Anpassa SAML-tokenanspråk
Microsoft platforma za identitete stöder enkel inloggning (SSO) med de flesta förintegrerade program i programgalleriet och anpassade program. När en användare autentiserar till ett program via Microsoft platforma za identitete med hjälp av SAML 2.0-protokollet skickas en token till programmet. Programmet validerar och använder token för att logga in användaren i stället för att fråga efter ett användarnamn och lösenord.
Dessa SAML-token innehåller information om den användare som kallas anspråk. Ett anspråk är information som en identitetsprovider anger om en användare i den token som de utfärdar för den användaren. I en SAML-token finns anspråksdata vanligtvis i SAML-attribututdraget. Användarens unika ID representeras vanligtvis i SAML-ämnet, som även kallas namnidentifierare (nameID
).
Som standard utfärdar Microsoft platforma za identitete en SAML-token till ett program som innehåller ett anspråk med värdet för användarens användarnamn (även kallat användarens huvudnamn), som unikt kan identifiera användaren. SAML-token innehåller även andra anspråk som inkluderar användarens e-postadress, förnamn och efternamn.
Visa eller redigera anspråk
Så här visar eller redigerar du de anspråk som utfärdats i SAML-token till programmet:
- Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
- Bläddra till Identity>Applications Enterprise-program>>Alla program.
- Välj programmet, välj Enkel inloggning på den vänstra menyn och välj sedan Redigera i avsnittet Attribut och anspråk .
Du kan behöva redigera anspråken som utfärdats i SAML-token av följande skäl:
- Programmet kräver att eller
nameID
anspråketNameIdentifier
är något annat än användarnamnet (eller användarens huvudnamn). - Programmet har skrivits för att kräva en annan uppsättning anspråks-URI:er eller anspråksvärden.
Redigera nameID
Så här redigerar du anspråket för namnidentifierarens värde:
- Öppna värdesidan Namnidentifierare.
- Välj det attribut eller den transformering som du vill använda för attributet. Du kan också ange det format som du vill att anspråket
nameID
ska ha.
NameID-format
Om SAML-begäran innehåller -elementet NameIDPolicy
med ett visst format följer Microsoft platforma za identitete formatet i begäran.
Om SAML-begäran inte innehåller något element för NameIDPolicy
, utfärdar nameID
Microsoft platforma za identitete med det format som du anger. Om inget format anges använder Microsoft platforma za identitete standardkällformatet som är associerat med den valda anspråkskällan. Om en transformering resulterar i ett null- eller ogiltigt värde skickar Microsoft Entra-ID:t en beständig parvis identifierare i nameID
.
I listrutan Välj namnidentifierarformat väljer du något av alternativen i följande tabell.
nameID format |
beskrivning |
---|---|
Standard | Microsoft platforma za identitete använder standardkällformatet. |
Ihärdig | Microsoft platforma za identitete använder Persistent som nameID format. |
E-postadress | Microsoft platforma za identitete använder EmailAddress som nameID format. |
Ospecificerad | Microsoft platforma za identitete använder Unspecified som nameID format. |
Windows-domännamn | Microsoft platforma za identitete använder WindowsDomainQualifiedName formatet. |
nameID
Tillfälligt stöds också, men är inte tillgängligt i listrutan och kan inte konfigureras på Azures sida. Mer information om attributet finns i NameIDPolicy
SAML-protokoll för enkel inloggning.
Attribut
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Välj önskad källa för anspråket NameIdentifier
(eller nameID
). Du kan välja bland alternativen i följande tabell.
Name | beskrivning |
---|---|
Email |
Användarens e-postadress. |
userprincipalName |
Användarens huvudnamn (UPN). |
onpremisessamaccountname |
SAM-kontonamnet som har synkroniserats från det lokala Microsoft Entra-ID:t. |
objectid |
Objekt-ID för användaren i Microsoft Entra-ID. |
employeeid |
Användarens medarbetar-ID. |
Directory extensions |
Katalogtilläggen synkroniseras från lokalni Active Directory med Microsoft Entra Connect Sync. |
Extension Attributes 1-15 |
De lokala tilläggsattribut som används för att utöka Microsoft Entra-schemat. |
pairwiseid |
Den beständiga formen av användaridentifierare. |
Mer information om identifierarvärden finns i tabellen som visar giltiga ID-värden per källa senare på den här sidan.
Alla konstanta (statiska) värden kan tilldelas till alla anspråk. Använd följande steg för att tilldela ett konstant värde:
- På bladet Attribut och anspråk väljer du det anspråk som krävs som du vill ändra.
- Ange konstantvärdet utan citattecken i källattributet enligt din organisation och välj Spara. Konstantvärdet visas.
Katalogschematillägg
Du kan också konfigurera attribut för katalogschematillägg som icke-villkorsstyrda/villkorsstyrda attribut. Använd följande steg för att konfigurera attributet för katalogschematillägg med en eller flera värden som ett anspråk:
- På bladet Attribut och anspråk väljer du Lägg till nytt anspråk eller redigerar ett befintligt anspråk.
- Välj källprogram från programväljaren där tilläggsegenskapen har definierats.
- Välj Lägg till för att lägga till markeringen i anspråken.
- Klicka på Spara för att checka in ändringarna.
Omvandlingar av särskilda anspråk
Du kan använda följande funktioner för särskilda anspråkstransformeringar.
Function | beskrivning |
---|---|
ExtractMailPrefix() | Tar bort domänsuffixet från antingen e-postadressen eller användarens huvudnamn. Den här funktionen extraherar endast den första delen av användarnamnet som skickas (till exempel "joe_smith" i stället joe_smith@contoso.comför ). |
ToLower() | Konverterar tecknen i det markerade attributet till gemener. |
ToUpper() | Konverterar tecknen i det markerade attributet till versaler. |
Lägga till programspecifika anspråk
Så här lägger du till programspecifika anspråk:
- På bladet Attribut och anspråk väljer du Lägg till nytt anspråk för att öppna sidan Hantera användaranspråk.
- Ange namnet på anspråken. Värdet behöver inte följa ett URI-mönster enligt SAML-specifikationen. Om du behöver ett URI-mönster kan du placera det i fältet Namnområde .
- Välj den källa där anspråket ska hämta dess värde. Du kan välja ett användarattribut i listrutan för källattributet eller tillämpa en transformering på användarattributet innan du skickar det som ett anspråk.
Lägga till ett gruppanspråk
Gruppanspråk används för att fatta auktoriseringsbeslut för åtkomst till en resurs av en app eller en tjänstleverantör. Så här lägger du till gruppanspråk.
- Gå till Appregistreringar och välj den app som du vill lägga till ett gruppanspråk i.
- Välj Lägg till gruppanspråk.
- Välj de grupptyper som ska inkluderas i din token. Du kan lägga till säkerhetsgrupper, kataloggrupper eller grupper som tilldelats till ett visst program.
- Välj de värden som du vill inkludera i ditt gruppanspråk och välj sedan Lägg till.
Anspråkstransformeringar
Så här tillämpar du en transformering på ett användarattribut:
- I Hantera anspråk väljer du Transformering som anspråkskälla för att öppna sidan Hantera transformering .
- Välj funktionen i listrutan transformering. Beroende på vilken funktion som valts anger du parametrar och ett konstant värde som ska utvärderas i omvandlingen.
- Välj källan för attributet genom att klicka på lämplig alternativknapp.
- Välj attributnamnet i listrutan.
- Att behandla källan som flervärdes är en kryssruta som anger om transformeringen ska tillämpas på alla värden eller bara den första. Som standard tillämpas transformeringar endast på det första elementet i ett anspråk med flera värden genom att markera den här rutan så att den tillämpas på alla. Den här kryssrutan är bara aktiverad för attribut med flera värden, till exempel
user.proxyaddresses
. - Om du vill tillämpa flera transformeringar väljer du Lägg till transformering. Du kan använda högst två transformeringar för ett anspråk. Du kan till exempel först extrahera e-postprefixet för
user.mail
. Gör sedan strängens versaler.
Du kan använda följande funktioner för att transformera anspråk.
Function | beskrivning |
---|---|
ExtractMailPrefix() | Tar bort domänsuffixet från antingen e-postadressen eller användarens huvudnamn. Den här funktionen extraherar endast den första delen av användarnamnet som skickas. I stället joe_smith@contoso.com för joe_smith . |
Join() | Skapar ett nytt värde genom att koppla två attribut. Du kan också använda en avgränsare mellan de två attributen. För anspråkstransformeringen nameID har funktionen Join() ett specifikt beteende när transformeringsindata har en domändel. Den tar bort domändelen från indata innan den kopplas till avgränsaren och den valda parametern. Om till exempel transformeringens indata är joe_smith@contoso.com och avgränsaren är @ och parametern är fabrikam.com resulterar den här indatakombinationen i joe_smith@fabrikam.com . |
ToLowercase() | Konverterar tecknen i det markerade attributet till gemener. |
ToUppercase() | Konverterar tecknen i det markerade attributet till versaler. |
Contains() | Matar ut ett attribut eller en konstant om indata matchar det angivna värdet. Annars kan du ange ytterligare utdata om det inte finns någon matchning. Om du till exempel vill generera ett anspråk där värdet är användarens e-postadress om det innehåller domänen @contoso.com , vill du annars ange användarens huvudnamn. Konfigurera följande värden för att utföra den här funktionen: Parameter 1(input): user.email , Value: "@contoso.com" , Parameter 2 (output): user.email och Parameter 3 (output if there's no match): user.userprincipalname . |
EndWith() | Matar ut ett attribut eller en konstant om indata slutar med det angivna värdet. Annars kan du ange ytterligare utdata om det inte finns någon matchning. Om du till exempel vill generera ett anspråk där värdet är användarens medarbetar-ID om medarbetar-ID:t slutar med 000 , vill du annars mata ut ett tilläggsattribut. Konfigurera följande värden för att utföra den här funktionen: Parameter 1(input): user.employeeid , Value: "000" , Parameter 2 (output): user.employeeid och Parameter 3 (output if there's no match): user.extensionattribute1 . |
StartWith() | Matar ut ett attribut eller en konstant om indata börjar med det angivna värdet. Annars kan du ange ytterligare utdata om det inte finns någon matchning. Om du till exempel vill generera ett anspråk där värdet är användarens medarbetar-ID om landet/regionen börjar med US , vill du annars mata ut ett tilläggsattribut. Om du vill utföra den här funktionen konfigurerar du följande värden: Parameter 1(input): user.country , Value: "US" , Parameter 2 (output): user.employeeid och Parameter 3 (output if there's no match): user.extensionattribute1 |
Extract() – Efter matchning | Returnerar delsträngen efter att den matchar det angivna värdet. Om till exempel indatavärdet är Finance_BSimon , är Finance_ matchande värde , är BSimon anspråkets utdata . |
Extract() – Före matchning | Returnerar delsträngen tills den matchar det angivna värdet. Om till exempel indatavärdet är BSimon_US , är _US matchande värde , är BSimon anspråkets utdata . |
Extract() – mellan matchning | Returnerar delsträngen tills den matchar det angivna värdet. Om till exempel indatavärdet är Finance_BSimon_US , är Finance_ det första matchande värdet , det andra matchande värdet är _US , så är BSimon anspråkets utdata . |
ExtractAlpha() – prefix | Returnerar prefixets alfabetiska del av strängen. Om till exempel indatavärdet är BSimon_123 returnerar BSimon det . |
ExtractAlpha() – Suffix | Returnerar suffixets alfabetiska del av strängen. Om till exempel indatavärdet är 123_Simon returnerar Simon det . |
ExtractNumeric() – prefix | Returnerar prefixets numeriska del av strängen. Om till exempel indatavärdet är 123_BSimon returnerar 123 det . |
ExtractNumeric() – Suffix | Returnerar suffixets numeriska del av strängen. Om till exempel indatavärdet är BSimon_123 returnerar 123 det . |
IfEmpty() | Matar ut ett attribut eller en konstant om indata är null eller tomma. Om du till exempel vill mata ut ett attribut som lagras i ett tilläggsattribut om medarbetar-ID:t för en användare är tomt. Konfigurera följande värden för att utföra den här funktionen: Parameter 1(input): user.employeeid , Parameter 2 (output): user.extensionattribute1 och Parameter 3 (output if there's no match): user.employeeid . |
IfNotEmpty() | Matar ut ett attribut eller en konstant om indata inte är null eller tomma. Om du till exempel vill mata ut ett attribut som lagras i ett tilläggsattribut om medarbetar-ID:t för en användare inte är tomt. Konfigurera följande värden för att utföra den här funktionen: Parameter 1(input): user.employeeid och Parameter 2 (output): user.extensionattribute1 . |
Delsträng() – Fast längd | Extraherar delar av en stränganspråkstyp med början vid tecknet vid den angivna positionen och returnerar det angivna antalet tecken. sourceClaim är anspråkskällan för den transformering som ska köras. StartIndex är den nollbaserade startteckenpositionen för en delsträng i den här instansen. Length är längden i tecken i understrängen. Till exempel sourceClaim - PleaseExtractThisNow , StartIndex - 6 och Length - 11 genererar utdata från ExtractThis . |
Substring() – EndOfString | Extraherar delar av en stränganspråkstyp med början vid tecknet vid den angivna positionen och returnerar resten av anspråket från det angivna startindexet. sourceClaim är anspråkskällan för den transformering som ska köras. StartIndex är den nollbaserade startteckenpositionen för en delsträng i den här instansen. Till exempel sourceClaim - PleaseExtractThisNow och StartIndex - 6 genererar utdata från ExtractThisNow . |
RegexReplace() | Mer information om regex-baserad anspråkstransformering finns i nästa avsnitt. |
Regex-baserad anspråkstransformering
Följande bild visar ett exempel på den första omvandlingsnivån:
Åtgärderna i följande tabell innehåller information om den första nivån av transformeringar och motsvarar etiketterna i föregående bild. Välj Redigera för att öppna bladet för anspråkstransformering.
Åtgärd | Fält | beskrivning |
---|---|---|
1 |
Transformation |
Välj alternativet RegexReplace() från transformeringsalternativen för att använda den regex-baserade anspråkstransformeringsmetoden för anspråkstransformering. |
2 |
Parameter 1 |
Indata för transformering av reguljära uttryck. Till exempel user.mail som har en e-postadress för användaren, admin@fabrikam.com till exempel . |
3 |
Treat source as multivalued |
Vissa indataanvändarattribut kan vara användarattribut med flera värden. Om det valda användarattributet stöder flera värden och användaren vill använda flera värden för omvandlingen måste de välja Behandla källa som flervärdesvärde. Om du väljer det här alternativet används alla värden för regex-matchningen, annars används endast det första värdet. |
4 |
Regex pattern |
Ett reguljärt uttryck som utvärderas mot värdet för användarattributet som valts som Parameter 1. Ett reguljärt uttryck för att extrahera användaraliaset från användarens e-postadress visas till exempel som (?'domain'^.*?)(?i)(\@fabrikam\.com)$ . |
5 |
Add additional parameter |
Mer än ett användarattribut kan användas för omvandlingen. Värdena för attributen sammanfogas sedan med regex-transformeringsutdata. Upp till fem parametrar stöds. |
6 |
Replacement pattern |
Ersättningsmönstret är textmallen som innehåller platshållare för regex-utfall. Alla gruppnamn måste omslutas i klammerparenteserna, till exempel {group-name} . Anta att administrationen vill använda användaralias med något annat domännamn, till exempel xyz.com och koppla landsnamn med det. I det här fallet skulle ersättningsmönstret vara {country}.{domain}@xyz.com , där {country} är värdet för indataparametern och {domain} är grupputdata från utvärderingen av reguljära uttryck. I sådana fall är US.swmal@xyz.com det förväntade resultatet . |
Följande bild visar ett exempel på den andra omvandlingsnivån:
Följande tabell innehåller information om den andra nivån av transformeringar. De åtgärder som anges i tabellen motsvarar etiketterna i föregående bild.
Åtgärd | Fält | beskrivning |
---|---|---|
1 |
Transformation |
Regex-baserade anspråkstransformeringar är inte begränsade till den första omvandlingen och kan även användas som transformering på andra nivån. Alla andra transformeringsmetoder kan användas som den första omvandlingen. |
2 |
Parameter 1 |
Om RegexReplace() väljs som en transformering på andra nivån används utdata från transformering på första nivån som indata för omvandlingen på andra nivån. Om du vill tillämpa transformeringen ska regex-uttrycket på andra nivån matcha utdata från den första omvandlingen. |
3 |
Regex pattern |
Regex-mönstret är det reguljära uttrycket för transformering på andra nivån. |
4 |
Parameter input |
Användarattributindata för omvandlingar på andra nivån. |
5 |
Parameter input |
Administratörer kan ta bort den valda indataparametern om de inte längre behöver den. |
6 |
Replacement pattern |
Ersättningsmönstret är textmallen, som innehåller platshållare för regex-resultatgruppnamn, indataparametergruppnamn och statiskt textvärde. Alla gruppnamn måste omslutas i klammerparenteserna, till exempel {group-name} . Anta att administrationen vill använda användaralias med något annat domännamn, till exempel xyz.com och koppla landsnamn med det. I det här fallet skulle ersättningsmönstret vara {country}.{domain}@xyz.com , där {country} är värdet för indataparametern och {domain} är grupputdata från utvärderingen av reguljära uttryck. I sådana fall är US.swmal@xyz.com det förväntade resultatet . |
7 |
Test transformation |
Transformering av RegexReplace() utvärderas endast om värdet för det valda användarattributet för Parameter 1 matchar det reguljära uttrycket som anges i textrutan Regex-mönster . Om de inte matchar läggs standardanspråkvärdet till i token. För att validera reguljära uttryck mot indataparametervärdet är en testupplevelse tillgänglig på transformeringsbladet. Den här testupplevelsen fungerar endast på dummy-värden. När fler indataparametrar används läggs namnet på parametern till i testresultatet i stället för det faktiska värdet. Om du vill komma åt testavsnittet väljer du Testtransformering. |
Följande bild visar ett exempel på hur du testar transformeringarna:
Följande tabell innehåller information om hur du testar transformeringarna. De åtgärder som anges i tabellen motsvarar etiketterna i föregående bild.
Åtgärd | Fält | beskrivning |
---|---|---|
1 |
Test transformation |
Välj knappen stäng eller (X) för att dölja testavsnittet och åter återge knappen Testtransformering igen på bladet. |
2 |
Test regex input |
Accepterar indata som används för utvärdering av reguljära uttryckstest. Om regex-baserad anspråkstransformering konfigureras som en transformering på andra nivån anger du ett värde som är förväntade utdata från den första omvandlingen. |
3 |
Run test |
När regex-testindata har angetts och Regex-mönstret, ersättningsmönstret och indataparametrarna har konfigurerats kan uttrycket utvärderas genom att välja Kör test. |
4 |
Test transformation result |
Om utvärderingen lyckas renderas utdata från testtransformeringen mot resultatetiketten Testtransformering. |
5 |
Remove transformation |
Den andra nivåtransformeringen kan tas bort genom att välja Ta bort transformering. |
6 |
Specify output if no match |
När ett regex-indatavärde konfigureras mot parametern 1 som inte matchar reguljära uttryck hoppas transformeringen över. I sådana fall kan det alternativa användarattributet konfigureras, vilket läggs till i token för anspråket genom att kontrollera Ange utdata om det inte finns någon matchning. |
7 |
Parameter 3 |
Om ett alternativt användarattribut måste returneras när det inte finns någon matchning och Ange utdata om ingen matchning är markerad kan ett alternativt användarattribut väljas med listrutan. Den här listrutan är tillgänglig mot Parameter 3 (utdata om ingen matchning). |
8 |
Summary |
Längst ned på bladet visas en fullständig sammanfattning av formatet som förklarar innebörden av omvandlingen i enkel text. |
9 |
Add |
När konfigurationsinställningarna för omvandlingen har verifierats kan den sparas i en anspråksprincip genom att välja Lägg till. Spara ändringarna genom att välja Spara på bladet Hantera anspråk. |
RegexReplace()-transformering är också tillgänglig för omvandlingar av gruppanspråk.
RegexReplace() transformeringsvalidering
När följande villkor inträffar efter att lägg till eller kör test har valts visas ett meddelande som ger mer information om problemet:
- Indataparametrar med duplicerade användarattribut tillåts inte.
- Oanvända indataparametrar hittades. Definierade indataparametrar ska ha respektive användning i text för ersättningsmönster.
- Angivna regex-indata för test matchar inte det angivna reguljära uttrycket.
- Det går inte att hitta källan för grupperna i ersättningsmönstret.
Lägg till UPN-anspråket i SAML-token
Anspråket http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
är en del av DEN BEGRÄNSADE SAML-anspråksuppsättningen. Om du har konfigurerat en anpassad signeringsnyckel kan du lägga till den i avsnittet Attribut och anspråk .
Om ingen anpassad signeringsnyckel har konfigurerats kan du läsa SAML Restricted claim set (SAML Restricted claim set). Du kan lägga till det som ett valfritt anspråk via appregistreringar i Azure-portalen.
Öppna programmet i Appregistreringar, välj Tokenkonfiguration och välj sedan Lägg till valfritt anspråk. Välj TYPEN SAML-token, välj upn i listan och klicka sedan på Lägg till för att lägga till anspråket i token.
Anpassning som görs i avsnittet Attribut och anspråk kan skriva över de valfria anspråken i appregistreringen.
Generera anspråk baserat på villkor
Du kan ange källan för ett anspråk baserat på användartyp och den grupp som användaren tillhör.
Användartypen kan vara:
- Alla – Alla användare får åtkomst till programmet.
- Medlemmar: Intern medlem i klientorganisationen
- Alla gäster: Användaren tas över från en extern organisation med eller utan Microsoft Entra-ID.
- Microsoft Entra-gäster: Gästanvändare tillhör en annan organisation med hjälp av Microsoft Entra-ID.
- Externa gäster: Gästanvändaren tillhör en extern organisation som inte har Microsoft Entra-ID.
Ett scenario där användartypen är användbar är när källan till ett anspråk skiljer sig för en gäst och en anställd som har åtkomst till ett program. Du kan ange att namn-ID:et kommer från user.email om användaren är anställd. Om användaren är gäst hämtas NameID från user.extensionattribute1.
Så här lägger du till ett anspråksvillkor:
- I Hantera anspråk expanderar du anspråksvillkoren.
- Välj användartyp.
- Välj de grupper som användaren ska tillhöra. Du kan välja upp till 50 unika grupper för alla anspråk för ett visst program.
- Välj den källa där anspråket ska hämta dess värde. Du kan antingen välja ett användarattribut i listrutan för källattributet eller tillämpa en transformering på användarattributet. Du kan också välja ett katalogschematillägg innan du skickar det som ett anspråk.
I vilken ordning du lägger till villkoren är viktigt. Microsoft Entra utvärderar först alla villkor med källan Attribute
och utvärderar sedan alla villkor med källan Transformation
för att bestämma vilket värde som ska genereras i anspråket. Villkor med samma källa utvärderas uppifrån och ned. Det sista värdet, som matchar uttrycket, genereras i anspråket. Transformeringar som IsNotEmpty
och Contains
fungerar som begränsningar.
Britta Simon är till exempel gästanvändare i Contoso-klientorganisationen. Britta tillhör en annan organisation som också använder Microsoft Entra-ID. Med följande konfiguration för Fabrikam-programmet utvärderar Microsoft platforma za identitete villkoren när Britta försöker logga in på Fabrikam.
Först kontrollerar Microsoft platforma za identitete om Brittas användartyp är Alla gäster. Eftersom typen är Alla gäster tilldelar Microsoft platforma za identitete källan för anspråket till user.extensionattribute1
. För det andra kontrollerar Microsoft platforma za identitete om Brittas användartyp är Microsoft Entra-gäster. Eftersom typen är Alla gäster tilldelar Microsoft platforma za identitete källan för anspråket till user.mail
. Slutligen genereras anspråket med värdet user.mail
för för Britta.
Som ett annat exempel bör du tänka på när Britta Simon försöker logga in och följande konfiguration används. Alla villkor utvärderas först med källan till Attribute
. Eftersom Brittas användartyp är Microsoft Entra-gästeruser.mail
tilldelas den som källa för anspråket. Därefter utvärderas omvandlingarna. Eftersom Britta är gäst user.extensionattribute1
är det nu den nya källan för anspråket. Eftersom Britta finns i Microsoft Entra-gäster är user.othermail
det nu källan till det här anspråket. Slutligen genereras anspråket med värdet user.othermail
för för Britta.
Som ett sista exempel bör du tänka på vad som händer om Britta inte har konfigurerats user.othermail
eller om det är tomt. I båda fallen ignoreras villkorsposten och anspråket återgår till user.extensionattribute1
i stället.
Avancerade SAML-anspråksalternativ
Avancerade anspråksalternativ kan konfigureras för SAML2.0-program för att exponera samma anspråk för OIDC-token och vice versa för program som tänker använda samma anspråk för både SAML2.0- och OIDC-svarstoken.
Avancerade anspråksalternativ kan konfigureras genom att markera kryssrutan under Avancerade SAML-anspråksalternativ på bladet Hantera anspråk .
I följande tabell visas andra avancerade alternativ som kan konfigureras för ett program.
Alternativ | Description |
---|---|
Lägg till program-ID i utfärdaren | Lägger automatiskt till program-ID:t i utfärdaranspråket. Det här alternativet garanterar ett unikt anspråksvärde för varje instans när det finns flera instanser av samma program. Den här inställningen ignoreras om en anpassad signeringsnyckel inte har konfigurerats för programmet. |
Åsidosätt målgruppsanspråk | Tillåter åsidosättande av målgruppsanspråket som skickas till programmet. Det angivna värdet måste vara en giltig absolut URI. Den här inställningen ignoreras om en anpassad signeringsnyckel inte har konfigurerats för programmet. |
Inkludera attributnamnformat | Om det väljs lägger Microsoft Entra-ID till ett attribut med namnet NameFormat som beskriver namnets format för begränsade, kärnanslutna och valfria anspråk för programmet. Mer information finns i Principtyp för anspråksmappning |