다음을 통해 공유


Microsoft Entra ID를 사용하여 애플리케이션에 대한 그룹 클레임 구성

Microsoft Entra ID에서 애플리케이션 내에서 사용할 수 있도록 사용자 그룹 멤버 자격 정보를 토큰으로 제공할 수 있습니다. 이 기능은 다음 세 가지 주요 패턴을 지원합니다.

  • Microsoft Entra OID(개체 식별자) 특성으로 식별된 그룹
  • Active Directory 동기화 그룹 및 사용자의 sAMAccountName 또는 GroupSID 특성으로 식별되는 그룹
  • 클라우드 전용 그룹의 표시 이름 특성으로 식별되는 그룹

Important

중첩된 그룹을 포함하여 토큰에서 내보내는 그룹의 수는 SAML 어설션의 경우 150개, JWT의 경우 200개로 제한됩니다. 대규모 조직에서는 사용자가 멤버인 그룹 수가 토큰에서 그룹 클레임을 내보내기 전에 Microsoft Entra ID가 적용되는 제한을 초과할 수 있습니다. 이 제한을 초과하면 Microsoft Entra ID가 토큰에서 그룹 클레임 보내기를 완전히 생략합니다. 이러한 제한에 대한 해결 방법은 이 기능에 대한 중요 주의 사항에 대해 자세히 읽어보세요.

이 기능에 대한 중요한 주의 사항

  • 온-프레미스에서 동기화된 sAMAccountName 및 SID(보안 식별자) 특성 사용에 대한 지원은 AD FS(Active Directory Federation Services) 및 기타 ID 공급자에서 기존 애플리케이션을 이동할 수 있도록 설계되었습니다. Microsoft Entra ID에서 관리되는 그룹에는 이러한 클레임을 내보내는 데 필요한 특성이 없습니다.

  • 사용자에게 많은 수의 그룹 멤버 자격이 있는 경우 그룹 수 제한을 방지하기 위해 클레임에서 내보낸 그룹을 애플리케이션의 관련 그룹으로 제한할 수 있습니다. JWT 토큰SAML 토큰에 대한 애플리케이션에 할당된 그룹을 내보내는 방법에 대해 자세히 알아보세요. 애플리케이션에 그룹을 할당할 수 없는 경우 클레임에서 내보낸 그룹 수를 줄이기 위해 그룹 필터를 구성할 수도 있습니다. 그룹 필터링은 포털의 엔터프라이즈 앱 블레이드에서 그룹 클레임 및 필터링이 구성된 앱에 대해 내보낸 토큰에 적용됩니다. 대규모 조직에서는 사용자가 구성원인 그룹 수가 토큰에서 그룹 클레임을 내보내기 전에 Microsoft Entra ID가 적용하는 제한을 초과할 수 있습니다. 이 제한을 초과하면 Microsoft Entra ID가 토큰에서 그룹 클레임 보내기를 완전히 생략합니다.

  • 암시적 흐름을 통해 토큰이 발급되는 경우 그룹 클레임은 5개 그룹 제한이 있습니다. 암시적 흐름을 통해 요청된 토큰은 사용자가 5개 넘는 그룹에 있는 경우에만 "hasgroups":true 클레임을 갖게 됩니다.

  • 다음과 같은 경우에는 그룹이 아닌 애플리케이션 역할을 기반으로 앱 내 권한 부여를 수행하는 것이 좋습니다.

    • 새 애플리케이션을 개발 중이거나 기존 애플리케이션을 구성할 수 있습니다.
    • 중첩된 그룹에 대한 지원은 필요하지 않습니다.

    애플리케이션 역할을 사용하면 토큰으로 이동해야 하는 정보의 양을 제한하고 보안을 강화하며 앱 구성에서 사용자 할당을 구분할 수 있습니다.

AD FS 및 기타 ID 공급자에서 마이그레이션하는 애플리케이션에 대한 그룹 클레임

AD FS를 사용하여 인증하도록 구성된 많은 애플리케이션은 Windows Server Active Directory 그룹 특성 형식의 그룹 멤버 자격 정보를 사용합니다. 이러한 특성은 도메인 이름으로 정규화될 수 있는 그룹 sAMAccountName 또는 Windows 그룹 보안 식별자(GroupSID)입니다. 애플리케이션이 AD FS로 페더레이션되면 AD FS는 TokenGroups 함수를 사용하여 사용자에 대한 그룹 멤버 자격을 검색합니다.

AD FS에서 이동된 앱에는 동일한 형식의 클레임이 필요합니다. Microsoft Entra ID에서 내보낸 그룹 및 역할 클레임에는 그룹의 Microsoft Entra IDobjectID 특성이 아니라 Active Directory에서 동기화된 도메인 정규 sAMAccountName 특성 또는 GroupSID 특성이 포함될 수 있습니다.

지원되는 그룹 클레임 형식은 다음과 같습니다.

  • Microsoft Entra 그룹 ObjectId: 모든 그룹에 사용할 수 있습니다.
  • sAMAccountName: Active Directory에서 동기화된 그룹에 사용할 수 있습니다.
  • NetbiosDomain\sAMAccountName: Active Directory에서 동기화된 그룹에 사용할 수 있습니다.
  • DNSDomainName\sAMAccountName: Active Directory에서 동기화된 그룹에 사용할 수 있습니다.
  • 온-프레미스 그룹 보안 식별자: Active Directory에서 동기화된 그룹에 사용할 수 있습니다.

참고 항목

sAMAccountName 및 온-프레미스 GroupSID 특성은 Active Directory에서 동기화된 그룹 개체에서만 사용할 수 있습니다. Microsoft Entra ID 또는 Office 365에서 만든 그룹에서는 사용할 수 없습니다. 동기화된 온-프레미스 그룹 특성을 가져오도록 Microsoft Entra ID에 구성된 애플리케이션은 동기화된 그룹에 대해서만 해당 특성을 가져옵니다.

그룹 정보를 사용하는 애플리케이션에 대한 옵션

애플리케이션에서 Microsoft Graph 그룹의 엔드포인트를 호출하여 인증된 사용자에 대한 그룹 정보를 가져올 수 있습니다. 이 호출을 통해 많은 그룹이 포함된 경우에도 사용자가 속한 모든 그룹을 사용할 수 있습니다. 그런 경우 그룹 열거는 토큰 크기 제한과 관계가 없습니다.

그러나 기존 애플리케이션이 클레임을 통해 그룹 정보를 사용할 것으로 예상하는 경우 다양한 클레임 형식으로 Microsoft Entra ID를 구성할 수 있습니다. 다음 옵션을 살펴보세요.

  • 애플리케이션에서 권한 부여를 위해 그룹 멤버 자격을 사용하는 경우에는 그룹 ObjectID 특성을 사용하는 것이 좋습니다. 그룹 ObjectID 특성은 Microsoft Entra ID에서 변경할 수 없고 고유합니다. 모든 그룹에 사용할 수 있습니다.

  • 승인을 위해 온-프레미스 그룹 sAMAccountName 속성을 사용하는 경우 도메인 정규 이름을 사용합니다. 이렇게 하면 이름이 충돌할 가능성이 줄어듭니다. sAMAccountName은 Active Directory 도메인 내에서 고유할 수 있지만, 둘 이상의 Active Directory 도메인이 Microsoft Entra 테넌트와 동기화되는 경우 두 개 이상의 그룹이 동일한 이름을 가질 가능성이 있습니다.

  • 애플리케이션 역할을 사용하여 그룹 멤버 자격과 애플리케이션 간의 간접 참조 계층을 제공하는 것이 좋습니다. 그러면 애플리케이션은 토큰에서 역할 클레임에 따라 내부 권한 부여 결정을 내립니다.

  • 애플리케이션이 Active Directory에서 동기화되는 그룹 특성을 가져오도록 구성되고 그룹에 해당 특성이 포함되지 않은 경우 클레임에 애플리케이션이 포함되지 않습니다.

  • 토큰의 그룹 클레임에는 옵션을 사용하여 그룹 클레임을 애플리케이션에 할당된 그룹으로 제한하는 경우를 제외하고 중첩된 그룹이 포함됩니다.

    사용자가 GroupB에 속해 있고 GroupB가 GroupA에 속한 경우 사용자에 대한 그룹 클레임에 GroupA와 GroupB가 모두 포함됩니다. 조직의 사용자에게 다수의 그룹 멤버 자격이 있는 경우 토큰에 나열된 그룹 수로 인해 토큰 크기가 늘어날 수 있습니다. Microsoft Entra ID는 토큰에서 내보낸 그룹 수를 SAML 어설션의 경우 150개, JWT의 경우 200개로 제한합니다. 사용자가 더 많은 그룹의 구성원인 경우 그룹이 생략됩니다. 대신 그룹 정보를 얻기 위한 Microsoft Graph 엔드포인트에 대한 링크가 포함되어 있습니다.

Active Directory에서 동기화된 그룹 특성을 사용하기 위한 필수 조건

ObjectId 형식을 사용하는 경우 그룹 구성원 클레임을 모든 그룹의 토큰으로 내보낼 수 있습니다. 그룹 ObjectId 이외의 형식으로 그룹 클레임을 사용하려면 Microsoft Entra Connect를 통해 Active Directory에서 그룹을 동기화해야 합니다.

Active Directory 그룹의 그룹 이름을 내보내도록 Microsoft Entra ID를 구성하려면 다음을 수행합니다.

  1. Active Directory에서 그룹 이름 동기화

    Microsoft Entra ID가 그룹 또는 역할 클레임에서 그룹 이름 또는 온-프레미스 그룹 SID를 내보내려면 Active Directory에서 필요한 특성을 동기화해야 합니다. Microsoft Entra Connect 버전 1.2.70 이상을 실행하고 있어야 합니다. Microsoft Entra Connect 1.2.70 이전 버전은 Active Directory에서 그룹 개체를 동기화하지만 필요한 그룹 이름 특성을 포함하지 않습니다.

  2. 토큰에 그룹 클레임을 포함하도록 Microsoft Entra ID에서 애플리케이션 등록 구성

    포털의 엔터프라이즈 애플리케이션 섹션에서 또는 애플리케이션 등록 섹션에서 애플리케이션 매니페스트를 사용하여 그룹 클레임을 구성할 수 있습니다. 애플리케이션 매니페스트에서 그룹 클레임을 구성하려면 이 문서 뒷부분의 그룹 특성에 대한 Microsoft Entra 애플리케이션 등록 구성을 참조하세요.

SSO 구성을 사용하여 SAML 애플리케이션에 대한 토큰에 그룹 클레임 추가

SSO(Single Sign-On)를 통해 갤러리 또는 비갤러리 SAML 애플리케이션에 대한 그룹 클레임을 구성하려면 다음과 같이 수행합니다.

  1. 엔터프라이즈 애플리케이션을 열고 목록에서 애플리케이션을 선택하고 Single Sign On 구성을 선택한 다음, 사용자 속성 및 클레임을 선택합니다.

  2. 그룹 클레임 추가를 선택합니다.

    그룹 클레임을 추가하기 위한 단추가 선택된 사용자 특성 및 클레임에 대한 페이지를 보여주는 스크린샷.

  3. 옵션을 사용하여 토큰에 포함해야 하는 그룹을 선택합니다.

    그룹 옵션이 있는 그룹 클레임 창을 보여 주는 스크린샷.

    선택 사항 설명
    모든 그룹 보안 그룹과 배포 목록 및 역할을 내보냅니다.
    보안 그룹 그룹 클레임에서 사용자가 속한 보안 그룹을 내보냅니다. 사용자에게 디렉터리 역할이 할당된 경우 개체 ID로 내보내집니다.
    디렉터리 역할 사용자에게 디렉터리 역할이 할당된 경우 wids 클레임으로 내보내집니다. (그룹의 클레임은 내보내지지 않습니다.)
    애플리케이션에 할당된 그룹 애플리케이션에 명시적으로 할당되고 사용자가 속한 그룹만 내보냅니다. 토큰의 그룹 번호 제한으로 인해 대규모 조직에 권장합니다.
    • 예를 들어 사용자가 속한 모든 보안 그룹을 내보내려면 보안 그룹을 선택합니다.

      보안 그룹에 대한 옵션이 선택된 그룹 클레임 창을 보여 주는 스크린샷.

      Microsoft Entra ID objectID 특성 대신 Active Directory에서 동기화된 Active Directory 특성을 사용하여 그룹을 내보내려면, 원본 특성 드롭다운 목록에서 필요한 형식을 선택합니다. Active Directory에서 동기화된 그룹만 클레임에 포함됩니다.

      원본 특성의 드롭다운 메뉴를 보여주는 스크린샷.

    • 애플리케이션에 할당된 그룹만 내보내려면 애플리케이션에 할당된 그룹을 선택합니다.

      애플리케이션에 할당된 그룹에 대한 옵션이 선택된 그룹 클레임 창을 보여 주는 스크린샷.

      애플리케이션에 할당된 그룹이 토큰에 포함됩니다. 사용자가 속한 다른 그룹은 생략됩니다. 이 옵션을 선택하면 중첩된 그룹이 포함되지 않으며 사용자는 애플리케이션에 할당된 그룹의 직접 구성원이어야 합니다.

      애플리케이션에 할당된 그룹을 변경하려면 엔터프라이즈 애플리케이션 목록에서 애플리케이션을 선택합니다. 그런 다음, 애플리케이션의 왼쪽 메뉴에서 사용자 및 그룹을 선택합니다.

      애플리케이션에 대한 그룹 할당 관리에 대한 자세한 내용은 엔터프라이즈 앱에 사용자 또는 그룹 할당을 참조하세요.

클라우드 전용 그룹 표시 이름을 토큰으로 내보냅니다.

클라우드 전용 그룹에 대한 그룹 표시 이름을 포함하도록 그룹 클레임을 구성할 수 있습니다.

  1. 엔터프라이즈 애플리케이션을 열고 목록에서 애플리케이션을 선택하고 Single Sign On 구성을 선택한 다음, 사용자 속성 및 클레임을 선택합니다.

  2. 이미 그룹 클레임을 구성한 경우 추가 클레임 섹션에서 선택합니다. 그렇지 않으면 이전 단계에서 설명한 대로 그룹 클레임을 추가할 수 있습니다.

  3. 토큰에서 내보낸 그룹 유형의 경우 애플리케이션에 할당된 그룹을 선택합니다.

    애플리케이션에 할당된 그룹에 대한 옵션이 선택된 그룹 클레임 창을 보여 주는 스크린샷.

  4. 클라우드 그룹에 대해서만 그룹 표시 이름을 표시하려면 원본 특성 드롭다운에서 클라우드 전용 그룹 표시 이름을 선택합니다.

    클라우드 전용 그룹 이름 구성 옵션이 선택된 그룹 클레임 원본 특성 드롭다운을 보여 주는 스크린샷.

  5. 하이브리드 설정의 경우 동기화된 그룹의 온-프레미스 그룹 특성과 클라우드 그룹의 표시 이름을 내보내려면 원하는 온-프레미스 원본 특성을 선택하고 클라우드 전용 그룹의 그룹 이름 내보내기 확인란을 선택하면 됩니다.

    동기화된 그룹의 온-프레미스 그룹 특성과 클라우드 그룹의 표시 이름을 내보내는 구성을 보여 주는 스크린샷.

참고 항목

할당된 그룹의 클라우드 그룹 이름만 애플리케이션에 추가할 수 있습니다. groups assigned to the application에 대한 제한은 그룹 이름이 고유하지 않고 보안 위험을 줄이기 위해 애플리케이션에 명시적으로 할당된 그룹에 대해서만 표시 이름을 내보낼 수 있기 때문입니다. 그렇지 않으면 모든 사용자가 중복된 이름을 가진 그룹을 만들고 애플리케이션 측에서 액세스 권한을 얻을 수 있습니다.

고급 옵션 설정

그룹 클레임 이름 사용자 지정

고급 옵션의 설정을 사용하여 그룹 클레임을 내보내는 방식을 수정할 수 있습니다.

그룹 클레임의 이름 사용자 지정을 선택하면 그룹 클레임에 대해 다른 소유권 주장 유형을 지정할 수 있습니다. 이름 상자에 클레임 유형을 입력하고 네임스페이스 상자에 클레임에 대한 선택적 네임스페이스를 입력합니다.

선택한 그룹 클레임의 이름과 입력된 이름 및 네임스페이스 값을 사용자 지정하는 옵션이 있는 고급 옵션을 보여 주는 스크린샷.

일부 애플리케이션에는 역할 클레임에 표시할 그룹 멤버 자격 정보가 필요합니다. 선택적으로 그룹을 역할 클레임으로 내보내기 확인란을 선택하여 사용자 그룹을 역할로 내보낼 수 있습니다.

그룹 클레임 이름을 사용자 지정하고 그룹을 역할 클레임으로 내보내는 확인란이 선택된 고급 옵션을 보여 주는 스크린샷.

참고 항목

그룹 데이터를 역할로 내보내는 옵션을 사용하면 그룹만 역할 클레임에 표시됩니다. 사용자가 할당되어 있는 모든 애플리케이션 역할은 역할 클레임에 표시되지 않습니다.

그룹 필터링

그룹 필터링을 사용하면 그룹 클레임의 일부로 포함된 그룹 목록을 세밀하게 제어할 수 있습니다. 필터를 구성하면 필터와 일치하는 그룹만 해당 애플리케이션으로 전송된 그룹 클레임에 포함됩니다. 필터는 그룹 계층 구조에 관계없이 모든 그룹에 적용됩니다.

참고 항목

그룹 필터링은 포털의 엔터프라이즈 앱 블레이드에서 그룹 클레임 및 필터링이 구성된 앱에 대해 내보낸 토큰에 적용됩니다.
그룹 필터링은 Microsoft Entra 역할에는 적용되지 않습니다.

그룹의 표시 이름 또는 SAMAccountName 특성에 적용할 필터를 구성할 수 있습니다. 다음 필터링 작업을 지원합니다.

  • 접두사: 선택한 특성의 시작과 일치합니다.
  • 접미사: 선택한 특성의 끝과 일치합니다.
  • 포함: 선택한 특성의 모든 위치와 일치합니다.

필터링 옵션을 보여 주는 스크린샷.

그룹 변환

일부 애플리케이션은 Microsoft Entra ID에 표시되는 방식과 다른 형식의 그룹이 필요할 수 있습니다. 이 요구 사항을 지원하기 위해 그룹 클레임에서 내보낼 각 그룹에 변환을 적용할 수 있습니다. 사용자 지정 그룹 클레임에 대한 정규식(regex)과 대체 값을 구성할 수 있게 함으로써 이를 수행할 수 있습니다.

정규식 정보가 추가된 그룹 변환의 스크린샷.\

  • 정규식 패턴: 정규식을 사용하여 이 상자에서 설정한 패턴에 따라 텍스트 문자열을 구문 분석합니다. 요약한 정규식 패턴이 true로 평가되면 정규식 대체 패턴이 실행됩니다.
  • 정규식 대체 패턴: 요약한 정규식 패턴이 true로 평가되는 경우 문자열을 대체할 방법을 정규식 표기법으로 요약합니다. 캡처 그룹을 사용하여 이 대체 정규식의 하위 식과 일치시킵니다.

정규식 대체 및 캡처 그룹에 대한 자세한 내용은 정규식 개체 모델: 캡처 그룹을 참조하세요.

참고 항목

Microsoft Entra 설명서에 설명된 대로 정책을 사용하여 제한된 클레임을 수정할 수 없습니다. 데이터 원본은 변경할 수 없으며, 이러한 클레임을 생성할 때 변환이 적용됩니다. 그룹 클레임은 여전히 제한된 클레임이므로 이름을 변경하여 그룹을 사용자 지정해야 합니다. 사용자 지정 그룹 클레임의 이름에 대해 제한된 이름을 선택하면 런타임 시 클레임이 무시됩니다.

정규식 패턴과 일치하지 않는 그룹은 결과 클레임에서 내보내지지 않으므로 정규식 변환 기능을 필터로 사용할 수도 있습니다.

원래 그룹 클레임에 적용된 변환으로 인해 새로운 사용자 지정 클레임이 발생하는 경우 원래 그룹 클레임은 토큰에서 생략됩니다. 그러나 구성된 정규식이 원래 목록의 값과 일치하지 않으면 사용자 지정 클레임이 없는 것이며 원래 그룹 클레임이 토큰에 포함됩니다.

그룹 클레임 구성 편집

그룹 클레임 구성을 사용자 속성 및 클레임 구성에 추가한 후에는 그룹 클레임을 추가하는 옵션을 사용할 수 없습니다. 그룹 클레임 구성을 변경하려면 추가 클레임 목록에서 그룹 클레임을 선택합니다.

그룹 클레임 이름이 강조 표시된 사용자 특성 및 클레임 영역의 스크린샷.

그룹 특성에 대한 Microsoft Entra 애플리케이션 등록 구성

그룹 클레임은 애플리케이션 매니페스트선택적 클레임 섹션에서 구성할 수도 있습니다.

  1. 포털에서 ID>애플리케이션>앱 등록>애플리케이션 선택>매니페스트를 선택합니다.

  2. groupMembershipClaims를 변경하여 그룹 멤버십 클레임을 사용합니다.

    유효한 값:

    선택 사항 설명
    All 보안 그룹, 배포 목록, 역할을 내보냅니다.
    SecurityGroup 그룹 클레임에서 사용자가 멤버인 보안 그룹 및 Microsoft Entra 역할을 내보냅니다.
    DirectoryRole 사용자에게 디렉터리 역할이 할당된 경우 wids 클레임으로 내보내집니다. (그룹 클레임은 내보내지지 않습니다.)
    ApplicationGroup 애플리케이션에 명시적으로 할당되고 사용자가 속한 그룹만 내보냅니다.
    None 그룹이 반환되지 않습니다. (대/소문자를 구분하지 않으므로 none도 작동합니다. 애플리케이션 매니페스트에서 직접 설정할 수 있습니다.)

    예시:

    "groupMembershipClaims": "SecurityGroup"
    

    기본적으로 그룹 ObjectID는 그룹 클레임 값으로 내보내집니다. 온-프레미스 그룹 특성을 포함하도록 클레임 값을 수정하거나 클레임 유형을 역할로 변경하려면 다음 단계에서 설명된 optionalClaims 구성을 사용합니다.

  3. 그룹 이름 구성을 위한 선택적 클레임을 설정합니다.

    토큰의 그룹이 온-프레미스 Active Directory 그룹 특성을 포함하도록 하려면 optionalClaims 섹션에서 적용할 토큰 유형 선택적 클레임을 지정합니다. 여러 토큰 유형을 나열할 수 있습니다.

    • OIDC ID 토큰의 경우 idToken
    • OAuth/OIDC 액세스 토큰의 경우 accessToken
    • SAML 토큰의 경우 Saml2Token

    참고 항목

    Saml2Token 유형은 SAML 1.1 및 SAML 2.0 형식 모두의 토큰에 적용됩니다.

    각 관련 토큰 유형에 대해 매니페스트의 optionalClaims 섹션을 사용하도록 그룹 클레임을 수정합니다. optionalClaims 스키마는 다음과 같습니다.

    {
    "name": "groups",
    "source": null,
    "essential": false,
    "additionalProperties": []
    }
    
    선택적 클레임 스키마
    name "groups"이어야 합니다.
    source 사용되지 않습니다. 생략하거나 null을 지정합니다.
    essential 사용되지 않습니다. 생략하거나 false을 지정합니다.
    additionalProperties 추가 속성 목록입니다. 유효한 옵션은 "sam_account_name", "dns_domain_and_sam_account_name", "netbios_domain_and_sam_account_name", "cloud_displayname""emit_as_roles"입니다.

    additionalProperties에서는 "sam_account_name", "dns_domain_and_sam_account_name" 또는 "netbios_domain_and_sam_account_name" 중 하나만 필요합니다. 두 가지 이상의 옵션이 있으면 첫 번째 옵션이 사용되고 나머지는 무시됩니다.

    일부 애플리케이션에는 역할 클레임에 사용자에 대한 그룹 정보가 필요합니다. 클레임 유형을 그룹 클레임에서 역할 클레임으로 변경하려면 추가 속성에 "emit_as_roles"을(를) 추가합니다. 그룹 값은 역할 클레임에 내보내집니다.

    클라우드 전용 그룹의 그룹 표시 이름을 내보내려면 "cloud_displayname"additional properties에 추가할 수 있습니다. 이 옵션은 “groupMembershipClaims”ApplicationGroup으로 설정된 경우에만 작동합니다.

    참고 항목

    "emit_as_roles"를 사용하는 경우 사용자가 할당된 구성된 애플리케이션 역할은 역할 클레임에 표시되지 않습니다.

예제

그룹을 DNSDomainName\sAMAccountName 형식의 OAuth 액세스 토큰에서 그룹 이름으로 내보냅니다.

"optionalClaims": {
    "accessToken": [{
        "name": "groups",
        "additionalProperties": ["dns_domain_and_sam_account_name"]
    }]
}

SAML 및 OIDC ID 토큰의 역할 할당으로 반환될 그룹 이름을 NetbiosDomain\sAMAccountName 형식으로 내보냅니다.

"optionalClaims": {
    "saml2Token": [{
        "name": "groups",
        "additionalProperties": ["netbios_domain_and_sam_account_name", "emit_as_roles"]
    }],

    "idToken": [{
        "name": "groups",
        "additionalProperties": ["netbios_domain_and_sam_account_name", "emit_as_roles"]
    }]
}

다음 단계