Anspruchsanpassung mithilfe einer Richtlinie

2024-07-03

Ein Richtlinienobjekt stellt eine Reihe von Regeln dar, die für einzelne Anwendungen oder für alle Anwendungen in einem Unternehmen gelten. Jede Art von Richtlinie verfügt über eine eindeutige Struktur mit einem Satz von Eigenschaften, die auf Objekte angewendet werden, denen sie zugewiesen sind.

Microsoft Entra ID unterstützt zwei Möglichkeiten zum Anpassen von Ansprüchen mithilfe von Microsoft Graph/PowerShell für Ihre Anwendungen:

Verwenden der Benutzerdefinierten Anspruchsrichtlinie (Preview)
Verwenden der Anspruchszuordnungsrichtlinie

Benutzerdefinierte Anspruchsrichtlinien und Anspruchszuordnungsrichtlinien sind zwei verschiedene Arten von Richtlinienobjekten, die die in Token enthaltenen Ansprüche ändern.

Die benutzerdefinierte Anspruchsrichtlinie (Preview) ermöglicht Admins das Anpassen zusätzlicher Ansprüche für ihre Anwendungen. Sie kann alternativ zu der über das Microsoft Entra Admin Center angebotenen Anspruchsanpassung verwendet werden, so dass Admins Ansprüche entweder über das Microsoft Entra Admin Center oder MS Graph/PowerShell verwalten können. Sowohl die benutzerdefinierte Anspruchsrichtlinie als auch die über das Microsoft Entra Admin Center angebotene Anspruchsanpassung verwenden dieselbe zugrunde liegende Richtlinie, um zusätzliche Ansprüche für die Dienstprinzipale zu konfigurieren. Admins können jedoch nur eine benutzerdefinierte Anspruchsrichtlinie (Preview) pro Dienstprinzipal konfigurieren. Mit der Methode PUT können Admins ein bestehendes Richtlinienobjekt mit den in der Anforderung übergebenen Werten erstellen oder ersetzen, während die Methode PATCH es Admins ermöglicht, das Richtlinienobjekt mit den in der Anforderung übergebenen Werten zu aktualisieren. Hier erfahren Sie, wie Sie mit der benutzerdefinierten Anspruchsrichtlinie zusätzliche Ansprüche konfigurieren und verwalten können.

Die Anspruchszuordnungsrichtlinie ermöglicht Admins ebenfalls das Anpassen zusätzlicher Ansprüche für ihre Anwendungen. Admins können eine Anspruchszuordnungsrichtlinie konfigurieren und sie mehreren Anwendungen in ihrem Mandanten zuweisen. Wenn ein Admin die Anspruchszuordnungsrichtlinie verwendet, um zusätzliche Ansprüche für eine Anwendungen zu verwalten, können die Ansprüche im Blatt Anspruchsanpassung im Microsoft Entra Admin Center für diese Anwendungen nicht bearbeitet oder aktualisiert werden. Hier erfahren Sie, wie Sie mit der Anspruchszuordnungsrichtlinie zusätzliche Ansprüche konfigurieren und verwalten können.

Hinweis

Die Anspruchszuordnungsrichtlinie ersetzt sowohl die Richtlinie für benutzerdefinierte Ansprüche als auch die über das Microsoft Entra Admin Center angebotene Anpassung von Ansprüchen. Die Anpassung von Ansprüchen für eine Anwendung mithilfe der Anspruchszuordnungsrichtlinie bedeutet, dass die für diese Anwendung ausgestellten Token die Konfiguration in der Richtlinie für benutzerdefinierte Ansprüche oder die Konfiguration im Blatt für die Anpassung von Ansprüchen im Microsoft Entra Admin Center ignorieren. Weitere Informationen zur Anspruchsanpassung finden Sie unter Anpassen von Ansprüchen im Token für Unternehmensanwendungen.

Anspruchsätze

In der folgenden Tabelle sind die Anspruchssätze aufgeführt, die definieren, wie und wann sie in Token verwendet werden.

Satz von Ansprüchen	BESCHREIBUNG
Hauptsatz von Ansprüchen	Sind in jedem Token unabhängig von der Richtlinie vorhanden. Diese Ansprüche sind zudem als eingeschränkt anzusehen und können nicht geändert werden.
Grundlegender Anspruchssatz	Enthält die Ansprüche, die standardmäßig für Token zusätzlich zum Kernanspruchssatz enthalten sind. Mit den Richtlinien für die Anspruchsanpassung und die Anspruchszuordnung können Sie grundlegende Ansprüche weglassen oder ändern.
Eingeschränkter Anspruchssatz	Kann nicht über eine Richtlinie geändert werden. Die Datenquelle kann nicht geändert werden, und beim Generieren der Ansprüche wird keine Transformation angewendet.

Eingeschränkter Anspruchssatz der JSON Web Token (JWT)

Die folgenden Ansprüche befinden sich im eingeschränkten Anspruchssatz für ein JWT.

.
_claim_names
_claim_sources
aai
access_token
account_type
acct
acr
acrs
actor
actortoken
ageGroup
aio
altsecid
amr
app_chain
app_displayname
app_res
appctx
appctxsender
appid
appidacr
assertion
at_hash
aud
auth_data
auth_time
authorization_code
azp
azpacr
bk_claim
bk_enclave
bk_pub
brk_client_id
brk_redirect_uri
c_hash
ca_enf
ca_policy_result
capolids
capolids_latebind
cc
cert_token_use
child_client_id
child_redirect_uri
client_id
client_ip
cloud_graph_host_name
cloud_instance_host_name
cloud_instance_name
CloudAssignedMdmId
cnf
code
controls
controls_auds
credential_keys
csr
csr_type
ctry
deviceid
dns_names
domain_dns_name
domain_netbios_name
e_exp
email
endpoint
enfpolids
exp
expires_on
extn. as prefix
fido_auth_data
fido_ver
fwd
fwd_appidacr
grant_type
graph
group_sids
groups
hasgroups
hash_alg
haswids
home_oid
home_puid
home_tid
iat
identityprovider
idp
idtyp
in_corp
instance
inviteTicket
ipaddr
isbrowserhostedapp
iss
isViral
jwk
key_id
key_type
login_hint
mam_compliance_url
mam_enrollment_url
mam_terms_of_use_url
mdm_compliance_url
mdm_enrollment_url
mdm_terms_of_use_url
msgraph_host
msproxy
nameid
nbf
netbios_name
nickname
nonce
oid
on_prem_id
onprem_sam_account_name
onprem_sid
openid2_id
origin_header
password
platf
polids
pop_jwk
preferred_username
previous_refresh_token
primary_sid
prov_data
puid
pwd_exp
pwd_url
rdp_bt
redirect_uri
refresh_token
refresh_token_issued_on
refreshtoken
request_nonce
resource
rh
role
roles
rp_id
rt_type
scope
scp
secaud
sid
sid
signature
signin_state
source_anchor
src1
src2
sub
target_deviceid
tbid
tbidv2
tenant_ctry
tenant_display_name
tenant_id
tenant_region_scope
tenant_region_sub_scope
thumbnail_photo
tid
tokenAutologonEnabled
trustedfordelegation
ttr
unique_name
upn
user_agent
user_setting_sync_url
username
uti
ver
verified_primary_email
verified_secondary_email
vnet
vsm_binding_key
wamcompat_client_info
wamcompat_id_token
wamcompat_scopes
wids
win_ver
x5c_ca
xcb2b_rclient
xcb2b_rcloud
xcb2b_rtenant
ztdid

Hinweis

Jeder Anspruch, der mit xms_ beginnt, ist eingeschränkt.

Eingeschränkter SAML-Anspruchssatz

In der folgenden Tabelle sind die SAML-Ansprüche aufgelistet, die im eingeschränkten Anspruchssatz enthalten sind.

Eingeschränkter Anspruchstyp (URI):

http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
http://schemas.microsoft.com/2014/03/psso
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
http://schemas.microsoft.com/claims/authnmethodsreferences
http://schemas.microsoft.com/claims/groups.link
http://schemas.microsoft.com/identity/claims/accesstoken
http://schemas.microsoft.com/identity/claims/acct
http://schemas.microsoft.com/identity/claims/agegroup
http://schemas.microsoft.com/identity/claims/aio
http://schemas.microsoft.com/identity/claims/identityprovider
http://schemas.microsoft.com/identity/claims/objectidentifier
http://schemas.microsoft.com/identity/claims/openid2_id
http://schemas.microsoft.com/identity/claims/puid
http://schemas.microsoft.com/identity/claims/scope
http://schemas.microsoft.com/identity/claims/tenantid
http://schemas.microsoft.com/identity/claims/xms_et
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
http://schemas.microsoft.com/ws/2008/06/identity/claims/role
http://schemas.microsoft.com/ws/2008/06/identity/claims/role
http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor

Diese Ansprüche sind standardmäßig eingeschränkt. Dies gilt jedoch nicht, wenn Sie über einen benutzerdefinierten Signaturschlüssel verfügen. Vermeiden Sie das Festlegen von acceptMappedClaims im App-Manifest.

http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

Diese Ansprüche sind standardmäßig eingeschränkt. Dies gilt jedoch nicht, wenn Sie über einen benutzerdefinierten Signaturschlüssel verfügen:

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Eigenschaften der Richtlinie, die für die Anspruchsanpassung verwendet wird

Um zu steuern, welche Ansprüche einbezogen werden und woher die Daten stammen, verwenden Sie die Eigenschaften der Richtlinie für Anspruchsanpassung. Ohne eine Richtlinie gibt das System Token mit den folgenden Ansprüchen aus:

Der Hauptsatz von Ansprüchen.
Der grundlegende Anspruchssatz.
Alle optionalen Ansprüche, die die Anwendung erhalten hat.

Hinweis

Ansprüche im Hauptanspruchssatz sind in jedem Token vorhanden, unabhängig davon, wie diese Eigenschaft festgelegt wird.

Schnur	Datentyp	Zusammenfassung
IncludeBasicClaimSet	Boolesch („True“ oder „False“)	Bestimmt, ob der grundlegende Anspruchssatz in von dieser Richtlinie betroffenen Token enthalten ist. Wenn der Wert auf TRUE festgelegt wird, werden alle Ansprüche im grundlegenden Anspruchssatz in Token ausgegeben, die von der Richtlinie betroffen sind. Wenn der Wert auf FALSE festgelegt wird, werden die Ansprüche im grundlegenden Anspruchssatz nicht in Token ausgegeben, es sei denn, sie werden einzeln in der Ansprücheschemaeigenschaft derselben Richtlinie hinzugefügt.
ClaimsSchema	JSON-Blob mit mindestens einem Anspruchsschemaeintrag	Definiert, welche Ansprüche zusätzlich zum grundlegenden und zum Hauptanspruchssatz in den von der Richtlinie betroffenen Token vorhanden sind. Für jeden Anspruchsschemaeintrag in dieser Eigenschaft definiert sind bestimmte Informationen erforderlich. Geben Sie an, woher die Daten stammen (Wert,Quelle/ID-Paar oder Quelle/ErweiterungsID-Paar) und die Fallart, die als (JWTClaimType oder SamlClaimType) ausgegeben wird.

Elemente eines Anspruchsschemaeintrags

Wert - Das Wertelement definiert die Daten, die im Anspruch ausgegeben werden sollen, als statischen Wert.
SAMLNameForm : Definiert den Wert für das NameFormat-Attribut für diesen Anspruch. Falls vorhanden, lauten die zulässigen Werte:
- urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
- urn:oasis:names:tc:SAML:2.0:attrname-format:uri
- urn:oasis:names:tc:SAML:2.0:attrname-format:basic
Quell-ID-Paar : Definiert, wo die Daten im Anspruch stammen.
Source/ExtensionID-Paar: - Definiert das Attribut der Verzeichniserweiterung, aus dem die Daten im Claim stammen. Weitere Informationen finden Sie unter Verwenden von Verzeichniserweiterungsattributen in Ansprüchen.
Anspruchstyp: Die Elemente JwtClaimType und SamlClaimType definieren, auf welchen Anspruch sich dieser Anspruchsschemaeintrag bezieht.
- „JwtClaimType“ muss den Namen des Anspruchs enthalten, der in JWTs ausgegeben werden soll.
- SamlClaimType muss den URI des Anspruchs enthalten, der in den SAML-Token ausgegeben werden soll.

Legen Sie das Quell-Element auf einen der folgenden Werte fest:

Quellwert	Daten im Anspruch
`user`	Eigenschaft für das User-Objekt.
`application`	Eigenschaft für den Dienstprinzipal der Anwendung (Client).
`resource`	Eigenschaft für den Ressourcendienstprinzipal.
`audience`	Eigenschaft des Service-Principals, der der Empfänger des Tokens ist (entweder der Client- oder der Ressourcen-Service-Principal).
`company`	Eigenschaft im Company-Objekt des Ressourcenmandanten.
`transformation`	Transformation von Ansprüchen Wenn Sie diesen Anspruch verwenden, muss das TransformationID in der Anspruchsdefinition enthalten sein. Dieses Element muss mit dem TransformationID-Element des Transformationseintrags in der Eigenschaft ClaimsTransformation entsprechen, die definiert, wie die Daten für diesen Anspruch generiert werden.

Das ID-Element identifiziert, welche Eigenschaft in der Quelle den Wert für den Anspruch bereitstellt. Die folgende Tabelle listet die ID-Werte auf, die für jeden Wert der Quelle gültig sind.

`Source`	id	BESCHREIBUNG
`user`	`surname`	Der Familienname des Benutzers.
`user`	`givenname`	Angegebener Name des Benutzers
`user`	`displayname`	Der Anzeigename des Benutzers.
`user`	`objectid`	Die Objekt-ID des Benutzers.
`user`	`mail`	Die E-Mail-Adresse des Benutzers.
`user`	`userprincipalname`	Der Hauptbenutzername des Benutzers.
`user`	`department`	Die Abteilung des Benutzers.
`user`	`onpremisessamaccountname`	Der name des lokalen SAM-Kontos des Benutzers.
`user`	`netbiosname`	Der NetBios-Name des Benutzers.
`user`	`dnsdomainname`	Der DNS-Domänenname des Benutzers.
`user`	`onpremisesecurityidentifier`	Die lokale Sicherheitskennung des Benutzers.
`user`	`companyname`	Der Name der Organisation des Benutzers.
`user`	`streetaddress`	Die Adresse des Benutzers.
`user`	`postalcode`	Die Postleitzahl des Benutzers.
`user`	`preferredlanguage`	Die bevorzugte Sprache des Benutzers.
`user`	`onpremisesuserprincipalname`	Der lokale UPN des Benutzers. Wenn Sie eine alternative ID verwenden, wird das lokale Attribut `userPrincipalName` mit dem `onPremisesUserPrincipalName` -Attribut synchronisiert. Dieses Attribut ist nur verfügbar, wenn alternative ID konfiguriert ist.
`user`	`mailnickname`	Der E-Mail-Spitzname des Benutzers.
`user`	`extensionattribute1`	Erweiterungsattribut 1.
`user`	`extensionattribute2`	Erweiterungsattribut 2.
`user`	`extensionattribute3`	Erweiterungsattribut 3.
`user`	`extensionattribute4`	Erweiterungsattribut 4.
`user`	`extensionattribute5`	Erweiterungsattribut 5.
`user`	`extensionattribute6`	Erweiterungsattribut 6.
`user`	`extensionattribute7`	Erweiterungsattribut 7.
`user`	`extensionattribute8`	Erweiterungsattribut 8.
`user`	`extensionattribute9`	Erweiterungsattribut 9.
`user`	`extensionattribute10`	Erweiterungsattribut 10.
`user`	`extensionattribute11`	Erweiterungsattribut 11.
`user`	`extensionattribute12`	Erweiterungsattribut 12.
`user`	`extensionattribute13`	Erweiterungsattribut 13.
`user`	`extensionattribute14`	Erweiterungsattribut 14.
`user`	`extensionattribute15`	Erweiterungsattribut 15.
`user`	`othermail`	Die andere E-Mail des Benutzers.
`user`	`country`	Das Land/die Region des Benutzers.
`user`	`city`	Die Stadt des Benutzers.
`user`	`state`	Das Bundesland des Benutzers.
`user`	`jobtitle`	Die Position des Benutzers.
`user`	`employeeid`	Die Mitarbeiter-ID des Benutzers.
`user`	`facsimiletelephonenumber`	Die Faksimile-Telefonnummer des Benutzers.
`user`	`assignedroles`	Die Liste der App-Rollen, die dem Benutzer zugewiesen sind.
`user`	`accountEnabled`	Zeigt an, ob das Benutzerkonto aktiviert ist.
`user`	`consentprovidedforminor`	Gibt an, ob die Zustimmung für einen Minderjährigen erteilt wurde.
`user`	`createddatetime`	Datum und Uhrzeit der Ereigniserstellung.
`user`	`creationtype`	Zeigt an, wie das Benutzerkonto erstellt wurde.
`user`	`lastpasswordchangedatetime`	Das letzte Datum und die letzte Uhrzeit, zu der das Passwort geändert wurde.
`user`	`mobilephone`	Das Mobiltelefon des Benutzers.
`user`	`officelocation`	Der Bürostandort des Benutzers.
`user`	`onpremisesdomainname`	Der lokale Domänenname des Benutzers.
`user`	`onpremisesimmutableid`	Die lokale unveränderliche ID des Benutzers.
`user`	`onpremisessyncenabled`	Gibt an, ob die lokale Synchronisierung aktiviert ist.
`user`	`preferreddatalocation`	Definiert den bevorzugten Datenspeicherort des Benutzers.
`user`	`proxyaddresses`	Die Proxyadressen des Benutzers.
`user`	`usertype`	Der Benutzerkontotyp.
`user`	`telephonenumber`	Die Geschäfts- oder Bürotelefone des Benutzers.
`application`, `resourceaudience`	`displayname`	Der Anzeigename des Objekts.
`application`, `resourceaudience`	`objectid`	Die ID des Objekts.
`application`, `resourceaudience`	`tags`	Das Dienstprinzipaltag des Objekts.
`company`	`tenantcountry`	Das Land/die Region des Mandanten.

Die einzigen verfügbaren mehrwertigen Anspruchsquellen für ein Benutzerobjekt sind mehrwertige Erweiterungsattribute, die von Active Directory Connect synchronisiert wurden. Andere Eigenschaften (z. B. „othermails“ und „tags“) sind mehrwertige Eigenschaften, aber es wird nur ein Wert ausgegeben, wenn sie als Quelle ausgewählt werden.

Namen und URIs der Ansprüche im eingeschränkten Anspruchssatz können nicht für die Anspruchstypelemente verwendet werden.

Gruppenfilter

Zeichenfolge: GroupFilter
Datentyp: JSON-Blob
Zusammenfassung: Verwenden Sie diese Eigenschaft, um einen Filter auf die Gruppen des*der Benutzers*in anzuwenden, die in den Gruppenanspruch eingeschlossen werden sollen. Diese Eigenschaft kann ein nützliches Mittel zum Verringern der Tokengröße sein.
MatchOn: Identifiziert das Gruppenattribut, auf das der Filter angewendet werden soll. Legen Sie diese Eigenschaft MatchOn auf einen der folgenden Werte fest:
- displayname – Der Gruppenanzeigename.
- samaccountname - Der Name des SAM-Kontos vor Ort.
Type - Legt die Art des Filters fest, der auf das durch die Eigenschaft MatchOn ausgewählte Attribut angewendet wird. Legen Sie diese Type-Eigenschaft auf einen der folgenden Werte fest:
- prefix - Schließt Gruppen ein, bei denen die Eigenschaft MatchOn mit der angegebenen Eigenschaft Value beginnt.
- suffix Schließt Gruppen ein, bei denen die Eigenschaft MatchOn mit der angegebenen Eigenschaft Value endet.
- contains - Schließt Gruppen ein, bei denen die Eigenschaft MatchOn mit der angegebenen Eigenschaft Value übereinstimmt.

Transformation von Ansprüchen

Zeichenfolge - ClaimsTransformation
Datentyp - JSON-Blob mit mindestens einem Transformationseintrag
Zusammenfassung - Mit dieser Eigenschaft können Sie allgemeine Transformationen auf Quelldaten anwenden, um Ausgabedaten für Ansprüche zu generieren, die im Anspruchsschema angegebenen wurden.
ID - Verweist auf den Transformationseintrag im Eintrag TransformationID Claims Schema. Dieser Wert muss für jeden Transformationseintrag innerhalb dieser Richtlinie eindeutig sein.
TransformationMethod : Gibt den Vorgang an, der ausgeführt wird, um die Daten für den Anspruch zu generieren.

Auf der Grundlage der ausgewählten Methode wird eine Reihe von Eingaben und Ausgaben erwartet. Definieren Sie die Eingaben und Ausgaben mithilfe von InputClaims, InputParameters und OutputClaims.

Transformationsmethode	Erwartete Eingabe	Erwartete Ausgabe	BESCHREIBUNG
Tritt bei	Zeichenfolge1, Zeichenfolge2, Trennzeichen	Ausgabeanspruch	Verknüpft Eingabezeichenfolgen mit einer eingefügten Trennzeichen. Zum Beispiel: string1: `foo@bar.com`, string2: `sandbox`, separator: `.` ergibt die Ausgabe claim: `foo@bar.com.sandbox`.
ExtractMailPrefix	E-Mail oder Benutzerprinzipalname (UPN)	Extrahierte Zeichenfolge	Erweiterungsattribute 1-15 oder beliebige andere Verzeichniserweiterungen, die einen UPN- oder E-Mail-Adresswert für den Benutzer speichern. Beispiel: `johndoe@contoso.com`. Extrahiert den lokalen Teil einer E-Mail-Adresse. Beispielsweise führt mail:`foo@bar.com` zu Ausgabeanspruch:`foo`. Wenn kein @-Zeichen vorhanden ist, wird die ursprüngliche Eingabezeichenfolge unverändert zurückgegeben.
ToLowercase()	Zeichenfolge	Ausgabezeichenfolge	Konvertiert die Zeichen des ausgewählten Attributs in Kleinbuchstaben.
ToUppercase()	Zeichenfolge	Ausgabezeichenfolge	Konvertiert die Zeichen des ausgewählten Attributs in Großbuchstaben.
RegexReplace()			Die RegexReplace()-Transformation akzeptiert diese Werte als Eingabeparameter: – Parameter 1: ein Benutzerattribut als RegEx-Eingabe – Eine Option zum Vertrauen der mehrwertigen Quelle – RegEx-Muster – Ersetzungsmuster Das Ersetzungsmuster kann statisches Textformat zusammen mit einem Verweis auf RegEx-Ausgabegruppen und zusätzliche Eingabeparameter enthalten.

InputClaims: - Wird verwendet, um die Daten aus einem Fallschemaeintrag an eine Transformation zu übergeben. Es verfügt über drei Attribute: ClaimTypeReferenceId, TransformationClaimType und TreatAsMultiValue
- ClaimTypeReferenceId - Wird mit dem ID-Element des Fallschemaeintrags verbunden, um den entsprechenden Eingabefall zu finden.
- TransformationClaimType Verleiht dieser Eingabe einen eindeutigen Namen. Dieser Name muss einem der erwarteten Eingaben für die Transformationsmethode entsprechen.
- TreatAsMultiValue ist ein boolesches Flag, das angibt, ob die Transformation auf alle Werte oder nur auf den ersten angewendet werden soll. Standardmäßig wird die Transformation auf das erste Element in einem mehrwertigen Anspruch angewendet. Durch Festlegen dieses Werts auf true wird sichergestellt, dass er auf alle angewendet wird. ProxyAddresses und Gruppen sind zwei Beispiele für Eingabeansprüche, die Sie wahrscheinlich als Mehrwert behandeln möchten.
InputParameters : Übergibt einen konstanten Wert an eine Transformation. Es verfügt über zwei Attribute: Value und ID.
- Value ist der tatsächliche, konstante Wert, der übergeben werden soll.
- ID wird verwendet, um der Eingabe einen eindeutigen Namen zu geben. Der Name muss einem der erwarteten Eingaben für die Transformationsmethode entsprechen.
Verwenden Sie ein OutputClaims-Element, um die von einer Transformation generierten Daten zu verwenden und es an einen Anspruchsschemaeintrag zu binden. Es verfügt über zwei Attribute: ClaimTypeReferenceId und TransformationClaimType.
- ClaimTypeReferenceId ist mit der ID des Anspruchsschemaeintrags verknüpft, um die entsprechende Ausgabenspalte zu suchen.
- TransformationClaimType wird verwendet, um der Ausgabe einen eindeutigen Namen zu geben. Der Name muss einer der erwarteten Ausgaben für die Transformationsmethode entsprechen.

Ausnahmen und Einschränkungen

SAML-NameID und -UPN: Die Attribute, aus denen die Werte von NameID und UPN stammen, und die zulässigen Transformationsansprüche sind begrenzt.

`Source`	id	BESCHREIBUNG
`user`	`mail`	Die E-Mail-Adresse des Benutzers.
`user`	`userprincipalname`	Der Hauptbenutzername des Benutzers.
`user`	`onpremisessamaccountname`	Name des lokalen SAM-Kontos
`user`	`employeeid`	Die Mitarbeiter-ID des Benutzers.
`user`	`telephonenumber`	Die Geschäfts- oder Bürotelefone des Benutzers.
`user`	`extensionattribute1`	Erweiterungsattribut 1.
`user`	`extensionattribute2`	Erweiterungsattribut 2.
`user`	`extensionattribute3`	Erweiterungsattribut 3.
`user`	`extensionattribute4`	Erweiterungsattribut 4.
`user`	`extensionattribute5`	Erweiterungsattribut 5.
`user`	`extensionattribute6`	Erweiterungsattribut 6.
`user`	`extensionattribute7`	Erweiterungsattribut 7.
`user`	`extensionattribute8`	Erweiterungsattribut 8.
`user`	`extensionattribute9`	Erweiterungsattribut 9.
`user`	`extensionattribute10`	Erweiterungsattribut 10.
`user`	`extensionattribute11`	Erweiterungsattribut 11.
`user`	`extensionattribute12`	Erweiterungsattribut 12.
`user`	`extensionattribute13`	Erweiterungsattribut 13.
`user`	`extensionattribute14`	Erweiterungsattribut 14.
`User`	`extensionattribute15`	Erweiterungsattribut 15.

Die in der folgenden Tabelle aufgeführten Transformationsmethoden sind für SAML NameID zulässig.

Transformationsmethode	Beschränkungen
ExtractMailPrefix	Keine
Tritt bei	Bei dem zu verknüpfenden Suffix muss es sich um eine überprüfte Domäne des Ressourcenmandanten handeln.

Aussteller mit Anwendungs-ID

String - issuerWithApplicationId
Datentyp: Boolesch (TRUE oder FALSE)
- Bei Festlegung auf True wird die Anwendungs-ID dem Ausstelleranspruch in Token hinzugefügt, die von der Richtlinie betroffen sind.
- Bei Festlegung auf False wird die Anwendungs-ID dem Ausstelleranspruch nicht in Token hinzugefügt, die von der Richtlinie betroffen sind. (Standard)
Zusammenfassung : Ermöglicht die Aufnahme der Anwendungs-ID in den Ausstelleranspruch. Stellt sicher, dass bei mehreren Instanzen derselben Anwendung jede Instanz einen eindeutigen Anspruchswert aufweist. Diese Einstellung wird ignoriert, wenn kein benutzerdefinierter Signaturschlüssel für die Anwendung konfiguriert ist.

Zielgruppenüberschreibung

Zeichenfolge – audienceOverride
Datentyp - String
Zusammenfassung : Ermöglicht das Überschreiben des An die Anwendung gesendeten Zielgruppenanspruchs. Der bereitgestellte Wert muss ein gültiger absoluter URI sein. Diese Einstellung wird ignoriert, wenn kein benutzerdefinierter Signaturschlüssel für die Anwendung konfiguriert ist.

Nächste Schritte

Weitere Informationen zu Erweiterungsattributen finden Sie unter Verzeichniserweiterungsattribute in Ansprüchen.

Feedback

War diese Seite hilfreich?

Freigeben über

Anspruchsanpassung mithilfe einer Richtlinie

Anspruchsätze

Eingeschränkter Anspruchssatz der JSON Web Token (JWT)

Eingeschränkter SAML-Anspruchssatz

Eigenschaften der Richtlinie, die für die Anspruchsanpassung verwendet wird

Elemente eines Anspruchsschemaeintrags

Gruppenfilter

Transformation von Ansprüchen

Ausnahmen und Einschränkungen

Aussteller mit Anwendungs-ID

Zielgruppenüberschreibung

Nächste Schritte

Feedback

Zusätzliche Ressourcen