Bagikan melalui

Kustomisasi klaim menggunakan kebijakan

  • Artikel

Objek kebijakan mewakili sekumpulan aturan yang diberlakukan pada aplikasi individual atau pada semua aplikasi dalam organisasi. Tiap jenis kebijakan memiliki struktur yang unik, dengan sekumpulan properti yang kemudian diterapkan pada objek yang ditetapkan.

MICROSOFT Entra ID mendukung dua cara untuk menyesuaikan klaim menggunakan Microsoft Graph/PowerShell untuk aplikasi Anda:

Kebijakan klaim kustom dan kebijakan pemetaan klaim adalah dua jenis objek kebijakan berbeda yang memodifikasi klaim yang disertakan dalam token.

Kebijakan Klaim Kustom (Pratinjau) memungkinkan admin untuk menyesuaikan klaim tambahan untuk aplikasi mereka. Ini dapat digunakan secara bergantian dengan kustomisasi klaim yang ditawarkan melalui pusat admin Microsoft Entra yang memungkinkan admin mengelola klaim baik melalui pusat admin Microsoft Entra atau MS Graph/PowerShell. Kebijakan Klaim Kustom dan kustomisasi klaim yang ditawarkan melalui pusat admin Microsoft Entra menggunakan kebijakan yang mendasar yang sama untuk mengonfigurasi klaim tambahan untuk perwakilan layanan. Namun, admin hanya dapat mengonfigurasi satu Kebijakan Klaim Kustom (Pratinjau) per perwakilan layanan. Metode ini PUT memungkinkan admin untuk membuat atau mengganti objek kebijakan yang ada dengan nilai yang diteruskan dalam isi permintaan sementara PATCH metode memungkinkan admin untuk memperbarui objek kebijakan dengan nilai yang diteruskan dalam isi permintaan. Pelajari cara mengonfigurasi dan mengelola klaim tambahan menggunakan Kebijakan Klaim Kustom di sini.

Kebijakan Pemetaan Klaim juga memungkinkan admin untuk menyesuaikan klaim tambahan untuk aplikasi mereka. Admin dapat mengonfigurasi satu Kebijakan Pemetaan Klaim dan menetapkannya ke beberapa aplikasi di penyewa mereka. Jika admin memilih untuk menggunakan Kebijakan Pemetaan Klaim untuk mengelola klaim tambahan untuk aplikasi mereka, mereka tidak akan dapat mengedit atau memperbarui klaim di bilah kustomisasi klaim di pusat admin Microsoft Entra untuk aplikasi tersebut. Pelajari cara mengonfigurasi dan mengelola klaim tambahan menggunakan Kebijakan Pemetaan Klaim di sini.

Catatan

Kebijakan Pemetaan Klaim menggantikan kebijakan Klaim Kustom dan kustomisasi klaim yang ditawarkan melalui pusat admin Microsoft Entra. Menyesuaikan klaim untuk aplikasi menggunakan Kebijakan Pemetaan Klaim berarti bahwa token yang dikeluarkan untuk aplikasi tersebut akan mengabaikan konfigurasi dalam Kebijakan Klaim Kustom atau konfigurasi dalam bilah kustomisasi klaim di pusat admin Microsoft Entra. Untuk informasi selengkapnya tentang kustomisasi klaim, lihat Menyesuaikan klaim yang dikeluarkan dalam token untuk aplikasi perusahaan.

Set klaim

Tabel berikut mencantumkan kumpulan klaim yang menentukan bagaimana dan kapan mereka digunakan dalam token.

Kumpulan klaim Deskripsi
Kumpulan klaim inti Hadir di setiap token terlepas dari kebijakannya. Klaim ini juga dianggap terbatas, dan tidak dapat dimodifikasi.
Set klaim dasar Termasuk klaim yang disertakan secara default untuk token selain kumpulan klaim inti. Anda dapat menghilangkan atau mengubah klaim dasar dengan menggunakan kebijakan klaim kustom dan kebijakan pemetaan klaim.
Kumpulan klaim terbatas Tidak dapat dimodifikasi menggunakan kebijakan. Sumber data tidak dapat diubah, serta tidak ada transformasi yang diterapkan saat membuat klaim ini.

Kumpulan klaim terbatas JSON Web Token (JWT)

Klaim berikut berada dalam klaim terbatas yang ditetapkan untuk JWT.

  • .
  • _claim_names
  • _claim_sources
  • aai
  • access_token
  • account_type
  • acct
  • acr
  • acrs
  • actor
  • actortoken
  • ageGroup
  • aio
  • altsecid
  • amr
  • app_chain
  • app_displayname
  • app_res
  • appctx
  • appctxsender
  • appid
  • appidacr
  • assertion
  • at_hash
  • aud
  • auth_data
  • auth_time
  • authorization_code
  • azp
  • azpacr
  • bk_claim
  • bk_enclave
  • bk_pub
  • brk_client_id
  • brk_redirect_uri
  • c_hash
  • ca_enf
  • ca_policy_result
  • capolids
  • capolids_latebind
  • cc
  • cert_token_use
  • child_client_id
  • child_redirect_uri
  • client_id
  • client_ip
  • cloud_graph_host_name
  • cloud_instance_host_name
  • cloud_instance_name
  • CloudAssignedMdmId
  • cnf
  • code
  • controls
  • controls_auds
  • credential_keys
  • csr
  • csr_type
  • ctry
  • deviceid
  • dns_names
  • domain_dns_name
  • domain_netbios_name
  • e_exp
  • email
  • endpoint
  • enfpolids
  • exp
  • expires_on
  • extn. as prefix
  • fido_auth_data
  • fido_ver
  • fwd
  • fwd_appidacr
  • grant_type
  • graph
  • group_sids
  • groups
  • hasgroups
  • hash_alg
  • haswids
  • home_oid
  • home_puid
  • home_tid
  • iat
  • identityprovider
  • idp
  • idtyp
  • in_corp
  • instance
  • inviteTicket
  • ipaddr
  • isbrowserhostedapp
  • iss
  • isViral
  • jwk
  • key_id
  • key_type
  • login_hint
  • mam_compliance_url
  • mam_enrollment_url
  • mam_terms_of_use_url
  • mdm_compliance_url
  • mdm_enrollment_url
  • mdm_terms_of_use_url
  • msgraph_host
  • msproxy
  • nameid
  • nbf
  • netbios_name
  • nickname
  • nonce
  • oid
  • on_prem_id
  • onprem_sam_account_name
  • onprem_sid
  • openid2_id
  • origin_header
  • password
  • platf
  • polids
  • pop_jwk
  • preferred_username
  • previous_refresh_token
  • primary_sid
  • prov_data
  • puid
  • pwd_exp
  • pwd_url
  • rdp_bt
  • redirect_uri
  • refresh_token
  • refresh_token_issued_on
  • refreshtoken
  • request_nonce
  • resource
  • rh
  • role
  • roles
  • rp_id
  • rt_type
  • scope
  • scp
  • secaud
  • sid
  • sid
  • signature
  • signin_state
  • source_anchor
  • src1
  • src2
  • sub
  • target_deviceid
  • tbid
  • tbidv2
  • tenant_ctry
  • tenant_display_name
  • tenant_id
  • tenant_region_scope
  • tenant_region_sub_scope
  • thumbnail_photo
  • tid
  • tokenAutologonEnabled
  • trustedfordelegation
  • ttr
  • unique_name
  • upn
  • user_agent
  • user_setting_sync_url
  • username
  • uti
  • ver
  • verified_primary_email
  • verified_secondary_email
  • vnet
  • vsm_binding_key
  • wamcompat_client_info
  • wamcompat_id_token
  • wamcompat_scopes
  • wids
  • win_ver
  • x5c_ca
  • xcb2b_rclient
  • xcb2b_rcloud
  • xcb2b_rtenant
  • ztdid

Catatan

Klaim apa pun yang dimulai dengan xms_ dibatasi.

Kumpulan klaim terbatas SAML

Tabel berikut mencantumkan klaim SAML yang berada dalam kumpulan klaim terbatas.

Jenis Klaim Terbatas (URI):

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
  • http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
  • http://schemas.microsoft.com/2014/03/psso
  • http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
  • http://schemas.microsoft.com/claims/authnmethodsreferences
  • http://schemas.microsoft.com/claims/groups.link
  • http://schemas.microsoft.com/identity/claims/accesstoken
  • http://schemas.microsoft.com/identity/claims/acct
  • http://schemas.microsoft.com/identity/claims/agegroup
  • http://schemas.microsoft.com/identity/claims/aio
  • http://schemas.microsoft.com/identity/claims/identityprovider
  • http://schemas.microsoft.com/identity/claims/objectidentifier
  • http://schemas.microsoft.com/identity/claims/openid2_id
  • http://schemas.microsoft.com/identity/claims/puid
  • http://schemas.microsoft.com/identity/claims/scope
  • http://schemas.microsoft.com/identity/claims/tenantid
  • http://schemas.microsoft.com/identity/claims/xms_et
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor

Klaim ini dibatasi secara default, tetapi tidak dibatasi jika Anda memiliki kunci penandatanganan kustom. Hindari pengaturan acceptMappedClaims dalam manifes aplikasi.

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

Klaim ini dibatasi secara default, tetapi tidak dibatasi jika Anda memiliki kunci penandatanganan kustom:

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Properti kebijakan yang digunakan untuk kustomisasi klaim

Untuk mengontrol klaim yang disertakan dan dari mana data berasal, gunakan properti kebijakan untuk kustomisasi klaim. Tanpa kebijakan, sistem mengeluarkan token dengan klaim berikut:

  • Kumpulan klaim inti.
  • Kumpulan klaim dasar.
  • Setiap klaim opsional yang telah dipilih aplikasi untuk diterima.

Catatan

Klaim dalam kumpulan klaim inti hadir di tiap token, terlepas dari apa yang ditetapkan properti ini.

String Jenis Data Ringkasan
IncludeBasicClaimSet Boolean (Benar atau Salah) Menentukan apakah kumpulan klaim dasar disertakan dalam token yang terpengaruh oleh kebijakan ini. Jika ditetapkan ke Benar, semua klaim dalam kumpulan klaim dasar akan dikeluarkan dalam token yang terpengaruh oleh kebijakan. Jika ditetapkan ke False, klaim dalam set klaim dasar tidak ada dalam token, kecuali jika klaim tersebut ditambahkan satu per satu ke properti skema klaim dari kebijakan yang sama.
ClaimsSchema Blob JSON dengan satu atau beberapa entri skema klaim Menentukan klaim mana yang ada dalam token yang terpengaruh oleh kebijakan, selain kumpulan klaim dasar dan kumpulan klaim inti. Untuk tiap entri skema klaim yang ditentukan dalam properti ini, informasi tertentu diperlukan. Tentukan dari mana data berasal (Nilai, pasangan Sumber/ID, atau pasangan Source/ExtensionID), dan Jenis Klaim, yang dipancarkan sebagai (JWTClaimType atau SamlClaimType).

Elemen entri skema klaim

  • Nilai - Mendefinisikan nilai statis sebagai data yang akan dipancarkan dalam klaim.
  • SAMLNameForm - Menentukan nilai untuk atribut NameFormat untuk klaim ini. Jika ada, nilai yang diizinkan adalah:
    • urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    • urn:oasis:names:tc:SAML:2.0:attrname-format:basic
  • Pasangan Sumber/ID - Menentukan dari mana data dalam klaim bersumber.
  • Pasangan Source/ExtensionID - Menentukan atribut ekstensi direktori tempat data dalam klaim bersumber. Untuk informasi selengkapnya, lihat Menggunakan atribut ekstensi direktori dalam klaim.
  • Jenis Klaim - Elemen JwtClaimType dan SamlClaimType menentukan klaim mana yang dirujuk oleh entri skema klaim ini.
    • JwtClaimType harus berisi nama klaim yang akan dipancarkan dalam JWT.
    • SamlClaimType harus berisi URI klaim yang akan dipancarkan dalam token SAML.

Atur elemen Sumber ke salah satu nilai dalam tabel berikut ini.

Nilai sumber Data dalam klaim
user Properti pada objek Pengguna.
application Properti pada perwakilan layanan aplikasi (klien).
resource Properti pada perwakilan layanan sumber daya.
audience Properti pada perwakilan layanan yang merupakan audiens token (baik klien atau perwakilan layanan sumber daya).
company Properti pada objek Perusahaan penyewa sumber daya.
transformation Transformasi klaim. Saat Anda menggunakan klaim ini, elemen TransformationID harus disertakan dalam definisi klaim. Elemen TransformationID harus cocok dengan elemen ID dari entri transformasi di properti ClaimsTransformation yang menentukan bagaimana data untuk klaim dihasilkan.

Elemen ID mengidentifikasi properti pada sumber yang menyediakan nilai untuk klaim. Tabel berikut mencantumkan nilai elemen ID untuk setiap nilai Sumber.

Sumber ID Deskripsi
user surname Nama keluarga pengguna.
user givenname Nama pengguna yang diberikan.
user displayname Nama tampilan pengguna.
user objectid ID objek pengguna.
user mail Alamat email pengguna.
user userprincipalname Nama utama pengguna.
user department Departemen pengguna.
user onpremisessamaccountname Nama akun SAM lokal pengguna.
user netbiosname Nama NetBios pengguna.
user dnsdomainname Nama domain DNS pengguna.
user onpremisesecurityidentifier Pengidentifikasi keamanan lokal pengguna.
user companyname Nama organisasi pengguna.
user streetaddress Alamat jalan pengguna.
user postalcode Kode pos pengguna.
user preferredlanguage Bahasa yang disukai pengguna.
user onpremisesuserprincipalname UPN lokal pengguna. Saat Anda menggunakan ID alternatif, atribut userPrincipalName lokal disinkronkan dengan onPremisesUserPrincipalName atribut . Atribut ini hanya tersedia ketika ID Alternatif dikonfigurasi.
user mailnickname Nama panggilan email pengguna.
user extensionattribute1 Atribut ekstensi 1.
user extensionattribute2 Atribut ekstensi 2.
user extensionattribute3 Atribut ekstensi 3.
user extensionattribute4 Atribut ekstensi 4.
user extensionattribute5 Atribut ekstensi 5.
user extensionattribute6 Atribut ekstensi 6.
user extensionattribute7 Atribut ekstensi 7.
user extensionattribute8 Atribut ekstensi 8.
user extensionattribute9 Atribut ekstensi 9.
user extensionattribute10 Atribut ekstensi 10.
user extensionattribute11 Atribut ekstensi 11.
user extensionattribute12 Atribut ekstensi 12.
user extensionattribute13 Atribut ekstensi 13.
user extensionattribute14 Atribut ekstensi 14.
user extensionattribute15 Atribut ekstensi 15.
user othermail Email pengguna lainnya.
user country Negara/wilayah pengguna.
user city Kota pengguna.
user state Status pengguna.
user jobtitle Jabatan pekerjaan pengguna.
user employeeid ID karyawan pengguna.
user facsimiletelephonenumber Nomor telepon faksimil pengguna.
user assignedroles Daftar peran aplikasi yang ditetapkan untuk pengguna.
user accountEnabled Menunjukkan apakah akun pengguna diaktifkan.
user consentprovidedforminor Menunjukkan apakah persetujuan diberikan untuk anak di bawah umur.
user createddatetime Tanggal dan waktu akun pengguna dibuat.
user creationtype Menunjukkan bagaimana akun pengguna dibuat.
user lastpasswordchangedatetime Tanggal dan waktu terakhir kata sandi diubah.
user mobilephone Ponsel pengguna.
user officelocation Lokasi kantor pengguna.
user onpremisesdomainname Nama domain lokal pengguna.
user onpremisesimmutableid ID pengguna lokal yang tidak dapat diubah.
user onpremisessyncenabled Menunjukkan apakah sinkronisasi lokal diaktifkan.
user preferreddatalocation Menentukan lokasi data pengguna yang disukai.
user proxyaddresses Alamat proksi pengguna.
user usertype Jenis akun pengguna.
user telephonenumber Telepon bisnis atau kantor pengguna.
application, , resourceaudience displayname Nama tampilan objek.
application, , resourceaudience objectid ID objek.
application, , resourceaudience tags Tag perwakilan layanan objek.
company tenantcountry Negara/wilayah penyewa.

Satu-satunya sumber klaim multinilai yang tersedia pada objek pengguna adalah atribut ekstensi multinilai yang telah disinkronkan dari Active Directory Connect. Properti lain, seperti othermails dan tags, bernilai multinilai tetapi hanya satu nilai yang dipancarkan saat dipilih sebagai sumber.

Nama dan URI klaim dalam kumpulan klaim terbatas tidak dapat digunakan untuk elemen jenis klaim.

Filter Grup

  • String - GroupFilter
  • Jenis data: - Blob JSON
  • Ringkasan - Gunakan properti ini untuk menerapkan filter pada grup pengguna yang akan disertakan dalam klaim grup. Properti ini bisa menjadi sarana yang berguna untuk mengurangi ukuran token.
  • MatchOn: - Mengidentifikasi atribut grup untuk menerapkan filter. Atur properti MatchOn ke salah satu nilai berikut ini:
    • displayname - Nama tampilan grup.
    • samaccountname - Nama akun SAM lokal.
  • Jenis - Menentukan jenis filter yang diterapkan ke atribut yang dipilih oleh properti MatchOn . Atur properti Jenis ke salah satu nilai berikut ini:
    • prefix- Sertakan grup tempat properti MatchOn dimulai dengan properti Nilai yang disediakan.
    • suffixSertakan grup di mana properti MatchOn berakhir dengan properti Nilai yang disediakan.
    • contains- Sertakan grup tempat properti MatchOn berisi dengan properti Nilai yang disediakan.

Transformasi klaim

  • String - ClaimsTransformation
  • Jenis data - blob JSON, dengan satu atau beberapa entri transformasi
  • Ringkasan - Gunakan properti ini untuk menerapkan transformasi umum ke data sumber untuk menghasilkan data output untuk klaim yang ditentukan dalam Skema Klaim.
  • ID - Mereferensikan entri transformasi dalam entri Skema Klaim TransformationID. Nilai ini harus unik untuk tiap entri transformasi dalam kebijakan ini.
  • TransformationMethod - Mengidentifikasi operasi yang dilakukan untuk menghasilkan data untuk klaim.

Berdasarkan metode yang dipilih, kumpulan input dan output diharapkan. Tentukan input dan output menggunakan elemen InputClaims, InputParameters, dan OutputClaims.

TransformationMethod Input yang diharapkan Output yang diharapkan Deskripsi
Gabungkan string1, string2, pemisah klaim output Menggabungkan string input menggunakan pemisah di antaranya. Misalnya, string1:foo@bar.com , string2:sandbox , pemisah:. menghasilkan klaim output:foo@bar.com.sandbox.
ExtractMailPrefix Email atau UPN string yang diekstrak Atribut ekstensi 1-15 atau ekstensi direktori lainnya, yang menyimpan UPN atau nilai alamat email untuk pengguna. Contohnya,johndoe@contoso.com. Ekstrak bagian lokal alamat email. Misalnya, email:foo@bar.com menghasilkan klaim output:foo. Jika tidak ada tanda @ yang ada, maka string input asli dikembalikan.
ToLowercase() string string output Mengonversi karakter atribut yang dipilih menjadi karakter huruf kecil.
ToUppercase() string string output Mengonversi karakter atribut yang dipilih menjadi karakter huruf besar.
RegexReplace() Transformasi RegexReplace() menerima sebagai parameter input:
- Parameter 1: satu atribut pengguna sebagai input regex
- Opsi untuk memercayai sumber sebagai multinilai
- Pola regex
- Pola penggantian. Pola penggantian mungkin berisi format teks statis bersama dengan referensi yang menunjuk ke grup output regex dan parameter input lainnya.
  • InputClaims - Digunakan untuk meneruskan data dari entri skema klaim ke transformasi. Ini memiliki tiga atribut: ClaimTypeReferenceId, TransformationClaimType dan TreatAsMultiValue.
    • ClaimTypeReferenceId - Bergabung dengan elemen ID dari entri skema klaim untuk menemukan klaim input yang sesuai.
    • TransformationClaimType Memberikan nama unik untuk input ini. Nama ini harus cocok dengan salah satu input yang diharapkan untuk metode transformasi.
    • TreatAsMultiValue adalah bendera Boolean yang menunjukkan apakah transformasi harus diterapkan ke semua nilai atau hanya yang pertama. Secara default, transformasi hanya diterapkan ke elemen pertama dalam klaim multinilai. Mengatur nilai ini ke true memastikan nilai tersebut diterapkan ke semua. ProxyAddresses dan grup adalah dua contoh untuk klaim input yang kemungkinan ingin Anda perlakukan sebagai klaim multinilai.
  • InputParameters - Meneruskan nilai konstanta ke transformasi. Ini memiliki dua atribut: Nilai dan ID.
    • Nilai adalah nilai konstanta aktual yang akan diteruskan.
    • ID digunakan untuk memberikan nama unik pada input. Nama harus cocok dengan salah satu input yang diharapkan untuk metode transformasi.
  • OutputClaims - Menyimpan data yang dihasilkan oleh transformasi, dan mengikatnya ke entri skema klaim. Ini memiliki dua atribut: ClaimTypeReferenceId dan TransformationClaimType.
    • ClaimTypeReferenceId digabungkan dengan ID dari entri skema klaim untuk menemukan klaim output yang sesuai.
    • TransformationClaimType digunakan untuk memberikan nama unik untuk output ini. Nama harus cocok dengan salah satu output yang diharapkan untuk metode transformasi.

Pembatasan dan batasan

SAML NameID dan UPN - Atribut tempat Anda sumber nilai NameID dan UPN, dan transformasi klaim yang diizinkan, terbatas.

Sumber ID Deskripsi
user mail Alamat email pengguna.
user userprincipalname Nama utama pengguna.
user onpremisessamaccountname Nama Akun Sam lokal
user employeeid ID karyawan pengguna.
user telephonenumber Telepon bisnis atau kantor pengguna.
user extensionattribute1 Atribut ekstensi 1.
user extensionattribute2 Atribut ekstensi 2.
user extensionattribute3 Atribut ekstensi 3.
user extensionattribute4 Atribut ekstensi 4.
user extensionattribute5 Atribut ekstensi 5.
user extensionattribute6 Atribut ekstensi 6.
user extensionattribute7 Atribut ekstensi 7.
user extensionattribute8 Atribut ekstensi 8.
user extensionattribute9 Atribut Ekstensi 9.
user extensionattribute10 Atribut ekstensi 10.
user extensionattribute11 Atribut ekstensi 11.
user extensionattribute12 Atribut ekstensi 12.
user extensionattribute13 Atribut ekstensi 13.
user extensionattribute14 Atribut ekstensi 14.
User extensionattribute15 Atribut ekstensi 15.

Metode transformasi yang tercantum dalam tabel berikut diizinkan untuk SAML NameID.

TransformationMethod Batasan
ExtractMailPrefix Tidak
Gabungkan Akhiran yang digabungkan harus merupakan domain terverifikasi dari penyewa sumber daya.

Pengeluar Sertifikat Dengan ID Aplikasi

  • String - issuerWithApplicationId
  • Jenis data - Boolean (Benar atau Salah)
    • Jika diatur ke True, ID aplikasi ditambahkan ke klaim pengeluar sertifikat dalam token yang terpengaruh oleh kebijakan.
    • Jika diatur ke False, ID aplikasi tidak ditambahkan ke klaim pengeluar sertifikat dalam token yang terpengaruh oleh kebijakan. (default)
  • Ringkasan - Memungkinkan ID aplikasi disertakan dalam klaim pengeluar sertifikat. Memastikan bahwa beberapa instans aplikasi yang sama memiliki nilai klaim unik untuk setiap instans. Pengaturan ini diabaikan jika kunci penandatanganan kustom tidak dikonfigurasi untuk aplikasi.

Pengambilalihan Audiens

  • String - audienceOverride
  • Jenis data - String
  • Ringkasan - Memungkinkan Anda mengambil alih klaim audiens yang dikirim ke aplikasi. Nilai yang diberikan harus berupa URI absolut yang valid. Pengaturan ini diabaikan jika tidak ada kunci penandatanganan kustom yang dikonfigurasi untuk aplikasi.

Langkah berikutnya