu oświadczenia

  • Wartość — definiuje wartość statyczną jako dane, które mają być emitowane w oświadczeniu.
  • SAMLNameForm — definiuje wartość atrybutu NameFormat dla tego oświadczenia. Jeśli są obecne, dozwolone wartości to:
    • urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    • urn:oasis:names:tc:SAML:2.0:attrname-format:basic
  • Para źródłowa/identyfikator — określa, skąd pochodzą dane w oświadczeniu.
  • Para Source/ExtensionID — definiuje atrybut rozszerzenia katalogu, z którego pochodzą dane w oświadczeniu. Aby uzyskać więcej informacji, zobacz Używanie atrybutów rozszerzenia katalogu w oświadczeniach.
  • Typ oświadczenia — elementy JwtClaimType i SamlClaimType definiują, do którego oświadczenia odnosi się ten wpis schematu oświadczenia.
    • Typ JwtClaimType musi zawierać nazwę oświadczenia, który ma być emitowany w zestawach JWTs.
    • Typ SamlClaimType musi zawierać identyfikator URI oświadczenia, który ma być emitowany w tokenach JĘZYKA SAML.

Ustaw element Source na jedną z wartości w poniższej tabeli.

Wartość źródłowa Dane w oświadczeniu
user Właściwość obiektu User.
application Właściwość w jednostce usługi aplikacji (klienta).
resource Właściwość w jednostce usługi zasobów.
audience Właściwość jednostki usługi, która jest odbiorcą tokenu (klient lub jednostka usługi zasobów).
company Właściwość obiektu firmy dzierżawy zasobów.
transformation Przekształcanie oświadczeń. Jeśli używasz tego oświadczenia, element TransformationID musi być uwzględniony w definicji oświadczenia. Element TransformationID musi być zgodny z elementem ID wpisu przekształcenia we właściwości ClaimsTransformation , która definiuje sposób generowania danych dla oświadczenia.

Element ID identyfikuje właściwość w źródle, która udostępnia wartość oświadczenia. W poniższej tabeli wymieniono wartości elementu ID dla każdej wartości źródła.

Źródło Identyfikator opis
user surname Nazwa rodziny użytkownika.
user givenname Imię użytkownika.
user displayname Nazwa wyświetlana użytkownika.
user objectid Identyfikator obiektu użytkownika.
user mail Adres e-mail użytkownika.
user userprincipalname Główna nazwa użytkownika.
user department Dział użytkownika.
user onpremisessamaccountname Lokalna nazwa konta SAM użytkownika.
user netbiosname Nazwa NetBios użytkownika.
user dnsdomainname Nazwa domeny DNS użytkownika.
user onpremisesecurityidentifier Lokalny identyfikator zabezpieczeń użytkownika.
user companyname Nazwa organizacji użytkownika.
user streetaddress Adres ulicy użytkownika.
user postalcode Kod pocztowy użytkownika.
user preferredlanguage Preferowany język użytkownika.
user onpremisesuserprincipalname Lokalna nazwa UPN użytkownika. Jeśli używasz alternatywnego identyfikatora, atrybut userPrincipalName lokalny jest synchronizowany z atrybutem onPremisesUserPrincipalName . Ten atrybut jest dostępny tylko po skonfigurowaniu alternatywnego identyfikatora.
user mailnickname Pseudonim poczty użytkownika.
user extensionattribute1 Atrybut rozszerzenia 1.
user extensionattribute2 Atrybut rozszerzenia 2.
user extensionattribute3 Atrybut rozszerzenia 3.
user extensionattribute4 Atrybut rozszerzenia 4.
user extensionattribute5 Atrybut rozszerzenia 5.
user extensionattribute6 Atrybut rozszerzenia 6.
user extensionattribute7 Atrybut rozszerzenia 7.
user extensionattribute8 Atrybut rozszerzenia 8.
user extensionattribute9 Atrybut rozszerzenia 9.
user extensionattribute10 Atrybut rozszerzenia 10.
user extensionattribute11 Atrybut rozszerzenia 11.
user extensionattribute12 Atrybut rozszerzenia 12.
user extensionattribute13 Atrybut rozszerzenia 13.
user extensionattribute14 Atrybut rozszerzenia 14.
user extensionattribute15 Atrybut rozszerzenia 15.
user othermail Druga wiadomość e-mail użytkownika.
user country Kraj/region użytkownika.
user city Miasto użytkownika.
user state Województwo użytkownika.
user jobtitle Stanowisko użytkownika.
user employeeid Identyfikator pracownika użytkownika.
user facsimiletelephonenumber Numer telefonu facsimile użytkownika.
user assignedroles Lista ról aplikacji przypisanych do użytkownika.
user accountEnabled Wskazuje, czy konto użytkownika jest włączone.
user consentprovidedforminor Wskazuje, czy udzielono zgody na pomocniczą.
user createddatetime Data i godzina utworzenia konta użytkownika.
user creationtype Wskazuje sposób tworzenia konta użytkownika.
user lastpasswordchangedatetime Data i godzina ostatniej zmiany hasła.
user mobilephone Telefon komórkowy użytkownika.
user officelocation Lokalizacja biura użytkownika.
user onpremisesdomainname Lokalna nazwa domeny użytkownika.
user onpremisesimmutableid Niezmienialny identyfikator użytkownika w środowisku lokalnym.
user onpremisessyncenabled Wskazuje, czy synchronizacja lokalna jest włączona.
user preferreddatalocation Definiuje preferowaną lokalizację danych użytkownika.
user proxyaddresses Adresy serwera proxy użytkownika.
user usertype Typ konta użytkownika.
user telephonenumber Telefony służbowe lub biurowe użytkownika.
application, , resourceaudience displayname Nazwa wyświetlana obiektu.
application, , resourceaudience objectid Identyfikator obiektu.
application, , resourceaudience tags Tag jednostki usługi obiektu.
company tenantcountry Kraj/region dzierżawy.

Jedynymi dostępnymi źródłami oświadczeń wielowartościowych w obiekcie użytkownika są atrybuty rozszerzenia o wielu wartościach, które zostały zsynchronizowane z programu Active Directory Connect. Inne właściwości, takie jak othermails i tags, są wielowartościowe, ale tylko jedna wartość jest emitowana po wybraniu jako źródło.

Nazwy i identyfikatory URI oświadczeń w zestawie oświadczeń z ograniczeniami nie mogą być używane dla elementów typu oświadczenia.

Filtr grupy

  • Ciąg — GroupFilter
  • Typ danych: — obiekt blob JSON
  • Podsumowanie — ta właściwość służy do stosowania filtru w grupach użytkownika, który ma zostać uwzględniony w oświadczeniu grupy. Ta właściwość może być przydatnym sposobem zmniejszenia rozmiaru tokenu.
  • MatchOn: — określa atrybut grupy, na którym ma być stosowany filtr. Ustaw właściwość MatchOn na jedną z następujących wartości:
    • displayname - Nazwa wyświetlana grupy.
    • samaccountname — Lokalna nazwa konta SAM.
  • Typ — definiuje typ filtru zastosowanego do atrybutu wybranego przez właściwość MatchOn . Ustaw właściwość Type na jedną z następujących wartości:
    • prefix — Dołączanie grup, w których właściwość MatchOn rozpoczyna się od podanej właściwości Value .
    • suffix Uwzględnij grupy, w których właściwość MatchOn kończy się podaną właściwością Value .
    • contains — Dołączanie grup, w których właściwość MatchOn zawiera podaną właściwość Value .

Przekształcanie oświadczeń

  • Ciąg — ClaimsTransformation
  • Typ danych — obiekt blob JSON z co najmniej jednym wpisem przekształcenia
  • Podsumowanie — ta właściwość służy do stosowania typowych przekształceń do danych źródłowych w celu wygenerowania danych wyjściowych dla oświadczeń określonych w schemacie oświadczeń.
  • ID — odwołuje się do wpisu przekształcenia we wpisie Schema claims TransformationID. Ta wartość musi być unikatowa dla każdego wpisu przekształcenia w ramach tych zasad.
  • TransformationMethod — identyfikuje operację wykonywaną w celu wygenerowania danych dla oświadczenia.

Na podstawie wybranej metody oczekiwany jest zestaw danych wejściowych i wyjściowych. Zdefiniuj dane wejściowe i wyjściowe przy użyciu elementów InputClaims, InputParameters i OutputClaims.

Metoda transformacji Oczekiwane dane wejściowe Oczekiwane dane wyjściowe opis
Dołącz ciąg1, ciąg2, separator oświadczenie wyjściowe Łączy ciągi wejściowe przy użyciu separatora między. Na przykład ciąg1: , string2:foo@bar.comsandbox , separator:. powoduje zwrócenie oświadczenia wyjściowego:foo@bar.com.sandbox.
ExtractMailPrefix Adres e-mail lub nazwa UPN wyodrębniony ciąg Atrybuty rozszerzenia 1–15 lub inne rozszerzenia katalogu, które przechowują nazwę UPN lub wartość adresu e-mail dla użytkownika. Na przykład johndoe@contoso.com. Wyodrębnia lokalną część adresu e-mail. Na przykład poczta:foo@bar.com powoduje zwrócenie oświadczenia wyjściowego:foo. Jeśli znak @ nie jest obecny, zwracany jest oryginalny ciąg wejściowy.
ToLowercase() sznurek ciąg wyjściowy Konwertuje znaki wybranego atrybutu na małe litery.
ToUppercase() sznurek ciąg wyjściowy Konwertuje znaki wybranego atrybutu na wielkie litery.
RegexReplace() Przekształcenie RegexReplace() akceptuje jako parametry wejściowe:
- Parametr 1: atrybut użytkownika jako dane wejściowe wyrażenia regularnego
- Opcja zaufania źródle jako wielowartościowa
- Wzorzec wyrażeń regularnych
- Wzorzec zastępowania. Wzorzec zamiany może zawierać statyczny format tekstu wraz z odwołaniem wskazującym grupy danych wyjściowych wyrażeń regularnych i więcej parametrów wejściowych.
  • InputClaims — służy do przekazywania danych z wpisu schematu oświadczenia do przekształcenia. Ma trzy atrybuty: ClaimTypeReferenceId, TransformationClaimType i TreatAsMultiValue.
    • ClaimTypeReferenceId — przyłączony do elementu ID wpisu schematu oświadczenia w celu znalezienia odpowiedniego oświadczenia wejściowego.
    • TransformationClaimType Nadaje unikatową nazwę temu wejściu. Ta nazwa musi być zgodna z jedną z oczekiwanych danych wejściowych dla metody przekształcania.
    • TreatAsMultiValue jest flagą logiczną wskazującą, czy przekształcenie powinno zostać zastosowane do wszystkich wartości, czy tylko pierwszej. Domyślnie przekształcenia są stosowane tylko do pierwszego elementu w oświadczeniach wielowartościowych. Ustawienie tej wartości na wartość true gwarantuje, że zostanie zastosowana do wszystkich. ProxyAddresses i grupy to dwa przykłady oświadczeń wejściowych, które prawdopodobnie będą traktowane jako oświadczenie wielowartościowe.
  • InputParameters — przekazuje stałą wartość do przekształcenia. Ma dwa atrybuty: Wartość i identyfikator.
    • Wartość jest rzeczywistą wartością stałą, która ma zostać przekazana.
    • Identyfikator służy do nadania unikatowej nazwy danych wejściowych. Nazwa musi być zgodna z jednym z oczekiwanych danych wejściowych dla metody przekształcania.
  • OutputClaims — przechowuje dane wygenerowane przez przekształcenie i łączy je z wpisem schematu oświadczenia. Ma dwa atrybuty: ClaimTypeReferenceId i TransformationClaimType.
    • Identyfikator claimTypeReferenceId jest przyłączony do identyfikatora wpisu schematu oświadczenia w celu znalezienia odpowiedniego oświadczenia wyjściowego.
    • Typ TransformationClaimType służy do nadania unikatowej nazwy danych wyjściowych. Nazwa musi być zgodna z jednym z oczekiwanych danych wyjściowych metody przekształcania.

Wyjątki i ograniczenia

SAML NameID i UPN — atrybuty, z których są źródłowe wartości NameID i UPN oraz przekształcenia oświadczeń, które są dozwolone, są ograniczone.

Źródło Identyfikator opis
user mail Adres e-mail użytkownika.
user userprincipalname Główna nazwa użytkownika.
user onpremisessamaccountname Lokalna nazwa konta Sam
user employeeid Identyfikator pracownika użytkownika.
user telephonenumber Telefony służbowe lub biurowe użytkownika.
user extensionattribute1 Atrybut rozszerzenia 1.
user extensionattribute2 Atrybut rozszerzenia 2.
user extensionattribute3 Atrybut rozszerzenia 3.
user extensionattribute4 Atrybut rozszerzenia 4.
user extensionattribute5 Atrybut rozszerzenia 5.
user extensionattribute6 Atrybut rozszerzenia 6.
user extensionattribute7 Atrybut rozszerzenia 7.
user extensionattribute8 Atrybut rozszerzenia 8.
user extensionattribute9 Atrybut rozszerzenia 9.
user extensionattribute10 Atrybut rozszerzenia 10.
user extensionattribute11 Atrybut rozszerzenia 11.
user extensionattribute12 Atrybut rozszerzenia 12.
user extensionattribute13 Atrybut rozszerzenia 13.
user extensionattribute14 Atrybut rozszerzenia 14.
User extensionattribute15 Atrybut rozszerzenia 15.

Metody przekształcania wymienione w poniższej tabeli są dozwolone dla identyfikatora nameID języka SAML.

Metoda transformacji Ograniczenia
ExtractMailPrefix Brak
Dołącz Sufiks, który jest przyłączony, musi być zweryfikowaną domeną dzierżawy zasobów.

Wystawca z identyfikatorem aplikacji

  • Ciąg — issuerWithApplicationId
  • Typ danych — wartość logiczna (prawda lub fałsz)
    • Jeśli ustawiono Truewartość , identyfikator aplikacji zostanie dodany do oświadczenia wystawcy w tokenach, na które mają wpływ zasady.
    • Jeśli ustawiono Falsewartość , identyfikator aplikacji nie zostanie dodany do oświadczenia wystawcy w tokenach, na które mają wpływ zasady. (domyślne)
  • Podsumowanie — umożliwia uwzględnianie identyfikatora aplikacji w oświadczeniu wystawcy. Gwarantuje, że wiele wystąpień tej samej aplikacji ma unikatową wartość oświadczenia dla każdego wystąpienia. To ustawienie jest ignorowane, jeśli niestandardowy klucz podpisywania nie jest skonfigurowany dla aplikacji.

Przesłonięcia odbiorców

  • Ciąg — audienceOverride
  • Typ danych — ciąg
  • Podsumowanie — umożliwia zastąpienie oświadczenia odbiorców wysłanego do aplikacji. Podana wartość musi być prawidłowym bezwzględnym identyfikatorem URI. To ustawienie jest ignorowane, jeśli dla aplikacji nie skonfigurowano niestandardowego klucza podpisywania.

Następne kroki

  • Last updated on