Questo browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare le funzionalità più recenti, gli aggiornamenti della sicurezza e il supporto tecnico.
Microsoft Identity Platform supporta l'accesso Single Sign-On (SSO) per la maggior parte delle applicazioni preintegrate nella raccolta di applicazioni e le applicazioni personalizzate. Quando un utente esegue l'autenticazione in un'applicazione tramite Microsoft Identity Platform usando il protocollo SAML 2.0, viene inviato un token all'applicazione. L'applicazione quindi convalida e usa il token per concedere l'accesso all'utente anziché richiedere l'immissione di nome utente e password.
Questi token SAML contengono informazioni sull'utente, note come attestazioni. Un'attestazione è un insieme di informazioni relative ad un utente dichiarate da un provider di identità all'interno del token rilasciato per tale utente. Nel token SAML questi dati sono in genere contenuti nell'istruzione degli attributi SAML. L'ID univoco dell'utente è in genere rappresentato nell'oggetto SAML, che è chiamato anche identificatore del nome (nameID).
Per impostazione predefinita, Microsoft Identity Platform genera per un’applicazione un token SAML che contiene un'attestazione con un valore del nome utente (o nome dell’entità utente), che può identificare in modo univoco l'utente. Il token SAML contiene anche altre attestazioni che includono l'indirizzo di posta elettronica, il nome e il cognome dell'utente.
Per visualizzare o modificare le attestazioni rilasciate nel token SAML inviato all'applicazione:
Potrebbe essere necessario modificare le attestazioni rilasciate nel token SAML per i motivi seguenti:
NameIdentifier o nameID sia diversa dal nome utente o dal nome dell'entità utente.Per modificare l’attestazione del valore dell’identificatore del nome:
nameID.Se la richiesta SAML contiene l'elemento NameIDPolicy con un formato specifico, Microsoft Identity Platform rispetta il formato nella richiesta.
Se la richiesta SAML non contiene un elemento per NameIDPolicy, Microsoft Identity Platform rilascia nameID con il formato specificato. Se non viene specificato alcun formato, Microsoft Identity Platform usa il formato di origine predefinito associato all'origine dell’attestazione selezionata. Se una trasformazione restituisce un valore Null o illegale, Microsoft Entra ID invia un identificatore pairwise permanente in nameID.
Nell'elenco a discesa Scegliere il formato per l'identificatore del nome selezionare una delle opzioni elencate nella tabella seguente.
formato nameID |
Descrizione |
|---|---|
| Default | Microsoft Identity Platform usa il formato di origine predefinito. |
| Persistente | Microsoft Identity Platform usa Persistent come formato nameID. |
| Indirizzo di posta elettronica | Microsoft Identity Platform usa EmailAddress come formato nameID. |
| Non specificato | Microsoft Identity Platform usa Unspecified come formato nameID. |
| Nome completo dominio Windows | Microsoft Identity Platform usa il formato WindowsDomainQualifiedName. |
È supportato anche un formato temporaneo nameID anche se non è disponibile nell'elenco a discesa e non può essere configurato sul lato di Azure. Per altre informazioni sull'attributo NameIDPolicy, vedere Protocollo SAML per l’accesso Single Sign-On.
Selezionare l'origine desiderata per l'attestazione NameIdentifier (o nameID). È possibile selezionare le opzioni nella tabella seguente.
| Nome | Descrizione |
|---|---|
Email |
Indirizzo di posta elettronica dell'utente. |
userprincipalName |
Nome dell'entità utente (UPN) dell'utente. |
onpremisessamaccountname |
Nome dell'account SAM sincronizzato dall'istanza di Microsoft Entra ID locale. |
objectid |
ID oggetto dell'utente in Microsoft Entra ID. |
employeeid |
ID dipendente dell'utente. |
Directory extensions |
Estensioni di directory sincronizzate dall’istanza di Active Directory locale mediante la sincronizzazione di Microsoft Entra Connect. |
Extension Attributes 1-15 |
Attributi dell'estensione locale usati per estendere lo schema di Microsoft Entra. |
pairwiseid |
Forma persistente dell’identificatore utente. |
Per altre informazioni sui valori dell’identificatore, vedere la tabella che elenca i valori ID validi per ogni origine più oltre in questa pagina.
È possibile assegnare qualsiasi valore costante (statico) a qualsiasi attestazione. Per assegnare un valore costante, seguire la procedura seguente:
È anche possibile configurare gli attributi dell'estensione dello schema della directory come attributi non condizionali/condizionali. Usare la procedura seguente per configurare l'attributo di estensione dello schema della directory a valore singolo o multivalore come attestazione:
È possibile usare le seguenti funzioni speciali di trasformazione delle attestazioni.
| Funzione | Descrizione |
|---|---|
| ExtractMailPrefix() | Rimuove il suffisso del dominio dall'indirizzo di posta elettronica o dal nome dell'entità utente. La funzione estrae solo la prima parte del nome utente passata, ad esempio "joe_smith" anziché joe_smith@contoso.com. |
| ToLower() | Converte i caratteri dell'attributo selezionato in minuscole. |
| ToUpper() | Converte i caratteri dell'attributo selezionato in maiuscole. |
Per aggiungere attestazioni specifiche dell'applicazione:
Le attestazioni di gruppo vengono usate per prendere decisioni di autorizzazione per accedere a una risorsa da un'app o da un provider di servizi. Per aggiungere attestazioni di gruppo;
Per applicare una trasformazione a un attributo utente:
user.proxyaddresses.user.mail. Quindi, impostare la stringa in maiuscolo.Per trasformare le attestazioni, è possibile usare le funzioni seguenti.
| Funzione | Descrizione |
|---|---|
| ExtractMailPrefix() | Rimuove il suffisso del dominio dall'indirizzo di posta elettronica o dal nome dell'entità utente. Questa funzione estrae solo la prima parte del nome utente passato. Ad esempio, joe_smith anziché joe_smith@contoso.com. |
| Join() | Crea un nuovo valore creando un join tra due attributi. Facoltativamente, è possibile usare un separatore tra i due attributi. Nel caso specifico della trasformazione dell'attestazione nameID, la funzione Join() mostra un comportamento specifico quando l'input della trasformazione contiene una parte del dominio. Rimuove la parte del dominio dall'input prima di unirla al separatore e al parametro selezionato. Ad esempio, se l'input della trasformazione è joe_smith@contoso.com, il separatore è @ e il parametro è fabrikam.com, questa combinazione di input restituisce joe_smith@fabrikam.com. |
| ToLowercase() | Converte i caratteri dell'attributo selezionato in minuscole. |
| ToUppercase() | Converte i caratteri dell'attributo selezionato in maiuscole. |
| Contains() | Restituisce un attributo o una costante se l'input corrisponde al valore specificato. In caso contrario, se non esistono corrispondenze, è possibile specificare un altro output. Ad esempio, è possibile scegliere che venga creata un'attestazione in cui il valore corrisponde all'indirizzo di posta elettronica dell'utente se contiene il dominio @contoso.com e in caso contrario che venga restituito il nome dell'entità utente. Per eseguire questa funzione, configurare i valori seguenti: Parameter 1(input): user.email, Value: "@contoso.com", Parameter 2 (output): user.email e Parameter 3 (output if there's no match): user.userprincipalname. |
| EndWith() | Restituisce un attributo o una costante se l'input termina con il valore specificato. In caso contrario, se non esistono corrispondenze, è possibile specificare un altro output. Ad esempio, è possibile scegliere che venga creata un'attestazione in cui il valore corrisponde all'ID dipendente dell'utente se termina con 000 e in caso contrario che venga restituito un attributo di estensione. Per eseguire questa funzione, configurare i valori seguenti: Parameter 1(input): user.employeeid, Value: "000", Parameter 2 (output): user.employeeid e Parameter 3 (output if there's no match): user.extensionattribute1. |
| StartWith() | Restituisce un attributo o una costante se l'input inizia con il valore specificato. In caso contrario, se non esistono corrispondenze, è possibile specificare un altro output. Ad esempio, è possibile scegliere che venga creata un'attestazione in cui il valore corrisponde all'ID dipendente dell'utente se il paese/area geografica inizia con US e in caso contrario che venga restituito un attributo di estensione. Per eseguire questa funzione, configurare i valori seguenti: Parameter 1(input): user.country, Value: "US", Parameter 2 (output): user.employeeid e Parameter 3 (output if there's no match): user.extensionattribute1 |
| Extract() - Dopo la corrispondenza | Restituisce la sottostringa dopo aver trovato una corrispondenza con il valore specificato. Ad esempio, se il valore di input è Finance_BSimon e il valore corrispondente è Finance_, allora l'output dell'attestazione è BSimon. |
| Extract() - Prima della corrispondenza | Restituisce la sottostringa finché non trova una corrispondenza con il valore specificato. Ad esempio, se il valore di input è BSimon_US e il valore corrispondente è _US, allora l'output dell'attestazione è BSimon. |
| Extract() - Tra corrispondenze | Restituisce la sottostringa finché non trova una corrispondenza con il valore specificato. Ad esempio, se il valore dell'input è Finance_BSimon_US, il primo valore corrispondente è Finance_ e il secondo valore corrispondente è _US, allora l'output dell'attestazione è BSimon. |
| ExtractAlpha() - Prefisso | Restituisce la parte alfabetica del prefisso della stringa. Ad esempio, se il valore dell'input è BSimon_123, restituisce BSimon. |
| ExtractAlpha() - Suffisso | Restituisce la parte alfabetica del suffisso della stringa. Ad esempio, se il valore dell'input è 123_Simon, restituisce Simon. |
| ExtractNumeric() - Prefisso | Restituisce la parte numerica del prefisso della stringa. Ad esempio, se il valore dell'input è 123_BSimon, restituisce 123. |
| ExtractNumeric() - Suffisso | Restituisce la parte numerica del suffisso della stringa. Ad esempio, se il valore dell'input è BSimon_123, restituisce 123. |
| IfEmpty() | Restituisce un attributo o una costante se l'input è Null o vuoto. Ad esempio, si può scegliere che venga restituito un attributo archiviato nell’attributo di estensione se l'ID dipendente di uno specifico utente è vuoto. Per eseguire questa funzione, configurare i valori seguenti: Parameter 1(input): user.employeeid, Parameter 2 (output): user.extensionattribute1 e Parameter 3 (output if there's no match): user.employeeid. |
| IfNotEmpty() | Restituisce un attributo o una costante se l'input è Null o vuoto. Ad esempio, si può scegliere che venga restituito un attributo archiviato in un attributo di estensione se l'ID dipendente di uno specifico utente non è vuoto. Per eseguire questa funzione, configurare i valori seguenti: Parameter 1(input): user.employeeid e Parameter 2 (output): user.extensionattribute1. |
| Substring() - Lunghezza fissa | Estrae parti di un tipo di attestazione di stringa, a partire dal carattere in corrispondenza della posizione specificata, e restituisce il numero di caratteri specificato.
sourceClaim è l'origine dell’attestazione della trasformazione da eseguire.
StartIndex è la posizione iniziale in base zero del carattere di una substring nell’istanza.
Length è la lunghezza in caratteri della substring. Ad esempio, sourceClaim - PleaseExtractThisNow, StartIndex - 6 e Length - 11 restituiscono ExtractThis. |
| Substring() - EndOfString | Estrae parti di un tipo di attestazione di stringa, a partire dal carattere in corrispondenza della posizione specificata, e restituisce la parte restante dell’attestazione dall’indice di inizio.
sourceClaim è l'origine dell’attestazione della trasformazione da eseguire.
StartIndex è la posizione iniziale in base zero del carattere di una substring nell’istanza. Ad esempio, sourceClaim - PleaseExtractThisNow e StartIndex - 6 restituiscono ExtractThisNow. |
| RegexReplace() | Per altre informazioni sulla trasformazione delle attestazioni basate su regex, vedere la sezione successiva. |
L'immagine seguente mostra un esempio del primo livello della trasformazione:
Le azioni elencate nella tabella seguente forniscono informazioni sul primo livello della trasformazione e corrispondono alle etichette nell'immagine precedente. Selezionare Modifica per aprire il pannello di trasformazione delle attestazioni.
| Azione | Campo | Descrizione |
|---|---|---|
1 |
Transformation |
Selezionare l'opzione RegexReplace() nelle opzioni Trasformazione per usare il metodo di trasformazione delle attestazioni basate su regex per la trasformazione delle attestazioni. |
2 |
Parameter 1 |
Input per la trasformazione di un’espressione regolare. Ad esempio, user.mail che include l’indirizzo di posta elettronica dell’utente come admin@fabrikam.com. |
3 |
Treat source as multivalued |
Alcuni attributi utente di input possono essere attributi utente multivalore. Se l'attributo utente selezionato supporta più valori e l'utente vuole usare più valori per la trasformazione, è necessario selezionare Considera origine come multivalore. Se questa opzione è selezionata, tutti i valori vengono usati per la corrispondenza regex. In caso contrario, viene usato solo il primo valore. |
4 |
Regex pattern |
Espressione regolare valutata rispetto al valore dell'attributo utente selezionato come Parametro 1. Ad esempio, un'espressione regolare per estrarre l'alias utente dall'indirizzo di posta elettronica dell'utente verrebbe rappresentata come (?'domain'^.*?)(?i)(\@fabrikam\.com)$. |
5 |
Add additional parameter |
Per la trasformazione è possibile usare più attributi utente. I valori degli attributi verranno quindi uniti con l'output della trasformazione regex. Sono supportati fino a cinque parametri. |
6 |
Replacement pattern |
Il modello di sostituzione è il modello di testo, che contiene segnaposto per il risultato regex. Tutti i nomi di gruppo devono essere racchiusi tra parentesi graffe, ad esempio {group-name}. Si supponga che l'amministrazione voglia usare l'alias utente con un altro nome di dominio, ad esempio xyz.com, e unire il nome del paese con esso. In questo caso, il modello di sostituzione sarà {country}.{domain}@xyz.com, dove {country} è il valore del parametro di input e {domain} è l'output del gruppo risultante dalla valutazione dell'espressione regolare. In questo caso, il risultato previsto è US.swmal@xyz.com. |
L'immagine seguente mostra un esempio del secondo livello della trasformazione:
Nella tabella seguente vengono fornite informazioni sul secondo livello della trasformazione. Le azioni elencate nella tabella corrispondono alle etichette dell'immagine precedente.
| Azione | Campo | Descrizione |
|---|---|---|
1 |
Transformation |
Le trasformazioni delle attestazioni basate su regex non sono limitate alla prima trasformazione e possono essere usate anche come trasformazione di secondo livello. È possibile usare qualsiasi altro metodo di trasformazione come prima trasformazione. |
2 |
Parameter 1 |
Se RegexReplace() è selezionato come trasformazione di secondo livello, l'output della trasformazione di primo livello viene usato come input per la trasformazione di secondo livello. Per applicare la trasformazione,è necessario che l'espressione regex di secondo livello corrisponda all'output della prima trasformazione. |
3 |
Regex pattern |
Il criterio regex rappresenta l'espressione regolare per la trasformazione di secondo livello. |
4 |
Parameter input |
Input degli attributi utente per le trasformazioni di secondo livello. |
5 |
Parameter input |
Gli amministratori possono eliminare il parametro di input selezionato se non è più necessario. |
6 |
Replacement pattern |
Il modello di sostituzione è il modello di testo, che contiene segnaposto per il nome del gruppo di risultati regex, il nome del gruppo di parametri di input e il valore di testo statico. Tutti i nomi di gruppo devono essere racchiusi tra parentesi graffe, ad esempio {group-name}. Si supponga che l'amministrazione voglia usare l'alias utente con un altro nome di dominio, ad esempio xyz.com, e unire il nome del paese con esso. In questo caso, il modello di sostituzione sarà {country}.{domain}@xyz.com, dove {country} è il valore del parametro di input e {domain} è l'output del gruppo restituito dalla valutazione dell'espressione regolare. In questo caso, il risultato previsto è US.swmal@xyz.com. |
7 |
Test transformation |
La trasformazione RegexReplace() viene valutata solo se il valore dell'attributo utente selezionato per il parametro 1 corrisponde all'espressione regolare fornita nella casella di testo Modello regex. Se i valori non corrispondono, al token viene aggiunto il valore predefinito dell'attestazione. Per convalidare l'espressione regolare rispetto al valore del parametro di input, è possibile usare un'esperienza di test all'interno del pannello della trasformazione. Questa esperienza di test usa solo valori fittizi. Quando si usano più parametri di input, il nome del parametro viene aggiunto al risultato del test anziché al valore effettivo. Per accedere alla sezione test, selezionare Testa trasformazione. |
L'immagine seguente mostra un esempio di test delle trasformazioni:
Nella tabella seguente vengono fornite informazioni sul test delle trasformazioni. Le azioni elencate nella tabella corrispondono alle etichette dell'immagine precedente.
| Azione | Campo | Descrizione |
|---|---|---|
1 |
Test transformation |
Selezionare il pulsante Chiudi o (X) per nascondere la sezione Test ed eseguire di nuovo il rendering del pulsante Testa trasformazione nel pannello. |
2 |
Test regex input |
Accetta l'input usato per la valutazione del test dell'espressione regolare. Se la trasformazione delle attestazioni basate su regex è configurata come trasformazione di secondo livello, fornire un valore che rappresenti l'output previsto della prima trasformazione. |
3 |
Run test |
Dopo aver specificato l'input regex di test e aver configurato Modello regex, Modello di sostituzione e Parametri di input, è possibile valutare l'espressione selezionando Esegui test. |
4 |
Test transformation result |
Se la valutazione ha esito positivo, viene eseguito il rendering dell’output della trasformazione di test rispetto all’etichetta Testa risultato della trasformazione. |
5 |
Remove transformation |
La trasformazione di secondo livello può essere rimossa selezionando Rimuovi trasformazione. |
6 |
Specify output if no match |
Quando un valore di input regex viene configurato in base al parametro 1 che non corrisponde all'espressione regolare, la trasformazione viene ignorata. In questi casi, è possibile configurare l'attributo utente alternativo, che può essere aggiunto al token per l'attestazione selezionando Specifica output se non esiste alcuna corrispondenza. |
7 |
Parameter 3 |
Se è necessario restituire un attributo utente alternativo quando non esiste alcuna corrispondenza e l’opzione Specificare l'output se non è selezionata alcuna corrispondenza è selezionata, è possibile selezionare un attributo utente alternativo tramite l'elenco a discesa. Questo elenco a discesa è disponibile nel parametro 3 (output in caso di non corrispondenza). |
8 |
Summary |
Nella parte inferiore del pannello viene visualizzato un riepilogo completo del formato che spiega il significato della trasformazione in testo semplice. |
9 |
Add |
Dopo aver verificato le impostazioni di configurazione della trasformazione, è possibile salvarle in un criterio delle attestazioni selezionando Aggiungi. Selezionare Salva nel pannello Gestisci attestazione per salvare le modifiche. |
La trasformazione RegexReplace() è disponibile anche per le trasformazioni delle attestazioni di gruppo.
Quando si verificano le condizioni seguenti dopo la selezione di Aggiungi o Esegui test, viene visualizzato un messaggio che fornisce altre informazioni sul problema:
L'attestazione http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn fa parte del set di attestazioni con restrizioni SAML. Se la chiave di firma personalizzata è configurata, è possibile aggiungerla nella sezione Attributi e attestazioni .
Se non è configurata alcuna chiave di firma personalizzata, fare riferimento al set di attestazioni con restrizioni SAML. Come soluzione alternativa, è possibile aggiungerla come attestazione facoltativa tramite Registrazioni app nel portale di Azure.
Aprire l'applicazione in Registrazioni app, selezionare Configurazione del token e quindi selezionare Aggiungi attestazione facoltativa. Selezionare il tipo di token SAML, scegliere upn dall'elenco e quindi fare clic su Aggiungi per aggiungere l'attestazione al token.
La personalizzazione eseguita nella sezione Attributi e attestazioni può sovrascrivere le attestazioni facoltative in Registrazione app.
È possibile specificare l'origine di un'attestazione in base al tipo di utente e al gruppo a cui appartiene.
Il tipo di utente può essere:
Uno scenario in cui questo tipo di utente è utile è il caso in cui l’origine di un'attestazione è diversa per un utente guest e per un dipendente che accedono a un'applicazione. È possibile specificare che NameID viene originato da user.email se l’utente è un dipendente. Se l'utente è un guest, NameID viene originato da user.extensionattribute1.
Per aggiungere una condizione per l'attestazione:
L'ordine in cui si aggiungono le condizioni è importante. Microsoft Entra valuta prima tutte le condizioni con l’origine Attribute e quindi valuta tutte le condizioni con l'origine Transformation per decidere quale valore generare nell'attestazione. Le condizioni con la stessa origine vengono valutate dall'alto verso il basso. L'ultimo valore che corrisponde all'espressione viene generato nell'attestazione. Le trasformazioni, come IsNotEmpty e Contains, fungono da restrizioni.
Britta Simon, ad esempio, è un utente guest nel tenant di Contoso. Britta appartiene a un'altra organizzazione che usa anche Microsoft Entra ID. Data la configurazione seguente per l'applicazione Fabrikam, quando Britta tenta di accedere a Fabrikam, Microsoft Identity Platform valuta le condizioni.
Prima di tutto, Microsoft Identity Platform verifica se il tipo di utente di Britta è Tutti gli utenti guest. Poiché il tipo è Tutti gli utenti guest, Microsoft Identity Platform assegna l'origine per l'attestazione a user.extensionattribute1. Quindi, Microsoft Identity Platform verifica se il tipo di utente di Britta è Utenti guest di Microsoft Entra. Poiché il tipo è Tutti gli utenti guest, Microsoft Identity Platform assegna l'origine per l'attestazione a user.mail. Infine, l'attestazione viene creata con il valore user.mail per Britta.
Come altro esempio, si pensi a quando Britta Simon tenta di accedere e viene usata la configurazione seguente. Tutte le condizioni vengono valutate per prime con l'origine di Attribute. Poiché il tipo di utente di Britta è Utenti guest di Microsoft Entra, user.mail viene assegnato come origine per l'attestazione. Verranno quindi valutate le trasformazioni. Poiché Britta è un utente guest, user.extensionattribute1 è ora la nuova origine per l'attestazione. Poiché Britta rientra in Utenti guest di Microsoft Entra, user.othermail è ora l'origine per tale attestazione. Infine, l'attestazione viene creata con il valore user.othermail per Britta.
Come esempio finale, considerare cosa accade se Britta non ha configurato user.othermail o è vuoto. In entrambi i casi la voce della condizione viene ignorata e l'attestazione esegue invece il fallback. a user.extensionattribute1.
Le opzioni avanzate per le attestazioni possono essere configurate per le applicazioni SAML2.0 per esporre la stessa attestazione ai token OIDC e viceversa per le applicazioni che intendono usare la stessa attestazione per i token di risposta SAML2.0 e OIDC.
Le opzioni avanzate per le attestazioni possono essere configurate selezionando la casella in Opzioni avanzate per le attestazioni SAML nel pannello Gestisci attestazioni.
La tabella seguente elenca altre opzioni avanzate che possono essere configurate per un'applicazione.
| Opzione | Descrizione |
|---|---|
| Aggiungi ID applicazione all'autorità di certificazione | Aggiunge automaticamente l'ID applicazione all'attestazione dell'autorità di certificazione. Questa opzione garantisce un valore di attestazione univoco per ogni istanza quando sono presenti più istanze della stessa applicazione. L’impostazione viene ignorata se non è stata configurata una chiave di firma personalizzata per l'applicazione. |
| Ignora attestazione dei destinatari | Consente di eseguire l'override dell'attestazione dei destinatari inviata all'applicazione. Il valore specificato deve essere un URI assoluto valido. L’impostazione viene ignorata se non è stata configurata una chiave di firma personalizzata per l'applicazione. |
| Includi il formato del nome dell'attributo | Se l’opzione è selezionata, Microsoft Entra ID aggiunge un attributo denominato NameFormat che descrive il formato del nome a attestazioni limitate, core e facoltative per l'applicazione. Per altre informazioni, vedere Tipo di criteri di mapping delle attestazioni. |
Training
Percorso di apprendimento
Use advance techniques in canvas apps to perform custom updates and optimization - Training
Use advance techniques in canvas apps to perform custom updates and optimization
Certificazione
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Illustrare le funzionalità di Microsoft Entra ID per modernizzare le soluzioni di identità, implementare soluzioni ibride e implementare la governance delle identità.
Documentazione
Ottenere informazioni su come configurare le attestazioni di gruppo da usare con Microsoft Entra ID.
Riferimento alle attestazioni del token SAML 2.0 - Microsoft identity platform
Informazioni di riferimento sulle attestazioni incluse nei token SAML 2.0 emessi da Microsoft Identity Platform, inclusi gli equivalenti JWT.
Questo articolo descrive come personalizzare le attestazioni in Microsoft Entra ID tramite PowerShell