Aracılığıyla paylaş

İlke kullanarak talep özelleştirmesi

  • Makale

İlke nesnesi, tek tek uygulamalarda veya bir kuruluştaki tüm uygulamalarda uygulanan bir dizi kuralı temsil eder. Her ilke türü, atandıkları nesnelere uygulanan bir dizi özelliğe sahip benzersiz bir yapıya sahiptir.

Microsoft Entra ID, uygulamalarınız için Microsoft Graph/PowerShell kullanarak talepleri özelleştirmenin iki yolunu destekler:

  • Özel Talep İlkesi Kullanma (Önizleme)
  • Talep Eşleme İlkesini Kullanma

Özel talep ilkesi ve talep eşleme ilkesi, belirteçlere dahil edilen talepleri değiştiren iki farklı ilke nesnesi tlıdır.

Özel Talep İlkesi(Önizleme), yöneticilerin uygulamaları için ek talepleri özelleştirmesine olanak tanır. Microsoft Entra yönetim merkezi aracılığıyla sunulan talep özelleştirmesiyle, yöneticilerin Microsoft Entra yönetim merkezi veya MS Graph/PowerShell aracılığıyla talepleri yönetmesine olanak sağlayan, birbirinin yerine kullanılabilir. Hem Özel Talep İlkesi hem de Microsoft Entra yönetim merkezi aracılığıyla sunulan talep özelleştirmeleri , hizmet sorumluları için ek talepleri yapılandırmak için aynı temel ilkeyi kullanır. Ancak, yöneticiler hizmet sorumlusu başına yalnızca bir Özel Talep İlkesi (Önizleme) yapılandırabilir. yöntemi, yöneticilerin PUT mevcut bir ilke nesnesini oluşturmasına veya değiştirmesine olanak tanırken PATCH , yöntem yöneticilerin ilke nesnesini istek gövdesinde geçirilen değerlerle güncelleştirmesine olanak tanır. Özel Talep İlkesi'ni kullanarak ek talepleri yapılandırmayı ve yönetmeyi buradan öğrenin.

Talep Eşleme İlkesi , yöneticilerin uygulamaları için ek talepleri özelleştirmesine de olanak tanır. Yöneticiler bir Talep Eşleme İlkesi yapılandırabilir ve kiracılarındaki birden çok uygulamaya atayabilir. Bir yönetici, uygulamaları için ek talepleri yönetmek üzere Talep Eşleme İlkesi'ni kullanmayı seçerse, bu uygulamalar için Microsoft Entra yönetim merkezindeki talep özelleştirme dikey penceresinde talepleri düzenleyemez veya güncelleştiremez. Talep Eşleme İlkesi'ni kullanarak ek talepleri yapılandırmayı ve yönetmeyi buradan öğrenin.

Not

Talep Eşleme İlkesi hem Özel Talepler ilkesinin hem de Microsoft Entra yönetim merkezi aracılığıyla sunulan talep özelleştirmesinin yerini alır. Talep Eşleme İlkesi'ni kullanarak bir uygulama için talepleri özelleştirmek, söz konusu uygulama için verilen belirteçlerin Özel Talep İlkesi'ndeki yapılandırmayı veya Microsoft Entra yönetim merkezindeki talep özelleştirme dikey penceresindeki yapılandırmayı yoksayacağı anlamına gelir. Talep özelleştirme hakkında daha fazla bilgi için bkz . Kurumsal uygulamalar için belirteçte verilen talepleri özelleştirme.

Talep kümeleri

Aşağıdaki tabloda, belirteçlerde nasıl ve ne zaman kullanıldıklarını tanımlayan talep kümeleri listeleniyor.

Talep kümesi Açıklama
Çekirdek talep kümesi İlkeden bağımsız olarak her belirteçte bulunur. Bu talepler de kısıtlanmış olarak kabul edilir ve değiştirilemez.
Temel talep kümesi Çekirdek talep kümesine ek olarak belirteçler için varsayılan olarak dahil edilen talepleri içerir. Özel talep ilkelerini ve talep eşleme ilkelerini kullanarak temel talepleri atlayabilir veya değiştirebilirsiniz.
Kısıtlanmış talep kümesi İlke kullanılarak değiştirilemez. Veri kaynağı değiştirilemez ve bu beyanlar oluşturulurken hiçbir dönüştürme uygulanamaz.

JSON Web Belirteci (JWT) kısıtlanmış talep kümesi

Aşağıdaki talepler, bir JWT için kısıtlanmış talep kümesinde yer alır.

  • .
  • _claim_names
  • _claim_sources
  • aai
  • access_token
  • account_type
  • acct
  • acr
  • acrs
  • actor
  • actortoken
  • ageGroup
  • aio
  • altsecid
  • amr
  • app_chain
  • app_displayname
  • app_res
  • appctx
  • appctxsender
  • appid
  • appidacr
  • assertion
  • at_hash
  • aud
  • auth_data
  • auth_time
  • authorization_code
  • azp
  • azpacr
  • bk_claim
  • bk_enclave
  • bk_pub
  • brk_client_id
  • brk_redirect_uri
  • c_hash
  • ca_enf
  • ca_policy_result
  • capolids
  • capolids_latebind
  • cc
  • cert_token_use
  • child_client_id
  • child_redirect_uri
  • client_id
  • client_ip
  • cloud_graph_host_name
  • cloud_instance_host_name
  • cloud_instance_name
  • CloudAssignedMdmId
  • cnf
  • code
  • controls
  • controls_auds
  • credential_keys
  • csr
  • csr_type
  • ctry
  • deviceid
  • dns_names
  • domain_dns_name
  • domain_netbios_name
  • e_exp
  • email
  • endpoint
  • enfpolids
  • exp
  • expires_on
  • extn. as prefix
  • fido_auth_data
  • fido_ver
  • fwd
  • fwd_appidacr
  • grant_type
  • graph
  • group_sids
  • groups
  • hasgroups
  • hash_alg
  • haswids
  • home_oid
  • home_puid
  • home_tid
  • iat
  • identityprovider
  • idp
  • idtyp
  • in_corp
  • instance
  • inviteTicket
  • ipaddr
  • isbrowserhostedapp
  • iss
  • isViral
  • jwk
  • key_id
  • key_type
  • login_hint
  • mam_compliance_url
  • mam_enrollment_url
  • mam_terms_of_use_url
  • mdm_compliance_url
  • mdm_enrollment_url
  • mdm_terms_of_use_url
  • msgraph_host
  • msproxy
  • nameid
  • nbf
  • netbios_name
  • nickname
  • nonce
  • oid
  • on_prem_id
  • onprem_sam_account_name
  • onprem_sid
  • openid2_id
  • origin_header
  • password
  • platf
  • polids
  • pop_jwk
  • preferred_username
  • previous_refresh_token
  • primary_sid
  • prov_data
  • puid
  • pwd_exp
  • pwd_url
  • rdp_bt
  • redirect_uri
  • refresh_token
  • refresh_token_issued_on
  • refreshtoken
  • request_nonce
  • resource
  • rh
  • role
  • roles
  • rp_id
  • rt_type
  • scope
  • scp
  • secaud
  • sid
  • sid
  • signature
  • signin_state
  • source_anchor
  • src1
  • src2
  • sub
  • target_deviceid
  • tbid
  • tbidv2
  • tenant_ctry
  • tenant_display_name
  • tenant_id
  • tenant_region_scope
  • tenant_region_sub_scope
  • thumbnail_photo
  • tid
  • tokenAutologonEnabled
  • trustedfordelegation
  • ttr
  • unique_name
  • upn
  • user_agent
  • user_setting_sync_url
  • username
  • uti
  • ver
  • verified_primary_email
  • verified_secondary_email
  • vnet
  • vsm_binding_key
  • wamcompat_client_info
  • wamcompat_id_token
  • wamcompat_scopes
  • wids
  • win_ver
  • x5c_ca
  • xcb2b_rclient
  • xcb2b_rcloud
  • xcb2b_rtenant
  • ztdid

Not

ile xms_ başlayan tüm talepler kısıtlanır.

SAML kısıtlanmış talep kümesi

Aşağıdaki tabloda, kısıtlanmış talep kümesindeki SAML talepleri listeleniyor.

Kısıtlı Talep türü (URI):

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
  • http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
  • http://schemas.microsoft.com/2014/03/psso
  • http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
  • http://schemas.microsoft.com/claims/authnmethodsreferences
  • http://schemas.microsoft.com/claims/groups.link
  • http://schemas.microsoft.com/identity/claims/accesstoken
  • http://schemas.microsoft.com/identity/claims/acct
  • http://schemas.microsoft.com/identity/claims/agegroup
  • http://schemas.microsoft.com/identity/claims/aio
  • http://schemas.microsoft.com/identity/claims/identityprovider
  • http://schemas.microsoft.com/identity/claims/objectidentifier
  • http://schemas.microsoft.com/identity/claims/openid2_id
  • http://schemas.microsoft.com/identity/claims/puid
  • http://schemas.microsoft.com/identity/claims/scope
  • http://schemas.microsoft.com/identity/claims/tenantid
  • http://schemas.microsoft.com/identity/claims/xms_et
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor

Bu talepler varsayılan olarak kısıtlanır, ancak özel imzalama anahtarınız varsa kısıtlanmamıştır. Uygulama bildiriminde ayar acceptMappedClaims yapmaktan kaçının.

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

Bu talepler varsayılan olarak kısıtlanır, ancak özel imzalama anahtarınız varsa kısıtlanmaz:

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Talep özelleştirmesi için kullanılan ilkenin özellikleri

Dahil edilen talepleri ve verilerin nereden geldiğini denetlemek için, talep özelleştirmesi için ilkenin özelliklerini kullanın. İlke olmadan, sistem aşağıdaki taleplerle belirteçler oluşturur:

Not

Çekirdek talep kümesindeki talepler, bu özelliğin neye ayarlandığına bakılmaksızın her belirteçte bulunur.

String Veri türü Özet
IncludeBasicClaimSet Boole (Doğru veya Yanlış) Temel talep kümesinin bu ilkeden etkilenen belirteçlere eklenip eklenmeyeceğini belirler. True olarak ayarlanırsa, temel talep kümesindeki tüm talepler ilkeden etkilenen belirteçlerde yayılır. False olarak ayarlanırsa, aynı ilkenin talep şeması özelliğine ayrı ayrı eklenmediği sürece temel talep kümesindeki talepler belirteçlerde yer almaz.
ClaimsSchema Bir veya daha fazla talep şeması girdisi içeren JSON blobu temel talep kümesine ve çekirdek talep kümesine ek olarak ilkeden etkilenen belirteçlerde hangi taleplerin mevcut olduğunu tanımlar. Bu özellikte tanımlanan her talep şeması girişi için belirli bilgiler gereklidir. Verilerin nereden geldiğini belirtin (Değer, Kaynak/Kimlik çifti veya Kaynak/Uzantı Kimliği çifti) ve (JWTClaimType veya SamlClaimType) olarak gösterilen Talep Türü.

Talep şeması giriş öğeleri

  • Değer - Talepte yayılacak veriler olarak statik bir değer tanımlar.
  • SAMLNameForm - Bu talep için NameFormat özniteliğinin değerini tanımlar. Varsa, izin verilen değerler şunlardır:
    • urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    • urn:oasis:names:tc:SAML:2.0:attrname-format:basic
  • Kaynak/Kimlik çifti - Talepteki verilerin kaynağı olduğunu tanımlar.
  • Source/ExtensionID çifti - Talepteki verilerin kaynaklandığı dizin uzantısı özniteliğini tanımlar. Daha fazla bilgi için bkz . Taleplerde dizin uzantısı özniteliklerini kullanma.
  • Talep Türü - JwtClaimType ve SamlClaimType öğeleri, bu talep şeması girişinin hangi talepe başvurduğu tanımlar.
    • JwtClaimType, JWT'lerde yayılacak talebin adını içermelidir.
    • SamlClaimType, SAML belirteçlerinde yayılacak talebin URI'sini içermelidir.

Source öğesini aşağıdaki tabloda yer alan değerlerden birine ayarlayın.

Kaynak değer Talepteki veriler
user User nesnesinde özellik.
application Uygulama (istemci) hizmet sorumlusundaki özellik.
resource Kaynak hizmet sorumlusundaki özellik.
audience Belirtecin hedef kitlesi olan hizmet sorumlusundaki özellik (istemci veya kaynak hizmet sorumlusu).
company Kaynak kiracısının Şirket nesnesinde özellik.
transformation Talep dönüştürme. Bu talebi kullandığınızda, TransformationID öğesi talep tanımına dahil edilmelidir. TransformationID öğesi, talep verilerinin nasıl oluşturulduğunu tanımlayan ClaimsTransformation özelliğindeki dönüştürme girişinin ID öğesiyle eşleşmelidir.

Id öğesi, kaynakta talebin değerini sağlayan özelliği tanımlar. Aşağıdaki tabloda, Source değerinin her değeri için ID öğesinin değerleri listelemektedir.

Kaynak Kimlik Açıklama
user surname Kullanıcının aile adı.
user givenname Kullanıcının verilen adı.
user displayname Kullanıcının görünen adı.
user objectid Kullanıcının nesne kimliği.
user mail Kullanıcının e-posta adresi.
user userprincipalname Kullanıcının kullanıcı asıl adı.
user department Kullanıcının departmanı.
user onpremisessamaccountname Kullanıcının şirket içi SAM hesabı adı.
user netbiosname Kullanıcının NetBios adı.
user dnsdomainname Kullanıcının DNS etki alanı adı.
user onpremisesecurityidentifier Kullanıcının şirket içi güvenlik tanımlayıcısı.
user companyname Kullanıcının kuruluş adı.
user streetaddress Kullanıcının açık adresi.
user postalcode Kullanıcının posta kodu.
user preferredlanguage Kullanıcının tercih edilen dili.
user onpremisesuserprincipalname Kullanıcının şirket içi UPN'si. Alternatif bir kimlik kullandığınızda, şirket içi özniteliği özniteliğiyle userPrincipalNameonPremisesUserPrincipalName eşitlenir. Bu öznitelik yalnızca Alternatif Kimlik yapılandırıldığında kullanılabilir.
user mailnickname Kullanıcının posta takma adı.
user extensionattribute1 Uzantı özniteliği 1.
user extensionattribute2 Uzantı özniteliği 2.
user extensionattribute3 Uzantı özniteliği 3.
user extensionattribute4 Uzantı özniteliği 4.
user extensionattribute5 Uzantı özniteliği 5.
user extensionattribute6 Uzantı özniteliği 6.
user extensionattribute7 Uzantı özniteliği 7.
user extensionattribute8 Uzantı özniteliği 8.
user extensionattribute9 Uzantı özniteliği 9.
user extensionattribute10 Uzantı özniteliği 10.
user extensionattribute11 Uzantı özniteliği 11.
user extensionattribute12 Uzantı özniteliği 12.
user extensionattribute13 Uzantı özniteliği 13.
user extensionattribute14 Uzantı özniteliği 14.
user extensionattribute15 Uzantı özniteliği 15.
user othermail Kullanıcının diğer postası.
user country Kullanıcının ülkesi/bölgesi.
user city Kullanıcının şehri.
user state Kullanıcının bulunduğu eyalet.
user jobtitle Kullanıcının iş unvanı.
user employeeid Kullanıcının çalışan kimliği.
user facsimiletelephonenumber Kullanıcının faks telefon numarası.
user assignedroles Kullanıcıya atanan uygulama rollerinin listesi.
user accountEnabled Kullanıcı hesabının etkinleştirilip etkinleştirilmediğini gösterir.
user consentprovidedforminor Reşit olmayan bir kullanıcı için onay verilip verilmediğini gösterir.
user createddatetime Kullanıcı hesabının oluşturulduğu tarih ve saat.
user creationtype Kullanıcı hesabının nasıl oluşturulduğunı gösterir.
user lastpasswordchangedatetime Parolanın değiştirildiği son tarih ve saat.
user mobilephone Kullanıcının cep telefonu.
user officelocation Kullanıcının ofis konumu.
user onpremisesdomainname Kullanıcının şirket içi etki alanı adı.
user onpremisesimmutableid Kullanıcının şirket içi sabit kimliği.
user onpremisessyncenabled Şirket içi eşitlemenin etkinleştirilip etkinleştirilmediğini gösterir.
user preferreddatalocation Kullanıcının tercih edilen veri konumunu tanımlar.
user proxyaddresses Kullanıcının proxy adresleri.
user usertype Kullanıcı hesabının türü.
user telephonenumber Kullanıcının iş veya ofis telefonları.
application, resource, audience displayname Nesnenin görünen adı.
application, resource, audience objectid Nesnenin kimliği.
application, resource, audience tags Nesnesinin hizmet sorumlusu etiketi.
company tenantcountry Kiracının ülkesi/bölgesi.

Bir kullanıcı nesnesinde kullanılabilen tek çok değerli talep kaynakları, Active Directory Connect'ten eşitlenmiş çok değerli uzantı öznitelikleridir. ve tagsgibi othermails diğer özellikler çok değerlidir, ancak kaynak olarak seçildiğinde yalnızca bir değer yayılır.

Kısıtlı talep kümesindeki taleplerin adları ve URI'leri, talep türü öğeleri için kullanılamaz.

Grup Filtresi

  • Dize - GroupFilter
  • Veri türü: - JSON blobu
  • Özet - Bu özelliği, kullanıcının grup talebine dahil edilecek gruplarına filtre uygulamak için kullanın. Bu özellik, belirteç boyutunu küçültmenin kullanışlı bir aracı olabilir.
  • MatchOn: - Filtrenin uygulanacağı grup özniteliğini tanımlar. MatchOn özelliğini aşağıdaki değerlerden birine ayarlayın:
    • displayname - Grup görünen adı.
    • samaccountname - Şirket içi SAM hesabı adı.
  • Type - MatchOn özelliği tarafından seçilen özniteliğe uygulanan filtre türünü tanımlar. Type özelliğini aşağıdaki değerlerden birine ayarlayın:
    • prefix- MatchOn özelliğinin sağlanan Value özelliğiyle başladığı grupları ekleyin.
    • suffixMatchOn özelliğinin sağlanan Value özelliğiyle sona erdiği grupları ekleyin.
    • contains- Sağlanan Value özelliğiyle MatchOn özelliğinin içerdiği grupları ekleyin.

Talepleri dönüştürme

  • Dize - ClaimsTransformation
  • Veri türü - Bir veya daha fazla dönüştürme girdisi içeren JSON blobu
  • Özet - Talep Şemasında belirtilen talepler için çıkış verilerini oluşturmak üzere kaynak verilere ortak dönüştürmeler uygulamak için bu özelliği kullanın.
  • Id - DönüşümKimliği Talepleri Şeması girdisindeki dönüştürme girdisine başvurur. Bu değer, bu ilke içindeki her dönüştürme girdisi için benzersiz olmalıdır.
  • TransformationMethod - Talep için verileri oluşturmak için gerçekleştirilen işlemi tanımlar.

Seçilen yönteme bağlı olarak bir dizi giriş ve çıkış beklenir. InputClaims, InputParameters ve OutputClaims öğelerini kullanarak girişleri ve çıkışları tanımlayın.

DönüştürmeMethod Beklenen giriş Beklenen çıkış Açıklama
Join dize1, dize2, ayırıcı çıkış talebi Arasında bir ayırıcı kullanarak giriş dizelerini birleştirir. Örneğin, dize1:foo@bar.com , dize2:sandbox , ayırıcı: sonuç çıktı talebi:.foo@bar.com.sandbox olur.
ExtractMailPrefix E-posta veya UPN ayıklanan dize Uzantı öznitelikleri 1-15 veya kullanıcının UPN veya e-posta adresi değerini depolayan diğer dizin uzantıları. Örneğin, johndoe@contoso.com. E-posta adresinin yerel bölümünü ayıklar. Örneğin, posta:foo@bar.com sonuç çıktı talebi:foo olur. @ işareti yoksa özgün giriş dizesi döndürülür.
ToLowercase() Dize çıkış dizesi Seçili özniteliğin karakterlerini küçük harflere dönüştürür.
ToUppercase() Dize çıkış dizesi Seçili özniteliğin karakterlerini büyük harf karakterlere dönüştürür.
RegexReplace() RegexReplace() dönüşümü giriş parametresi olarak kabul eder:
- Parametre 1: regex girişi olarak bir kullanıcı özniteliği
- Kaynağa birden çok değerli olarak güvenme seçeneği
- Regex deseni
- Değiştirme düzeni. Değiştirme düzeni, regex çıkış gruplarını ve daha fazla giriş parametresini işaret eden bir başvuruyla birlikte statik metin biçimi içerebilir.
  • InputClaims - Bir talep şeması girdisinden verileri dönüştürmeye geçirmek için kullanılır. Üç özniteliği vardır: ClaimTypeReferenceId, TransformationClaimType ve TreatAsMultiValue.
    • ClaimTypeReferenceId - Uygun giriş beyanını bulmak için talep şeması girişinin ID öğesiyle birleştirilir.
    • TransformationClaimType Bu girişe benzersiz bir ad verir. Bu ad, dönüştürme yöntemi için beklenen girişlerden biriyle eşleşmelidir.
    • TreatAsMultiValue , dönüşümün tüm değerlere mi yoksa yalnızca ilk değere mi uygulanacağını gösteren bir Boole bayrağıdır. Varsayılan olarak, dönüştürmeler yalnızca çok değerli bir talepteki ilk öğeye uygulanır. Bu değeri true olarak ayarlamak, tümüne uygulanmasını sağlar. ProxyAddresses ve grupları, büyük olasılıkla çok değerli bir talep olarak kabul etmek isteyebileceğiniz giriş talepleri için iki örnektir.
  • InputParameters - Sabit bir değeri dönüştürmeye geçirir. İki özniteliği vardır: Değer ve Kimlik.
    • Değer geçirilecek gerçek sabit değerdir.
    • Kimlik , girişe benzersiz bir ad vermek için kullanılır. Adın dönüştürme yöntemi için beklenen girişlerden biriyle eşleşmesi gerekir.
  • OutputClaims - Dönüştürme tarafından oluşturulan verileri tutar ve bir talep şeması girdisine bağlar. İki özniteliği vardır: ClaimTypeReferenceId ve TransformationClaimType.
    • ClaimTypeReferenceId , uygun çıkış talebi bulmak için talep şeması girdisinin kimliğiyle birleştirilir.
    • TransformationClaimType , çıkışa benzersiz bir ad vermek için kullanılır. Adın dönüştürme yöntemi için beklenen çıkışlardan biriyle eşleşmesi gerekir.

Özel durumlar ve kısıtlamalar

SAML NameID ve UPN - NameID ve UPN değerlerini kaynağı olarak kullandığınız öznitelikler ve izin verilen talep dönüştürmeleri sınırlıdır.

Kaynak Kimlik Açıklama
user mail Kullanıcının e-posta adresi.
user userprincipalname Kullanıcının kullanıcı asıl adı.
user onpremisessamaccountname Şirket içi Sam Hesabı Adı
user employeeid Kullanıcının çalışan kimliği.
user telephonenumber Kullanıcının iş veya ofis telefonları.
user extensionattribute1 Uzantı özniteliği 1.
user extensionattribute2 Uzantı özniteliği 2.
user extensionattribute3 Uzantı özniteliği 3.
user extensionattribute4 Uzantı özniteliği 4.
user extensionattribute5 Uzantı özniteliği 5.
user extensionattribute6 Uzantı özniteliği 6.
user extensionattribute7 Uzantı özniteliği 7.
user extensionattribute8 Uzantı özniteliği 8.
user extensionattribute9 Uzantı Özniteliği 9.
user extensionattribute10 Uzantı özniteliği 10.
user extensionattribute11 Uzantı özniteliği 11.
user extensionattribute12 Uzantı özniteliği 12.
user extensionattribute13 Uzantı özniteliği 13.
user extensionattribute14 Uzantı özniteliği 14.
User extensionattribute15 Uzantı özniteliği 15.

Aşağıdaki tabloda listelenen dönüştürme yöntemlerine SAML NameID için izin verilir.

DönüştürmeMethod Kısıtlamalar
ExtractMailPrefix Hiçbiri
Join Birleştirilen sonek, kaynak kiracısının doğrulanmış bir etki alanı olmalıdır.

Uygulama Kimliğine Sahip Veren

  • String - issuerWithApplicationId
  • Veri türü - Boole değeri (Doğru veya Yanlış)
    • olarak ayarlanırsa True, uygulama kimliği ilkeden etkilenen belirteçlerde veren talebine eklenir.
    • olarak ayarlanırsa False, uygulama kimliği ilkeden etkilenen belirteçlerde veren talebine eklenmez. (varsayılan)
  • Özet - Uygulama kimliğinin veren talebine eklenmesini sağlar. Aynı uygulamanın birden çok örneğinin her örnek için benzersiz bir talep değerine sahip olmasını sağlar. Uygulama için özel bir imzalama anahtarı yapılandırılmadıysa bu ayar yoksayılır.

hedef kitleyi geçersiz kılma

  • Dize - audienceOverride
  • Veri türü - Dize
  • Özet - Uygulamaya gönderilen hedef kitle beyanını geçersiz kılmanızı sağlar. Sağlanan değer geçerli bir mutlak URI olmalıdır. Uygulama için özel imzalama anahtarı yapılandırılmamışsa bu ayar yoksayılır.

Sonraki adımlar

  • Uzantı öznitelikleri hakkında daha fazla bilgi edinmek için bkz . Taleplerde dizin uzantısı öznitelikleri.