다음을 통해 공유

정책을 사용하여 클레임 사용자 지정

  • 아티클

정책 개체는 조직에 있는 개별 애플리케이션 또는 모든 애플리케이션에 적용되는 규칙 집합을 나타냅니다. 각 유형의 정책에는 할당된 개체에 적용되는 속성 세트가 포함된 고유한 구조가 있습니다.

Microsoft Entra ID는 애플리케이션에 Microsoft Graph/PowerShell을 사용하여 클레임을 사용자 지정하는 두 가지 방법을 지원합니다.

  • 사용자 지정 클레임 정책 사용 (미리 보기)
  • 클레임 매핑 정책 사용

사용자 지정 클레임 정책 및 클레임 매핑 정책은 토큰에 포함된 클레임을 수정하는 두 가지 유형의 정책 개체입니다.

사용자 지정 클레임 정책(미리 보기) 을 사용하면 관리자가 애플리케이션에 대한 추가 클레임을 사용자 지정할 수 있습니다. 관리자가 Microsoft Entra 관리 센터 또는 MS Graph/PowerShell을 통해 클레임을 관리할 수 있도록 Microsoft Entra 관리 센터를 통해 제공되는 클레임 사용자 지정교환하여 사용할 수 있습니다. Microsoft Entra 관리 센터를 통해 제공되는 사용자 지정 클레임 정책 및 클레임 사용자 지정 은 모두 동일한 기본 정책을 사용하여 서비스 주체에 대한 추가 클레임을 구성합니다. 그러나 관리자는 서비스 주체당 하나의 사용자 지정 클레임 정책(미리 보기) 만 구성할 수 있습니다. 이 PUT 메서드를 사용하면 관리자가 기존 정책 개체를 만들거나 요청 본문에 전달된 값으로 바꿀 수 있으며 PATCH , 메서드를 사용하면 관리자가 요청 본문에 전달된 값으로 정책 개체를 업데이트할 수 있습니다. 여기에서 사용자 지정 클레임 정책을 사용하여 추가 클레임을 구성하고 관리하는 방법을 알아봅니다.

또한 클레임 매핑 정책을 사용하면 관리자가 애플리케이션에 대한 추가 클레임을 사용자 지정할 수 있습니다. 관리자는 하나의 클레임 매핑 정책을 구성하고 테넌트에서 여러 애플리케이션에 할당할 수 있습니다. 관리자가 클레임 매핑 정책을 사용하여 애플리케이션에 대한 추가 클레임을 관리하도록 선택하는 경우 해당 애플리케이션에 대한 Microsoft Entra 관리 센터의 클레임 사용자 지정 블레이드에서 클레임을 편집하거나 업데이트할 수 없습니다. 여기에서 클레임 매핑 정책을 사용하여 추가 클레임을 구성하고 관리하는 방법을 알아봅니다.

참고 항목

클레임 매핑 정책은 사용자 지정 클레임 정책과 Microsoft Entra 관리 센터를 통해 제공되는 클레임 사용자 지정을 모두 대체합니다. 클레임 매핑 정책을 사용하여 애플리케이션에 대한 클레임을 사용자 지정한다는 것은 해당 애플리케이션에 대해 발급된 토큰이 사용자 지정 클레임 정책의 구성 또는 Microsoft Entra 관리 센터의 클레임 사용자 지정 블레이드 구성을 무시함을 의미합니다. 클레임 사용자 지정에 대한 자세한 내용은 엔터프라이즈 애플리케이션용 토큰에서 발급된 클레임 사용자 지정을 참조 하세요.

클레임 집합

다음 표의 클레임 집합 목록에는 토큰에서 클레임이 사용되는 방법과 시기가 정의되어 있습니다.

클레임 집합 설명
핵심 클레임 집합 정책에 관계없이 모든 토큰에 포함됩니다. 또한 이러한 클레임은 제한된 것으로 간주되며 수정할 수 없습니다.
기본 클레임 집합 핵심 클레임 집합뿐 아니라 토큰에 기본적으로 포함되는 클레임을 포함합니다. 사용자 지정 클레임 정책 및 클레임 매핑 정책을 사용하여 기본 클레임을 생략하거나 수정할 수 있습니다.
제한된 클레임 집합 정책을 사용하여 수정할 수 없습니다. 데이터 원본을 변경할 수 없으며, 이러한 클레임을 생성할 때 변환이 적용됩니다.

JWT(JSON Web Token) 제한된 클레임 집합

다음 클레임은 JWT에 대한 제한된 클레임 집합에 있습니다.

  • .
  • _claim_names
  • _claim_sources
  • aai
  • access_token
  • account_type
  • acct
  • acr
  • acrs
  • actor
  • actortoken
  • ageGroup
  • aio
  • altsecid
  • amr
  • app_chain
  • app_displayname
  • app_res
  • appctx
  • appctxsender
  • appid
  • appidacr
  • assertion
  • at_hash
  • aud
  • auth_data
  • auth_time
  • authorization_code
  • azp
  • azpacr
  • bk_claim
  • bk_enclave
  • bk_pub
  • brk_client_id
  • brk_redirect_uri
  • c_hash
  • ca_enf
  • ca_policy_result
  • capolids
  • capolids_latebind
  • cc
  • cert_token_use
  • child_client_id
  • child_redirect_uri
  • client_id
  • client_ip
  • cloud_graph_host_name
  • cloud_instance_host_name
  • cloud_instance_name
  • CloudAssignedMdmId
  • cnf
  • code
  • controls
  • controls_auds
  • credential_keys
  • csr
  • csr_type
  • ctry
  • deviceid
  • dns_names
  • domain_dns_name
  • domain_netbios_name
  • e_exp
  • email
  • endpoint
  • enfpolids
  • exp
  • expires_on
  • extn. as prefix
  • fido_auth_data
  • fido_ver
  • fwd
  • fwd_appidacr
  • grant_type
  • graph
  • group_sids
  • groups
  • hasgroups
  • hash_alg
  • haswids
  • home_oid
  • home_puid
  • home_tid
  • iat
  • identityprovider
  • idp
  • idtyp
  • in_corp
  • instance
  • inviteTicket
  • ipaddr
  • isbrowserhostedapp
  • iss
  • isViral
  • jwk
  • key_id
  • key_type
  • login_hint
  • mam_compliance_url
  • mam_enrollment_url
  • mam_terms_of_use_url
  • mdm_compliance_url
  • mdm_enrollment_url
  • mdm_terms_of_use_url
  • msgraph_host
  • msproxy
  • nameid
  • nbf
  • netbios_name
  • nickname
  • nonce
  • oid
  • on_prem_id
  • onprem_sam_account_name
  • onprem_sid
  • openid2_id
  • origin_header
  • password
  • platf
  • polids
  • pop_jwk
  • preferred_username
  • previous_refresh_token
  • primary_sid
  • prov_data
  • puid
  • pwd_exp
  • pwd_url
  • rdp_bt
  • redirect_uri
  • refresh_token
  • refresh_token_issued_on
  • refreshtoken
  • request_nonce
  • resource
  • rh
  • role
  • roles
  • rp_id
  • rt_type
  • scope
  • scp
  • secaud
  • sid
  • sid
  • signature
  • signin_state
  • source_anchor
  • src1
  • src2
  • sub
  • target_deviceid
  • tbid
  • tbidv2
  • tenant_ctry
  • tenant_display_name
  • tenant_id
  • tenant_region_scope
  • tenant_region_sub_scope
  • thumbnail_photo
  • tid
  • tokenAutologonEnabled
  • trustedfordelegation
  • ttr
  • unique_name
  • upn
  • user_agent
  • user_setting_sync_url
  • username
  • uti
  • ver
  • verified_primary_email
  • verified_secondary_email
  • vnet
  • vsm_binding_key
  • wamcompat_client_info
  • wamcompat_id_token
  • wamcompat_scopes
  • wids
  • win_ver
  • x5c_ca
  • xcb2b_rclient
  • xcb2b_rcloud
  • xcb2b_rtenant
  • ztdid

참고 항목

xms_로 시작하는 클레임은 제한됩니다.

SAML 제한된 클레임 집합

다음 표에는 제한된 클레임 집합에 있는 SAML 클레임이 나열되어 있습니다.

제한된 클레임 유형(URI):

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
  • http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
  • http://schemas.microsoft.com/2014/03/psso
  • http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
  • http://schemas.microsoft.com/claims/authnmethodsreferences
  • http://schemas.microsoft.com/claims/groups.link
  • http://schemas.microsoft.com/identity/claims/accesstoken
  • http://schemas.microsoft.com/identity/claims/acct
  • http://schemas.microsoft.com/identity/claims/agegroup
  • http://schemas.microsoft.com/identity/claims/aio
  • http://schemas.microsoft.com/identity/claims/identityprovider
  • http://schemas.microsoft.com/identity/claims/objectidentifier
  • http://schemas.microsoft.com/identity/claims/openid2_id
  • http://schemas.microsoft.com/identity/claims/puid
  • http://schemas.microsoft.com/identity/claims/scope
  • http://schemas.microsoft.com/identity/claims/tenantid
  • http://schemas.microsoft.com/identity/claims/xms_et
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor

이러한 클레임은 기본적으로 제한되지만 사용자 지정 서명 키가 있는 경우 제한되지 않습니다. 앱 매니페스트에서 acceptMappedClaims을(를) 설정하지 마세요.

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

이러한 클레임은 기본적으로 제한되지만 사용자 지정 서명 키가 있는 경우 제한되지 않습니다.

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role

클레임 사용자 지정에 사용되는 정책의 속성

포함된 클레임과 데이터의 원본을 제어하려면 클레임 사용자 지정을 위해 정책의 속성을 사용합니다. 정책이 없으면 시스템은 다음 클레임이 포함된 토큰을 발급합니다.

  • 핵심 클레임 집합
  • 기본 클레임 집합
  • 애플리케이션에서 수신하도록 선택한 선택적 클레임

참고 항목

핵심 클레임 집합의 클레임은 이 속성의 설정값에 관계없이 모든 토큰에 표시됩니다.

문자열 데이터 형식 요약
IncludeBasicClaimSet 부울(True 또는 False) 기본 클레임 집합이 이 정책의 영향을 받는 토큰에 포함되는지 여부를 결정합니다. True로 설정된 경우 기본 클레임 집합의 모든 클레임이 정책의 영향을 받는 토큰에 내보내집니다. False로 설정된 경우 기본 클레임 집합의 클레임은 동일한 정책의 클레임 스키마 속성에 개별적으로 추가되지 않는 한 토큰에 포함되지 않습니다.
ClaimsSchema 하나 이상의 클레임 스키마 항목이 있는 JSON Blob입니다. 기본 클레임 집합 및 핵심 클레임 집합 외에도 정책의 영향을 받는 토큰에 포함되는 클레임을 정의합니다. 이 속성에 정의된 각 클레임 스키마 항목의 경우 특정 정보가 필요합니다. 데이터의 출처(Value, Source/ID 쌍 또는 Source/ExtensionID 쌍) 및 내보내는 클레임 형식(JWTClaimType 또는 SamlClaimType)을 지정합니다.

클레임 스키마 항목 요소

  • Value - 클레임에 내보내질 데이터로 정적 값을 정의합니다.
  • SAMLNameForm - 이 클레임의 NameFormat 특성 값을 정의합니다. 있는 경우 허용되는 값은 다음과 같습니다.
    • urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    • urn:oasis:names:tc:SAML:2.0:attrname-format:basic
  • Source/ID 쌍 - 클레임의 데이터가 제공되는 위치를 정의합니다.
  • Source/ExtensionID 쌍 - 클레임의 데이터가 제공되는 디렉터리 확장 특성을 정의합니다. 자세한 내용은 클레임에서 디렉터리 확장 특성 사용을 참조하세요.
  • 클레임 형식: - JwtClaimTypeSamlClaimType 요소는 이 클레임 스키마 항목이 참조하는 클레임을 정의합니다.
    • JwtClaimType에는 JWT로 내보낼 클레임 이름이 포함되어야 합니다.
    • SamlClaimType에는 SAML 토큰으로 내보낼 클레임 URI가 포함되어야 합니다.

Source 요소는 다음 표의 값 중 하나로 설정합니다.

원본 값 클레임의 데이터
user User 개체의 속성입니다.
application 애플리케이션(클라이언트) 서비스 주체의 속성입니다.
resource 리소스 서비스 주체의 속성입니다.
audience 토큰의 대상 그룹인 서비스 주체(클라이언트 또는 리소스 서비스 주체)의 속성입니다.
company 리소스 테넌트의 Company 개체에 대한 속성입니다.
transformation 클레임 변환입니다. 이 클레임을 사용하는 경우 TransformationID 요소가 클레임 정의에 포함되어야 합니다. TransformationID 요소는 이 클레임에 대한 데이터가 생성되는 방식을 정의하는 ClaimsTransformation 속성에서 변환 항목의 ID 요소와 일치해야 합니다.

ID 요소는 클레임의 값을 제공하는 원본의 속성을 식별합니다. 다음 표는 각 Source 값에 대한 ID 값을 나열합니다.

원본 ID 설명
user surname 사용자의 성입니다.
user givenname 사용자의 지정된 이름입니다.
user displayname 사용자의 표시 이름입니다.
user objectid 사용자의 개체 ID입니다.
user mail 사용자의 전자 메일 주소입니다.
user userprincipalname 사용자의 사용자 계정 이름입니다.
user department 사용자의 부서입니다.
user onpremisessamaccountname 사용자의 온-프레미스 SAM 계정 이름입니다.
user netbiosname 사용자의 NetBios 이름입니다.
user dnsdomainname 사용자의 DNS 도메인 이름입니다.
user onpremisesecurityidentifier 사용자의 온-프레미스 보안 식별자입니다.
user companyname 사용자의 조직 이름입니다.
user streetaddress 사용자의 주소입니다.
user postalcode 사용자의 우편 번호입니다.
user preferredlanguage 사용자의 기본 설정 언어입니다.
user onpremisesuserprincipalname 사용자의 온-프레미스 UPN입니다. 대체 ID를 사용하면 온-프레미스 특성 userPrincipalNameonPremisesUserPrincipalName 특성과 동기화됩니다. 이 특성은 대체 ID가 구성된 경우에만 사용할 수 있습니다.
user mailnickname 사용자의 메일 애칭입니다.
user extensionattribute1 확장 특성 1
user extensionattribute2 확장 특성 2
user extensionattribute3 확장 특성 3
user extensionattribute4 확장 특성 4
user extensionattribute5 확장 특성 5
user extensionattribute6 확장 특성 6
user extensionattribute7 확장 특성 7
user extensionattribute8 확장 특성 8
user extensionattribute9 확장 특성 9
user extensionattribute10 확장 특성 10
user extensionattribute11 확장 특성 11
user extensionattribute12 확장 특성 12
user extensionattribute13 확장 특성 13
user extensionattribute14 확장 특성 14
user extensionattribute15 확장 특성 15
user othermail 사용자의 다른 메일입니다.
user country 사용자의 국가/지역입니다.
user city 사용자의 구/군/시입니다.
user state 사용자의 시/도입니다.
user jobtitle 사용자의 직위입니다.
user employeeid 사용자의 직원 ID입니다.
user facsimiletelephonenumber 사용자의 팩스 번호입니다.
user assignedroles 사용자에게 할당된 앱 역할 목록입니다.
user accountEnabled 사용자 계정을 사용할 수 있는지 여부를 나타냅니다.
user consentprovidedforminor 미성년자에 대한 동의가 제공되었는지 여부를 나타냅니다.
user createddatetime 사용자 계정을 만든 날짜와 시간입니다.
user creationtype 사용자 계정이 생성된 방식을 나타냅니다.
user lastpasswordchangedatetime 암호가 변경된 마지막 날짜 및 시간입니다.
user mobilephone 사용자의 휴대폰입니다.
user officelocation 사용자의 사무실 위치입니다.
user onpremisesdomainname 사용자의 온-프레미스 도메인 이름입니다.
user onpremisesimmutableid 사용자의 온-프레미스 변경할 수 없는 ID입니다.
user onpremisessyncenabled 온-프레미스 동기화를 사용할 수 있는지 여부를 나타냅니다.
user preferreddatalocation 사용자의 기본 설정 데이터 위치를 정의합니다.
user proxyaddresses 사용자의 프록시 주소입니다.
user usertype 사용자 계정의 유형입니다.
user telephonenumber 사용자의 회사 또는 사무실 전화입니다.
application, , resourceaudience displayname 개체의 표시 이름입니다.
application, , resourceaudience objectid 개체의 ID입니다.
application, , resourceaudience tags 개체의 서비스 주체 태그입니다.
company tenantcountry 테넌트 국가/지역입니다.

사용자 개체의 사용 가능한 다중값 클레임 원본은 Active Directory Connect에서 동기화된 다중값 확장 특성뿐입니다. othermailstags와 같은 다른 속성은 다중값이지만 원본으로 선택하는 경우에는 하나의 값만 내보내집니다.

제한된 클레임 집합에 있는 클레임의 이름 및 URI는 클레임 형식 요소에 사용할 수 없습니다.

그룹 필터

  • 문자열 - GroupFilter
  • 데이터 형식 - JSON blob
  • 요약 - 그룹 클레임에 포함할 사용자 그룹에 필터를 적용하려면 이 속성을 사용합니다. 이 속성은 토큰 크기를 줄이는 유용한 방법이 될 수 있습니다.
  • MatchOn - 필터를 적용할 그룹 특성을 식별합니다. MatchOn 속성을 다음 값 중 하나로 설정합니다.
    • displayname - 그룹 표시 이름입니다.
    • samaccountname - 온-프레미스 SAM 계정 이름입니다.
  • 형식 - MatchOn 속성에서 선택한 속성에 적용되는 필터의 형식을 정의합니다. Type 속성을 다음 값 중 하나로 설정합니다.
    • prefix - MatchOn 속성이 제공된 Value 속성으로 시작하는 그룹을 포함합니다.
    • suffix - MatchOn 속성이 제공된 Value 속성으로 끝나는 그룹을 포함합니다.
    • contains - MatchOn 속성이 제공된 Value 속성을 포함하고 있는 그룹을 포함합니다.

클레임 변환

  • 문자열 - ClaimsTransformation
  • 데이터 형식 - 하나 이상의 변환 항목을 가진 JSON Blob
  • 요약 - 이 속성을 사용하여 클레임 스키마에 지정된 클레임에 대한 출력 데이터를 생성하기 위해 원본 데이터에 일반 변환을 적용합니다.
  • ID - TransformationID 클레임 스키마 항목에서 이 변환 항목을 참조합니다. 이 값은 이 정책 내에서 각 변환 항목에 고유해야 합니다.
  • TransformationMethod - 클레임에 대한 데이터를 생성하기 위해 수행되는 작업을 식별합니다.

선택한 방법에 따라 입력 및 출력 집합이 예상됩니다. InputClaims, InputParametersOutputClaims 요소를 사용하여 입력과 출력을 정의합니다.

TransformationMethod 예상 입력 예상 출력 설명
Join string1, string2, 구분 기호 출력 클레임 구분 기호를 사용하여 입력 문자열을 조인합니다. 예를 들어 string1:foo@bar.com , string2:sandbox , separator:.는 output claim:foo@bar.com.sandbox를 생성합니다.
ExtractMailPrefix 이메일 또는 UPN 추출된 문자열 확장 특성 1-15 또는 사용자의 UPN 또는 이메일 주소 값을 저장하는 기타 디렉터리 확장입니다. 예: johndoe@contoso.com. 메일 주소의 로컬 부분을 추출합니다. 예를 들어 mail:foo@bar.com은 output claim:foo를 생성합니다. @ 기호가 없으면 원본 입력 문자열이 반환됩니다.
ToLowercase() string 출력 문자열 선택한 특성의 문자를 소문자로 변환합니다.
ToUppercase() string 출력 문자열 선택한 특성의 문자를 대문자로 변환합니다.
RegexReplace() RegexReplace() 변환은 입력 매개 변수로 다음을 수락합니다.
- 매개 변수 1: 정규식 입력으로서의 사용자 특성
- 원본을 다중값으로 신뢰하는 옵션
- 정규식 패턴
- 대체 패턴. 교체 패턴에는 정규식 출력 그룹 및 추가 입력 매개 변수를 가리키는 참조와 함께 정적 텍스트 형식이 포함될 수 있습니다.
  • InputClaims - 클레임 스키마 항목의 데이터를 변환에 전달하는 데 사용됩니다. ClaimTypeReferenceId, TransformationClaimTypeTreatAsMultiValue의 세 가지 특성이 있습니다.
    • ClaimTypeReferenceId - 클레임 스키마 항목의 ID 요소와 조인되어 적절한 입력 클레임을 찾습니다.
    • TransformationClaimType - 이 입력에 고유 이름을 지정합니다. 이 이름은 변환 방법에 대한 예상 입력 중 하나와 일치해야 합니다.
    • TreatAsMultiValue- 변환을 모든 값에 적용해야 하는지 아니면 첫 번째 값에만 적용해야 하는지를 나타내는 부울 플래그입니다. 기본적으로 변환은 다중 값 클레임의 첫 번째 요소에만 적용됩니다. 이 값을 true로 설정하면 모든 값에 적용됩니다. ProxyAddresses 및 그룹은 다중 값으로 처리하려는 입력 클레임에 대한 두 가지 예입니다.
  • InputParameters - 상수 값을 변환에 전달합니다. 두 개의 특성인 ValueID가 있습니다.
    • Value는 전달할 실제 상수 값입니다.
    • ID는 입력에 고유 이름을 지정하는 데 사용됩니다. 이름은 변환 방법에 필요한 입력 중 하나와 일치해야 합니다.
  • OutputClaims - 변환에 의해 생성된 데이터를 보관하고 클레임 스키마 항목에 연결합니다. 두 개의 특성인 ClaimTypeReferenceIdTransformationClaimType이 있습니다.
    • ClaimTypeReferenceId가 클레임 스키마 항목의 ID와 조인되어 적절한 출력 클레임을 찾습니다.
    • TransformationClaimType은 출력에 고유 이름을 지정하는 데 사용됩니다. 이름은 변환 방법에 필요한 출력 중 하나와 일치해야 합니다.

예외 및 제한 사항

SAML NameID 및 UPN - NameID 및 UPN 값을 소싱하는 특성과 허용되는 클레임 변환은 제한됩니다.

원본 ID 설명
user mail 사용자의 전자 메일 주소입니다.
user userprincipalname 사용자의 사용자 계정 이름입니다.
user onpremisessamaccountname 온-프레미스 SAM 계정 이름
user employeeid 사용자의 직원 ID입니다.
user telephonenumber 사용자의 회사 또는 사무실 전화입니다.
user extensionattribute1 확장 특성 1
user extensionattribute2 확장 특성 2
user extensionattribute3 확장 특성 3
user extensionattribute4 확장 특성 4
user extensionattribute5 확장 특성 5
user extensionattribute6 확장 특성 6
user extensionattribute7 확장 특성 7
user extensionattribute8 확장 특성 8
user extensionattribute9 확장 특성 9
user extensionattribute10 확장 특성 10
user extensionattribute11 확장 특성 11
user extensionattribute12 확장 특성 12
user extensionattribute13 확장 특성 13
user extensionattribute14 확장 특성 14
User extensionattribute15 확장 특성 15

다음 표에 나열된 변환 메서드는 SAML NameID에 사용할 수 있습니다.

TransformationMethod 제한 사항
ExtractMailPrefix 없음
Join 조인되는 접미사는 리소스 테넌트의 확인된 도메인이어야 합니다.

애플리케이션 ID가 있는 발급자

  • 문자열 - issuerWithApplicationId
  • 데이터 형식 - 부울(True 또는 False)
    • True로 설정하면 애플리케이션 ID가 정책의 영향을 받는 토큰의 발급자 클레임에 추가됩니다.
    • False로 설정하면 애플리케이션 ID가 정책의 영향을 받는 토큰의 발급자 클레임에 추가되지 않습니다. (기본값)
  • 요약 - 애플리케이션 ID를 발급자 클레임에 포함할 수 있습니다. 동일한 애플리케이션의 여러 인스턴스에 각 인스턴스에 대한 고유한 클레임 값이 있는지 확인합니다. 애플리케이션에 대해 사용자 지정 서명 키가 구성되지 않은 경우 이 설정은 무시됩니다.

대상 그룹 재정의

  • 문자열 - audienceOverride
  • 데이터 형식 - 문자열
  • 요약 - 애플리케이션에 전송된 대상 그룹 클레임을 재정의할 수 있습니다. 제공되는 값은 유효한 절대 URI여야 합니다. 애플리케이션에 대해 사용자 지정 서명 키가 구성되지 않은 경우 이 설정은 무시됩니다.

다음 단계