Personalizzare le attestazioni nel token SAML
Microsoft Identity Platform supporta l'accesso Single Sign-On (SSO) per la maggior parte delle applicazioni preintegrate nella raccolta di applicazioni e le applicazioni personalizzate. Quando un utente esegue l'autenticazione in un'applicazione tramite Microsoft Identity Platform usando il protocollo SAML 2.0, viene inviato un token all'applicazione. L'applicazione quindi convalida e usa il token per concedere l'accesso all'utente anziché richiedere l'immissione di nome utente e password.
Questi token SAML contengono informazioni sull'utente, note come attestazioni. Un'attestazione è un insieme di informazioni relative ad un utente dichiarate da un provider di identità all'interno del token rilasciato per tale utente. Nel token SAML questi dati sono in genere contenuti nell'istruzione degli attributi SAML. L'ID univoco dell'utente è in genere rappresentato nell'oggetto SAML, che è chiamato anche identificatore del nome (nameID).
Per impostazione predefinita, Microsoft Identity Platform genera per un’applicazione un token SAML che contiene un'attestazione con un valore del nome utente (o nome dell’entità utente), che può identificare in modo univoco l'utente. Il token SAML contiene anche altre attestazioni che includono l'indirizzo di posta elettronica, il nome e il cognome dell'utente.
Visualizzare o modificare le attestazioni
Per visualizzare o modificare le attestazioni rilasciate nel token SAML inviato all'applicazione:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
- Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
- Selezionare l'applicazione, scegliere Single Sign-On nel menu a sinistra e quindi selezionare Modifica nella sezione Attributi e attestazioni.
Potrebbe essere necessario modificare le attestazioni rilasciate nel token SAML per i motivi seguenti:
- L'applicazione richiede che l'attestazione
NameIdentifieronameIDsia diversa dal nome utente o dal nome dell'entità utente. - L'applicazione è stata scritta per richiedere un set di URI attestazione o di valori attestazione diverso.
Modifica nameID
Per modificare l’attestazione del valore dell’identificatore del nome:
- Aprire la pagina Valore identificatore nome.
- Selezionare l'attributo o la trasformazione da applicare all’attributo. Facoltativamente, è possibile specificare il formato da impostare per l'attestazione
nameID.
Formato di NameID
Se la richiesta SAML contiene l'elemento NameIDPolicy con un formato specifico, Microsoft Identity Platform rispetta il formato nella richiesta.
Se la richiesta SAML non contiene un elemento per NameIDPolicy, Microsoft Identity Platform rilascia nameID con il formato specificato. Se non viene specificato alcun formato, Microsoft Identity Platform usa il formato di origine predefinito associato all'origine dell’attestazione selezionata. Se una trasformazione restituisce un valore Null o illegale, Microsoft Entra ID invia un identificatore pairwise permanente in nameID.
Nell'elenco a discesa Scegliere il formato per l'identificatore del nome selezionare una delle opzioni elencate nella tabella seguente.
formato nameID |
Descrizione |
|---|---|
| Default | Microsoft Identity Platform usa il formato di origine predefinito. |
| Persistente | Microsoft Identity Platform usa Persistent come formato nameID. |
| Indirizzo di posta elettronica | Microsoft Identity Platform usa EmailAddress come formatonameID. |
| Non specificato | Microsoft Identity Platform usa Unspecified come formato nameID. |
| Nome completo dominio Windows | Microsoft Identity Platform usa il formato WindowsDomainQualifiedName. |
È supportato anche un formato temporaneo nameID anche se non è disponibile nell'elenco a discesa e non può essere configurato sul lato di Azure. Per altre informazioni sull'attributo NameIDPolicy, vedere Protocollo SAML per l’accesso Single Sign-On.
Attributi
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Selezionare l'origine desiderata per l'attestazione NameIdentifier (o nameID). È possibile selezionare le opzioni nella tabella seguente.
| Nome | Descrizione |
|---|---|
Email |
Indirizzo di posta elettronica dell'utente. |
userprincipalName |
Nome dell'entità utente (UPN) dell'utente. |
onpremisessamaccountname |
Nome dell'account SAM sincronizzato dall'istanza di Microsoft Entra ID locale. |
objectid |
ID oggetto dell'utente in Microsoft Entra ID. |
employeeid |
ID dipendente dell'utente. |
Directory extensions |
Estensioni di directory sincronizzate dall’istanza di Active Directory locale mediante la sincronizzazione di Microsoft Entra Connect. |
Extension Attributes 1-15 |
Attributi dell'estensione locale usati per estendere lo schema di Microsoft Entra. |
pairwiseid |
Forma persistente dell’identificatore utente. |
Per altre informazioni sui valori dell’identificatore, vedere la tabella che elenca i valori ID validi per ogni origine più oltre in questa pagina.
È possibile assegnare qualsiasi valore costante (statico) a qualsiasi attestazione. Per assegnare un valore costante, seguire la procedura seguente:
- Nel pannello Attributi e attestazioni selezionare l'attestazione richiesta da modificare.
- In Attributo di origine immettere il valore costante senza virgolette in base ai requisiti dell'organizzazione e fare clic su Salva. Viene visualizzato il valore costante.
Estensioni dello schema di directory
È anche possibile configurare gli attributi dell'estensione dello schema della directory come attributi non condizionali/condizionali. Usare la procedura seguente per configurare l'attributo di estensione dello schema della directory a valore singolo o multivalore come attestazione:
- Nel pannello Attributi e attestazioni selezionare Aggiungi nuova attestazione o modificare un'attestazione esistente.
- Selezionare l'applicazione di origine dalla selezione dell'applicazione in cui è definita la proprietà dell'estensione.
- Selezionare Aggiungi per aggiungere la selezione alle attestazioni.
- Fare clic su Salva per eseguire il commit delle modifiche.
Funzioni speciali di trasformazione delle attestazioni
È possibile usare le seguenti funzioni speciali di trasformazione delle attestazioni.
| Funzione | Descrizione |
|---|---|
| ExtractMailPrefix() | Rimuove il suffisso del dominio dall'indirizzo di posta elettronica o dal nome dell'entità utente. La funzione estrae solo la prima parte del nome utente passata, ad esempio "joe_smith" anziché joe_smith@contoso.com. |
| ToLower() | Converte i caratteri dell'attributo selezionato in minuscole. |
| ToUpper() | Converte i caratteri dell'attributo selezionato in maiuscole. |
Aggiungere attestazioni specifiche dell'applicazione
Per aggiungere attestazioni specifiche dell'applicazione:
- In Attributi e intestazioni selezionare Aggiungi nuova attestazione per aprire la pagina Gestisci attestazioni utente.
- Immettere il nome delle attestazioni. Il valore non deve necessariamente seguire un modello di URI, in base alla specifica SAML. Se è necessario un modello di URI, è possibile inserirlo nel campo Spazio dei nomi.
- Selezionare l'opzione di Origine da cui l'attestazione recupererà il valore. È possibile selezionare un attributo utente nell'elenco a discesa degli attributi di origine oppure applicare una trasformazione all'attributo utente prima di crearlo come attestazione.
Aggiungere un'attestazione di gruppo
Le attestazioni di gruppo vengono usate per prendere decisioni di autorizzazione per accedere a una risorsa da un'app o da un provider di servizi. Per aggiungere attestazioni di gruppo;
- Passare a Registrazioni app e selezionare l'app a cui si vuole aggiungere un'attestazione di gruppo.
- Selezionare Aggiungi un'attestazione basata su gruppi.
- Selezionare i tipi di gruppo da includere nel token. È possibile aggiungere gruppi di sicurezza, gruppi di directory o gruppi assegnati a una determinata applicazione.
- Scegliere i valori da includere nell'attestazione dei gruppi e quindi selezionare Aggiungi.
Trasformazioni delle attestazioni
Per applicare una trasformazione a un attributo utente:
- In Gestisci l'attestazioneselezionare Trasformazione come origine dell'attestazione per aprire la pagina Gestisci la trasformazione.
- Selezionare la funzione nell'elenco a discesa Trasformazione. A seconda della funzione selezionata, specificare i parametri e un valore costante da valutare nella trasformazione.
- Selezionare l'origine dell'attributo facendo clic sul pulsante di opzione appropriato.
- Selezionare il nome dell'attributo dall'elenco a discesa.
- Considerare l'origine come multivalore è una casella di controllo che indica se la trasformazione deve essere applicata a tutti i valori o solo al primo. Per impostazione predefinita, le trasformazioni vengono applicate solo al primo elemento di un'attestazione multivalore. Se si seleziona questa casella, vengono applicate a tutti. Questa casella di controllo è abilitata solo per gli attributi multivalore, ad esempio
user.proxyaddresses. - Per applicare più trasformazioni, selezionare Aggiungi trasformazione. È possibile applicare un massimo di due trasformazioni a un'attestazione. È ad esempio possibile estrarre prima il prefisso dell'indirizzo di posta elettronica da
user.mail. Quindi, impostare la stringa in maiuscolo.
Per trasformare le attestazioni, è possibile usare le funzioni seguenti.
| Funzione | Descrizione |
|---|---|
| ExtractMailPrefix() | Rimuove il suffisso del dominio dall'indirizzo di posta elettronica o dal nome dell'entità utente. Questa funzione estrae solo la prima parte del nome utente passato. Ad esempio, joe_smith anziché joe_smith@contoso.com. |
| Join() | Crea un nuovo valore creando un join tra due attributi. Facoltativamente, è possibile usare un separatore tra i due attributi. Nel caso specifico della trasformazione dell'attestazione nameID, la funzione Join() mostra un comportamento specifico quando l'input della trasformazione contiene una parte del dominio. Rimuove la parte del dominio dall'input prima di unirla al separatore e al parametro selezionato. Ad esempio, se l'input della trasformazione è joe_smith@contoso.com, il separatore è @ e il parametro è fabrikam.com, questa combinazione di input restituisce joe_smith@fabrikam.com. |
| ToLowercase() | Converte i caratteri dell'attributo selezionato in minuscole. |
| ToUppercase() | Converte i caratteri dell'attributo selezionato in maiuscole. |
| Contains() | Restituisce un attributo o una costante se l'input corrisponde al valore specificato. In caso contrario, se non esistono corrispondenze, è possibile specificare un altro output. Ad esempio, è possibile scegliere che venga creata un'attestazione in cui il valore corrisponde all'indirizzo di posta elettronica dell'utente se contiene il dominio @contoso.com e in caso contrario che venga restituito il nome dell'entità utente. Per eseguire questa funzione, configurare i valori seguenti: Parameter 1(input): user.email, Value: "@contoso.com", Parameter 2 (output): user.email e Parameter 3 (output if there's no match): user.userprincipalname. |
| EndWith() | Restituisce un attributo o una costante se l'input termina con il valore specificato. In caso contrario, se non esistono corrispondenze, è possibile specificare un altro output. Ad esempio, è possibile scegliere che venga creata un'attestazione in cui il valore corrisponde all'ID dipendente dell'utente se termina con 000 e in caso contrario che venga restituito un attributo di estensione. Per eseguire questa funzione, configurare i valori seguenti: Parameter 1(input): user.employeeid, Value: "000", Parameter 2 (output): user.employeeid e Parameter 3 (output if there's no match): user.extensionattribute1. |
| StartWith() | Restituisce un attributo o una costante se l'input inizia con il valore specificato. In caso contrario, se non esistono corrispondenze, è possibile specificare un altro output. Ad esempio, è possibile scegliere che venga creata un'attestazione in cui il valore corrisponde all'ID dipendente dell'utente se il paese/area geografica inizia con US e in caso contrario che venga restituito un attributo di estensione. Per eseguire questa funzione, configurare i valori seguenti: Parameter 1(input): user.country, Value: "US", Parameter 2 (output): user.employeeid e Parameter 3 (output if there's no match): user.extensionattribute1 |
| Extract() - Dopo la corrispondenza | Restituisce la sottostringa dopo aver trovato una corrispondenza con il valore specificato. Ad esempio, se il valore di input è Finance_BSimon e il valore corrispondente è Finance_, allora l'output dell'attestazione è BSimon. |
| Extract() - Prima della corrispondenza | Restituisce la sottostringa finché non trova una corrispondenza con il valore specificato. Ad esempio, se il valore di input è BSimon_USe il valore corrispondente è _US, allora l'output dell'attestazione è BSimon. |
| Extract() - Tra corrispondenze | Restituisce la sottostringa finché non trova una corrispondenza con il valore specificato. Ad esempio, se il valore dell'input è Finance_BSimon_US, il primo valore corrispondente è Finance_ e il secondo valore corrispondente è _US, allora l'output dell'attestazione è BSimon. |
| ExtractAlpha() - Prefisso | Restituisce la parte alfabetica del prefisso della stringa. Ad esempio, se il valore dell'input è BSimon_123, restituisce BSimon. |
| ExtractAlpha() - Suffisso | Restituisce la parte alfabetica del suffisso della stringa. Ad esempio, se il valore dell'input è 123_Simon, restituisce Simon. |
| ExtractNumeric() - Prefisso | Restituisce la parte numerica del prefisso della stringa. Ad esempio, se il valore dell'input è 123_BSimon, restituisce 123. |
| ExtractNumeric() - Suffisso | Restituisce la parte numerica del suffisso della stringa. Ad esempio, se il valore dell'input è BSimon_123, restituisce 123. |
| IfEmpty() | Restituisce un attributo o una costante se l'input è Null o vuoto. Ad esempio, si può scegliere che venga restituito un attributo archiviato nell’attributo di estensione se l'ID dipendente di uno specifico utente è vuoto. Per eseguire questa funzione, configurare i valori seguenti: Parameter 1(input): user.employeeid, Parameter 2 (output): user.extensionattribute1 e Parameter 3 (output if there's no match): user.employeeid. |
| IfNotEmpty() | Restituisce un attributo o una costante se l'input è Null o vuoto. Ad esempio, si può scegliere che venga restituito un attributo archiviato in un attributo di estensione se l'ID dipendente di uno specifico utente non è vuoto. Per eseguire questa funzione, configurare i valori seguenti: Parameter 1(input): user.employeeid e Parameter 2 (output): user.extensionattribute1. |
| Substring() - Lunghezza fissa | Estrae parti di un tipo di attestazione di stringa, a partire dal carattere in corrispondenza della posizione specificata, e restituisce il numero di caratteri specificato. sourceClaim è l'origine dell’attestazione della trasformazione da eseguire. StartIndex è la posizione iniziale in base zero del carattere di una substring nell’istanza. Length è la lunghezza in caratteri della substring. Ad esempio, sourceClaim - PleaseExtractThisNow, StartIndex - 6 e Length - 11 restituiscono ExtractThis. |
| Substring() - EndOfString | Estrae parti di un tipo di attestazione di stringa, a partire dal carattere in corrispondenza della posizione specificata, e restituisce la parte restante dell’attestazione dall’indice di inizio. sourceClaim è l'origine dell’attestazione della trasformazione da eseguire. StartIndex è la posizione iniziale in base zero del carattere di una substring nell’istanza. Ad esempio, sourceClaim - PleaseExtractThisNow e StartIndex - 6 restituiscono ExtractThisNow. |
| RegexReplace() | Per altre informazioni sulla trasformazione delle attestazioni basate su regex, vedere la sezione successiva. |
Trasformazione delle attestazioni basate su regex
L'immagine seguente mostra un esempio del primo livello della trasformazione:
Le azioni elencate nella tabella seguente forniscono informazioni sul primo livello della trasformazione e corrispondono alle etichette nell'immagine precedente. Selezionare Modifica per aprire il pannello di trasformazione delle attestazioni.
| Azione | Campo | Descrizione |
|---|---|---|
1 |
Transformation |
Selezionare l'opzione RegexReplace() nelle opzioni Trasformazione per usare il metodo di trasformazione delle attestazioni basate su regex per la trasformazione delle attestazioni. |
2 |
Parameter 1 |
Input per la trasformazione di un’espressione regolare. Ad esempio, user.mail che include l’indirizzo di posta elettronica dell’utente come admin@fabrikam.com. |
3 |
Treat source as multivalued |
Alcuni attributi utente di input possono essere attributi utente multivalore. Se l'attributo utente selezionato supporta più valori e l'utente vuole usare più valori per la trasformazione, è necessario selezionare Considera origine come multivalore. Se questa opzione è selezionata, tutti i valori vengono usati per la corrispondenza regex. In caso contrario, viene usato solo il primo valore. |
4 |
Regex pattern |
Espressione regolare valutata rispetto al valore dell'attributo utente selezionato come Parametro 1. Ad esempio, un'espressione regolare per estrarre l'alias utente dall'indirizzo di posta elettronica dell'utente verrebbe rappresentata come (?'domain'^.*?)(?i)(\@fabrikam\.com)$. |
5 |
Add additional parameter |
Per la trasformazione è possibile usare più attributi utente. I valori degli attributi verranno quindi uniti con l'output della trasformazione regex. Sono supportati fino a cinque parametri. |
6 |
Replacement pattern |
Il modello di sostituzione è il modello di testo, che contiene segnaposto per il risultato regex. Tutti i nomi di gruppo devono essere racchiusi tra parentesi graffe, ad esempio {group-name}. Si supponga che l'amministrazione voglia usare l'alias utente con un altro nome di dominio, ad esempio xyz.com, e unire il nome del paese con esso. In questo caso, il modello di sostituzione sarà {country}.{domain}@xyz.com, dove {country} è il valore del parametro di input e {domain} è l'output del gruppo risultante dalla valutazione dell'espressione regolare. In questo caso, il risultato previsto è US.swmal@xyz.com. |
L'immagine seguente mostra un esempio del secondo livello della trasformazione:
Nella tabella seguente vengono fornite informazioni sul secondo livello della trasformazione. Le azioni elencate nella tabella corrispondono alle etichette dell'immagine precedente.
| Azione | Campo | Descrizione |
|---|---|---|
1 |
Transformation |
Le trasformazioni delle attestazioni basate su regex non sono limitate alla prima trasformazione e possono essere usate anche come trasformazione di secondo livello. È possibile usare qualsiasi altro metodo di trasformazione come prima trasformazione. |
2 |
Parameter 1 |
Se RegexReplace() è selezionato come trasformazione di secondo livello, l'output della trasformazione di primo livello viene usato come input per la trasformazione di secondo livello. Per applicare la trasformazione,è necessario che l'espressione regex di secondo livello corrisponda all'output della prima trasformazione. |
3 |
Regex pattern |
Il criterio regex rappresenta l'espressione regolare per la trasformazione di secondo livello. |
4 |
Parameter input |
Input degli attributi utente per le trasformazioni di secondo livello. |
5 |
Parameter input |
Gli amministratori possono eliminare il parametro di input selezionato se non è più necessario. |
6 |
Replacement pattern |
Il modello di sostituzione è il modello di testo, che contiene segnaposto per il nome del gruppo di risultati regex, il nome del gruppo di parametri di input e il valore di testo statico. Tutti i nomi di gruppo devono essere racchiusi tra parentesi graffe, ad esempio {group-name}. Si supponga che l'amministrazione voglia usare l'alias utente con un altro nome di dominio, ad esempio xyz.com, e unire il nome del paese con esso. In questo caso, il modello di sostituzione sarà {country}.{domain}@xyz.com, dove {country} è il valore del parametro di input e {domain} è l'output del gruppo restituito dalla valutazione dell'espressione regolare. In questo caso, il risultato previsto è US.swmal@xyz.com. |
7 |
Test transformation |
La trasformazione RegexReplace() viene valutata solo se il valore dell'attributo utente selezionato per il parametro 1 corrisponde all'espressione regolare fornita nella casella di testo Modello regex. Se i valori non corrispondono, al token viene aggiunto il valore predefinito dell'attestazione. Per convalidare l'espressione regolare rispetto al valore del parametro di input, è possibile usare un'esperienza di test all'interno del pannello della trasformazione. Questa esperienza di test usa solo valori fittizi. Quando si usano più parametri di input, il nome del parametro viene aggiunto al risultato del test anziché al valore effettivo. Per accedere alla sezione test, selezionare Testa trasformazione. |
L'immagine seguente mostra un esempio di test delle trasformazioni:
Nella tabella seguente vengono fornite informazioni sul test delle trasformazioni. Le azioni elencate nella tabella corrispondono alle etichette dell'immagine precedente.
| Azione | Campo | Descrizione |
|---|---|---|
1 |
Test transformation |
Selezionare il pulsante Chiudi o (X) per nascondere la sezione Test ed eseguire di nuovo il rendering del pulsante Testa trasformazione nel pannello. |
2 |
Test regex input |
Accetta l'input usato per la valutazione del test dell'espressione regolare. Se la trasformazione delle attestazioni basate su regex è configurata come trasformazione di secondo livello, fornire un valore che rappresenti l'output previsto della prima trasformazione. |
3 |
Run test |
Dopo aver specificato l'input regex di test e aver configurato Modello regex, Modello di sostituzione e Parametri di input, è possibile valutare l'espressione selezionando Esegui test. |
4 |
Test transformation result |
Se la valutazione ha esito positivo, viene eseguito il rendering dell’output della trasformazione di test rispetto all’etichetta Testa risultato della trasformazione. |
5 |
Remove transformation |
La trasformazione di secondo livello può essere rimossa selezionando Rimuovi trasformazione. |
6 |
Specify output if no match |
Quando un valore di input regex viene configurato in base al parametro 1 che non corrisponde all'espressione regolare, la trasformazione viene ignorata. In questi casi, è possibile configurare l'attributo utente alternativo, che può essere aggiunto al token per l'attestazione selezionando Specifica output se non esiste alcuna corrispondenza. |
7 |
Parameter 3 |
Se è necessario restituire un attributo utente alternativo quando non esiste alcuna corrispondenza e l’opzione Specificare l'output se non è selezionata alcuna corrispondenza è selezionata, è possibile selezionare un attributo utente alternativo tramite l'elenco a discesa. Questo elenco a discesa è disponibile nel parametro 3 (output in caso di non corrispondenza). |
8 |
Summary |
Nella parte inferiore del pannello viene visualizzato un riepilogo completo del formato che spiega il significato della trasformazione in testo semplice. |
9 |
Add |
Dopo aver verificato le impostazioni di configurazione della trasformazione, è possibile salvarle in un criterio delle attestazioni selezionando Aggiungi. Selezionare Salva nel pannello Gestisci attestazione per salvare le modifiche. |
La trasformazione RegexReplace() è disponibile anche per le trasformazioni delle attestazioni di gruppo.
Convalide della trasformazione RegexReplace()
Quando si verificano le condizioni seguenti dopo la selezione di Aggiungi o Esegui test, viene visualizzato un messaggio che fornisce altre informazioni sul problema:
- I parametri di input con attributi utente duplicati non sono consentiti.
- Sono stati trovati parametri di input inutilizzati. L’utilizzo dei parametri di input definiti deve essere indicato nel testo modello di sostituzione.
- L'input regex di test fornito non corrisponde all'espressione regolare fornita.
- Non è stata trovata l'origine per i gruppi nel modello di sostituzione.
Aggiungere l'attestazione UPN ai token SAML
L'attestazione http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn fa parte del set di attestazioni con restrizioni SAML. Se la chiave di firma personalizzata è configurata, è possibile aggiungerla nella sezione Attributi e attestazioni .
Se non è configurata alcuna chiave di firma personalizzata, fare riferimento al set di attestazioni con restrizioni SAML. Come soluzione alternativa, è possibile aggiungerla come attestazione facoltativa tramite Registrazioni app nel portale di Azure.
Aprire l'applicazione in Registrazioni app, selezionare Configurazione del token e quindi selezionare Aggiungi attestazione facoltativa. Selezionare il tipo di token SAML, scegliere upn dall'elenco e quindi fare clic su Aggiungi per aggiungere l'attestazione al token.
La personalizzazione eseguita nella sezione Attributi e attestazioni può sovrascrivere le attestazioni facoltative in Registrazione app.
Creare attestazioni in base a condizioni
È possibile specificare l'origine di un'attestazione in base al tipo di utente e al gruppo a cui appartiene.
Il tipo di utente può essere:
- Qualsiasi: tutti gli utenti possono accedere all’applicazione.
- Membri: membro nativo del tenant.
- Tutti gli utenti guest: l'utente viene trasferito da un'organizzazione esterna con o senza Microsoft Entra ID.
- Utenti guest di Microsoft Entra: l’utente guest appartiene a un'altra organizzazione che usa Microsoft Entra ID.
- Guest esterni: l’utente guest appartiene a un'organizzazione esterna che non usa Microsoft Entra ID.
Uno scenario in cui questo tipo di utente è utile è il caso in cui l’origine di un'attestazione è diversa per un utente guest e per un dipendente che accedono a un'applicazione. È possibile specificare che NameID viene originato da user.email se l’utente è un dipendente. Se l'utente è un guest, NameID viene originato da user.extensionattribute1.
Per aggiungere una condizione per l'attestazione:
- In Gestisci l'attestazione espandere Condizioni dell'attestazione.
- Selezionare il tipo di utente.
- Selezionare il gruppo o i gruppi a cui l'utente deve appartenere. È possibile selezionare fino a 50 gruppi univoci tra tutte le attestazioni per una determinata applicazione.
- Selezionare l'opzione di Origine da cui l'attestazione recupererà il valore. È possibile selezionare un attributo utente dall'elenco a discesa per l'attributo di origine o applicare una trasformazione all'attributo utente. È anche possibile selezionare un'estensione dello schema di directory prima di emetterla come attestazione.
L'ordine in cui si aggiungono le condizioni è importante. Microsoft Entra valuta prima tutte le condizioni con l’origine Attribute e quindi valuta tutte le condizioni con l'origine Transformation per decidere quale valore generare nell'attestazione. Le condizioni con la stessa origine vengono valutate dall'alto verso il basso. L'ultimo valore che corrisponde all'espressione viene generato nell'attestazione. Le trasformazioni, come IsNotEmpty e Contains, fungono da restrizioni.
Britta Simon, ad esempio, è un utente guest nel tenant di Contoso. Britta appartiene a un'altra organizzazione che usa anche Microsoft Entra ID. Data la configurazione seguente per l'applicazione Fabrikam, quando Britta tenta di accedere a Fabrikam, Microsoft Identity Platform valuta le condizioni.
Prima di tutto, Microsoft Identity Platform verifica se il tipo di utente di Britta è Tutti gli utenti guest. Poiché il tipo è Tutti gli utenti guest, Microsoft Identity Platform assegna l'origine per l'attestazione a user.extensionattribute1. Quindi, Microsoft Identity Platform verifica se il tipo di utente di Britta è Utenti guest di Microsoft Entra. Poiché il tipo è Tutti gli utenti guest, Microsoft Identity Platform assegna l'origine per l'attestazione a user.mail. Infine, l'attestazione viene creata con il valore user.mail per Britta.
Come altro esempio, si pensi a quando Britta Simon tenta di accedere e viene usata la configurazione seguente. Tutte le condizioni vengono valutate per prime con l'origine di Attribute. Poiché il tipo di utente di Britta è Utenti guest di Microsoft Entra, user.mail viene assegnato come origine per l'attestazione. Verranno quindi valutate le trasformazioni. Poiché Britta è un utente guest, user.extensionattribute1 è ora la nuova origine per l'attestazione. Poiché Britta rientra in Utenti guest di Microsoft Entra, user.othermail è ora l'origine per tale attestazione. Infine, l'attestazione viene creata con il valore user.othermail per Britta.
Come esempio finale, considerare cosa accade se Britta non ha configurato user.othermail o è vuoto. In entrambi i casi la voce della condizione viene ignorata e l'attestazione esegue invece il fallback. a user.extensionattribute1.
Opzioni avanzate per le attestazioni SAML
Le opzioni avanzate per le attestazioni possono essere configurate per le applicazioni SAML2.0 per esporre la stessa attestazione ai token OIDC e viceversa per le applicazioni che intendono usare la stessa attestazione per i token di risposta SAML2.0 e OIDC.
Le opzioni avanzate per le attestazioni possono essere configurate selezionando la casella in Opzioni avanzate per le attestazioni SAML nel pannello Gestisci attestazioni.
La tabella seguente elenca altre opzioni avanzate che possono essere configurate per un'applicazione.
| Opzione | Descrizione |
|---|---|
| Aggiungi ID applicazione all'autorità di certificazione | Aggiunge automaticamente l'ID applicazione all'attestazione dell'autorità di certificazione. Questa opzione garantisce un valore di attestazione univoco per ogni istanza quando sono presenti più istanze della stessa applicazione. L’impostazione viene ignorata se non è stata configurata una chiave di firma personalizzata per l'applicazione. |
| Ignora attestazione dei destinatari | Consente di eseguire l'override dell'attestazione dei destinatari inviata all'applicazione. Il valore specificato deve essere un URI assoluto valido. L’impostazione viene ignorata se non è stata configurata una chiave di firma personalizzata per l'applicazione. |
| Includi il formato del nome dell'attributo | Se l’opzione è selezionata, Microsoft Entra ID aggiunge un attributo denominato NameFormat che descrive il formato del nome a attestazioni limitate, core e facoltative per l'applicazione. Per altre informazioni, vedere Tipo di criteri di mapping delle attestazioni. |