Mapping delle attestazioni in Azure Active Directory (anteprima pubblica)Claims mapping in Azure Active Directory (public preview)

Nota

Questa funzionalità sostituisce e prevale sulla funzionalità di personalizzazione delle attestazioni offerta attualmente tramite il portale.This feature replaces and supersedes the claims customization offered through the portal today. Se si personalizzano le attestazioni tramite il portale in aggiunta alla modalità Graph/PowerShell descritta in dettaglio in questo documento nella stessa applicazione, i token emessi per l'applicazione ignoreranno la configurazione nel portale.If you customize claims using the portal in addition to the Graph/PowerShell method detailed in this document on the same application, tokens issued for that application will ignore the configuration in the portal. Le configurazioni eseguite nei modi descritti in dettaglio in questo documento non si rifletteranno nel portale.Configurations made through the methods detailed in this document will not be reflected in the portal.

Questa funzionalità viene usata dagli amministratori tenant per personalizzare le attestazioni generate nei token per un'applicazione specifica nel tenant.This feature is used by tenant admins to customize the claims emitted in tokens for a specific application in their tenant. È possibile usare i criteri di mapping delle attestazioni per:You can use claims mapping policies to:

  • Selezionare le attestazioni che vengono incluse nei token.Select which claims are included in tokens.
  • Creare tipi di attestazione non esistenti.Create claim types that do not already exist.
  • Scegliere o modificare l'origine dei dati generati in attestazioni specifiche.Choose or change the source of data emitted in specific claims.

Nota

Questa funzionalità è attualmente disponibile in anteprima pubblica.This capability currently is in public preview. Potrebbe essere necessario ripristinare o rimuovere eventuali modifiche.Be prepared to revert or remove any changes. La funzionalità è disponibile in tutte le sottoscrizioni di Azure Active Directory (Azure AD) durante l'anteprima pubblica.The feature is available in any Azure Active Directory (Azure AD) subscription during public preview. Quando la funzionalità sarà disponibile a livello generale, alcuni aspetti potrebbero tuttavia richiedere una sottoscrizione Azure Active Directory Premium.However, when the feature becomes generally available, some aspects of the feature might require an Azure Active Directory premium subscription.

Tipo di criteri di mapping di attestazioniClaims mapping policy type

In Azure AD un oggetto Criteri rappresenta un set di regole imposto su singole applicazioni o su tutte le applicazioni in un'organizzazione.In Azure AD, a Policy object represents a set of rules enforced on individual applications, or on all applications in an organization. Ogni tipo di criteri ha una struttura univoca con un set di proprietà che vengono in seguito applicate agli oggetti a cui sono assegnate.Each type of policy has a unique structure, with a set of properties that are then applied to objects to which they are assigned.

I criteri di mapping delle attestazioni sono un tipo di oggetto Criteri che modifica le attestazioni generate nei token emessi per applicazioni specifiche.A claims mapping policy is a type of Policy object that modifies the claims emitted in tokens issued for specific applications.

Set di attestazioniClaim sets

Alcuni set di attestazioni definiscono come e quando vengono utilizzate nei token.There are certain sets of claims that define how and when they are used in tokens.

Set di attestazioni coreCore claim set

Le attestazioni nel set di attestazioni core sono presenti in ogni token, indipendentemente dai criteri.Claims in the core claim set are present in every token, regardless of policy. Queste attestazioni sono anche considerate limitate e non possono essere modificate.These claims are also considered restricted, and cannot be modified.

Set di attestazioni di baseBasic claim set

Il set di attestazioni di base include le attestazioni generate per impostazione predefinita per i token (oltre al set di attestazioni core).The basic claim set includes the claims that are emitted by default for tokens (in addition to the core claim set). Queste attestazioni possono essere omesse o modificate usando i criteri di mapping delle attestazioni.These claims can be omitted or modified by using the claims mapping policies.

Set di attestazioni con restrizioniRestricted claim set

Le attestazioni con restrizioni non possono essere modificate usando i criteri.Restricted claims cannot be modified by using policy. L'origine dati non può essere modificata e non viene applicata alcuna trasformazione durante la generazione di queste attestazioni.The data source cannot be changed, and no transformation is applied when generating these claims.

Tabella 1: Set di attestazioni limitate al token JSON Web (JWT)Table 1: JSON Web Token (JWT) restricted claim set

Tipo di attestazione (nome)Claim type (name)
_claim_names_claim_names
_claim_sources_claim_sources
access_tokenaccess_token
account_typeaccount_type
acracr
actoractor
actortokenactortoken
aioaio
altsecidaltsecid
amramr
app_chainapp_chain
app_displaynameapp_displayname
app_resapp_res
appctxappctx
appctxsenderappctxsender
appidappid
appidacrappidacr
assertionassertion
at_hashat_hash
audaud
auth_dataauth_data
auth_timeauth_time
authorization_codeauthorization_code
azpazp
azpacrazpacr
c_hashc_hash
ca_enfca_enf
cccc
cert_token_usecert_token_use
client_idclient_id
cloud_graph_host_namecloud_graph_host_name
cloud_instance_namecloud_instance_name
cnfcnf
codecode
controlscontrols
credential_keyscredential_keys
csrcsr
csr_typecsr_type
deviceiddeviceid
dns_namesdns_names
domain_dns_namedomain_dns_name
domain_netbios_namedomain_netbios_name
e_expe_exp
emailemail
endpointendpoint
enfpolidsenfpolids
expexp
expires_onexpires_on
grant_typegrant_type
graphgraph
group_sidsgroup_sids
groupsgroups
hasgroupshasgroups
hash_alghash_alg
home_oidhome_oid
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstanthttp://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethodhttp://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
http://schemas.microsoft.com/ws/2008/06/identity/claims/expirationhttp://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
http://schemas.microsoft.com/ws/2008/06/identity/claims/expiredhttp://schemas.microsoft.com/ws/2008/06/identity/claims/expired
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddresshttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/namehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifierhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
iatiat
identityprovideridentityprovider
idpidp
in_corpin_corp
instanceinstance
ipaddripaddr
isbrowserhostedappisbrowserhostedapp
ississ
jwkjwk
key_idkey_id
key_typekey_type
mam_compliance_urlmam_compliance_url
mam_enrollment_urlmam_enrollment_url
mam_terms_of_use_urlmam_terms_of_use_url
mdm_compliance_urlmdm_compliance_url
mdm_enrollment_urlmdm_enrollment_url
mdm_terms_of_use_urlmdm_terms_of_use_url
nameidnameid
nbfnbf
netbios_namenetbios_name
noncenonce
oidoid
on_prem_idon_prem_id
onprem_sam_account_nameonprem_sam_account_name
onprem_sidonprem_sid
openid2_idopenid2_id
passwordpassword
platfplatf
polidspolids
pop_jwkpop_jwk
preferred_usernamepreferred_username
previous_refresh_tokenprevious_refresh_token
primary_sidprimary_sid
puidpuid
pwd_exppwd_exp
pwd_urlpwd_url
redirect_uriredirect_uri
refresh_tokenrefresh_token
refreshtokenrefreshtoken
request_noncerequest_nonce
resourceresource
rolerole
rolesroles
scopescope
scpscp
sidsid
signaturesignature
signin_statesignin_state
src1src1
src2src2
subsub
tbidtbid
tenant_display_nametenant_display_name
tenant_region_scopetenant_region_scope
thumbnail_photothumbnail_photo
tidtid
tokenAutologonEnabledtokenAutologonEnabled
trustedfordelegationtrustedfordelegation
unique_nameunique_name
upnupn
user_setting_sync_urluser_setting_sync_url
usernameusername
utiuti
verver
verified_primary_emailverified_primary_email
verified_secondary_emailverified_secondary_email
widswids
win_verwin_ver

Tabella 2: Set di attestazioni limitate Security Assertion Markup Language (SAML)Table 2: Security Assertion Markup Language (SAML) restricted claim set

Tipo di attestazione (URI)Claim type (URI)
http://schemas.microsoft.com/ws/2008/06/identity/claims/expirationhttp://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
http://schemas.microsoft.com/ws/2008/06/identity/claims/expiredhttp://schemas.microsoft.com/ws/2008/06/identity/claims/expired
http://schemas.microsoft.com/identity/claims/accesstokenhttp://schemas.microsoft.com/identity/claims/accesstoken
http://schemas.microsoft.com/identity/claims/openid2_idhttp://schemas.microsoft.com/identity/claims/openid2_id
http://schemas.microsoft.com/identity/claims/identityproviderhttp://schemas.microsoft.com/identity/claims/identityprovider
http://schemas.microsoft.com/identity/claims/objectidentifierhttp://schemas.microsoft.com/identity/claims/objectidentifier
http://schemas.microsoft.com/identity/claims/puidhttp://schemas.microsoft.com/identity/claims/puid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier[MR1]http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier[MR1]
http://schemas.microsoft.com/identity/claims/tenantidhttp://schemas.microsoft.com/identity/claims/tenantid
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstanthttp://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethodhttp://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/identityproviderhttp://schemas.microsoft.com/accesscontrolservice/2010/07/claims/identityprovider
http://schemas.microsoft.com/ws/2008/06/identity/claims/groupshttp://schemas.microsoft.com/ws/2008/06/identity/claims/groups
http://schemas.microsoft.com/claims/groups.linkhttp://schemas.microsoft.com/claims/groups.link
http://schemas.microsoft.com/ws/2008/06/identity/claims/rolehttp://schemas.microsoft.com/ws/2008/06/identity/claims/role
http://schemas.microsoft.com/ws/2008/06/identity/claims/widshttp://schemas.microsoft.com/ws/2008/06/identity/claims/wids
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscomplianthttp://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
http://schemas.microsoft.com/2014/02/devicecontext/claims/isknownhttp://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanagedhttp://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
http://schemas.microsoft.com/2014/03/pssohttp://schemas.microsoft.com/2014/03/psso
http://schemas.microsoft.com/claims/authnmethodsreferenceshttp://schemas.microsoft.com/claims/authnmethodsreferences
http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actorhttp://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor
http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuernamehttp://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkeyhttp://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnamehttp://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecisionhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authenticationhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sidhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysidhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegrouphttp://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaimhttp://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegrouphttp://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversionhttp://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthorityhttp://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaimhttp://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishednamehttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsidhttp://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spnhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistenthttp://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifierhttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
http://schemas.microsoft.com/identity/claims/scopehttp://schemas.microsoft.com/identity/claims/scope

Proprietà di criteri di mapping di attestazioniClaims mapping policy properties

Usare le proprietà dei criteri di mapping delle attestazioni per controllare quali attestazioni vengono generate e da quali origini provengono i dati.Use the properties of a claims mapping policy to control which claims are emitted, and where the data is sourced from. Se non sono impostati criteri, il sistema emette token contenenti il set di attestazioni core, il set di attestazioni di base ed eventuali attestazioni facoltative che l'applicazione ha scelto di ricevere.If no policy is set, the system issues tokens containing the core claim set, the basic claim set, and any optional claims that the application has chosen to receive.

Includere set di attestazioni di baseInclude basic claim set

Stringa: IncludeBasicClaimSetString: IncludeBasicClaimSet

Tipo di dati: booleano (True o False)Data type: Boolean (True or False)

Riepilogo: questa proprietà specifica se il set di attestazioni di base sia incluso nei token interessati da questo criterio.Summary: This property determines whether the basic claim set is included in tokens affected by this policy.

  • Se impostata su True, tutte le attestazioni nel set di attestazioni di base verranno generate nei token interessati dal criterio.If set to True, all claims in the basic claim set are emitted in tokens affected by the policy.
  • Se impostata su False, le attestazioni nel set di attestazioni di base non vengono generate nei token, a meno che non vengano aggiunte singolarmente nella proprietà dello schema delle attestazioni degli stessi criteri.If set to False, claims in the basic claim set are not in the tokens, unless they are individually added in the claims schema property of the same policy.

Nota

Le attestazioni del set di attestazioni core sono presenti in ogni token, indipendentemente dall'impostazione di questa proprietà.Claims in the core claim set are present in every token, regardless of what this property is set to.

Schema di attestazioniClaims schema

Stringa: ClaimsSchemaString: ClaimsSchema

Tipo di dati: BLOB JSON con una o più voci dello schema di attestazioniData type: JSON blob with one or more claim schema entries

Riepilogo: questa proprietà definisce quali attestazioni sono presenti nei token interessati dai criteri, oltre al set di attestazioni di base e al set di attestazioni core.Summary: This property defines which claims are present in the tokens affected by the policy, in addition to the basic claim set and the core claim set. Per ogni voce di schema di attestazioni definita in questa proprietà sono necessarie alcune informazioni.For each claim schema entry defined in this property, certain information is required. È necessario specificare la provenienza dei dati (Value o Coppia Source/ID) e con quale attestazione vengono emessi i dati (Tipo di attestazione).You must specify where the data is coming from (Value or Source/ID pair), and which claim the data is emitted as (Claim Type).

Elementi di voci dello schema di attestazioniClaim schema entry elements

Value: l'elemento Value definisce un valore statico come dati da generare nell'attestazione.Value: The Value element defines a static value as the data to be emitted in the claim.

Coppia Source/ID: gli elementi Source e ID definiscono l'origine da cui verranno ricavati i dati nell'attestazione.Source/ID pair: The Source and ID elements define where the data in the claim is sourced from.

L'elemento Source deve essere impostato su uno dei valori seguenti:The Source element must be set to one of the following:

  • "user": i dati nell'attestazione sono una proprietà dell'oggetto User."user": The data in the claim is a property on the User object.
  • "application": i dati nell'attestazione sono una proprietà dell'entità servizio application (client)."application": The data in the claim is a property on the application (client) service principal.
  • "resource": i dati nell'attestazione sono una proprietà dell'entità servizio resource."resource": The data in the claim is a property on the resource service principal.
  • "audience": i dati nell'attestazione sono una proprietà dell'entità servizio che corrisponde al destinatario del token (entità servizio resource o client)."audience": The data in the claim is a property on the service principal that is the audience of the token (either the client or resource service principal).
  • "company": i dati nell'attestazione sono una proprietà dell'oggetto company del tenant delle risorse.“company”: The data in the claim is a property on the resource tenant’s Company object.
  • "transformation": i dati nell'attestazione derivano dalla trasformazione delle attestazioni. Vedere la sezione "Trasformazione delle attestazioni" più avanti in questo articolo."transformation": The data in the claim is from claims transformation (see the "Claims transformation" section later in this article).

Se l'origine è transformation, anche l'elemento TransformationID deve essere incluso in questa definizione di attestazione.If the source is transformation, the TransformationID element must be included in this claim definition as well.

L'elemento ID identifica la proprietà dell'origine che indica il valore per l'attestazione.The ID element identifies which property on the source provides the value for the claim. La tabella seguente elenca i valori di ID validi per ogni valore di Source.The following table lists the values of ID valid for each value of Source.

Tabella 3: Valori di ID validi per ogni SourceTable 3: Valid ID values per source

SorgenteSource IDID DescrizioneDescription
UtenteUser surnamesurname CognomeFamily Name
UtenteUser givennamegivenname NomeGiven Name
UtenteUser displaynamedisplayname Nome visualizzatoDisplay Name
UtenteUser objectIdobjectid ObjectIDObjectID
UtenteUser mailmail Indirizzo di posta elettronicaEmail Address
UtenteUser userprincipalnameuserprincipalname Nome dell'entità utenteUser Principal Name
UtenteUser departmentdepartment departmentDepartment
UtenteUser onpremisessamaccountnameonpremisessamaccountname Nome account SAM localeOn Premises Sam Account Name
UtenteUser netbiosnamenetbiosname Nome NetBiosNetBios Name
UtenteUser dnsdomainnamednsdomainname Nome di dominio DNSDns Domain Name
UtenteUser onpremisesecurityidentifieronpremisesecurityidentifier ID di sicurezza localeon-premises Security Identifier
UtenteUser companynamecompanyname Nome organizzazioneOrganization Name
UtenteUser streetaddressstreetaddress IndirizzoStreet Address
UtenteUser postalcodepostalcode CAPPostal Code
UtenteUser preferredlanguangepreferredlanguange Lingua preferitaPreferred Language
UtenteUser onpremisesuserprincipalnameonpremisesuserprincipalname UPN localeon-premises UPN
UtenteUser mailNicknamemailnickname Nome di posta elettronica alternativoMail Nickname
UtenteUser extensionattribute1extensionattribute1 Attributo di estensione 1Extension Attribute 1
UtenteUser extensionattribute2extensionattribute2 Attributo di estensione 2Extension Attribute 2
UtenteUser extensionattribute3extensionattribute3 Attributo di estensione 3Extension Attribute 3
UtenteUser extensionattribute4extensionattribute4 Attributo di estensione 4Extension Attribute 4
UtenteUser extensionattribute5extensionattribute5 Attributo di estensione 5Extension Attribute 5
UtenteUser extensionattribute6extensionattribute6 Attributo di estensione 6Extension Attribute 6
UtenteUser extensionattribute7extensionattribute7 Attributo di estensione 7Extension Attribute 7
UtenteUser extensionattribute8extensionattribute8 Attributo di estensione 8Extension Attribute 8
UtenteUser extensionattribute9extensionattribute9 Attributo di estensione 9Extension Attribute 9
UtenteUser extensionattribute10extensionattribute10 Attributo di estensione 10Extension Attribute 10
UtenteUser extensionattribute11extensionattribute11 Attributo di estensione 11Extension Attribute 11
UtenteUser extensionattribute12extensionattribute12 Attributo di estensione 12Extension Attribute 12
UtenteUser extensionattribute13extensionattribute13 Attributo di estensione 13Extension Attribute 13
UtenteUser extensionattribute14extensionattribute14 Attributo di estensione 14Extension Attribute 14
UtenteUser extensionattribute15extensionattribute15 Attributo di estensione 15Extension Attribute 15
UtenteUser othermailothermail Posta elettronica alternativaOther Mail
UtenteUser countrycountry PaeseCountry
UtenteUser citycity cityCity
UtenteUser statestate StatoState
UtenteUser jobtitlejobtitle PosizioneJob Title
UtenteUser employeeidemployeeid ID dipendenteEmployee ID
UtenteUser facsimiletelephonenumberfacsimiletelephonenumber Numero di telefono faxFacsimile Telephone Number
application, resource, audienceapplication, resource, audience displaynamedisplayname Nome visualizzatoDisplay Name
application, resource, audienceapplication, resource, audience objectedobjected ObjectIDObjectID
application, resource, audienceapplication, resource, audience tagstags Tag di entità servizioService Principal Tag
AziendaCompany tenantcountrytenantcountry Paese del tenantTenant’s country

TransformationID: l'elemento TransformationID è obbligatorio solo se l'elemento Source è impostato su "transformation".TransformationID: The TransformationID element must be provided only if the Source element is set to “transformation”.

  • Questo elemento deve corrispondere all'elemento ID della voce di trasformazione nella proprietà ClaimsTransformation che definisce la modalità di generazione dei dati per questa attestazione.This element must match the ID element of the transformation entry in the ClaimsTransformation property that defines how the data for this claim is generated.

Tipo di attestazione: gli elementi JwtClaimType e SamlClaimType definiscono l'attestazione a cui questa voce dello schema di attestazioni fa riferimento.Claim Type: The JwtClaimType and SamlClaimType elements define which claim this claim schema entry refers to.

  • JwtClaimType deve contenere il nome dell'attestazione da generare nel token JWT.The JwtClaimType must contain the name of the claim to be emitted in JWTs.
  • SamlClaimType deve contenere l'URI dell'attestazione da generare nei token SAML.The SamlClaimType must contain the URI of the claim to be emitted in SAML tokens.

Nota

Non è possibile utilizzare i nomi e gli URI delle attestazioni nel set di attestazioni con restrizioni per gli elementi dei tipi di attestazioni.Names and URIs of claims in the restricted claim set cannot be used for the claim type elements. Per altre informazioni, vedere la sezione "Eccezioni e restrizioni" più avanti in questo articolo.For more information, see the "Exceptions and restrictions" section later in this article.

Trasformazione delle attestazioniClaims transformation

Stringa: ClaimsTransformationString: ClaimsTransformation

Tipo di dati: BLOB JSON con una o più voci di trasformazioneData type: JSON blob, with one or more transformation entries

Riepilogo: questa proprietà consente di applicare trasformazioni comuni ai dati di origine per generare i dati di output per le attestazioni specificate nello schema di attestazioni.Summary: Use this property to apply common transformations to source data, to generate the output data for claims specified in the Claims Schema.

ID: l'elemento ID viene usato per fare riferimento a questa voce di trasformazione nella voce TransformationID dello schema di attestazioni.ID: Use the ID element to reference this transformation entry in the TransformationID Claims Schema entry. Questo valore deve essere univoco per ogni voce di trasformazione all'interno di questo criterio.This value must be unique for each transformation entry within this policy.

TransformationMethod: l'elemento TransformationMethod identifica l'operazione che viene eseguita per generare i dati per l'attestazione.TransformationMethod: The TransformationMethod element identifies which operation is performed to generate the data for the claim.

In base al metodo scelto è previsto un set di input e output.Based on the method chosen, a set of inputs and outputs is expected. Questi vengono definiti usando gli elementi InputClaims, InputParameters e OutputClaims.These are defined by using the InputClaims, InputParameters and OutputClaims elements.

Tabella 4: Metodi di trasformazione e input/output previstiTable 4: Transformation methods and expected inputs and outputs

TransformationMethodTransformationMethod Input previstoExpected input Output previstoExpected output DescrizioneDescription
JoinJoin string1, string2, separatorstring1, string2, separator outputClaimoutputClaim Esegue il join di stringhe di input dividendole con un separatore.Joins input strings by using a separator in between. Ad esempio: stringa1: "foo@bar.com", stringa2: "sandbox", separatore: "." comporta in outputClaim: "foo@bar.com.sandbox"For example: string1:"foo@bar.com" , string2:"sandbox" , separator:"." results in outputClaim:"foo@bar.com.sandbox"
ExtractMailPrefixExtractMailPrefix mailmail outputClaimoutputClaim Estrae la parte locale di un indirizzo di posta elettronica.Extracts the local part of an email address. Ad esempio: mail:"foo@bar.com" comporta in outputClaim:"foo".For example: mail:"foo@bar.com" results in outputClaim:"foo". Se non è presente un segno @, la stringa di input originale viene restituita così come è.If no @ sign is present, then the orignal input string is returned as is.

InputClaims: un elemento InputClaims può essere usato per passare i dati da una voce dello schema di attestazioni a una trasformazione.InputClaims: Use an InputClaims element to pass the data from a claim schema entry to a transformation. Include due attributi: ClaimTypeReferenceId e TransformationClaimType.It has two attributes: ClaimTypeReferenceId and TransformationClaimType.

  • ClaimTypeReferenceId viene unito in join con l'elemento ID della voce dello schema di attestazioni per trovare l'attestazione di input appropriata.ClaimTypeReferenceId is joined with ID element of the claim schema entry to find the appropriate input claim.
  • TransformationClaimType viene usato per assegnare un nome univoco a questo input.TransformationClaimType is used to give a unique name to this input. Questo nome deve corrispondere a uno degli input previsti per il metodo di trasformazione.This name must match one of the expected inputs for the transformation method.

InputParameters: un elemento InputParameters viene usato per passare un valore costante a una trasformazione.InputParameters: Use an InputParameters element to pass a constant value to a transformation. Include due attributi: Value e ID.It has two attributes: Value and ID.

  • Value è il valore costante effettivo da passare.Value is the actual constant value to be passed.
  • ID viene usato per assegnare un nome univoco a questo input.ID is used to give a unique name to this input. Questo nome deve corrispondere a uno degli input previsti per il metodo di trasformazione.This name must match one of the expected inputs for the transformation method.

OutputClaims: un elemento OutputClaims viene usato per contenere i dati generati da una trasformazione e associarli a una voce dello schema di attestazioni.OutputClaims: Use an OutputClaims element to hold the data generated by a transformation, and tie it to a claim schema entry. Include due attributi: ClaimTypeReferenceId e TransformationClaimType.It has two attributes: ClaimTypeReferenceId and TransformationClaimType.

  • ClaimTypeReferenceId viene unito in join all'elemento ID della voce dello schema di attestazioni per individuare l'attestazione di output appropriata.ClaimTypeReferenceId is joined with the ID of the claim schema entry to find the appropriate output claim.
  • TransformationClaimType viene usato per assegnare un nome univoco a questo output.TransformationClaimType is used to give a unique name to this output. Questo nome deve corrispondere a uno degli output previsti per il metodo di trasformazione.This name must match one of the expected outputs for the transformation method.

Eccezioni e restrizioniExceptions and restrictions

NameID e UPN di SAML: gli attributi da cui hanno origine i valori NameID e UPN, e le trasformazioni di attestazioni consentite, presentano limitazioni.SAML NameID and UPN: The attributes from which you source the NameID and UPN values, and the claims transformations that are permitted, are limited.

Tabella 5: Attributi consentiti come origine dati per NameID di SAMLTable 5: Attributes allowed as a data source for SAML NameID

SorgenteSource IDID DescrizioneDescription
UtenteUser mailmail Indirizzo di posta elettronicaEmail Address
UtenteUser userprincipalnameuserprincipalname Nome dell'entità utenteUser Principal Name
UtenteUser onpremisessamaccountnameonpremisessamaccountname Nome account SAM localeOn Premises Sam Account Name
UtenteUser employeeidemployeeid ID dipendenteEmployee ID
UtenteUser extensionattribute1extensionattribute1 Attributo di estensione 1Extension Attribute 1
UtenteUser extensionattribute2extensionattribute2 Attributo di estensione 2Extension Attribute 2
UtenteUser extensionattribute3extensionattribute3 Attributo di estensione 3Extension Attribute 3
UtenteUser extensionattribute4extensionattribute4 Attributo di estensione 4Extension Attribute 4
UtenteUser extensionattribute5extensionattribute5 Attributo di estensione 5Extension Attribute 5
UtenteUser extensionattribute6extensionattribute6 Attributo di estensione 6Extension Attribute 6
UtenteUser extensionattribute7extensionattribute7 Attributo di estensione 7Extension Attribute 7
UtenteUser extensionattribute8extensionattribute8 Attributo di estensione 8Extension Attribute 8
UtenteUser extensionattribute9extensionattribute9 Attributo di estensione 9Extension Attribute 9
UtenteUser extensionattribute10extensionattribute10 Attributo di estensione 10Extension Attribute 10
UtenteUser extensionattribute11extensionattribute11 Attributo di estensione 11Extension Attribute 11
UtenteUser extensionattribute12extensionattribute12 Attributo di estensione 12Extension Attribute 12
UtenteUser extensionattribute13extensionattribute13 Attributo di estensione 13Extension Attribute 13
UtenteUser extensionattribute14extensionattribute14 Attributo di estensione 14Extension Attribute 14
UtenteUser extensionattribute15extensionattribute15 Attributo di estensione 15Extension Attribute 15

Tabella 6: Metodi di trasformazione consentiti per NameID di SAMLTable 6: Transformation methods allowed for SAML NameID

TransformationMethodTransformationMethod RestrizioniRestrictions
ExtractMailPrefixExtractMailPrefix NessunaNone
JoinJoin Il suffisso da aggiungere deve essere un dominio verificato del tenant delle risorse.The suffix being joined must be a verified domain of the resource tenant.

Chiave di firma personalizzataCustom signing key

È necessario assegnare una chiave di firma personalizzata all'oggetto entità servizio per poter applicare criteri di mapping di attestazioni.A custom signing key must be assigned to the service principal object for a claims mapping policy to take effect. Tutti i token emessi interessati dai criteri di accesso vengono firmati con questa chiave.All tokens issued that have been impacted by the policy are signed with this key. Le applicazioni devono essere configurate per accettare i token firmati con questa chiave.Applications must be configured to accept tokens signed with this key. In questo modo si conferma che i token sono stati modificati dall'autore del criterio di mapping delle attestazioni.This ensures acknowledgment that tokens have been modified by the creator of the claims mapping policy. Le applicazioni vengono protette dai criteri di mapping delle attestazioni creati da attori dannosi.This protects applications from claims mapping policies created by malicious actors.

Scenari tra tenantCross-tenant scenarios

I criteri di mapping delle attestazioni non si applicano agli utenti guest.Claims mapping policies do not apply to guest users. Se un utente guest tenta di accedere a un'applicazione con criteri di mapping delle attestazioni assegnati all'entità servizio, viene emesso il token predefinito (i criteri non hanno effetto).If a guest user attempts to access an application with a claims mapping policy assigned to its service principal, the default token is issued (the policy has no effect).

Assegnazione di criteri di mapping delle attestazioniClaims mapping policy assignment

I criteri di mapping delle attestazioni possono essere assegnati solo a oggetti entità servizio.Claims mapping policies can only be assigned to service principal objects.

Criteri di mapping delle attestazioni di esempioExample claims mapping policies

In molti scenari di Azure AD è possibile personalizzare le attestazioni generate nei token per specifiche entità servizio.In Azure AD, many scenarios are possible when you can customize claims emitted in tokens for specific service principals. In questa sezione vengono illustrati alcuni scenari comuni che permettono di comprendere come usare il tipo di criteri di mapping delle attestazioni.In this section, we walk through a few common scenarios that can help you grasp how to use the claims mapping policy type.

PrerequisitiPrerequisites

Gli esempi seguenti mostrano come creare, aggiornare, collegare ed eliminare criteri per le entità servizio.In the following examples, you create, update, link, and delete policies for service principals. Se non si ha familiarità con Azure AD, è consigliabile capire come ottenere un tenant di Azure AD prima di procedere con questi esempi.If you are new to Azure AD, we recommend that you learn about how to get an Azure AD tenant before you proceed with these examples.

Per iniziare, seguire questa procedura:To get started, do the following steps:

  1. Scaricare l'ultima versione di anteprima pubblica del modulo Azure AD PowerShell.Download the latest Azure AD PowerShell Module public preview release.
  2. Eseguire il comando Connect per accedere all'account amministratore di Azure AD.Run the Connect command to sign in to your Azure AD admin account. Eseguire questo comando ogni volta che si avvia una nuova sessione.Run this command each time you start a new session.

    Connect-AzureAD -Confirm
    
  3. Per visualizzare tutti i criteri creati nell'organizzazione, eseguire questo comando.To see all policies that have been created in your organization, run the following command. È consigliabile eseguire questo comando dopo la maggior parte delle operazioni negli scenari seguenti per verificare che i criteri siano stati creati come previsto.We recommend that you run this command after most operations in the following scenarios, to check that your policies are being created as expected.

        Get-AzureADPolicy
    

    Esempio: creare e assegnare un criterio per omettere le attestazioni di base dai token emessi per un'entità servizio.Example: Create and assign a policy to omit the basic claims from tokens issued to a service principal.

    In questo esempio si creano criteri che rimuovono il set di attestazioni di base dai token emessi per le entità servizio collegate.In this example, you create a policy that removes the basic claim set from tokens issued to linked service principals.

  4. Creare i criteri di mapping delle attestazioni.Create a claims mapping policy. Questi criteri, che vengono collegati a specifiche entità servizio, rimuovono il set di attestazioni di base dai token.This policy, linked to specific service principals, removes the basic claim set from tokens.

    1. Per creare i criteri, eseguire questo comando:To create the policy, run this command:

      New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"false"}}') -DisplayName "OmitBasicClaims” -Type "ClaimsMappingPolicy"
      
    2. Per visualizzare il nuovo criterio e ottenere il relativo ObjectId, eseguire questo comando:To see your new policy, and to get the policy ObjectId, run the following command:

      Get-AzureADPolicy
      
  5. Assegnare i criteri all'entità servizio.Assign the policy to your service principal. È necessario ottenere anche l'ObjectId dell'entità servizio.You also need to get the ObjectId of your service principal.

    1. Per visualizzare tutte le entità servizio dell'organizzazione, è possibile eseguire query in Microsoft Graph.To see all your organization's service principals, you can query Microsoft Graph. In alternativa, eseguire l'accesso all'account Azure AD dallo strumento Graph Explorer di Azure AD.Or, in Azure AD Graph Explorer, sign in to your Azure AD account.
    2. Dopo aver ottenuto l'ObjectId dell'entità servizio, eseguire questo comando:When you have the ObjectId of your service principal, run the following command:

      Add-AzureADServicePrincipalPolicy -Id <ObjectId of the ServicePrincipal> -RefObjectId <ObjectId of the Policy>
      

      Esempio: creare e assegnare un criterio per includere EmployeeID e TenantCountry come attestazioni nei token emessi per un'entità servizio.Example: Create and assign a policy to include the EmployeeID and TenantCountry as claims in tokens issued to a service principal.

      In questo esempio si creano criteri che aggiungono EmployeeID e TenantCountry ai token emessi per le entità servizio collegate.In this example, you create a policy that adds the EmployeeID and TenantCountry to tokens issued to linked service principals. EmployeeID viene emesso come tipo di attestazione nome sia nei token SAML sia nei token JWT.The EmployeeID is emitted as the name claim type in both SAML tokens and JWTs. TenantCountry viene emesso come tipo di attestazione paese sia nei token SAML sia nei token JWT.The TenantCountry is emitted as the country claim type in both SAML tokens and JWTs. In questo esempio si continua a includere il set di attestazioni di base nei token.In this example, we continue to include the basic claims set in the tokens.

  6. Creare i criteri di mapping delle attestazioni.Create a claims mapping policy. Questi criteri, che vengono collegati a specifiche entità servizio, aggiungono le attestazioni EmployeeID e TenantCountry ai token.This policy, linked to specific service principals, adds the EmployeeID and TenantCountry claims to tokens.

    1. Per creare i criteri, eseguire questo comando:To create the policy, run this command:

      New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema": [{"Source":"user","ID":"employeeid","SamlClaimType":"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name","JwtClaimType":"name"},{"Source":"company","ID":" tenantcountry ","SamlClaimType":" http://schemas.xmlsoap.org/ws/2005/05/identity/claims/country ","JwtClaimType":"country"}]}}') -DisplayName "ExtraClaimsExample” -Type "ClaimsMappingPolicy"
      
    2. Per visualizzare il nuovo criterio e ottenere il relativo ObjectId, eseguire questo comando:To see your new policy, and to get the policy ObjectId, run the following command:

      Get-AzureADPolicy
      
  7. Assegnare i criteri all'entità servizio.Assign the policy to your service principal. È necessario ottenere anche l'ObjectId dell'entità servizio.You also need to get the ObjectId of your service principal.

    1. Per visualizzare tutte le entità servizio dell'organizzazione, è possibile eseguire query in Microsoft Graph.To see all your organization's service principals, you can query Microsoft Graph. In alternativa, eseguire l'accesso all'account Azure AD dallo strumento Graph Explorer di Azure AD.Or, in Azure AD Graph Explorer, sign in to your Azure AD account.
    2. Dopo aver ottenuto l'ObjectId dell'entità servizio, eseguire questo comando:When you have the ObjectId of your service principal, run the following command:

      Add-AzureADServicePrincipalPolicy -Id <ObjectId of the ServicePrincipal> -RefObjectId <ObjectId of the Policy>
      

      Esempio: creare e assegnare i criteri mediante una trasformazione di attestazioni in token emessi per un'entità servizio.Example: Create and assign a policy that uses a claims transformation in tokens issued to a service principal.

      In questo esempio si creano i criteri che generano un'attestazione personalizzata "JoinedData" nei token JWT emessi per le entità servizio collegate.In this example, you create a policy that emits a custom claim “JoinedData” to JWTs issued to linked service principals. Questa attestazione contiene un valore creato aggiungendo i dati archiviati nell'attributo extensionattribute1 all'oggetto utente con ".sandbox".This claim contains a value created by joining the data stored in the extensionattribute1 attribute on the user object with “.sandbox”. In questo esempio si esclude il set di attestazioni di base nei token.In this example, we exclude the basic claims set in the tokens.

  8. Creare i criteri di mapping delle attestazioni.Create a claims mapping policy. Questi criteri, che vengono collegati a specifiche entità servizio, aggiungono le attestazioni EmployeeID e TenantCountry ai token.This policy, linked to specific service principals, adds the EmployeeID and TenantCountry claims to tokens.

    1. Per creare i criteri, eseguire questo comando:To create the policy, run this command:

      New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema":[{"Source":"user","ID":"extensionattribute1"},{"Source":"transformation","ID":"DataJoin","TransformationId":"JoinTheData","JwtClaimType":"JoinedData"}],"ClaimsTransformation":[{"ID":"JoinTheData","TransformationMethod":"Join","InputClaims":[{"ClaimTypeReferenceId":"extensionattribute1","TransformationClaimType":"string1"}], "InputParameters": [{"Id":"string2","Value":"sandbox"},{"Id":"separator","Value":"."}],"OutputClaims":[{"ClaimTypeReferenceId":"DataJoin","TransformationClaimType":"outputClaim"}]}]}}') -DisplayName "TransformClaimsExample” -Type "ClaimsMappingPolicy"
      
    2. Per visualizzare il nuovo criterio e ottenere il relativo ObjectId, eseguire questo comando:To see your new policy, and to get the policy ObjectId, run the following command:

      Get-AzureADPolicy
      
  9. Assegnare i criteri all'entità servizio.Assign the policy to your service principal. È necessario ottenere anche l'ObjectId dell'entità servizio.You also need to get the ObjectId of your service principal.

    1. Per visualizzare tutte le entità servizio dell'organizzazione, è possibile eseguire query in Microsoft Graph.To see all your organization's service principals, you can query Microsoft Graph. In alternativa, eseguire l'accesso all'account Azure AD dallo strumento Graph Explorer di Azure AD.Or, in Azure AD Graph Explorer, sign in to your Azure AD account.
    2. Dopo aver ottenuto l'ObjectId dell'entità servizio, eseguire questo comando:When you have the ObjectId of your service principal, run the following command:

      Add-AzureADServicePrincipalPolicy -Id <ObjectId of the ServicePrincipal> -RefObjectId <ObjectId of the Policy>