Partekatu honen bidez:


Personalización de las notificaciones de token de SAML

La Plataforma de identidad de Microsoft admite el inicio de sesión único (SSO) con la mayoría de las aplicaciones preintegradas en la galería de aplicaciones y las aplicaciones personalizadas. Cuando un usuario se autentica en una aplicación mediante la Plataforma de identidad de Microsoft con el protocolo SAML 2.0, se envía un token a la aplicación. La aplicación valida el token y lo usa para que el usuario inicie sesión en lugar de solicitar un nombre de usuario y una contraseña.

Estos tokens SAML contienen trozos de información sobre el usuario conocidos como notificaciones. Una notificación es información que un proveedor de identidades declara sobre un usuario dentro del token que se emite para dicho usuario. En un token SAML, los datos de las notificaciones se suelen incluir en la instrucción Attribute de SAML. El id. único del usuario suele representarse en el asunto de SAML, que también se denomina identificador de nombre (nameID).

De forma predeterminada, la Plataforma de identidad de Microsoft emite un token SAML a una aplicación que contiene una notificación con un valor del nombre de usuario (también denominado nombre principal de usuario), que puede identificar al usuario de forma única. El token SAML también contiene otras notificaciones que incluyen la dirección de correo electrónico, el nombre y el apellido del usuario.

Visualización o edición de notificaciones

Para ver o editar las reclamaciones emitidas en el token SAML a la aplicación:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
  2. Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.
  3. Seleccione la aplicación, seleccione Inicio de sesión único en el menú de la izquierda y, a continuación, seleccione Editar en la sección Atributos y notificaciones.

Tendría que editar las notificaciones emitidas en el token SAML por los siguientes motivos:

  • La aplicación requiere que la notificación NameIdentifier o nameID tenga un valor que no sea el del nombre de usuario (o nombre principal de usuario).
  • La aplicación se ha creado para requerir un conjunto diferente de URI o valores de notificación.

Edita nameID.

Para editar la notificación del valor de identificador de nombre:

  1. Abra la página Valor de identificador de nombre.
  2. Seleccione el atributo o la transformación que quiera aplicar al atributo. Si quiere, puede especificar el formato que quiere que tenga la notificación nameID.

Formato de NameID

Si la solicitud SAML contiene el elemento NameIDPolicy con un formato específico, la Plataforma de identidad de Microsoft respeta el formato en la solicitud.

Si la solicitud SAML no contiene ningún elemento para NameIDPolicy, la Plataforma de identidad de Microsoft emite la notificación nameID con el formato que especifique. Si no se especifica ningún formato, la Plataforma de identidad de Microsoft usa el formato de origen predeterminado asociado con el origen de notificación seleccionado. Si una transformación da como resultado un valor nulo o no válido, Microsoft Entra ID envía un identificador en pares persistente en nameID.

En el menú desplegable Elija el formato del identificador de nombre, seleccione una de las opciones de la tabla siguiente.

Formato de nameID Descripción
Valor predeterminado La Plataforma de identidad de Microsoft usa el formato de origen predeterminado.
Persistent La plataforma de identidad de Microsoft usa Persistent como formato nameID.
Dirección de correo electrónico La plataforma de identidad de Microsoft usa EmailAddress como formato nameID.
Unspecified La plataforma de identidad de Microsoft usa Unspecified como formato nameID.
Nombre completo del dominio de Windows La plataforma de identidad de Microsoft usa el formato WindowsDomainQualifiedName.

También se admite una notificación nameID transitoria, pero no está disponible en la lista desplegable y no se puede configurar en Azure. Para obtener más información sobre el atributo NameIDPolicy, consulte Protocolo SAML de inicio de sesión único.

Atributos

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Seleccione el origen que desee para la notificación NameIdentifier (o nameID). Puede seleccionar entre las opciones de la tabla siguiente.

Nombre Descripción
Email La dirección de correo electrónico del usuario.
userprincipalName El nombre principal de usuario (UPN) del usuario.
onpremisessamaccountname Nombre de cuenta SAM que se ha sincronizado desde Microsoft Entra ID local.
objectid Identificador de objeto del usuario en Microsoft Entra ID.
employeeid Id. de empleado del usuario.
Directory extensions Extensiones de directorio sincronizadas desde Active Directory local con Microsoft Entra ID Connect Sync.
Extension Attributes 1-15 Los atributos de extensión locales usados para extender el esquema de Microsoft Entra ID.
pairwiseid Forma persistente del id. de usuario.

Para obtener más información sobre los valores de identificación, consulte la tabla que enumera los valores de id. válidos por origen más adelante en esta página.

Cualquier valor constante (estático) se puede asignar a cualquier notificación. Siga los pasos siguientes para asignar un valor constante:

  1. En la hoja Atributos y notificaciones, seleccione la notificación necesaria que desea modificar.
  2. Escriba el valor constante sin comillas en Atributo de origen según su organización y luego haga clic en Guardar. Se muestra el valor constante.

Extensiones de esquema de directorio

También puede configurar los atributos de extensión de esquema de directorio como atributos condicionales o no condicionales. Siga los pasos siguientes para configurar el atributo de extensión de esquema de directorio único o multivalor como notificación:

  1. En la hoja Atributos y notificaciones, seleccione Agregar nueva solicitud o editar una existente.
  2. Seleccione la aplicación de origen del selector de aplicaciones donde se define la propiedad de extensión.
  3. Seleccione Agregar para agregar la selección a las notificaciones.
  4. Haga clic en Guardar para enviar los cambios.

Transformaciones de notificaciones especiales

Puede usar las siguientes funciones de transformaciones de notificaciones especiales.

Función Descripción
ExtractMailPrefix() Quita el sufijo de dominio de la dirección de correo electrónico o el nombre principal de usuario. Esta función extrae solo la primera parte del nombre de usuario por la que se pasa (por ejemplo, "joe_smith" en lugar de joe_smith@contoso.com).
ToLower() Convierte los caracteres del atributo seleccionado en caracteres en minúscula.
ToUpper() Convierte los caracteres del atributo seleccionado en caracteres en mayúscula.

Incorporación de notificaciones específicas de la aplicación

Para agregar notificaciones específicas de la aplicación:

  1. En la pestaña Atributos y reclamaciones, seleccione Agregar nueva reclamación para abrir la página Administrar reclamaciones de usuarios.
  2. Escriba el nombre de las notificaciones. El valor no tiene que seguir un patrón de URI estrictamente, de acuerdo con la especificación SAML. Si necesita un patrón de URI, puede colocarlo en el campo Espacio de nombres.
  3. Seleccione el origen en el que la notificación va a recuperar su valor. Puede seleccionar un atributo de usuario en la lista desplegable de atributos de origen o aplicar una transformación al atributo de usuario antes de emitirlo como una notificación.

Agregar una notificación de grupo

Las notificaciones de grupo se usan para tomar decisiones de autorización para acceder a un recurso por parte de una aplicación o un proveedor de servicios. Para agregar notificaciones de grupo;

  1. Vaya a Registros de aplicaciones y seleccione la aplicación a la que desea agregar una notificación de grupo.
  2. Seleccione Agregar notificación de grupos.
  3. Seleccione los tipos de grupo que se van a incluir en el token. Puede agregar grupos de seguridad, grupos de directorios o grupos asignados a una aplicación determinada.
  4. Elija los valores que desea incluir en la notificación de grupos y, después, seleccione Agregar.

Transformaciones de notificación

Para aplicar una transformación a un atributo de usuario:

  1. En Administrar notificaciones, seleccione Transformación como origen de la notificación para abrir la página Administrar la transformación.
  2. Seleccione la función en la lista desplegable transformación. Dependiendo de la función seleccionada, proporciona parámetros y un valor constante para evaluar en la transformación.
  3. Seleccione el origen del atributo haciendo clic en el botón de radio adecuado.
  4. En la lista desplegable, seleccione el nombre del atributo.
  5. Tratar origen como multivalor es una casilla que indica si la transformación se debe aplicar a todos los valores o solo al primero. De manera predeterminada, las transformaciones solo se aplican al primer elemento de una notificación de varios valores; al marcar esta casilla se asegura de que se aplica a todos. Esta casilla solo se habilita para atributos con varios valores, por ejemplo user.proxyaddresses.
  6. Para aplicar varias transformaciones, seleccione Agregar transformación. Puede aplicar un máximo de dos transformaciones a una notificación. Por ejemplo, puede extraer primero el prefijo de correo del user.mail. Después, convierta la cadena en mayúsculas.

Puede utilizar las siguientes funciones para transformar notificaciones.

Función Descripción
ExtractMailPrefix() Quita el sufijo de dominio de la dirección de correo electrónico o el nombre principal de usuario. Esta función extrae solo la primera parte del nombre de usuario que se pasa. Por ejemplo, joe_smith en lugar de joe_smith@contoso.com.
Join() Crea un nuevo valor al combinar dos atributos. Si quiere, puede usar un separador entre los dos atributos. Para la transformación de notificaciones nameID, la función Join() tiene un comportamiento específico cuando la entrada de la transformación tiene una parte del dominio. La función quita la parte de dominio de la entrada antes de unirla al separador y al parámetro seleccionado. Por ejemplo, si la entrada de la transformación es joe_smith@contoso.com, el separador @ y el parámetro fabrikam.com, esta combinación de entrada da como resultado joe_smith@fabrikam.com.
ToLowercase() Convierte los caracteres del atributo seleccionado en caracteres en minúscula.
ToUppercase() Convierte los caracteres del atributo seleccionado en caracteres en mayúscula.
Contains() Genera un atributo o una constante si la entrada coincide con el valor especificado. En caso contrario, puede especificar otra salida si no hay ninguna coincidencia. Por ejemplo, si quieres emitir una notificación en la que el valor es la dirección de correo electrónico del usuario si contiene el dominio @contoso.com, en caso contrario, quieres obtener el nombre principal de usuario. Para realizar esta función, configure los siguientes valores: Parameter 1(input): user.email, Value: "@contoso.com", Parameter 2 (output): user.email y Parameter 3 (output if there's no match): user.userprincipalname.
EndWith() Genera un atributo o una constante si la entrada finaliza con el valor especificado. En caso contrario, puede especificar otra salida si no hay ninguna coincidencia.
Por ejemplo, si quiere emitir una notificación en la que el valor es el id. de empleado del usuario, si el id. de empleado termina con 000; de lo contrario, se recomienda generar un atributo de extensión. Para realizar esta función, configure los siguientes valores: Parameter 1(input): user.employeeid, Value: "000", Parameter 2 (output): user.employeeid y Parameter 3 (output if there's no match): user.extensionattribute1.
StartWith() Genera un atributo o una constante si la entrada empieza con el valor especificado. En caso contrario, puede especificar otra salida si no hay ninguna coincidencia. Por ejemplo, si quiere emitir una notificación en la que el valor es el id. de empleado del usuario, si el país o la región comienza por US; de lo contrario, se recomienda generar un atributo de extensión. Para realizar esta función, configure los siguientes valores: Parameter 1(input): user.country, Value: "US", Parameter 2 (output): user.employeeid y Parameter 3 (output if there's no match): user.extensionattribute1
Extract(): después de la coincidencia Devuelve el valor de substring que aparece después de la coincidencia con el valor especificado. Por ejemplo, si el valor de entrada es Finance_BSimon, el valor coincidente es Finance_, entonces la salida de la notificación es BSimon.
Extract(): antes de la coincidencia Devuelve el valor de substring que aparece antes de la coincidencia con el valor especificado. Por ejemplo, si el valor de entrada es BSimon_US, el valor coincidente es _US, entonces la salida de la notificación es BSimon.
Extract(): entre coincidencias Devuelve el valor de substring que aparece antes de la coincidencia con el valor especificado. Por ejemplo, si el valor de la entrada es Finance_BSimon_US, el primer valor coincidente es Finance_, el segundo valor coincidente es _US, entonces la salida de la notificación es BSimon.
ExtractAlpha(): prefijo Devuelve la parte alfabética del prefijo de la cadena. Por ejemplo, si el valor de la entrada es BSimon_123, entonces devuelve BSimon.
ExtractAlpha(): sufijo Devuelve la parte alfabética del sufijo de la cadena. Por ejemplo, si el valor de la entrada es 123_Simon, entonces devuelve Simon.
ExtractNumeric(): prefijo Devuelve la parte numérica del prefijo de la cadena. Por ejemplo, si el valor de la entrada es 123_BSimon, entonces devuelve 123.
ExtractNumeric(): sufijo Devuelve la parte numérica del sufijo de la cadena. Por ejemplo, si el valor de la entrada es BSimon_123, entonces devuelve 123.
IfEmpty() Genera un atributo o una constante si la entrada es nula o está vacía. Por ejemplo, si quiere generar un atributo almacenado en un atributo de extensión si el id. de empleado de un usuario está vacío. Para realizar esta función, configure los siguientes valores: Parameter 1(input): user.employeeid, Parameter 2 (output): user.extensionattribute1 y Parameter 3 (output if there's no match): user.employeeid.
IfNotEmpty() Genera un atributo o una constante si la entrada no es nula ni está vacía. Por ejemplo, si quiere generar un atributo almacenado en un atributo de extensión si el id. de empleado de un usuario no está vacío. Para realizar esta función, configure los siguientes valores: Parameter 1(input): user.employeeid y Parameter 2 (output): user.extensionattribute1.
Substring(): longitud fija Extrae partes de un tipo de notificación de cadena, comenzando por el carácter que se encuentra en la posición especificada, y devuelve el número de caracteres especificado. sourceClaim es el origen de notificación de la transformación que se debe ejecutar. StartIndex es la posición de carácter inicial de base cero de una substring en la instancia. Length es la longitud en caracteres de la substring. Por ejemplo, sourceClaim - PleaseExtractThisNow, StartIndex - 6 y Length - 11 genera una salida de ExtractThis.
Substring() - EndOfString Extrae partes de un tipo de notificación de cadena, comenzando por el carácter que se encuentra en la posición especificada, y devuelve el resto de la notificación del índice de inicio especificado. sourceClaim es el origen de notificación de la transformación que se debe ejecutar. StartIndex es la posición de carácter inicial de base cero de una substring en la instancia. Por ejemplo, sourceClaim - PleaseExtractThisNow y StartIndex - 6 genera una salida de ExtractThisNow.
RegexReplace() Para obtener más información sobre la transformación de notificaciones basadas en regex, consulte la sección siguiente.

Transformación de notificaciones basada en regex

En la imagen siguiente se muestra un ejemplo del primer nivel de transformación:

Captura de pantalla del primer nivel de transformación.

Las acciones enumeradas en la tabla siguiente proporcionan información sobre el primer nivel de transformaciones y corresponden a las etiquetas de la imagen anterior. Seleccione Editar para abrir la hoja de transformación de reclamaciones.

Acción Campo Descripción
1 Transformation Seleccione la opción RegexReplace() en las opciones Transformación para usar el método de transformación de notificaciones basada en regex para transformación de notificaciones.
2 Parameter 1 Entrada de la transformación de expresión regular. Por ejemplo, user.mail que tiene una dirección de correo electrónico de usuario como admin@fabrikam.com.
3 Treat source as multivalued Algunos atributos de usuario de entrada pueden ser atributos de usuario de varios valores. Si el atributo de usuario seleccionado admite varios valores y el usuario quiere usar varios valores para la transformación, debe seleccione Tratar origen como multivalor. Si esta opción está seleccionada, se usan todos los valores para la coincidencia de regex; de lo contrario, solo se usa el primer valor.
4 Regex pattern Expresión regular que se evalúa con respecto al valor del atributo de usuario seleccionado como Parámetro 1. Por ejemplo, una expresión regular para extraer el alias de usuario de la dirección de correo electrónico del usuario se representaría como (?'domain'^.*?)(?i)(\@fabrikam\.com)$.
5 Add additional parameter Se puede usar más de un atributo de usuario para la transformación. Los valores de los atributos se combinarían con la salida de transformación de regex. Se admiten hasta cinco parámetros más.
6 Replacement pattern El patrón de reemplazo es la plantilla de texto, que contiene marcadores de posición para el resultado de regex. Todos los nombres de grupo deben ir entre llaves, como {group-name}. Supongamos que la administración quiere usar el alias de usuario con algún otro nombre de dominio, por ejemplo, xyz.com y combinar el nombre del país con él. En este caso, el patrón de reemplazo sería {country}.{domain}@xyz.com, donde {country} es el valor del parámetro de entrada y {domain} es la salida del grupo de evaluación de expresiones regulares. En tal caso, el resultado esperado será US.swmal@xyz.com.

En la imagen siguiente se muestra un ejemplo del segundo nivel de transformación:

Captura de pantalla del segundo nivel de transformación de notificaciones.

En la tabla siguiente se proporciona información sobre el segundo nivel de transformaciones. Las acciones enumeradas en la tabla corresponden a las etiquetas de la imagen anterior.

Acción Campo Descripción
1 Transformation Las transformaciones de notificaciones basadas en regex no se limitan a la primera transformación y también se pueden usar como transformación de segundo nivel. Cualquier otro método de transformación se puede usar como primera transformación.
2 Parameter 1 Si se selecciona RegexReplace() como transformación de segundo nivel, la salida de la transformación de primer nivel se usa como entrada para la transformación de segundo nivel. Para aplicar la transformación, la expresión regular de segundo nivel debe coincidir con la salida de la primera transformación.
3 Regex pattern Patrón de regex es la expresión regular para la transformación de segundo nivel.
4 Parameter input Entradas de atributo de usuario para las transformaciones de segundo nivel.
5 Parameter input Los administradores pueden eliminar el parámetro de entrada seleccionado si ya no lo necesitan.
6 Replacement pattern El patrón de reemplazo es la plantilla de texto, que contiene marcadores de posición para el nombre del grupo de resultados de regex, el nombre del grupo de parámetros de entrada y el valor de texto estático. Todos los nombres de grupo deben ir entre llaves, como {group-name}. Supongamos que la administración quiere usar el alias de usuario con algún otro nombre de dominio, por ejemplo, xyz.com y combinar el nombre del país con él. En este caso, el patrón de reemplazo sería {country}.{domain}@xyz.com, donde {country} es el valor del parámetro de entrada y {domain} es la salida del grupo de evaluación de expresiones regulares. En tal caso, el resultado esperado será US.swmal@xyz.com.
7 Test transformation La transformación RegexReplace() solo se evalúa si el valor del atributo de usuario seleccionado para Parámetro 1 coincide con la expresión regular proporcionada en el cuadro de texto Patrón de regex. De lo contrario, se agrega el valor de notificación predeterminado al token. Para validar la expresión regular con el valor del parámetro de entrada, hay disponible una experiencia de prueba en la hoja de transformación. Esta experiencia de prueba solo funciona con valores ficticios. Cuando se usan los parámetros de entrada adicionales, el nombre del parámetro se agrega al resultado de la prueba en lugar de al valor real. Para acceder a la sección de prueba, seleccione Probar transformación.

En la imagen siguiente, se muestra un ejemplo de prueba de las transformaciones:

Captura de pantalla de la prueba de la transformación.

En la tabla siguiente se proporciona información sobre la prueba de las transformaciones. Las acciones enumeradas en la tabla corresponden a las etiquetas de la imagen anterior.

Acción Campo Descripción
1 Test transformation Seleccione el botón cerrar o botón con una cruz (X) para ocultar la sección de prueba y que aparezca de nuevo el botón Probar transformación en la hoja.
2 Test regex input Acepta la entrada que se usa para la evaluación de pruebas de expresiones regulares. Cuando una transformación de notificaciones basada en expresiones regulares se configura como una transformación de segundo nivel, proporciona un valor que sea el resultado esperado de la primera transformación.
3 Run test Una vez proporcionada la entrada de regex de prueba y configuradas las opciones Patrón de regex, Patrón de reemplazo y Parámetros de entrada, la expresión se puede evaluar seleccionando Ejecutar prueba.
4 Test transformation result Si la evaluación tiene éxito, se representa una salida de la transformación de prueba en la etiqueta de resultado de la transformación de prueba.
5 Remove transformation La transformación de segundo nivel se puede quitar seleccionando Quitar transformación.
6 Specify output if no match Cuando se configura un valor de entrada de regex con respecto al Parámetro 1, que no coincide con la Expresión regular, la transformación se omite. En tales casos, se puede configurar el atributo de usuario alternativo, el cual se agregará al token de la notificación activando la Especificar el resultado si no se encuentran coincidencias.
7 Parameter 3 Si es necesario devolver un atributo de usuario alternativo cuando no hay ninguna coincidencia y Especificar el resultado si no se encuentran coincidencias está activada, se puede seleccionar un atributo de usuario alternativo mediante la lista desplegable. Esta lista desplegable está disponible en Parámetro 3 (resultado si no hay coincidencias).
8 Summary En la parte inferior de la hoja, se muestra el resumen completo del formato, que explica el significado de la transformación en texto simple.
9 Add Una vez comprobadas las opciones de configuración de la transformación, se puede guardar en una directiva de notificaciones seleccionando Agregar. Selecciona Guardar en la hoja Administrar notificación para guardar los cambios.

La transformación RegexReplace() también está disponible para las transformaciones de notificaciones de grupo.

Validaciones de transformación RegexReplace()

Cuando se seleccionan las siguientes condiciones después de seleccionar Agregar o Ejecutar prueba, se muestra un mensaje que proporciona más información sobre el problema:

  • No se permiten parámetros de entrada con atributos de usuario duplicados.
  • Se encontraron parámetros de entrada sin usar. Los parámetros de entrada definidos deben tener un uso respectivo en el texto del patrón de reemplazo.
  • La entrada de regex de prueba proporcionada no coincide con la expresión regular proporcionada.
  • No se encuentra el origen de los grupos en el patrón de reemplazo.

Adhesión de notificaciones de UPN a tokens SAML

La notificación http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn forma parte del conjunto de notificaciones restringidas de SAML. Si tiene configurada la clave de firma personalizada, puede agregarla en la sección Atributos y notificaciones.

En caso de que no haya ninguna clave de firma personalizada configurada, consulte conjunto de notificaciones restringidas de SAML. Puede agregarla como una notificación opcional mediante Registros de aplicaciones en Azure Portal.

Abra la aplicación en Registros de aplicaciones, seleccione Configuración del token y, después, elija Agregar notificación opcional. Seleccione el tipo de token SAML, elija upn en la lista y, después, haga clic en Agregar para agregar la notificación al token.

La personalización realizada en la sección Atributos y notificaciones puede sobrescribir las notificaciones opcionales en el Registro de aplicaciones.

Emisión de notificaciones basadas en condiciones

Puede especificar el origen de una notificación en función del tipo de usuario y el grupo al que pertenece el usuario.

El tipo de usuario puede ser:

  • Cualquiera: todos los usuarios pueden tener acceso a la aplicación.
  • Miembros: Miembro nativo del inquilino
  • Todos los invitados: el usuario se traslada de una organización externa con o sin Microsoft Entra ID.
  • Invitados de Microsoft Entra: el usuario invitado pertenece a otra organización mediante Microsoft Entra ID.
  • Invitados externos: el usuario invitado pertenece a una organización externa que no tiene Microsoft Entra ID.

Un escenario en el que el tipo de usuario resulta útil es cuando el origen de una notificación es diferente para un invitado y para un empleado que tiene acceso a una aplicación. Puede especificar que, si el usuario es un empleado, el NameID procede de user.email. Si el usuario es un invitado, NameID se obtiene de user.extensionattribute1.

Para agregar una condición de notificaciones:

  1. En Administrar notificaciones, expanda las Condiciones de la notificación.
  2. Seleccione el tipo de usuario.
  3. Seleccione los grupos a los que debe pertenecer el usuario. Puede seleccionar hasta 50 grupos únicos en todas las notificaciones para una aplicación determinada.
  4. Seleccione el origen en el que la notificación va a recuperar su valor. Puede seleccionar un atributo de usuario en la lista desplegable para el atributo de origen o aplicar una transformación al atributo de usuario. También puede seleccionar una extensión de esquema de directorio antes de emitirla como notificación.

El orden en que se agregan las condiciones es importante. En primer lugar, Microsoft Entra evalúa todas las condiciones con el origen Attribute y, a continuación, evalúa todas las condiciones con el origen Transformation para decidir qué valor emitir en la notificación. Las condiciones con el mismo origen se evalúan de arriba abajo. El último valor que coincida con la expresión se emite en la notificación. Transformaciones como IsNotEmpty y Contains actúan como restricciones.

Por ejemplo, Britta Simon es un usuario invitado en el suscriptor de Contoso. Britta pertenece a otra organización que también usa Microsoft Entra ID. Dada la siguiente configuración para la aplicación de Fabrikam, cuando Britta intenta iniciar sesión en Fabrikam, la Plataforma de identidad de Microsoft evalúa las condiciones.

En primer lugar, la Plataforma de identidad de Microsoft comprueba si el tipo de usuario de Britta es Todos los invitados. Dado que el tipo de usuario es Todos los invitados, la plataforma de identidad de Microsoft asigna el origen de la notificación a user.extensionattribute1. En segundo lugar, la Plataforma de identidad de Microsoft comprueba si el tipo de usuario de Britta es Invitados de Microsoft Entra. Dado que el tipo de usuario es Todos los invitados, la plataforma de identidad de Microsoft asigna el origen de la notificación a user.mail. Por último, la notificación se emite con un valor de user.mail para Britta.

Como otro ejemplo, tenga en cuenta cuándo Britta Simon intenta iniciar sesión y se usa la configuración siguiente. Todas las condiciones se evalúan primero con el origen de Attribute. Dado que el tipo de usuario de Britta es Invitados de Microsoft Entra, user.mail se asigna como origen de la notificación. Luego, se evalúan las transformaciones. Dado que Britta es un invitado, user.extensionattribute1 ahora es el nuevo origen de la notificación. Dado que Britta está en Invitados de Microsoft Entra, user.othermail ahora es el nuevo origen de esta notificación. Por último, la notificación se emite con un valor de user.othermail para Britta.

Como ejemplo final, veamos lo que sucede si Britta no tiene configurado user.othermail o está vacío. En ambos casos, se omite la entrada de condición y, en su lugar, la notificación se retiene en user.extensionattribute1.

Opciones avanzadas de notificaciones SAML

Las opciones de notificaciones avanzadas se pueden configurar para que las aplicaciones SAML2.0 expongan la misma notificación a los tokens OIDC y viceversa para las aplicaciones que pretenden usar la misma notificación para los tokens de respuesta de SAML2.0 y OIDC.

Las opciones de notificaciones avanzadas se pueden configurar activando la casilla Opciones de notificaciones SAML avanzadas en la hoja Administración de la notificación.

En la tabla siguiente, se enumeran otras opciones avanzadas que se pueden configurar para una aplicación.

Opción Descripción
Anexar id. de aplicación al emisor Agrega automáticamente el identificador de aplicación a la notificación del emisor. Esta opción garantiza un valor de notificación único para cada instancia cuando hay varias instancias de la misma aplicación. Esta configuración se omite si no hay una clave de firma personalizada configurada para la aplicación.
Invalidar notificación de audiencia Permite la invalidación de la notificación de audiencia enviada a la aplicación. El valor proporcionado debe ser un identificador URI absoluto válido. Esta configuración se omite si no hay una clave de firma personalizada configurada para la aplicación.
Incluir el formato del nombre del atributo Si se selecciona esta opción, Microsoft Entra ID agregará un atributo llamado NameFormat que describe el formato del nombre para las notificaciones restringidas, principales y opcionales de la aplicación. Para más información, consulte Tipo de directiva de asignación de notificaciones.