Anspruchsanpassung mithilfe einer Richtlinie

Ein Richtlinienobjekt stellt eine Reihe von Regeln dar, die für einzelne Anwendungen oder für alle Anwendungen in einem Unternehmen gelten. Jede Art von Richtlinie verfügt über eine eindeutige Struktur mit einem Satz von Eigenschaften, die auf Objekte angewendet werden, denen sie zugewiesen sind.

Microsoft Entra ID unterstützt zwei Möglichkeiten zum Anpassen von Ansprüchen mithilfe von Microsoft Graph/PowerShell für Ihre Anwendungen:

Benutzerdefinierte Anspruchsrichtlinien und Anspruchszuordnungsrichtlinien sind zwei verschiedene Arten von Richtlinienobjekten, die die in Token enthaltenen Ansprüche ändern.

Die benutzerdefinierte Anspruchsrichtlinie (Preview) ermöglicht Admins das Anpassen zusätzlicher Ansprüche für ihre Anwendungen. Sie kann alternativ zu der über das Microsoft Entra Admin Center angebotenen Anspruchsanpassung verwendet werden, so dass Admins Ansprüche entweder über das Microsoft Entra Admin Center oder MS Graph/PowerShell verwalten können. Sowohl die benutzerdefinierte Anspruchsrichtlinie als auch die über das Microsoft Entra Admin Center angebotene Anspruchsanpassung verwenden dieselbe zugrunde liegende Richtlinie, um zusätzliche Ansprüche für die Dienstprinzipale zu konfigurieren. Admins können jedoch nur eine benutzerdefinierte Anspruchsrichtlinie (Preview) pro Dienstprinzipal konfigurieren. Mit der Methode PUT können Admins ein bestehendes Richtlinienobjekt mit den in der Anforderung übergebenen Werten erstellen oder ersetzen, während die Methode PATCH es Admins ermöglicht, das Richtlinienobjekt mit den in der Anforderung übergebenen Werten zu aktualisieren. Hier erfahren Sie, wie Sie mit der benutzerdefinierten Anspruchsrichtlinie zusätzliche Ansprüche konfigurieren und verwalten können.

Die Anspruchszuordnungsrichtlinie ermöglicht Admins ebenfalls das Anpassen zusätzlicher Ansprüche für ihre Anwendungen. Admins können eine Anspruchszuordnungsrichtlinie konfigurieren und sie mehreren Anwendungen in ihrem Mandanten zuweisen. Wenn ein Admin die Anspruchszuordnungsrichtlinie verwendet, um zusätzliche Ansprüche für eine Anwendungen zu verwalten, können die Ansprüche im Blatt Anspruchsanpassung im Microsoft Entra Admin Center für diese Anwendungen nicht bearbeitet oder aktualisiert werden. Hier erfahren Sie, wie Sie mit der Anspruchszuordnungsrichtlinie zusätzliche Ansprüche konfigurieren und verwalten können.

Hinweis

Die Anspruchszuordnungsrichtlinie ersetzt sowohl die Richtlinie für benutzerdefinierte Ansprüche als auch die über das Microsoft Entra Admin Center angebotene Anpassung von Ansprüchen. Die Anpassung von Ansprüchen für eine Anwendung mithilfe der Anspruchszuordnungsrichtlinie bedeutet, dass die für diese Anwendung ausgestellten Token die Konfiguration in der Richtlinie für benutzerdefinierte Ansprüche oder die Konfiguration im Blatt für die Anpassung von Ansprüchen im Microsoft Entra Admin Center ignorieren. Weitere Informationen zur Anspruchsanpassung finden Sie unter Anpassen von Ansprüchen im Token für Unternehmensanwendungen.

Anspruchsätze

In der folgenden Tabelle sind die Anspruchssätze aufgeführt, die definieren, wie und wann sie in Token verwendet werden.

Satz von Ansprüchen BESCHREIBUNG
Hauptsatz von Ansprüchen Sind in jedem Token unabhängig von der Richtlinie vorhanden. Diese Ansprüche sind zudem als eingeschränkt anzusehen und können nicht geändert werden.
Grundlegender Anspruchssatz Enthält die Ansprüche, die standardmäßig für Token zusätzlich zum Kernanspruchssatz enthalten sind. Mit den Richtlinien für die Anspruchsanpassung und die Anspruchszuordnung können Sie grundlegende Ansprüche weglassen oder ändern.
Eingeschränkter Anspruchssatz Kann nicht über eine Richtlinie geändert werden. Die Datenquelle kann nicht geändert werden, und beim Generieren der Ansprüche wird keine Transformation angewendet.

Eingeschränkter Anspruchssatz der JSON Web Token (JWT)

Die folgenden Ansprüche befinden sich im eingeschränkten Anspruchssatz für ein JWT.

  • .
  • _claim_names
  • _claim_sources
  • aai
  • access_token
  • account_type
  • acct
  • acr
  • acrs
  • actor
  • actortoken
  • ageGroup
  • aio
  • altsecid
  • amr
  • app_chain
  • app_displayname
  • app_res
  • appctx
  • appctxsender
  • appid
  • appidacr
  • assertion
  • at_hash
  • aud
  • auth_data
  • auth_time
  • authorization_code
  • azp
  • azpacr
  • bk_claim
  • bk_enclave
  • bk_pub
  • brk_client_id
  • brk_redirect_uri
  • c_hash
  • ca_enf
  • ca_policy_result
  • capolids
  • capolids_latebind
  • cc
  • cert_token_use
  • child_client_id
  • child_redirect_uri
  • client_id
  • client_ip
  • cloud_graph_host_name
  • cloud_instance_host_name
  • cloud_instance_name
  • CloudAssignedMdmId
  • cnf
  • code
  • controls
  • controls_auds
  • credential_keys
  • csr
  • csr_type
  • ctry
  • deviceid
  • dns_names
  • domain_dns_name
  • domain_netbios_name
  • e_exp
  • email
  • endpoint
  • enfpolids
  • exp
  • expires_on
  • extn. as prefix
  • fido_auth_data
  • fido_ver
  • fwd
  • fwd_appidacr
  • grant_type
  • graph
  • group_sids
  • groups
  • hasgroups
  • hash_alg
  • haswids
  • home_oid
  • home_puid
  • home_tid
  • iat
  • identityprovider
  • idp
  • idtyp
  • in_corp
  • instance
  • inviteTicket
  • ipaddr
  • isbrowserhostedapp
  • iss
  • isViral
  • jwk
  • key_id
  • key_type
  • login_hint
  • mam_compliance_url
  • mam_enrollment_url
  • mam_terms_of_use_url
  • mdm_compliance_url
  • mdm_enrollment_url
  • mdm_terms_of_use_url
  • msgraph_host
  • msproxy
  • nameid
  • nbf
  • netbios_name
  • nickname
  • nonce
  • oid
  • on_prem_id
  • onprem_sam_account_name
  • onprem_sid
  • openid2_id
  • origin_header
  • password
  • platf
  • polids
  • pop_jwk
  • preferred_username
  • previous_refresh_token
  • primary_sid
  • prov_data
  • puid
  • pwd_exp
  • pwd_url
  • rdp_bt
  • redirect_uri
  • refresh_token
  • refresh_token_issued_on
  • refreshtoken
  • request_nonce
  • resource
  • rh
  • role
  • roles
  • rp_id
  • rt_type
  • scope
  • scp
  • secaud
  • sid
  • sid
  • signature
  • signin_state
  • source_anchor
  • src1
  • src2
  • sub
  • target_deviceid
  • tbid
  • tbidv2
  • tenant_ctry
  • tenant_display_name
  • tenant_id
  • tenant_region_scope
  • tenant_region_sub_scope
  • thumbnail_photo
  • tid
  • tokenAutologonEnabled
  • trustedfordelegation
  • ttr
  • unique_name
  • upn
  • user_agent
  • user_setting_sync_url
  • username
  • uti
  • ver
  • verified_primary_email
  • verified_secondary_email
  • vnet
  • vsm_binding_key
  • wamcompat_client_info
  • wamcompat_id_token
  • wamcompat_scopes
  • wids
  • win_ver
  • x5c_ca
  • xcb2b_rclient
  • xcb2b_rcloud
  • xcb2b_rtenant
  • ztdid

Hinweis

Jeder Anspruch, der mit xms_ beginnt, ist eingeschränkt.

Eingeschränkter SAML-Anspruchssatz

In der folgenden Tabelle sind die SAML-Ansprüche aufgelistet, die im eingeschränkten Anspruchssatz enthalten sind.

Eingeschränkter Anspruchstyp (URI):

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
  • http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
  • http://schemas.microsoft.com/2014/03/psso
  • http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
  • http://schemas.microsoft.com/claims/authnmethodsreferences
  • http://schemas.microsoft.com/claims/groups.link
  • http://schemas.microsoft.com/identity/claims/accesstoken
  • http://schemas.microsoft.com/identity/claims/acct
  • http://schemas.microsoft.com/identity/claims/agegroup
  • http://schemas.microsoft.com/identity/claims/aio
  • http://schemas.microsoft.com/identity/claims/identityprovider
  • http://schemas.microsoft.com/identity/claims/objectidentifier
  • http://schemas.microsoft.com/identity/claims/openid2_id
  • http://schemas.microsoft.com/identity/claims/puid
  • http://schemas.microsoft.com/identity/claims/scope
  • http://schemas.microsoft.com/identity/claims/tenantid
  • http://schemas.microsoft.com/identity/claims/xms_et
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor

Diese Ansprüche sind standardmäßig eingeschränkt. Dies gilt jedoch nicht, wenn Sie über einen benutzerdefinierten Signaturschlüssel verfügen. Vermeiden Sie das Festlegen von acceptMappedClaims im App-Manifest.

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

Diese Ansprüche sind standardmäßig eingeschränkt. Dies gilt jedoch nicht, wenn Sie über einen benutzerdefinierten Signaturschlüssel verfügen:

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Eigenschaften der Richtlinie, die für die Anspruchsanpassung verwendet wird

Um zu steuern, welche Ansprüche einbezogen werden und woher die Daten stammen, verwenden Sie die Eigenschaften der Richtlinie für Anspruchsanpassung. Ohne eine Richtlinie gibt das System Token mit den folgenden Ansprüchen aus:

  • Der Hauptsatz von Ansprüchen.
  • Der grundlegende Anspruchssatz.
  • Alle optionalen Ansprüche, die die Anwendung erhalten hat.

Hinweis

Ansprüche im Hauptanspruchssatz sind in jedem Token vorhanden, unabhängig davon, wie diese Eigenschaft festgelegt wird.

String Datentyp Zusammenfassung
IncludeBasicClaimSet Boolesch („True“ oder „False“) Bestimmt, ob der grundlegende Anspruchssatz in von dieser Richtlinie betroffenen Token enthalten ist. Wenn der Wert auf TRUE festgelegt wird, werden alle Ansprüche im grundlegenden Anspruchssatz in Token ausgegeben, die von der Richtlinie betroffen sind. Wenn der Wert auf FALSE festgelegt wird, werden die Ansprüche im grundlegenden Anspruchssatz nicht in Token ausgegeben, es sei denn, sie werden einzeln in der Ansprücheschemaeigenschaft derselben Richtlinie hinzugefügt.
ClaimsSchema JSON-Blob mit mindestens einem Anspruchsschemaeintrag Definiert, welche Ansprüche zusätzlich zum grundlegenden und zum Hauptanspruchssatz in den von der Richtlinie betroffenen Token vorhanden sind. Für jeden Anspruchsschemaeintrag in dieser Eigenschaft definiert sind bestimmte Informationen erforderlich. Geben Sie an, woher die Daten stammen (Wert,Quelle/ID-Paar oder Quelle/ErweiterungsID-Paar) und die Fallart, die als (JWTClaimType oder SamlClaimType) ausgegeben wird.

Elemente eines Anspruchsschemaeintrags

  • Wert - Das Wertelement definiert die Daten, die im Anspruch ausgegeben werden sollen, als statischen Wert.
  • SAMLNameForm : Definiert den Wert für das NameFormat-Attribut für diesen Anspruch. Falls vorhanden, lauten die zulässigen Werte:
    • urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    • urn:oasis:names:tc:SAML:2.0:attrname-format:basic
  • Quell-ID-Paar : Definiert, wo die Daten im Anspruch stammen.
  • Source/ExtensionID-Paar: - Definiert das Attribut der Verzeichniserweiterung, aus dem die Daten im Claim stammen. Weitere Informationen finden Sie unter Verwenden von Verzeichniserweiterungsattributen in Ansprüchen.
  • Anspruchstyp: Die Elemente JwtClaimType und SamlClaimType definieren, auf welchen Anspruch sich dieser Anspruchsschemaeintrag bezieht.
    • JwtClaimType“ muss den Namen des Anspruchs enthalten, der in JWTs ausgegeben werden soll.
    • SamlClaimType muss den URI des Anspruchs enthalten, der in den SAML-Token ausgegeben werden soll.

Legen Sie das Quell-Element auf einen der folgenden Werte fest:

Quellwert Daten im Anspruch
user Eigenschaft für das User-Objekt.
application Eigenschaft für den Dienstprinzipal der Anwendung (Client).
resource Eigenschaft für den Ressourcendienstprinzipal.
audience Eigenschaft des Service-Principals, der der Empfänger des Tokens ist (entweder der Client- oder der Ressourcen-Service-Principal).
company Eigenschaft im Company-Objekt des Ressourcenmandanten.
transformation Transformation von Ansprüchen Wenn Sie diesen Anspruch verwenden, muss das TransformationID in der Anspruchsdefinition enthalten sein. Dieses Element muss mit dem TransformationID-Element des Transformationseintrags in der Eigenschaft ClaimsTransformation entsprechen, die definiert, wie die Daten für diesen Anspruch generiert werden.

Das ID-Element identifiziert, welche Eigenschaft in der Quelle den Wert für den Anspruch bereitstellt. Die folgende Tabelle listet die ID-Werte auf, die für jeden Wert der Quelle gültig sind.

`Source` id BESCHREIBUNG
user surname Der Familienname des Benutzers.
user givenname Angegebener Name des Benutzers
user displayname Der Anzeigename des Benutzers.
user objectid Die Objekt-ID des Benutzers.
user mail Die E-Mail-Adresse des Benutzers.
user userprincipalname Der Hauptbenutzername des Benutzers.
user department Die Abteilung des Benutzers.
user onpremisessamaccountname Der name des lokalen SAM-Kontos des Benutzers.
user netbiosname Der NetBios-Name des Benutzers.
user dnsdomainname Der DNS-Domänenname des Benutzers.
user onpremisesecurityidentifier Die lokale Sicherheitskennung des Benutzers.
user companyname Der Name der Organisation des Benutzers.
user streetaddress Die Adresse des Benutzers.
user postalcode Die Postleitzahl des Benutzers.
user preferredlanguage Die bevorzugte Sprache des Benutzers.
user onpremisesuserprincipalname Der lokale UPN des Benutzers. Wenn Sie eine alternative ID verwenden, wird das lokale Attribut userPrincipalName mit dem onPremisesUserPrincipalName -Attribut synchronisiert. Dieses Attribut ist nur verfügbar, wenn alternative ID konfiguriert ist.
user mailnickname Der E-Mail-Spitzname des Benutzers.
user extensionattribute1 Erweiterungsattribut 1.
user extensionattribute2 Erweiterungsattribut 2.
user extensionattribute3 Erweiterungsattribut 3.
user extensionattribute4 Erweiterungsattribut 4.
user extensionattribute5 Erweiterungsattribut 5.
user extensionattribute6 Erweiterungsattribut 6.
user extensionattribute7 Erweiterungsattribut 7.
user extensionattribute8 Erweiterungsattribut 8.
user extensionattribute9 Erweiterungsattribut 9.
user extensionattribute10 Erweiterungsattribut 10.
user extensionattribute11 Erweiterungsattribut 11.
user extensionattribute12 Erweiterungsattribut 12.
user extensionattribute13 Erweiterungsattribut 13.
user extensionattribute14 Erweiterungsattribut 14.
user extensionattribute15 Erweiterungsattribut 15.
user othermail Die andere E-Mail des Benutzers.
user country Das Land/die Region des Benutzers.
user city Die Stadt des Benutzers.
user state Das Bundesland des Benutzers.
user jobtitle Die Position des Benutzers.
user employeeid Die Mitarbeiter-ID des Benutzers.
user facsimiletelephonenumber Die Faksimile-Telefonnummer des Benutzers.
user assignedroles Die Liste der App-Rollen, die dem Benutzer zugewiesen sind.
user accountEnabled Zeigt an, ob das Benutzerkonto aktiviert ist.
user consentprovidedforminor Gibt an, ob die Zustimmung für einen Minderjährigen erteilt wurde.
user createddatetime Datum und Uhrzeit der Ereigniserstellung.
user creationtype Zeigt an, wie das Benutzerkonto erstellt wurde.
user lastpasswordchangedatetime Das letzte Datum und die letzte Uhrzeit, zu der das Passwort geändert wurde.
user mobilephone Das Mobiltelefon des Benutzers.
user officelocation Der Bürostandort des Benutzers.
user onpremisesdomainname Der lokale Domänenname des Benutzers.
user onpremisesimmutableid Die lokale unveränderliche ID des Benutzers.
user onpremisessyncenabled Gibt an, ob die lokale Synchronisierung aktiviert ist.
user preferreddatalocation Definiert den bevorzugten Datenspeicherort des Benutzers.
user proxyaddresses Die Proxyadressen des Benutzers.
user usertype Der Benutzerkontotyp.
user telephonenumber Die Geschäfts- oder Bürotelefone des Benutzers.
application, resource, audience displayname Der Anzeigename des Objekts.
application, resource, audience objectid Die ID des Objekts.
application, resource, audience tags Das Dienstprinzipaltag des Objekts.
company tenantcountry Das Land/die Region des Mandanten.

Die einzigen verfügbaren mehrwertigen Anspruchsquellen für ein Benutzerobjekt sind mehrwertige Erweiterungsattribute, die von Active Directory Connect synchronisiert wurden. Andere Eigenschaften (z. B. „othermails“ und „tags“) sind mehrwertige Eigenschaften, aber es wird nur ein Wert ausgegeben, wenn sie als Quelle ausgewählt werden.

Namen und URIs der Ansprüche im eingeschränkten Anspruchssatz können nicht für die Anspruchstypelemente verwendet werden.

Gruppenfilter

  • Zeichenfolge: GroupFilter
  • Datentyp: JSON-Blob
  • Zusammenfassung: Verwenden Sie diese Eigenschaft, um einen Filter auf die Gruppen des*der Benutzers*in anzuwenden, die in den Gruppenanspruch eingeschlossen werden sollen. Diese Eigenschaft kann ein nützliches Mittel zum Verringern der Tokengröße sein.
  • MatchOn: Identifiziert das Gruppenattribut, auf das der Filter angewendet werden soll. Legen Sie diese Eigenschaft MatchOn auf einen der folgenden Werte fest:
    • displayname – Der Gruppenanzeigename.
    • samaccountname - Der Name des SAM-Kontos vor Ort.
  • Type - Legt die Art des Filters fest, der auf das durch die Eigenschaft MatchOn ausgewählte Attribut angewendet wird. Legen Sie diese Type-Eigenschaft auf einen der folgenden Werte fest:
    • prefix - Schließt Gruppen ein, bei denen die Eigenschaft MatchOn mit der angegebenen Eigenschaft Value beginnt.
    • suffix Schließt Gruppen ein, bei denen die Eigenschaft MatchOn mit der angegebenen Eigenschaft Value endet.
    • contains - Schließt Gruppen ein, bei denen die Eigenschaft MatchOn mit der angegebenen Eigenschaft Value übereinstimmt.

Transformation von Ansprüchen

  • Zeichenfolge - ClaimsTransformation
  • Datentyp - JSON-Blob mit mindestens einem Transformationseintrag
  • Zusammenfassung - Mit dieser Eigenschaft können Sie allgemeine Transformationen auf Quelldaten anwenden, um Ausgabedaten für Ansprüche zu generieren, die im Anspruchsschema angegebenen wurden.
  • ID - Verweist auf den Transformationseintrag im Eintrag TransformationID Claims Schema. Dieser Wert muss für jeden Transformationseintrag innerhalb dieser Richtlinie eindeutig sein.
  • TransformationMethod : Gibt den Vorgang an, der ausgeführt wird, um die Daten für den Anspruch zu generieren.

Auf der Grundlage der ausgewählten Methode wird eine Reihe von Eingaben und Ausgaben erwartet. Definieren Sie die Eingaben und Ausgaben mithilfe von InputClaims, InputParameters und OutputClaims.

Transformationsmethode Erwartete Eingabe Erwartete Ausgabe BESCHREIBUNG
Join string1, string2, separator Ausgabeanspruch Verknüpft Eingabezeichenfolgen mit einer eingefügten Trennzeichen. Zum Beispiel: string1: foo@bar.com, string2: sandbox, separator: . ergibt die Ausgabe claim: foo@bar.com.sandbox.
ExtractMailPrefix E-Mail oder Benutzerprinzipalname (UPN) Extrahierte Zeichenfolge Erweiterungsattribute 1-15 oder beliebige andere Verzeichniserweiterungen, die einen UPN- oder E-Mail-Adresswert für den Benutzer speichern. Beispiel: johndoe@contoso.com. Extrahiert den lokalen Teil einer E-Mail-Adresse. Beispielsweise führt mail:foo@bar.com zu Ausgabeanspruch:foo. Wenn kein @-Zeichen vorhanden ist, wird die ursprüngliche Eingabezeichenfolge unverändert zurückgegeben.
ToLowercase() Zeichenfolge Ausgabezeichenfolge Konvertiert die Zeichen des ausgewählten Attributs in Kleinbuchstaben.
ToUppercase() Zeichenfolge Ausgabezeichenfolge Konvertiert die Zeichen des ausgewählten Attributs in Großbuchstaben.
RegexReplace() Die RegexReplace()-Transformation akzeptiert diese Werte als Eingabeparameter:
– Parameter 1: ein Benutzerattribut als RegEx-Eingabe
– Eine Option zum Vertrauen der mehrwertigen Quelle
– RegEx-Muster
– Ersetzungsmuster Das Ersetzungsmuster kann statisches Textformat zusammen mit einem Verweis auf RegEx-Ausgabegruppen und zusätzliche Eingabeparameter enthalten.
  • InputClaims: - Wird verwendet, um die Daten aus einem Fallschemaeintrag an eine Transformation zu übergeben. Es verfügt über drei Attribute: ClaimTypeReferenceId, TransformationClaimType und TreatAsMultiValue
    • ClaimTypeReferenceId - Wird mit dem ID-Element des Fallschemaeintrags verbunden, um den entsprechenden Eingabefall zu finden.
    • TransformationClaimType Verleiht dieser Eingabe einen eindeutigen Namen. Dieser Name muss einem der erwarteten Eingaben für die Transformationsmethode entsprechen.
    • TreatAsMultiValue ist ein boolesches Flag, das angibt, ob die Transformation auf alle Werte oder nur auf den ersten angewendet werden soll. Standardmäßig wird die Transformation auf das erste Element in einem mehrwertigen Anspruch angewendet. Durch Festlegen dieses Werts auf true wird sichergestellt, dass er auf alle angewendet wird. ProxyAddresses und Gruppen sind zwei Beispiele für Eingabeansprüche, die Sie wahrscheinlich als Mehrwert behandeln möchten.
  • InputParameters : Übergibt einen konstanten Wert an eine Transformation. Es verfügt über zwei Attribute: Value und ID.
    • Value ist der tatsächliche, konstante Wert, der übergeben werden soll.
    • ID wird verwendet, um der Eingabe einen eindeutigen Namen zu geben. Der Name muss einem der erwarteten Eingaben für die Transformationsmethode entsprechen.
  • Verwenden Sie ein OutputClaims-Element, um die von einer Transformation generierten Daten zu verwenden und es an einen Anspruchsschemaeintrag zu binden. Es verfügt über zwei Attribute: ClaimTypeReferenceId und TransformationClaimType.
    • ClaimTypeReferenceId ist mit der ID des Anspruchsschemaeintrags verknüpft, um die entsprechende Ausgabenspalte zu suchen.
    • TransformationClaimType wird verwendet, um der Ausgabe einen eindeutigen Namen zu geben. Der Name muss einer der erwarteten Ausgaben für die Transformationsmethode entsprechen.

Ausnahmen und Einschränkungen

SAML-NameID und -UPN: Die Attribute, aus denen die Werte von NameID und UPN stammen, und die zulässigen Transformationsansprüche sind begrenzt.

`Source` id Beschreibung
user mail Die E-Mail-Adresse des Benutzers.
user userprincipalname Der Hauptbenutzername des Benutzers.
user onpremisessamaccountname Name des lokalen SAM-Kontos
user employeeid Die Mitarbeiter-ID des Benutzers.
user telephonenumber Die Geschäfts- oder Bürotelefone des Benutzers.
user extensionattribute1 Erweiterungsattribut 1.
user extensionattribute2 Erweiterungsattribut 2.
user extensionattribute3 Erweiterungsattribut 3.
user extensionattribute4 Erweiterungsattribut 4.
user extensionattribute5 Erweiterungsattribut 5.
user extensionattribute6 Erweiterungsattribut 6.
user extensionattribute7 Erweiterungsattribut 7.
user extensionattribute8 Erweiterungsattribut 8.
user extensionattribute9 Erweiterungsattribut 9.
user extensionattribute10 Erweiterungsattribut 10.
user extensionattribute11 Erweiterungsattribut 11.
user extensionattribute12 Erweiterungsattribut 12.
user extensionattribute13 Erweiterungsattribut 13.
user extensionattribute14 Erweiterungsattribut 14.
User extensionattribute15 Erweiterungsattribut 15.

Die in der folgenden Tabelle aufgeführten Transformationsmethoden sind für SAML NameID zulässig.

Transformationsmethode Beschränkungen
ExtractMailPrefix Keine
Join Bei dem zu verknüpfenden Suffix muss es sich um eine überprüfte Domäne des Ressourcenmandanten handeln.

Aussteller mit Anwendungs-ID

  • String - issuerWithApplicationId
  • Datentyp: Boolesch (TRUE oder FALSE)
    • Bei Festlegung auf True wird die Anwendungs-ID dem Ausstelleranspruch in Token hinzugefügt, die von der Richtlinie betroffen sind.
    • Bei Festlegung auf False wird die Anwendungs-ID dem Ausstelleranspruch nicht in Token hinzugefügt, die von der Richtlinie betroffen sind. (Standard)
  • Zusammenfassung : Ermöglicht die Aufnahme der Anwendungs-ID in den Ausstelleranspruch. Stellt sicher, dass bei mehreren Instanzen derselben Anwendung jede Instanz einen eindeutigen Anspruchswert aufweist. Diese Einstellung wird ignoriert, wenn kein benutzerdefinierter Signaturschlüssel für die Anwendung konfiguriert ist.

Zielgruppenüberschreibung

  • String - audienceOverride
  • Datentyp - String
  • Zusammenfassung : Ermöglicht das Überschreiben des An die Anwendung gesendeten Zielgruppenanspruchs. Der bereitgestellte Wert muss ein gültiger absoluter URI sein. Diese Einstellung wird ignoriert, wenn kein benutzerdefinierter Signaturschlüssel für die Anwendung konfiguriert ist.

Nächste Schritte