Condividi tramite

Personalizzazione delle attestazioni tramite un criterio

  • Articolo

Un oggetto criteri rappresenta un set di regole imposto su singole applicazioni o su tutte le applicazioni in un'organizzazione. Ogni tipo di criteri ha una struttura univoca con un set di proprietà che vengono in seguito applicate agli oggetti a cui sono assegnate.

Microsoft Entra ID supporta due modi per personalizzare le attestazioni usando Microsoft Graph/PowerShell per le applicazioni:

I criteri di attestazioni personalizzati e i criteri di mapping delle attestazioni sono due tipi diversi di oggetti criteri che modificano le attestazioni incluse nei token.

Criteri attestazioni personalizzati (anteprima) consente agli amministratori di personalizzare attestazioni aggiuntive per le applicazioni. Può essere usato in modo intercambiabile con la personalizzazione delle attestazioni offerta tramite l'interfaccia di amministrazione di Microsoft Entra che consente agli amministratori di gestire le attestazioni tramite l'interfaccia di amministrazione di Microsoft Entra o MS Graph/PowerShell. Sia i criteri di attestazioni personalizzati che la personalizzazione delle attestazioni offerti tramite l'interfaccia di amministrazione di Microsoft Entra usano gli stessi criteri sottostanti per configurare attestazioni aggiuntive per le entità servizio. Tuttavia, gli amministratori possono configurare solo un criterio di attestazione personalizzato (anteprima) per ogni entità servizio. Il PUT metodo consente agli amministratori di creare o sostituire un oggetto criteri esistente con i valori passati nel corpo della richiesta, mentre PATCH il metodo consente agli amministratori di aggiornare l'oggetto criteri con i valori passati nel corpo della richiesta. Informazioni su come configurare e gestire attestazioni aggiuntive usando criteri di attestazioni personalizzati qui.

I criteri di mapping delle attestazioni consentono anche agli amministratori di personalizzare attestazioni aggiuntive per le applicazioni. Gli amministratori possono configurare un criterio di mapping delle attestazioni e assegnarlo a più applicazioni nel tenant. Se un amministratore sceglie di usare i criteri di mapping delle attestazioni per gestire attestazioni aggiuntive per le applicazioni, non sarà in grado di modificare o aggiornare le attestazioni nel pannello di personalizzazione delle attestazioni nell'interfaccia di amministrazione di Microsoft Entra per tali applicazioni. Informazioni su come configurare e gestire attestazioni aggiuntive usando i criteri di mapping delle attestazioni qui.

Nota

I criteri di mapping delle attestazioni sostituiscono sia i criteri attestazioni personalizzati che la personalizzazione delle attestazioni offerte tramite l'interfaccia di amministrazione di Microsoft Entra. La personalizzazione delle attestazioni per un'applicazione tramite i criteri di mapping delle attestazioni significa che i token rilasciati per tale applicazione ignoreranno la configurazione in Criteri attestazioni personalizzate o la configurazione nel pannello di personalizzazione delle attestazioni nell'interfaccia di amministrazione di Microsoft Entra. Per altre informazioni sulla personalizzazione delle attestazioni, vedere Personalizzare le attestazioni rilasciate nel token per le applicazioni aziendali.

Set di attestazioni

La tabella seguente elenca i set di attestazioni che definiscono come e quando vengono usati nei token.

Set di attestazioni Descrizione
Set di attestazioni core Presenti in ogni token, indipendentemente dai criteri. Queste attestazioni sono anche considerate limitate e non possono essere modificate.
Set di attestazioni di base Include le attestazioni incluse per impostazione predefinita per i token,oltre al set di attestazioni core. È possibile omettere o modificare attestazioni di base usando i criteri di attestazione personalizzati e i criteri di mapping delle attestazioni.
Set di attestazioni con restrizioni Non è possibile modificarle con i criteri. L'origine dati non può essere modificata e non viene applicata alcuna trasformazione durante la generazione di queste attestazioni.

Set di attestazioni limitate al token JSON Web (JWT)

Le attestazioni seguenti si trovano nel set di attestazioni con restrizioni per un token JWT.

  • .
  • _claim_names
  • _claim_sources
  • aai
  • access_token
  • account_type
  • acct
  • acr
  • acrs
  • actor
  • actortoken
  • ageGroup
  • aio
  • altsecid
  • amr
  • app_chain
  • app_displayname
  • app_res
  • appctx
  • appctxsender
  • appid
  • appidacr
  • assertion
  • at_hash
  • aud
  • auth_data
  • auth_time
  • authorization_code
  • azp
  • azpacr
  • bk_claim
  • bk_enclave
  • bk_pub
  • brk_client_id
  • brk_redirect_uri
  • c_hash
  • ca_enf
  • ca_policy_result
  • capolids
  • capolids_latebind
  • cc
  • cert_token_use
  • child_client_id
  • child_redirect_uri
  • client_id
  • client_ip
  • cloud_graph_host_name
  • cloud_instance_host_name
  • cloud_instance_name
  • CloudAssignedMdmId
  • cnf
  • code
  • controls
  • controls_auds
  • credential_keys
  • csr
  • csr_type
  • ctry
  • deviceid
  • dns_names
  • domain_dns_name
  • domain_netbios_name
  • e_exp
  • email
  • endpoint
  • enfpolids
  • exp
  • expires_on
  • extn. as prefix
  • fido_auth_data
  • fido_ver
  • fwd
  • fwd_appidacr
  • grant_type
  • graph
  • group_sids
  • groups
  • hasgroups
  • hash_alg
  • haswids
  • home_oid
  • home_puid
  • home_tid
  • iat
  • identityprovider
  • idp
  • idtyp
  • in_corp
  • instance
  • inviteTicket
  • ipaddr
  • isbrowserhostedapp
  • iss
  • isViral
  • jwk
  • key_id
  • key_type
  • login_hint
  • mam_compliance_url
  • mam_enrollment_url
  • mam_terms_of_use_url
  • mdm_compliance_url
  • mdm_enrollment_url
  • mdm_terms_of_use_url
  • msgraph_host
  • msproxy
  • nameid
  • nbf
  • netbios_name
  • nickname
  • nonce
  • oid
  • on_prem_id
  • onprem_sam_account_name
  • onprem_sid
  • openid2_id
  • origin_header
  • password
  • platf
  • polids
  • pop_jwk
  • preferred_username
  • previous_refresh_token
  • primary_sid
  • prov_data
  • puid
  • pwd_exp
  • pwd_url
  • rdp_bt
  • redirect_uri
  • refresh_token
  • refresh_token_issued_on
  • refreshtoken
  • request_nonce
  • resource
  • rh
  • role
  • roles
  • rp_id
  • rt_type
  • scope
  • scp
  • secaud
  • sid
  • sid
  • signature
  • signin_state
  • source_anchor
  • src1
  • src2
  • sub
  • target_deviceid
  • tbid
  • tbidv2
  • tenant_ctry
  • tenant_display_name
  • tenant_id
  • tenant_region_scope
  • tenant_region_sub_scope
  • thumbnail_photo
  • tid
  • tokenAutologonEnabled
  • trustedfordelegation
  • ttr
  • unique_name
  • upn
  • user_agent
  • user_setting_sync_url
  • username
  • uti
  • ver
  • verified_primary_email
  • verified_secondary_email
  • vnet
  • vsm_binding_key
  • wamcompat_client_info
  • wamcompat_id_token
  • wamcompat_scopes
  • wids
  • win_ver
  • x5c_ca
  • xcb2b_rclient
  • xcb2b_rcloud
  • xcb2b_rtenant
  • ztdid

Nota

Qualsiasi attestazione che inizia con xms_ è limitata.

Set di attestazioni con restrizioni SAML

Nella tabella seguente sono elencate le attestazioni SAML incluse nel set di attestazioni con restrizioni.

Tipo di attestazione con restrizioni (URI):

  • http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
  • http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
  • http://schemas.microsoft.com/2014/03/psso
  • http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
  • http://schemas.microsoft.com/claims/authnmethodsreferences
  • http://schemas.microsoft.com/claims/groups.link
  • http://schemas.microsoft.com/identity/claims/accesstoken
  • http://schemas.microsoft.com/identity/claims/acct
  • http://schemas.microsoft.com/identity/claims/agegroup
  • http://schemas.microsoft.com/identity/claims/aio
  • http://schemas.microsoft.com/identity/claims/identityprovider
  • http://schemas.microsoft.com/identity/claims/objectidentifier
  • http://schemas.microsoft.com/identity/claims/openid2_id
  • http://schemas.microsoft.com/identity/claims/puid
  • http://schemas.microsoft.com/identity/claims/scope
  • http://schemas.microsoft.com/identity/claims/tenantid
  • http://schemas.microsoft.com/identity/claims/xms_et
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor

Queste attestazioni sono limitate per impostazione predefinita, ma non sono limitate se si dispone di una chiave di firma personalizzata. Evitare di impostare acceptMappedClaims nel manifesto dell'app.

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

Queste attestazioni sono limitate per impostazione predefinita, ma non sono limitate se si dispone di una chiave di firma personalizzata:

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Proprietà dei criteri usati per la personalizzazione delle attestazioni

Per controllare le attestazioni incluse e la provenienza dei dati, usare le proprietà dei criteri per la personalizzazione delle attestazioni. Senza un criterio, il sistema rilascia token con le attestazioni seguenti:

  • Il set di attestazioni core.
  • Il set di attestazioni di base.
  • Eventuali attestazioni facoltative che l'applicazione ha scelto di ricevere.

Nota

Le attestazioni del set di attestazioni core sono presenti in ogni token, indipendentemente dall'impostazione di questa proprietà.

String Tipo di dati Riepilogo
IncludeBasicClaimSet Booleano (true o false) Specifica se il set di attestazioni di base sia incluso nei token interessati da questi criteri. Se impostata su True, tutte le attestazioni nel set di attestazioni di base verranno generate nei token interessati dal criterio. Se impostate su False, le attestazioni nel set di attestazioni di base non vengono generate nei token, a meno che non vengano aggiunte singolarmente nella proprietà dello schema delle attestazioni degli stessi criteri.
ClaimsSchema BLOB JSON con una o più voci dello schema di attestazioni Definisce quali attestazioni sono presenti nei token interessati dai criteri, oltre al set di attestazioni di base e al set di attestazioni core. Per ogni voce di schema di attestazioni definita in questa proprietà sono necessarie alcune informazioni. Specificare da dove provengono i dati (Valore, Coppia origine/ID o Coppia origine/ExtensionID) e il Tipo di attestazione che viene generato come (JWTClaimType o SamlClaimType).

Elementi di voci dello schema di attestazioni

  • Value - definisce un valore statico come dati da generare nell'attestazione.
  • SAMLNameForm - definisce il valore per l'attributo NameFormat per questa attestazione. Se presente, i valori consentiti sono:
    • urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:attrname-format:uri
    • urn:oasis:names:tc:SAML:2.0:attrname-format:basic
  • Coppia di origine/ID - definisce la posizione di origine dei dati nell'attestazione.
  • Coppia origine/ExtensionID - definisce l'attributo di estensione della directory da cui provengono i dati nell'attestazione. Per altre informazioni vedere Uso degli attributi di estensione della directory nelle attestazioni.
  • Tipo di attestazione: gli elementi JwtClaimType e SamlClaimType definiscono l'attestazione a cui questa voce dello schema di attestazioni fa riferimento.
    • JwtClaimType deve contenere il nome dell'attestazione da generare nel token JWT.
    • SamlClaimType deve contenere l'URI dell'attestazione da generare nei token SAML.

Impostare l'elemento Origine su uno dei valori della tabella seguente.

Valore di origine Dati nell'attestazione
user Proprietà dell'oggetto utente.
application Proprietà nell'entità servizio dell'applicazione (client).
resource Proprietà nell'entità servizio della risorsa.
audience Proprietà dell'entità servizio che corrisponde al destinatario del token (entità servizio risorsa o client).
company Proprietà nell'oggetto Company del tenant della risorsa.
transformation Trasformazione delle attestazioni. Quando si usa questa attestazione, l'elemento TransformationID deve essere incluso nella definizione dell'attestazione. L'elemento TransformationID deve corrispondere all'elemento ID della voce di trasformazione nella proprietà ClaimsTransformation che definisce la modalità di generazione dei dati per l'attestazione.

L'elemento ID identifica la proprietà dell'origine che indica il valore per l'attestazione. La tabella seguente elenca i valori dell'elemento ID validi per ogni valore di Source.

Origine ID Descrizione
user surname Nome della famiglia dell'utente.
user givenname Nome (di battesimo) dell'utente.
user displayname Nome visualizzato dell'utente.
user objectid L'ID dell'oggetto dell'utente.
user mail Indirizzo di posta elettronica dell'utente.
user userprincipalname Nome dell'entità utente dell'utente.
user department Reparto dell'utente.
user onpremisessamaccountname Nome dell'account SAM locale dell'utente.
user netbiosname Nome NetBios dell'utente.
user dnsdomainname Nome di dominio DNS dell'utente.
user onpremisesecurityidentifier Identificatore di sicurezza locale dell'utente.
user companyname Nome dell'organizzazione dell'utente.
user streetaddress La via e il numero civico dell'utente.
user postalcode Codice postale dell'utente.
user preferredlanguage La lingua preferita dell'utente.
user onpremisesuserprincipalname UPN locale dell'utente. Quando si usa un ID alternativo, l'attributo userPrincipalName locale viene sincronizzato con l'attributo onPremisesUserPrincipalName. Questo attributo è disponibile solo quando è configurato l'ID alternativo.
user mailnickname Nome alternativo di posta elettronica dell'utente.
user extensionattribute1 Attributo di estensione 1.
user extensionattribute2 Attributo di estensione 2.
user extensionattribute3 Attributo di estensione 3.
user extensionattribute4 Attributo di estensione 4.
user extensionattribute5 Attributo di estensione 5.
user extensionattribute6 Attributo di estensione 6.
user extensionattribute7 Attributo di estensione 7.
user extensionattribute8 Attributo di estensione 8.
user extensionattribute9 Attributo di estensione 9.
user extensionattribute10 Attributo di estensione 10.
user extensionattribute11 Attributo di estensione 11.
user extensionattribute12 Attributo di estensione 12.
user extensionattribute13 Attributo di estensione 13.
user extensionattribute14 Attributo di estensione 14.
user extensionattribute15 Attributo di estensione 15.
user othermail L'altro messaggio di posta elettronica dell'utente.
user country Il paese/l'area geografica dell'utente.
user city La città dell'utente.
user state Regione dell'utente.
user jobtitle Titolo del lavoro dell'utente.
user employeeid ID dipendente dell'utente.
user facsimiletelephonenumber Numero di telefono facsimile dell'utente.
user assignedroles Elenco dei ruoli dell'app assegnati all'utente.
user accountEnabled Indica se l'account utente è abilitato.
user consentprovidedforminor Indica se il consenso è stato fornito per un minore.
user createddatetime La data e l'ora di creazione dell'account utente.
user creationtype Indica come è stato creato l'account utente.
user lastpasswordchangedatetime Data e ora dell'ultima modifica della password.
user mobilephone Telefono cellulare dell'utente.
user officelocation Posizione dell'ufficio dell'utente.
user onpremisesdomainname Nome di dominio locale dell'utente.
user onpremisesimmutableid ID non modificabile locale dell'utente.
user onpremisessyncenabled Indica se la sincronizzazione locale è abilitata.
user preferreddatalocation Definisce la posizione dei dati preferita dell'utente.
user proxyaddresses Indirizzi proxy dell'utente.
user usertype Il tipo di account utente.
user telephonenumber Telefoni aziendali o di ufficio dell'utente.
application, resource, audience displayname Nome visualizzato dell'oggetto .
application, resource, audience objectid ID dell'oggetto .
application, resource, audience tags Tag dell'entità servizio dell'oggetto.
company tenantcountry Paese/area geografica del tenant.

Le uniche origini di attestazioni multivalore disponibili in un oggetto utente sono attributi di estensione multivalore sincronizzati da Active Directory Connect. Altre proprietà, ad esempio othermails e tags, sono multivalore, ma viene generato un solo valore quando viene selezionato come origine.

Non è possibile utilizzare i nomi e gli URI delle attestazioni nel set di attestazioni con restrizioni per gli elementi dei tipi di attestazioni.

Filtro gruppo

  • String - GroupFilter
  • Tipo di dati: - oggetto binario di grandi dimensioni JSON
  • Riepilogo - usare questa proprietà per applicare un filtro ai gruppi dell'utente da includere nell'attestazione di gruppo. Questa proprietà può essere un mezzo utile per ridurre le dimensioni del token.
  • MatchOn: - identifica l'attributo del gruppo in cui applicare il filtro. Impostare la proprietà MatchOn su uno dei valori seguenti:
    • displayname - nome visualizzato del gruppo.
    • samaccountname - Il nome dell'account SAM locale.
  • Type - definisce il tipo di filtro applicato all'attributo selezionato dalla proprietà MatchOn. Impostare la proprietà Type su uno dei valori seguenti:
    • prefix - Includere gruppi in cui la proprietà MatchOn inizia con la proprietà Value fornita.
    • suffix Includere gruppi in cui la proprietà MatchOn termina con la proprietà Value fornita.
    • contains - Includere gruppi in cui la proprietà MatchOn contiene la proprietà Value fornita.

Trasformazione delle attestazioni

  • Stringa - ClaimsTransformation
  • Tipo di dati - BLOB JSON con una o più voci di trasformazione
  • Riepilogo - questa proprietà consente di applicare trasformazioni comuni ai dati di origine per generare i dati di output per le attestazioni specificate nello schema di attestazioni.
  • ID - fa riferimento alla voce di trasformazione nella voce Schema delle attestazioni TransformationID. Questo valore deve essere univoco per ogni voce di trasformazione all'interno di questo criterio.
  • TransformationMethod - identifica l'operazione eseguita per generare i dati per l'attestazione.

In base al metodo scelto è previsto un set di input e output. Definire gli input e gli output usando gli elementi InputClaims, InputParameters e OutputClaims.

TransformationMethod Input previsto Output previsto Descrizione
Join. string1, string2, separator attestazione output Esegue il join di stringhe di input dividendole con un separatore. Ad esempio, string1:foo@bar.com , string2:sandbox , separator:. restituisce l'attestazione di output:foo@bar.com.sandbox.
ExtractMailPrefix Indirizzo di posta elettronica o UPN stringa estratta Attributi di estensione da 1 a 15 o altre estensioni di directory, che archiviano un valore UPN o indirizzo di posta elettronica per l'utente. Ad esempio: johndoe@contoso.com. Estrae la parte locale di un indirizzo di posta elettronica. Ad esempio mail:foo@bar.com comporta come attestazione di uscita:foo. Se non è presente un segno @, viene restituita la stringa di input originale.
ToLowercase() string output string Converte i caratteri dell'attributo selezionato in minuscole.
ToUppercase() string output string Converte i caratteri dell'attributo selezionato in maiuscole.
RegexReplace() La trasformazione RegexReplace() accetta come parametri di input:
- Parametro 1: un attributo utente come input regex
- Opzione per considerare attendibile l'origine come multivalore
- Criterio regex
- Modello di sostituzione. Il modello di sostituzione può contenere un formato di testo statico insieme a un riferimento che punta ai gruppi di output regex e a più parametri di input.
  • InputClaims - Usato per passare i dati da una voce dello schema di attestazioni a una trasformazione. Ha tre attributi: ClaimTypeReferenceId ,TransformationClaimType e TreatAsMultiValue.
    • ClaimTypeReferenceId - Unito in join con l'elemento ID della voce dello schema di attestazioni per trovare l'attestazione di input appropriata.
    • TransformationClaimType assegna un nome univoco a questo input. Questo nome deve corrispondere a uno degli input previsti per il metodo di trasformazione.
    • TreatAsMultiValue è un flag booleano che indica se la trasformazione deve essere applicata a tutti i valori o solo al primo. Per impostazione predefinita, le trasformazioni vengono applicate solo al primo elemento in un'attestazione multivalore. L'impostazione di questo valore su true garantisce che venga applicata a tutti. ProxyAddresses e gruppi sono due esempi per le attestazioni di input che probabilmente si intende considerare come un'attestazione multivalore.
  • InputParameters - passa un valore costante a una trasformazione. Include due attributi: Value e ID.
    • Value è il valore costante effettivo da passare.
    • ID viene usato per assegnare un nome univoco all'input. Il nome deve corrispondere a uno degli input previsti per il metodo di trasformazione.
  • OutputClaims - contiene i dati generati da una trasformazione e lo collega a una voce dello schema di attestazione. Include due attributi: ClaimTypeReferenceId e TransformationClaimType.
    • ClaimTypeReferenceId viene unito in join all'elemento ID della voce dello schema di attestazioni per individuare l'attestazione di output appropriata.
    • TransformationClaimType viene usato per assegnare un nome univoco all'output. Il nome deve corrispondere a uno degli output previsti per il metodo di trasformazione.

Eccezioni e restrizioni

NameID e UPN di SAML - gli attributi da cui hanno origine i valori NameID e UPN, e le trasformazioni di attestazioni consentite, presentano limitazioni.

Origine ID Descrizione
user mail Indirizzo di posta elettronica dell'utente.
user userprincipalname Nome dell'entità utente dell'utente.
user onpremisessamaccountname Nome dell'account SAM locale
user employeeid ID dipendente dell'utente.
user telephonenumber Telefoni aziendali o di ufficio dell'utente.
user extensionattribute1 Attributo di estensione 1.
user extensionattribute2 Attributo di estensione 2.
user extensionattribute3 Attributo di estensione 3.
user extensionattribute4 Attributo di estensione 4.
user extensionattribute5 Attributo di estensione 5.
user extensionattribute6 Attributo di estensione 6.
user extensionattribute7 Attributo di estensione 7.
user extensionattribute8 Attributo di estensione 8.
user extensionattribute9 Attributo di estensione 9.
user extensionattribute10 Attributo di estensione 10.
user extensionattribute11 Attributo di estensione 11.
user extensionattribute12 Attributo di estensione 12.
user extensionattribute13 Attributo di estensione 13.
user extensionattribute14 Attributo di estensione 14.
User extensionattribute15 Attributo di estensione 15.

I metodi di trasformazione elencati nella tabella seguente sono consentiti per SAML NameID.

TransformationMethod Restrizioni
ExtractMailPrefix None
Join. Il suffisso da aggiungere deve essere un dominio verificato del tenant delle risorse.

Autorità di certificazione con ID applicazione

  • String - issuerWithApplicationId
  • Tipo di dati - booleano (True o False)
    • Se impostato su True, l'ID applicazione viene aggiunto all'attestazione dell'autorità emittente nei token interessati dai criteri.
    • Se impostato su False, l'ID applicazione non viene aggiunto all'attestazione dell'autorità emittente nei token interessati dai criteri. (predefinito)
  • Summary - consente di includere l'ID applicazione nell'attestazione dell'autorità emittente. Assicura che più istanze della stessa applicazione abbiano un valore di attestazione univoco per ogni istanza. L'impostazione viene ignorata se non è stata configurata una chiave di firma personalizzata per l'applicazione.

Sostituzione del gruppo di destinatari

  • String - audienceOverride
  • Tipo di dati - string
  • Riepilogo - consente di eseguire l'override dell'attestazione del gruppo di destinatari inviata all'applicazione. Il valore specificato deve essere un URI assoluto valido. L'impostazione viene ignorata se non è stata configurata una chiave di firma personalizzata per l'applicazione.

Passaggi successivi