SAML-jogkivonat jogcímeinek testreszabása
A Microsoft Identitásplatform támogatja az egyszeri bejelentkezést (SSO) az alkalmazáskatalógusban és az egyéni alkalmazásokban a legtöbb előre elkészített alkalmazással. Amikor egy felhasználó az SAML 2.0 protokoll használatával hitelesít egy alkalmazást a Microsoft Identitásplatform, a rendszer jogkivonatot küld az alkalmazásnak. Az alkalmazás a felhasználónév és jelszó kérése helyett érvényesíti és használja a jogkivonatot a felhasználó bejelentkezésére.
Ezek az SAML-jogkivonatok a felhasználóval kapcsolatos, jogcímként ismert információkat tartalmaznak. A jogcímek olyan információk, amelyeket egy identitásszolgáltató a felhasználó számára kibocsátott jogkivonaton belül közöl egy felhasználóval kapcsolatban. Az SAML-jogkivonatokban a jogcímadatok általában az SAML attribútumutasításban találhatók. A felhasználó egyedi azonosítója általában az SAML-tárgyban jelenik meg, amelyet névazonosítónak (nameID
névazonosítónak) is nevezünk.
Alapértelmezés szerint a Microsoft Identitásplatform egy SAML-jogkivonatot ad ki egy olyan alkalmazásnak, amely olyan jogcímet tartalmaz, amelynek értéke a felhasználó felhasználóneve (más néven felhasználónév), amely egyedileg azonosítja a felhasználót. Az SAML-jogkivonat egyéb jogcímeket is tartalmaz, amelyek tartalmazzák a felhasználó e-mail-címét, utónevét és vezetéknevét.
Jogcímek megtekintése vagy szerkesztése
Az SAML-jogkivonatban kiadott jogcímek megtekintése vagy szerkesztése az alkalmazás számára:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.
- Jelölje ki az alkalmazást, válassza az Egyszeri bejelentkezés lehetőséget a bal oldali menüben, majd válassza a Szerkesztés lehetőséget az Attribútumok > Jogcímek szakaszban.
Előfordulhat, hogy az SAML-jogkivonatban kibocsátott jogcímeket a következő okok miatt kell szerkesztenie:
- Az alkalmazás megköveteli, hogy a
NameIdentifier
nameID
felhasználónévn (vagy a felhasználónévn) kívül más legyen a jogcím. - Az alkalmazás úgy lett megírva, hogy más jogcím URI-ket vagy jogcímértékeket követeljen meg.
Szerkeszt nameID
A névazonosító érték jogcímének szerkesztése:
- Nyissa meg a Névazonosító értéklapot .
- Válassza ki az attribútumra alkalmazni kívánt attribútumot vagy átalakítást. Igény szerint megadhatja a jogcím formátumát
nameID
.
NameID formátum
Ha az SAML-kérelem egy adott formátumú elemet NameIDPolicy
tartalmaz, akkor a Microsoft Identitásplatform tiszteletben tartja a kérésben szereplő formátumot.
Ha az SAML-kérelem nem tartalmaz elemetNameIDPolicy
, akkor a Microsoft Identitásplatform a megadott formátummal adja meg a nameID
problémát. Ha nincs megadva formátum, a Microsoft Identitásplatform a kiválasztott jogcímforráshoz társított alapértelmezett forrásformátumot használja. Ha egy átalakítás null vagy érvénytelen értéket eredményez, a Microsoft Entra ID egy állandó párirányú azonosítót küld a nameID
.
A Névazonosító kiválasztása legördülő listában válassza ki az alábbi táblázatban szereplő lehetőségek egyikét.
nameID formátum |
Leírás |
---|---|
Alapértelmezett | Microsoft Identitásplatform az alapértelmezett forrásformátumot használja. |
Állhatatos | Microsoft Identitásplatform formátumként használjaPersistent .nameID |
E-mail-cím | Microsoft Identitásplatform formátumként használjaEmailAddress .nameID |
Meghatározatlan | Microsoft Identitásplatform formátumként használjaUnspecified .nameID |
Windows-tartomány minősített neve | Microsoft Identitásplatform a formátumot WindowsDomainQualifiedName használja. |
Az átmeneti nameID
is támogatott, de nem érhető el a legördülő menüben, és nem konfigurálható az Azure oldalán. Az attribútummal kapcsolatos további információkért lásd az NameIDPolicy
egyszeri bejelentkezés saml protokollt.
Attribútumok
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Válassza ki a (vagy nameID
) jogcím kívánt forrását NameIdentifier
. Az alábbi táblázat beállításai közül választhat.
Név | Leírás |
---|---|
Email |
A felhasználó e-mail címe. |
userprincipalName |
A felhasználó egyszerű felhasználóneve (UPN). |
onpremisessamaccountname |
A helyszíni Microsoft Entra-azonosítóból szinkronizált SAM-fiók neve. |
objectid |
A felhasználó objektumazonosítója a Microsoft Entra-azonosítóban. |
employeeid |
A felhasználó alkalmazotti azonosítója. |
Directory extensions |
A címtárbővítmények szinkronizálva helyi Active Directory a Microsoft Entra Connect Sync használatával. |
Extension Attributes 1-15 |
A Microsoft Entra-séma kibővítéséhez használt helyszíni bővítményattribútumok. |
pairwiseid |
A felhasználói azonosító állandó formája. |
Az azonosítóértékekkel kapcsolatos további információkért tekintse meg azt a táblázatot, amely a lap későbbi részében forrásonként felsorolja az érvényes azonosító értékeket.
Bármely állandó (statikus) érték bármely jogcímhez hozzárendelhető. Állandó érték hozzárendeléséhez kövesse az alábbi lépéseket:
- Az Attribútumok > Jogcímek panelen válassza ki a módosítani kívánt szükséges jogcímet.
- Írja be az állandó értéket idézőjelek nélkül a Forrás attribútumban a szervezet szerint, és válassza a Mentés lehetőséget. Megjelenik az állandó érték.
Címtárséma-bővítmények
A címtárséma-bővítmény attribútumait nem feltételes/feltételes attribútumként is konfigurálhatja. Az alábbi lépésekkel konfigurálhatja az egy- vagy többértékű címtárséma-bővítmény attribútumát jogcímként:
- Az Attribútumok és jogcímek panelen válassza az Új jogcím hozzáadása vagy meglévő jogcím szerkesztése lehetőséget.
- Válassza ki a forrásalkalmazást az alkalmazásválasztóból, ahol a bővítménytulajdonság definiálva van.
- Válassza a Hozzáadás lehetőséget a kijelölés jogcímhez való hozzáadásához.
- Kattintson a Mentés gombra a módosítások véglegesítéséhez.
Speciális jogcímátalakítások
A következő speciális jogcímátalakítási függvényeket használhatja.
Függvény | Leírás |
---|---|
ExtractMailPrefix() | Eltávolítja a tartomány utótagját az e-mail-címből vagy a felhasználónévből. Ez a függvény csak az átadott felhasználónév első részét nyeri ki (például a "joe_smith" helyett joe_smith@contoso.com). |
ToLower() | A kijelölt attribútum karaktereit kisbetűkké alakítja. |
ToUpper() | A kijelölt attribútum karaktereit nagybetűkké alakítja. |
Alkalmazásspecifikus jogcímek hozzáadása
Alkalmazásspecifikus jogcímek hozzáadása:
- Az Attribútumok > Jogcímek panelen válassza az Új jogcím hozzáadása lehetőséget a felhasználói jogcímek kezelése lap megnyitásához.
- Adja meg a jogcímek nevét . Az értéknek nem kell szigorúan követnie egy URI-mintát az SAML-specifikáció szerint. Ha URI-mintára van szüksége, azt a Névtér mezőbe helyezheti.
- Válassza ki azt a forrást , amelyben a jogcím lekéri az értékét. Kiválaszthat egy felhasználói attribútumot a forrásattribútum legördülő listájából, vagy alkalmazhat átalakítást a felhasználói attribútumra, mielőtt jogcímként bocsátja ki.
Csoportjogcím hozzáadása
A csoportjogcímek használatával engedélyezési döntéseket hozhat egy erőforrás alkalmazás vagy szolgáltató általi elérésére. Csoportjogcímek hozzáadása;
- Lépjen Alkalmazásregisztrációk, és válassza ki azt az alkalmazást, amelybe csoportos jogcímet szeretne hozzáadni.
- Válassza a Csoportok hozzáadása jogcím lehetőséget.
- Válassza ki a jogkivonatba felvenni kívánt csoporttípusokat. Egy adott alkalmazáshoz hozzárendelt biztonsági csoportokat, címtárcsoportokat vagy csoportokat is hozzáadhat.
- Válassza ki a csoportok jogcímében felvenni kívánt értékeket, majd válassza a Hozzáadás lehetőséget.
Jogcímátalakítások
Átalakítás alkalmazása egy felhasználói attribútumra:
- A Jogcím kezelése területen válassza az Átalakítás lehetőséget jogcímforrásként az Átalakítási kezelés lap megnyitásához.
- Válassza ki a függvényt az átalakítás legördülő listájából. A kiválasztott függvénytől függően adjon meg paramétereket és egy állandó értéket, amely kiértékelhető az átalakítás során.
- A megfelelő választógombra kattintva válassza ki az attribútum forrását.
- Válassza ki az attribútum nevét a legördülő listából.
- A forrás többértékűként való kezelése jelölőnégyzet jelzi, hogy az átalakítást minden értékre alkalmazni kell-e, vagy csak az elsőre. Alapértelmezés szerint az átalakítások csak a többértékű jogcím első elemére vonatkoznak, a jelölőnégyzet bejelölésével az összesre érvényes lesz. Ez a jelölőnégyzet csak többértékű attribútumok esetén engedélyezve van, például
user.proxyaddresses
. - Több átalakítás alkalmazásához válassza az Átalakítás hozzáadása lehetőséget. Egy jogcímre legfeljebb két átalakítás alkalmazható. Például először kinyerheti a .e-mail előtagját
user.mail
. Ezután tegye nagybetűssé a sztringet.
A jogcímek átalakításához az alábbi függvények használhatók.
Függvény | Leírás |
---|---|
ExtractMailPrefix() | Eltávolítja a tartomány utótagját az e-mail-címből vagy a felhasználónévből. Ez a függvény csak az átadott felhasználónév első részét nyeri ki. Például ahelyett, joe_smith hogy joe_smith@contoso.com . |
Csatlakozás() | Két attribútum összekapcsolásával új értéket hoz létre. A két attribútum között külön elválasztó is használható. nameID A jogcímátalakításhoz a Join() függvénynek meghatározott viselkedése van, ha az átalakítási bemenet tartományrészt tartalmaz. Eltávolítja a tartományrészt a bemenetből, mielőtt csatlakozna az elválasztóhoz és a kiválasztott paraméterhez. Ha például az átalakítás bemenete, joe_smith@contoso.com az elválasztó @ pedig a paraméter fabrikam.com , akkor ez a bemeneti kombináció a következőt joe_smith@fabrikam.com eredményezi: . |
ToLowercase() | A kijelölt attribútum karaktereit kisbetűkké alakítja. |
ToUppercase() | A kijelölt attribútum karaktereit nagybetűkké alakítja. |
Contains() | Egy attribútumot vagy állandót ad ki, ha a bemenet megfelel a megadott értéknek. Ellenkező esetben megadhat egy másik kimenetet, ha nincs egyezés. Ha például olyan jogcímet szeretne kibocsátani, amelyben az érték a felhasználó e-mail-címe, ha az tartalmazza a tartományt @contoso.com , ellenkező esetben ki szeretné adni a felhasználónév nevét. A függvény végrehajtásához konfigurálja a következő értékeket: Parameter 1(input): user.email , Value: "@contoso.com" , Parameter 2 (output): user.email és Parameter 3 (output if there's no match): user.userprincipalname . |
EndWith() | Attribútumot vagy állandót ad ki, ha a bemenet a megadott értékkel végződik. Ellenkező esetben megadhat egy másik kimenetet, ha nincs egyezés. Ha például olyan jogcímet szeretne kibocsátani, amelyben az érték a felhasználó alkalmazotti azonosítója, ha az alkalmazott azonosítója végződik 000 , ellenkező esetben egy bővítményattribútumot szeretne kibocsátani. A függvény végrehajtásához konfigurálja a következő értékeket: Parameter 1(input): user.employeeid , Value: "000" , Parameter 2 (output): user.employeeid és Parameter 3 (output if there's no match): user.extensionattribute1 . |
StartWith() | Attribútumot vagy állandót ad ki, ha a bemenet a megadott értékkel kezdődik. Ellenkező esetben megadhat egy másik kimenetet, ha nincs egyezés. Ha például olyan jogcímet szeretne kibocsátani, amelyben az érték a felhasználó alkalmazotti azonosítója, ha az ország/régió kezdődik US , ellenkező esetben egy bővítményattribútumot szeretne kibocsátani. A függvény végrehajtásához konfigurálja a következő értékeket: Parameter 1(input): user.country , Value: "US" , Parameter 2 (output): user.employeeid , és Parameter 3 (output if there's no match): user.extensionattribute1 |
Extract() – Egyeztetés után | A megadott értéknek megfelelő részszűrést adja vissza. Ha például a bemenet értékeFinance_BSimon , akkor az egyező értékFinance_ , akkor a jogcím kimenete .BSimon |
Extract() – Egyeztetés előtt | Visszaadja az alsztringet, amíg meg nem egyezik a megadott értékkel. Ha például a bemenet értékeBSimon_US , akkor az egyező érték_US , akkor a jogcím kimenete .BSimon |
Extract() – Egyezés között | Visszaadja az alsztringet, amíg meg nem egyezik a megadott értékkel. Ha például a bemenet értéke Finance_BSimon_US , az első egyező értékFinance_ , a második egyező érték_US , akkor a jogcím kimenete .BSimon |
ExtractAlpha() – Előtag | A sztring betűrendes előtagját adja vissza. Ha például a bemeneti érték az BSimon_123 , akkor visszaadja BSimon . |
ExtractAlpha() – Utótag | A sztring betűrendes részét adja vissza. Ha például a bemeneti érték az 123_Simon , akkor visszaadja Simon . |
ExtractNumeric() – Előtag | A sztring numerikus előtagját adja vissza. Ha például a bemeneti érték az 123_BSimon , akkor visszaadja 123 . |
ExtractNumeric() – Utótag | A sztring numerikus részének utótagját adja vissza. Ha például a bemeneti érték az BSimon_123 , akkor visszaadja 123 . |
IfEmpty() | Egy attribútumot vagy állandót ad ki, ha a bemenet null értékű vagy üres. Ha például egy bővítményattribútumban tárolt attribútumot szeretne kiadni, ha egy felhasználó alkalmazotti azonosítója üres. A függvény végrehajtásához konfigurálja a következő értékeket: Parameter 1(input): user.employeeid , Parameter 2 (output): user.extensionattribute1 és Parameter 3 (output if there's no match): user.employeeid . |
IfNotEmpty() | Attribútumot vagy állandót ad ki, ha a bemenet nem null értékű vagy üres. Ha például egy bővítményattribútumban tárolt attribútumot szeretne kiadni, ha a felhasználó alkalmazotti azonosítója nem üres. A függvény végrehajtásához konfigurálja a következő értékeket: Parameter 1(input): user.employeeid és Parameter 2 (output): user.extensionattribute1 . |
Substring() – Rögzített hossz | Kinyeri egy sztring jogcímtípus részeit a megadott pozícióban lévő karaktertől kezdve, és visszaadja a megadott számú karaktert. A sourceClaim végrehajtandó átalakítás jogcímforrása. Az StartIndex alsztring nulla alapú kezdő karakterpozíciója ebben a példányban. Az Length alsztring karaktereinek hossza. Például , sourceClaim - PleaseExtractThisNow StartIndex - 6 és Length - 11 a kimenete ExtractThis . |
Substring() – EndOfString | Kinyeri egy sztring jogcímtípus részeit a megadott pozícióban lévő karaktertől kezdve, és visszaadja a jogcím többi részét a megadott kezdőindexből. A sourceClaim végrehajtandó átalakítás jogcímforrása. Az StartIndex alsztring nulla alapú kezdő karakterpozíciója ebben a példányban. Például a sourceClaim - PleaseExtractThisNow StartIndex - 6 következő kimenetet állítja ExtractThisNow elő: . |
RegexReplace() | A regex-alapú jogcímátalakítással kapcsolatos további információkért lásd a következő szakaszt. |
Regex-alapú jogcímátalakítás
Az alábbi képen egy példa látható az átalakítás első szintjére:
Az alábbi táblázatban felsorolt műveletek információt nyújtanak az átalakítások első szintjéről, és megfelelnek az előző képen szereplő címkéknek. Válassza a Szerkesztés lehetőséget a jogcím-átalakítási panel megnyitásához.
Művelet | Mező | Leírás |
---|---|---|
1 |
Transformation |
Válassza a RegexReplace() lehetőséget az Átalakítási beállítások közül a regex-alapú jogcímátalakítási módszer használatához a jogcímek átalakításához. |
2 |
Parameter 1 |
A reguláris kifejezésátalakítás bemenete. Például user.mail, amely rendelkezik egy felhasználói e-mail-címmel, például admin@fabrikam.com . |
3 |
Treat source as multivalued |
Egyes bemeneti felhasználói attribútumok többértékű felhasználói attribútumok lehetnek. Ha a kijelölt felhasználói attribútum több értéket támogat, és a felhasználó több értéket szeretne használni az átalakításhoz, akkor a Forrás kezelése többértékűként lehetőséget kell választania. Ha ki van jelölve, a regex-egyezéshez minden érték használatos, ellenkező esetben csak az első értéket használja a rendszer. |
4 |
Regex pattern |
Az 1. paraméterként kiválasztott felhasználói attribútum értéke alapján kiértékelt reguláris kifejezés. A felhasználó aliasának a felhasználó e-mail-címéről való kinyerésére szolgáló reguláris kifejezés például a következőképpen jelenik (?'domain'^.*?)(?i)(\@fabrikam\.com)$ meg: . |
5 |
Add additional parameter |
Az átalakításhoz több felhasználói attribútum is használható. Az attribútumok értékeit a regex transzformációs kimenettel egyesítené a rendszer. Legfeljebb öt további paraméter támogatott. |
6 |
Replacement pattern |
A helyettesítő minta a szövegsablon, amely a regex eredmény helyőrzőit tartalmazza. Minden csoportnevet be kell burkolni a kapcsos zárójelekbe, például {group-name} . Tegyük fel, hogy a felügyelet más tartománynévvel szeretné használni a felhasználói aliast, például xyz.com az országnevet. Ebben az esetben a helyettesítő minta a {country}.{domain}@xyz.com {country} bemeneti paraméter értéke, és {domain} a normál kifejezés kiértékelésének csoportkimenete. Ilyen esetben a várt eredmény .US.swmal@xyz.com |
Az alábbi képen egy példa látható az átalakítás második szintjére:
Az alábbi táblázat az átalakítások második szintjéről nyújt tájékoztatást. A táblázatban felsorolt műveletek az előző képen látható címkéknek felelnek meg.
Művelet | Mező | Leírás |
---|---|---|
1 |
Transformation |
A Regex-alapú jogcímátalakítások nem korlátozódnak az első átalakításra, és második szintű átalakításként is használhatók. Bármely más átalakítási módszer használható első átalakításként. |
2 |
Parameter 1 |
Ha a RegexReplace() második szintű átalakításként van kiválasztva, a rendszer az első szintű átalakítás kimenetét használja bemenetként a második szintű átalakításhoz. Az átalakítás alkalmazásához a második szintű regex kifejezésnek meg kell egyeznie az első átalakítás kimenetével. |
3 |
Regex pattern |
A regex minta a második szintű átalakítás reguláris kifejezése. |
4 |
Parameter input |
Felhasználói attribútum bemenetei a második szintű átalakításokhoz. |
5 |
Parameter input |
A rendszergazdák törölhetik a kiválasztott bemeneti paramétert, ha már nincs rá szükségük. |
6 |
Replacement pattern |
A helyettesítő minta a szövegsablon, amely a regex eredménycsoport nevének helyőrzőit, a bemeneti paramétercsoport nevét és a statikus szöveges értéket tartalmazza. Minden csoportnevet be kell burkolni a kapcsos zárójelekbe, például {group-name} . Tegyük fel, hogy a felügyelet más tartománynévvel szeretné használni a felhasználói aliast, például xyz.com az országnevet. Ebben az esetben a helyettesítő minta a {country}.{domain}@xyz.com {country} bemeneti paraméter értéke, a {domain} pedig a reguláris kifejezés kiértékelésének csoportkimenete. Ilyen esetben a várt eredmény .US.swmal@xyz.com |
7 |
Test transformation |
A RegexReplace() transzformáció csak akkor lesz kiértékelve, ha az 1. paraméterhez kiválasztott felhasználói attribútum értéke megegyezik a Regex minta szövegmezőjében megadott reguláris kifejezéssel. Ha nem egyeznek meg, a rendszer hozzáadja az alapértelmezett jogcímértéket a jogkivonathoz. A reguláris kifejezésnek a bemeneti paraméter értékével való ellenőrzéséhez elérhető egy tesztelési felület az átalakítási panelen. Ez a tesztélmény csak próbaértékeken működik. Ha több bemeneti paramétert használ, a rendszer a tényleges érték helyett a paraméter nevét adja hozzá a teszt eredményéhez. A tesztszakasz eléréséhez válassza az Átalakítás tesztelése lehetőséget. |
Az alábbi képen egy példa látható az átalakítások tesztelésére:
Az alábbi táblázat az átalakítások tesztelésével kapcsolatos információkat tartalmazza. A táblázatban felsorolt műveletek az előző képen látható címkéknek felelnek meg.
Művelet | Mező | Leírás |
---|---|---|
1 |
Test transformation |
A bezárás vagy az (X) gombra kattintva elrejtheti a tesztszakaszt, és újra renderelheti a tesztelési átalakítási gombot a panelen. |
2 |
Test regex input |
Elfogadja a reguláris kifejezésteszt-kiértékeléshez használt bemenetet. Ha a regex-alapú jogcímátalakítás második szintű átalakításként van konfigurálva, adjon meg egy értéket, amely az első átalakítás várt kimenete. |
3 |
Run test |
Miután megadta a teszt regex bemenetét, és konfigurálta a Regex-mintát, a cseremintát és a bemeneti paramétereket, a kifejezés kiértékelhető a Futtatás teszt kiválasztásával. |
4 |
Test transformation result |
Ha a kiértékelés sikeres, a tesztátalakítás kimenete a Tesztelés átalakítási eredmény címkén jelenik meg. |
5 |
Remove transformation |
A második szintű átalakítás az Átalakítás eltávolítása lehetőséget választva távolítható el. |
6 |
Specify output if no match |
Ha az 1. paraméterhez olyan regex bemeneti érték van konfigurálva, amely nem egyezik meg a Reguláris kifejezéssel, a rendszer kihagyja az átalakítást. Ilyen esetekben konfigurálható a másodlagos felhasználói attribútum, amelyet a rendszer hozzáad a jogcím jogkivonatához a Kimenet megadása, ha nem egyezik. |
7 |
Parameter 3 |
Ha egy másik felhasználóattribútumot kell visszaadni, ha nincs egyezés, és a kimenet megadása, ha nincs bejelölve , egy másik felhasználói attribútum is kiválasztható a legördülő listából. Ez a legördülő lista a 3. paraméterben érhető el (kimenet, ha nincs egyezés). |
8 |
Summary |
A panel alján megjelenik a formátum teljes összegzése, amely egyszerű szövegben ismerteti az átalakítás jelentését. |
9 |
Add |
Az átalakítás konfigurációs beállításainak ellenőrzése után a Hozzáadás gombra kattintva menthető egy jogcímházirendbe. A módosítások mentéséhez válassza a Mentés lehetőséget a Jogcím kezelése panelen. |
A RegexReplace() átalakítás a csoportjogcímek átalakításához is elérhető.
RegexReplace() átalakítási érvényesítés
Ha a Következő feltételek teljesülnek a Hozzáadás vagy futtatás teszt kiválasztása után, megjelenik egy üzenet, amely további információt nyújt a problémáról:
- Az ismétlődő felhasználói attribútumokkal rendelkező bemeneti paraméterek nem engedélyezettek.
- Nem használt bemeneti paraméterek találhatók. A megadott bemeneti paramétereknek megfelelő használattal kell rendelkezniük a csereminta szövegében.
- A megadott regex tesztbemenet nem egyezik a megadott reguláris kifejezéssel.
- A csoportok forrását nem találja a cseremintába.
Az UPN-jogcím hozzáadása SAML-jogkivonatokhoz
A http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
jogcím az SAML korlátozott jogcímkészletének része. Ha egyéni aláírókulcs van konfigurálva, felveheti az Attribútumok > Jogcímek szakaszba.
Ha nincs konfigurálva egyéni aláírókulcs, tekintse meg az SAML korlátozott jogcímkészletét. A Alkalmazásregisztrációk az Azure Portalon felveheti választható jogcímként.
Nyissa meg az alkalmazást a Alkalmazásregisztrációk, válassza a Jogkivonat konfigurációja lehetőséget, majd válassza az Opcionális jogcím hozzáadása lehetőséget. Válassza ki az SAML-jogkivonat típusát, válassza ki a kívánt értéket a listából, majd a Hozzáadás gombra kattintva adja hozzá a jogcímet a jogkivonathoz.
Az Attribútumok > Jogcímek szakaszban végzett testreszabás felülírhatja a választható jogcímeket az alkalmazásregisztrációban.
Jogcímek kibocsátása feltételek alapján
Meghatározhatja a jogcím forrását a felhasználó típusa és azon csoport alapján, amelyhez a felhasználó tartozik.
A felhasználó típusa a következő lehet:
- Bármely – Minden felhasználó hozzáférhet az alkalmazáshoz.
- Tagok: A bérlő natív tagja
- Minden vendég: A felhasználó microsoft Entra-azonosítóval vagy anélkül egy külső szervezettől származik.
- Microsoft Entra-vendégek: A vendégfelhasználó egy másik szervezethez tartozik a Microsoft Entra ID azonosítójával.
- Külső vendégek: A vendégfelhasználó olyan külső szervezethez tartozik, amely nem rendelkezik Microsoft Entra-azonosítóval.
Az egyik olyan eset, amikor a felhasználó típusa hasznos, ha a jogcím forrása eltér egy vendég és egy alkalmazáshoz hozzáférő alkalmazott esetében. Megadhatja, hogy ha a felhasználó alkalmazott, a névazonosító user.email származik. Ha a felhasználó vendég, akkor a névazonosító a user.extensionattribute1 fájlból származik.
Jogcímfeltétel hozzáadása:
- A Jogcím kezelése területen bontsa ki a Jogcím feltételeket.
- Válassza ki a felhasználó típusát.
- Válassza ki azt a csoportot,amelyhez a felhasználónak tartoznia kell. Egy adott alkalmazáshoz tartozó összes jogcímhez legfeljebb 50 egyedi csoportot választhat.
- Válassza ki azt a forrást , amelyben a jogcím lekéri az értékét. Kiválaszthat egy felhasználói attribútumot a forrásattribútum legördülő listájából, vagy alkalmazhat átalakítást a felhasználói attribútumra. A címtárséma-bővítményt is kiválaszthatja, mielőtt jogcímként bocsátja ki.
A feltételek hozzáadásának sorrendje fontos. A Microsoft Entra először kiértékeli az összes feltételt a forrással Attribute
, majd kiértékeli a forráshoz Transformation
tartozó összes feltételt, hogy eldöntse, melyik értéket adja ki a jogcímben. Az azonos forrású feltételek kiértékelése felülről lefelé történik. A jogcímben a kifejezésnek megfelelő utolsó érték lesz kibocsátva. Az olyan átalakítások, mint például IsNotEmpty
a korlátozások, és Contains
úgy működnek, mint a korlátozások.
Britta Simon például vendégfelhasználó a Contoso-bérlőben. A Britta egy másik szervezethez tartozik, amely szintén Microsoft Entra-azonosítót használ. A Fabrikam alkalmazás következő konfigurációja alapján, amikor Britta megpróbál bejelentkezni a Fabrikamba, a Microsoft Identitásplatform kiértékeli a feltételeket.
Először is, a Microsoft Identitásplatform ellenőrzi, hogy Britta felhasználói típusa minden vendég-e. Mivel a típus Minden vendég, a Microsoft Identitásplatform a jogcím forrását rendeli hozzáuser.extensionattribute1
. Másodszor, a Microsoft Identitásplatform ellenőrzi, hogy Britta felhasználói típusa a Microsoft Entra vendég-e. Mivel a típus Minden vendég, a Microsoft Identitásplatform a jogcím forrását rendeli hozzáuser.mail
. Végül a jogcím britta értékkel lesz kibocsátva user.mail
.
Egy másik példaként fontolja meg, hogy Britta Simon mikor próbál bejelentkezni, és a következő konfigurációt használja. A rendszer először kiértékeli az összes feltételt a forrással Attribute
. Mivel a Britta felhasználói típusa Microsoft Entra-vendégek, user.mail
a jogcím forrásaként van hozzárendelve. Ezután kiértékeljük az átalakításokat. Mivel Britta vendég, user.extensionattribute1
most már a jogcím új forrása. Mivel a Britta a Microsoft Entra vendége, user.othermail
most már ez a jogcím forrása. Végül a jogcím britta értékkel lesz kibocsátva user.othermail
.
Utolsó példaként gondolja át, mi történik, ha a Britta nincs user.othermail
konfigurálva, vagy üres. A rendszer mindkét esetben figyelmen kívül hagyja a feltételbejegyzést, és a jogcím visszaesik user.extensionattribute1
helyette.
Speciális SAML-jogcímbeállítások
Az SAML2.0-alkalmazások speciális jogcímbeállításai konfigurálhatók úgy, hogy ugyanazt a jogcímet elérhetővé tegyék az OIDC-jogkivonatok számára, és fordítva azon alkalmazások esetében, amelyek ugyanazt a jogcímet kívánják használni az SAML2.0 és az OIDC válaszjogkivonatok esetében is.
A speciális jogcímbeállítások konfigurálhatók a Jogcímek kezelése panel Speciális SAML jogcímbeállítások területén található jelölőnégyzet bejelölésével.
Az alábbi táblázat az alkalmazásokhoz konfigurálható egyéb speciális beállításokat sorolja fel.
Lehetőség | Leírás |
---|---|
Alkalmazásazonosító hozzáfűzése a kiállítóhoz | Automatikusan hozzáadja az alkalmazásazonosítót a kiállítói jogcímhez. Ez a beállítás minden példányhoz egyedi jogcímértéket biztosít, ha ugyanazon alkalmazás több példánya is van. Ez a beállítás figyelmen kívül lesz hagyva, ha az egyéni aláírókulcs nincs konfigurálva az alkalmazáshoz. |
Célközönség-jogcím felülbírálása | Lehetővé teszi az alkalmazásnak küldött célközönség-jogcím felülírását. A megadott értéknek érvényes abszolút URI-nak kell lennie. Ez a beállítás figyelmen kívül lesz hagyva, ha az egyéni aláírókulcs nincs konfigurálva az alkalmazáshoz. |
Attribútumnév formátumának belefoglalása | Ha ki van választva, a Microsoft Entra ID hozzáad egy attribútumot NameFormat , amely leírja a név korlátozott, alapvető és opcionális jogcímek formátumát az alkalmazáshoz. További információ: Jogcímleképezési szabályzat típusa |