Jogcímleképezési szabályzat típusa
A Azure AD házirendobjektum az egyes alkalmazásokra vagy a szervezet összes alkalmazására érvényes szabályok halmazát jelöli. Minden szabályzattípus egyedi struktúrával rendelkezik, amely tulajdonságokat alkalmaz azokra az objektumokra, amelyekhez hozzá vannak rendelve.
A jogcímleképezési szabályzatok olyan szabályzatobjektumok , amelyek módosítják az adott alkalmazásokhoz kibocsátott jogkivonatokban kibocsátott jogcímeket .
Jogcímkészletek
Vannak bizonyos jogcímkészletek, amelyek meghatározzák, hogyan és mikor használják őket a jogkivonatokban.
| Jogcímkészlet | Description |
|---|---|
| Alapszintű jogcímkészlet | A szabályzattól függetlenül minden jogkivonatban jelen vannak. Ezek a jogcímek szintén korlátozottnak minősülnek, és nem módosíthatók. |
| Alapszintű jogcímkészlet | Tartalmazza a jogkivonatokhoz alapértelmezés szerint kibocsátott jogcímeket (az alapvető jogcímkészleten kívül). Az alapszintű jogcímeket a jogcímleképezési szabályzatok használatával hagyhatja ki vagy módosíthatja . |
| Korlátozott jogcímkészlet | Szabályzattal nem módosítható. Az adatforrás nem módosítható, és a jogcímek létrehozásakor nem alkalmaztak átalakítást. |
Ez a szakasz a következő listákat sorolja fel:
- 1. táblázat: JSON webes jogkivonat (JWT) korlátozott jogcímkészlete
- 2. táblázat: SAML által korlátozott jogcímkészlet
1. táblázat: JSON webes jogkivonat (JWT) korlátozott jogcímkészlete
Megjegyzés
A "xms_" kezdetű jogcímek korlátozottak.
| Jogcím típusa (név) |
|---|
| . |
| _claim_names |
| _claim_sources |
| aai |
| access_token |
| account_type |
| Acct |
| acr |
| acrs |
| Színész |
| korcsoport |
| Aio |
| altsecid |
| Amr |
| app_chain |
| app_displayname |
| app_res |
| appctx |
| appctxsender |
| Appid |
| appidacr |
| at_hash |
| auth_time |
| azp |
| azpacr |
| c_hash |
| ca_enf |
| ca_policy_result |
| capolids_latebind |
| capolids |
| cc |
| cnf |
| code |
| controls_auds |
| vezérlők |
| credential_keys |
| ctry |
| Deviceid |
| domain_dns_name |
| domain_netbios_name |
| e_exp |
| endpoint |
| enfpolids |
| expires_on |
| fido_auth_data |
| fwd_appidacr |
| Fwd |
| Grafikon |
| group_sids |
| csoportok |
| hasgroups |
| haswids |
| home_oid |
| home_puid |
| home_tid |
| identityprovider |
| Idp |
| idtyp |
| in_corp |
| Példány |
| inviteTicket |
| ipaddr |
| isbrowserhostedapp |
| isViral |
| login_hint |
| mam_compliance_url |
| mam_enrollment_url |
| mam_terms_of_use_url |
| mdm_compliance_url |
| mdm_enrollment_url |
| mdm_terms_of_use_url |
| msproxy |
| nameid |
| Felhasználónév |
| nemce |
| Oid |
| on_prem_id |
| onprem_sam_account_name |
| onprem_sid |
| openid2_id |
| origin_header |
| platf |
| polids |
| pop_jwk |
| preferred_username |
| primary_sid |
| prov_data |
| puid |
| pwd_exp |
| pwd_url |
| rdp_bt |
| refresh_token_issued_on |
| refreshtoken |
| Rh |
| szerepkörök |
| rt_type |
| Scp |
| secaud |
| Sid |
| Sid |
| signin_state |
| source_anchor |
| src1 |
| src2 |
| Al |
| target_deviceid |
| tbid |
| tbidv2 |
| tenant_ctry |
| tenant_display_name |
| tenant_region_scope |
| tenant_region_sub_scope |
| thumbnail_photo |
| Tid |
| tokenAutologonEnabled |
| trustedfordelegation |
| Ttr |
| unique_name |
| Upn |
| user_setting_sync_url |
| Uti |
| Ver |
| verified_primary_email |
| verified_secondary_email |
| vnet |
| wamcompat_client_info |
| wamcompat_id_token |
| wamcompat_scopes |
| wids |
| xcb2b_rclient |
| xcb2b_rcloud |
| xcb2b_rtenant |
| ztdid |
2. táblázat: KORLÁTOZOTT SAML-jogcímkészlet
Az alábbi táblázat azokat az SAML-jogcímeket sorolja fel, amelyek alapértelmezés szerint a korlátozott jogcímkészletben találhatók.
| Jogcím típusa (URI) |
|---|
http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged |
http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown |
http://schemas.microsoft.com/2014/03/psso |
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant |
http://schemas.microsoft.com/claims/authnmethodsreferences |
http://schemas.microsoft.com/claims/groups.link |
http://schemas.microsoft.com/identity/claims/accesstoken |
http://schemas.microsoft.com/identity/claims/acct |
http://schemas.microsoft.com/identity/claims/agegroup |
http://schemas.microsoft.com/identity/claims/aio |
http://schemas.microsoft.com/identity/claims/identityprovider |
http://schemas.microsoft.com/identity/claims/objectidentifier |
http://schemas.microsoft.com/identity/claims/openid2_id |
http://schemas.microsoft.com/identity/claims/puid |
http://schemas.microsoft.com/identity/claims/tenantid |
http://schemas.microsoft.com/identity/claims/xms_et |
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant |
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod |
http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration |
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups |
http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
http://schemas.microsoft.com/ws/2008/06/identity/claims/wids |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname |
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid |
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn |
http://schemas.microsoft.com/ws/2008/06/identity/claims/role |
Ezek a jogcímek alapértelmezés szerint korlátozottak, de nem korlátozottak, ha az AcceptMappedClaims tulajdonságottrue az alkalmazásjegyzékben állítja be , vagyegyéni aláíró kulccsal rendelkezik:
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnamehttp://schemas.microsoft.com/ws/2008/06/identity/claims/primarysidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsidhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/sidhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname
Ezek a jogcímek alapértelmezés szerint korlátozottak, de nem korlátozottak, ha egyéni aláírókulccsal rendelkezik:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhttp://schemas.microsoft.com/ws/2008/06/identity/claims/role
Jogcímleképezési szabályzat tulajdonságai
A jogcímleképezési szabályzat tulajdonságaival szabályozhatja, hogy mely jogcímek és honnan származnak az adatok. Ha nincs beállítva szabályzat, a rendszer olyan jogkivonatokat bocsát ki, amelyek tartalmazzák az alapjogcímkészletet, az alapszintű jogcímkészletet és az alkalmazás által fogadott opcionális jogcímeket .
Megjegyzés
Az alapjogcímkészletben lévő jogcímek minden jogkivonatban megtalálhatók, függetlenül attól, hogy mire van beállítva ez a tulajdonság.
Alapszintű jogcímkészlet belefoglalása
Karakterlánc: IncludeBasicClaimSet
Adattípus: Logikai (igaz vagy hamis)
Összefoglaló: Ez a tulajdonság határozza meg, hogy az alapszintű jogcímkészlet szerepel-e a szabályzat által érintett jogkivonatokban.
- Ha Igaz értékre van állítva, az alapszintű jogcímkészletben lévő összes jogcím a szabályzat által érintett jogkivonatokban lesz kibocsátva.
- Ha False (Hamis) értékre van állítva, az alapszintű jogcímkészletben lévő jogcímek nem szerepelnek a jogkivonatokban, kivéve, ha egyenként vannak hozzáadva ugyanannak a szabályzatnak a jogcímséma-tulajdonságához.
Jogcímséma
Karakterlánc: ClaimsSchema
Adattípus: JSON-blob egy vagy több jogcímséma-bejegyzéssel
Összefoglaló: Ez a tulajdonság határozza meg, hogy mely jogcímek szerepelnek a szabályzat által érintett jogkivonatokban az alapszintű jogcímkészleten és az alapvető jogcímkészleten kívül. A tulajdonságban definiált jogcímséma-bejegyzésekhez bizonyos információkra van szükség. Adja meg, hogy az adatok honnan származnak (Érték, Forrás/azonosító pár vagy Forrás/Bővítményazonosító pár), és hogy az adatok melyik jogcímként vannak kibocsátva (Jogcím típusa).
Jogcímséma-bejegyzés elemei
Érték: Az Érték elem statikus értéket határoz meg a jogcímben kibocsátandó adatokként.
SAMLNameFormat: Az SAML Name Format tulajdonság a jogcím "NameFormat" attribútumának értékét adja meg. Ha jelen van, az engedélyezett értékek a következők:
- urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
- urn:oasis:names:tc:SAML:2.0:attrname-format:uri
- urn:oasis:names:tc:SAML:2.0:attrname-format:basic
Forrás/azonosító pár: A Forrás és azonosító elemek határozzák meg, hogy a jogcímben lévő adatok honnan származnak.
Forrás/ExtensionID pár: A Forrás és az ExtensionID elem határozza meg azt a könyvtárbővítmény-attribútumot, amelyből a jogcímben lévő adatok származnak. További információ: Címtárbővítmény-attribútumok használata jogcímekben.
Állítsa a Forrás elemet a következő értékek egyikére:
- "user": A jogcímben lévő adatok a User objektum egyik tulajdonsága.
- "application": A jogcímben szereplő adatok az alkalmazás (ügyfél) szolgáltatásnév egyik tulajdonsága.
- "resource": A jogcímben szereplő adatok az erőforrás-szolgáltatásnév tulajdonsága.
- "célközönség": A jogcímben szereplő adatok a jogkivonat célközönségét képező szolgáltatásnév tulajdonságai (az ügyfél vagy az erőforrás-szolgáltatásnév).
- "vállalat": A jogcímben szereplő adatok az erőforrás-bérlő Cég objektumának egy tulajdonsága.
- "átalakítás": A jogcímben szereplő adatok jogcímátalakításból származnak (lásd a cikk későbbi, Jogcímátalakítás című szakaszát).
Ha a forrás átalakítás, a Átalakítási azonosító elemet is bele kell foglalni ebbe a jogcímdefinícióba.
Az ID elem azonosítja, hogy a forrás melyik tulajdonsága adja meg a jogcím értékét. Az alábbi táblázat a Forrás minden értékére érvényes azonosító értékeket sorolja fel.
Figyelmeztetés
Jelenleg az egyetlen elérhető többértékű jogcímforrás egy felhasználói objektumon az AADConnectből szinkronizált többértékű bővítményattribútumok. Más tulajdonságok, például az OtherMails és a címkék többértékűek, de forrásként való kijelöléskor csak egy érték lesz kibocsátva.
3. táblázat: Érvényes azonosítóértékek forrásonként
| Forrás | ID (Azonosító) | Description |
|---|---|---|
| Felhasználó | surname | Családnév |
| Felhasználó | givenname | utónév; |
| Felhasználó | Displayname | Megjelenítendő név |
| Felhasználó | objectid | ObjectID |
| Felhasználó | Levelezés | E-mail-cím |
| Felhasználó | userprincipalname | Felhasználó egyszerű neve |
| Felhasználó | Részleg | Részleg |
| Felhasználó | onpremisessamaccountname | Helyszíni SAM-fiók neve |
| Felhasználó | netbiosname | NetBios neve |
| Felhasználó | dnsdomainname | DNS-tartománynév |
| Felhasználó | onpremisesecurityidentifier | Helyszíni biztonsági azonosító |
| Felhasználó | companyname | Szervezetnév |
| Felhasználó | streetaddress | Utca, házszám |
| Felhasználó | irányítószám | Irányítószám |
| Felhasználó | preferredlanguage | Előnyben részesített nyelv |
| Felhasználó | onpremisesuserprincipalname | Helyszíni UPN |
| Felhasználó | mailnickname | E-mail becenév |
| Felhasználó | extensionattribute1 | 1. bővítményattribútum |
| Felhasználó | extensionattribute2 | 2. bővítményattribútum |
| Felhasználó | extensionattribute3 | 3. bővítményattribútum |
| Felhasználó | extensionattribute4 | 4. bővítményattribútum |
| Felhasználó | extensionattribute5 | 5. bővítményattribútum |
| Felhasználó | extensionattribute6 | 6. bővítményattribútum |
| Felhasználó | extensionattribute7 | 7. bővítményattribútum |
| Felhasználó | extensionattribute8 | 8. bővítményattribútum |
| Felhasználó | extensionattribute9 | 9. bővítményattribútum |
| Felhasználó | extensionattribute10 | 10. bővítményattribútum |
| Felhasználó | extensionattribute11 | Bővítményattribútum 11 |
| Felhasználó | extensionattribute12 | Bővítményattribútum 12 |
| Felhasználó | extensionattribute13 | Bővítményattribútum 13 |
| Felhasználó | extensionattribute14 | Bővítményattribútum 14 |
| Felhasználó | extensionattribute15 | Bővítményattribútum 15 |
| Felhasználó | egyéb e-mail | Egyéb levelek |
| Felhasználó | ország | Ország/régió |
| Felhasználó | city | City |
| Felhasználó | állapot | Állapot |
| Felhasználó | jobtitle | Beosztás |
| Felhasználó | employeeid | Alkalmazott azonosítója |
| Felhasználó | facsimiletelephonenumber | Telefakszimile telefonszám |
| Felhasználó | assignedroles | a felhasználóhoz rendelt alkalmazásszerepkörök listája |
| Felhasználó | accountEnabled | Fiók engedélyezve |
| Felhasználó | consentprovidedforminor | A kismértékű hozzájárulás megadva |
| Felhasználó | createddatetime | Létrehozás dátuma/időpontja |
| Felhasználó | creationtype | Létrehozás típusa |
| Felhasználó | lastpasswordchangedatetime | Legutóbbi jelszóváltoztatás dátuma/időpontja |
| Felhasználó | mobiltelefon | Mobiltelefonszám |
| Felhasználó | officelocation | Office-hely |
| Felhasználó | onpremisesdomainname | Helyszíni tartománynév |
| Felhasználó | onpremisesimmutableid | Helyszíni nem módosítható azonosító |
| Felhasználó | onpremisessyncenabled | Helyszíni szinkronizálás engedélyezve |
| Felhasználó | preferreddatalocation | Előnyben részesített adathely |
| Felhasználó | proxyaddresses | Proxycímek |
| Felhasználó | usertype | Felhasználó típusa |
| Felhasználó | telephonenumber | Business Phone /Office Phone |
| alkalmazás, erőforrás, célközönség | Displayname | Megjelenítendő név |
| alkalmazás, erőforrás, célközönség | objectid | ObjectID |
| alkalmazás, erőforrás, célközönség | tags | Szolgáltatásnév címkéje |
| Vállalat | tenantcountry | Bérlő országa/régiója |
Átalakítási azonosító: A TransformationID elemet csak akkor kell megadni, ha a Forrás elem "átalakítás" értékre van állítva.
- Ennek az elemnek meg kell egyeznie a jogcímhez tartozó adatok létrehozásának módját meghatározó ClaimsTransformation tulajdonság átalakítási bejegyzésének azonosító elemével.
Jogcím típusa: A JwtClaimType és a SamlClaimType elemek határozzák meg, hogy melyik jogcímre hivatkozik ez a jogcímséma-bejegyzés.
- A JwtClaimType tulajdonságnak tartalmaznia kell a JWT-ben kibocsátandó jogcím nevét.
- A SamlClaimType tulajdonságnak tartalmaznia kell az SAML-jogkivonatokban kibocsátandó jogcím URI-ját.
- onPremisesUserPrincipalName attribútum: Alternatív azonosító használata esetén a userPrincipalName helyszíni attribútum szinkronizálva lesz az onPremisesUserPrincipalName Azure AD attribútummal. Ez az attribútum csak akkor érhető el, ha alternatív azonosító van konfigurálva, de az MS Graph Bétaverzión keresztül is elérhető: https://graph.microsoft.com/beta/me/.
Megjegyzés
A korlátozott jogcímkészletben lévő jogcímek nevei és URI-i nem használhatók a jogcímtípus elemeihez. További információt a cikk későbbi, "Kivételek és korlátozások" című szakaszában talál.
Csoportszűrő
Karakterlánc: GroupFilter
Adattípus: JSON-blob
Összefoglaló: Ezzel a tulajdonságpal szűrőt alkalmazhat a csoportjogcímbe felvenni kívánt felhasználói csoportokra. Ez hasznos eszköz lehet a jogkivonat méretének csökkentésére.
MatchOn: A MatchOn tulajdonság azonosítja azt a csoportattribútumot, amelyre alkalmazni szeretné a szűrőt.
Állítsa a MatchOn tulajdonságot a következő értékek egyikére:
- "displayname": A csoport megjelenítendő neve.
- "samaccountname": A helyszíni SAM-fiók neve
Típus: A Type (Típus) tulajdonság kiválasztja a MatchOn tulajdonság által kiválasztott attribútumra alkalmazni kívánt szűrő típusát.
Állítsa a Type (Típus) tulajdonságot a következő értékek egyikére:
- "előtag": Olyan csoportok belefoglalása, ahol a MatchOn tulajdonság a megadott Érték tulajdonsággal kezdődik.
- "utótag": Olyan csoportokat is felvehet, ahol a MatchOn tulajdonság a megadott Érték tulajdonsággal végződik.
- "contains": Belefoglalja azokat a csoportokat, ahol a MatchOn tulajdonság a megadott Value tulajdonsággal rendelkezik.
Jogcím-átalakítás
Karakterlánc: ClaimsTransformation
Adattípus: JSON-blob egy vagy több átalakítási bejegyzéssel
Összefoglaló: Ezzel a tulajdonságkal gyakori átalakításokat alkalmazhat a forrásadatokra a jogcímsémában megadott jogcímek kimeneti adatainak létrehozásához.
ID: Az ID elem használatával hivatkozzon erre az átalakítási bejegyzésre a TransformationID Jogcímséma bejegyzésben. Ennek az értéknek egyedinek kell lennie a házirend minden egyes átalakítási bejegyzéséhez.
TransformationMethod: Az TransformationMethod elem azonosítja, hogy a rendszer melyik műveletet hajtja végre a jogcím adatainak létrehozásához.
A választott módszer alapján bemenetek és kimenetek készlete várható. A bemeneteket és kimeneteket az InputClaims, az InputParameters és az OutputClaims elemek használatával határozhatja meg.
4. táblázat: Átalakítási módszerek és várt bemenetek és kimenetek
| TransformationMethod | Várt bemenet | Várt kimenet | Description |
|---|---|---|---|
| Csatlakozás | sztring1, sztring2, elválasztó | outputClaim | A bemeneti sztringeket egy elválasztóval illeszti be a kettő közé. Például: string1:"foo@bar.com" , string2:"sandbox" , separator:"." results in outputClaim:"foo@bar.com.sandbox" |
| ExtractMailPrefix | Email vagy UPN | kinyert sztring | ExtensionAttributes 1-15 vagy bármely más címtárbővítmény, amely a felhasználó upn- vagy e-mail-címértékét tárolja, például johndoe@contoso.com: . Kinyeri egy e-mail-cím helyi részét. Például: mail:"foo@bar.com" eredménye outputClaim:"foo". Ha nincs @ jel, akkor a rendszer az eredeti bemeneti sztringet adja vissza. |
InputClaims: Használja az InputClaims elemet a jogcímséma-bejegyzés adatainak transzformációba való továbbításához. Három attribútuma van: ClaimTypeReferenceId, TransformationClaimType és TreatAsMultiValue
- A ClaimTypeReferenceId a jogcímséma bejegyzés azonosítóelemével van összekapcsolva a megfelelő bemeneti jogcím megkereséséhez.
- A TransformationClaimType használatával egyedi nevet adhat ennek a bemenetnek. Ennek a névnek meg kell egyeznie az átalakítási módszer várt bemeneteinek egyikével.
- A TreatAsMultiValue egy logikai jelző, amely azt jelzi, hogy az átalakítást minden értékre vagy csak az elsőre kell-e alkalmazni. Alapértelmezés szerint az átalakítások csak a többértékű jogcímek első elemére lesznek alkalmazva, ha ezt az értéket igaz értékre állítja, ez biztosítja az összesre való alkalmazását. A ProxyAddresses és a csoportok két példa a bemeneti jogcímekre, amelyeket valószínűleg több értékként szeretne kezelni.
Bemenetiparaméterek: Egy InputParameters elem használatával adjon át egy állandó értéket egy transzformációnak. Két attribútuma van: Érték és azonosító.
- Az érték az átadandó tényleges állandó érték.
- Az azonosítóval egyedi nevet adhat a bemenetnek. A névnek meg kell egyeznie az átalakítási módszer várt bemeneteinek egyikével.
OutputClaims: Használja az OutputClaims elemet az átalakítás által létrehozott adatok tárolásához, és kösse hozzá egy jogcímséma-bejegyzéshez. Két attribútuma van: ClaimTypeReferenceId és TransformationClaimType.
- A ClaimTypeReferenceId a jogcímséma bejegyzés azonosítójával van összekapcsolva a megfelelő kimeneti jogcím megkereséséhez.
- A TransformationClaimType használatával egyedi nevet adhat a kimenetnek. A névnek meg kell egyeznie az átalakítási módszer várt kimeneteinek egyikével.
Kivételek és korlátozások
SAML nameID és UPN: Az attribútumok, amelyekből a NameID- és UPN-értékeket, valamint az engedélyezett jogcímátalakításokat forrásként adja meg, korlátozottak. Az engedélyezett értékek megtekintéséhez tekintse meg az 5. és a 6. táblázatot.
5. táblázat: Az SAML NameID adatforrásaként engedélyezett attribútumok
| Forrás | ID (Azonosító) | Description |
|---|---|---|
| Felhasználó | Levelezés | E-mail-cím |
| Felhasználó | userprincipalname | Felhasználó egyszerű neve |
| Felhasználó | onpremisessamaccountname | Helyszíni Sam-fiók neve |
| Felhasználó | employeeid | Alkalmazott azonosítója |
| Felhasználó | telefonszám | Vállalati telefonok / Office Phone-telefonok |
| Felhasználó | extensionattribute1 | 1. bővítményattribútum |
| Felhasználó | extensionattribute2 | 2. bővítményattribútum |
| Felhasználó | extensionattribute3 | 3. bővítményattribútum |
| Felhasználó | extensionattribute4 | 4. bővítményattribútum |
| Felhasználó | extensionattribute5 | 5. bővítményattribútum |
| Felhasználó | extensionattribute6 | 6. bővítményattribútum |
| Felhasználó | extensionattribute7 | 7. bővítményattribútum |
| Felhasználó | extensionattribute8 | 8. bővítményattribútum |
| Felhasználó | extensionattribute9 | Bővítményattribútum 9 |
| Felhasználó | extensionattribute10 | 10. bővítményattribútum |
| Felhasználó | extensionattribute11 | Bővítményattribútum 11 |
| Felhasználó | extensionattribute12 | Bővítményattribútum 12 |
| Felhasználó | extensionattribute13 | Bővítményattribútum 13 |
| Felhasználó | extensionattribute14 | Bővítményattribútum 14 |
| Felhasználó | extensionattribute15 | Bővítményattribútum 15 |
6. táblázat: Az SAML NameID-hez engedélyezett átalakítási módszerek
| TransformationMethod | Korlátozások |
|---|---|
| ExtractMailPrefix | None |
| Csatlakozás | Az összekapcsolt utótagnak az erőforrás-bérlő ellenőrzött tartományának kell lennie. |
Kiállító alkalmazásazonosítóval
Sztring: issuerWithApplicationId
Adattípus: Logikai (igaz vagy hamis)
Összefoglaló: Ez a tulajdonság lehetővé teszi az alkalmazásazonosító hozzáadását a kiállítói jogcímhez. Biztosítja, hogy ugyanazon alkalmazás több példánya egyedi jogcímértékekkel rendelkezzen minden példányhoz. Ez a beállítás figyelmen kívül lesz hagyva, ha nincs konfigurálva egyéni aláírókulcs az alkalmazáshoz.
- Ha a értékre
Truevan állítva, a rendszer hozzáadja az alkalmazásazonosítót a kiállítói jogcímhez a szabályzat által érintett jogkivonatokban. - Ha a értékre
Falsevan állítva, az alkalmazásazonosító nem lesz hozzáadva a kiállítói jogcímhez a szabályzat által érintett jogkivonatokban. (alapértelmezett)
Célközönség felülbírálása
Sztring: audienceOverride
Adattípus: Karakterlánc
Összefoglaló: Ez a tulajdonság lehetővé teszi az alkalmazásnak küldött célközönségjogcím felülírását. A megadott értéknek érvényes abszolút URI-nak kell lennie. Ez a beállítás figyelmen kívül lesz hagyva, ha nincs egyéni aláírókulcs konfigurálva az alkalmazáshoz.
Következő lépések
- Ha meg szeretné tudni, hogyan szabhatja testre egy adott alkalmazás jogkivonataiban kibocsátott jogcímeket a bérlőben a PowerShell használatával, olvassa el a How to: Customize claimsmitted in tokens for a specific app in a tenant (Útmutató: A bérlőben egy adott alkalmazás jogkivonataiban kibocsátott jogcímek testreszabása) című témakört.
- Az SAML-jogkivonatban kibocsátott jogcímek testreszabásáról a Azure Portal keresztül: How to: Customize claims issued in the SAML token for enterprise applications (Útmutató: Vállalati alkalmazások SAML-jogkivonatában kibocsátott jogcímek testreszabása)
- További információ a bővítményattribútumokról: Címtárbővítmény-attribútumok használata jogcímekben.