OpenID Connect-anspråksmappning
Gäller för: 
arbetsstyrkeklienter 
externa klienter (lära dig mer)
I OpenID Connect-protokollet används anspråk för att kommunicera information om slutanvändaren och innehåller information om en användare som en identitetsprovider anger i den ID-token som de utfärdar för användaren. ID-token är en säkerhetstoken som innehåller anspråk om slutanvändaren. Dessa ID-tokenanspråk används för att unikt identifiera och ange information om användaren under registreringen. Dessa informationsdelar lagras i motsvarande användarattribut i användarens profil i din katalog.
Om du vill konfigurera anspråksmappning måste du skapa en identitetsprovider (IdP) i din externa Microsoft Entra-ID-klientorganisation. IdP-konfigurationen innehåller avsnittet anspråksmappning där du kan konfigurera standardanspråken för OpenID Connect (OIDC) med de anspråk som din identitetsprovider tillhandahåller i ID-token.
Anspråks- och attributmappningar
Hitta listan över openID Connect-standardanspråk och motsvarande användarflödesattribut. Du kan mappa till dina IdP-anspråk med OIDC-standardanspråken i följande tabell:
| Standardanspråk för OIDC | Attribut för användarflöde | Beskrivning |
|---|---|---|
| under | Ej tillämpligt | Ämne – Identifierare för slutanvändaren på utfärdaren. |
| Namn | Visningsnamn | Fullständigt namn i visningsbar form inklusive alla namndelar, eventuellt inklusive titlar och suffix, ordnade enligt slutanvändarens nationella inställningar. |
| given_name | Förnamn | Slutanvändarens förnamn eller tilltalsnamn. |
| efternamn | Efternamn | Slutanvändarens efternamn eller efternamn. |
| e-post (krävs) | E-post | Önskad e-postadress. |
| e-post bekräftad | Ej tillämpligt | I den mottagna ID-token är värdet för det här anspråket sant om slutanvändarens e-postadress har verifierats av identitetsleverantören, och annars falskt. När det här anspråksvärdet är sant innebär det att din identitetsprovider vidtog positiva åtgärder för att säkerställa att den här e-postadressen kontrollerades av slutanvändaren när verifieringen utfördes. Om det här anspråksvärdet är falskt eller inte har mappats till något anspråk från identitetsprovidern kan användaren inte skapa ett konto. En verifierad e-postadress krävs för att skapa ett konto. Om e-postmeddelandet saknas eller inte verifieras visas ett felmeddelande. |
| telefonnummer | Telefonnummer | Påståendet tillhandahåller användarens telefonnummer. |
| telefonnummer verifierat | Ej tillämpligt | I den mottagna ID-token är värdet för det här anspråket sant om slutanvändarens telefonnummer har verifierats; annars falskt. När det här anspråksvärdet är sant innebär det att din identitetsprovider vidtog positiva åtgärder för att verifiera telefonnumret. |
| gatuadress | Gatuadress | Fullständig postadress, formaterad för visning eller användning på en e-postetikett. I tokensvaret kan det här fältet innehålla flera rader, avgränsade med nya rader. Nya linjer kan representeras antingen som ett vagnretur/radmatningspar ("\r\n") eller som ett enda radmatningstecken ("\n"). |
| lokalitet | Stad | Stad eller ort. |
| region | Delstat eller provins | Delstat, provins, prefektur eller region. |
| postnummer | Postnummer eller ZIP-kod | Postnummer eller zip-kod. |
| land | Ett land eller en region | Landsnamn |
Not
Om du vill samla in användardata från den ID-token som utfärdats av identitetsprovidern måste du göra två saker. Först mappar du dina externa identitetsprovideranspråk med OIDC-standardanspråken. För det andra aktiverar du motsvarande användarflödesattribut i användarflödet, som identitetsprovidern är kopplad till.
Granska identitetsleverantören
När du har lagt till anspråksmappningen kan du granska OIDC-konfigurationen på fliken Granska. Fliken Granska visar anspråkslistan och motsvarande användarflödesattribut som du har mappat till dina IdP-anspråk.
