Personalizzazione delle attestazioni rilasciate nel token SAML per le applicazioni aziendali in Azure Active DirectoryCustomizing claims issued in the SAML token for enterprise applications in Azure Active Directory

Oggi Azure Active Directory supporta l'accesso single sign on con la maggior parte delle applicazioni aziendali comprese le applicazioni pre-integrate nella raccolta di app di Azure AD e le applicazioni personalizzate.Today Azure Active Directory supports single sign on with most enterprise applications, including both applications pre-integrated in the Azure AD app gallery as well as custom applications. Quando un utente esegue l'autenticazione in un'applicazione con Azure AD usando il protocollo SAML 2.0, Azure AD invia un token all'applicazione (via HTTP POST).When a user authenticates to an application through Azure AD using the SAML 2.0 protocol, Azure AD sends a token to the application (via an HTTP POST). che l'applicazione convalida e usa per l'accesso dell'utente anziché richiedere l'immissione di nome utente e password.And then, the application validates and uses the token to log the user in instead of prompting for a username and password. Questi token SAML contengono informazioni sull'utente denominate "attestazioni".These SAML tokens contain pieces of information about the user known as "claims".

Per quanto riguarda le identità, un'"attestazione" è un insieme di informazioni relative ad un utente dichiarate da un provider di identità all'interno del token rilasciato per tale utente.In identity-speak, a “claim” is information that an identity provider states about a user inside the token they issue for that user. Nel token SAML questi dati sono in genere contenuti nell'istruzione degli attributi SAML.In SAML token, this data is typically contained in the SAML Attribute Statement. L'ID univoco dell'utente viene in genere rappresentato nel soggetto SAML definito anche identificatore del nome.The user’s unique ID is typically represented in the SAML Subject also called as Name Identifier.

Per impostazione predefinita, Azure Active Directory genera per l'applicazione un token SAML che contiene un'attestazione NameIdentifier, il cui valore nome utente, o nome dell'entità utente, è quello dell'utente in Azure AD.By default, Azure Active Directory issues a SAML token to your application that contains a NameIdentifier claim, with a value of the user’s username (AKA user principal name) in Azure AD. Tale valore identifica in modo univoco l'utente.this value can uniquely identify the user. Il token SAML contiene inoltre ulteriori attestazioni contenenti indirizzo di posta elettronica, nome e cognome dell'utente.The SAML token also contains additional claims containing the user’s email address, first name, and last name.

Per visualizzare o modificare le attestazioni generate nel token SAML per l'applicazione, aprire l'applicazione nel portale di Azure.To view or edit the claims issued in the SAML token to the application, open the application in Azure portal. Selezionare la casella di controllo Visualizza e modifica tutti gli altri attributi utente nella sezione Attributi utente dell'applicazione.Then select the View and edit all other user attributes checkbox in the User Attributes section of the application.

Sezione Attributi utente

I due possibili motivi per cui potrebbe essere necessario modificare le attestazioni rilasciate nel token SAML sono i seguenti:There are two possible reasons why you might need to edit the claims issued in the SAML token:

  • L'applicazione è stata scritta per richiedere un set di URI attestazione o di valori attestazione diverso.The application has been written to require a different set of claim URIs or claim values.
  • L'applicazione è stata distribuita in modo da richiedere un'attestazione NameIdentifier diversa dal nome utente, o nome dell'entità utente, archiviato in Azure Active Directory.The application has been deployed in a way that requires the NameIdentifier claim to be something other than the username (AKA user principal name) stored in Azure Active Directory.

Per modificare i valori di attestazione predefiniti,You can edit any of the default claim values. selezionare la riga dell'attestazione nella tabella degli attributi del token SAML.Select the claim row in the SAML token attributes table. Viene visualizzata la sezione Modifica attributo dove è possibile modificare il nome e il valore di attestazione nonché lo spazio dei nomi associato all'attestazione.This opens the Edit Attribute section and then you can edit claim name, value, and namespace associated with the claim.

Modifica attributo utente

È anche possibile rimuovere le attestazioni (ad eccezione di NameIdentifier) usando il menu di scelta rapida, che si apre facendo clic sull'icona ....You can also remove claims (other than NameIdentifier) using the context menu, which opens by clicking on the ... icon. Si possono inoltre aggiungere nuove attestazioni usando il pulsante Aggiungi attributo.You can also add new claims using the Add attribute button.

Modifica attributo utente

Modifica dell'attestazione NameIdentifierEditing the NameIdentifier claim

Per risolvere il problema relativo alla distribuzione dell'applicazione con un nome utente diverso, fare clic sull'elenco a discesa Identificatore utente nella sezione Attributi utente.To solve the problem where the application has been deployed using a different username, click on the User Identifier drop down in the User Attributes section. Verrà visualizzata una finestra di dialogo con diverse opzioni:This action provides a dialog with several different options:

Modifica attributo utente

Nell'elenco a discesa selezionare user.mail per impostare l'attestazione NameIdentifier in modo che corrisponda all'indirizzo e-mail dell'utente nella directory.In the drop-down, select user.mail to set the NameIdentifier claim to be the user’s email address in the directory. In alternativa, selezionare user.onpremisessamaccountname per impostare il nome account SAM dell'utente sincronizzato da Azure AD in locale.Or, select user.onpremisessamaccountname to set to the user’s SAM Account Name that has been synced from on-premises Azure AD.

È anche possibile usare la funzione speciale ExtractMailPrefix() per rimuovere il suffisso del dominio dall'indirizzo e-mail, dal nome account SAM o dal nome dell'entità utente.You can also use the special ExtractMailPrefix() function to remove the domain suffix from either the email address, SAM Account Name, or the user principal name. In questo modo viene estratta solo la prima parte del nome utente passata, ad esempio "joe_smith" anziché joe_smith@contoso.com.This extracts only the first part of the user name being passed through (for example, "joe_smith" instead of joe_smith@contoso.com).

Modifica attributo utente

È stata anche aggiunta la funzione join() per unire il dominio verificato con il valore dell'identificatore utente.We have now also added the join() function to join the verified domain with the user identifier value. Quando si seleziona la funzione join() in Identificatore utente selezionare prima l'identificatore utente come indirizzo e-mail o nome dell'entità utente e selezionare il dominio verificato nel secondo elenco a discesa.when you select the join() function in the User Identifier First select the user identifier as like email address or user principal name and then in the second drop-down select your verified domain. Se si seleziona l'indirizzo e-mail con il dominio verificato, AD Azure estrae il nome utente dal primo valore joe_smith di joe_smith@contoso.com e lo aggiunge a contoso.onmicrosoft.com. Vedere l'esempio seguente:If you select the email address with the verified domain, then Azure AD extracts the username from the first value joe_smith from joe_smith@contoso.com and appends it with contoso.onmicrosoft.com. See the following example:

Modifica attributo utente

Aggiunta di attestazioniAdding claims

Quando si aggiunge un'attestazione, è possibile specificare il nome dell'attributo (che non deve necessariamente seguire un modello di URI secondo la specifica SAML).When adding a claim, you can specify the attribute name (which doesn’t strictly need to follow a URI pattern as per the SAML spec). Impostare il valore su qualsiasi attributo utente archiviato nella directory.Set the value to any user attribute that is stored in the directory.

Aggiungi attributo utente

Se ad esempio è necessario inviare il reparto dell'organizzazione cui appartiene l'utente come attestazione (si supponga il reparto Vendite),For example, you need to send the department that the user belongs to in their organization as a claim (such as, Sales). Immettere il nome dell'attestazione come previsto dall'applicazione e quindi selezionare user.department come valore.Enter the claim name as expected by the application, and then select user.department as the value.

Nota

Se per un determinato utente non è stato archiviato alcun valore per un attributo selezionato, l'attestazione non verrà rilasciata nel token.If for a given user there is no value stored for a selected attribute, then that claim is not being issued in the token.

Suggerimento

user.onpremisesecurityidentifier e user.onpremisesamaccountname sono supportati solo se si esegue la sincronizzazione dei dati utente da Active Directory in locale usando lo strumento Azure AD Connect.The user.onpremisesecurityidentifier and user.onpremisesamaccountname are only supported when synchronizing user data from on-premises Active Directory using the Azure AD Connect tool.

Attestazioni con restrizioniRestricted claims

Esistono alcune attestazioni con restrizioni in SAML.There are some restricted claims in SAML. Se si aggiungono queste attestazioni, Azure AD non le invia.If you add these claims, then Azure AD will not send these claims. Di seguito sono riportate le attestazioni SAML con restrizioni:Following are the SAML restricted claim set:

| <span data-ttu-id="6fd68-152">Tipo di attestazione (URI)</span><span class="sxs-lookup"><span data-stu-id="6fd68-152">Claim type (URI)</span></span> |
| ------------------- |
| <span data-ttu-id="6fd68-153">http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration</span><span class="sxs-lookup"><span data-stu-id="6fd68-153">http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration</span></span> |
| <span data-ttu-id="6fd68-154">http://schemas.microsoft.com/ws/2008/06/identity/claims/expired</span><span class="sxs-lookup"><span data-stu-id="6fd68-154">http://schemas.microsoft.com/ws/2008/06/identity/claims/expired</span></span> |
| <span data-ttu-id="6fd68-155">http://schemas.microsoft.com/identity/claims/accesstoken</span><span class="sxs-lookup"><span data-stu-id="6fd68-155">http://schemas.microsoft.com/identity/claims/accesstoken</span></span> |
| <span data-ttu-id="6fd68-156">http://schemas.microsoft.com/identity/claims/openid2_id</span><span class="sxs-lookup"><span data-stu-id="6fd68-156">http://schemas.microsoft.com/identity/claims/openid2_id</span></span> |
| <span data-ttu-id="6fd68-157">http://schemas.microsoft.com/identity/claims/identityprovider</span><span class="sxs-lookup"><span data-stu-id="6fd68-157">http://schemas.microsoft.com/identity/claims/identityprovider</span></span> |
| <span data-ttu-id="6fd68-158">http://schemas.microsoft.com/identity/claims/objectidentifier</span><span class="sxs-lookup"><span data-stu-id="6fd68-158">http://schemas.microsoft.com/identity/claims/objectidentifier</span></span> |
| <span data-ttu-id="6fd68-159">http://schemas.microsoft.com/identity/claims/puid</span><span class="sxs-lookup"><span data-stu-id="6fd68-159">http://schemas.microsoft.com/identity/claims/puid</span></span> |
| <span data-ttu-id="6fd68-160">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier[MR1]</span><span class="sxs-lookup"><span data-stu-id="6fd68-160">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier[MR1]</span></span> |
| <span data-ttu-id="6fd68-161">http://schemas.microsoft.com/identity/claims/tenantid</span><span class="sxs-lookup"><span data-stu-id="6fd68-161">http://schemas.microsoft.com/identity/claims/tenantid</span></span> |
| <span data-ttu-id="6fd68-162">http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant</span><span class="sxs-lookup"><span data-stu-id="6fd68-162">http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant</span></span> |
| <span data-ttu-id="6fd68-163">http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod</span><span class="sxs-lookup"><span data-stu-id="6fd68-163">http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod</span></span> |
| <span data-ttu-id="6fd68-164">http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/identityprovider</span><span class="sxs-lookup"><span data-stu-id="6fd68-164">http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/identityprovider</span></span> |
| <span data-ttu-id="6fd68-165">http://schemas.microsoft.com/ws/2008/06/identity/claims/groups</span><span class="sxs-lookup"><span data-stu-id="6fd68-165">http://schemas.microsoft.com/ws/2008/06/identity/claims/groups</span></span> |
| <span data-ttu-id="6fd68-166">http://schemas.microsoft.com/claims/groups.link</span><span class="sxs-lookup"><span data-stu-id="6fd68-166">http://schemas.microsoft.com/claims/groups.link</span></span> |
| <span data-ttu-id="6fd68-167">http://schemas.microsoft.com/ws/2008/06/identity/claims/role</span><span class="sxs-lookup"><span data-stu-id="6fd68-167">http://schemas.microsoft.com/ws/2008/06/identity/claims/role</span></span> |
| <span data-ttu-id="6fd68-168">http://schemas.microsoft.com/ws/2008/06/identity/claims/wids</span><span class="sxs-lookup"><span data-stu-id="6fd68-168">http://schemas.microsoft.com/ws/2008/06/identity/claims/wids</span></span> |
| <span data-ttu-id="6fd68-169">http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant</span><span class="sxs-lookup"><span data-stu-id="6fd68-169">http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant</span></span> |
| <span data-ttu-id="6fd68-170">http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown</span><span class="sxs-lookup"><span data-stu-id="6fd68-170">http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown</span></span> |
| <span data-ttu-id="6fd68-171">http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged</span><span class="sxs-lookup"><span data-stu-id="6fd68-171">http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged</span></span> |
| <span data-ttu-id="6fd68-172">http://schemas.microsoft.com/2014/03/psso</span><span class="sxs-lookup"><span data-stu-id="6fd68-172">http://schemas.microsoft.com/2014/03/psso</span></span> |
| <span data-ttu-id="6fd68-173">http://schemas.microsoft.com/claims/authnmethodsreferences</span><span class="sxs-lookup"><span data-stu-id="6fd68-173">http://schemas.microsoft.com/claims/authnmethodsreferences</span></span> |
| <span data-ttu-id="6fd68-174">http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor</span><span class="sxs-lookup"><span data-stu-id="6fd68-174">http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor</span></span> |
| <span data-ttu-id="6fd68-175">http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername</span><span class="sxs-lookup"><span data-stu-id="6fd68-175">http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername</span></span> |
| <span data-ttu-id="6fd68-176">http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey</span><span class="sxs-lookup"><span data-stu-id="6fd68-176">http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey</span></span> |
| <span data-ttu-id="6fd68-177">http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname</span><span class="sxs-lookup"><span data-stu-id="6fd68-177">http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname</span></span> |
| <span data-ttu-id="6fd68-178">http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid</span><span class="sxs-lookup"><span data-stu-id="6fd68-178">http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid</span></span> |
| <span data-ttu-id="6fd68-179">http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid</span><span class="sxs-lookup"><span data-stu-id="6fd68-179">http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid</span></span> |
| <span data-ttu-id="6fd68-180">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision</span><span class="sxs-lookup"><span data-stu-id="6fd68-180">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision</span></span> |
| <span data-ttu-id="6fd68-181">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication</span><span class="sxs-lookup"><span data-stu-id="6fd68-181">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication</span></span> |
| <span data-ttu-id="6fd68-182">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid</span><span class="sxs-lookup"><span data-stu-id="6fd68-182">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid</span></span> |
| <span data-ttu-id="6fd68-183">http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid</span><span class="sxs-lookup"><span data-stu-id="6fd68-183">http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid</span></span> |
| <span data-ttu-id="6fd68-184">http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid</span><span class="sxs-lookup"><span data-stu-id="6fd68-184">http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid</span></span> |
| <span data-ttu-id="6fd68-185">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid</span><span class="sxs-lookup"><span data-stu-id="6fd68-185">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid</span></span> |
| <span data-ttu-id="6fd68-186">http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup</span><span class="sxs-lookup"><span data-stu-id="6fd68-186">http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup</span></span> |
| <span data-ttu-id="6fd68-187">http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim</span><span class="sxs-lookup"><span data-stu-id="6fd68-187">http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim</span></span> |
| <span data-ttu-id="6fd68-188">http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup</span><span class="sxs-lookup"><span data-stu-id="6fd68-188">http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup</span></span> |
| <span data-ttu-id="6fd68-189">http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion</span><span class="sxs-lookup"><span data-stu-id="6fd68-189">http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion</span></span> |
| <span data-ttu-id="6fd68-190">http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority</span><span class="sxs-lookup"><span data-stu-id="6fd68-190">http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority</span></span> |
| <span data-ttu-id="6fd68-191">http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim</span><span class="sxs-lookup"><span data-stu-id="6fd68-191">http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim</span></span> |
| <span data-ttu-id="6fd68-192">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname</span><span class="sxs-lookup"><span data-stu-id="6fd68-192">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname</span></span> |
| <span data-ttu-id="6fd68-193">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn</span><span class="sxs-lookup"><span data-stu-id="6fd68-193">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn</span></span> |
| <span data-ttu-id="6fd68-194">http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid</span><span class="sxs-lookup"><span data-stu-id="6fd68-194">http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid</span></span> |
| <span data-ttu-id="6fd68-195">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn</span><span class="sxs-lookup"><span data-stu-id="6fd68-195">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn</span></span> |
| <span data-ttu-id="6fd68-196">http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent</span><span class="sxs-lookup"><span data-stu-id="6fd68-196">http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent</span></span> |
| <span data-ttu-id="6fd68-197">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier</span><span class="sxs-lookup"><span data-stu-id="6fd68-197">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier</span></span> |
| <span data-ttu-id="6fd68-198">http://schemas.microsoft.com/identity/claims/scope</span><span class="sxs-lookup"><span data-stu-id="6fd68-198">http://schemas.microsoft.com/identity/claims/scope</span></span> |

Passaggi successiviNext steps