다음을 통해 공유


Microsoft Graph 사용자 지정 클레임 정책을 사용하여 클레임 사용자 지정(미리 보기)

‘클레임’은 해당 사용자에 대해 발급하는 토큰 내에서 ID 공급자가 사용자에 대해 나타내는 정보입니다. 클레임 사용자 지정은 테넌트 관리자가 테넌트의 특정 애플리케이션에 대한 토큰에 내보내는 클레임을 사용자 지정하는 데 사용됩니다. 클레임 사용자 지정은 SAML, OAuth 및 OpenID Connect 프로토콜을 사용하여 애플리케이션에 대한 클레임 구성을 지원합니다. 클레임 사용자 지정을 사용하여 다음을 수행할 수 있습니다.

  • 토큰에 포함할 클레임을 선택합니다.
  • 아직 존재하지 않는 클레임 형식을 만듭니다.
  • 특정 클레임에 내보내지는 데이터 원본을 선택하거나 변경합니다.

이 방법 가이드에서는 사용자 지정 클레임 정책을 사용하는 방법을 이해하는 데 도움이 되는 몇 가지 일반적인 시나리오를 다룹니다.

필수 조건

Microsoft Entra ID의 클레임 사용자 지정

Microsoft Entra ID는 애플리케이션에 Microsoft Graph/PowerShell을 사용하여 클레임을 사용자 지정하는 두 가지 방법을 지원합니다.

  • 사용자 지정 클레임 정책 사용 (미리 보기)
  • 클레임 매핑 정책 사용

다음 예제에서는 서비스 주체에 대한 정책을 만들고, 업데이트하고, 바꿉니다. 사용자 지정 클레임 정책은 항상 서비스 주체 개체에 연결됩니다. 애플리케이션/서비스 주체에 대한 사용자 지정 클레임 정책을 만들기 전에 필수 구성 요소의 일부로 엔터프라이즈 애플리케이션을 구성했는지 확인합니다.

브라우저에서 Microsoft Graph Explorer를 열고 적어도 애플리케이션 관리자로 Microsoft Graph Explorer에 로그인하고 다음 시나리오 중 하나를 선택합니다.

사용자 지정 클레임 정책을 만든 후에는 토큰에 사용자 지정된 클레임이 포함되어 있음을 승인하도록 애플리케이션을 구성해야 합니다. 자세한 내용은 보안 고려 사항을 참조 하세요.

토큰에서 기본 클레임 생략

이 예제에서는 연결된 서비스 주체에 발급된 토큰에서 기본 클레임 집합을 제거하는 사용자 지정 클레임 정책을 만듭니다.

  1. Microsoft Graph Explorer에서 서비스 주체 API를 사용하기 위한 사용자 지정 클레임 정책을 구성하려는 애플리케이션을 식별합니다.

  2. 다음 API를 실행하여 사용자 지정 클레임 정책을 만듭니다. 서비스 주체에 연결된 이 정책은 토큰에서 기본 클레임을 생략합니다.

    PUT https://graph.microsoft.com/beta/servicePrincipals/<servicePrincipal-id>/claimsPolicy
    

    요청 본문:

    {
        "includeBasicClaimSet": false
    }
    
  3. 새 정책을 보려면 다음 명령을 실행합니다.

    GET https://graph.microsoft.com/beta/servicePrincipals/<servicePrincipal-id>/claimsPolicy
    

    응답:

    HTTP/1.1 200 OK
    Content-type: application/json
    
    {
        "@odata.context": "…",
        "id": "aaaaaaaa-bbbb-cccc-1111-222222222222.",
        "includeBasicClaimSet": false,
        "includeApplicationIdInIssuer": false,
        "audienceOverride": null,
        "groupFilter": null,
        "claims": []
    }
    

EmployeeIDTenantCountry를 토큰에서 클레임으로 포함

이 예제에서는 토큰 및 TenantCountry 토큰을 추가하는 클레임에 EmployeeID 대한 사용자 지정을 만듭니다. 이 예제에서는 토큰에 설정된 기본 클레임도 포함합니다.

  1. Microsoft Graph Explorer에서 서비스 주체 API를 사용하기 위한 사용자 지정 클레임 정책을 구성하려는 애플리케이션을 식별합니다.

  2. 다음 API를 실행하여 사용자 지정 클레임 정책을 만듭니다. 서비스 주체에 연결된 이 정책은 토큰에 EmployeeID 및 TenantCountry 클레임을 추가합니다.

    PUT https://graph.microsoft.com/beta/servicePrincipals/<servicePrincipal-id>/claimsPolicy
    

    요청 본문:

    {
        "includeBasicClaimSet": true,
        "claims": [
            {
                "@odata.type": "#microsoft.graph.customClaim",
                "name": "employeeId",
                "namespace": null,
                "tokenFormat": [
                    "jwt"
                ],
                "samlAttributeNameFormat": null,
                "configurations": [
                    {
                        "condition": null,
                        "attribute": {
                            "@odata.type": "#microsoft.graph.sourcedAttribute",
                            "id": " employeeid",
                            "source": "user",
                            "isExtensionAttribute": false
                        },
                        "transformations": []
                    }
                ]
            },
            {
                "@odata.type": "#microsoft.graph.customClaim",
                "name": "country",
                "namespace": null,
                "tokenFormat": [
                    "jwt"
                ],
                "samlAttributeNameFormat": null,
                "configurations": [
                    {
                        "condition": null,
                        "attribute": {
                            "@odata.type": "#microsoft.graph.sourcedAttribute",
                            "id": " tenantcountry",
                            "source": "user",
                            "isExtensionAttribute": false
                        },
                        "transformations": []
                    }
                ]
            }
        ]
    }
    
  3. 새 정책을 보려면 다음 명령을 실행합니다.

    GET https://graph.microsoft.com/beta/servicePrincipals/<servicePrincipal-id>/claimsPolicy
    

    응답:

    {
        "@odata.context": "…",
        "id": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "includeBasicClaimSet": true,
        "includeApplicationIdInIssuer": false,
        "audienceOverride": null,
        "groupFilter": null,
        "claims": [...]
    }
    

토큰에서 클레임 변환 사용

이 예제에서는 연결된 서비스 주체에 발급된 JWT에 사용자 지정 클레임 "JoinedData"를 내보내는 정책을 업데이트합니다. 이 클레임에는 사용자 개체의 extensionattribute1 특성에 저장된 데이터와 "-ext"를 조인하여 만든 값이 포함됩니다. 이 예제에서는 토큰에 기본 클레임 집합을 제외합니다.

  1. Microsoft Graph Explorer에서 서비스 주체 API를 사용하기 위한 사용자 지정 클레임 정책을 구성하려는 애플리케이션을 식별합니다.

  2. 다음 API를 실행하여 사용자 지정 클레임 정책을 만듭니다. 이 정책은 토큰에 대한 사용자 지정 클레임 JoinedData 을 내보낸다.

    PATCH https://graph.microsoft.com/beta/servicePrincipals/<servicePrincipal-id>/claimsPolicy
    

    요청 본문:

    {
        "includeBasicClaimSet": true,
        "claims": 
        [
            {
                "@odata.type": "#microsoft.graph.customClaim",
                "name": "JoinedData",
                "namespace": null,
                "tokenFormat": [
                    "jwt"
                ],
                "samlAttributeNameFormat": null,
                "configurations": 
                [
                    {
                        "condition": null,
                        "attribute": null,
                        "transformations": 
                        [
                            {
                                "@odata.type": "#microsoft.graph.joinTransformation",
                                "separator": "-",
                                "input": 
                                {
                                    "treatAsMultiValue": false,
                                    "attribute": 
                                    {
                                        "@odata.type": "#microsoft.graph.sourcedAttribute",
                                        "id": "extensionattribute1",
                                        "source": "user",
                                        "isExtensionAttribute": false
                                    }
                                },
                                "input2": 
                                {
                                    "treatAsMultiValue": false,
                                    "attribute": 
                                    {
                                        "@odata.type":"#microsoft.graph.valueBasedAttribute",
                                        "value": "ext"
                                     }
                                }
                            }
                        ]
                    }
                ]
            }
        ]
    }
    

    참고 항목

    사용자 지정 클레임 정책은 강력한 형식의 정책이며 각 변환은 다른 @odata.type 값을 사용합니다.

  3. 새 정책을 보고 ObjectId 정책을 가져오려면 다음 명령을 실행합니다.

    GET https://graph.microsoft.com/beta/servicePrincipals/<servicePrincipal-id>/claimsPolicy
    

    응답:

    {
        "@odata.context": "…",
        "id": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "includeBasicClaimSet": true,
        "includeApplicationIdInIssuer": false,
        "audienceOverride": null,
        "groupFilter": null,
        "claims": [...]
    }