Delen via

Aanpassing van claims met behulp van een beleid

  • Artikel

Een beleidsobject vertegenwoordigt een set regels die worden afgedwongen voor afzonderlijke toepassingen of voor alle toepassingen in een organisatie. Elk beleidstype heeft een unieke structuur met een set eigenschappen die vervolgens worden toegepast op objecten waaraan ze zijn toegewezen.

Microsoft Entra ID ondersteunt twee manieren om claims aan te passen met Behulp van Microsoft Graph/PowerShell voor uw toepassingen:

Aangepast claimbeleid en claimtoewijzingsbeleid zijn twee verschillende typen beleidsobjecten die de claims wijzigen die zijn opgenomen in tokens.

Met aangepast claimbeleid (preview) kunnen beheerders aanvullende claims voor hun toepassingen aanpassen. Het kan door elkaar worden gebruikt met de claimsaanpassing die via het Microsoft Entra-beheercentrum wordt aangeboden, zodat beheerders claims kunnen beheren via het Microsoft Entra-beheercentrum of MS Graph/PowerShell. Zowel aangepast claimsbeleid als het aanpassen van claims die via het Microsoft Entra-beheercentrum worden aangeboden, gebruiken hetzelfde onderliggende beleid om extra claims voor de service-principals te configureren. Beheerders kunnen echter slechts één aangepast claimbeleid (preview) per service-principal configureren. Met PUT de methode kunnen beheerders een bestaand beleidsobject maken of vervangen door de waarden die zijn doorgegeven in de hoofdtekst van de aanvraag, terwijl PATCH beheerders het beleidsobject kunnen bijwerken met de waarden die worden doorgegeven in de aanvraagbody. Meer informatie over het configureren en beheren van aanvullende claims met behulp van aangepast claimbeleid.

Met claimtoewijzingsbeleid kunnen beheerders ook aanvullende claims voor hun toepassingen aanpassen. Beheerders kunnen één claimtoewijzingsbeleid configureren en toewijzen aan meerdere toepassingen in hun tenant. Als een beheerder ervoor kiest om claimstoewijzingsbeleid te gebruiken om extra claims voor hun toepassingen te beheren, kunnen ze de claims niet bewerken of bijwerken op de blade claimsaanpassing in het Microsoft Entra-beheercentrum voor deze toepassingen. Lees hier hoe u aanvullende claims configureert en beheert met behulp van claimtoewijzingsbeleid.

Notitie

Claimtoewijzingsbeleid vervangt zowel aangepast claimsbeleid als de aanpassing van claims die worden aangeboden via het Microsoft Entra-beheercentrum. Het aanpassen van claims voor een toepassing met behulp van het claimtoewijzingsbeleid betekent dat tokens die voor die toepassing worden uitgegeven, de configuratie in aangepast claimbeleid of de configuratie op de blade voor het aanpassen van claims in het Microsoft Entra-beheercentrum negeren. Zie Claims aanpassen die zijn uitgegeven in het token voor bedrijfstoepassingen voor meer informatie over het aanpassen van claims.

Claimsets

De volgende tabel bevat de sets claims die definiëren hoe en wanneer ze worden gebruikt in tokens.

Claimset Beschrijving
Kernclaimset Aanwezig in elk token, ongeacht het beleid. Deze claims worden ook beschouwd als beperkt en kunnen niet worden gewijzigd.
Basisclaimset Bevat de claims die standaard zijn opgenomen voor tokens, naast de kernclaimset. U kunt basisclaims weglaten of wijzigen met behulp van het aangepaste claimbeleid en claimtoewijzingsbeleid.
Beperkte claimset Kan niet worden gewijzigd met behulp van een beleid. De gegevensbron kan niet worden gewijzigd en er wordt geen transformatie toegepast bij het genereren van deze claims.

Beperkte claimset JSON Web Token (JWT)

De volgende claims bevinden zich in de beperkte claim die is ingesteld voor een JWT.

  • .
  • _claim_names
  • _claim_sources
  • aai
  • access_token
  • account_type
  • acct
  • acr
  • acrs
  • actor
  • actortoken
  • ageGroup
  • aio
  • altsecid
  • amr
  • app_chain
  • app_displayname
  • app_res
  • appctx
  • appctxsender
  • appid
  • appidacr
  • assertion
  • at_hash
  • aud
  • auth_data
  • auth_time
  • authorization_code
  • azp
  • azpacr
  • bk_claim
  • bk_enclave
  • bk_pub
  • brk_client_id
  • brk_redirect_uri
  • c_hash
  • ca_enf
  • ca_policy_result
  • capolids
  • capolids_latebind
  • cc
  • cert_token_use
  • child_client_id
  • child_redirect_uri
  • client_id
  • client_ip
  • cloud_graph_host_name
  • cloud_instance_host_name
  • cloud_instance_name
  • CloudAssignedMdmId
  • cnf
  • code
  • controls
  • controls_auds
  • credential_keys
  • csr
  • csr_type
  • ctry
  • deviceid
  • dns_names
  • domain_dns_name
  • domain_netbios_name
  • e_exp
  • email
  • endpoint
  • enfpolids
  • exp
  • expires_on
  • extn. as prefix
  • fido_auth_data
  • fido_ver
  • fwd
  • fwd_appidacr
  • grant_type
  • graph
  • group_sids
  • groups
  • hasgroups
  • hash_alg
  • haswids
  • home_oid
  • home_puid
  • home_tid
  • iat
  • identityprovider
  • idp
  • idtyp
  • in_corp
  • instance
  • inviteTicket
  • ipaddr
  • isbrowserhostedapp
  • iss
  • isViral
  • jwk
  • key_id
  • key_type
  • login_hint
  • mam_compliance_url
  • mam_enrollment_url
  • mam_terms_of_use_url
  • mdm_compliance_url
  • mdm_enrollment_url
  • mdm_terms_of_use_url
  • msgraph_host
  • msproxy
  • nameid
  • nbf
  • netbios_name
  • nickname
  • nonce
  • oid
  • on_prem_id
  • onprem_sam_account_name
  • onprem_sid
  • openid2_id
  • origin_header
  • password
  • platf
  • polids
  • pop_jwk
  • preferred_username
  • previous_refresh_token
  • primary_sid
  • prov_data
  • puid
  • pwd_exp
  • pwd_url
  • rdp_bt
  • redirect_uri
  • refresh_token
  • refresh_token_issued_on
  • refreshtoken
  • request_nonce
  • resource
  • rh
  • role
  • roles
  • rp_id
  • rt_type
  • scope
  • scp
  • secaud
  • sid
  • sid
  • signature
  • signin_state
  • source_anchor
  • src1
  • src2
  • sub
  • target_deviceid
  • tbid
  • tbidv2
  • tenant_ctry
  • tenant_display_name
  • tenant_id
  • tenant_region_scope
  • tenant_region_sub_scope
  • thumbnail_photo
  • tid
  • tokenAutologonEnabled
  • trustedfordelegation
  • ttr
  • unique_name
  • upn
  • user_agent
  • user_setting_sync_url
  • username
  • uti
  • ver
  • verified_primary_email
  • verified_secondary_email
  • vnet
  • vsm_binding_key
  • wamcompat_client_info
  • wamcompat_id_token
  • wamcompat_scopes
  • wids
  • win_ver
  • x5c_ca
  • xcb2b_rclient
  • xcb2b_rcloud
  • xcb2b_rtenant
  • ztdid

Notitie

Elke claim die begint met xms_ , is beperkt.

Beperkte SAML-claimset

De volgende tabel bevat de SAML-claims die zich in de beperkte claimset bevinden.

Type beperkte claim (URI):

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
  • http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
  • http://schemas.microsoft.com/2014/03/psso
  • http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
  • http://schemas.microsoft.com/claims/authnmethodsreferences
  • http://schemas.microsoft.com/claims/groups.link
  • http://schemas.microsoft.com/identity/claims/accesstoken
  • http://schemas.microsoft.com/identity/claims/acct
  • http://schemas.microsoft.com/identity/claims/agegroup
  • http://schemas.microsoft.com/identity/claims/aio
  • http://schemas.microsoft.com/identity/claims/identityprovider
  • http://schemas.microsoft.com/identity/claims/objectidentifier
  • http://schemas.microsoft.com/identity/claims/openid2_id
  • http://schemas.microsoft.com/identity/claims/puid
  • http://schemas.microsoft.com/identity/claims/scope
  • http://schemas.microsoft.com/identity/claims/tenantid
  • http://schemas.microsoft.com/identity/claims/xms_et
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor

Deze claims worden standaard beperkt, maar worden niet beperkt als u een aangepaste ondertekeningssleutel hebt. Vermijd instelling acceptMappedClaims in het app-manifest.

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

Deze claims zijn standaard beperkt, maar zijn niet beperkt als u een aangepaste ondertekeningssleutel hebt:

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Eigenschappen van het beleid dat wordt gebruikt voor het aanpassen van claims

Als u de claims wilt beheren die zijn opgenomen en waar de gegevens vandaan komen, gebruikt u de eigenschappen van het beleid voor het aanpassen van claims. Zonder beleid geeft het systeem tokens met de volgende claims uit:

  • De kernclaimset.
  • De basisclaimset.
  • Eventuele optionele claims die de toepassing heeft gekozen om te ontvangen.

Notitie

Claims in de kernclaimset zijn aanwezig in elk token, ongeacht waarop deze eigenschap is ingesteld.

String Gegevenstype Samenvatting
IncludeBasicClaimSet Booleaanse waarde (Waar of Onwaar) Bepaalt of de basisclaimset is opgenomen in tokens die worden beïnvloed door dit beleid. Als deze optie is ingesteld op Waar, worden alle claims in de basisclaimset verzonden in tokens die worden beïnvloed door het beleid. Als deze optie is ingesteld op Onwaar, bevinden claims in de basisclaimset zich niet in de tokens, tenzij ze afzonderlijk worden toegevoegd aan de eigenschap claimschema van hetzelfde beleid.
ClaimsSchema JSON-blob met een of meer claimschemavermeldingen Definieert welke claims aanwezig zijn in de tokens die worden beïnvloed door het beleid, naast de basisclaimset en de kernclaimset. Voor elke claimschemavermelding die in deze eigenschap is gedefinieerd, is bepaalde informatie vereist. Geef op waar de gegevens vandaan komen (waarde, bron-/id-paar of bron-/extensionID-paar) en claimtype, dat wordt verzonden als (JWTClaimType of SamlClaimType).

Invoerelementen voor claimschema's

  • Waarde : definieert een statische waarde als de gegevens die moeten worden verzonden in de claim.
  • SAMLNameForm - Definieert de waarde voor het kenmerk NameFormat voor deze claim. Indien aanwezig, zijn de toegestane waarden:
    • urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    • urn:oasis:names:tc:SAML:2.0:attrname-format:basic
  • Bron-/id-paar - Definieert waar de gegevens in de claim vandaan komen.
  • Bron-/ExtensionID-paar : definieert het kenmerk van de mapextensie waaruit de gegevens in de claim worden opgehaald. Zie Directory-extensiekenmerken gebruiken in claims voor meer informatie.
  • Claimtype : de elementen JwtClaimType en SamlClaimType definiëren welke claim deze claimschemavermelding verwijst.
    • Het JwtClaimType moet de naam bevatten van de claim die moet worden verzonden in JWT's.
    • Het SamlClaimType moet de URI van de claim bevatten die moet worden verzonden in SAML-tokens.

Stel het bronelement in op een van de waarden in de volgende tabel.

Bronwaarde Gegevens in claim
user Eigenschap van het object Gebruiker.
application Eigenschap van de service-principal van de toepassing (client).
resource Eigenschap van de resourceservice-principal.
audience Eigenschap van de service-principal die de doelgroep van het token is (de client of resourceservice-principal).
company Eigenschap van het bedrijfsobject van de resourcetenant.
transformation Claimtransformatie. Wanneer u deze claim gebruikt, moet het TransformationID-element worden opgenomen in de claimdefinitie. Het TransformationID-element moet overeenkomen met het id-element van de transformatievermelding in de eigenschap ClaimsTransformation waarmee wordt gedefinieerd hoe de gegevens voor de claim worden gegenereerd.

Het id-element identificeert de eigenschap op de bron die de waarde voor de claim levert. De volgende tabel bevat de waarden van het id-element voor elke waarde van bron.

Bron Id Beschrijving
user surname De familienaam van de gebruiker.
user givenname De voornaam van de gebruiker.
user displayname De weergavenaam van de gebruiker.
user objectid De object-id van de gebruiker.
user mail Het e-mailadres van de gebruiker.
user userprincipalname De principal-naam van de gebruiker.
user department De afdeling van de gebruiker.
user onpremisessamaccountname De on-premises SAM-accountnaam van de gebruiker.
user netbiosname De NetBios-naam van de gebruiker.
user dnsdomainname De DNS-domeinnaam van de gebruiker.
user onpremisesecurityidentifier De on-premises beveiligings-id van de gebruiker.
user companyname De naam van de organisatie van de gebruiker.
user streetaddress Het adres van de gebruiker.
user postalcode De postcode van de gebruiker.
user preferredlanguage De voorkeurstaal van de gebruiker.
user onpremisesuserprincipalname De on-premises UPN van de gebruiker. Wanneer u een alternatieve id gebruikt, wordt het on-premises kenmerk userPrincipalName gesynchroniseerd met het onPremisesUserPrincipalName kenmerk. Dit kenmerk is alleen beschikbaar wanneer alternatieve id is geconfigureerd.
user mailnickname De bijnaam van de e-mail van de gebruiker.
user extensionattribute1 Extensiekenmerk 1.
user extensionattribute2 Extensiekenmerk 2.
user extensionattribute3 Extensiekenmerk 3.
user extensionattribute4 Extensiekenmerk 4.
user extensionattribute5 Extensiekenmerk 5.
user extensionattribute6 Extensiekenmerk 6.
user extensionattribute7 Extensiekenmerk 7.
user extensionattribute8 Extensiekenmerk 8.
user extensionattribute9 Extensiekenmerk 9.
user extensionattribute10 Extensiekenmerk 10.
user extensionattribute11 Extensiekenmerk 11.
user extensionattribute12 Extensiekenmerk 12.
user extensionattribute13 Extensiekenmerk 13.
user extensionattribute14 Extensiekenmerk 14.
user extensionattribute15 Extensiekenmerk 15.
user othermail De andere e-mail van de gebruiker.
user country Het land/de regio van de gebruiker.
user city De plaats van de gebruiker.
user state De staat/provincie van de gebruiker.
user jobtitle De functie van de gebruiker.
user employeeid De werknemer-id van de gebruiker.
user facsimiletelephonenumber Het telefoonnummer van de gebruiker.
user assignedroles De lijst met app-rollen die aan de gebruiker zijn toegewezen.
user accountEnabled Geeft aan of het gebruikersaccount is ingeschakeld.
user consentprovidedforminor Geeft aan of er toestemming is gegeven voor een secundaire gebruiker.
user createddatetime De datum en tijd waarop het gebruikersaccount is gemaakt.
user creationtype Geeft aan hoe het gebruikersaccount is gemaakt.
user lastpasswordchangedatetime De laatste datum en tijd waarop het wachtwoord is gewijzigd.
user mobilephone De mobiele telefoon van de gebruiker.
user officelocation De kantoorlocatie van de gebruiker.
user onpremisesdomainname De on-premises domeinnaam van de gebruiker.
user onpremisesimmutableid De on-premises onveranderbare id van de gebruiker.
user onpremisessyncenabled Geeft aan of on-premises synchronisatie is ingeschakeld.
user preferreddatalocation Definieert de voorkeursgegevenslocatie van de gebruiker.
user proxyaddresses De proxyadressen van de gebruiker.
user usertype Het type gebruikersaccount.
user telephonenumber De zakelijke of kantoortelefoons van de gebruiker.
application, , resourceaudience displayname De weergavenaam van het object.
application, , resourceaudience objectid De id van het object.
application, , resourceaudience tags De service-principaltag van het object.
company tenantcountry Het land/de regio van de tenant.

De enige beschikbare claimbronnen met meerdere waarden voor een gebruikersobject zijn extensiekenmerken met meerdere waarden die zijn gesynchroniseerd vanuit Active Directory Connect. Andere eigenschappen, zoals othermails en tags, zijn meerdere waarden, maar er wordt slechts één waarde verzonden wanneer deze als bron wordt geselecteerd.

Namen en URI's van claims in de beperkte claimset kunnen niet worden gebruikt voor de claimtype-elementen.

Groepfilter

  • Tekenreeks - GroupFilter
  • Gegevenstype: - JSON-blob
  • Samenvatting : gebruik deze eigenschap om een filter toe te passen op de groepen van de gebruiker die moeten worden opgenomen in de groepsclaim. Deze eigenschap kan een handig middel zijn om de tokengrootte te verkleinen.
  • MatchOn: - Identificeert het groepskenmerk waarop het filter moet worden toegepast. Stel de eigenschap MatchOn in op een van de volgende waarden:
    • displayname - De weergavenaam van de groep.
    • samaccountname - De naam van het on-premises SAM-account.
  • Type : definieert het type filter dat is toegepast op het kenmerk dat is geselecteerd door de eigenschap MatchOn . Stel de eigenschap Type in op een van de volgende waarden:
    • prefix - Neem groepen op waarbij de eigenschap MatchOn begint met de opgegeven waarde-eigenschap .
    • suffix Neem groepen op waarbij de eigenschap MatchOn eindigt met de opgegeven waarde-eigenschap .
    • contains - Neem groepen op waarin de eigenschap MatchOn de opgegeven waarde bevat.

Claimstransformatie

  • Tekenreeks - ClaimsTransformation
  • Gegevenstype - JSON-blob, met een of meer transformatievermeldingen
  • Samenvatting : gebruik deze eigenschap om algemene transformaties toe te passen op brongegevens om de uitvoergegevens te genereren voor claims die zijn opgegeven in het claimschema.
  • Id : verwijst naar de transformatievermelding in de vermelding TransformationID Claims Schema. Deze waarde moet uniek zijn voor elke transformatievermelding binnen dit beleid.
  • TransformationMethod : identificeert de bewerking die wordt uitgevoerd om de gegevens voor de claim te genereren.

Op basis van de gekozen methode wordt een set invoer en uitvoer verwacht. Definieer de invoer en uitvoer met behulp van de elementen InputClaims, InputParameters en OutputClaims.

TransformationMethod Verwachte invoer Verwachte uitvoer Beschrijving
Join tekenreeks1, tekenreeks2, scheidingsteken uitvoerclaim Hiermee worden invoertekenreeksen samengevoegd met behulp van een scheidingsteken ertussen. Bijvoorbeeld tekenreeks1:foo@bar.com , tekenreeks2:sandbox , scheidingsteken:. resulteert in uitvoerclaim:foo@bar.com.sandbox.
ExtractMailPrefix E-mail of UPN geëxtraheerde tekenreeks Extensiekenmerken 1-15 of andere directory-extensies, waarmee een UPN- of e-mailadreswaarde voor de gebruiker wordt opgeslagen. Bijvoorbeeld: johndoe@contoso.com. Extraheert het lokale deel van een e-mailadres. Bijvoorbeeld: e-mail:foo@bar.com resulteert in uitvoerclaim:foo. Als er geen @-teken aanwezig is, wordt de oorspronkelijke invoertekenreeks geretourneerd.
ToLowercase() tekenreeks uitvoertekenreeks Converteert de tekens van het geselecteerde kenmerk naar kleine letters.
ToUppercase() tekenreeks uitvoertekenreeks Converteert de tekens van het geselecteerde kenmerk naar hoofdletters.
RegexReplace() RegexReplace() transformatie accepteert als invoerparameters:
- Parameter 1: een gebruikerskenmerk als invoer van reguliere expressie
- Een optie om de bron te vertrouwen als meerdere waarden
- Patroon van reguliere expressie
- Vervangingspatroon Het vervangende patroon kan een statische tekstindeling bevatten, samen met een verwijzing die verwijst naar regex-uitvoergroepen en meer invoerparameters.
  • InputClaims : wordt gebruikt om de gegevens van een claimschemavermelding door te geven aan een transformatie. Het heeft drie kenmerken: ClaimTypeReferenceId, TransformationClaimType en TreatAsMultiValue.
    • ClaimTypeReferenceId - Toegevoegd aan het id-element van de vermelding van het claimschema om de juiste invoerclaim te vinden.
    • TransformationClaimType geeft een unieke naam voor deze invoer. Deze naam moet overeenkomen met een van de verwachte invoerwaarden voor de transformatiemethode.
    • TreatAsMultiValue is een Booleaanse vlag die aangeeft of de transformatie moet worden toegepast op alle waarden of alleen op de eerste. Transformaties worden standaard alleen toegepast op het eerste element in een claim met meerdere waarden. Als u deze waarde instelt op true, wordt deze toegepast op alles. ProxyAddresses en groepen zijn twee voorbeelden voor invoerclaims die u waarschijnlijk wilt behandelen als een claim met meerdere waarden.
  • InputParameters : geeft een constante waarde door aan een transformatie. Het heeft twee kenmerken: waarde en id.
    • Waarde is de werkelijke constante waarde die moet worden doorgegeven.
    • Id wordt gebruikt om de invoer een unieke naam te geven. Deze naam moet overeenkomen met een van de verwachte invoerwaarden voor de transformatiemethode.
  • OutputClaims : bevat de gegevens die zijn gegenereerd door een transformatie en koppelt deze aan een claimschemavermelding. Het heeft twee kenmerken: ClaimTypeReferenceId en TransformationClaimType.
    • ClaimTypeReferenceId is gekoppeld aan de id van de claimschemavermelding om de juiste uitvoerclaim te vinden.
    • TransformationClaimType wordt gebruikt om de uitvoer een unieke naam te geven. Deze naam moet overeenkomen met een van de verwachte uitvoerwaarden voor de transformatiemethode.

Uitzonderingen en beperkingen

SAML NameID en UPN : de kenmerken waaruit u de NameID- en UPN-waarden opgeeft, en de claimstransformaties die zijn toegestaan, zijn beperkt.

Bron Id Beschrijving
user mail Het e-mailadres van de gebruiker.
user userprincipalname De principal-naam van de gebruiker.
user onpremisessamaccountname Naam van on-premises Sam-account
user employeeid De werknemer-id van de gebruiker.
user telephonenumber De zakelijke of kantoortelefoons van de gebruiker.
user extensionattribute1 Extensiekenmerk 1.
user extensionattribute2 Extensiekenmerk 2.
user extensionattribute3 Extensiekenmerk 3.
user extensionattribute4 Extensiekenmerk 4.
user extensionattribute5 Extensiekenmerk 5.
user extensionattribute6 Extensiekenmerk 6.
user extensionattribute7 Extensiekenmerk 7.
user extensionattribute8 Extensiekenmerk 8.
user extensionattribute9 Extensiekenmerk 9.
user extensionattribute10 Extensiekenmerk 10.
user extensionattribute11 Extensiekenmerk 11.
user extensionattribute12 Extensiekenmerk 12.
user extensionattribute13 Extensiekenmerk 13.
user extensionattribute14 Extensiekenmerk 14.
User extensionattribute15 Extensiekenmerk 15.

De transformatiemethoden die in de volgende tabel worden vermeld, zijn toegestaan voor SAML NameID.

TransformationMethod Beperkingen
ExtractMailPrefix Geen
Join Het achtervoegsel dat wordt toegevoegd, moet een geverifieerd domein van de resourcetenant zijn.

Verlener met toepassings-id

  • Tekenreeks - issuerWithApplicationId
  • Gegevenstype - Booleaanse waarde (Waar of Onwaar)
    • Als dit is ingesteld op True, wordt de toepassings-id toegevoegd aan de claim van de verlener in tokens die worden beïnvloed door het beleid.
    • Als dit is ingesteld op False, wordt de toepassings-id niet toegevoegd aan de claim van de verlener in tokens die worden beïnvloed door het beleid. (standaard)
  • Samenvatting : hiermee kan de toepassings-id worden opgenomen in de claim van de verlener. Zorgt ervoor dat meerdere exemplaren van dezelfde toepassing een unieke claimwaarde hebben voor elk exemplaar. Deze instelling wordt genegeerd als een aangepaste ondertekeningssleutel niet is geconfigureerd voor de toepassing.

Overschrijven van de doelgroep

  • Tekenreeks - audienceOverride
  • Gegevenstype - Tekenreeks
  • Samenvatting : hiermee kunt u de doelgroepclaim die naar de toepassing is verzonden overschrijven. De opgegeven waarde moet een geldige absolute URI zijn. Deze instelling wordt genegeerd als geen aangepaste ondertekeningssleutel is geconfigureerd voor de toepassing.

Volgende stappen