Настройка утверждений токена SAML
Платформа удостоверений Майкрософт поддерживает единый вход (SSO) с большинством предварительно подготовленных приложений в коллекции приложений и пользовательских приложениях. Когда пользователь проходит проверку подлинности в приложении через платформа удостоверений Майкрософт с помощью протокола SAML 2.0, маркер отправляется приложению. Приложение проверяет и использует маркер для входа пользователя вместо запроса имени пользователя и пароля.
Эти токены SAML содержат элементы информации о пользователе, которые называются утверждениями. Утверждение представляет собой информацию, предложенную поставщиком удостоверений, о пользователе в составе токена, выпущенного для этого пользователя. В токене SAML данные утверждений обычно содержатся в инструкции атрибута SAML. Уникальный идентификатор пользователя обычно представлен в субъекте SAML, который также называется идентификатором имени (nameID
).
По умолчанию платформа удостоверений Майкрософт выдает токен SAML приложению, которое содержит утверждение со значением имени пользователя (также известного как имя участника-пользователя), которое может однозначно идентифицировать пользователя. Маркер SAML также содержит другие утверждения, которые включают адрес электронной почты пользователя, имя и фамилию пользователя.
Просмотр или изменение утверждений
Чтобы просмотреть или изменить утверждения, выданные в токене SAML для приложения:
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>
- Выберите приложение, выберите единый вход в меню слева и выберите пункт "Изменить " в разделе "Атрибуты и утверждения ".
Возможно, потребуется изменить утверждения, выданные в токене SAML по следующим причинам:
- Приложению требуется
NameIdentifier
nameID
, чтобы приложение не было именем пользователя (или именем участника-пользователя). - Приложение требует другого набора URI утверждений или значений утверждений.
Измените nameID
.
Чтобы изменить утверждение значения идентификатора имени, выполните следующие действия.
- Откройте страницу Значение идентификатора имени.
- Выберите атрибут или преобразование, которое необходимо применить к атрибуту. При необходимости можно указать формат, который должен
nameID
иметь утверждение.
Формат NameID
Если запрос SAML содержит элемент NameIDPolicy
с определенным форматом, платформа удостоверений Майкрософт учитывает формат в запросе.
Если запрос SAML не содержит элемент дляNameIDPolicy
, платформа удостоверений Майкрософт выдает nameID
указанный формат. Если формат не указан, платформа удостоверений Майкрософт использует исходный формат по умолчанию, связанный с выбранным источником утверждений. Если преобразование приводит к значению NULL или недопустимому значению, идентификатор Microsoft Entra отправляет постоянный парный идентификатор в поле nameID
.
В раскрывающемся списке "Выбор идентификатора имени" выберите один из вариантов в следующей таблице.
nameID формат |
Description |
---|---|
По умолч. | платформа удостоверений Майкрософт использует исходный формат по умолчанию. |
Persistent | платформа удостоверений Майкрософт используется Persistent в nameID качестве формата. |
Адрес электронной почты | платформа удостоверений Майкрософт используется EmailAddress в nameID качестве формата. |
Unspecified | платформа удостоверений Майкрософт используется Unspecified в nameID качестве формата. |
WindowsDomainQualifiedName | платформа удостоверений Майкрософт использует WindowsDomainQualifiedName формат. |
nameID
Временные также поддерживаются, но недоступны в раскрывающемся списке и не могут быть настроены на стороне Azure. Дополнительные сведения об атрибуте см. в статье о протоколе SAML единого NameIDPolicy
входа.
Атрибуты
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Выберите нужный источник для NameIdentifier
утверждения (или nameID
). Вы можете выбрать из параметров в следующей таблице.
Имя | Описание |
---|---|
Email |
Адрес электронной почты пользователя. |
userprincipalName |
Имя участника-пользователя (UPN) этого пользователя. |
onpremisessamaccountname |
Имя учетной записи SAM, которое было синхронизировано из локального идентификатора Microsoft Entra. |
objectid |
Идентификатор объекта пользователя в идентификаторе Microsoft Entra. |
employeeid |
Идентификатор сотрудника пользователя. |
Directory extensions |
Расширения каталога синхронизированы из локальная служба Active Directory с помощью Microsoft Entra Connect Sync. |
Extension Attributes 1-15 |
Атрибуты локального расширения, используемые для расширения схемы Microsoft Entra. |
pairwiseid |
Постоянная форма идентификатора пользователя. |
Дополнительные сведения о значениях идентификаторов см. в таблице, которая содержит допустимые значения идентификаторов для каждого источника далее на этой странице.
Любое константное (статическое) значение может быть назначено любому утверждению. Чтобы назначить константное значение, выполните следующие действия.
- В колонке "Атрибуты и утверждения" выберите необходимое утверждение, которое требуется изменить.
- Введите константное значение без кавычки в атрибуте Source в вашей организации и нажмите кнопку "Сохранить". Отображается константное значение.
Расширения схемы каталогов
Вы также можете настроить атрибуты расширения схемы каталогов как не условные или условные атрибуты. Выполните следующие действия, чтобы настроить атрибут расширения схемы каталога с одним или несколькими значениями в качестве утверждения:
- В колонке "Атрибуты и утверждения" выберите "Добавить новое утверждение " или измените существующее утверждение.
- Выберите исходное приложение из средства выбора приложений, где определено свойство расширения.
- Нажмите кнопку "Добавить ", чтобы добавить выделение в утверждения.
- Нажмите кнопку "Сохранить", чтобы зафиксировать изменения.
Специальные преобразования утверждений
Вы можете использовать следующие специальные функции преобразований утверждений.
Function | Description |
---|---|
ExtractMailPrefix() | Удаляет суффикс домена из адреса электронной почты или имени участника-пользователя. Эта функция извлекает только первую часть передаваемого имени пользователя (например, "joe_smith" вместо joe_smith@contoso.com). |
ToLower() | Преобразует символы выбранного атрибута в символы нижнего регистра. |
ToUpper() | Преобразует символы выбранного атрибута в символы верхнего регистра. |
Добавление утверждений для конкретного приложения
Чтобы добавить утверждения для конкретного приложения, выполните следующие действия.
- В колонке "Атрибуты и утверждения" выберите "Добавить новое утверждение ", чтобы открыть страницу "Управление утверждениями пользователей".
- Введите имя утверждений. Значение не требуется строго следовать шаблону URI для спецификации SAML. Если вам нужен шаблон URI, его можно поместить в поле пространства имен.
- Выберите источник, из которого утверждение будет получать свое значение. Вы можете выбрать атрибут пользователя из раскрывающегося списка "Атрибут источника" или применить преобразование к атрибуту пользователя, прежде чем передавать его в качестве утверждения.
Добавить утверждение группы
Групповые утверждения используются для принятия решений по авторизации для доступа к ресурсу приложения или поставщика услуг. Добавление утверждений группы;
- Перейдите к Регистрация приложений и выберите приложение, в которое вы хотите добавить утверждение группы.
- Выберите Добавить утверждение группы.
- Выберите типы групп, которые необходимо включить в маркер. Вы можете добавить группы безопасности, группы каталогов или группы, назначенные конкретному приложению.
- Выберите значения, которые нужно включить в утверждение групп, а затем нажмите кнопку "Добавить".
Преобразования утверждения
Чтобы применить преобразование к атрибуту пользователя, выполните следующие действия.
- В разделе Управление утверждениями выберите в качестве источника утверждения Преобразование, чтобы открыть страницу Управление преобразованием.
- Выберите функцию из раскрывающегося списка преобразований. В зависимости от выбранной функции укажите параметры и константное значение для вычисления в преобразовании.
- Выберите источник атрибута, нажав соответствующую переключатель.
- Выберите имя атрибута из раскрывающегося списка.
- Обработка источника как многозначного — это флажок, указывающий, следует ли применять преобразование ко всем значениям или только к первому. По умолчанию преобразования применяются только к первому элементу в утверждении с несколькими значениями, установив этот флажок, он гарантирует, что он применяется ко всем. Этот флажок включен только для многозначных атрибутов, например
user.proxyaddresses
. - Чтобы применить несколько преобразований, нажмите кнопку "Добавить преобразование". К утверждению можно применить не более двух преобразований. Например, вы можете сначала извлечь префикс электронной почты для
user.mail
. Затем преобразуйте строку в верхний регистр.
Для преобразования утверждений можно использовать следующие функции.
Function | Description |
---|---|
ExtractMailPrefix() | Удаляет суффикс домена из адреса электронной почты или имени участника-пользователя. Эта функция извлекает только первую часть передаваемого имени пользователя. Например, joe_smith вместо joe_smith@contoso.com . |
Join() | Создает новое значение путем соединения двух атрибутов. При необходимости можно использовать разделитель между двумя атрибутами. Для преобразования утверждений nameID функция Join() имеет определенное поведение, если входные данные преобразования имеют часть домена. Он удаляет часть домена из входных данных перед присоединением к нему с разделителем и выбранным параметром. Например, если входные данные преобразования и joe_smith@contoso.com разделитель, и параметр имеет @ значение fabrikam.com , это сочетание входных данных приводит к joe_smith@fabrikam.com возникновению. |
ToLowerCase | Преобразует символы выбранного атрибута в символы нижнего регистра. |
ToUpperCase | Преобразует символы выбранного атрибута в символы верхнего регистра. |
Contains() | Выводит атрибут или константу, если входные данные соответствуют указанному значению. В противном случае можно указать другой результат, если совпадения нет. Например, если вы хотите выпустить утверждение, в котором значение является адресом электронной почты пользователя, если он содержит домен @contoso.com , в противном случае вы хотите вывести имя участника-пользователя. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.email , Value: "@contoso.com" , Parameter 2 (output): user.email и Parameter 3 (output if there's no match): user.userprincipalname . |
EndWith() | Выводит атрибут или константу, если входные данные заканчиваются указанным значением. В противном случае можно указать другой результат, если совпадения нет. Например, если требуется выпустить утверждение, в котором значение является идентификатором сотрудника пользователя, если идентификатор сотрудника заканчивается 000 , в противном случае вы хотите вывести атрибут расширения. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.employeeid , Value: "000" , Parameter 2 (output): user.employeeid и Parameter 3 (output if there's no match): user.extensionattribute1 . |
StartWith() | Выводит атрибут или константу, если входные данные начинаются указанным значением. В противном случае можно указать другой результат, если совпадения нет. Например, если вы хотите вывести утверждение, в котором значение является идентификатором сотрудника пользователя, если страна или регион начинается с US , в противном случае вы хотите вывести атрибут расширения. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.country , Value: "US" , Parameter 2 (output): user.employeeid и Parameter 3 (output if there's no match): user.extensionattribute1 |
Extract() — после сопоставления | Возвращает подстроку после ее сопоставления с указанным значением. Например, если значение Finance_BSimon входных данных равно, совпадающее значение равно Finance_ , то выходные данные утверждения имеют значение BSimon . |
Extract() — до сопоставления | Возвращает подстроку до ее сопоставления с указанным значением. Например, если значение BSimon_US входных данных равно, совпадающее значение равно _US , то выходные данные утверждения имеют значение BSimon . |
Extract() — между сопоставлениями | Возвращает подстроку до ее сопоставления с указанным значением. Например, если значение входных данных Finance_BSimon_US имеет значение, первое соответствующее значение имеет Finance_ _US значение, а второй — это значение, то выходные данные утверждения .BSimon |
ExtractAlpha() — префикс | Возвращает буквенный префикс строки. Например, если значение входных данных равно BSimon_123 , возвращается BSimon . |
ExtractAlpha() — суффикс | Возвращает буквенный суффикс строки. Например, если значение входных данных равно 123_Simon , возвращается Simon . |
ExtractNumeric() — префикс | Возвращает числовой префикс строки. Например, если значение входных данных равно 123_BSimon , возвращается 123 . |
ExtractNumeric() — суффикс | Возвращает числовой суффикс строки. Например, если значение входных данных равно BSimon_123 , возвращается 123 . |
IfEmpty() | Выводит атрибут или константу, если входные данные пусты или имеют значение NULL. Например, если вы хотите вывести атрибут, хранящийся в атрибуте расширения, если идентификатор сотрудника пользователя пуст. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.employeeid , Parameter 2 (output): user.extensionattribute1 и Parameter 3 (output if there's no match): user.employeeid . |
IfNotEmpty() | Выводит атрибут или константу, если входные данные не пустые или не имеют значение NULL. Например, если вы хотите вывести атрибут, хранящийся в атрибуте расширения, если идентификатор сотрудника для пользователя не пуст. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.employeeid и Parameter 2 (output): user.extensionattribute1 . |
Подстрока() — фиксированная длина | Извлекает части типа строкового утверждения, начиная с символа в указанной позиции, и возвращает указанное число символов. Источник sourceClaim утверждения преобразования, который должен выполняться. Это StartIndex отсчитываемое от нуля начальное положение подстроки в этом экземпляре. Длина Length в символах подстроки. Например, sourceClaim - PleaseExtractThisNow и StartIndex - 6 Length - 11 создает выходные данныеExtractThis . |
Подстрока() — EndOfString | Извлекает части типа строкового утверждения, начиная с символа в указанной позиции, и возвращает оставшуюся часть утверждения, начиная с указанного начального индекса. Источник sourceClaim утверждения преобразования, который должен выполняться. Это StartIndex отсчитываемое от нуля начальное положение подстроки в этом экземпляре. Например, sourceClaim - PleaseExtractThisNow и StartIndex - 6 создает выходные данные ExtractThisNow . |
RegexReplace() | Дополнительные сведения о преобразовании утверждений на основе регулярных выражений см. в следующем разделе. |
Преобразование утверждений на основе регулярных выражений
На следующем рисунке показан пример первого уровня преобразования:
Действия, перечисленные в следующей таблице, содержат сведения о первом уровне преобразований и соответствуют меткам на предыдущем изображении. Выберите "Изменить", чтобы открыть колонку преобразования утверждений.
Действие | Поле | Description |
---|---|---|
1 |
Transformation |
Выберите параметр RegexReplace() в параметрах преобразования, чтобы использовать метод преобразования утверждений на основе регулярных выражений для преобразования утверждений. |
2 |
Parameter 1 |
Входные данные для преобразования регулярных выражений. Например, user.mail с адресом электронной почты пользователя, например admin@fabrikam.com . |
3 |
Treat source as multivalued |
Некоторые атрибуты входных данных пользователя могут быть атрибутами пользователя с несколькими значениями. Если выбранный атрибут пользователя поддерживает несколько значений, и пользователь хочет использовать несколько значений для преобразования, им необходимо выбрать источник как многозначный. Если выбрано, все значения используются для соответствия регулярных выражений, в противном случае используется только первое значение. |
4 |
Regex pattern |
Регулярное выражение, вычисляемое по значению атрибута пользователя, выбранного в качестве параметра 1. Например, регулярное выражение для извлечения псевдонима пользователя из адреса электронной почты пользователя будет представлено как (?'domain'^.*?)(?i)(\@fabrikam\.com)$ . |
5 |
Add additional parameter |
Для преобразования можно использовать несколько атрибутов пользователя. Затем значения атрибутов будут объединены с выходными данными преобразования regex. Поддерживаются до пяти дополнительных параметров. |
6 |
Replacement pattern |
Шаблон замены — это текстовый шаблон, содержащий заполнители для результата регулярных выражений. Все имена групп должны быть заключены в фигурные скобки, такие как {group-name} . Предположим, что администрация хочет использовать псевдоним пользователя с другим доменным именем, например xyz.com с именем страны слияния. В этом случае шаблон замены будет {country}.{domain}@xyz.com иметь {country} значение входного параметра и {domain} является результатом групповой оценки регулярных выражений. В таком случае ожидаемый результат .US.swmal@xyz.com |
На следующем рисунке показан пример второго уровня преобразования:
В следующей таблице приведены сведения о втором уровне преобразований. Действия, перечисленные в таблице, соответствуют меткам на предыдущем изображении.
Действие | Поле | Description |
---|---|---|
1 |
Transformation |
Преобразования утверждений на основе регулярных выражений не ограничиваются первым преобразованием и могут использоваться в качестве преобразования второго уровня. В качестве первого преобразования можно использовать любой другой метод преобразования. |
2 |
Parameter 1 |
Если regexReplace() выбран в качестве преобразования второго уровня, выходные данные преобразования первого уровня используются в качестве входных данных для преобразования второго уровня. Чтобы применить преобразование, выражение regex второго уровня должно соответствовать выходным данным первого преобразования. |
3 |
Regex pattern |
Шаблон regex — это регулярное выражение для преобразования второго уровня. |
4 |
Parameter input |
Входные данные атрибута пользователя для преобразований второго уровня. |
5 |
Parameter input |
Администраторы могут удалить выбранный входной параметр, если он больше не нужен. |
6 |
Replacement pattern |
Шаблон замены — это текстовый шаблон, содержащий заполнители для имени группы результатов regex, имени входных параметров и статического текстового значения. Все имена групп должны быть заключены в фигурные скобки, такие как {group-name} . Предположим, что администрация хочет использовать псевдоним пользователя с другим доменным именем, например xyz.com с именем страны слияния. В этом случае шаблон замены будет {country}.{domain}@xyz.com иметь {country} значение входного параметра, а {domain} — это результат групповой оценки регулярных выражений. В таком случае ожидаемый результат .US.swmal@xyz.com |
7 |
Test transformation |
Преобразование RegexReplace() вычисляется только в том случае, если значение выбранного пользовательского атрибута для параметра 1 соответствует регулярному выражению, предоставленному в текстовом поле шаблона Regex. Если они не совпадают, значение утверждения по умолчанию добавляется в маркер. Для проверки регулярного выражения на соответствие значению входного параметра в колонке преобразования доступен тестовый интерфейс. Этот тестовый интерфейс работает только с фиктивными значениями. При использовании дополнительных входных параметров имя параметра добавляется в результат теста вместо фактического значения. Чтобы получить доступ к разделу теста, выберите "Тестирование преобразования". |
На следующем рисунке показан пример тестирования преобразований:
В следующей таблице приведены сведения о тестировании преобразований. Действия, перечисленные в таблице, соответствуют меткам на предыдущем изображении.
Действие | Поле | Description |
---|---|---|
1 |
Test transformation |
Нажмите кнопку закрытия или (X), чтобы скрыть раздел теста и снова отобразить кнопку преобразования "Тест" в колонке. |
2 |
Test regex input |
Принимает входные данные, используемые для оценки теста регулярного выражения. Если преобразование утверждений на основе регулярных выражений настроено как преобразование второго уровня, укажите значение, которое является ожидаемым результатом первого преобразования. |
3 |
Run test |
После предоставления входных данных тестового регулярного выражения и настройки шаблона regex, шаблона замены и входных параметров выражение можно оценить, выбрав команду "Выполнить тест". |
4 |
Test transformation result |
Если оценка выполнена успешно, выходные данные преобразования теста отрисовывается в метку результата преобразования теста. |
5 |
Remove transformation |
Преобразование второго уровня можно удалить, выбрав "Удалить преобразование". |
6 |
Specify output if no match |
Если входное значение регулярного выражения настроено для параметра 1 , который не соответствует регулярному выражению, преобразование пропускается. В таких случаях можно настроить альтернативный атрибут пользователя, который добавляется в маркер утверждения, проверяя выходные данные, если совпадения не совпадают. |
7 |
Parameter 3 |
Если альтернативный атрибут пользователя должен быть возвращен, если нет совпадения и указать выходные данные, если совпадения не установлен, можно выбрать альтернативный атрибут пользователя с помощью раскрывающегося списка. Этот раскрывающийся список доступен для параметра 3 (выходные данные, если совпадения не совпадают). |
8 |
Summary |
В нижней части колонки отображается полная сводка формата, объясняющая смысл преобразования в простом тексте. |
9 |
Add |
После проверки параметров конфигурации для преобразования его можно сохранить в политике утверждений, нажав кнопку "Добавить". Нажмите кнопку "Сохранить " в колонке "Управление утверждениями" , чтобы сохранить изменения. |
Преобразование RegexReplace() также доступно для преобразований утверждений группы.
Проверки преобразования RegexReplace()
Если после выбора теста добавления или запуска возникают следующие условия, отображается сообщение, которое предоставляет дополнительные сведения о проблеме:
- Входные параметры с повторяющимися атрибутами пользователя не допускаются.
- Неиспользуемые входные параметры найдены. Определенные входные параметры должны соответствующим образом использоваться в тексте шаблона замены.
- Предоставленные входные данные регулярного выражения теста не соответствуют предоставленному регулярному выражению.
- Источник для групп в шаблон замены не найден.
Добавление утверждения имени субъекта-пользователя в токены SAML
Утверждение http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
является частью набора ограниченных утверждений SAML. Если у вас настроен пользовательский ключ подписи, его можно добавить в разделе "Атрибуты и утверждения ".
Если настраиваемый ключ подписи не настроен, обратитесь к набору утверждений SAML Restricted. Его можно добавить как необязательное утверждение через Регистрация приложений в портал Azure.
Откройте приложение в Регистрация приложений, выберите конфигурацию токена и нажмите кнопку "Добавить необязательное утверждение". Выберите тип токена SAML, выберите upn из списка и нажмите кнопку "Добавить", чтобы добавить утверждение в токен.
Настройка, выполненная в разделе "Атрибуты и утверждения", может перезаписать необязательные утверждения в регистрации приложений.
Выдача утверждений на основе условий
Вы можете указать источник утверждения на основе типа пользователя и группы, к которой он принадлежит.
Ниже перечислены возможные типы пользователя.
- Все пользователи могут получить доступ к приложению.
- Члены: собственный член клиента
- Все гости: пользователь поставляется из внешней организации с идентификатором Записи Майкрософт или без нее.
- Гости Microsoft Entra: гостевой пользователь принадлежит другой организации с помощью идентификатора Microsoft Entra.
- Внешние гости: гостевой пользователь принадлежит внешней организации, у которой нет идентификатора Microsoft Entra.
Один из сценариев, когда тип пользователя является полезным, если источник утверждения отличается для гостя и сотрудника, обращающегося к приложению. Можно указать, что если пользователь является сотрудником, идентификатор NameID создается из user.email. Если пользователь является гостем, идентификатор NameID создается из user.extensionattribute1.
Чтобы добавить условие утверждения, выполните следующие действия.
- В разделе Управление утверждениями разверните условия утверждения.
- Выберите тип пользователя.
- Выберите группы, к которым должен принадлежать пользователь. Для конкретного приложения можно выбрать до 50 уникальных групп во всех утверждениях.
- Выберите источник, из которого утверждение будет получать свое значение. Вы можете выбрать атрибут пользователя из раскрывающегося списка для исходного атрибута или применить преобразование к атрибуту пользователя. Вы также можете выбрать расширение схемы каталога, прежде чем выдавать его в виде утверждения.
Порядок добавления условий важен. Microsoft Entra сначала вычисляет все условия с исходным кодом, а затем оценивает все условия с источником Attribute
Transformation
, чтобы решить, какое значение следует вывести в утверждении. Условия с одинаковым источником оцениваются сверху вниз. Последнее значение, соответствующее выражению, создается в утверждении. Такие преобразования, как IsNotEmpty
и Contains
действуют как ограничения.
Например, Britta Simon является гостевым пользователем в клиенте Contoso. Britta принадлежит другой организации, которая также использует идентификатор Microsoft Entra. Учитывая следующую конфигурацию для приложения Fabrikam, когда Britta пытается войти в Fabrikam, платформа удостоверений Майкрософт оценивает условия.
Во-первых, платформа удостоверений Майкрософт проверяет, является ли тип пользователя Britta всеми гостями. Поскольку тип — "Все гости", платформа удостоверений Майкрософт назначает источник утвержденияuser.extensionattribute1
. Во-вторых, платформа удостоверений Майкрософт проверяет, является ли тип пользователя Britta гостями Microsoft Entra. Поскольку тип — "Все гости", платформа удостоверений Майкрософт назначает источник утвержденияuser.mail
. Наконец, утверждение создается со значением user.mail
britta.
В качестве другого примера рассмотрим, когда пользователь Britta Simon пытается войти в систему и используется следующая конфигурация. Все условия сначала оцениваются с источником Attribute
. Так как тип пользователя Britta является гостями Microsoft Entra, user.mail
назначается в качестве источника утверждения. Затем вычисляются преобразования. Так как пользователь Britta является гостем, user.extensionattribute1
теперь является новым источником для утверждения. Так как Britta находится в гостях Microsoft Entra, user.othermail
теперь является источником для этого утверждения. Наконец, утверждение создается со значением user.othermail
britta.
В последнем примере рассмотрим, что происходит, если Britta не user.othermail
настроена или пуста. В обоих случаях запись условия игнорируется, и утверждение возвращается вместо user.extensionattribute1
этого.
Дополнительные параметры утверждений SAML
Дополнительные параметры утверждений можно настроить для приложений SAML2.0 для предоставления одного утверждения маркерам OIDC и наоборот для приложений, которые намерены использовать одно и то же утверждение для токенов ответа SAML2.0 и OIDC.
Дополнительные параметры утверждения можно настроить, установив флажок в разделе "Дополнительные параметры утверждений SAML" в колонке "Управление утверждениями ".
В следующей таблице перечислены другие дополнительные параметры, которые можно настроить для приложения.
Вариант | Описание |
---|---|
Добавление идентификатора приложения в издатель | Автоматически добавляет идентификатор приложения в утверждение издателя. Этот параметр гарантирует применение уникального значения утверждения для каждого экземпляра при наличии нескольких экземпляров одного приложения. Этот параметр игнорируется, если для приложения не настроен пользовательский ключ подписывания. |
Переопределение утверждения аудитории | Позволяет переопределить утверждение аудитории, отправленное приложению. Предоставленное значение должно быть допустимым абсолютным URI. Этот параметр игнорируется, если для приложения не настроен пользовательский ключ подписывания. |
Включение формата имени атрибута | При выборе идентификатор Microsoft Entra добавляет атрибут NameFormat , который описывает формат имени для ограничения, ядра и необязательных утверждений для приложения. Дополнительные сведения см. в статье Типы политики сопоставления утверждений. |