Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Платформа удостоверений Майкрософт поддерживает единый вход (SSO) с большинством предварительно интегрированных приложений в галерее приложений и пользовательских приложениях. Когда пользователь проходит проверку подлинности в приложении через платформа удостоверений Майкрософт с помощью протокола SAML 2.0, маркер отправляется приложению. Приложение проверяет и использует маркер для входа пользователя вместо запроса имени пользователя и пароля.
Эти токены SAML содержат фрагменты сведений о пользователе, известные как утверждения. Утверждение представляет собой информацию, предложенную поставщиком удостоверений, о пользователе в составе токена, выпущенного для этого пользователя. В токене SAML данные утверждений обычно содержатся в инструкции атрибута SAML. Уникальный идентификатор пользователя обычно представлен в субъекте SAML, который также называется идентификатором имени (nameID).
По умолчанию платформа удостоверений Майкрософт выдает токен SAML приложению, которое содержит утверждение со значением имени пользователя (также известного как имя участника-пользователя), которое может однозначно идентифицировать пользователя. Маркер SAML также содержит другие утверждения, которые включают адрес электронной почты пользователя, имя и фамилию пользователя.
Просмотр или изменение утверждений
Чтобы просмотреть или изменить утверждения, выданные в токене SAML для приложения:
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к Entra ID>Enterprise-приложениям>Все приложения.
- Выберите приложение, выберите единый вход в меню слева и выберите пункт "Изменить " в разделе "Атрибуты и утверждения ".
Возможно, потребуется изменить утверждения, выданные в токене SAML по следующим причинам:
- Приложению требуется
NameIdentifiernameID, чтобы приложение не было именем пользователя (или именем участника-пользователя). - Приложение требует другого набора URI утверждений или значений утверждений.
Измените nameID.
Чтобы изменить утверждение значения идентификатора имени, выполните следующие действия.
- Откройте страницу значения идентификатора имени.
- Выберите атрибут или преобразование, которое необходимо применить к атрибуту. При необходимости можно указать формат, который должен
nameIDиметь утверждение.
Формат NameID
Если запрос SAML содержит элемент NameIDPolicy с определенным форматом, платформа удостоверений Майкрософт учитывает формат в запросе.
Если запрос SAML не содержит элемент дляNameIDPolicy, платформа удостоверений Майкрософт выдает nameID указанный формат. Если формат не указан, платформа удостоверений Майкрософт использует исходный формат по умолчанию, связанный с выбранным источником утверждений. Если преобразование приводит к значению NULL или недопустимому значению, идентификатор Microsoft Entra отправляет постоянный парный идентификатор в поле nameID.
В раскрывающемся списке " Выбор идентификатора имени" выберите один из вариантов в следующей таблице.
nameID формат |
Описание |
|---|---|
| По умолчанию | платформа удостоверений Майкрософт использует исходный формат по умолчанию. |
| Упорный | платформа удостоверений Майкрософт используется Persistent в nameID качестве формата. |
| Адрес электронной почты | платформа удостоверений Майкрософт используется EmailAddress в nameID качестве формата. |
платформа удостоверений Майкрософт используется Unspecified в nameID качестве формата. |
|
| Квалифицированное имя домена Windows | платформа удостоверений Майкрософт использует WindowsDomainQualifiedName формат. |
nameID Временные также поддерживаются, но недоступны в раскрывающемся списке и не могут быть настроены на стороне Azure. Дополнительные сведения об атрибуте см. в статье NameIDPolicy SAML единого входа.
Атрибуты
Выберите нужный источник для NameIdentifier утверждения (или nameID). Вы можете выбрать из параметров в следующей таблице.
| Имя | Описание |
|---|---|
Email |
Адрес электронной почты пользователя. |
userprincipalName |
Имя участника-пользователя (UPN) этого пользователя. |
onpremisessamaccountname |
Имя учетной записи SAM, которое было синхронизировано из локального идентификатора Microsoft Entra. |
objectid |
Идентификатор объекта пользователя в идентификаторе Microsoft Entra. |
employeeid |
Идентификатор сотрудника пользователя. |
Directory extensions |
Расширения каталогов , синхронизированные из локальной службы Active Directory с помощью Службы синхронизации Microsoft Entra Connect. |
Extension Attributes 1-15 |
Атрибуты локального расширения, используемые для расширения схемы Microsoft Entra. |
pairwiseid |
Постоянная форма идентификатора пользователя. |
Дополнительные сведения о значениях идентификаторов см. в таблице, которая содержит допустимые значения идентификаторов для каждого источника далее на этой странице.
Любое константное (статическое) значение может быть назначено любому утверждению. Чтобы назначить константное значение, выполните следующие действия.
- В колонке "Атрибуты и утверждения" выберите необходимое утверждение, которое требуется изменить.
- Введите константное значение без кавычки в атрибуте Source в вашей организации и нажмите кнопку "Сохранить". Отображается константное значение.
Расширения схемы каталогов
Вы также можете настроить атрибуты расширения схемы каталогов как не условные или условные атрибуты. Выполните следующие действия, чтобы настроить атрибут расширения схемы каталога с одним или несколькими значениями в качестве утверждения:
- В колонке "Атрибуты и утверждения" выберите "Добавить новое утверждение " или измените существующее утверждение.
- Выберите исходное приложение из средства выбора приложений, где определено свойство расширения.
- Выберите «Добавить», чтобы добавить выбранное в утверждения.
- Нажмите кнопку "Сохранить", чтобы зафиксировать изменения.
Специальные преобразования утверждений
Вы можете использовать следующие специальные функции преобразований утверждений.
| Функция | Описание |
|---|---|
| ExtractMailPrefix() | Удаляет суффикс домена из адреса электронной почты или имени участника-пользователя. Эта функция извлекает только первую часть передаваемого имени пользователя (например, "joe_smith" вместо [email protected]). |
| ToLower() | Преобразует символы выбранного атрибута в символы нижнего регистра. |
| ToUpper() | Преобразует символы выбранного атрибута в символы верхнего регистра. |
Добавление утверждений для конкретного приложения
Чтобы добавить утверждения для конкретного приложения, выполните следующие действия.
- В колонке "Атрибуты и утверждения" выберите "Добавить новое утверждение ", чтобы открыть страницу "Управление утверждениями пользователей ".
- Введите имя утверждений. Значение необязательно строго соответствует шаблону URI согласно спецификации SAML. Если требуется шаблон URI, его можно указать в поле Namespace.
- Выберите источник, где утверждение получит свое значение. Вы можете выбрать атрибут пользователя из раскрывающегося списка "Атрибут источника" или применить преобразование к атрибуту пользователя, прежде чем передавать его в качестве утверждения.
Добавить утверждение группы
Групповые утверждения используются для принятия решений по авторизации для доступа к ресурсу приложения или поставщика услуг. Добавление утверждений группы;
- Перейдите к регистрации приложений и выберите приложение, в которое вы хотите добавить заявление о группе.
- Выберите Добавить запрос группы.
- Выберите типы групп, которые необходимо включить в маркер. Вы можете добавить группы безопасности, группы каталогов или группы, назначенные конкретному приложению.
- Выберите значения, которые нужно включить в утверждение групп, а затем нажмите кнопку "Добавить".
Преобразования утверждения
Чтобы применить преобразование к атрибуту пользователя, выполните следующие действия.
- В разделе "Управление утверждением" выберите "Преобразование " в качестве источника утверждений, чтобы открыть страницу "Управление преобразованием ".
- Выберите функцию из раскрывающегося списка преобразований. В зависимости от выбранной функции укажите параметры и константное значение для вычисления в преобразовании.
- Выберите источник атрибута, нажав соответствующую переключатель.
- Выберите имя атрибута из раскрывающегося списка.
-
Обработка источника как многозначного — это флажок, указывающий, следует ли применять преобразование ко всем значениям или только к первому. По умолчанию преобразования применяются только к первому элементу в утверждении с несколькими значениями, установив этот флажок, он гарантирует, что он применяется ко всем. Этот флажок включен только для многозначных атрибутов, например
user.proxyaddresses. - Чтобы применить несколько преобразований, нажмите кнопку "Добавить преобразование". К утверждению можно применить не более двух преобразований. Например, вы можете сначала извлечь префикс электронной почты для
user.mail. Затем преобразуйте строку в верхний регистр.
Для преобразования утверждений можно использовать следующие функции.
| Функция | Описание |
|---|---|
| ExtractMailPrefix() | Удаляет суффикс домена из адреса электронной почты или имени участника-пользователя. Эта функция извлекает только первую часть передаваемого имени пользователя. Например, joe_smith вместо [email protected]. |
| Join() | Создает новое значение путем соединения двух атрибутов. При необходимости можно использовать разделитель между двумя атрибутами. Для преобразования утверждений nameID функция Join() имеет определенное поведение, если входные данные преобразования имеют часть домена. Он удаляет часть домена из входных данных перед присоединением к нему с разделителем и выбранным параметром. Например, если входные данные преобразования и [email protected] разделитель, и параметр имеет @ значение fabrikam.com, это сочетание входных данных приводит к [email protected]возникновению. |
| ToLowercase() | Преобразует символы выбранного атрибута в символы нижнего регистра. |
| ToUppercase() | Преобразует символы выбранного атрибута в символы верхнего регистра. |
| Содержит() | Выводит атрибут или константу, если входные данные соответствуют указанному значению. В противном случае можно указать другой результат, если совпадения нет. Например, если вы хотите выпустить утверждение, в котором значение является адресом электронной почты пользователя, если он содержит домен @contoso.com, в противном случае вы хотите вывести имя участника-пользователя. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.email, Value: "@contoso.com", Parameter 2 (output): user.emailи Parameter 3 (output if there's no match): user.userprincipalname. |
| EndWith() | Выводит атрибут или константу, если входные данные заканчиваются указанным значением. В противном случае можно указать другой результат, если совпадения нет. Например, если требуется выпустить утверждение, в котором значение является идентификатором сотрудника пользователя, если идентификатор сотрудника заканчивается 000, в противном случае вы хотите вывести атрибут расширения. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.employeeid, Value: "000", Parameter 2 (output): user.employeeidи Parameter 3 (output if there's no match): user.extensionattribute1. |
| StartWith() | Выводит атрибут или константу, если входные данные начинаются указанным значением. В противном случае можно указать другой результат, если совпадения нет. Например, если вы хотите вывести утверждение, в котором значение является идентификатором сотрудника пользователя, если страна или регион начинается с US, в противном случае вы хотите вывести атрибут расширения. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.country, Value: "US", Parameter 2 (output): user.employeeidи Parameter 3 (output if there's no match): user.extensionattribute1 |
| Extract() — после сопоставления | Возвращает подстроку после ее сопоставления с указанным значением. Например, если значение Finance_BSimonвходных данных равно, совпадающее значение равно Finance_, то выходные данные утверждения имеют значение BSimon. |
| Extract() — перед сопоставлением | Возвращает подстроку до ее сопоставления с указанным значением. Например, если значение BSimon_USвходных данных равно, совпадающее значение равно _US, то выходные данные утверждения имеют значение BSimon. |
| Extract() — между сопоставлением | Возвращает подстроку до ее сопоставления с указанным значением. Например, если значение входных данных Finance_BSimon_USимеет значение, первое соответствующее значение имеет Finance__USзначение, а второй — это значение, то выходные данные утверждения .BSimon |
| ExtractAlpha() — префикс | Возвращает буквенный префикс строки. Например, если значение входных данных равно BSimon_123, возвращается BSimon. |
| ExtractAlpha() — Суффикс | Возвращает буквенный суффикс строки. Например, если значение входных данных равно 123_Simon, возвращается Simon. |
| ExtractNumeric() — префикс | Возвращает числовой префикс строки. Например, если значение входных данных равно 123_BSimon, возвращается 123. |
| ExtractNumeric() — Суффикс | Возвращает числовой суффикс строки. Например, если значение входных данных равно BSimon_123, возвращается 123. |
| IfEmpty() | Выводит атрибут или константу, если входные данные пусты или имеют значение NULL. Например, если вы хотите вывести атрибут, хранящийся в атрибуте расширения, если идентификатор сотрудника пользователя пуст. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.employeeid, Parameter 2 (output): user.extensionattribute1и Parameter 3 (output if there's no match): user.employeeid. |
| IfNotEmpty() | Выводит атрибут или константу, если входные данные не пустые или не имеют значение NULL. Например, если вы хотите вывести атрибут, хранящийся в атрибуте расширения, если идентификатор сотрудника для пользователя не пуст. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.employeeid и Parameter 2 (output): user.extensionattribute1. |
| Подстрока() — фиксированная длина | Извлекает части типа строкового утверждения, начиная с символа в указанной позиции, и возвращает указанное число символов. Источник sourceClaim утверждения преобразования, который должен выполняться. Это StartIndex отсчитываемое от нуля начальное положение подстроки в этом экземпляре. Длина Length в символах подстроки. Например, sourceClaim - PleaseExtractThisNowи StartIndex - 6Length - 11 создает выходные данныеExtractThis. |
| Подстрока() — EndOfString | Извлекает части типа строкового утверждения, начиная с символа в указанной позиции, и возвращает оставшуюся часть утверждения, начиная с указанного начального индекса. Источник sourceClaim утверждения преобразования, который должен выполняться. Это StartIndex отсчитываемое от нуля начальное положение подстроки в этом экземпляре. Например, sourceClaim - PleaseExtractThisNow и StartIndex - 6 создает выходные данные ExtractThisNow. |
| RegexReplace() | Дополнительные сведения о преобразовании утверждений на основе регулярных выражений см. в следующем разделе. |
Преобразование утверждений на основе регулярных выражений
Для преобразования утверждений можно использовать регулярные выражения. При использовании преобразований утверждений на основе регулярных выражений можно выполнять не более 20 общих замен.
На следующем рисунке показан пример первого уровня преобразования:
Действия, перечисленные в следующей таблице, содержат сведения о первом уровне преобразований и соответствуют меткам на предыдущем изображении. Выберите «Изменить», чтобы открыть панель преобразования утверждений.
| Действие | Поле | Описание |
|---|---|---|
1 |
Transformation |
Выберите параметр RegexReplace() в параметрах преобразования, чтобы использовать метод преобразования утверждений на основе регулярных выражений для преобразования утверждений. |
2 |
Parameter 1 |
Входные данные для преобразования регулярных выражений. Например, user.mail с адресом электронной почты пользователя, например [email protected]. |
3 |
Treat source as multivalued |
Некоторые атрибуты входных данных пользователя могут быть атрибутами пользователя с несколькими значениями. Если выбранный атрибут пользователя поддерживает несколько значений, и пользователь хочет использовать несколько значений для преобразования, им необходимо выбрать источник как многозначный. Если выбрано, все значения используются для соответствия регулярных выражений, в противном случае используется только первое значение. |
4 |
Regex pattern |
Регулярное выражение, вычисляемое по значению атрибута пользователя, выбранного в качестве параметра 1. Например, регулярное выражение для извлечения псевдонима пользователя из адреса электронной почты пользователя будет представлено как (?'domain'^.*?)(?i)(\@fabrikam\.com)$. |
5 |
Add additional parameter |
Для преобразования можно использовать несколько атрибутов пользователя. Затем значения атрибутов будут объединены с выходными данными преобразования regex. Поддерживаются до пяти дополнительных параметров. |
6 |
Replacement pattern |
Шаблон замены — это текстовый шаблон, содержащий заполнители для результата регулярных выражений. Все имена групп должны быть заключены в фигурные скобки, такие как {group-name}. Предположим, что администрация хочет использовать псевдоним пользователя с другим доменным именем, например xyz.com с именем страны слияния. В этом случае шаблон замены будет {country}.{domain}@xyz.comиметь {country} значение входного параметра и {domain} является результатом групповой оценки регулярных выражений. В таком случае ожидаемый результат .[email protected] |
На следующем рисунке показан пример второго уровня преобразования:
В следующей таблице приведены сведения о втором уровне преобразований. Действия, перечисленные в таблице, соответствуют меткам на предыдущем изображении.
| Действие | Поле | Описание |
|---|---|---|
1 |
Transformation |
Преобразования утверждений на основе регулярных выражений не ограничиваются первым преобразованием и могут использоваться в качестве преобразования второго уровня. В качестве первого преобразования можно использовать любой другой метод преобразования. |
2 |
Parameter 1 |
Если regexReplace() выбран в качестве преобразования второго уровня, выходные данные преобразования первого уровня используются в качестве входных данных для преобразования второго уровня. Чтобы применить преобразование, выражение regex второго уровня должно соответствовать выходным данным первого преобразования. |
3 |
Regex pattern |
Шаблон regex — это регулярное выражение для преобразования второго уровня. |
4 |
Parameter input |
Входные данные атрибута пользователя для преобразований второго уровня. |
5 |
Parameter input |
Администраторы могут удалить выбранный входной параметр, если он больше не нужен. |
6 |
Replacement pattern |
Шаблон замены — это текстовый шаблон, содержащий заполнители для имени группы результатов regex, имени входных параметров и статического текстового значения. Все имена групп должны быть заключены в фигурные скобки, такие как {group-name}. Предположим, что администрация хочет использовать псевдоним пользователя с другим доменным именем, например xyz.com с именем страны слияния. В этом случае шаблон замены будет {country}.{domain}@xyz.comиметь {country} значение входного параметра, а {domain} — это результат групповой оценки регулярных выражений. В таком случае ожидаемый результат .[email protected] |
7 |
Test transformation |
Преобразование RegexReplace() вычисляется только в том случае, если значение выбранного пользовательского атрибута для параметра 1 соответствует регулярному выражению, предоставленному в текстовом поле шаблона Regex . Если они не совпадают, значение утверждения по умолчанию добавляется в маркер. Для проверки регулярного выражения на соответствие значению входного параметра в колонке преобразования доступен тестовый интерфейс. Этот тестовый интерфейс работает только с фиктивными значениями. При использовании дополнительных входных параметров имя параметра добавляется в результат теста вместо фактического значения. Чтобы получить доступ к разделу теста, выберите "Тестирование преобразования". |
На следующем рисунке показан пример тестирования преобразований:
В следующей таблице приведены сведения о тестировании преобразований. Действия, перечисленные в таблице, соответствуют меткам на предыдущем изображении.
| Действие | Поле | Описание |
|---|---|---|
1 |
Test transformation |
Нажмите кнопку закрытия или (X), чтобы скрыть раздел теста и снова отобразить кнопку преобразования Теста на панели. |
2 |
Test regex input |
Принимает входные данные, используемые для оценки теста регулярного выражения. Если преобразование утверждений на основе регулярных выражений настроено как преобразование второго уровня, укажите значение, которое является ожидаемым результатом первого преобразования. |
3 |
Run test |
После предоставления входных данных теста регулярного выражения и настройки шаблона регулярного выражения, шаблона замены и входных параметров, выражение можно оценить, запустив тест, выбрав Выполнить тест. |
4 |
Test transformation result |
Если оценка выполнена успешно, выходные данные тестового преобразования отображаются под меткой результата преобразования теста. |
5 |
Remove transformation |
Преобразование второго уровня можно удалить, выбрав "Удалить преобразование". |
6 |
Specify output if no match |
Если входное значение регулярного выражения настроено для параметра 1 , который не соответствует регулярному выражению, преобразование пропускается. В таких случаях можно настроить альтернативный атрибут пользователя, который добавляется в маркер утверждения, проверяя выходные данные, если совпадения не совпадают. |
7 |
Parameter 3 |
Если необходимо вернуть альтернативный атрибут пользователя при отсутствии совпадения и если параметр Указать выходные данные при отсутствии совпадения установлен, альтернативный атрибут пользователя можно выбрать с помощью раскрывающегося списка. Эта раскрывающаяся панель доступна для параметра 3 (результат при отсутствии совпадений). |
8 |
Summary |
В нижней части колонки отображается полная сводка формата, объясняющая смысл преобразования в простом тексте. |
9 |
Add |
После проверки параметров конфигурации для преобразования его можно сохранить в политике утверждений, нажав кнопку "Добавить". Нажмите Сохранить на вкладке Управление заявкой, чтобы сохранить изменения. |
Преобразование RegexReplace() также доступно для преобразований утверждений группы.
Проверки преобразования RegexReplace()
После выбора Добавить или Запустить тест и возникновения следующих условий, отображается сообщение, которое предоставляет дополнительные сведения о проблеме:
- Входные параметры с повторяющимися атрибутами пользователя не допускаются.
- Неиспользуемые входные параметры найдены. Определенные входные параметры должны соответствующим образом использоваться в тексте шаблона замены.
- Предоставленные входные данные регулярного выражения теста не соответствуют предоставленному регулярному выражению.
- Источник для групп в шаблон замены не найден.
Добавление утверждения имени субъекта-пользователя в токены SAML
Утверждение http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn является частью набора ограниченных утверждений SAML. Если у вас настроен пользовательский ключ подписи, его можно добавить в разделе "Атрибуты и утверждения ".
Если настраиваемый ключ подписи не настроен, обратитесь к набору утверждений SAML Restricted. Его можно добавить как необязательное утверждение с помощью регистрации приложений на портале Azure.
Откройте приложение в регистрациях приложений, выберите конфигурацию маркера и нажмите кнопку "Добавить необязательное утверждение". Выберите тип токена SAML , выберите upn из списка и нажмите кнопку "Добавить ", чтобы добавить утверждение в токен.
Настройка, выполненная в разделе "Атрибуты и утверждения", может перезаписать необязательные утверждения в регистрации приложений.
Выдача утверждений на основе условий
Вы можете указать источник утверждения на основе типа пользователя и группы, к которой он принадлежит.
Ниже перечислены возможные типы пользователя.
- Все пользователи могут получить доступ к приложению.
- Члены: родной член арендатора
- Все гости: пользователь перенесен из внешней организации с идентификатором Microsoft Entra или без него.
- Гости Microsoft Entra: гостевой пользователь принадлежит другой организации с помощью идентификатора Microsoft Entra.
- Внешние гости: гостевой пользователь принадлежит внешней организации, у которой нет идентификатора Microsoft Entra.
Один из сценариев, когда тип пользователя является полезным, если источник утверждения отличается для гостя и сотрудника, обращающегося к приложению. Можно указать, что если пользователь является сотрудником, идентификатор NameID создается из user.email. Если пользователь является гостем, идентификатор NameID создается из user.extensionattribute1.
Чтобы добавить условие утверждения, выполните следующие действия.
- В разделе Управление утверждением разверните условия утверждения.
- Выберите тип пользователя.
- Выберите группы, к которым должен принадлежать пользователь. Для конкретного приложения можно выбрать до 50 уникальных групп во всех утверждениях.
- Выберите источник, где утверждение получит свое значение. Вы можете выбрать атрибут пользователя из раскрывающегося списка для исходного атрибута или применить преобразование к атрибуту пользователя. Вы также можете выбрать расширение схемы каталога, прежде чем выдавать его в виде утверждения.
Порядок добавления условий важен. Microsoft Entra сначала вычисляет все условия с исходным кодом, а затем оценивает все условия с источником AttributeTransformation , чтобы решить, какое значение следует вывести в утверждении. Условия с одинаковым источником оцениваются сверху вниз. Последнее значение, соответствующее выражению, создается в утверждении. Такие преобразования, как IsNotEmpty и Contains действуют как ограничения.
Например, Britta Simon является гостевым пользователем в клиенте Contoso. Britta принадлежит другой организации, которая также использует идентификатор Microsoft Entra. Учитывая следующую конфигурацию для приложения Fabrikam, когда Britta пытается войти в Fabrikam, платформа удостоверений Майкрософт оценивает условия.
Во-первых, платформа удостоверений Майкрософт проверяет, относится ли тип пользователя Britta к категории Все гости. Поскольку тип — все гости, платформа удостоверений Майкрософт назначает источник утверждения user.extensionattribute1. Во-вторых, платформа удостоверений Майкрософт проверяет, является ли тип пользователя Britta гостями Microsoft Entra. Поскольку тип — все гости, платформа удостоверений Майкрософт назначает источник утверждения user.mail. Наконец, утверждение создается со значением user.mail britta.
В качестве другого примера рассмотрим, когда пользователь Britta Simon пытается войти в систему и используется следующая конфигурация. Все условия сначала оцениваются с источником Attribute. Так как тип пользователя Britta является гостями Microsoft Entra, user.mail назначается в качестве источника утверждения. Затем вычисляются преобразования. Так как пользователь Britta является гостем, user.extensionattribute1 теперь является новым источником для утверждения. Так как Britta находится в гостях Microsoft Entra, user.othermail теперь является источником для этого утверждения. Наконец, утверждение создается со значением user.othermail britta.
В последнем примере рассмотрим, что происходит, если Britta не user.othermail настроена или пуста. В обоих случаях запись условия игнорируется, и утверждение возвращается вместо user.extensionattribute1 этого.
Дополнительные параметры утверждений SAML
Дополнительные параметры утверждений можно настроить для приложений SAML2.0 для предоставления одного утверждения маркерам OIDC и наоборот для приложений, которые намерены использовать одно и то же утверждение для токенов ответа SAML2.0 и OIDC.
Дополнительные параметры утверждения можно настроить, установив флажок в разделе "Дополнительные параметры утверждений SAML " в колонке "Управление утверждениями ".
В следующей таблице перечислены другие дополнительные параметры, которые можно настроить для приложения.
| Вариант | Описание |
|---|---|
| Добавление идентификатора приложения в издатель | Автоматически добавляет идентификатор приложения в утверждение издателя. Этот параметр гарантирует применение уникального значения утверждения для каждого экземпляра при наличии нескольких экземпляров одного приложения. Этот параметр игнорируется, если для приложения не настроен пользовательский ключ подписывания. |
| Переопределение утверждения аудитории | Позволяет переопределить утверждение аудитории, отправленное приложению. Предоставленное значение должно быть допустимым абсолютным URI. Этот параметр игнорируется, если для приложения не настроен пользовательский ключ подписывания. |
| Включение формата имени атрибута | При выборе идентификатор Microsoft Entra добавляет атрибут NameFormat , который описывает формат имени для ограничения, ядра и необязательных утверждений для приложения. Дополнительные сведения см. в разделе "Тип политики сопоставления утверждений" |