Personalización de notificaciones mediante una directiva
Un objeto de directiva representa un conjunto de reglas que se imponen en algunas o todas las aplicaciones de una organización. Cada tipo de directiva tiene una estructura única con un conjunto de propiedades que luego se aplican a los objetos a los que están asignadas.
Microsoft Entra ID admite dos maneras de personalizar las notificaciones mediante Microsoft Graph o PowerShell para las aplicaciones:
- Uso de la directiva de notificaciones personalizadas (versión preliminar)
- Uso de la directiva de asignación de notificaciones
La directiva de notificaciones personalizadas y la directiva de asignación de notificaciones son dos tipos diferentes de objetos de directiva que modifican las notificaciones incluidas en los tokens.
La directiva de notificaciones personalizadas (versión preliminar) permite a los administradores personalizar notificaciones adicionales para sus aplicaciones. Se puede usar indistintamente con la personalización de notificaciones que se ofrece a través del Centro de administración de Microsoft Entra, lo que permite a los administradores administrar notificaciones a través del Centro de administración de Microsoft Entra o MS Graph o PowerShell. Tanto la directiva de notificaciones personalizadas como la personalización de notificaciones ofrecidas a través del Centro de administración de Microsoft Entra usan la misma directiva subyacente para configurar notificaciones adicionales para las entidades de servicio. Sin embargo, los administradores solo pueden configurar una directiva de notificaciones personalizadas (versión preliminar) por entidad de servicio. El método PUT permite a los administradores crear o reemplazar un objeto de directiva existente por los valores pasados en el cuerpo de la solicitud, mientras que el método PATCH permite a los administradores actualizar el objeto de directiva con los valores que se pasan en el cuerpo de la solicitud. Obtenga información sobre cómo configurar y administrar notificaciones adicionales mediante la directiva de notificaciones personalizadas aquí.
La directiva de asignación de notificaciones permite a los administradores personalizar notificaciones adicionales para sus aplicaciones. Los administradores pueden configurar una directiva de asignación de notificaciones y asignarla a varias aplicaciones de su inquilino. Si un administrador decide usar la directiva de asignación de notificaciones para administrar notificaciones adicionales para sus aplicaciones, no podrá editar ni actualizar las notificaciones en la hoja de personalización de notificaciones en el Centro de administración de Microsoft Entra para esas aplicaciones. Obtenga información sobre cómo configurar y administrar notificaciones adicionales mediante la directiva de asignación de notificaciones aquí.
Nota:
La directiva de asignación de notificaciones reemplaza tanto la directiva de notificaciones personalizadas como la personalización de notificaciones que se ofrece a través del Centro de administración de Microsoft Entra. Personalizar las notificaciones de una aplicación mediante la directiva de asignación de notificaciones significa que los tokens emitidos para esa aplicación omitirán la configuración en la directiva de notificaciones personalizadas o la configuración en la hoja de personalización de notificaciones del Centro de administración de Microsoft Entra. Para obtener más información sobre la personalización de notificaciones, consulte Personalización de notificaciones emitidas en el token para aplicaciones empresariales.
Conjuntos de notificaciones
En la tabla siguiente se enumeran los conjuntos de notificaciones que definen cómo y cuándo se usan en tokens.
| Conjunto de notificaciones | Descripción |
|---|---|
| Conjunto de notificaciones principales | Están presentes en todos los tokens, independientemente de la directiva. Estas notificaciones se consideran también restringidas y no se pueden modificar. |
| Conjunto de notificaciones básicas | Incluye las notificaciones que se incluyen de forma predeterminada para los tokens además del conjunto de notificaciones principales. Puede omitir o modificar notificaciones básicas mediante las directivas de notificaciones personalizadas y las directivas de asignación de notificaciones. |
| Conjunto de notificaciones restringidas | No se pueden modificar con una directiva. No se puede cambiar el origen de datos ni se aplica ninguna transformación al generar estas notificaciones. |
Conjunto de notificaciones restringidas de JSON Web Token (JWT)
Las siguientes notificaciones se encuentran en el conjunto de notificaciones restringidas para un JWT.
._claim_names_claim_sourcesaaiaccess_tokenaccount_typeacctacracrsactoractortokenageGroupaioaltsecidamrapp_chainapp_displaynameapp_resappctxappctxsenderappidappidacrassertionat_hashaudauth_dataauth_timeauthorization_codeazpazpacrbk_claimbk_enclavebk_pubbrk_client_idbrk_redirect_uric_hashca_enfca_policy_resultcapolidscapolids_latebindcccert_token_usechild_client_idchild_redirect_uriclient_idclient_ipcloud_graph_host_namecloud_instance_host_namecloud_instance_nameCloudAssignedMdmIdcnfcodecontrolscontrols_audscredential_keyscsrcsr_typectrydeviceiddns_namesdomain_dns_namedomain_netbios_namee_expemailendpointenfpolidsexpexpires_onextn. as prefixfido_auth_datafido_verfwdfwd_appidacrgrant_typegraphgroup_sidsgroupshasgroupshash_alghaswidshome_oidhome_puidhome_tidiatidentityprovideridpidtypin_corpinstanceinviteTicketipaddrisbrowserhostedappissisViraljwkkey_idkey_typelogin_hintmam_compliance_urlmam_enrollment_urlmam_terms_of_use_urlmdm_compliance_urlmdm_enrollment_urlmdm_terms_of_use_urlmsgraph_hostmsproxynameidnbfnetbios_namenicknamenonceoidon_prem_idonprem_sam_account_nameonprem_sidopenid2_idorigin_headerpasswordplatfpolidspop_jwkpreferred_usernameprevious_refresh_tokenprimary_sidprov_datapuidpwd_exppwd_urlrdp_btredirect_urirefresh_tokenrefresh_token_issued_onrefreshtokenrequest_nonceresourcerhrolerolesrp_idrt_typescopescpsecaudsidsidsignaturesignin_statesource_anchorsrc1src2subtarget_deviceidtbidtbidv2tenant_ctrytenant_display_nametenant_idtenant_region_scopetenant_region_sub_scopethumbnail_phototidtokenAutologonEnabledtrustedfordelegationttrunique_nameupnuser_agentuser_setting_sync_urlusernameutiververified_primary_emailverified_secondary_emailvnetvsm_binding_keywamcompat_client_infowamcompat_id_tokenwamcompat_scopeswidswin_verx5c_caxcb2b_rclientxcb2b_rcloudxcb2b_rtenantztdid
Nota
Cualquier notificación que empiece por xms_ está restringida.
Conjunto de notificaciones restringidas de SAML
En la tabla siguiente, se enumeran las notificaciones SAML que se encuentran en el conjunto de notificaciones restringidas.
Tipo de notificación restringida (URI):
http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanagedhttp://schemas.microsoft.com/2014/02/devicecontext/claims/isknownhttp://schemas.microsoft.com/2014/03/pssohttp://schemas.microsoft.com/2014/09/devicecontext/claims/iscomplianthttp://schemas.microsoft.com/claims/authnmethodsreferenceshttp://schemas.microsoft.com/claims/groups.linkhttp://schemas.microsoft.com/identity/claims/accesstokenhttp://schemas.microsoft.com/identity/claims/accthttp://schemas.microsoft.com/identity/claims/agegrouphttp://schemas.microsoft.com/identity/claims/aiohttp://schemas.microsoft.com/identity/claims/identityproviderhttp://schemas.microsoft.com/identity/claims/objectidentifierhttp://schemas.microsoft.com/identity/claims/openid2_idhttp://schemas.microsoft.com/identity/claims/puidhttp://schemas.microsoft.com/identity/claims/scopehttp://schemas.microsoft.com/identity/claims/tenantidhttp://schemas.microsoft.com/identity/claims/xms_ethttp://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstanthttp://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethodhttp://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkeyhttp://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegrouphttp://schemas.microsoft.com/ws/2008/06/identity/claims/expirationhttp://schemas.microsoft.com/ws/2008/06/identity/claims/expiredhttp://schemas.microsoft.com/ws/2008/06/identity/claims/groupshttp://schemas.microsoft.com/ws/2008/06/identity/claims/groupsidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistenthttp://schemas.microsoft.com/ws/2008/06/identity/claims/rolehttp://schemas.microsoft.com/ws/2008/06/identity/claims/rolehttp://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuernamehttp://schemas.microsoft.com/ws/2008/06/identity/claims/widshttp://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaimhttp://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegrouphttp://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversionhttp://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthorityhttp://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaimhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/authenticationhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecisionhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysidhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifierhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/spnhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhttp://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor
Estas notificaciones están restringidas de forma predeterminada, pero no están restringidas si tiene una clave de firma personalizada. Evite establecer acceptMappedClaims en el manifiesto de la aplicación.
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnamehttp://schemas.microsoft.com/ws/2008/06/identity/claims/primarysidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsidhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/sidhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname
Estas notificaciones están restringidas de forma predeterminada, pero no están restringidas si tiene una clave de firma personalizada:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhttp://schemas.microsoft.com/ws/2008/06/identity/claims/role
Propiedades de la directiva usada para la personalización de notificaciones
Para controlar las notificaciones que se incluyen y de dónde provienen los datos, utilice las propiedades de la directiva de personalización de notificaciones. Sin una directiva, el sistema emite tokens con las siguientes notificaciones:
- Conjunto de notificaciones principales.
- Conjunto de notificaciones básicas.
- Cualquier notificación opcional que la aplicación haya elegido recibir.
Nota:
Las notificaciones del conjunto de notificaciones principales están presentes en todos los tokens, independientemente del valor en que se establezca esta propiedad.
| String | Tipo de datos | Resumen |
|---|---|---|
| IncludeBasicClaimSet | Booleanos (true o false) | Determina si el conjunto de notificaciones principales se incluye en los tokens afectados por esta directiva. Si se establece en True, todas las notificaciones del conjunto de notificaciones básicas se emiten en los tokens afectados por esta directiva. Si se establece en False, las notificaciones del conjunto de notificaciones básicas no se incluyen en los tokens a menos que se agreguen individualmente a la propiedad de esquema de notificaciones de la misma directiva. |
| ClaimsSchema | blob de JSON con una o varias entradas de esquema de notificación | Define las notificaciones que están presentes en los tokens afectados por la directiva, además del conjunto de notificaciones básicas y el conjunto de notificaciones principales. Para cada entrada de esquema de notificación definida en esta propiedad, se requiere cierta información. Especifique de dónde provienen los datos (valor, par origen/identificador o par origen/identificador de extensión) y tipo de notificación, que se emite como (JWTClaimType o SamlClaimType). |
Elementos de entrada de esquema de notificación
- Valor: define un valor estático para los datos que se emiten en la notificación.
- SAMLNameForm: define el valor del atributo NameFormat para esta notificación. Si está presente, los valores permitidos son:
urn:oasis:names:tc:SAML:2.0:attrname-format:unspecifiedurn:oasis:names:tc:SAML:2.0:attrname-format:uriurn:oasis:names:tc:SAML:2.0:attrname-format:basic
- Par origen/identificador: define el origen de los datos de la notificación.
- Par origen/identificador de extensión: define el atributo de extensión de directorio que es el origen de los datos de la notificación. Para más información, consulte Uso de atributos de extensión de directorio en notificaciones.
- Tipo de notificación: los elementos JwtClaimType y SamlClaimType definen la notificación a la que esta entrada de esquema de notificación hace referencia.
- El elemento JwtClaimType tiene que contener el nombre de la notificación que se va a emitir en los token JWT.
- El elemento SamlClaimType debe contener el identificador URI de la notificación que se va a emitir en los token SAML.
Establezca el elemento Origen en uno de los valores de la tabla siguiente.
| Valor de origen | Datos en la notificación |
|---|---|
user |
Propiedad en el objeto de usuario. |
application |
Propiedad en la entidad de servicio de la aplicación (cliente). |
resource |
Propiedad en la entidad de servicio del recurso. |
audience |
Propiedad en la entidad de servicio que es la audiencia del token (la entidad de servicio de recurso o cliente). |
company |
Propiedad en el objeto Company del inquilino del recurso. |
transformation |
Transformación de notificaciones. Al usar esta notificación, el elemento TransformationID debe incluirse en la definición de la notificación. El elemento TransformationID debe coincidir con el elemento ID de la entrada de transformación en la propiedad ClaimsTransformation que define cómo se generan los datos de la notificación. |
El elemento ID identifica la propiedad en el origen que proporciona el valor de la notificación. En la tabla siguiente se muestran los valores del elemento de id. válidos para cada valor de Source.
| Source | ID | Descripción |
|---|---|---|
user |
surname |
Nombre de familia del usuario. |
user |
givenname |
Nombre propio del usuario |
user |
displayname |
Nombre para mostrar del usuario. |
user |
objectid |
el identificador de objeto del usuario. |
user |
mail |
La dirección de correo electrónico del usuario. |
user |
userprincipalname |
Nombre principal de usuario del usuario. |
user |
department |
El departamento del usuario. |
user |
onpremisessamaccountname |
Nombre de la cuenta SAM local del usuario. |
user |
netbiosname |
Nombre NetBios del usuario. |
user |
dnsdomainname |
Nombre de dominio DNS del usuario. |
user |
onpremisesecurityidentifier |
Identificador de seguridad local del usuario. |
user |
companyname |
Nombre de la organización del usuario. |
user |
streetaddress |
La dirección del usuario. |
user |
postalcode |
El código postal del usuario. |
user |
preferredlanguage |
El idioma preferido del usuario. |
user |
onpremisesuserprincipalname |
UPN local del usuario. Cuando se usa un id. alternativo, el atributo userPrincipalName local se sincroniza con el atributo onPremisesUserPrincipalName. Este atributo solo está disponible cuando se configura el identificador alternativo. |
user |
mailnickname |
Alias de correo del usuario. |
user |
extensionattribute1 |
Atributo de extensión 1. |
user |
extensionattribute2 |
Atributo de extensión 2. |
user |
extensionattribute3 |
Atributo de extensión 3. |
user |
extensionattribute4 |
Atributo de extensión 4. |
user |
extensionattribute5 |
Atributo de extensión 5. |
user |
extensionattribute6 |
Atributo de extensión 6. |
user |
extensionattribute7 |
Atributo de extensión 7. |
user |
extensionattribute8 |
Atributo de extensión 8. |
user |
extensionattribute9 |
Atributo de extensión 9. |
user |
extensionattribute10 |
Atributo de extensión 10. |
user |
extensionattribute11 |
Atributo de extensión 11. |
user |
extensionattribute12 |
Atributo de extensión 12. |
user |
extensionattribute13 |
Atributo de extensión 13. |
user |
extensionattribute14 |
Atributo de extensión 14. |
user |
extensionattribute15 |
Atributo de extensión 15. |
user |
othermail |
Otro correo del usuario. |
user |
country |
País o región del usuario. |
user |
city |
Ciudad del usuario. |
user |
state |
Estado del usuario. |
user |
jobtitle |
el puesto del usuario. |
user |
employeeid |
Id. de empleado del usuario. |
user |
facsimiletelephonenumber |
Número de teléfono facsímil del usuario. |
user |
assignedroles |
Lista de roles de aplicación asignados al usuario. |
user |
accountEnabled |
Indica si la cuenta de usuario está habilitada. |
user |
consentprovidedforminor |
Indica si se ha dado consentimiento a un menor. |
user |
createddatetime |
Fecha y hora en que se creó la cuenta de usuario. |
user |
creationtype |
indica cómo se creó la cuenta de usuario. |
user |
lastpasswordchangedatetime |
La última fecha y hora en que se cambió la contraseña. |
user |
mobilephone |
Teléfono móvil del usuario. |
user |
officelocation |
Ubicación de la oficina del usuario. |
user |
onpremisesdomainname |
El nombre de dominio local del usuario. |
user |
onpremisesimmutableid |
Id. inmutable local del usuario. |
user |
onpremisessyncenabled |
Indica si la sincronización local está habilitada. |
user |
preferreddatalocation |
Define la ubicación de datos preferida del usuario. |
user |
proxyaddresses |
Las direcciones de proxy del usuario. |
user |
usertype |
Tipo de cuenta de usuario. |
user |
telephonenumber |
Teléfonos empresariales o de oficina del usuario. |
application, resource, audience |
displayname |
Nombre para mostrar del objeto. |
application, resource, audience |
objectid |
Id. del objeto. |
application, resource, audience |
tags |
Etiqueta de entidad de servicio del objeto. |
company |
tenantcountry |
País o región del inquilino. |
Los únicos orígenes de notificación multivalor disponibles en un objeto de usuario son atributos de extensión multivalor que se han sincronizado desde Active Directory Connect. Otras propiedades, como othermails y tags, tienen varios valores, pero solo se emite un valor cuando se selecciona como origen.
Los nombres e identificadores URI de las notificaciones del conjunto de notificaciones restringidas no se pueden usar en los elementos de tipo de notificación.
Filtro de grupos
- Cadena: GroupFilter
- Tipo de datos: blob JSON
- Resumen: utilice esta propiedad para aplicar un filtro en los grupos de usuarios que se incluirán en la notificación de grupo. Esta propiedad puede ser una manera útil de reducir el tamaño del token.
- MatchOn: identifica el atributo de grupo en el que se aplicará el filtro. Defina la propiedad MatchOn a uno de los siguientes valores:
displayname: nombre para mostrar del grupo.samaccountname: nombre de cuenta SAM local.
- Tipo: define el tipo de filtro aplicado al atributo seleccionado por la propiedad MatchOn. Defina la propiedad Type a uno de los siguientes valores:
prefix: se incluyen grupos en los que la propiedad MatchOn comienza por la propiedad Value proporcionada.suffix: se incluyen grupos en los que la propiedad MatchOn termina con la propiedad Value proporcionada.contains: se incluyen grupos en los que la propiedad MatchOn contiene la propiedad Value proporcionada.
Transformación de notificaciones
- Cadena: ClaimsTransformation
- Tipo de datos: blob de JSON, con una o más entradas de transformación
- Resumen: use esta propiedad para aplicar transformaciones comunes a datos de origen para generar los datos de salida de las notificaciones especificadas en el esquema de notificaciones.
- Id.: hace referencia a la entrada de transformación en el elemento TransformationID del esquema de notificaciones. Este valor debe ser único para cada entrada de transformación comprendida en la directiva.
- TransformationMethod: identifica la operación que se realiza para generar los datos de la notificación.
En función del método elegido, se espera un conjunto de entradas y salidas. Defina las entradas y salidas utilizando los elementos InputClaims, InputParameters y OutputClaims.
| TransformationMethod | Entrada prevista | Salida prevista | Descripción |
|---|---|---|---|
| Join | string1, string2, separator | notificación de salida | Se combinan las cadenas de entrada mediante un separador entre ellas. Por ejemplo, string1: foo@bar.com, string2: sandbox, separator: .da como resultado outputClaim: foo@bar.com.sandbox. |
| ExtractMailPrefix | Correo electrónico o UPN | cadena extraída | Atributos de la extensión 1-15 o cualquier otra extensión de directorio que almacene un valor de UPN o de dirección de correo electrónico para el usuario. Por ejemplo, johndoe@contoso.com. Extrae la parte local de una dirección de correo electrónico. Por ejemplo, mail: foo@bar.com da como resultado la notificación de salida: foo. Si no existe ningún signo @, la cadena de entrada original se devuelve. |
| ToLowercase() | cadena | cadena de salida | Convierte los caracteres del atributo seleccionado en caracteres en minúscula. |
| ToUppercase() | cadena | cadena de salida | Convierte los caracteres del atributo seleccionado en caracteres en mayúscula. |
| RegexReplace() | La transformación RegexReplace() acepta como parámetros de entrada: - Parámetro 1: un atributo de usuario como entrada de regex - Una opción para confiar en el origen como multivalor - Patrón de regex - Patrón de reemplazo El patrón de reemplazo puede contener formato de texto estático junto con una referencia que apunte a los grupos de salida de expresión regular y más parámetros de entrada. |
- InputClaims: se usa para pasar los datos de una entrada de esquema de notificación a una transformación. Tiene tres atributos: ClaimTypeReferenceId, TransformationClaimType y TreatAsMultiValue.
- ClaimTypeReferenceId: se combina con el elemento ID de la entrada de esquema de notificación para buscar la notificación de entrada adecuada.
- TransformationClaimType: asigna un nombre único a esta entrada. Este nombre debe coincidir con una de las entradas esperadas para el método de transformación.
- TreatAsMultiValue es una marca booleana que indica si la transformación se debe aplicar a todos los valores o solo al primero. De forma predeterminada, las transformaciones solo se aplican al primer elemento de una notificación de varios valores. Establecer este valor en true garantiza que se aplica a todos. ProxyAddresses y los grupos son dos ejemplos de notificaciones de entrada que es probable que quiera tratar como una notificación de valor múltiple.
- InputParameters: pasa un valor constante a una transformación. Tiene dos atributos: Valor e ID.
- Value es el valor constante real que se pasa.
- ID se usa para asignar un nombre único a esta entrada. Este nombre debe coincidir con una de las entradas esperadas del método de transformación.
- OutputClaims: contiene los datos generados por una transformación y los vincula a una entrada de esquema de notificación. Tiene dos atributos: ClaimTypeReferenceId y TransformationClaimType.
- ClaimTypeReferenceId se combina con el elemento ID de la entrada de esquema de notificación para buscar la notificación de salida adecuada.
- TransformationClaimType se usa para asignar un nombre único a la salida. Este nombre debe coincidir con una de las salidas esperadas del método de transformación.
Excepciones y restricciones
NameID de SAML y UPN: los atributos desde los que se originan los valores de NameID y UPN, y las transformaciones de notificaciones que se permiten, están limitados.
| Source | ID | Descripción |
|---|---|---|
user |
mail |
La dirección de correo electrónico del usuario. |
user |
userprincipalname |
Nombre principal de usuario del usuario. |
user |
onpremisessamaccountname |
Nombre de cuenta SAM local |
user |
employeeid |
Id. de empleado del usuario. |
user |
telephonenumber |
Teléfonos empresariales o de oficina del usuario. |
user |
extensionattribute1 |
Atributo de extensión 1. |
user |
extensionattribute2 |
Atributo de extensión 2. |
user |
extensionattribute3 |
Atributo de extensión 3. |
user |
extensionattribute4 |
Atributo de extensión 4. |
user |
extensionattribute5 |
Atributo de extensión 5. |
user |
extensionattribute6 |
Atributo de extensión 6. |
user |
extensionattribute7 |
Atributo de extensión 7. |
user |
extensionattribute8 |
Atributo de extensión 8. |
user |
extensionattribute9 |
Atributo de extensión 9. |
user |
extensionattribute10 |
Atributo de extensión 10. |
user |
extensionattribute11 |
Atributo de extensión 11. |
user |
extensionattribute12 |
Atributo de extensión 12. |
user |
extensionattribute13 |
Atributo de extensión 13. |
user |
extensionattribute14 |
Atributo de extensión 14. |
User |
extensionattribute15 |
Atributo de extensión 15. |
Los métodos de transformación enumerados en la tabla siguiente se permiten para SAML NameID.
| TransformationMethod | Restricciones |
|---|---|
| ExtractMailPrefix | None |
| Join | El sufijo que se combine debe ser un dominio comprobado del inquilino del recurso. |
Emisor con identificador de aplicación
- Cadena: issuerWithApplicationId
- Tipo de datos: valor booleano (True o False)
- Si se establece en
True, el identificador de aplicación se agrega a la notificación del emisor en los tokens afectados por la directiva. - Si se establece en
False, el identificador de aplicación no se agrega a la notificación del emisor en los tokens afectados por la directiva. (predeterminado).
- Si se establece en
- Resumen: permite que el id. de aplicación se incluya en la notificación del emisor. Garantiza que varias instancias de la misma aplicación tengan un valor de notificación único para cada instancia. Esta configuración se omite si no hay una clave de firma personalizada configurada para la aplicación.
Invalidación de audiencia
- Cadena: audienceOverride
- Tipo de datos: cadena
- Resumen: permite invalidar la notificación de audiencia enviada a la aplicación. El valor proporcionado debe ser un URI absoluto válido. Esta configuración se omite si no hay una clave de firma personalizada configurada para la aplicación.
Pasos siguientes
- Para más información sobre los atributos de extensión, consulte Atributos de extensión de directorio en las notificaciones.