Vállalati alkalmazások SAML-jogkivonatában kibocsátott jogcímek testreszabása

Napjainkban a Microsoft Identitásplatform támogatja az egyszeri bejelentkezést (SSO) a legtöbb vállalati alkalmazással, beleértve a Azure AD alkalmazáskatalógusba előre integrált alkalmazásokat és az egyéni alkalmazásokat is. Amikor egy felhasználó az SAML 2.0 protokollt használó Microsoft Identitásplatform keresztül hitelesít egy alkalmazáson, a Microsoft Identitásplatform egy jogkivonatot küld az alkalmazásnak (HTTP POST-on keresztül). Ezután az alkalmazás érvényesíti és használja a jogkivonatot a felhasználó bejelentkezéséhez ahelyett, hogy felhasználónevet és jelszót kér. Ezek az SAML-jogkivonatok a felhasználóval kapcsolatos információkat, más néven jogcímeket tartalmaznak.

A jogcímek olyan információk, amelyeket az identitásszolgáltató az adott felhasználó számára kibocsátott jogkivonaton belül állít ki egy felhasználóról. Az SAML-jogkivonatban ezek az adatok általában az SAML attribútumutasításban találhatók. A felhasználó egyedi azonosítója általában az SAML-tárgyban, más néven névazonosítóként jelenik meg.

Alapértelmezés szerint a Microsoft Identitásplatform kiad egy SAML-jogkivonatot az alkalmazásnak, amely egy NameIdentifier jogcímet tartalmaz a felhasználó felhasználónevével (más néven egyszerű felhasználónévvel) Azure AD, amely egyedileg azonosítja a felhasználót. Az SAML-jogkivonat egyéb jogcímeket is tartalmaz, amelyek tartalmazzák a felhasználó e-mail-címét, utónevét és vezetéknevét.

Az SAML-jogkivonatban az alkalmazásnak kibocsátott jogcímek megtekintéséhez vagy szerkesztéséhez nyissa meg az alkalmazást a Azure Portal. Ezután nyissa meg a User Attributes Claims (Felhasználói attribútumok jogcímei) szakaszt&.

Nyissa meg a Felhasználói attribútumok jogcímek & szakaszt a Azure Portal

Az SAML-jogkivonatban kiadott jogcímek szerkesztésének két lehetséges oka lehet:

  • Az alkalmazás megköveteli, hogy a NameIdentifier nameID jogcím ne a Azure AD tárolt felhasználónevet (vagy egyszerű felhasználónevet) tartalmazza.
  • Az alkalmazás úgy lett megírva, hogy más jogcím URI-ket vagy jogcímértékeket követeljen meg.

Névazonosító szerkesztése

A NameID (névazonosító értéke) szerkesztése:

  1. Nyissa meg a Névazonosító értéke lapot.

  2. Válassza ki az attribútumra alkalmazni kívánt attribútumot vagy átalakítást. Igény szerint megadhatja a NameID jogcím formátumát.

    A NameID (névazonosító) értékének szerkesztése

NameID formátum

Ha az SAML-kérelem egy adott formátumú NameIDPolicy elemet tartalmaz, akkor a Microsoft Identitásplatform figyelembe veszi a kérelemben szereplő formátumot.

Ha az SAML-kérelem nem tartalmaz NameIDPolicy elemet, akkor a Microsoft Identitásplatform a megadott formátumban adja ki a NameID azonosítót. Ha nincs megadva formátum, a Microsoft Identitásplatform a kiválasztott jogcímforráshoz társított alapértelmezett forrásformátumot fogja használni. Ha egy átalakítás null vagy érvénytelen értéket eredményez, Azure AD egy állandó párirányú azonosítót küld a nameIdentifier névben.

A Choose name identifier format (Névazonosító kiválasztása) legördülő listában az alábbi lehetőségek közül választhat.

NameID formátum Description
Alapértelmezett Microsoft Identitásplatform az alapértelmezett forrásformátumot fogja használni.
Állandó Microsoft Identitásplatform Az Állandó nevet fogja használni NameID formátumként.
E-mail-cím Microsoft Identitásplatform Az EmailAddress nevet fogja használni NameID formátumként.
Meghatározatlan Microsoft Identitásplatform a Meghatározatlan nevet fogja használni a NameID formátumként.
Windows-tartománynév Microsoft Identitásplatform a WindowsDomainQualifiedName formátumot fogja használni.

Az átmeneti névazonosító szintén támogatott, de nem érhető el a legördülő menüben, és nem konfigurálható az Azure oldalán. A NameIDPolicy attribútummal kapcsolatos további információkért lásd: Egyszeri bejelentkezéses SAML protokoll.

Attribútumok

Válassza ki a kívánt forrást a NameIdentifier (vagy NameID) jogcímhez. Az alábbi lehetőségek közül választhat.

Név Leírás
E-mail A felhasználó e-mail címe
userprincipalName A felhasználó egyszerű felhasználóneve (UPN)
onpremisessamaccountname A helyszíni Azure AD szinkronizált SAM-fiók neve
objectid A felhasználó objektumazonosítója a Azure AD
employeeid A felhasználó alkalmazotti azonosítója
Címtárbővítmények Címtárbővítmények szinkronizálva helyi Active Directory Azure AD Connect Sync használatával
Bővítményattribútumok 1–15 A Azure AD séma kiterjesztéséhez használt helyszíni bővítményattribútumok
pairwiseid A felhasználói azonosító állandó formája

További információ: 3. táblázat: Érvényes azonosítóértékek forrásonként.

Bármilyen állandó (statikus) értéket hozzárendelhet bármely jogcímhez, amelyet a Azure AD definiál. Az alábbi lépések az állandó értékek hozzárendelését ismertetik:

  1. A Azure PortalUser Attributes Claims (Felhasználói attribútumok jogcímei&) szakaszában kattintson a Szerkesztés ikonra a jogcímek szerkesztéséhez.

  2. Kattintson a módosítani kívánt szükséges jogcímre.

  3. Írja be az állandó értéket idézőjelek nélkül a Source attribútumban a szervezet szerint, majd kattintson a Mentés gombra.

    Szervezeti attribútumokra vonatkozó jogcímek & szakasz a Azure Portal

  4. Az állandó érték az alábbi módon jelenik meg.

    Attribútumjogcímek & szerkesztése szakasz a Azure Portal

Különleges jogcímek – átalakítások

A jogcím-átalakítási függvényeket is használhatja.

Függvény Leírás
ExtractMailPrefix() Eltávolítja a tartomány utótagját az e-mail-címből vagy az egyszerű felhasználónévből. Ez csak az átment felhasználónév első részét nyeri ki (például "joe_smith" helyett joe_smith@contoso.com).
ToLower() A kijelölt attribútum karaktereit kisbetűs karakterekké alakítja.
ToUpper() A kijelölt attribútum karaktereit nagybetűkké alakítja.

Alkalmazásspecifikus jogcímek hozzáadása

Alkalmazásspecifikus jogcímek hozzáadása:

  1. A Felhasználói attribútumok jogcímei & területen válassza az Új jogcím hozzáadása lehetőséget a felhasználói jogcímek kezelése lap megnyitásához.
  2. Adja meg a jogcímek nevét . Az értéknek nem feltétlenül kell követnie egy URI-mintát az SAML-specifikáció alapján. Ha URI-mintára van szüksége, azt a Névtér mezőbe helyezheti.
  3. Válassza ki azt a forrást , amelyben a jogcím lekéri az értékét. Kiválaszthat egy felhasználói attribútumot a forrásattribútum legördülő listájából, vagy alkalmazhat átalakítást a felhasználói attribútumra, mielőtt jogcímként bocsátja ki.

Jogcímátalakítások

Átalakítás alkalmazása felhasználói attribútumra:

  1. A Jogcím kezelése lapon válassza az Átalakítás lehetőséget jogcímforrásként az átalakítási kezelés lap megnyitásához.

  2. Válassza ki a függvényt az átalakítás legördülő listájából. A kiválasztott függvénytől függően meg kell adnia a paramétereket és egy állandó értéket, hogy kiértékelje az átalakítás során. Az elérhető függvényekről az alábbi táblázatban talál további információt.

  3. (előzetes verzió) Treat source as multivalued A egy jelölőnégyzet, amely azt jelzi, hogy az átalakítást az összes értékre vagy csak az elsőre kell-e alkalmazni. Alapértelmezés szerint a transzformációk csak egy többértékű jogcím első elemére lesznek alkalmazva, a jelölőnégyzet bejelölésével biztosíthatja, hogy az összesre alkalmazva legyen. Ez a jelölőnégyzet csak többértékű attribútumokhoz lesz engedélyezve, például user.proxyaddresses.

  4. Több átalakítás alkalmazásához kattintson az Átalakítás hozzáadása elemre. Egy jogcímre legfeljebb két átalakítás alkalmazható. Például először kinyerheti a .e-mail előtagját user.mail. Ezután tegye nagybetűssé a sztringet.

    Több jogcím átalakítása

A jogcímek átalakításához az alábbi függvények használhatók.

Függvény Leírás
ExtractMailPrefix() Eltávolítja a tartomány utótagját az e-mail-címből vagy az egyszerű felhasználónévből. Ez csak az átadott felhasználónév első részét nyeri ki (például "joe_smith" helyett joe_smith@contoso.com).
Csatlakozás() Új értéket hoz létre két attribútum összekapcsolásával. Ha szeretné, elválasztót is használhat a két attribútum között. A NameID jogcímátalakítás esetén a Join() függvény adott viselkedéssel rendelkezik, ha az átalakítási bemenet tartományrészt tartalmaz. Eltávolítja a tartományrészt a bemenetből, mielőtt csatlakozna az elválasztóhoz és a kiválasztott paraméterhez. Ha például az átalakítás bemenete ""joe_smith@contoso.com, az elválasztó pedig "@", és a paraméter "fabrikam.com", akkor ez a következőt eredményezi joe_smith@fabrikam.com: .
ToLowercase() A kijelölt attribútum karaktereit kisbetűs karakterekké alakítja.
ToUppercase() A kijelölt attribútum karaktereit nagybetűkké alakítja.
Contains() Egy attribútumot vagy állandót ad ki, ha a bemenet megfelel a megadott értéknek. Ellenkező esetben megadhat egy másik kimenetet, ha nincs egyezés.
Ha például olyan jogcímet szeretne kibocsátani, amelyben az érték a felhasználó e-mail-címe, ha az tartalmazza a "@contoso.com" tartományt, ellenkező esetben az egyszerű felhasználónevet szeretné kibocsátani. Ehhez a következő értékeket kell konfigurálnia:
1. paraméter (bemenet):user.email
Érték: "@contoso.com"
2. paraméter (kimenet): user.email
3. paraméter (kimenet, ha nincs egyezés): user.userprincipalname
EndWith() Egy attribútumot vagy állandót ad ki, ha a bemenet a megadott értékkel végződik. Ellenkező esetben megadhat egy másik kimenetet, ha nincs egyezés.
Ha például olyan jogcímet szeretne kibocsátani, amelyben az érték a felhasználó alkalmazotti azonosítója, ha az alkalmazott azonosítója "000"-re végződik, ellenkező esetben egy bővítményattribútumot szeretne kiadni. Ehhez a következő értékeket kell konfigurálnia:
1. paraméter (bemenet):user.employeeid
Érték: "000"
2. paraméter (kimenet): user.employeeid
3. paraméter (kimenet, ha nincs egyezés): user.extensionattribute1
StartWith() Egy attribútumot vagy állandót ad ki, ha a bemenet a megadott értékkel kezdődik. Ellenkező esetben megadhat egy másik kimenetet, ha nincs egyezés.
Ha például olyan jogcímet szeretne kibocsátani, amelyben az érték a felhasználó alkalmazotti azonosítója, ha az ország/régió az "USA" betűvel kezdődik, ellenkező esetben egy bővítményattribútumot szeretne kibocsátani. Ehhez a következő értékeket kell konfigurálnia:
1. paraméter (bemenet):user.country
Érték: "US"
2. paraméter (kimenet): user.employeeid
3. paraméter (kimenet, ha nincs egyezés): user.extensionattribute1
Extract() – Egyeztetés után A megadott értéknek megfelelő karakterláncrészt adja vissza.
Ha például a bemenet értéke "Finance_BSimon", akkor az egyező érték "Finance_", akkor a jogcím kimenete "BSimon".
Extract() – Egyeztetés előtt Visszaadja a részsztringet, amíg meg nem egyezik a megadott értékkel.
Ha például a bemenet értéke "BSimon_US", akkor az egyező érték "_US", akkor a jogcím kimenete "BSimon".
Extract() – Egyezés között Visszaadja a részsztringet, amíg meg nem egyezik a megadott értékkel.
Ha például a bemenet értéke "Finance_BSimon_US", az első egyező érték "Finance_", a második egyező érték "_US", akkor a jogcím kimenete "BSimon".
ExtractAlpha() – Előtag A sztring betűrendbe szedett előtagját adja vissza.
Ha például a bemenet értéke "BSimon_123", akkor a "BSimon" értéket adja vissza.
ExtractAlpha() – Utótag A sztring betűrendbe szedett részének utótagját adja vissza.
Ha például a bemenet értéke "123_Simon", akkor a "Simon" értéket adja vissza.
ExtractNumeric() – Előtag A sztring numerikus részének előtagját adja vissza.
Ha például a bemenet értéke "123_BSimon", akkor a "123" értéket adja vissza.
ExtractNumeric() – Utótag A sztring utótag numerikus részét adja vissza.
Ha például a bemenet értéke "BSimon_123", akkor a "123" értéket adja vissza.
IfEmpty() Egy attribútumot vagy állandót ad ki, ha a bemenet null értékű vagy üres.
Ha például egy extensionattribute fájlban tárolt attribútumot szeretne kiadni, ha egy adott felhasználó alkalmazotti azonosítója üres. Ehhez a következő értékeket kell konfigurálnia:
1. paraméter (bemenet): user.employeeid
2. paraméter (kimenet): user.extensionattribute1
3. paraméter (kimenet, ha nincs egyezés): user.employeeid
IfNotEmpty() Egy attribútumot vagy állandót ad ki, ha a bemenet nem null értékű vagy üres.
Ha például egy extensionattribute fájlban tárolt attribútumot szeretne kiadni, ha egy adott felhasználó alkalmazotti azonosítója nem üres. Ehhez a következő értékeket kell konfigurálnia:
1. paraméter (bemenet): user.employeeid
2. paraméter (kimenet): user.extensionattribute1
Substring() – Rögzített hossz (előzetes verzió) Kinyeri egy sztring jogcímtípus részeit a megadott pozícióban lévő karaktertől kezdve, és visszaadja a megadott számú karaktert.
SourceClaim – Az a jogcímforrás, amelyet az átalakításnak végre kell hajtania.
StartIndex – Egy részsztring nulla alapú kezdő karakterpozíciója ebben a példányban.
Hossz – A részkarakterlánc karaktereinek hossza.
Például:
sourceClaim – PleaseExtractThisNow
StartIndex – 6
Hossz – 11
Kimenet: ExtractThis
Substring() – EndOfString (előzetes verzió) Kinyeri egy sztring jogcímtípusának a megadott pozícióban lévő karaktertől kezdődő részeit, és visszaadja a jogcím többi részét a megadott kezdőindexből.
SourceClaim – Az a jogcímforrás, amelyet az átalakításnak végre kell hajtania.
StartIndex – Egy részsztring nulla alapú kezdő karakterpozíciója ebben a példányban.
Például:
sourceClaim – PleaseExtractThisNow
StartIndex – 6
Kimenet: ExtractThisNow
RegexReplace() (előzetes verzió) A RegexReplace() transzformáció bemeneti paraméterekként fogad el:
- 1. paraméter: egy felhasználói attribútum regex bemenetként
– Lehetőség a forrás többértékűként való megbízhatóságára
- Regex minta
- Csere minta. A helyettesítő minta tartalmazhat statikus szövegformátumot, valamint a regex kimeneti csoportokra mutató hivatkozásokat és további bemeneti paramétereket.

További útmutatás a RegexReplace() transzformáció használatához az alábbiakban leírtak szerint.

Ha további átalakításokra van szüksége, küldje el ötletét a visszajelzési fórumon Azure ADSaaS-alkalmazás kategóriában.

A RegexReplace() átalakítás használata

A RegexReplace() átalakítás ábrájának képernyőképe.

  1. Válassza a szerkesztés gombot (ceruza ikon) a jogcím-átalakítási panel megnyitásához.

  2. Válassza a "RegexReplace()" lehetőséget az "Átalakítás" lehetőségek közül a regex-alapú jogcím-átalakítási módszer a jogcímek átalakításához való használatához.

  3. Az "1. paraméter" a forrásfelhasználó bemeneti attribútuma, amely a reguláris kifejezésátalakítás bemenete lesz. Például: user.mail, amelynek felhasználói e-mail címe ( például admin@contoso.com.

  4. Egyes bemeneti felhasználói attribútumok többértékű felhasználói attribútumok lehetnek. Ha a kijelölt felhasználói attribútum több értéket támogat, és a felhasználó több értéket szeretne használni az átalakításhoz, akkor be kell jelölnie a "Forrás kezelése többértékűként" jelölőnégyzetet. Ha egy rendszergazda ellenőrzi a jelölőnégyzetet, az összes érték regex egyezéshez lesz használva, ellenkező esetben csak az első érték lesz használva.

  5. A "Regex-minta" szövegmező egy reguláris kifejezést fogad el, amelyet a rendszer az "1. paraméterként" kiválasztott felhasználói attribútum értékével értékel ki. A felhasználói alias felhasználó e-mail-címből való kinyerésére szolgáló reguláris kifejezés például a következőképpen jelenik meg: "(?" domain'^.*?) (?i)(@contoso.com)$"

  6. A "További paraméter hozzáadása" gombbal a rendszergazda további felhasználói attribútumokat is kiválaszthat, amelyek felhasználhatók az átalakításhoz. A további attribútumok értékeit a regex transzformációs kimenettel egyesítené a rendszer. Jelenleg legfeljebb öt további paraméter támogatott.

    Ennek szemléltetéséhez használjuk a user.country attribútumot bemeneti paraméterként. Ennek az attribútumnak az értéke "US". A cseremintába való egyesítéshez a rendszergazdának {country} néven kell hivatkoznia rá a cseremintán belül. Miután a rendszergazda kiválasztotta a paraméter felhasználói attribútumát, a paraméter információs buborékja elmagyarázza, hogyan használható a paraméter a helyettesítő mintán belül.
    A RegexReplace() infobuborék ábrájának képernyőképe.

  7. A "Csereminta" szövegmező elfogadja a cseremintát. A helyettesítő minta a szövegsablon, amely a regex eredménycsoport nevének, a bemeneti paramétercsoport nevének és a statikus szöveges értéknek helyőrzőit tartalmazza. Minden csoportnevet a kapcsos zárójelek közé kell burkolni, például {group-name}. Tegyük fel, hogy az adminisztráció felhasználói aliast szeretne használni más tartománynévvel, például xyz.com és az országnevet egyesíteni vele. Ebben az esetben a csereminta a következő lenne: "{country}. {domain}@xyz.com", ahol {country} lesz a bemeneti paraméter értéke, a {domain} pedig a reguláris kifejezés kiértékelésének csoportkimenete lesz. Ilyen esetben a várt eredmény "US.swmal@xyz.com" lesz

  8. A RegexReplace() átalakítás csak akkor lesz kiértékelve, ha az "1. paraméter" kiválasztott felhasználói attribútumának értéke megegyezik a Regex-minta szövegmezőben megadott reguláris kifejezéssel. Ha nem egyeznek meg, a rendszer hozzáadja az alapértelmezett jogcímértéket a jogkivonathoz. A reguláris kifejezésnek a bemeneti paraméter értékével való ellenőrzéséhez elérhető egy tesztelési felület az átalakítási panelen. Ez a tesztkörnyezet csak próbaértékeken működik. További bemeneti paraméterek használata esetén a paraméter neve a tényleges érték helyett a teszteredményhez lesz hozzáadva. A mintakimenet a 18. pontban látható. A tesztszakasz eléréséhez a rendszergazda a "Tesztátalakítás" gombot választhatja. A RegexReplace() Test Transformation képernyőképe.

  9. A regex-alapú jogcímátalakítások nem korlátozódnak az első átalakításra, és második szintű átalakításként is használhatók. Bármely más átalakítási módszer használható első átalakításként.

  10. Ha a RegexReplace() második szintű átalakításként van kiválasztva, az első szintű átalakítás kimenete a második szintű átalakítás bemeneteként lesz felhasználva. A második szintű regex kifejezésnek meg kell egyeznie az első átalakítás kimenetével, különben az átalakítás nem lesz alkalmazva.

  11. Ugyanaz, mint a fenti 5. pont, a "Regex minta" a második szintű átalakítás reguláris kifejezése.

  12. Ezek a bemeneti felhasználói attribútumok a második szintű átalakításokhoz.

  13. A rendszergazdák törölhetik a kiválasztott bemeneti paramétert, ha már nincs rá szükségük.

  14. Miután a rendszergazda a "Tesztátalakítás" lehetőséget választja, megjelenik a "Tesztelési átalakítás" szakasz, és a "Tesztelés átalakítás" gomb eltűnik.

  15. A bezárás vagy az (X) gombra kattintva elrejtheti a tesztszakaszt, és újra megjelenítheti az "Átalakítás tesztelése" gombot a panelen.

  16. A "Test regex input" (Regex-bemenet tesztelése) szövegmező elfogadja a próbabemenetet, amely a reguláris kifejezésteszt kiértékelésére szolgál bemenetként. Abban az esetben, ha a regex-alapú jogcímátalakítás második szintű átalakításként van konfigurálva, a rendszergazdának meg kell adnia egy próbaértéket, amely az első átalakítás várt kimenete lenne.

  17. Miután a rendszergazda megadta a regex teszt bemenetet, és konfigurálta a "Regex-mintát", a "Cseremintát" és a "Bemeneti paramétereket", a "Teszt futtatása" gombra kattintva kiértékelhetik a kifejezést.

  18. Ha a kiértékelés sikeres, a tesztátalakítás kimenete a "Tesztelési átalakítási eredmény" címkén jelenik meg.

  19. A rendszergazda az "Átalakítás eltávolítása" gombbal eltávolíthatja a második szintű átalakítást.

  20. Ha regex bemeneti érték van konfigurálva az "1. paraméterhez", amely nem felel meg a "Reguláris kifejezésnek", a rendszer kihagyja az átalakítást. Ilyen esetekben a rendszergazda konfigurálhatja a másodlagos felhasználói attribútumot, amelyet a rendszer hozzáad a jogcím jogkivonatához a "Kimenet megadása, ha nincs egyezés" jelölőnégyzet bejelölésével.

  21. Ha egy rendszergazda alternatív felhasználói attribútumot szeretne visszaadni, ha nincs egyezés, és bejelölte a "Kimenet megadása, ha nincs egyezés" jelölőnégyzetet, a legördülő menüben választhat alternatív felhasználói attribútumot. Ez a legördülő lista a "3. paraméter (kimenet, ha nem egyezik)" értéken érhető el.

  22. A panel alján megjelenik a formátum teljes összegzése, amely egyszerű szövegben ismerteti az átalakítás jelentését.

  23. Ha a rendszergazda elégedett az átalakítás konfigurációs beállításaival, a "Hozzáadás" gombra kattintva mentheti azt a jogcímszabályzatba. A rendszer csak akkor menti a módosításokat, ha a rendszergazda manuálisan kiválasztja a "Jogcím kezelése" panelen elérhető "Mentés" eszköztárgombot.

A RegexReplace() átalakítás a csoportjogcímek átalakításához is elérhető. Képernyőkép a RegexReplace() csoportjogcímek átalakításáról.

RegexReplace() Átalakítás érvényesítései

Az ismétlődő felhasználói attribútumokkal rendelkező bemeneti paraméterek nem engedélyezettek. Ha ismétlődő felhasználói attribútumok vannak kijelölve, a következő érvényesítési üzenet jelenik meg, miután a rendszergazda a "Hozzáadás" vagy a "Teszt futtatása" gombot választotta.

A RegexReplace() érvényesítési duplikált felhasználó képernyőképe.

Ha nem használt bemeneti paramétereket talál, a következő üzenet jelenik meg a "Hozzáadás" és a "Teszt futtatása" gombra kattintva. A megadott bemeneti paramétereknek megfelelő használattal kell rendelkezniük a csereminta szövegében.

A RegexReplace() érvényesítési bemeneti paraméter képernyőképe.

A tesztkörnyezetben, ha a megadott regex tesztbemenet nem egyezik meg a megadott reguláris kifejezéssel, a következő üzenet jelenik meg. Az ellenőrzéshez bemeneti értékre van szükség, ezért nem lesz alkalmazva, amikor a felhasználó a "Hozzáadás" gombra kattint.

A RegexReplace() érvényesítési teszt regex sikertelen reguláris kifejezésének képernyőképe.

A tesztelés során, ha a csoportok forrását nem találja a helyettesítő mintába, a felhasználó a következő üzenetet fogja kapni. Ez az ellenőrzés nem lesz alkalmazva, ha a felhasználó a "Hozzáadás" gombra kattint.

A RegexReplace() érvényesítési teszt regex csoportjainak nem található képernyőképe.

UPN-jogcím hozzáadása SAML-jogkivonatokhoz

A http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn jogcím az SAML által korlátozott jogcímkészlet része, ezért nem vehető fel a Felhasználói attribútumok jogcímek & szakaszba. Áthidaló megoldásként a Azure Portal Alkalmazásregisztrációk keresztül is hozzáadhatja opcionális jogcímként.

Nyissa meg az alkalmazást Alkalmazásregisztrációk, válassza a Jogkivonat konfigurációja lehetőséget, majd adja meg a választható jogcímet. Válassza ki az SAML-jogkivonat típusát, válassza ki a upn elemet a listából, majd a Hozzáadás gombra kattintva kérje le a jogcímet a jogkivonatban.

Jogcímek kibocsátása feltételek alapján

A jogcím forrását a felhasználó típusa és a felhasználóhoz tartozó csoport alapján adhatja meg.

A felhasználó típusa a következő lehet:

  • Bármely: Minden felhasználó hozzáférhet az alkalmazáshoz.
  • Tagok: A bérlő natív tagja
  • Minden vendég: A felhasználót egy külső szervezet hozza át Azure AD vagy anélkül.
  • AAD-vendégek: A vendégfelhasználó egy másik szervezethez tartozik Azure AD használatával.
  • Külső vendégek: A vendégfelhasználó olyan külső szervezethez tartozik, amely nem rendelkezik Azure AD.

Ez akkor hasznos, ha a jogcím forrása eltér egy vendég és egy alkalmazáshoz hozzáférő alkalmazott esetében. Megadhatja, hogy ha a felhasználó alkalmazott, akkor a NameID user.email származik, de ha a felhasználó vendég, akkor a nameID a user.extensionattribute1 fájlból származik.

Jogcímfeltétel hozzáadása:

  1. A Jogcím kezelése területen bontsa ki a Jogcímfeltételeket.
  2. Válassza ki a felhasználó típusát.
  3. Válassza ki azt a csoportot(oka)t, amelyhez a felhasználónak tartoznia kell. Egy adott alkalmazáshoz tartozó összes jogcímhez legfeljebb 50 egyedi csoportot választhat ki.
  4. Válassza ki azt a forrást , amelyben a jogcím lekéri az értékét. Kiválaszthat egy felhasználói attribútumot a forrásattribútum legördülő listájából, vagy alkalmazhat átalakítást a felhasználói attribútumra, mielőtt jogcímként bocsátja ki.

A feltételek hozzáadásának sorrendje fontos. Azure AD először kiértékeli az összes feltételt a forrássalAttribute, majd kiértékeli a forráshoz Transformation tartozó összes feltételt, hogy eldöntse, melyik értéket adja ki a jogcímben. Az azonos forrású feltételek kiértékelése felülről lefelé történik. A kifejezésnek megfelelő utolsó érték lesz kibocsátva a jogcímben. Az átalakítások, például IsNotEmpty a Contains további korlátozások, és úgy működnek, mint a további korlátozások.

Britta Simon például vendégfelhasználó a Contoso bérlőjében. A Britta egy másik szervezethez tartozik, amely szintén Azure AD használ. A Fabrikam alkalmazás alábbi konfigurációja alapján, amikor Britta megpróbál bejelentkezni a Fabrikamba, a Microsoft Identitásplatform az alábbiak szerint értékeli ki a feltételeket.

Először is a Microsoft Identitásplatform ellenőrzi, hogy Britta felhasználótípusa Minden vendég-e. Mivel ez igaz, a Microsoft Identitásplatform hozzárendeli a jogcím forrását a következőhözuser.extensionattribute1: . Másodszor, a Microsoft Identitásplatform ellenőrzi, hogy Britta felhasználói típusa AAD-vendégek-e, mivel ez is igaz, akkor a Microsoft Identitásplatform hozzárendeli a jogcím user.mailforrását. Végül a jogcím britta értékkel user.mail lesz kibocsátva.

A jogcímek feltételes konfigurálásának képernyőképe.

Egy másik példaként vegye figyelembe, amikor Britta Simon megpróbál bejelentkezni, és a következő konfigurációt használja. Azure AD először kiértékeli az összes feltételt a forrássalAttribute. Mivel a Britta felhasználói típusa AAD-vendégek, user.mail a jogcím forrásaként van hozzárendelve. Ezután Azure AD kiértékeli az átalakításokat. Mivel Britta vendég, user.extensionattribute1 most már az új forrás a jogcím. Mivel Britta az AAD vendége, user.othermail most ez a jogcím a forrása. Végül a jogcím britta értékkel user.othermail lesz kibocsátva.

További jogcímek feltételes konfigurálásának képernyőképe.

Utolsó példaként tekintsük át, mi történik, ha a Britta nincs user.othermail konfigurálva, vagy üres. A rendszer mindkét esetben figyelmen kívül hagyja a feltételbejegyzést, és a jogcím visszaesik user.extensionattribute1 helyette.

Az SAML-jogcímek speciális beállításai

Az alábbi táblázat az alkalmazásokhoz konfigurálható speciális beállításokat sorolja fel.

Beállítás Leírás
Alkalmazásazonosító hozzáfűzése a kiállítóhoz Automatikusan hozzáadja az alkalmazásazonosítót a kiállítói jogcímhez. Ez a beállítás egyedi jogcímértéket biztosít minden példányhoz, ha ugyanannak az alkalmazásnak több példánya van. A rendszer figyelmen kívül hagyja ezt a beállítást, ha nincs konfigurálva egyéni aláírókulcs az alkalmazáshoz.
Célközönségjogcím felülbírálása Lehetővé teszi az alkalmazásnak küldött célközönségjogcím felülírását. A megadott értéknek érvényes abszolút URI-nak kell lennie. A rendszer figyelmen kívül hagyja ezt a beállítást, ha nincs konfigurálva egyéni aláírókulcs az alkalmazáshoz.
Attribútumnév formátumának belefoglalása Ha be van jelölve, az Azure Active Directory hozzáad egy további attribútumot NameFormat , amely leírja a név korlátozott, alapvető és opcionális jogcímek formátumát az alkalmazáshoz. További információ: Jogcímleképezési szabályzat típusa

Következő lépések