정책을 사용하여 클레임 사용자 지정
정책 개체는 조직에 있는 개별 애플리케이션 또는 모든 애플리케이션에 적용되는 규칙 집합을 나타냅니다. 각 유형의 정책에는 할당된 개체에 적용되는 속성 세트가 포함된 고유한 구조가 있습니다.
Microsoft Entra ID는 애플리케이션에 Microsoft Graph/PowerShell을 사용하여 클레임을 사용자 지정하는 두 가지 방법을 지원합니다.
- 사용자 지정 클레임 정책 사용 (미리 보기)
- 클레임 매핑 정책 사용
사용자 지정 클레임 정책 및 클레임 매핑 정책은 토큰에 포함된 클레임을 수정하는 두 가지 유형의 정책 개체입니다.
사용자 지정 클레임 정책(미리 보기) 을 사용하면 관리자가 애플리케이션에 대한 추가 클레임을 사용자 지정할 수 있습니다. 관리자가 Microsoft Entra 관리 센터 또는 MS Graph/PowerShell을 통해 클레임을 관리할 수 있도록 Microsoft Entra 관리 센터를 통해 제공되는 클레임 사용자 지정과 교환하여 사용할 수 있습니다. Microsoft Entra 관리 센터를 통해 제공되는 사용자 지정 클레임 정책 및 클레임 사용자 지정 은 모두 동일한 기본 정책을 사용하여 서비스 주체에 대한 추가 클레임을 구성합니다. 그러나 관리자는 서비스 주체당 하나의 사용자 지정 클레임 정책(미리 보기) 만 구성할 수 있습니다. 이 PUT
메서드를 사용하면 관리자가 기존 정책 개체를 만들거나 요청 본문에 전달된 값으로 바꿀 수 있으며 PATCH
, 메서드를 사용하면 관리자가 요청 본문에 전달된 값으로 정책 개체를 업데이트할 수 있습니다. 여기에서 사용자 지정 클레임 정책을 사용하여 추가 클레임을 구성하고 관리하는 방법을 알아봅니다.
또한 클레임 매핑 정책을 사용하면 관리자가 애플리케이션에 대한 추가 클레임을 사용자 지정할 수 있습니다. 관리자는 하나의 클레임 매핑 정책을 구성하고 테넌트에서 여러 애플리케이션에 할당할 수 있습니다. 관리자가 클레임 매핑 정책을 사용하여 애플리케이션에 대한 추가 클레임을 관리하도록 선택하는 경우 해당 애플리케이션에 대한 Microsoft Entra 관리 센터의 클레임 사용자 지정 블레이드에서 클레임을 편집하거나 업데이트할 수 없습니다. 여기에서 클레임 매핑 정책을 사용하여 추가 클레임을 구성하고 관리하는 방법을 알아봅니다.
참고 항목
클레임 매핑 정책은 사용자 지정 클레임 정책과 Microsoft Entra 관리 센터를 통해 제공되는 클레임 사용자 지정을 모두 대체합니다. 클레임 매핑 정책을 사용하여 애플리케이션에 대한 클레임을 사용자 지정한다는 것은 해당 애플리케이션에 대해 발급된 토큰이 사용자 지정 클레임 정책의 구성 또는 Microsoft Entra 관리 센터의 클레임 사용자 지정 블레이드 구성을 무시함을 의미합니다. 클레임 사용자 지정에 대한 자세한 내용은 엔터프라이즈 애플리케이션용 토큰에서 발급된 클레임 사용자 지정을 참조 하세요.
클레임 집합
다음 표의 클레임 집합 목록에는 토큰에서 클레임이 사용되는 방법과 시기가 정의되어 있습니다.
클레임 집합 | 설명 |
---|---|
핵심 클레임 집합 | 정책에 관계없이 모든 토큰에 포함됩니다. 또한 이러한 클레임은 제한된 것으로 간주되며 수정할 수 없습니다. |
기본 클레임 집합 | 핵심 클레임 집합뿐 아니라 토큰에 기본적으로 포함되는 클레임을 포함합니다. 사용자 지정 클레임 정책 및 클레임 매핑 정책을 사용하여 기본 클레임을 생략하거나 수정할 수 있습니다. |
제한된 클레임 집합 | 정책을 사용하여 수정할 수 없습니다. 데이터 원본을 변경할 수 없으며, 이러한 클레임을 생성할 때 변환이 적용됩니다. |
JWT(JSON Web Token) 제한된 클레임 집합
다음 클레임은 JWT에 대한 제한된 클레임 집합에 있습니다.
.
_claim_names
_claim_sources
aai
access_token
account_type
acct
acr
acrs
actor
actortoken
ageGroup
aio
altsecid
amr
app_chain
app_displayname
app_res
appctx
appctxsender
appid
appidacr
assertion
at_hash
aud
auth_data
auth_time
authorization_code
azp
azpacr
bk_claim
bk_enclave
bk_pub
brk_client_id
brk_redirect_uri
c_hash
ca_enf
ca_policy_result
capolids
capolids_latebind
cc
cert_token_use
child_client_id
child_redirect_uri
client_id
client_ip
cloud_graph_host_name
cloud_instance_host_name
cloud_instance_name
CloudAssignedMdmId
cnf
code
controls
controls_auds
credential_keys
csr
csr_type
ctry
deviceid
dns_names
domain_dns_name
domain_netbios_name
e_exp
email
endpoint
enfpolids
exp
expires_on
extn. as prefix
fido_auth_data
fido_ver
fwd
fwd_appidacr
grant_type
graph
group_sids
groups
hasgroups
hash_alg
haswids
home_oid
home_puid
home_tid
iat
identityprovider
idp
idtyp
in_corp
instance
inviteTicket
ipaddr
isbrowserhostedapp
iss
isViral
jwk
key_id
key_type
login_hint
mam_compliance_url
mam_enrollment_url
mam_terms_of_use_url
mdm_compliance_url
mdm_enrollment_url
mdm_terms_of_use_url
msgraph_host
msproxy
nameid
nbf
netbios_name
nickname
nonce
oid
on_prem_id
onprem_sam_account_name
onprem_sid
openid2_id
origin_header
password
platf
polids
pop_jwk
preferred_username
previous_refresh_token
primary_sid
prov_data
puid
pwd_exp
pwd_url
rdp_bt
redirect_uri
refresh_token
refresh_token_issued_on
refreshtoken
request_nonce
resource
rh
role
roles
rp_id
rt_type
scope
scp
secaud
sid
sid
signature
signin_state
source_anchor
src1
src2
sub
target_deviceid
tbid
tbidv2
tenant_ctry
tenant_display_name
tenant_id
tenant_region_scope
tenant_region_sub_scope
thumbnail_photo
tid
tokenAutologonEnabled
trustedfordelegation
ttr
unique_name
upn
user_agent
user_setting_sync_url
username
uti
ver
verified_primary_email
verified_secondary_email
vnet
vsm_binding_key
wamcompat_client_info
wamcompat_id_token
wamcompat_scopes
wids
win_ver
x5c_ca
xcb2b_rclient
xcb2b_rcloud
xcb2b_rtenant
ztdid
참고 항목
xms_
로 시작하는 클레임은 제한됩니다.
SAML 제한된 클레임 집합
다음 표에는 제한된 클레임 집합에 있는 SAML 클레임이 나열되어 있습니다.
제한된 클레임 유형(URI):
http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
http://schemas.microsoft.com/2014/03/psso
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
http://schemas.microsoft.com/claims/authnmethodsreferences
http://schemas.microsoft.com/claims/groups.link
http://schemas.microsoft.com/identity/claims/accesstoken
http://schemas.microsoft.com/identity/claims/acct
http://schemas.microsoft.com/identity/claims/agegroup
http://schemas.microsoft.com/identity/claims/aio
http://schemas.microsoft.com/identity/claims/identityprovider
http://schemas.microsoft.com/identity/claims/objectidentifier
http://schemas.microsoft.com/identity/claims/openid2_id
http://schemas.microsoft.com/identity/claims/puid
http://schemas.microsoft.com/identity/claims/scope
http://schemas.microsoft.com/identity/claims/tenantid
http://schemas.microsoft.com/identity/claims/xms_et
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
http://schemas.microsoft.com/ws/2008/06/identity/claims/role
http://schemas.microsoft.com/ws/2008/06/identity/claims/role
http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor
이러한 클레임은 기본적으로 제한되지만 사용자 지정 서명 키가 있는 경우 제한되지 않습니다. 앱 매니페스트에서 acceptMappedClaims
을(를) 설정하지 마세요.
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname
이러한 클레임은 기본적으로 제한되지만 사용자 지정 서명 키가 있는 경우 제한되지 않습니다.
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
http://schemas.microsoft.com/ws/2008/06/identity/claims/role
클레임 사용자 지정에 사용되는 정책의 속성
포함된 클레임과 데이터의 원본을 제어하려면 클레임 사용자 지정을 위해 정책의 속성을 사용합니다. 정책이 없으면 시스템은 다음 클레임이 포함된 토큰을 발급합니다.
- 핵심 클레임 집합
- 기본 클레임 집합
- 애플리케이션에서 수신하도록 선택한 선택적 클레임
참고 항목
핵심 클레임 집합의 클레임은 이 속성의 설정값에 관계없이 모든 토큰에 표시됩니다.
문자열 | 데이터 형식 | 요약 |
---|---|---|
IncludeBasicClaimSet | 부울(True 또는 False) | 기본 클레임 집합이 이 정책의 영향을 받는 토큰에 포함되는지 여부를 결정합니다. True로 설정된 경우 기본 클레임 집합의 모든 클레임이 정책의 영향을 받는 토큰에 내보내집니다. False로 설정된 경우 기본 클레임 집합의 클레임은 동일한 정책의 클레임 스키마 속성에 개별적으로 추가되지 않는 한 토큰에 포함되지 않습니다. |
ClaimsSchema | 하나 이상의 클레임 스키마 항목이 있는 JSON Blob입니다. | 기본 클레임 집합 및 핵심 클레임 집합 외에도 정책의 영향을 받는 토큰에 포함되는 클레임을 정의합니다. 이 속성에 정의된 각 클레임 스키마 항목의 경우 특정 정보가 필요합니다. 데이터의 출처(Value, Source/ID 쌍 또는 Source/ExtensionID 쌍) 및 내보내는 클레임 형식(JWTClaimType 또는 SamlClaimType)을 지정합니다. |
클레임 스키마 항목 요소
- Value - 클레임에 내보내질 데이터로 정적 값을 정의합니다.
- SAMLNameForm - 이 클레임의 NameFormat 특성 값을 정의합니다. 있는 경우 허용되는 값은 다음과 같습니다.
urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
urn:oasis:names:tc:SAML:2.0:attrname-format:uri
urn:oasis:names:tc:SAML:2.0:attrname-format:basic
- Source/ID 쌍 - 클레임의 데이터가 제공되는 위치를 정의합니다.
- Source/ExtensionID 쌍 - 클레임의 데이터가 제공되는 디렉터리 확장 특성을 정의합니다. 자세한 내용은 클레임에서 디렉터리 확장 특성 사용을 참조하세요.
- 클레임 형식: - JwtClaimType 및 SamlClaimType 요소는 이 클레임 스키마 항목이 참조하는 클레임을 정의합니다.
- JwtClaimType에는 JWT로 내보낼 클레임 이름이 포함되어야 합니다.
- SamlClaimType에는 SAML 토큰으로 내보낼 클레임 URI가 포함되어야 합니다.
Source 요소는 다음 표의 값 중 하나로 설정합니다.
원본 값 | 클레임의 데이터 |
---|---|
user |
User 개체의 속성입니다. |
application |
애플리케이션(클라이언트) 서비스 주체의 속성입니다. |
resource |
리소스 서비스 주체의 속성입니다. |
audience |
토큰의 대상 그룹인 서비스 주체(클라이언트 또는 리소스 서비스 주체)의 속성입니다. |
company |
리소스 테넌트의 Company 개체에 대한 속성입니다. |
transformation |
클레임 변환입니다. 이 클레임을 사용하는 경우 TransformationID 요소가 클레임 정의에 포함되어야 합니다. TransformationID 요소는 이 클레임에 대한 데이터가 생성되는 방식을 정의하는 ClaimsTransformation 속성에서 변환 항목의 ID 요소와 일치해야 합니다. |
ID 요소는 클레임의 값을 제공하는 원본의 속성을 식별합니다. 다음 표는 각 Source 값에 대한 ID 값을 나열합니다.
원본 | ID | 설명 |
---|---|---|
user |
surname |
사용자의 성입니다. |
user |
givenname |
사용자의 지정된 이름입니다. |
user |
displayname |
사용자의 표시 이름입니다. |
user |
objectid |
사용자의 개체 ID입니다. |
user |
mail |
사용자의 전자 메일 주소입니다. |
user |
userprincipalname |
사용자의 사용자 계정 이름입니다. |
user |
department |
사용자의 부서입니다. |
user |
onpremisessamaccountname |
사용자의 온-프레미스 SAM 계정 이름입니다. |
user |
netbiosname |
사용자의 NetBios 이름입니다. |
user |
dnsdomainname |
사용자의 DNS 도메인 이름입니다. |
user |
onpremisesecurityidentifier |
사용자의 온-프레미스 보안 식별자입니다. |
user |
companyname |
사용자의 조직 이름입니다. |
user |
streetaddress |
사용자의 주소입니다. |
user |
postalcode |
사용자의 우편 번호입니다. |
user |
preferredlanguage |
사용자의 기본 설정 언어입니다. |
user |
onpremisesuserprincipalname |
사용자의 온-프레미스 UPN입니다. 대체 ID를 사용하면 온-프레미스 특성 userPrincipalName 이 onPremisesUserPrincipalName 특성과 동기화됩니다. 이 특성은 대체 ID가 구성된 경우에만 사용할 수 있습니다. |
user |
mailnickname |
사용자의 메일 애칭입니다. |
user |
extensionattribute1 |
확장 특성 1 |
user |
extensionattribute2 |
확장 특성 2 |
user |
extensionattribute3 |
확장 특성 3 |
user |
extensionattribute4 |
확장 특성 4 |
user |
extensionattribute5 |
확장 특성 5 |
user |
extensionattribute6 |
확장 특성 6 |
user |
extensionattribute7 |
확장 특성 7 |
user |
extensionattribute8 |
확장 특성 8 |
user |
extensionattribute9 |
확장 특성 9 |
user |
extensionattribute10 |
확장 특성 10 |
user |
extensionattribute11 |
확장 특성 11 |
user |
extensionattribute12 |
확장 특성 12 |
user |
extensionattribute13 |
확장 특성 13 |
user |
extensionattribute14 |
확장 특성 14 |
user |
extensionattribute15 |
확장 특성 15 |
user |
othermail |
사용자의 다른 메일입니다. |
user |
country |
사용자의 국가/지역입니다. |
user |
city |
사용자의 구/군/시입니다. |
user |
state |
사용자의 시/도입니다. |
user |
jobtitle |
사용자의 직위입니다. |
user |
employeeid |
사용자의 직원 ID입니다. |
user |
facsimiletelephonenumber |
사용자의 팩스 번호입니다. |
user |
assignedroles |
사용자에게 할당된 앱 역할 목록입니다. |
user |
accountEnabled |
사용자 계정을 사용할 수 있는지 여부를 나타냅니다. |
user |
consentprovidedforminor |
미성년자에 대한 동의가 제공되었는지 여부를 나타냅니다. |
user |
createddatetime |
사용자 계정을 만든 날짜와 시간입니다. |
user |
creationtype |
사용자 계정이 생성된 방식을 나타냅니다. |
user |
lastpasswordchangedatetime |
암호가 변경된 마지막 날짜 및 시간입니다. |
user |
mobilephone |
사용자의 휴대폰입니다. |
user |
officelocation |
사용자의 사무실 위치입니다. |
user |
onpremisesdomainname |
사용자의 온-프레미스 도메인 이름입니다. |
user |
onpremisesimmutableid |
사용자의 온-프레미스 변경할 수 없는 ID입니다. |
user |
onpremisessyncenabled |
온-프레미스 동기화를 사용할 수 있는지 여부를 나타냅니다. |
user |
preferreddatalocation |
사용자의 기본 설정 데이터 위치를 정의합니다. |
user |
proxyaddresses |
사용자의 프록시 주소입니다. |
user |
usertype |
사용자 계정의 유형입니다. |
user |
telephonenumber |
사용자의 회사 또는 사무실 전화입니다. |
application , , resource audience |
displayname |
개체의 표시 이름입니다. |
application , , resource audience |
objectid |
개체의 ID입니다. |
application , , resource audience |
tags |
개체의 서비스 주체 태그입니다. |
company |
tenantcountry |
테넌트 국가/지역입니다. |
사용자 개체의 사용 가능한 다중값 클레임 원본은 Active Directory Connect에서 동기화된 다중값 확장 특성뿐입니다. othermails
및 tags
와 같은 다른 속성은 다중값이지만 원본으로 선택하는 경우에는 하나의 값만 내보내집니다.
제한된 클레임 집합에 있는 클레임의 이름 및 URI는 클레임 형식 요소에 사용할 수 없습니다.
그룹 필터
- 문자열 - GroupFilter
- 데이터 형식 - JSON blob
- 요약 - 그룹 클레임에 포함할 사용자 그룹에 필터를 적용하려면 이 속성을 사용합니다. 이 속성은 토큰 크기를 줄이는 유용한 방법이 될 수 있습니다.
- MatchOn - 필터를 적용할 그룹 특성을 식별합니다. MatchOn 속성을 다음 값 중 하나로 설정합니다.
displayname
- 그룹 표시 이름입니다.samaccountname
- 온-프레미스 SAM 계정 이름입니다.
- 형식 - MatchOn 속성에서 선택한 속성에 적용되는 필터의 형식을 정의합니다. Type 속성을 다음 값 중 하나로 설정합니다.
prefix
- MatchOn 속성이 제공된 Value 속성으로 시작하는 그룹을 포함합니다.suffix
- MatchOn 속성이 제공된 Value 속성으로 끝나는 그룹을 포함합니다.contains
- MatchOn 속성이 제공된 Value 속성을 포함하고 있는 그룹을 포함합니다.
클레임 변환
- 문자열 - ClaimsTransformation
- 데이터 형식 - 하나 이상의 변환 항목을 가진 JSON Blob
- 요약 - 이 속성을 사용하여 클레임 스키마에 지정된 클레임에 대한 출력 데이터를 생성하기 위해 원본 데이터에 일반 변환을 적용합니다.
- ID - TransformationID 클레임 스키마 항목에서 이 변환 항목을 참조합니다. 이 값은 이 정책 내에서 각 변환 항목에 고유해야 합니다.
- TransformationMethod - 클레임에 대한 데이터를 생성하기 위해 수행되는 작업을 식별합니다.
선택한 방법에 따라 입력 및 출력 집합이 예상됩니다. InputClaims, InputParameters 및 OutputClaims 요소를 사용하여 입력과 출력을 정의합니다.
TransformationMethod | 예상 입력 | 예상 출력 | 설명 |
---|---|---|---|
Join | string1, string2, 구분 기호 | 출력 클레임 | 구분 기호를 사용하여 입력 문자열을 조인합니다. 예를 들어 string1:foo@bar.com , string2:sandbox , separator:. 는 output claim:foo@bar.com.sandbox 를 생성합니다. |
ExtractMailPrefix | 이메일 또는 UPN | 추출된 문자열 | 확장 특성 1-15 또는 사용자의 UPN 또는 이메일 주소 값을 저장하는 기타 디렉터리 확장입니다. 예: johndoe@contoso.com . 메일 주소의 로컬 부분을 추출합니다. 예를 들어 mail:foo@bar.com 은 output claim:foo 를 생성합니다. @ 기호가 없으면 원본 입력 문자열이 반환됩니다. |
ToLowercase() | string | 출력 문자열 | 선택한 특성의 문자를 소문자로 변환합니다. |
ToUppercase() | string | 출력 문자열 | 선택한 특성의 문자를 대문자로 변환합니다. |
RegexReplace() | RegexReplace() 변환은 입력 매개 변수로 다음을 수락합니다. - 매개 변수 1: 정규식 입력으로서의 사용자 특성 - 원본을 다중값으로 신뢰하는 옵션 - 정규식 패턴 - 대체 패턴. 교체 패턴에는 정규식 출력 그룹 및 추가 입력 매개 변수를 가리키는 참조와 함께 정적 텍스트 형식이 포함될 수 있습니다. |
- InputClaims - 클레임 스키마 항목의 데이터를 변환에 전달하는 데 사용됩니다. ClaimTypeReferenceId, TransformationClaimType 및 TreatAsMultiValue의 세 가지 특성이 있습니다.
- ClaimTypeReferenceId - 클레임 스키마 항목의 ID 요소와 조인되어 적절한 입력 클레임을 찾습니다.
- TransformationClaimType - 이 입력에 고유 이름을 지정합니다. 이 이름은 변환 방법에 대한 예상 입력 중 하나와 일치해야 합니다.
- TreatAsMultiValue- 변환을 모든 값에 적용해야 하는지 아니면 첫 번째 값에만 적용해야 하는지를 나타내는 부울 플래그입니다. 기본적으로 변환은 다중 값 클레임의 첫 번째 요소에만 적용됩니다. 이 값을 true로 설정하면 모든 값에 적용됩니다. ProxyAddresses 및 그룹은 다중 값으로 처리하려는 입력 클레임에 대한 두 가지 예입니다.
- InputParameters - 상수 값을 변환에 전달합니다. 두 개의 특성인 Value 및 ID가 있습니다.
- Value는 전달할 실제 상수 값입니다.
- ID는 입력에 고유 이름을 지정하는 데 사용됩니다. 이름은 변환 방법에 필요한 입력 중 하나와 일치해야 합니다.
- OutputClaims - 변환에 의해 생성된 데이터를 보관하고 클레임 스키마 항목에 연결합니다. 두 개의 특성인 ClaimTypeReferenceId 및 TransformationClaimType이 있습니다.
- ClaimTypeReferenceId가 클레임 스키마 항목의 ID와 조인되어 적절한 출력 클레임을 찾습니다.
- TransformationClaimType은 출력에 고유 이름을 지정하는 데 사용됩니다. 이름은 변환 방법에 필요한 출력 중 하나와 일치해야 합니다.
예외 및 제한 사항
SAML NameID 및 UPN - NameID 및 UPN 값을 소싱하는 특성과 허용되는 클레임 변환은 제한됩니다.
원본 | ID | 설명 |
---|---|---|
user |
mail |
사용자의 전자 메일 주소입니다. |
user |
userprincipalname |
사용자의 사용자 계정 이름입니다. |
user |
onpremisessamaccountname |
온-프레미스 SAM 계정 이름 |
user |
employeeid |
사용자의 직원 ID입니다. |
user |
telephonenumber |
사용자의 회사 또는 사무실 전화입니다. |
user |
extensionattribute1 |
확장 특성 1 |
user |
extensionattribute2 |
확장 특성 2 |
user |
extensionattribute3 |
확장 특성 3 |
user |
extensionattribute4 |
확장 특성 4 |
user |
extensionattribute5 |
확장 특성 5 |
user |
extensionattribute6 |
확장 특성 6 |
user |
extensionattribute7 |
확장 특성 7 |
user |
extensionattribute8 |
확장 특성 8 |
user |
extensionattribute9 |
확장 특성 9 |
user |
extensionattribute10 |
확장 특성 10 |
user |
extensionattribute11 |
확장 특성 11 |
user |
extensionattribute12 |
확장 특성 12 |
user |
extensionattribute13 |
확장 특성 13 |
user |
extensionattribute14 |
확장 특성 14 |
User |
extensionattribute15 |
확장 특성 15 |
다음 표에 나열된 변환 메서드는 SAML NameID에 사용할 수 있습니다.
TransformationMethod | 제한 사항 |
---|---|
ExtractMailPrefix | 없음 |
Join | 조인되는 접미사는 리소스 테넌트의 확인된 도메인이어야 합니다. |
애플리케이션 ID가 있는 발급자
- 문자열 - issuerWithApplicationId
- 데이터 형식 - 부울(True 또는 False)
True
로 설정하면 애플리케이션 ID가 정책의 영향을 받는 토큰의 발급자 클레임에 추가됩니다.False
로 설정하면 애플리케이션 ID가 정책의 영향을 받는 토큰의 발급자 클레임에 추가되지 않습니다. (기본값)
- 요약 - 애플리케이션 ID를 발급자 클레임에 포함할 수 있습니다. 동일한 애플리케이션의 여러 인스턴스에 각 인스턴스에 대한 고유한 클레임 값이 있는지 확인합니다. 애플리케이션에 대해 사용자 지정 서명 키가 구성되지 않은 경우 이 설정은 무시됩니다.
대상 그룹 재정의
- 문자열 - audienceOverride
- 데이터 형식 - 문자열
- 요약 - 애플리케이션에 전송된 대상 그룹 클레임을 재정의할 수 있습니다. 제공되는 값은 유효한 절대 URI여야 합니다. 애플리케이션에 대해 사용자 지정 서명 키가 구성되지 않은 경우 이 설정은 무시됩니다.
다음 단계
- 확장 특성에 대해 자세히 알아보려면 클레임의 디렉터리 확장 특성을 참조하세요.