Typ zásad mapování deklarací identity

  • Článek

Objekt zásad představuje sadu pravidel vynucovaných pro jednotlivé aplikace nebo pro všechny aplikace v organizaci. Každý typ zásady má jedinečnou strukturu s sadou vlastností, které se pak použijí na objekty, ke kterým jsou přiřazeny.

Zásada mapování deklarací identity je typ objektu zásad, který upravuje deklarace identity zahrnuté v tokenech. Další informace najdete v tématu Přizpůsobení deklarací identity vydané v tokenu SAML pro podnikové aplikace.

Sady deklarací identity

Následující tabulka uvádí sady deklarací identity, které definují, jak a kdy se používají v tokenech.

Sada deklarací identity Popis
Základní sada deklarací identity Prezentovat v každém tokenu bez ohledu na zásadu. Tyto deklarace identity se také považují za omezené a není možné je upravit.
Základní sada deklarací identity Zahrnuje deklarace identity, které jsou ve výchozím nastavení součástí tokenů kromě základní sady deklarací identity. Základní deklarace identity můžete vynechat nebo upravit pomocí zásad mapování deklarací identity.
Omezená sada deklarací identity Nejde změnit pomocí zásady. Zdroj dat není možné změnit a při generování těchto deklarací identity se neprovádí žádná transformace.

Sada deklarací identity s omezeným tokenem JSON (JWT)

Následující deklarace identity jsou v sadě omezených deklarací identity pro JWT.

  • .
  • _claim_names
  • _claim_sources
  • aai
  • access_token
  • account_type
  • acct
  • acr
  • acrs
  • actor
  • actortoken
  • ageGroup
  • aio
  • altsecid
  • amr
  • app_chain
  • app_displayname
  • app_res
  • appctx
  • appctxsender
  • appid
  • appidacr
  • assertion
  • at_hash
  • aud
  • auth_data
  • auth_time
  • authorization_code
  • azp
  • azpacr
  • bk_claim
  • bk_enclave
  • bk_pub
  • brk_client_id
  • brk_redirect_uri
  • c_hash
  • ca_enf
  • ca_policy_result
  • capolids
  • capolids_latebind
  • cc
  • cert_token_use
  • child_client_id
  • child_redirect_uri
  • client_id
  • client_ip
  • cloud_graph_host_name
  • cloud_instance_host_name
  • cloud_instance_name
  • CloudAssignedMdmId
  • cnf
  • code
  • controls
  • controls_auds
  • credential_keys
  • csr
  • csr_type
  • ctry
  • deviceid
  • dns_names
  • domain_dns_name
  • domain_netbios_name
  • e_exp
  • email
  • endpoint
  • enfpolids
  • exp
  • expires_on
  • extn. as prefix
  • fido_auth_data
  • fido_ver
  • fwd
  • fwd_appidacr
  • grant_type
  • graph
  • group_sids
  • groups
  • hasgroups
  • hash_alg
  • haswids
  • home_oid
  • home_puid
  • home_tid
  • iat
  • identityprovider
  • idp
  • idtyp
  • in_corp
  • instance
  • inviteTicket
  • ipaddr
  • isbrowserhostedapp
  • iss
  • isViral
  • jwk
  • key_id
  • key_type
  • login_hint
  • mam_compliance_url
  • mam_enrollment_url
  • mam_terms_of_use_url
  • mdm_compliance_url
  • mdm_enrollment_url
  • mdm_terms_of_use_url
  • msgraph_host
  • msproxy
  • nameid
  • nbf
  • netbios_name
  • nickname
  • nonce
  • oid
  • on_prem_id
  • onprem_sam_account_name
  • onprem_sid
  • openid2_id
  • origin_header
  • password
  • platf
  • polids
  • pop_jwk
  • preferred_username
  • previous_refresh_token
  • primary_sid
  • prov_data
  • puid
  • pwd_exp
  • pwd_url
  • rdp_bt
  • redirect_uri
  • refresh_token
  • refresh_token_issued_on
  • refreshtoken
  • request_nonce
  • resource
  • rh
  • role
  • roles
  • rp_id
  • rt_type
  • scope
  • scp
  • secaud
  • sid
  • sid
  • signature
  • signin_state
  • source_anchor
  • src1
  • src2
  • sub
  • target_deviceid
  • tbid
  • tbidv2
  • tenant_ctry
  • tenant_display_name
  • tenant_id
  • tenant_region_scope
  • tenant_region_sub_scope
  • thumbnail_photo
  • tid
  • tokenAutologonEnabled
  • trustedfordelegation
  • ttr
  • unique_name
  • upn
  • user_agent
  • user_setting_sync_url
  • username
  • uti
  • ver
  • verified_primary_email
  • verified_secondary_email
  • vnet
  • vsm_binding_key
  • wamcompat_client_info
  • wamcompat_id_token
  • wamcompat_scopes
  • wids
  • win_ver
  • x5c_ca
  • xcb2b_rclient
  • xcb2b_rcloud
  • xcb2b_rtenant
  • ztdid

Poznámka:

Jakákoli deklarace identity, která xms_ začíná, je omezená.

Sada deklarací identity s omezeným přístupem SAML

Následující tabulka obsahuje seznam deklarací identity SAML, které jsou v omezené sadě deklarací identity.

Omezený typ deklarace identity (URI):

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
  • http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
  • http://schemas.microsoft.com/2014/03/psso
  • http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
  • http://schemas.microsoft.com/claims/authnmethodsreferences
  • http://schemas.microsoft.com/claims/groups.link
  • http://schemas.microsoft.com/identity/claims/accesstoken
  • http://schemas.microsoft.com/identity/claims/acct
  • http://schemas.microsoft.com/identity/claims/agegroup
  • http://schemas.microsoft.com/identity/claims/aio
  • http://schemas.microsoft.com/identity/claims/identityprovider
  • http://schemas.microsoft.com/identity/claims/objectidentifier
  • http://schemas.microsoft.com/identity/claims/openid2_id
  • http://schemas.microsoft.com/identity/claims/puid
  • http://schemas.microsoft.com/identity/claims/scope
  • http://schemas.microsoft.com/identity/claims/tenantid
  • http://schemas.microsoft.com/identity/claims/xms_et
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor

Tyto deklarace identity jsou ve výchozím nastavení omezené, ale nejsou omezené, pokud máte vlastní podpisový klíč. Vyhněte se nastavení acceptMappedClaims v manifestu aplikace.

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

Tyto deklarace identity jsou ve výchozím nastavení omezené, ale nejsou omezené, pokud máte vlastní podpisový klíč:

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Vlastnosti zásad mapování deklarací identity

Pokud chcete řídit deklarace identity, které jsou zahrnuté a odkud data pocházejí, použijte vlastnosti zásad mapování deklarací identity. Bez zásad systém vydává tokeny s následujícími deklaracemi identity:

  • Základní sada deklarací identity.
  • Základní sada deklarací identity.
  • Všechny volitelné deklarace identity , které aplikace zvolila k přijetí.

Poznámka:

Deklarace identity v základní sadě deklarací identity se nacházejí v každém tokenu bez ohledu na to, na co je tato vlastnost nastavena.

String Datový typ Shrnutí
IncludeBasicClaimSet Logická hodnota (pravda nebo nepravda) Určuje, jestli je základní sada deklarací zahrnuta do tokenů ovlivněných touto zásadou. Pokud je nastavená hodnota Pravda, všechny deklarace identity v základní sadě deklarací identity se v tokenech ovlivněných zásadou vygenerují. Pokud je nastavená hodnota False, deklarace identity v základní sadě deklarací nejsou v tokenech, pokud nejsou jednotlivě přidány do vlastnosti schématu deklarací identity stejné zásady.
ClaimsSchema Objekt blob JSON s jednou nebo více položkami schématu deklarací identity Definuje, které deklarace identity existují v tokenech ovlivněných zásadou, kromě základní sady deklarací identity a základní sady deklarací identity. Pro každou položku schématu deklarací identity definovanou v této vlastnosti se vyžadují určité informace. Určete, odkud data pocházejí (hodnota, dvojice Source/ID nebo Source/ExtensionID) a typ deklarace identity, který se vygeneruje jako (JWTClaimType nebo SamlClaimType).

Elementy položky schématu deklarací identity

  • Hodnota – definuje statickou hodnotu jako data, která se mají v deklaraci identity vygenerovat.
  • SAMLNameForm – Definuje hodnotu atributu NameFormat pro tuto deklaraci identity. Pokud jsou k dispozici, povolené hodnoty jsou:
    • urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    • urn:oasis:names:tc:SAML:2.0:attrname-format:basic
  • Pár source/ID – definuje, odkud jsou data v deklaraci identity zdrojová.
  • Dvojice Source/ExtensionID – definuje atribut rozšíření adresáře, ze kterého se zdrojují data v deklaraci identity. Další informace naleznete v tématu Použití atributů rozšíření adresáře v deklarací identity.
  • Typ deklarace identity – Elementy JwtClaimType a SamlClaimType definují, na kterou položku schématu deklarací identity odkazuje.
    • JwtClaimType musí obsahovat název deklarace identity, která se má v JWT vygenerovat.
    • SamlClaimType musí obsahovat identifikátor URI deklarace identity, který se má generovat v tokenech SAML.

Nastavte prvek Source na jednu z hodnot v následující tabulce.

Zdrojová hodnota Data v deklaraci identity
user Vlastnost objektu User.
application Vlastnost instančního objektu aplikace (klienta).
resource Vlastnost instančního objektu prostředku
audience Vlastnost instančního objektu, který je cílovou skupinou tokenu (klienta nebo instančního objektu prostředku).
company Vlastnost objektu Společnosti tenanta prostředku.
transformation Transformace deklarací identity Při použití této deklarace identity musí být element TransformationID zahrnut do definice deklarace identity. Element TransformationID se musí shodovat s elementem ID položky transformace v ClaimsTransformation vlastnost, která definuje, jak se data deklarace identity vygenerují.

Prvek ID identifikuje vlastnost ve zdroji, která poskytuje hodnotu deklarace identity. Následující tabulka uvádí hodnoty prvku ID pro každou hodnotu Source.

Source ID Popis
user surname Jméno rodiny uživatele.
user givenname Křestní jméno uživatele
user displayname Zobrazované jméno uživatele.
user objectid ID objektu uživatele.
user mail E-mailová adresa uživatele
user userprincipalname Hlavní název uživatele
user department Oddělení uživatele.
user onpremisessamaccountname Název místního účtu SAM uživatele.
user netbiosname Název netBios uživatele.
user dnsdomainname Název domény DNS uživatele.
user onpremisesecurityidentifier Identifikátor místního zabezpečení uživatele.
user companyname Název organizace uživatele.
user streetaddress Adresa uživatele.
user postalcode PSČ uživatele.
user preferredlanguage Upřednostňovaný jazyk uživatele.
user onpremisesuserprincipalname Místní hlavní název uživatele (UPN) Pokud použijete alternativní ID, místní atribut userPrincipalName se synchronizuje s atributem onPremisesUserPrincipalName . Tento atribut je k dispozici pouze v případě, že je nakonfigurované alternativní ID.
user mailnickname Přezdívka uživatele.
user extensionattribute1 Atribut rozšíření 1.
user extensionattribute2 Atribut rozšíření 2.
user extensionattribute3 Atribut rozšíření 3.
user extensionattribute4 Atribut rozšíření 4.
user extensionattribute5 Atribut rozšíření 5.
user extensionattribute6 Atribut rozšíření 6.
user extensionattribute7 Atribut rozšíření 7.
user extensionattribute8 Atribut rozšíření 8.
user extensionattribute9 Atribut rozšíření 9.
user extensionattribute10 Atribut rozšíření 10.
user extensionattribute11 Atribut rozšíření 11.
user extensionattribute12 Atribut rozšíření 12.
user extensionattribute13 Atribut rozšíření 13.
user extensionattribute14 Atribut rozšíření 14.
user extensionattribute15 Atribut rozšíření 15.
user othermail Druhá pošta uživatele.
user country Země/oblast uživatele.
user city Město uživatele.
user state Stát uživatele.
user jobtitle Pracovní pozice uživatele.
user employeeid ID zaměstnance uživatele.
user facsimiletelephonenumber Telefonní číslo uživatele facsimile.
user assignedroles Seznam rolí aplikací přiřazených uživateli
user accountEnabled Určuje, jestli je uživatelský účet povolený.
user consentprovidedforminor Určuje, jestli byl udělen souhlas pro podverzi.
user createddatetime Datum a čas vytvoření uživatelského účtu.
user creationtype Určuje, jak byl uživatelský účet vytvořený.
user lastpasswordchangedatetime Datum a čas poslední změny hesla.
user mobilephone Mobilní telefon uživatele.
user officelocation Umístění kanceláře uživatele.
user onpremisesdomainname Místní název domény uživatele.
user onpremisesimmutableid Místní neměnné ID uživatele.
user onpremisessyncenabled Určuje, jestli je povolená místní synchronizace.
user preferreddatalocation Definuje upřednostňované umístění dat uživatele.
user proxyaddresses Proxy adresy uživatele.
user usertype Typ uživatelského účtu.
user telephonenumber Firemní nebo kancelářské telefony uživatele.
application, resource, audience displayname Zobrazovaný název objektu.
application, resource, audience objectid ID objektu.
application, resource, audience tags Značka instančního objektu.
company tenantcountry Země/oblast tenanta.

Jedinými dostupnými vícehodnotovými zdroji deklarací identity u objektu uživatele jsou atributy rozšíření s více hodnotami, které byly synchronizovány ze služby Active Directory Připojení. Jiné vlastnosti, například othermails a tags, jsou vícehodnotové, ale při výběru jako zdroje se vygenerují pouze jedna hodnota.

Názvy a identifikátory URI deklarací identity v omezené sadě deklarací identity nelze použít pro elementy typu deklarace identity.

Filtr skupiny

  • Řetězec – GroupFilter
  • Datový typ: – objekt blob JSON
  • Souhrn – Tato vlastnost slouží k použití filtru skupin uživatele, který se má zahrnout do deklarace identity skupiny. Tato vlastnost může být užitečný způsob zmenšení velikosti tokenu.
  • MatchOn: – Identifikuje atribut skupiny, u kterého se má filtr použít. Nastavte vlastnost MatchOn na jednu z následujících hodnot:
    • displayname - Zobrazovaný název skupiny.
    • samaccountname – Název místního účtu SAM.
  • Typ – Definuje typ filtru použitého u atributu vybraného vlastností MatchOn . Nastavte vlastnost Type na jednu z následujících hodnot:
    • prefix – Zahrňte skupiny, kde vlastnost MatchOn začíná zadanou vlastností Value .
    • suffix Zahrňte skupiny, kde vlastnost MatchOn končí zadanou vlastností Value .
    • contains – Zahrňte skupiny, ve kterých vlastnost MatchOn obsahuje zadanou vlastnost Value .

Transformace deklarací identity

  • String – ClaimsTransformation
  • Datový typ – objekt blob JSON s jednou nebo více položkami transformace
  • Souhrn – Tato vlastnost slouží k použití běžných transformací na zdrojová data pro generování výstupních dat pro deklarace identity zadané ve schématu deklarací.
  • ID – Odkazuje na položku transformace v položce schématu deklarací identity TransformationID. Tato hodnota musí být jedinečná pro každou položku transformace v rámci této zásady.
  • TransformationMethod – identifikuje operaci, která se provádí za účelem vygenerování dat pro deklaraci identity.

Na základě zvolené metody se očekává sada vstupů a výstupů. Definujte vstupy a výstupy pomocí elementů InputClaims, InputParameters a OutputClaims .

TransformaceMethod Očekávaný vstup Očekávaný výstup Popis
Join (Spojení) string1, string2, oddělovač výstupní deklarace identity Spojí vstupní řetězce pomocí oddělovače mezi. Například řetězec1:foo@bar.com , řetězec2:sandbox , oddělovač:. výsledky ve výstupní deklaraci identity:foo@bar.com.sandbox.
ExtractMailPrefix E-mail nebo hlavní názvu uživatele (UPN) extrahovaný řetězec Atributy rozšíření 1–15 nebo jakékoli jiné přípony adresáře, které ukládají hodnotu hlavního názvu uživatele (UPN) nebo e-mailové adresy pro uživatele. Například johndoe@contoso.com. Extrahuje místní část e-mailové adresy. Například pošta:foo@bar.com výsledkem je výstupní deklarace identity:foo. Pokud není k dispozici znak @, vrátí se původní vstupní řetězec.
ToLowercase() string výstupní řetězec Převede znaky vybraného atributu na malá písmena.
ToUppercase() string výstupní řetězec Převede znaky vybraného atributu na velká písmena.
RegexReplace() Transformace RegexReplace() přijímá jako vstupní parametry:
- Parametr 1: atribut uživatele jako vstup regulárního výrazu
– Možnost důvěřovat zdroji jako vícehodnotové
- Vzor regulárních výrazů
- Náhradní vzor. Náhradní vzor může obsahovat statický textový formát spolu s odkazem, který odkazuje na výstupní skupiny regulárních výrazů a další vstupní parametry.
  • InputClaims – slouží k předání dat z položky schématu deklarací do transformace. Má tři atributy: ClaimTypeReferenceId, TransformationClaimType a TreatAsMultiValue.
    • ClaimTypeReferenceId – připojeno k elementu ID položky schématu deklarací identity k vyhledání příslušné vstupní deklarace identity.
    • TransformationClaimType dává tomuto vstupu jedinečný název. Tento název musí odpovídat jednomu z očekávaných vstupů pro metodu transformace.
    • TreatAsMultiValue je logický příznak, který označuje, jestli má být transformace použita pro všechny hodnoty, nebo pouze první. Ve výchozím nastavení se transformace použijí pouze na první prvek deklarace identity s více hodnotami. Nastavením této hodnoty na true zajistíte, že se použije u všech. ProxyAddresses a skupiny jsou dvěma příklady vstupních deklarací identity, které byste pravděpodobně chtěli považovat za deklarace identity s více hodnotami.
  • InputParameters – Předává konstantní hodnotu do transformace. Má dva atributy: Hodnota a ID.
    • Hodnota je skutečná konstantní hodnota, která se má předat.
    • ID se používá k zadání jedinečného názvu. Název musí odpovídat jednomu z očekávaných vstupů pro metodu transformace.
  • OutputClaims – Uchovává data vygenerovaná transformací a přidruží je k položce schématu deklarace identity. Má dva atributy: ClaimTypeReferenceId a TransformationClaimType.
    • Deklarace IdentityTypeReferenceId je připojena k ID položky schématu deklarací identity, aby se našla příslušná výstupní deklarace identity.
    • TransformationClaimType slouží k poskytnutí jedinečného názvu výstupu. Název musí odpovídat jednomu z očekávaných výstupů pro metodu transformace.

Výjimky a omezení

SAML NameID a UPN – atributy, ze kterých vytváříte hodnoty NameID a UPN, a transformace deklarací identity, které jsou povoleny, jsou omezené.

Source ID Popis
user mail E-mailová adresa uživatele
user userprincipalname Hlavní název uživatele
user onpremisessamaccountname Název místního účtu Sam
user employeeid ID zaměstnance uživatele.
user telephonenumber Firemní nebo kancelářské telefony uživatele.
user extensionattribute1 Atribut rozšíření 1.
user extensionattribute2 Atribut rozšíření 2.
user extensionattribute3 Atribut rozšíření 3.
user extensionattribute4 Atribut rozšíření 4.
user extensionattribute5 Atribut rozšíření 5.
user extensionattribute6 Atribut rozšíření 6.
user extensionattribute7 Atribut rozšíření 7.
user extensionattribute8 Atribut rozšíření 8.
user extensionattribute9 Atribut rozšíření 9.
user extensionattribute10 Atribut rozšíření 10.
user extensionattribute11 Atribut rozšíření 11.
user extensionattribute12 Atribut rozšíření 12.
user extensionattribute13 Atribut rozšíření 13.
user extensionattribute14 Atribut rozšíření 14.
User extensionattribute15 Atribut rozšíření 15.

Metody transformace uvedené v následující tabulce jsou povolené pro SAML NameID.

TransformaceMethod Omezení
ExtractMailPrefix Nic
Připojení Přípona, která se připojuje, musí být ověřenou doménou tenanta prostředku.

Vystavitel s ID aplikace

  • String – issuerWithApplicationId
  • Datový typ – logická hodnota (pravda nebo nepravda)
    • Pokud je nastavená hodnota True, ID aplikace se přidá do deklarace vystavitele v tokenech ovlivněných zásadou.
    • Pokud je nastavená hodnota False, ID aplikace se nepřidá do deklarace vystavitele v tokenech ovlivněných zásadou. (výchozí)
  • Souhrn – Umožňuje zahrnutí ID aplikace do deklarace vystavitele. Zajišťuje, že pro každou instanci má více instancí stejné aplikace jedinečnou hodnotu deklarace identity. Toto nastavení se ignoruje, pokud pro aplikaci není nakonfigurovaný vlastní podpisový klíč.

Přepsání cílové skupiny

  • Řetězec – audienceOverride
  • Datový typ – řetězec
  • Shrnutí – Umožňuje přepsat deklaraci identity cílové skupiny odeslané do aplikace. Zadaná hodnota musí být platným absolutním identifikátorem URI. Toto nastavení se ignoruje, pokud pro aplikaci není nakonfigurovaný žádný vlastní podpisový klíč.

Další kroky

  • Další informace oatributch