Kustomisasi klaim menggunakan kebijakan

Objek kebijakan mewakili sekumpulan aturan yang diberlakukan pada aplikasi individual atau pada semua aplikasi dalam organisasi. Tiap jenis kebijakan memiliki struktur yang unik, dengan sekumpulan properti yang kemudian diterapkan pada objek yang ditetapkan.

MICROSOFT Entra ID mendukung dua cara untuk menyesuaikan klaim menggunakan Microsoft Graph/PowerShell untuk aplikasi Anda:

Menggunakan Kebijakan Klaim Kustom (Pratinjau)
Menggunakan Kebijakan Pemetaan Klaim

Kebijakan klaim kustom dan kebijakan pemetaan klaim adalah dua jenis objek kebijakan berbeda yang memodifikasi klaim yang disertakan dalam token.

Kebijakan Klaim Kustom (Pratinjau) memungkinkan admin untuk menyesuaikan klaim tambahan untuk aplikasi mereka. Ini dapat digunakan secara bergantian dengan kustomisasi klaim yang ditawarkan melalui pusat admin Microsoft Entra yang memungkinkan admin mengelola klaim baik melalui pusat admin Microsoft Entra atau MS Graph/PowerShell. Kebijakan Klaim Kustom dan kustomisasi klaim yang ditawarkan melalui pusat admin Microsoft Entra menggunakan kebijakan yang mendasar yang sama untuk mengonfigurasi klaim tambahan untuk perwakilan layanan. Namun, admin hanya dapat mengonfigurasi satu Kebijakan Klaim Kustom (Pratinjau) per perwakilan layanan. Metode ini PUT memungkinkan admin untuk membuat atau mengganti objek kebijakan yang ada dengan nilai yang diteruskan dalam isi permintaan sementara PATCH metode memungkinkan admin untuk memperbarui objek kebijakan dengan nilai yang diteruskan dalam isi permintaan. Pelajari cara mengonfigurasi dan mengelola klaim tambahan menggunakan Kebijakan Klaim Kustom di sini.

Kebijakan Pemetaan Klaim juga memungkinkan admin untuk menyesuaikan klaim tambahan untuk aplikasi mereka. Admin dapat mengonfigurasi satu Kebijakan Pemetaan Klaim dan menetapkannya ke beberapa aplikasi di penyewa mereka. Jika admin memilih untuk menggunakan Kebijakan Pemetaan Klaim untuk mengelola klaim tambahan untuk aplikasi mereka, mereka tidak akan dapat mengedit atau memperbarui klaim di bilah kustomisasi klaim di pusat admin Microsoft Entra untuk aplikasi tersebut. Pelajari cara mengonfigurasi dan mengelola klaim tambahan menggunakan Kebijakan Pemetaan Klaim di sini.

Catatan

Kebijakan Pemetaan Klaim menggantikan kebijakan Klaim Kustom dan kustomisasi klaim yang ditawarkan melalui pusat admin Microsoft Entra. Menyesuaikan klaim untuk aplikasi menggunakan Kebijakan Pemetaan Klaim berarti bahwa token yang dikeluarkan untuk aplikasi tersebut akan mengabaikan konfigurasi dalam Kebijakan Klaim Kustom atau konfigurasi dalam bilah kustomisasi klaim di pusat admin Microsoft Entra. Untuk informasi selengkapnya tentang kustomisasi klaim, lihat Menyesuaikan klaim yang dikeluarkan dalam token untuk aplikasi perusahaan.

Set klaim

Tabel berikut mencantumkan kumpulan klaim yang menentukan bagaimana dan kapan mereka digunakan dalam token.

Kumpulan klaim	Deskripsi
Kumpulan klaim inti	Hadir di setiap token terlepas dari kebijakannya. Klaim ini juga dianggap terbatas, dan tidak dapat dimodifikasi.
Set klaim dasar	Termasuk klaim yang disertakan secara default untuk token selain kumpulan klaim inti. Anda dapat menghilangkan atau mengubah klaim dasar dengan menggunakan kebijakan klaim kustom dan kebijakan pemetaan klaim.
Kumpulan klaim terbatas	Tidak dapat dimodifikasi menggunakan kebijakan. Sumber data tidak dapat diubah, serta tidak ada transformasi yang diterapkan saat membuat klaim ini.

Kumpulan klaim terbatas JSON Web Token (JWT)

Klaim berikut berada dalam klaim terbatas yang ditetapkan untuk JWT.

.
_claim_names
_claim_sources
aai
access_token
account_type
acct
acr
acrs
actor
actortoken
ageGroup
aio
altsecid
amr
app_chain
app_displayname
app_res
appctx
appctxsender
appid
appidacr
assertion
at_hash
aud
auth_data
auth_time
authorization_code
azp
azpacr
bk_claim
bk_enclave
bk_pub
brk_client_id
brk_redirect_uri
c_hash
ca_enf
ca_policy_result
capolids
capolids_latebind
cc
cert_token_use
child_client_id
child_redirect_uri
client_id
client_ip
cloud_graph_host_name
cloud_instance_host_name
cloud_instance_name
CloudAssignedMdmId
cnf
code
controls
controls_auds
credential_keys
csr
csr_type
ctry
deviceid
dns_names
domain_dns_name
domain_netbios_name
e_exp
email
endpoint
enfpolids
exp
expires_on
extn. as prefix
fido_auth_data
fido_ver
fwd
fwd_appidacr
grant_type
graph
group_sids
groups
hasgroups
hash_alg
haswids
home_oid
home_puid
home_tid
iat
identityprovider
idp
idtyp
in_corp
instance
inviteTicket
ipaddr
isbrowserhostedapp
iss
isViral
jwk
key_id
key_type
login_hint
mam_compliance_url
mam_enrollment_url
mam_terms_of_use_url
mdm_compliance_url
mdm_enrollment_url
mdm_terms_of_use_url
msgraph_host
msproxy
nameid
nbf
netbios_name
nickname
nonce
oid
on_prem_id
onprem_sam_account_name
onprem_sid
openid2_id
origin_header
password
platf
polids
pop_jwk
preferred_username
previous_refresh_token
primary_sid
prov_data
puid
pwd_exp
pwd_url
rdp_bt
redirect_uri
refresh_token
refresh_token_issued_on
refreshtoken
request_nonce
resource
rh
role
roles
rp_id
rt_type
scope
scp
secaud
sid
sid
signature
signin_state
source_anchor
src1
src2
sub
target_deviceid
tbid
tbidv2
tenant_ctry
tenant_display_name
tenant_id
tenant_region_scope
tenant_region_sub_scope
thumbnail_photo
tid
tokenAutologonEnabled
trustedfordelegation
ttr
unique_name
upn
user_agent
user_setting_sync_url
username
uti
ver
verified_primary_email
verified_secondary_email
vnet
vsm_binding_key
wamcompat_client_info
wamcompat_id_token
wamcompat_scopes
wids
win_ver
x5c_ca
xcb2b_rclient
xcb2b_rcloud
xcb2b_rtenant
ztdid

Catatan

Klaim apa pun yang dimulai dengan xms_ dibatasi.

Kumpulan klaim terbatas SAML

Tabel berikut mencantumkan klaim SAML yang berada dalam kumpulan klaim terbatas.

Jenis Klaim Terbatas (URI):

http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
http://schemas.microsoft.com/2014/03/psso
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
http://schemas.microsoft.com/claims/authnmethodsreferences
http://schemas.microsoft.com/claims/groups.link
http://schemas.microsoft.com/identity/claims/accesstoken
http://schemas.microsoft.com/identity/claims/acct
http://schemas.microsoft.com/identity/claims/agegroup
http://schemas.microsoft.com/identity/claims/aio
http://schemas.microsoft.com/identity/claims/identityprovider
http://schemas.microsoft.com/identity/claims/objectidentifier
http://schemas.microsoft.com/identity/claims/openid2_id
http://schemas.microsoft.com/identity/claims/puid
http://schemas.microsoft.com/identity/claims/scope
http://schemas.microsoft.com/identity/claims/tenantid
http://schemas.microsoft.com/identity/claims/xms_et
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
http://schemas.microsoft.com/ws/2008/06/identity/claims/role
http://schemas.microsoft.com/ws/2008/06/identity/claims/role
http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor

Klaim ini dibatasi secara default, tetapi tidak dibatasi jika Anda memiliki kunci penandatanganan kustom. Hindari pengaturan acceptMappedClaims dalam manifes aplikasi.

http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

Klaim ini dibatasi secara default, tetapi tidak dibatasi jika Anda memiliki kunci penandatanganan kustom:

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Properti kebijakan yang digunakan untuk kustomisasi klaim

Untuk mengontrol klaim yang disertakan dan dari mana data berasal, gunakan properti kebijakan untuk kustomisasi klaim. Tanpa kebijakan, sistem mengeluarkan token dengan klaim berikut:

Kumpulan klaim inti.
Kumpulan klaim dasar.
Setiap klaim opsional yang telah dipilih aplikasi untuk diterima.

Catatan

Klaim dalam kumpulan klaim inti hadir di tiap token, terlepas dari apa yang ditetapkan properti ini.

string	Jenis Data	Ringkasan
IncludeBasicClaimSet	Boolean (Benar atau Salah)	Menentukan apakah kumpulan klaim dasar disertakan dalam token yang terpengaruh oleh kebijakan ini. Jika ditetapkan ke Benar, semua klaim dalam kumpulan klaim dasar akan dikeluarkan dalam token yang terpengaruh oleh kebijakan. Jika ditetapkan ke False, klaim dalam set klaim dasar tidak ada dalam token, kecuali jika klaim tersebut ditambahkan satu per satu ke properti skema klaim dari kebijakan yang sama.
ClaimsSchema	Blob JSON dengan satu atau beberapa entri skema klaim	Menentukan klaim mana yang ada dalam token yang terpengaruh oleh kebijakan, selain kumpulan klaim dasar dan kumpulan klaim inti. Untuk tiap entri skema klaim yang ditentukan dalam properti ini, informasi tertentu diperlukan. Tentukan dari mana data berasal (Nilai, pasangan Sumber/ID, atau pasangan Source/ExtensionID), dan Jenis Klaim, yang dipancarkan sebagai (JWTClaimType atau SamlClaimType).

Elemen entri skema klaim

Nilai - Mendefinisikan nilai statis sebagai data yang akan dipancarkan dalam klaim.
SAMLNameForm - Menentukan nilai untuk atribut NameFormat untuk klaim ini. Jika ada, nilai yang diizinkan adalah:
- urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
- urn:oasis:names:tc:SAML:2.0:attrname-format:uri
- urn:oasis:names:tc:SAML:2.0:attrname-format:basic
Pasangan Sumber/ID - Menentukan dari mana data dalam klaim bersumber.
Pasangan Source/ExtensionID - Menentukan atribut ekstensi direktori tempat data dalam klaim bersumber. Untuk informasi selengkapnya, lihat Menggunakan atribut ekstensi direktori dalam klaim.
Jenis Klaim - Elemen JwtClaimType dan SamlClaimType menentukan klaim mana yang dirujuk oleh entri skema klaim ini.
- JwtClaimType harus berisi nama klaim yang akan dipancarkan dalam JWT.
- SamlClaimType harus berisi URI klaim yang akan dipancarkan dalam token SAML.

Atur elemen Sumber ke salah satu nilai dalam tabel berikut ini.

Nilai sumber	Data dalam klaim
`user`	Properti pada objek Pengguna.
`application`	Properti pada perwakilan layanan aplikasi (klien).
`resource`	Properti pada perwakilan layanan sumber daya.
`audience`	Properti pada perwakilan layanan yang merupakan audiens token (baik klien atau perwakilan layanan sumber daya).
`company`	Properti pada objek Perusahaan penyewa sumber daya.
`transformation`	Transformasi klaim. Saat Anda menggunakan klaim ini, elemen TransformationID harus disertakan dalam definisi klaim. Elemen TransformationID harus cocok dengan elemen ID dari entri transformasi di properti ClaimsTransformation yang menentukan bagaimana data untuk klaim dihasilkan.

Elemen ID mengidentifikasi properti pada sumber yang menyediakan nilai untuk klaim. Tabel berikut mencantumkan nilai elemen ID untuk setiap nilai Sumber.

Sumber	Nomor Identitas	Deskripsi
`user`	`surname`	Nama keluarga pengguna.
`user`	`givenname`	Nama pengguna yang diberikan.
`user`	`displayname`	Nama tampilan pengguna.
`user`	`objectid`	ID objek pengguna.
`user`	`mail`	Alamat email pengguna.
`user`	`userprincipalname`	Nama utama pengguna.
`user`	`department`	Departemen pengguna.
`user`	`onpremisessamaccountname`	Nama akun SAM lokal pengguna.
`user`	`netbiosname`	Nama NetBios pengguna.
`user`	`dnsdomainname`	Nama domain DNS pengguna.
`user`	`onpremisesecurityidentifier`	Pengidentifikasi keamanan lokal pengguna.
`user`	`companyname`	Nama organisasi pengguna.
`user`	`streetaddress`	Alamat jalan pengguna.
`user`	`postalcode`	Kode pos pengguna.
`user`	`preferredlanguage`	Bahasa yang disukai pengguna.
`user`	`onpremisesuserprincipalname`	UPN lokal pengguna. Saat Anda menggunakan ID alternatif, atribut `userPrincipalName` lokal disinkronkan dengan `onPremisesUserPrincipalName` atribut . Atribut ini hanya tersedia ketika ID Alternatif dikonfigurasi.
`user`	`mailnickname`	Nama panggilan email pengguna.
`user`	`extensionattribute1`	Atribut ekstensi 1.
`user`	`extensionattribute2`	Atribut ekstensi 2.
`user`	`extensionattribute3`	Atribut ekstensi 3.
`user`	`extensionattribute4`	Atribut ekstensi 4.
`user`	`extensionattribute5`	Atribut ekstensi 5.
`user`	`extensionattribute6`	Atribut ekstensi 6.
`user`	`extensionattribute7`	Atribut ekstensi 7.
`user`	`extensionattribute8`	Atribut ekstensi 8.
`user`	`extensionattribute9`	Atribut ekstensi 9.
`user`	`extensionattribute10`	Atribut ekstensi 10.
`user`	`extensionattribute11`	Atribut ekstensi 11.
`user`	`extensionattribute12`	Atribut ekstensi 12.
`user`	`extensionattribute13`	Atribut ekstensi 13.
`user`	`extensionattribute14`	Atribut ekstensi 14.
`user`	`extensionattribute15`	Atribut ekstensi 15.
`user`	`othermail`	Email pengguna lainnya.
`user`	`country`	Negara/wilayah pengguna.
`user`	`city`	Kota pengguna.
`user`	`state`	Status pengguna.
`user`	`jobtitle`	Jabatan pekerjaan pengguna.
`user`	`employeeid`	ID karyawan pengguna.
`user`	`facsimiletelephonenumber`	Nomor telepon faksimil pengguna.
`user`	`assignedroles`	Daftar peran aplikasi yang ditetapkan untuk pengguna.
`user`	`accountEnabled`	Menunjukkan apakah akun pengguna diaktifkan.
`user`	`consentprovidedforminor`	Menunjukkan apakah persetujuan diberikan untuk anak di bawah umur.
`user`	`createddatetime`	Tanggal dan waktu akun pengguna dibuat.
`user`	`creationtype`	Menunjukkan bagaimana akun pengguna dibuat.
`user`	`lastpasswordchangedatetime`	Tanggal dan waktu terakhir kata sandi diubah.
`user`	`mobilephone`	Ponsel pengguna.
`user`	`officelocation`	Lokasi kantor pengguna.
`user`	`onpremisesdomainname`	Nama domain lokal pengguna.
`user`	`onpremisesimmutableid`	ID pengguna lokal yang tidak dapat diubah.
`user`	`onpremisessyncenabled`	Menunjukkan apakah sinkronisasi lokal diaktifkan.
`user`	`preferreddatalocation`	Menentukan lokasi data pengguna yang disukai.
`user`	`proxyaddresses`	Alamat proksi pengguna.
`user`	`usertype`	Jenis akun pengguna.
`user`	`telephonenumber`	Telepon bisnis atau kantor pengguna.
`application`, , `resourceaudience`	`displayname`	Nama tampilan objek.
`application`, , `resourceaudience`	`objectid`	ID objek.
`application`, , `resourceaudience`	`tags`	Tag perwakilan layanan objek.
`company`	`tenantcountry`	Negara/wilayah penyewa.

Satu-satunya sumber klaim multinilai yang tersedia pada objek pengguna adalah atribut ekstensi multinilai yang telah disinkronkan dari Active Directory Connect. Properti lain, seperti othermails dan tags, bernilai multinilai tetapi hanya satu nilai yang dipancarkan saat dipilih sebagai sumber.

Nama dan URI klaim dalam kumpulan klaim terbatas tidak dapat digunakan untuk elemen jenis klaim.

Filter Grup

String - GroupFilter
Jenis data: - Blob JSON
Ringkasan - Gunakan properti ini untuk menerapkan filter pada grup pengguna yang akan disertakan dalam klaim grup. Properti ini bisa menjadi sarana yang berguna untuk mengurangi ukuran token.
MatchOn: - Mengidentifikasi atribut grup untuk menerapkan filter. Atur properti MatchOn ke salah satu nilai berikut ini:
- displayname - Nama tampilan grup.
- samaccountname - Nama akun SAM lokal.
Jenis - Menentukan jenis filter yang diterapkan ke atribut yang dipilih oleh properti MatchOn . Atur properti Jenis ke salah satu nilai berikut ini:
- prefix- Sertakan grup tempat properti MatchOn dimulai dengan properti Nilai yang disediakan.
- suffixSertakan grup di mana properti MatchOn berakhir dengan properti Nilai yang disediakan.
- contains- Sertakan grup tempat properti MatchOn berisi dengan properti Nilai yang disediakan.

Transformasi klaim

String - ClaimsTransformation
Jenis data - blob JSON, dengan satu atau beberapa entri transformasi
Ringkasan - Gunakan properti ini untuk menerapkan transformasi umum ke data sumber untuk menghasilkan data output untuk klaim yang ditentukan dalam Skema Klaim.
ID - Mereferensikan entri transformasi dalam entri Skema Klaim TransformationID. Nilai ini harus unik untuk tiap entri transformasi dalam kebijakan ini.
TransformationMethod - Mengidentifikasi operasi yang dilakukan untuk menghasilkan data untuk klaim.

Berdasarkan metode yang dipilih, kumpulan input dan output diharapkan. Tentukan input dan output menggunakan elemen InputClaims, InputParameters, dan OutputClaims.

Metode Transformasi	Input yang diharapkan	Output yang diharapkan	Deskripsi
Gabungkan	string1, string2, pemisah	klaim output	Menggabungkan string input menggunakan pemisah di antaranya. Misalnya, string1:`foo@bar.com` , string2:`sandbox` , pemisah:`.` menghasilkan klaim output:`foo@bar.com.sandbox`.
ExtractMailPrefix	Email atau UPN	string yang diekstrak	Atribut ekstensi 1-15 atau ekstensi direktori lainnya, yang menyimpan UPN atau nilai alamat email untuk pengguna. Contohnya,`johndoe@contoso.com`. Ekstrak bagian lokal alamat email. Misalnya, email:`foo@bar.com` menghasilkan klaim output:`foo`. Jika tidak ada tanda @ yang ada, maka string input asli dikembalikan.
ToLowercase()	benang	string output	Mengonversi karakter atribut yang dipilih menjadi karakter huruf kecil.
ToUppercase()	benang	string output	Mengonversi karakter atribut yang dipilih menjadi karakter huruf besar.
RegexReplace()			Transformasi RegexReplace() menerima sebagai parameter input: - Parameter 1: satu atribut pengguna sebagai input regex - Opsi untuk memercayai sumber sebagai multinilai - Pola regex - Pola penggantian. Pola penggantian mungkin berisi format teks statis bersama dengan referensi yang menunjuk ke grup output regex dan parameter input lainnya.

InputClaims - Digunakan untuk meneruskan data dari entri skema klaim ke transformasi. Ini memiliki tiga atribut: ClaimTypeReferenceId, TransformationClaimType dan TreatAsMultiValue.
- ClaimTypeReferenceId - Bergabung dengan elemen ID dari entri skema klaim untuk menemukan klaim input yang sesuai.
- TransformationClaimType Memberikan nama unik untuk input ini. Nama ini harus cocok dengan salah satu input yang diharapkan untuk metode transformasi.
- TreatAsMultiValue adalah bendera Boolean yang menunjukkan apakah transformasi harus diterapkan ke semua nilai atau hanya yang pertama. Secara default, transformasi hanya diterapkan ke elemen pertama dalam klaim multinilai. Mengatur nilai ini ke true memastikan nilai tersebut diterapkan ke semua. ProxyAddresses dan grup adalah dua contoh untuk klaim input yang kemungkinan ingin Anda perlakukan sebagai klaim multinilai.
InputParameters - Meneruskan nilai konstanta ke transformasi. Ini memiliki dua atribut: Nilai dan ID.
- Nilai adalah nilai konstanta aktual yang akan diteruskan.
- ID digunakan untuk memberikan nama unik pada input. Nama harus cocok dengan salah satu input yang diharapkan untuk metode transformasi.
OutputClaims - Menyimpan data yang dihasilkan oleh transformasi, dan mengikatnya ke entri skema klaim. Ini memiliki dua atribut: ClaimTypeReferenceId dan TransformationClaimType.
- ClaimTypeReferenceId digabungkan dengan ID dari entri skema klaim untuk menemukan klaim output yang sesuai.
- TransformationClaimType digunakan untuk memberikan nama unik untuk output ini. Nama harus cocok dengan salah satu output yang diharapkan untuk metode transformasi.

Pembatasan dan batasan

SAML NameID dan UPN - Atribut tempat Anda sumber nilai NameID dan UPN, dan transformasi klaim yang diizinkan, terbatas.

Sumber	Nomor Identitas	Deskripsi
`user`	`mail`	Alamat email pengguna.
`user`	`userprincipalname`	Nama utama pengguna.
`user`	`onpremisessamaccountname`	Nama Akun Sam lokal
`user`	`employeeid`	ID karyawan pengguna.
`user`	`telephonenumber`	Telepon bisnis atau kantor pengguna.
`user`	`extensionattribute1`	Atribut ekstensi 1.
`user`	`extensionattribute2`	Atribut ekstensi 2.
`user`	`extensionattribute3`	Atribut ekstensi 3.
`user`	`extensionattribute4`	Atribut ekstensi 4.
`user`	`extensionattribute5`	Atribut ekstensi 5.
`user`	`extensionattribute6`	Atribut ekstensi 6.
`user`	`extensionattribute7`	Atribut ekstensi 7.
`user`	`extensionattribute8`	Atribut ekstensi 8.
`user`	`extensionattribute9`	Atribut Ekstensi 9.
`user`	`extensionattribute10`	Atribut ekstensi 10.
`user`	`extensionattribute11`	Atribut ekstensi 11.
`user`	`extensionattribute12`	Atribut ekstensi 12.
`user`	`extensionattribute13`	Atribut ekstensi 13.
`user`	`extensionattribute14`	Atribut ekstensi 14.
`User`	`extensionattribute15`	Atribut ekstensi 15.

Metode transformasi yang tercantum dalam tabel berikut diizinkan untuk SAML NameID.

Metode Transformasi	Batasan
ExtractMailPrefix	Tidak
Gabungkan	Akhiran yang digabungkan harus merupakan domain terverifikasi dari penyewa sumber daya.

Pengeluar Sertifikat Dengan ID Aplikasi

String - issuerWithApplicationId
Jenis data - Boolean (Benar atau Salah)
- Jika diatur ke True, ID aplikasi ditambahkan ke klaim pengeluar sertifikat dalam token yang terpengaruh oleh kebijakan.
- Jika diatur ke False, ID aplikasi tidak ditambahkan ke klaim pengeluar sertifikat dalam token yang terpengaruh oleh kebijakan. (default)
Ringkasan - Memungkinkan ID aplikasi disertakan dalam klaim pengeluar sertifikat. Memastikan bahwa beberapa instans aplikasi yang sama memiliki nilai klaim unik untuk setiap instans. Pengaturan ini diabaikan jika kunci penandatanganan kustom tidak dikonfigurasi untuk aplikasi.

Pengambilalihan Audiens

String - audienceOverride
Jenis data - String
Ringkasan - Memungkinkan Anda mengambil alih klaim audiens yang dikirim ke aplikasi. Nilai yang diberikan harus berupa URI absolut yang valid. Pengaturan ini diabaikan jika tidak ada kunci penandatanganan kustom yang dikonfigurasi untuk aplikasi.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang atribut ekstensi, lihat Atribut ekstensi direktori dalam klaim.

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2024-06-28

Bagikan melalui

Kustomisasi klaim menggunakan kebijakan

Set klaim

Kumpulan klaim terbatas JSON Web Token (JWT)

Kumpulan klaim terbatas SAML

Properti kebijakan yang digunakan untuk kustomisasi klaim

Elemen entri skema klaim

Filter Grup

Transformasi klaim

Pembatasan dan batasan

Pengeluar Sertifikat Dengan ID Aplikasi

Pengambilalihan Audiens

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan: