Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Платформа удостоверений Майкрософт поддерживает единый вход (SSO) с большинством предварительно интегрированных приложений в галерее приложений и пользовательских приложениях. Когда пользователь проходит проверку подлинности в приложении через платформа удостоверений Майкрософт с помощью протокола SAML 2.0, маркер отправляется приложению. Приложение проверяет и использует маркер для входа пользователя вместо запроса имени пользователя и пароля.
Эти токены SAML содержат фрагменты сведений о пользователе, известные как утверждения. Утверждение — это информация, которую заявляет поставщик удостоверений о пользователе в токене, выпущенном для этого пользователя. В токене SAML данные утверждений обычно содержатся в инструкции атрибута SAML. Уникальный идентификатор пользователя обычно представлен в субъекте SAML, который также называется идентификатором имени (nameID).
По умолчанию платформа удостоверений Microsoft выдает приложению токен SAML, который содержит заявление со значением имени пользователя (также известного как основное имя пользователя), что позволяет однозначно идентифицировать пользователя. Маркер SAML также содержит другие утверждения, которые включают адрес электронной почты пользователя, имя и фамилию пользователя.
Просмотр или изменение утверждений
Чтобы просмотреть или изменить утверждения, выданные в токене SAML для приложения:
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к Entra ID>Enterprise-приложениям>Все приложения.
- Выберите приложение, выберите единый вход в меню слева и выберите пункт "Изменить " в разделе "Атрибуты и утверждения ".
Возможно, потребуется изменить утверждения, выданные в токене SAML по следующим причинам:
- Приложению требуется, чтобы утверждение
NameIdentifierилиnameIDотличалось от имени пользователя (или имени principal пользователя). - Приложение требует другого набора URI утверждений или значений утверждений.
Измените nameID.
Чтобы изменить утверждение значения идентификатора имени, выполните следующие действия.
- Откройте страницу значения идентификатора имени.
- Выберите атрибут или преобразование, которое необходимо применить к атрибуту. При необходимости вы можете указать формат, который вы хотите, чтобы запрос
nameIDимел.
Формат NameID
Если запрос SAML содержит элемент NameIDPolicy с определенным форматом, платформа удостоверений Майкрософт учитывает формат в запросе.
Если запрос SAML не содержит элемент для NameIDPolicy, платформа удостоверений Майкрософт выдает nameID в указанном вами формате. Если формат не указан, платформа удостоверений Майкрософт использует исходный формат по умолчанию, связанный с выбранным источником утверждений. Если настроен исходный атрибут null, платформа идентификации Майкрософт будет использовать userprincipalName. Если преобразование приводит к значению NULL или недопустимому значению, идентификатор Microsoft Entra отправляет постоянный парный идентификатор в поле nameID.
В раскрывающемся списке " Выбор идентификатора имени" выберите один из вариантов в следующей таблице.
nameID формат |
Описание |
|---|---|
| По умолчанию | платформа удостоверений Майкрософт использует исходный формат по умолчанию. |
| Упорный | Платформа удостоверений Microsoft использует Persistent как формат nameID. |
| Адрес электронной почты | Платформа удостоверений Майкрософт использует EmailAddress в качестве формата nameID. |
| Не указан | Платформа идентификации Microsoft использует Unspecified в качестве формата nameID. |
| Квалифицированное имя домена Windows | платформа удостоверений Майкрософт использует WindowsDomainQualifiedName формат. |
Поддерживается также функция "Transient", но её нет в раскрывающемся списке и она не может быть настроена на стороне Azure. Чтобы узнать больше об атрибуте
Атрибуты
Выберите нужный источник для NameIdentifier утверждения (или nameID). Вы можете выбрать из параметров в следующей таблице.
| Имя | Описание |
|---|---|
Email |
Адрес электронной почты пользователя. |
userprincipalName |
Имя участника-пользователя (UPN) этого пользователя. |
onpremisessamaccountname |
Имя учетной записи SAM, которое было синхронизировано из локального идентификатора Microsoft Entra. |
objectid |
Идентификатор объекта пользователя в идентификаторе Microsoft Entra. |
employeeid |
Идентификатор сотрудника пользователя. |
Directory extensions |
Расширения каталогов , синхронизированные из локальной службы Active Directory с помощью Службы синхронизации Microsoft Entra Connect. |
Extension Attributes 1-15 |
Атрибуты локального расширения, используемые для расширения схемы Microsoft Entra. |
pairwiseid |
Постоянная форма идентификатора пользователя. |
Дополнительные сведения о значениях идентификаторов см. в таблице, которая содержит допустимые значения идентификаторов для каждого источника далее на этой странице.
Любое константное (статическое) значение может быть назначено любому утверждению. Чтобы назначить константное значение, выполните следующие действия.
- В колонке "Атрибуты и утверждения" выберите необходимое утверждение, которое требуется изменить.
- Введите константное значение без кавычки в атрибуте Source в вашей организации и нажмите кнопку "Сохранить". Отображается константное значение.
Расширения схемы каталогов
Вы также можете настроить атрибуты расширения схемы каталогов как не условные или условные атрибуты. Выполните следующие действия, чтобы настроить атрибут расширения схемы каталога с одним или несколькими значениями в качестве утверждения:
- В колонке "Атрибуты и утверждения" выберите "Добавить новое утверждение " или измените существующее утверждение.
- Выберите исходное приложение из средства выбора приложений, где определено свойство расширения.
- Выберите «Добавить», чтобы добавить выбранное в утверждения.
- Нажмите кнопку "Сохранить", чтобы зафиксировать изменения.
Специальные преобразования утверждений
Вы можете использовать следующие специальные функции преобразований утверждений.
| Функция | Описание |
|---|---|
| ExtractMailPrefix() | Удаляет суффикс домена из адреса электронной почты или имени участника-пользователя. Эта функция извлекает только первую часть передаваемого имени пользователя (например, "joe_smith" вместо joe_smith@contoso.com). |
| ToLower() | Преобразует символы выбранного атрибута в символы нижнего регистра. |
| ToUpper() | Преобразует символы выбранного атрибута в символы верхнего регистра. |
Добавление утверждений для конкретного приложения
Чтобы добавить утверждения для конкретного приложения, выполните следующие действия.
- В колонке "Атрибуты и утверждения" выберите "Добавить новое утверждение ", чтобы открыть страницу "Управление утверждениями пользователей ".
- Введите имя утверждений. Значение необязательно строго соответствует шаблону URI согласно спецификации SAML. Если требуется шаблон URI, его можно указать в поле Namespace.
- Выберите источник, где утверждение получит свое значение. Вы можете выбрать атрибут пользователя из раскрывающегося списка "Атрибут источника" или применить преобразование к атрибуту пользователя, прежде чем передавать его в качестве утверждения.
Добавить утверждение группы
Групповые утверждения используются для принятия решений по авторизации для доступа к ресурсу приложения или поставщика услуг. Добавление утверждений группы;
- Перейдите к регистрации приложений и выберите приложение, в которое вы хотите добавить заявление о группе.
- Выберите Добавить запрос группы.
- Выберите типы групп для включения в токен. Вы можете добавить группы безопасности, группы каталогов или группы, назначенные конкретному приложению.
- Выберите значения, которые нужно включить в утверждение групп, а затем нажмите кнопку "Добавить".
Преобразования заявок
Чтобы применить преобразование к атрибуту пользователя, выполните следующие действия.
- В разделе "Управление утверждением" выберите "Преобразование " в качестве источника утверждений, чтобы открыть страницу "Управление преобразованием ".
- Выберите функцию из раскрывающегося списка преобразований. В зависимости от выбранной функции укажите параметры и константное значение для вычисления в преобразовании.
- Выберите источник атрибута, выбрав соответствующую радиокнопку.
- Выберите имя атрибута из раскрывающегося списка.
-
Обработка источника как многозначного — это флажок, указывающий, следует ли применять преобразование ко всем значениям или только к первому. По умолчанию преобразования применяются только к первому элементу в утверждении с несколькими значениями, установив этот флажок, он гарантирует, что он применяется ко всем. Этот флажок включен только для многозначных атрибутов, например
user.proxyaddresses. - Чтобы применить несколько преобразований, нажмите кнопку "Добавить преобразование". К утверждению можно применить не более двух преобразований. Например, вы можете сначала извлечь префикс электронной почты для
user.mail. Затем преобразуйте строку в верхний регистр.
Для преобразования утверждений можно использовать следующие функции.
| Функция | Описание |
|---|---|
| ExtractMailPrefix() | Удаляет суффикс домена из адреса электронной почты или имени участника-пользователя. Эта функция извлекает только первую часть передаваемого имени пользователя. Например, joe_smith вместо joe_smith@contoso.com. |
| Join() | Создает новое значение путем соединения двух атрибутов. При необходимости можно использовать разделитель между двумя атрибутами. Для преобразования утверждений nameID функция Join() имеет определенное поведение, если входные данные преобразования имеют часть домена. Он удаляет часть домена из входных данных перед тем, как объединить её с разделителем и выбранным параметром. Например, если входные данные преобразования — это joe_smith@contoso.com, а разделитель — @, и параметр — fabrikam.com, то это сочетание входных данных приводит к joe_smith@fabrikam.com. |
| ToLowercase() | Преобразует символы выбранного атрибута в символы нижнего регистра. |
| ToUppercase() | Преобразует символы выбранного атрибута в символы верхнего регистра. |
| Содержит() | Выводит атрибут или константу, если входные данные соответствуют указанному значению. В противном случае можно указать другой результат, если совпадения нет. Например, если вы хотите выпустить запрос, где значение - адрес электронной почты пользователя, если он содержит домен @contoso.com, в противном случае вы хотите использовать основное имя пользователя. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.email, Value: "@contoso.com", Parameter 2 (output): user.emailи Parameter 3 (output if there's no match): user.userprincipalname. |
| EndWith() | Выводит атрибут или константу, если входные данные заканчиваются указанным значением. В противном случае можно указать другой результат, если совпадения нет. Например, если вы хотите создать утверждение, в котором значением будет идентификатор сотрудника пользователя, если идентификатор сотрудника заканчивается на 000, в противном случае вы хотите вывести значение расширенного атрибута. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.employeeid, Value: "000", Parameter 2 (output): user.employeeidи Parameter 3 (output if there's no match): user.extensionattribute1. |
| StartWith() | Выводит атрибут или константу, если входные данные начинаются указанным значением. В противном случае можно указать другой результат, если совпадения нет. Например, если вы хотите вывести утверждение, в котором значение является идентификатором сотрудника пользователя, если страна или регион начинается с US, в противном случае вы хотите вывести атрибут расширения. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.country, Value: "US", Parameter 2 (output): user.employeeidи Parameter 3 (output if there's no match): user.extensionattribute1 |
| Extract() — после сопоставления | Возвращает подстроку после ее сопоставления с указанным значением. Например, если значение Finance_BSimonвходных данных равно, совпадающее значение равно Finance_, то выходные данные утверждения имеют значение BSimon. |
| Extract() — перед сопоставлением | Возвращает подстроку до ее сопоставления с указанным значением. Например, если значение BSimon_USвходных данных равно, совпадающее значение равно _US, то выходные данные утверждения имеют значение BSimon. |
| Extract() — между сопоставлением | Возвращает подстроку до ее сопоставления с указанным значением. Например, если значение входных данных Finance_BSimon_US, первое соответствующее значение Finance_, второе соответствующее значение _US, то выходные данные утверждения BSimon. |
| ExtractAlpha() — префикс | Возвращает алфавитную часть префикса строки. Например, если значение входных данных равно BSimon_123, возвращается BSimon. |
| ExtractAlpha() — Суффикс | Возвращает буквенный суффикс строки. Например, если значение входных данных равно 123_Simon, возвращается Simon. |
| ExtractNumeric() — префикс | Возвращает числовой префикс строки. Например, если значение входных данных равно 123_BSimon, возвращается 123. |
| ExtractNumeric() — Суффикс | Возвращает числовую часть суффикса строки. Например, если значение входных данных равно BSimon_123, возвращается 123. |
| IfEmpty() | Выводит атрибут или константу, если входные данные пусты или имеют значение NULL. Например, если вы хотите вывести атрибут, хранящийся в атрибуте расширения, если идентификатор сотрудника пользователя пуст. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.employeeid, Parameter 2 (output): user.extensionattribute1и Parameter 3 (output if there's no match): user.employeeid. |
| IfNotEmpty() | Выводит атрибут или константу, если входные данные не пустые или не имеют значение NULL. Например, если вы хотите вывести атрибут, хранящийся в атрибуте расширения, если идентификатор сотрудника для пользователя не пуст. Чтобы выполнить эту функцию, настройте следующие значения: Parameter 1(input): user.employeeid и Parameter 2 (output): user.extensionattribute1. |
| Подстрока() — фиксированная длина | Извлекает части типа строкового утверждения, начиная с символа в указанной позиции, и возвращает указанное число символов. Источник sourceClaim — это источник утверждения, преобразования которого должны выполняться. Это нулевая позиция начального символа подстроки в данном экземпляре. Длина подстроки в символах равна Length. Например, sourceClaim - PleaseExtractThisNow, StartIndex - 6 и Length - 11 создают выходные данные ExtractThis. |
| Подстрока() — EndOfString | Извлекает части типа строкового утверждения, начиная с символа в указанной позиции, и возвращает оставшуюся часть утверждения, начиная с указанного начального индекса. Источник sourceClaim для выполнения преобразования, который следует исполнить. Это начальная позиция подстроки с отсчетом от нуля в данном случае. Например, sourceClaim - PleaseExtractThisNow и StartIndex - 6 генерируют выходные данные ExtractThisNow. |
| RegexReplace() | Дополнительные сведения о преобразовании утверждений на основе регулярных выражений см. в следующем разделе. |
Преобразование утверждений на основе регулярных выражений
Для преобразования утверждений можно использовать регулярные выражения. При использовании преобразований утверждений на основе регулярных выражений можно выполнять не более 20 общих замен.
На следующем рисунке показан пример первого уровня преобразования:
Действия, перечисленные в следующей таблице, содержат сведения о первом уровне преобразований и соответствуют меткам на предыдущем изображении. Выберите «Изменить», чтобы открыть панель преобразования утверждений.
| Действие | Поле | Описание |
|---|---|---|
1 |
Transformation |
Выберите параметр RegexReplace() в параметрах преобразования, чтобы использовать метод преобразования утверждений на основе регулярных выражений для преобразования утверждений. |
2 |
Parameter 1 |
Входные данные для преобразования регулярных выражений. Например, user.mail с адресом электронной почты пользователя, например admin@fabrikam.com. |
3 |
Treat source as multivalued |
Некоторые атрибуты входных данных пользователя могут быть атрибутами пользователя с несколькими значениями. Если выбранный атрибут пользователя поддерживает несколько значений, и пользователь хочет использовать несколько значений для преобразования, им необходимо выбрать источник как многозначный. Если выбрано, все значения используются для соответствия регулярных выражений, в противном случае используется только первое значение. |
4 |
Regex pattern |
Регулярное выражение, вычисляемое по значению атрибута пользователя, выбранного в качестве параметра 1. Например, регулярное выражение для извлечения псевдонима пользователя из адреса электронной почты пользователя будет представлено как (?'domain'^.*?)(?i)(\@fabrikam\.com)$. |
5 |
Add additional parameter |
Для преобразования можно использовать несколько атрибутов пользователя. Затем значения атрибутов будут объединены с выходными данными преобразования regex. Поддерживаются до пяти дополнительных параметров. |
6 |
Replacement pattern |
Шаблон замены — это текстовый шаблон, содержащий заполнители для результата регулярных выражений. Все имена групп должны быть заключены в фигурные скобки, такие как {group-name}. Предположим, что администрация хочет использовать псевдоним пользователя с другим доменным именем, например xyz.com, и объединить его с названием страны. В этом случае шаблон замены будет {country}.{domain}@xyz.comиметь {country} значение входного параметра и {domain} является результатом групповой оценки регулярных выражений. В таком случае ожидаемый результат US.swmal@xyz.com. |
На следующем рисунке показан пример второго уровня преобразования:
В следующей таблице приведены сведения о втором уровне преобразований. Действия, перечисленные в таблице, соответствуют меткам на предыдущем изображении.
| Действие | Поле | Описание |
|---|---|---|
1 |
Transformation |
Преобразования утверждений на основе регулярных выражений не ограничиваются первым преобразованием и могут также использоваться как преобразования второго уровня. В качестве первого преобразования можно использовать любой другой метод преобразования. |
2 |
Parameter 1 |
Если regexReplace() выбран в качестве преобразования второго уровня, выходные данные преобразования первого уровня используются в качестве входных данных для преобразования второго уровня. Чтобы применить преобразование, выражение regex второго уровня должно соответствовать выходным данным первого преобразования. |
3 |
Regex pattern |
Шаблон regex — это регулярное выражение для преобразования второго уровня. |
4 |
Parameter input |
Входные данные атрибута пользователя для преобразований второго уровня. |
5 |
Parameter input |
Администраторы могут удалить выбранный входной параметр, если он больше не нужен. |
6 |
Replacement pattern |
Шаблон замены — это текстовый шаблон, содержащий заполнители для имени группы результатов regex, имени входных параметров и статического текстового значения. Все имена групп должны быть заключены в фигурные скобки, такие как {group-name}. Предположим, что администрация хочет использовать псевдоним пользователя с другим доменным именем, например xyz.com, и объединить его с названием страны. В этом случае шаблон замены будет {country}.{domain}@xyz.com, где {country} — значение входного параметра, а {domain} — это групповой результат выполнения регулярного выражения. В таком случае ожидаемый результат US.swmal@xyz.com. |
7 |
Test transformation |
Преобразование RegexReplace() вычисляется только в том случае, если значение выбранного пользовательского атрибута для параметра 1 соответствует регулярному выражению, предоставленному в текстовом поле шаблона Regex . Если они не совпадают, в токен добавляется значение утверждения по умолчанию. Для проверки соответствия регулярного выражения значению входного параметра доступен интерфейс тестирования в разделе преобразования. Этот тестовый интерфейс работает только с фиктивными значениями. При использовании дополнительных входных параметров имя параметра добавляется в результат теста вместо фактического значения. Чтобы получить доступ к разделу теста, выберите "Тестирование преобразования". |
На следующем рисунке показан пример тестирования преобразований:
В следующей таблице приведены сведения о тестировании преобразований. Действия, перечисленные в таблице, соответствуют меткам на предыдущем изображении.
| Действие | Поле | Описание |
|---|---|---|
1 |
Test transformation |
Нажмите кнопку закрытия или (X), чтобы скрыть раздел теста и снова отобразить кнопку преобразования Теста на панели. |
2 |
Test regex input |
Принимает входные данные, используемые для оценки теста регулярного выражения. Если преобразование утверждений на основе регулярных выражений настроено как преобразование второго уровня, укажите значение, которое является ожидаемым результатом первого преобразования. |
3 |
Run test |
После предоставления входных данных теста регулярного выражения и настройки шаблона регулярного выражения, шаблона замены и входных параметров, выражение можно оценить, запустив тест, выбрав Выполнить тест. |
4 |
Test transformation result |
Если оценка выполнена успешно, выходные данные тестового преобразования отображаются под меткой результата преобразования теста. |
5 |
Remove transformation |
Преобразование второго уровня можно удалить, выбрав "Удалить преобразование". |
6 |
Specify output if no match |
Если входное значение регулярного выражения настроено для параметра 1 , который не соответствует регулярному выражению, преобразование пропускается. В таких случаях можно настроить альтернативный атрибут пользователя, который добавляется в маркер утверждения, проверяя выходные данные, если совпадения не совпадают. |
7 |
Parameter 3 |
Если необходимо вернуть альтернативный атрибут пользователя при отсутствии совпадения и если параметр Указать выходные данные при отсутствии совпадения установлен, альтернативный атрибут пользователя можно выбрать с помощью раскрывающегося списка. Эта раскрывающаяся панель доступна для параметра 3 (результат при отсутствии совпадений). |
8 |
Summary |
В нижней части лезвия отображается полный обзор формата, объясняющий смысл преобразования в простом тексте. |
9 |
Add |
После проверки параметров конфигурации для преобразования его можно сохранить в политике утверждений, нажав кнопку "Добавить". Нажмите Сохранить на вкладке Управление заявкой, чтобы сохранить изменения. |
Преобразование RegexReplace() доступно также для преобразований утверждений для групп.
Проверки преобразования RegexReplace()
После выбора Добавить или Запустить тест и возникновения следующих условий, отображается сообщение, которое предоставляет дополнительные сведения о проблеме:
- Входные параметры с повторяющимися атрибутами пользователя не допускаются.
- Неиспользуемые входные параметры найдены. Определенные входные параметры должны соответствующим образом использоваться в тексте шаблона замены.
- Входные данные тестового регулярного выражения не сопоставлены с предоставленным регулярным выражением.
- Источник для групп внутри шаблона замены не найден.
Добавьте утверждение UPN в токены SAML
Утверждение http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn является частью набора ограниченных утверждений SAML. Если у вас настроен пользовательский ключ подписи, его можно добавить в разделе "Атрибуты и утверждения ".
Если ключ электронной подписи не задан, обратитесь к ограниченному набору утверждений SAML. Его можно добавить как необязательное утверждение с помощью регистрации приложений на портале Azure.
Откройте приложение в регистрациях приложений, выберите конфигурацию маркера и нажмите кнопку "Добавить необязательное утверждение". Выберите тип токена SAML , выберите upn из списка и нажмите кнопку "Добавить ", чтобы добавить утверждение в токен.
Настройка, выполненная в разделе "Атрибуты и утверждения", может перезаписать необязательные утверждения в регистрации приложений.
Выдача утверждений на основе условий
Вы можете указать источник утверждения на основе типа пользователя и группы, к которой он принадлежит.
Ниже перечислены возможные типы пользователя.
- Все пользователи могут получить доступ к приложению.
- Члены: родной член арендатора
- Все гости: пользователь перенесен из внешней организации с идентификатором Microsoft Entra или без него.
- Гости Microsoft Entra: гостевой пользователь принадлежит другой организации с помощью идентификатора Microsoft Entra.
- Внешние гости: гостевой пользователь принадлежит внешней организации, у которой нет идентификатора Microsoft Entra.
Один из сценариев, где тип пользователя полезен, — это когда источник утверждения различен для гостя и сотрудника, обращающихся к приложению. Можно указать, что если пользователь является сотрудником, идентификатор NameID создается из user.email. Если пользователь является гостем, идентификатор NameID создается из user.extensionattribute1.
Чтобы добавить условие утверждения, выполните следующие действия.
- В разделе Управление утверждением разверните условия утверждения.
- Выберите тип пользователя.
- Выберите группы, к которым должен принадлежать пользователь. Для конкретного приложения можно выбрать до 50 уникальных групп во всех утверждениях.
- Выберите источник, где утверждение получит свое значение. Вы можете выбрать атрибут пользователя из раскрывающегося списка для исходного атрибута или применить преобразование к атрибуту пользователя. Вы также можете выбрать расширение схемы каталога, прежде чем выдавать его в виде утверждения.
Порядок добавления условий важен. Microsoft Entra сначала оценивает все условия с источником Attribute, а затем оценивает все условия с источником Transformation, чтобы определить, какое значение следует вывести в утверждении. Условия с одинаковым источником оцениваются сверху вниз. Последнее значение, соответствующее выражению, выдается в результате утверждения. Такие преобразования, как IsNotEmpty и Contains действуют как ограничения.
Например, Britta Simon является гостевым пользователем в клиенте Contoso. Britta принадлежит другой организации, которая также использует идентификатор Microsoft Entra. Учитывая следующую конфигурацию для приложения Fabrikam, когда Britta пытается войти в Fabrikam, платформа идентификации Microsoft оценивает условия.
Во-первых, платформа удостоверений Майкрософт проверяет, относится ли тип пользователя Britta к категории Все гости. Поскольку тип — все гости, платформа удостоверений Майкрософт назначает источник утверждения user.extensionattribute1. Во-вторых, платформа удостоверений Майкрософт проверяет, является ли тип пользователя Britta гостями Microsoft Entra. Поскольку тип — все гости, платформа удостоверений Майкрософт назначает источник утверждения user.mail. Наконец, клейм создается со значением user.mail для Бритты.
В качестве другого примера рассмотрим, когда пользователь Britta Simon пытается войти в систему и используется следующая конфигурация. Все условия сначала оцениваются с помощью источника Attribute. Так как тип пользователя Britta является гостями Microsoft Entra, user.mail назначается в качестве источника утверждения. Затем вычисляются преобразования. Так как пользователь Britta является гостем, user.extensionattribute1 теперь является новым источником для утверждения. Так как Britta находится в гостях Microsoft Entra, user.othermail теперь является источником для этого утверждения. Наконец, утверждение выдается со значением user.othermail для Бритты.
В последнем примере рассмотрим, что происходит, если у Britta user.othermail не настроено или пусто. В обоих случаях запись условия игнорируется, и заявка возвращается к user.extensionattribute1.
Продвинутые параметры SAML-утверждений
Дополнительные параметры утверждений можно настроить для приложений SAML2.0 для предоставления одного утверждения маркерам OIDC и наоборот для приложений, которые намерены использовать одно и то же утверждение для токенов ответа SAML2.0 и OIDC.
Дополнительные параметры утверждения можно настроить, установив флажок в разделе "Дополнительные параметры утверждений SAML " в колонке "Управление утверждениями ".
В следующей таблице перечислены другие дополнительные параметры, которые можно настроить для приложения.
| Вариант | Описание |
|---|---|
| Добавление идентификатора приложения в издатель | Автоматически добавляет идентификатор приложения в заявку издателя. Этот параметр обеспечивает уникальность значения притязания для каждого экземпляра при нескольких экземплярах одного приложения. Этот параметр игнорируется, если для приложения не настроен пользовательский ключ подписывания. |
| Переопределение утверждения аудитории | Позволяет переопределить утверждение аудитории, отправленное приложению. Предоставленное значение должно быть допустимым абсолютным URI. Этот параметр игнорируется, если для приложения не настроен пользовательский ключ подписывания. |
| Включить формат имени атрибута | Если выбрано, Microsoft Entra ID добавляет атрибут NameFormat, который описывает формат имени для ограниченных, основных и дополнительных утверждений для приложения. Дополнительные сведения см. в разделе "Тип политики сопоставления утверждений" |