Anpassa anspråk som utfärdats i SAML-token för företagsprogram
Microsofts identitetsplattform stöder enkel inloggning (SSO) med de flesta företagsprogram, inklusive både program som är förintegrerade i Azure Active Directory-programgalleriet (Azure AD) och anpassade program. När en användare autentiserar till ett program via Microsofts identitetsplattform med hjälp av SAML 2.0-protokollet skickar Microsofts identitetsplattform en token till programmet. Sedan validerar och använder programmet token för att logga in användaren i stället för att fråga efter ett användarnamn och lösenord.
Dessa SAML-token innehåller information om användaren som kallas anspråk. Ett anspråk är information som en identitetsprovider anger om en användare i den token som de utfärdar för den användaren. I en SAML-token finns anspråksdata vanligtvis i SAML-attribututtryck. Användarens unika ID representeras vanligtvis i SAML-ämne som även kallas namnidentifierare (nameID).
Som standard utfärdar Microsofts identitetsplattform en SAML-token till ett program som innehåller ett NameIdentifier anspråk med ett värde för användarens användarnamn (även kallat användarens huvudnamn) i Azure AD, som unikt kan identifiera användaren. SAML-token innehåller även andra anspråk som inkluderar användarens e-postadress, förnamn och efternamn.
Visa eller redigera anspråk
Om du vill visa eller redigera anspråk som utfärdats i SAML-token till programmet öppnar du programmet i Azure Portal. Öppna sedan avsnittet Attributanspråk&.
Det finns två möjliga orsaker till varför du kan behöva redigera anspråken som utfärdats i SAML-token:
- Programmet kräver att nameID-anspråket
NameIdentifiereller är något annat än användarnamnet (eller användarens huvudnamn) som lagras i Azure AD. - Programmet har skrivits för att kräva en annan uppsättning anspråks-URI:er eller anspråksvärden.
Redigera nameID
Redigera NameID (namnidentifierarvärde):
Öppna sidan Namnidentifierarvärde .
Välj det attribut eller den transformering som du vill använda för attributet. Du kan också ange det format som du vill att NameID-anspråket ska ha.
NameID-format
Om SAML-begäran innehåller elementet NameIDPolicy med ett visst format följer Microsofts identitetsplattform formatet i begäran.
Om SAML-begäran inte innehåller något element för NameIDPolicy utfärdar Microsofts identitetsplattform NameID med det format som du anger. Om inget format anges använder Microsofts identitetsplattform det standardkällformat som är associerat med anspråkskällan som valts. Om en transformering resulterar i ett nullvärde eller ett ogiltigt värde skickar Azure AD en beständig parvis identifierare i nameIdentifier.
I listrutan Välj format för namnidentifierare väljer du något av alternativen i följande tabell.
| NameID-format | Description |
|---|---|
| Standardvärde | Microsofts identitetsplattform använder standardkällformatet. |
| Permanent | Microsofts identitetsplattform använder Persistent som NameID-format. |
| E-postadress | Microsofts identitetsplattform använder EmailAddress som NameID-format. |
| Ospecificerat | Microsofts identitetsplattform använder Ospecificerat som NameID-format. |
| Kvalificerat namn för Windows-domän | Microsofts identitetsplattform använder formatet WindowsDomainQualifiedName. |
Tillfälligt NameID stöds också, men är inte tillgängligt i listrutan och kan inte konfigureras på Azures sida. Mer information om attributet NameIDPolicy finns i SAML-protokollet för enkel inloggning.
Attribut
Välj önskad källa för anspråket NameIdentifier (eller NameID). Du kan välja bland följande alternativ.
| Name | Beskrivning |
|---|---|
| E-post | Användarens e-postadress |
| userprincipalName | Användarens huvudnamn (UPN) för användaren |
| onpremisessamaccountname | SAM-kontonamn som har synkroniserats från lokala Azure AD |
| Objectid | Objectid för användaren i Azure AD |
| employeeid | Användarens medarbetar-ID |
| Katalogtillägg | Katalogtillägg som synkroniserats från lokal Active Directory med Azure AD Connect Sync |
| Tilläggsattribut 1–15 | Lokala tilläggsattribut som används för att utöka Azure AD-schemat |
| pairwiseid | Beständig form av användaridentifierare |
Mer information om identifierarvärden finns i Tabell 3: Giltiga ID-värden per källa.
Alla konstanta (statiska) värden kan tilldelas till alla anspråk som definieras i Azure AD. Följande steg beskriver hur du tilldelar ett konstant värde:
I Azure Portal går du till avsnittet Användarattributanspråk & och väljer Redigera för att redigera anspråken.
Välj det anspråk som du vill ändra.
Ange konstantvärdet utan citattecken i källattributet enligt din organisation och klicka på Spara.
Konstantvärdet visas enligt följande bild.
Särskilda anspråkstransformeringar
Du kan använda följande funktioner för särskilda anspråkstransformeringar.
| Funktion | Beskrivning |
|---|---|
| ExtractMailPrefix() | Tar bort domänsuffixet från antingen e-postadressen eller användarens huvudnamn. Den här funktionen extraherar endast den första delen av användarnamnet som skickas (till exempel "joe_smith" i stället för joe_smith@contoso.com). |
| ToLower() | Konverterar tecknen i det valda attributet till gemener. |
| ToUpper() | Konverterar tecknen i det valda attributet till versaler. |
Lägga till programspecifika anspråk
Så här lägger du till programspecifika anspråk:
- I Anspråk för användarattribut &väljer du Lägg till nytt anspråk för att öppna sidan Hantera användaranspråk.
- Ange namnet på anspråken. Värdet behöver inte följa ett URI-mönster enligt SAML-specifikationen. Om du behöver ett URI-mönster kan du placera det i fältet Namnområde .
- Välj den källa där anspråket ska hämta dess värde. Du kan välja ett användarattribut i listrutan för källattributet eller tillämpa en transformering på användarattributet innan du skickar det som ett anspråk.
Anspråkstransformeringar
Så här tillämpar du en transformering på ett användarattribut:
I Hantera anspråk väljer du Transformering som anspråkskälla för att öppna sidan Hantera transformering .
Välj funktionen i listrutan transformering. Beroende på vilken funktion som valts måste du ange parametrar och ett konstant värde att utvärdera i omvandlingen. Mer information om tillgängliga funktioner finns i följande tabell.
Behandla källan som flervärdesbaserad är en kryssruta som anger om transformeringen ska tillämpas på alla värden eller bara den första. Som standard tillämpas transformeringar endast på det första elementet i ett anspråk med flera värden, genom att markera den här rutan ser du till att det tillämpas på alla. Den här kryssrutan är bara aktiverad för flervärdesattribut, till exempel
user.proxyaddresses.Om du vill tillämpa flera transformeringar väljer du Lägg till transformering. Du kan använda högst två transformeringar för ett anspråk. Du kan till exempel först extrahera e-postprefixet för
user.mail. Gör sedan strängens versaler.
Du kan använda följande funktioner för att transformera anspråk.
| Funktion | Beskrivning |
|---|---|
| ExtractMailPrefix() | Tar bort domänsuffixet från antingen e-postadressen eller användarens huvudnamn. Den här funktionen extraherar endast den första delen av användarnamnet som skickas (till exempel "joe_smith" i stället för joe_smith@contoso.com). |
| Join() | Skapar ett nytt värde genom att koppla två attribut. Du kan också använda en avgränsare mellan de två attributen. För NameID-anspråkstransformering har funktionen Join() ett specifikt beteende när transformeringsindata har en domändel. Den tar bort domändelen från indata innan den kopplas till avgränsaren och den valda parametern. Om indata för omvandlingen till exempel är "joe_smith@contoso.com" och avgränsaren är @och parametern är "fabrikam.com" resulterar den här indatakombinationen i .joe_smith@fabrikam.com |
| ToLowercase() | Konverterar tecknen i det valda attributet till gemener. |
| ToUppercase() | Konverterar tecknen i det valda attributet till versaler. |
| Contains() | Matar ut ett attribut eller en konstant om indata matchar det angivna värdet. Annars kan du ange ytterligare utdata om det inte finns någon matchning. Om du till exempel vill generera ett anspråk där värdet är användarens e-postadress om det innehåller domänen "@contoso.com", annars vill du mata ut användarens huvudnamn. För att utföra den här funktionen konfigurerar du följande värden: Parameter 1(input): user.email Värde: "@contoso.com" Parameter 2 (utdata): user.email Parameter 3 (utdata om det inte finns någon matchning): user.userprincipalname |
| EndWith() | Matar ut ett attribut eller en konstant om indata slutar med det angivna värdet. Annars kan du ange ytterligare utdata om det inte finns någon matchning. Om du till exempel vill generera ett anspråk där värdet är användarens medarbetar-ID om medarbetar-ID slutar med "000", annars vill du mata ut ett tilläggsattribut. För att utföra den här funktionen konfigurerar du följande värden: Parameter 1(input): user.employeeid Värde: "000" Parameter 2 (utdata): user.employeeid Parameter 3 (utdata om det inte finns någon matchning): user.extensionattribute1 |
| StartWith() | Matar ut ett attribut eller en konstant om indata börjar med det angivna värdet. Annars kan du ange ytterligare utdata om det inte finns någon matchning. Om du till exempel vill generera ett anspråk där värdet är användarens medarbetar-ID om landet/regionen börjar med "USA", annars vill du mata ut ett tilläggsattribut. För att utföra den här funktionen konfigurerar du följande värden: Parameter 1(input): user.country Värde: "US" Parameter 2 (utdata): user.employeeid Parameter 3 (utdata om det inte finns någon matchning): user.extensionattribute1 |
| Extract() – Efter matchning | Returnerar delsträngen efter att den matchar det angivna värdet. Om indatavärdet till exempel är "Finance_BSimon" är det matchande värdet "Finance_", så är anspråkets utdata "BSimon". |
| Extract() – Före matchning | Returnerar delsträngen tills den matchar det angivna värdet. Om indatavärdet till exempel är "BSimon_US" är det matchande värdet "_US", så är anspråkets utdata "BSimon". |
| Extract() – mellan matchning | Returnerar delsträngen tills den matchar det angivna värdet. Om indatavärdet till exempel är "Finance_BSimon_US" är det första matchande värdet "Finance_", det andra matchande värdet är "_US", så är anspråkets utdata "BSimon". |
| ExtractAlpha() – prefix | Returnerar prefixets alfabetiska del av strängen. Om indatavärdet till exempel är "BSimon_123" returneras "BSimon". |
| ExtractAlpha() – Suffix | Returnerar suffixets alfabetiska del av strängen. Om indatavärdet till exempel är "123_Simon" returneras "Simon". |
| ExtractNumeric() – prefix | Returnerar prefixets numeriska del av strängen. Om indatavärdet till exempel är "123_BSimon" returneras "123". |
| ExtractNumeric() – Suffix | Returnerar suffixets numeriska del av strängen. Om indatavärdet till exempel är "BSimon_123" returneras "123". |
| IfEmpty() | Matar ut ett attribut eller en konstant om indata är null eller tomma. Om du till exempel vill mata ut ett attribut som lagras i en extensionattribute om medarbetar-ID:t för en viss användare är tomt. För att utföra den här funktionen konfigurerar du följande värden: Parameter 1(input): user.employeeid Parameter 2 (utdata): user.extensionattribute1 Parameter 3 (utdata om det inte finns någon matchning): user.employeeid |
| IfNotEmpty() | Matar ut ett attribut eller en konstant om indata inte är null eller tomma. Om du till exempel vill mata ut ett attribut som lagras i en extensionattribute om medarbetar-ID:t för en viss användare inte är tomt. För att utföra den här funktionen konfigurerar du följande värden: Parameter 1(input): user.employeeid Parameter 2 (utdata): user.extensionattribute1 |
| Substring() – Fast längd (förhandsversion) | Extraherar delar av en stränganspråkstyp med början vid tecknet på den angivna positionen och returnerar det angivna antalet tecken. SourceClaim – anspråkskällan för den transformering som ska köras. StartIndex – den nollbaserade startteckenpositionen för en delsträng i den här instansen. Längd – längden i tecken i delsträngen. Exempel: sourceClaim – PleaseExtractThisNow StartIndex - 6 Längd - 11 Utdata: ExtractThis |
| Substring() – EndOfString (förhandsversion) | Extraherar delar av en stränganspråkstyp med början vid tecknet på den angivna positionen och returnerar resten av anspråket från det angivna startindexet. SourceClaim – anspråkskällan för den transformering som ska köras. StartIndex – den nollbaserade startteckenpositionen för en delsträng i den här instansen. Exempel: sourceClaim – PleaseExtractThisNow StartIndex - 6 Utdata: ExtractThisNow |
| RegexReplace() (förhandsversion) | RegexReplace()-transformering accepterar som indataparametrar: – Parameter 1: ett användarattribut som regex-indata – Ett alternativ för att lita på källan som flervärdes - Regex-mönster - Ersättningsmönster. Ersättningsmönstret kan innehålla statiskt textformat tillsammans med en referens som pekar på regex-utdatagrupper och fler indataparametrar. Mer information om hur du använder RegexReplace()-transformering beskrivs senare i den här artikeln. |
Om du behöver andra omvandlingar skickar du din idé i feedbackforumet i Azure AD under SaaS-programkategorin.
Regex-baserad anspråkstransformering
Följande bild visar ett exempel på den första omvandlingsnivån:
Följande tabell innehåller information om den första nivån av transformeringar. De åtgärder som anges i tabellen motsvarar etiketterna i föregående bild. Välj Redigera för att öppna bladet anspråkstransformering.
| Åtgärd | Fält | Beskrivning |
|---|---|---|
| 1 | Datatransformering | Välj alternativet RegexReplace() från transformeringsalternativen för att använda den regex-baserade anspråkstransformeringsmetoden för anspråkstransformering. |
| 2 | Parameter 1 | Indata för transformering av reguljära uttryck. Till exempel user.mail som har en e-postadress för användaren, admin@fabrikam.comtill exempel . |
| 3 | Behandla källan som flervärdes | Vissa indataanvändarattribut kan vara användarattribut med flera värden. Om det valda användarattributet stöder flera värden och användaren vill använda flera värden för omvandlingen måste de välja Behandla källa som flervärdesvärde. Om du väljer det används alla värden för regex-matchningen, annars används bara det första värdet. |
| 4 | Reguljärt uttrycksmönster | Ett reguljärt uttryck som utvärderas mot värdet för användarattributet som valts som Parameter 1. Till exempel skulle ett reguljärt uttryck för att extrahera användaraliaset från användarens e-postadress representeras som (?'domain'^.*?)(?i)(\@fabrikam\.com)$. |
| 5 | Lägg till ytterligare parameter | Mer än ett användarattribut kan användas för omvandlingen. Värdena för attributen sammanfogas sedan med regex-transformeringsutdata. Upp till fem ytterligare parametrar stöds. |
| 6 | Ersättningsmönster | Ersättningsmönstret är textmallen, som innehåller platshållare för regex-resultat. Alla gruppnamn måste omslutas i klammerparenteserna, till exempel {group-name}. Anta att administrationen vill använda användaralias med något annat domännamn, till exempel xyz.com och slå samman landsnamn med det. I det här fallet skulle ersättningsmönstret vara {country}.{domain}@xyz.com, där {country} är värdet för indataparametern och {domain} är grupputdata från utvärderingen av reguljära uttryck. I så fall är US.swmal@xyz.comdet förväntade resultatet . |
Följande bild visar ett exempel på den andra omvandlingsnivån:
Följande tabell innehåller information om den andra nivån av transformeringar. De åtgärder som anges i tabellen motsvarar etiketterna i föregående bild.
| Åtgärd | Fält | Beskrivning |
|---|---|---|
| 1 | Datatransformering | Regex-baserade anspråkstransformeringar är inte begränsade till den första omvandlingen och kan även användas som omvandling på andra nivån. Alla andra transformeringsmetoder kan användas som den första omvandlingen. |
| 2 | Parameter 1 | Om RegexReplace() väljs som en andra nivåtransformering används utdata från transformering på första nivån som indata för den andra nivåtransformeringen. Regex-uttrycket på den andra nivån ska matcha utdata från den första omvandlingen, annars tillämpas inte omvandlingen. |
| 3 | Reguljärt uttrycksmönster | Regex-mönstret är det reguljära uttrycket för den andra nivåtransformeringen. |
| 4 | Parameterindata | Användarattributindata för omvandlingar på andra nivån. |
| 5 | Parameterindata | Administratörer kan ta bort den valda indataparametern om de inte behöver den längre. |
| 6 | Ersättningsmönster | Ersättningsmönstret är textmallen, som innehåller platshållare för regex-resultatgruppnamn, namn på indataparametergrupper och statiskt textvärde. Alla gruppnamn måste omslutas i klammerparenteserna, till exempel {group-name}. Anta att administrationen vill använda användaralias med något annat domännamn, till exempel xyz.com och slå samman landsnamn med det. I det här fallet skulle ersättningsmönstret vara {country}.{domain}@xyz.com, där {country} är värdet för indataparametern och {domain} är grupputdata från utvärderingen av reguljära uttryck. I så fall är US.swmal@xyz.comdet förväntade resultatet . |
| 7 | Testtransformering | RegexReplace()-omvandlingen utvärderas endast om värdet för det valda användarattributet för Parameter 1 matchar det reguljära uttrycket som anges i textrutan Regex-mönster . Om de inte matchar läggs standardanspråkvärdet till i token. För att verifiera reguljära uttryck mot indataparametervärdet är en testupplevelse tillgänglig på transformeringsbladet. Den här testupplevelsen fungerar endast på dummy-värden. När ytterligare indataparametrar används läggs namnet på parametern till i testresultatet i stället för det faktiska värdet. Om du vill komma åt testavsnittet väljer du Testtransformering. |
Följande bild visar ett exempel på hur du testar transformeringarna:
Följande tabell innehåller information om hur du testar transformeringarna. De åtgärder som anges i tabellen motsvarar etiketterna i föregående bild.
| Åtgärd | Fält | Beskrivning |
|---|---|---|
| 1 | Testtransformering | Välj knappen stäng eller (X) för att dölja testavsnittet och åter rendera knappen Testtransformering igen på bladet. |
| 2 | Testa regex-indata | Accepterar indata som används för testutvärderingen av reguljära uttryck. Om regex-baserad anspråkstransformering har konfigurerats som en omvandling på andra nivån tillhandahålls ett värde som skulle vara förväntade utdata från den första omvandlingen. |
| 3 | Kör test | När regex-testindata har angetts och Regex-mönstret, ersättningsmönstret och indataparametrarna har konfigurerats kan uttrycket utvärderas genom att välja Kör test. |
| 4 | Testtransformeringsresultat | Om utvärderingen lyckas renderas utdata från testomvandlingen mot resultatetiketten Testtransformering . |
| 5 | Ta bort transformering | Den andra nivåomvandlingen kan tas bort genom att välja Ta bort transformering. |
| 6 | Ange utdata om det inte finns någon matchning | När ett regex-indatavärde konfigureras mot parametern 1 som inte matchar det reguljära uttrycket hoppas transformeringen över. I sådana fall kan det alternativa användarattributet konfigureras, vilket läggs till i token för anspråket genom att kontrollera Ange utdata om det inte finns någon matchning. |
| 7 | Parameter 3 | Om ett alternativt användarattribut måste returneras när det inte finns någon matchning och Ange utdata om ingen matchning är markerad kan ett alternativt användarattribut väljas med listrutan. Den här listrutan är tillgänglig mot Parameter 3 (utdata om ingen matchning). |
| 8 | Sammanfattning | Längst ned på bladet visas en fullständig sammanfattning av formatet som förklarar innebörden av omvandlingen i enkel text. |
| 9 | Lägg till | När konfigurationsinställningarna för omvandlingen har verifierats kan den sparas i en anspråksprincip genom att välja Lägg till. Ändringarna sparas inte om inte Spara har valts på bladet Hantera anspråk . |
RegexReplace()-transformering är också tillgänglig för gruppanspråktransformeringar.
RegexReplace() omvandlingsvalidering
När följande villkor inträffar när lägg till eller kör test har valts visas ett meddelande som ger mer information om problemet:
- Indataparametrar med duplicerade användarattribut tillåts inte.
- Oanvända indataparametrar hittades. Definierade indataparametrar bör ha respektive användning i texten ersättningsmönster.
- De angivna regex-indata för test matchar inte det angivna reguljära uttrycket.
- Det går inte att hitta källan för grupperna i ersättningsmönstret.
Lägg till UPN-anspråket i SAML-token
Anspråket http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn är en del av DEN BEGRÄNSADE SAML-anspråksuppsättningen, så du kan inte lägga till det i avsnittet Attributanspråk&. Som en lösning kan du lägga till det som ett valfritt anspråk via Appregistreringar i Azure Portal.
Öppna programmet i Appregistreringar, välj Tokenkonfiguration och välj sedan Lägg till valfritt anspråk. Välj TYPEN SAML-token , välj upn i listan och klicka sedan på Lägg till för att lägga till anspråket i token.
Generera anspråk baserat på villkor
Du kan ange källan för ett anspråk baserat på användartyp och den grupp som användaren tillhör.
Användartypen kan vara:
- Alla – Alla användare får åtkomst till programmet.
- Medlemmar: Intern medlem i klientorganisationen
- Alla gäster: Användaren kommer från en extern organisation med eller utan Azure AD.
- AAD-gäster: Gästanvändare tillhör en annan organisation med Azure AD.
- Externa gäster: Gästanvändaren tillhör en extern organisation som inte har Azure AD.
Ett scenario där användartypen är användbar är när källan för ett anspråk skiljer sig åt för en gäst och en anställd som har åtkomst till ett program. Du kan ange att namn-ID:et kommer från user.email om användaren är anställd. Om användaren är gäst hämtas NameID från user.extensionattribute1.
Så här lägger du till ett anspråksvillkor:
- I Hantera anspråk expanderar du anspråksvillkoren.
- Välj användartyp.
- Välj de grupper som användaren ska tillhöra. Du kan välja upp till 50 unika grupper för alla anspråk för ett visst program.
- Välj den källa där anspråket ska hämta dess värde. Du kan välja ett användarattribut i listrutan för källattributet eller tillämpa en transformering på användarattributet innan du skickar det som ett anspråk.
Den ordning som du lägger till villkoren i är viktig. Azure AD utvärderar först alla villkor med källan Attribute och utvärderar sedan alla villkor med källan Transformation för att bestämma vilket värde som ska genereras i anspråket. Villkor med samma källa utvärderas uppifrån och ned. Det sista värdet som matchar uttrycket genereras i anspråket. Transformeringar som IsNotEmpty och Contains fungerar som begränsningar.
Britta Simon är till exempel gästanvändare i Contoso-klientorganisationen. Britta tillhör en annan organisation som också använder Azure AD. Med följande konfiguration för Fabrikam-programmet utvärderar Microsofts identitetsplattform villkoren när Britta försöker logga in på Fabrikam.
Först kontrollerar Microsofts identitetsplattform om Brittas användartyp är Alla gäster. Eftersom detta är sant tilldelar Microsofts identitetsplattform källan för anspråket till user.extensionattribute1. För det andra kontrollerar Microsofts identitetsplattform om Brittas användartyp är AAD-gäster, eftersom detta också är sant, Microsofts identitetsplattform tilldelar källan för anspråket till user.mail. Slutligen genereras anspråket med värdet user.mail för för Britta.
Ett annat exempel är när Britta Simon försöker logga in och följande konfiguration används. Azure AD utvärderar först alla villkor med källan Attribute. Eftersom Brittas användartyp är AAD-gästeruser.mail tilldelas den som källa för anspråket. Därefter utvärderar Azure AD omvandlingarna. Eftersom Britta är gäst user.extensionattribute1 är det nu den nya källan för anspråket. Eftersom Britta finns i AAD-gästeruser.othermail är det nu källan för det här anspråket. Slutligen genereras anspråket med värdet user.othermail för för Britta.
Som ett sista exempel bör du överväga vad som händer om Britta inte har konfigurerats user.othermail eller om det är tomt. I båda fallen ignoreras villkorsposten och anspråket återgår till user.extensionattribute1 i stället.
Avancerade SAML-anspråksalternativ
Avancerade anspråksalternativ kan konfigureras för SAML2.0-program så att samma anspråk exponeras för OIDC-token och vice versa för program som tänker använda samma anspråk för både SAML2.0- och OIDC-svarstoken.
Avancerade anspråksalternativ kan konfigureras genom att markera kryssrutan under Avancerade SAML-anspråksalternativ på bladet Hantera anspråk .
I följande tabell visas andra avancerade alternativ som kan konfigureras för ett program.
| Alternativ | Beskrivning |
|---|---|
| Lägga till program-ID i utfärdaren | Lägger automatiskt till program-ID:t i utfärdarens anspråk. Det här alternativet garanterar ett unikt anspråksvärde för varje instans när det finns flera instanser av samma program. Den här inställningen ignoreras om en anpassad signeringsnyckel inte har konfigurerats för programmet. |
| Åsidosätt målgruppsanspråk | Tillåter åsidosättande av målgruppsanspråket som skickas till programmet. Det angivna värdet måste vara en giltig absolut URI. Den här inställningen ignoreras om en anpassad signeringsnyckel inte har konfigurerats för programmet. |
| Inkludera attributnamnformat | Om det väljs lägger Azure Active Directory till ett attribut med namnet NameFormat som beskriver namnets format för begränsade, kärnbaserade och valfria anspråk för programmet. Mer information finns i principtypen Anspråksmappning |