Sdílet prostřednictvím

Přizpůsobení deklarací identity pomocí zásad

  • Článek

Objekt zásad představuje sadu pravidel vynucovaných pro jednotlivé aplikace nebo pro všechny aplikace v organizaci. Každý typ zásady má jedinečnou strukturu s sadou vlastností, které se pak použijí na objekty, ke kterým jsou přiřazeny.

Microsoft Entra ID podporuje dva způsoby přizpůsobení deklarací identity pomocí Microsoft Graphu nebo PowerShellu pro vaše aplikace:

Vlastní zásady deklarací identity a zásady mapování deklarací identity jsou dva různé typy objektů zásad, které upravují deklarace identity zahrnuté v tokenech.

Vlastní zásady deklarací identity (Preview) umožňují správcům přizpůsobit další deklarace identity pro své aplikace. Dá se použít zaměnitelně s přizpůsobením deklarací, které nabízí Centrum pro správu Microsoft Entra, což správcům umožňuje spravovat deklarace identity prostřednictvím Centra pro správu Microsoft Entra nebo MS Graphu nebo PowerShellu. Vlastní zásady deklarací identity i přizpůsobení deklarací identity nabízené prostřednictvím Centra pro správu Microsoft Entra používají stejnou základní zásadu ke konfiguraci dalších deklarací identity pro instanční objekty. Správci ale můžou nakonfigurovat jenom jednu vlastní zásadu deklarací identity (Preview) na jeden instanční objekt. Tato PUT metoda umožňuje správcům vytvořit nebo nahradit existující objekt zásady hodnotami předanými v textu požadavku, zatímco PATCH metoda umožňuje správcům aktualizovat objekt zásady hodnotami, které se předávají v textu požadavku. Tady se dozvíte , jak nakonfigurovat a spravovat další deklarace identity pomocí vlastních zásad deklarací identity.

Zásady mapování deklarací identity také umožňují správcům přizpůsobit další deklarace identity pro své aplikace. Správci můžou nakonfigurovat jednu zásadu mapování deklarací identity a přiřadit ji více aplikacím ve svém tenantovi. Pokud se správce rozhodne použít zásady mapování deklarací identit ke správě dalších deklarací identity pro své aplikace, nebudou moct tyto deklarace identity upravovat ani aktualizovat v okně přizpůsobení deklarací identity v Centru pro správu Microsoft Entra pro tyto aplikace. Tady se dozvíte , jak nakonfigurovat a spravovat další deklarace identity pomocí zásad mapování deklarací identity.

Poznámka:

Zásady mapování deklarací identity nahrazují jak vlastní zásady deklarací identity, tak i vlastní nastavení deklarací, které nabízí centrum pro správu Microsoft Entra. Přizpůsobení deklarací identity pro aplikaci pomocí zásad mapování deklarací identity znamená, že tokeny vydané pro danou aplikaci budou ignorovat konfiguraci ve vlastních zásadách deklarací identity nebo konfiguraci v okně přizpůsobení deklarací identity v Centru pro správu Microsoft Entra. Další informace o přizpůsobení deklarací identity najdete v tématu Přizpůsobení deklarací identity vydaných v tokenu pro podnikové aplikace.

Sady deklarací identity

Následující tabulka uvádí sady deklarací identity, které definují, jak a kdy se používají v tokenech.

Sada deklarací identity Popis
Základní sada deklarací identity Prezentovat v každém tokenu bez ohledu na zásadu. Tyto deklarace identity se také považují za omezené a není možné je upravit.
Základní sada deklarací identity Zahrnuje deklarace identity, které jsou ve výchozím nastavení součástí tokenů kromě základní sady deklarací identity. Základní deklarace identity můžete vynechat nebo upravit pomocí vlastních zásad deklarací identity a zásad mapování deklarací.
Omezená sada deklarací identity Nejde změnit pomocí zásady. Zdroj dat není možné změnit a při generování těchto deklarací identity se neprovádí žádná transformace.

Sada deklarací identity s omezeným tokenem JSON (JWT)

Následující deklarace identity jsou v sadě omezených deklarací identity pro JWT.

  • .
  • _claim_names
  • _claim_sources
  • aai
  • access_token
  • account_type
  • acct
  • acr
  • acrs
  • actor
  • actortoken
  • ageGroup
  • aio
  • altsecid
  • amr
  • app_chain
  • app_displayname
  • app_res
  • appctx
  • appctxsender
  • appid
  • appidacr
  • assertion
  • at_hash
  • aud
  • auth_data
  • auth_time
  • authorization_code
  • azp
  • azpacr
  • bk_claim
  • bk_enclave
  • bk_pub
  • brk_client_id
  • brk_redirect_uri
  • c_hash
  • ca_enf
  • ca_policy_result
  • capolids
  • capolids_latebind
  • cc
  • cert_token_use
  • child_client_id
  • child_redirect_uri
  • client_id
  • client_ip
  • cloud_graph_host_name
  • cloud_instance_host_name
  • cloud_instance_name
  • CloudAssignedMdmId
  • cnf
  • code
  • controls
  • controls_auds
  • credential_keys
  • csr
  • csr_type
  • ctry
  • deviceid
  • dns_names
  • domain_dns_name
  • domain_netbios_name
  • e_exp
  • email
  • endpoint
  • enfpolids
  • exp
  • expires_on
  • extn. as prefix
  • fido_auth_data
  • fido_ver
  • fwd
  • fwd_appidacr
  • grant_type
  • graph
  • group_sids
  • groups
  • hasgroups
  • hash_alg
  • haswids
  • home_oid
  • home_puid
  • home_tid
  • iat
  • identityprovider
  • idp
  • idtyp
  • in_corp
  • instance
  • inviteTicket
  • ipaddr
  • isbrowserhostedapp
  • iss
  • isViral
  • jwk
  • key_id
  • key_type
  • login_hint
  • mam_compliance_url
  • mam_enrollment_url
  • mam_terms_of_use_url
  • mdm_compliance_url
  • mdm_enrollment_url
  • mdm_terms_of_use_url
  • msgraph_host
  • msproxy
  • nameid
  • nbf
  • netbios_name
  • nickname
  • nonce
  • oid
  • on_prem_id
  • onprem_sam_account_name
  • onprem_sid
  • openid2_id
  • origin_header
  • password
  • platf
  • polids
  • pop_jwk
  • preferred_username
  • previous_refresh_token
  • primary_sid
  • prov_data
  • puid
  • pwd_exp
  • pwd_url
  • rdp_bt
  • redirect_uri
  • refresh_token
  • refresh_token_issued_on
  • refreshtoken
  • request_nonce
  • resource
  • rh
  • role
  • roles
  • rp_id
  • rt_type
  • scope
  • scp
  • secaud
  • sid
  • sid
  • signature
  • signin_state
  • source_anchor
  • src1
  • src2
  • sub
  • target_deviceid
  • tbid
  • tbidv2
  • tenant_ctry
  • tenant_display_name
  • tenant_id
  • tenant_region_scope
  • tenant_region_sub_scope
  • thumbnail_photo
  • tid
  • tokenAutologonEnabled
  • trustedfordelegation
  • ttr
  • unique_name
  • upn
  • user_agent
  • user_setting_sync_url
  • username
  • uti
  • ver
  • verified_primary_email
  • verified_secondary_email
  • vnet
  • vsm_binding_key
  • wamcompat_client_info
  • wamcompat_id_token
  • wamcompat_scopes
  • wids
  • win_ver
  • x5c_ca
  • xcb2b_rclient
  • xcb2b_rcloud
  • xcb2b_rtenant
  • ztdid

Poznámka:

Jakákoli deklarace identity, která xms_ začíná, je omezená.

Sada deklarací identity s omezeným přístupem SAML

Následující tabulka obsahuje seznam deklarací identity SAML, které jsou v omezené sadě deklarací identity.

Omezený typ deklarace identity (URI):

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
  • http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
  • http://schemas.microsoft.com/2014/03/psso
  • http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
  • http://schemas.microsoft.com/claims/authnmethodsreferences
  • http://schemas.microsoft.com/claims/groups.link
  • http://schemas.microsoft.com/identity/claims/accesstoken
  • http://schemas.microsoft.com/identity/claims/acct
  • http://schemas.microsoft.com/identity/claims/agegroup
  • http://schemas.microsoft.com/identity/claims/aio
  • http://schemas.microsoft.com/identity/claims/identityprovider
  • http://schemas.microsoft.com/identity/claims/objectidentifier
  • http://schemas.microsoft.com/identity/claims/openid2_id
  • http://schemas.microsoft.com/identity/claims/puid
  • http://schemas.microsoft.com/identity/claims/scope
  • http://schemas.microsoft.com/identity/claims/tenantid
  • http://schemas.microsoft.com/identity/claims/xms_et
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor

Tyto deklarace identity jsou ve výchozím nastavení omezené, ale nejsou omezené, pokud máte vlastní podpisový klíč. Vyhněte se nastavení acceptMappedClaims v manifestu aplikace.

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

Tyto deklarace identity jsou ve výchozím nastavení omezené, ale nejsou omezené, pokud máte vlastní podpisový klíč:

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Vlastnosti zásady použité pro přizpůsobení deklarací identity

Pokud chcete řídit deklarace identity, které jsou zahrnuté a odkud data pocházejí, použijte vlastnosti zásad pro přizpůsobení deklarací identity. Bez zásad systém vydává tokeny s následujícími deklaracemi identity:

  • Základní sada deklarací identity.
  • Základní sada deklarací identity.
  • Všechny volitelné deklarace identity , které aplikace zvolila k přijetí.

Poznámka:

Deklarace identity v základní sadě deklarací identity se nacházejí v každém tokenu bez ohledu na to, na co je tato vlastnost nastavena.

String Datový typ Shrnutí
IncludeBasicClaimSet Logická hodnota (pravda nebo nepravda) Určuje, jestli je základní sada deklarací zahrnuta do tokenů ovlivněných touto zásadou. Pokud je nastavená hodnota Pravda, všechny deklarace identity v základní sadě deklarací identity se v tokenech ovlivněných zásadou vygenerují. Pokud je nastavená hodnota False, deklarace identity v základní sadě deklarací nejsou v tokenech, pokud nejsou jednotlivě přidány do vlastnosti schématu deklarací identity stejné zásady.
ClaimsSchema Objekt blob JSON s jednou nebo více položkami schématu deklarací identity Definuje, které deklarace identity existují v tokenech ovlivněných zásadou, kromě základní sady deklarací identity a základní sady deklarací identity. Pro každou položku schématu deklarací identity definovanou v této vlastnosti se vyžadují určité informace. Určete, odkud data pocházejí (hodnota, dvojice Source/ID nebo Source/ExtensionID) a typ deklarace identity, který se vygeneruje jako (JWTClaimType nebo SamlClaimType).

Elementy položky schématu deklarací identity

  • Hodnota – definuje statickou hodnotu jako data, která se mají v deklaraci identity vygenerovat.
  • SAMLNameForm – Definuje hodnotu atributu NameFormat pro tuto deklaraci identity. Pokud jsou k dispozici, povolené hodnoty jsou:
    • urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    • urn:oasis:names:tc:SAML:2.0:attrname-format:basic
  • Pár source/ID – definuje, odkud jsou data v deklaraci identity zdrojová.
  • Dvojice Source/ExtensionID – definuje atribut rozšíření adresáře, ze kterého se zdrojují data v deklaraci identity. Další informace naleznete v tématu Použití atributů rozšíření adresáře v deklarací identity.
  • Typ deklarace identity – Elementy JwtClaimType a SamlClaimType definují, na kterou položku schématu deklarací identity odkazuje.
    • JwtClaimType musí obsahovat název deklarace identity, která se má v JWT vygenerovat.
    • SamlClaimType musí obsahovat identifikátor URI deklarace identity, který se má generovat v tokenech SAML.

Nastavte prvek Source na jednu z hodnot v následující tabulce.

Zdrojová hodnota Data v deklaraci identity
user Vlastnost objektu User.
application Vlastnost instančního objektu aplikace (klienta).
resource Vlastnost instančního objektu prostředku
audience Vlastnost instančního objektu, který je cílovou skupinou tokenu (klienta nebo instančního objektu prostředku).
company Vlastnost objektu Společnosti tenanta prostředku.
transformation Transformace deklarací identity Při použití této deklarace identity musí být element TransformationID zahrnut do definice deklarace identity. Element TransformationID se musí shodovat s elementem ID položky transformace v ClaimsTransformation vlastnost, která definuje, jak se data deklarace identity vygenerují.

Prvek ID identifikuje vlastnost ve zdroji, která poskytuje hodnotu deklarace identity. Následující tabulka uvádí hodnoty prvku ID pro každou hodnotu Source.

Zdroj ID Popis
user surname Jméno rodiny uživatele.
user givenname Křestní jméno uživatele
user displayname Zobrazované jméno uživatele.
user objectid ID objektu uživatele.
user mail E-mailová adresa uživatele
user userprincipalname Hlavní název uživatele
user department Oddělení uživatele.
user onpremisessamaccountname Název místního účtu SAM uživatele.
user netbiosname Název netBios uživatele.
user dnsdomainname Název domény DNS uživatele.
user onpremisesecurityidentifier Identifikátor místního zabezpečení uživatele.
user companyname Název organizace uživatele.
user streetaddress Adresa uživatele.
user postalcode PSČ uživatele.
user preferredlanguage Upřednostňovaný jazyk uživatele.
user onpremisesuserprincipalname Místní hlavní název uživatele (UPN) Pokud použijete alternativní ID, místní atribut userPrincipalName se synchronizuje s atributem onPremisesUserPrincipalName . Tento atribut je k dispozici pouze v případě, že je nakonfigurované alternativní ID.
user mailnickname Přezdívka uživatele.
user extensionattribute1 Atribut rozšíření 1.
user extensionattribute2 Atribut rozšíření 2.
user extensionattribute3 Atribut rozšíření 3.
user extensionattribute4 Atribut rozšíření 4.
user extensionattribute5 Atribut rozšíření 5.
user extensionattribute6 Atribut rozšíření 6.
user extensionattribute7 Atribut rozšíření 7.
user extensionattribute8 Atribut rozšíření 8.
user extensionattribute9 Atribut rozšíření 9.
user extensionattribute10 Atribut rozšíření 10.
user extensionattribute11 Atribut rozšíření 11.
user extensionattribute12 Atribut rozšíření 12.
user extensionattribute13 Atribut rozšíření 13.
user extensionattribute14 Atribut rozšíření 14.
user extensionattribute15 Atribut rozšíření 15.
user othermail Druhá pošta uživatele.
user country Země/oblast uživatele.
user city Město uživatele.
user state Stát uživatele.
user jobtitle Pracovní pozice uživatele.
user employeeid ID zaměstnance uživatele.
user facsimiletelephonenumber Telefonní číslo uživatele facsimile.
user assignedroles Seznam rolí aplikací přiřazených uživateli
user accountEnabled Určuje, jestli je uživatelský účet povolený.
user consentprovidedforminor Určuje, jestli byl udělen souhlas pro podverzi.
user createddatetime Datum a čas vytvoření uživatelského účtu.
user creationtype Určuje, jak byl uživatelský účet vytvořený.
user lastpasswordchangedatetime Datum a čas poslední změny hesla.
user mobilephone Mobilní telefon uživatele.
user officelocation Umístění kanceláře uživatele.
user onpremisesdomainname Místní název domény uživatele.
user onpremisesimmutableid Místní neměnné ID uživatele.
user onpremisessyncenabled Určuje, jestli je povolená místní synchronizace.
user preferreddatalocation Definuje upřednostňované umístění dat uživatele.
user proxyaddresses Proxy adresy uživatele.
user usertype Typ uživatelského účtu.
user telephonenumber Firemní nebo kancelářské telefony uživatele.
application, , resourceaudience displayname Zobrazovaný název objektu.
application, , resourceaudience objectid ID objektu.
application, , resourceaudience tags Značka instančního objektu.
company tenantcountry Země/oblast tenanta.

Jedinými dostupnými vícehodnotovými zdroji deklarací identity u objektu uživatele jsou atributy rozšíření s více hodnotami, které byly synchronizovány ze služby Active Directory Connect. Jiné vlastnosti, například othermails a tags, jsou vícehodnotové, ale při výběru jako zdroje se vygenerují pouze jedna hodnota.

Názvy a identifikátory URI deklarací identity v omezené sadě deklarací identity nelze použít pro elementy typu deklarace identity.

Filtr skupiny

  • Řetězec – GroupFilter
  • Datový typ: – objekt blob JSON
  • Souhrn – Tato vlastnost slouží k použití filtru skupin uživatele, který se má zahrnout do deklarace identity skupiny. Tato vlastnost může být užitečný způsob zmenšení velikosti tokenu.
  • MatchOn: – Identifikuje atribut skupiny, u kterého se má filtr použít. Nastavte vlastnost MatchOn na jednu z následujících hodnot:
    • displayname - Zobrazovaný název skupiny.
    • samaccountname – Název místního účtu SAM.
  • Typ – Definuje typ filtru použitého u atributu vybraného vlastností MatchOn . Nastavte vlastnost Type na jednu z následujících hodnot:
    • prefix – Zahrňte skupiny, kde vlastnost MatchOn začíná zadanou vlastností Value .
    • suffix Zahrňte skupiny, kde vlastnost MatchOn končí zadanou vlastností Value .
    • contains – Zahrňte skupiny, ve kterých vlastnost MatchOn obsahuje zadanou vlastnost Value .

Transformace deklarací identity

  • String – ClaimsTransformation
  • Datový typ – objekt blob JSON s jednou nebo více položkami transformace
  • Souhrn – Tato vlastnost slouží k použití běžných transformací na zdrojová data pro generování výstupních dat pro deklarace identity zadané ve schématu deklarací.
  • ID – Odkazuje na položku transformace v položce schématu deklarací identity TransformationID. Tato hodnota musí být jedinečná pro každou položku transformace v rámci této zásady.
  • TransformationMethod – identifikuje operaci, která se provádí za účelem vygenerování dat pro deklaraci identity.

Na základě zvolené metody se očekává sada vstupů a výstupů. Definujte vstupy a výstupy pomocí elementů InputClaims, InputParameters a OutputClaims .

TransformaceMethod Očekávaný vstup Očekávaný výstup Popis
Join (Spojení) string1, string2, oddělovač výstupní deklarace identity Spojí vstupní řetězce pomocí oddělovače mezi. Například řetězec1:foo@bar.com , řetězec2:sandbox , oddělovač:. výsledky ve výstupní deklaraci identity:foo@bar.com.sandbox.
ExtractMailPrefix E-mail nebo hlavní názvu uživatele (UPN) extrahovaný řetězec Atributy rozšíření 1–15 nebo jakékoli jiné přípony adresáře, které ukládají hodnotu hlavního názvu uživatele (UPN) nebo e-mailové adresy pro uživatele. Například johndoe@contoso.com. Extrahuje místní část e-mailové adresy. Například pošta:foo@bar.com výsledkem je výstupní deklarace identity:foo. Pokud není k dispozici znak @, vrátí se původní vstupní řetězec.
ToLowercase() string výstupní řetězec Převede znaky vybraného atributu na malá písmena.
ToUppercase() string výstupní řetězec Převede znaky vybraného atributu na velká písmena.
RegexReplace() Transformace RegexReplace() přijímá jako vstupní parametry:
- Parametr 1: atribut uživatele jako vstup regulárního výrazu
– Možnost důvěřovat zdroji jako vícehodnotové
- Vzor regulárních výrazů
- Náhradní vzor. Náhradní vzor může obsahovat statický textový formát spolu s odkazem, který odkazuje na výstupní skupiny regulárních výrazů a další vstupní parametry.
  • InputClaims – slouží k předání dat z položky schématu deklarací do transformace. Má tři atributy: ClaimTypeReferenceId, TransformationClaimType a TreatAsMultiValue.
    • ClaimTypeReferenceId – připojeno k elementu ID položky schématu deklarací identity k vyhledání příslušné vstupní deklarace identity.
    • TransformationClaimType dává tomuto vstupu jedinečný název. Tento název musí odpovídat jednomu z očekávaných vstupů pro metodu transformace.
    • TreatAsMultiValue je logický příznak, který označuje, jestli má být transformace použita pro všechny hodnoty, nebo pouze první. Ve výchozím nastavení se transformace použijí pouze na první prvek deklarace identity s více hodnotami. Nastavením této hodnoty na true zajistíte, že se použije u všech. ProxyAddresses a skupiny jsou dvěma příklady vstupních deklarací identity, které byste pravděpodobně chtěli považovat za deklarace identity s více hodnotami.
  • InputParameters – Předává konstantní hodnotu do transformace. Má dva atributy: Hodnota a ID.
    • Hodnota je skutečná konstantní hodnota, která se má předat.
    • ID se používá k zadání jedinečného názvu. Název musí odpovídat jednomu z očekávaných vstupů pro metodu transformace.
  • OutputClaims – Uchovává data vygenerovaná transformací a přidruží je k položce schématu deklarace identity. Má dva atributy: ClaimTypeReferenceId a TransformationClaimType.
    • Deklarace IdentityTypeReferenceId je připojena k ID položky schématu deklarací identity, aby se našla příslušná výstupní deklarace identity.
    • TransformationClaimType slouží k poskytnutí jedinečného názvu výstupu. Název musí odpovídat jednomu z očekávaných výstupů pro metodu transformace.

Výjimky a omezení

SAML NameID a UPN – atributy, ze kterých vytváříte hodnoty NameID a UPN, a transformace deklarací identity, které jsou povoleny, jsou omezené.

Zdroj ID Popis
user mail E-mailová adresa uživatele
user userprincipalname Hlavní název uživatele
user onpremisessamaccountname Název místního účtu Sam
user employeeid ID zaměstnance uživatele.
user telephonenumber Firemní nebo kancelářské telefony uživatele.
user extensionattribute1 Atribut rozšíření 1.
user extensionattribute2 Atribut rozšíření 2.
user extensionattribute3 Atribut rozšíření 3.
user extensionattribute4 Atribut rozšíření 4.
user extensionattribute5 Atribut rozšíření 5.
user extensionattribute6 Atribut rozšíření 6.
user extensionattribute7 Atribut rozšíření 7.
user extensionattribute8 Atribut rozšíření 8.
user extensionattribute9 Atribut rozšíření 9.
user extensionattribute10 Atribut rozšíření 10.
user extensionattribute11 Atribut rozšíření 11.
user extensionattribute12 Atribut rozšíření 12.
user extensionattribute13 Atribut rozšíření 13.
user extensionattribute14 Atribut rozšíření 14.
User extensionattribute15 Atribut rozšíření 15.

Metody transformace uvedené v následující tabulce jsou povolené pro SAML NameID.

TransformaceMethod Omezení
ExtractMailPrefix Nic
Join (Spojení) Přípona, která se připojuje, musí být ověřenou doménou tenanta prostředku.

Vystavitel s ID aplikace

  • String – issuerWithApplicationId
  • Datový typ – logická hodnota (pravda nebo nepravda)
    • Pokud je nastavená hodnota True, ID aplikace se přidá do deklarace vystavitele v tokenech ovlivněných zásadou.
    • Pokud je nastavená hodnota False, ID aplikace se nepřidá do deklarace vystavitele v tokenech ovlivněných zásadou. (výchozí)
  • Souhrn – Umožňuje zahrnutí ID aplikace do deklarace vystavitele. Zajišťuje, že pro každou instanci má více instancí stejné aplikace jedinečnou hodnotu deklarace identity. Toto nastavení se ignoruje, pokud pro aplikaci není nakonfigurovaný vlastní podpisový klíč.

Přepsání cílové skupiny

  • Řetězec – audienceOverride
  • Datový typ – řetězec
  • Shrnutí – Umožňuje přepsat deklaraci identity cílové skupiny odeslané do aplikace. Zadaná hodnota musí být platným absolutním identifikátorem URI. Toto nastavení se ignoruje, pokud pro aplikaci není nakonfigurovaný žádný vlastní podpisový klíč.

Další kroky

  • Další informace oatributch