Nasıl yapılır: Bir Kiracıdaki belirli bir uygulama için belirteçlerde yayılan talepleri özelleştirme (Önizleme)How to: Customize claims emitted in tokens for a specific app in a tenant (Preview)

Not

Bu özellik, bugün Portal üzerinden sunulan talep özelleştirmelerinin yerini alır ve yerini alır.This feature replaces and supersedes the claims customization offered through the portal today. Aynı uygulamada, bu belgede ayrıntılı grafik/PowerShell yöntemine ek olarak portalı kullanarak talepleri özelleştirirseniz, bu uygulama için verilen belirteçler portalda yapılandırmayı yoksayar.On the same application, if you customize claims using the portal in addition to the Graph/PowerShell method detailed in this document, tokens issued for that application will ignore the configuration in the portal. Bu belgede açıklanan yöntemler aracılığıyla yapılan yapılandırmaların portala yansıtılmayacak.Configurations made through the methods detailed in this document will not be reflected in the portal.

Bu özellik kiracı yöneticileri tarafından kiracısındaki belirli bir uygulama için belirteçlerde bulunan talepleri özelleştirmek üzere kullanılır.This feature is used by tenant admins to customize the claims emitted in tokens for a specific application in their tenant. Talep eşleme ilkelerini kullanarak şunları yapabilirsiniz:You can use claims-mapping policies to:

  • Belirteçlere hangi taleplerin ekleneceğini seçin.Select which claims are included in tokens.
  • Zaten mevcut olmayan talep türleri oluşturun.Create claim types that do not already exist.
  • Belirli taleplerde yayılan verilerin kaynağını seçin veya değiştirin.Choose or change the source of data emitted in specific claims.

Not

Bu özellik şu anda genel önizlemededir.This capability currently is in public preview. Değişiklikleri geri almaya veya kaldırmaya hazırlıklı olun.Be prepared to revert or remove any changes. Bu özellik, genel önizleme sırasında herhangi bir Azure Active Directory (Azure AD) aboneliğinde kullanılabilir.The feature is available in any Azure Active Directory (Azure AD) subscription during public preview. Ancak özellik genel kullanıma sunulduğunda, özelliğin bazı yönleri bir Azure AD Premium aboneliği gerektirebilir.However, when the feature becomes generally available, some aspects of the feature might require an Azure AD premium subscription. Bu özellik, WS-beslenir, SAML, OAuth ve OpenID Connect protokolleri için talep eşleme ilkelerinin yapılandırılmasını destekler.This feature supports configuring claim mapping policies for WS-Fed, SAML, OAuth, and OpenID Connect protocols.

Talep eşleme ilkesi türüClaims mapping policy type

Azure AD 'de bir ilke nesnesi, tek tek uygulamalarda veya bir kuruluştaki tüm uygulamalarda zorlanan bir kural kümesini temsil eder.In Azure AD, a Policy object represents a set of rules enforced on individual applications or on all applications in an organization. Her ilke türünün, atandığı nesnelere uygulanan bir özellikler kümesi ile benzersiz bir yapısı vardır.Each type of policy has a unique structure, with a set of properties that are then applied to objects to which they are assigned.

Talep eşleme ilkesi, belirli uygulamalar için verilen belirteçlerde yayılan talepleri değiştiren bir ilke nesnesi türüdür.A claims mapping policy is a type of Policy object that modifies the claims emitted in tokens issued for specific applications.

Talep kümeleriClaim sets

Belirteçlerde nasıl ve ne zaman kullanıldığını tanımlayan belirli talepler kümesi vardır.There are certain sets of claims that define how and when they're used in tokens.

Talep kümesiClaim set AçıklamaDescription
Çekirdek talep kümesiCore claim set , İlkeden bağımsız olarak her belirteçte bulunur.Are present in every token regardless of the policy. Bu talepler de kısıtlı olarak değerlendirilir ve değiştirilemez.These claims are also considered restricted, and can't be modified.
Temel talep kümesiBasic claim set Belirteçleri için varsayılan olarak yayılan talepleri içerir (çekirdek talep kümesine ek olarak).Includes the claims that are emitted by default for tokens (in addition to the core claim set). Talepler eşleme ilkelerini kullanarak temel talepleri atlayabilir veya değiştirebilirsiniz.You can omit or modify basic claims by using the claims mapping policies.
Kısıtlı talep kümesiRestricted claim set İlke kullanılarak değiştirilemez.Can't be modified using policy. Veri kaynağı değiştirilemez ve bu talepler oluşturulurken hiçbir dönüştürme uygulanmaz.The data source cannot be changed, and no transformation is applied when generating these claims.

Tablo 1: JSON Web Token (JWT) sınırlı talep kümesiTable 1: JSON Web Token (JWT) restricted claim set

Talep türü (ad)Claim type (name)
_claim_names_claim_names
_claim_sources_claim_sources
access_tokenaccess_token
account_typeaccount_type
acracr
actoractor
actortokenactortoken
aioaio
AltSecIdaltsecid
AMRamr
app_chainapp_chain
app_displaynameapp_displayname
app_resapp_res
appctxappctx
appctxsenderappctxsender
appidappid
appidadcrappidacr
assertionassertion
at_hashat_hash
AUDaud
auth_dataauth_data
auth_timeauth_time
authorization_codeauthorization_code
AZPazp
azpacrazpacr
c_hashc_hash
ca_enfca_enf
cccc
cert_token_usecert_token_use
client_idclient_id
cloud_graph_host_namecloud_graph_host_name
cloud_instance_namecloud_instance_name
CNFcnf
codecode
controlscontrols
credential_keyscredential_keys
csrcsr
csr_typecsr_type
deviceiddeviceid
dns_namesdns_names
domain_dns_namedomain_dns_name
domain_netbios_namedomain_netbios_name
e_expe_exp
emailemail
endpointendpoint
enfpolidsenfpolids
expexp
expires_onexpires_on
grant_typegrant_type
graphgraph
group_sidsgroup_sids
groupsgroups
hasgroupshasgroups
hash_alghash_alg
home_oidhome_oid
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
iatiat
identityprovideridentityprovider
idpidp
in_corpin_corp
instanceinstance
ipaddripaddr
isbrowserhostedappisbrowserhostedapp
ississ
jwkjwk
key_idkey_id
key_typekey_type
mam_compliance_urlmam_compliance_url
mam_enrollment_urlmam_enrollment_url
mam_terms_of_use_urlmam_terms_of_use_url
mdm_compliance_urlmdm_compliance_url
mdm_enrollment_urlmdm_enrollment_url
mdm_terms_of_use_urlmdm_terms_of_use_url
nameidnameid
NBFnbf
netbios_namenetbios_name
noncenonce
oidoid
on_prem_idon_prem_id
onprem_sam_account_nameonprem_sam_account_name
onprem_sidonprem_sid
openid2_idopenid2_id
passwordpassword
platfplatf
siyalarpolids
pop_jwkpop_jwk
preferred_usernamepreferred_username
previous_refresh_tokenprevious_refresh_token
primary_sidprimary_sid
puidpuid
pwd_exppwd_exp
pwd_urlpwd_url
redirect_uriredirect_uri
refresh_tokenrefresh_token
refreshtokenrefreshtoken
request_noncerequest_nonce
resourceresource
rolerole
rolesroles
scopescope
scpscp
sidsid
signaturesignature
signin_statesignin_state
src1src1
src2src2
subsub
tbıdtbid
tenant_display_nametenant_display_name
tenant_region_scopetenant_region_scope
thumbnail_photothumbnail_photo
tidtid
Tokenautosize etkintokenAutologonEnabled
trustedfortemsilciyitrustedfordelegation
unique_nameunique_name
upnupn
user_setting_sync_urluser_setting_sync_url
kullanıcı adıusername
utiuti
verver
verified_primary_emailverified_primary_email
verified_secondary_emailverified_secondary_email
WDSwids
win_verwin_ver

Tablo 2: SAML kısıtlı talep kümesiTable 2: SAML restricted claim set

Talep türü (URI)Claim type (URI)
http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
http://schemas.microsoft.com/ws/2008/06/identity/claims/expired
http://schemas.microsoft.com/identity/claims/accesstoken
http://schemas.microsoft.com/identity/claims/openid2_id
http://schemas.microsoft.com/identity/claims/identityprovider
http://schemas.microsoft.com/identity/claims/objectidentifier
http://schemas.microsoft.com/identity/claims/puid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier [MR1]
http://schemas.microsoft.com/identity/claims/tenantid
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/identityprovider
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
http://schemas.microsoft.com/claims/groups.link
http://schemas.microsoft.com/ws/2008/06/identity/claims/role
http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
http://schemas.microsoft.com/2014/03/psso
http://schemas.microsoft.com/claims/authnmethodsreferences
http://schemas.xmlsoap.org/ws/2009/09/identity/claims/actor
http://schemas.microsoft.com/ws/2008/06/identity/claims/samlissuername
http://schemas.microsoft.com/ws/2008/06/identity/claims/confirmationkey
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authorizationdecision
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/authentication
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlywindowsdevicegroup
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdeviceclaim
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsfqbnversion
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowssubauthority
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsuserclaim
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/spn
http://schemas.microsoft.com/ws/2008/06/identity/claims/ispersistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier
http://schemas.microsoft.com/identity/claims/scope

Talep eşleme ilkesi özellikleriClaims mapping policy properties

Hangi taleplerin yayıldığını ve verilerin nereden geldiğini denetlemek için, bir talep eşleme ilkesinin özelliklerini kullanın.To control what claims are emitted and where the data comes from, use the properties of a claims mapping policy. Bir ilke ayarlanmamışsa sistem, çekirdek talep kümesi, temel talep kümesi ve uygulamanın almak üzere seçtiği tüm isteğe bağlı talepler içeren belirteçler yayınlar.If a policy is not set, the system issues tokens that include the core claim set, the basic claim set, and any optional claims that the application has chosen to receive.

Temel talep kümesini dahil etInclude basic claim set

Dizisinde IncludebasicclaimsetString: IncludeBasicClaimSet

Veri türü: Boole (true veya false)Data type: Boolean (True or False)

Özetleme Bu özellik, temel talep kümesinin bu ilkeden etkilenen belirteçlere dahil edilip edilmeyeceğini belirler.Summary: This property determines whether the basic claim set is included in tokens affected by this policy.

  • True olarak ayarlanırsa, temel talep kümesindeki tüm talepler, ilkeden etkilenen belirteçlerde dağıtılır.If set to True, all claims in the basic claim set are emitted in tokens affected by the policy.
  • False olarak ayarlanırsa, temel talep kümesindeki talepler, aynı ilkenin talep şeması özelliğine tek eklenmedikleri takdirde, belirteçlerde değildir.If set to False, claims in the basic claim set are not in the tokens, unless they are individually added in the claims schema property of the same policy.

Not

Çekirdek talep kümesindeki talepler, bu özelliğin ne şekilde ayarlandığına bakılmaksızın her belirteçte mevcuttur.Claims in the core claim set are present in every token, regardless of what this property is set to.

Talep şemasıClaims schema

Dizisinde ClaimsSchemaString: ClaimsSchema

Veri türü: Bir veya daha fazla talep şeması girişi içeren JSON blobuData type: JSON blob with one or more claim schema entries

Özetleme Bu özellik, temel talep kümesine ve çekirdek talep kümesine ek olarak, ilkeden etkilenen belirteçlerde hangi taleplerin mevcut olduğunu tanımlar.Summary: This property defines which claims are present in the tokens affected by the policy, in addition to the basic claim set and the core claim set. Bu özellikte tanımlanan her talep şeması girişi için bazı bilgiler gereklidir.For each claim schema entry defined in this property, certain information is required. Verilerin nereye geldiğini (değer veya kaynak/kimlik çiftinin) ve verilerin hangi talebe göre (talep türü) yayınlandığını belirtin.Specify where the data is coming from (Value or Source/ID pair), and which claim the data is emitted as (Claim Type).

Talep şeması giriş öğeleriClaim schema entry elements

Deeri Value öğesi, bir statik değeri, talepteki veri olarak tanımlar.Value: The Value element defines a static value as the data to be emitted in the claim.

Kaynak/KIMLIK çifti: Kaynak ve KIMLIK öğeleri, talepteki verilerin kaynağını belirler.Source/ID pair: The Source and ID elements define where the data in the claim is sourced from.

Kaynak öğeyi aşağıdaki değerlerden birine ayarlayın:Set the Source element to one of the following values:

  • "Kullanıcı": Talepteki veriler, kullanıcı nesnesindeki bir özelliktir."user": The data in the claim is a property on the User object.
  • "uygulama": Talepteki veriler, uygulama (istemci) hizmet sorumlusu üzerindeki bir özelliktir."application": The data in the claim is a property on the application (client) service principal.
  • "kaynak": Talepteki veriler, kaynak hizmeti sorumlusu üzerindeki bir özelliktir."resource": The data in the claim is a property on the resource service principal.
  • "hedef kitle": Talepteki veriler, belirtecin hedef kitlesi olan hizmet sorumlusu üzerindeki bir özelliktir (istemci ya da kaynak hizmet sorumlusu)."audience": The data in the claim is a property on the service principal that is the audience of the token (either the client or resource service principal).
  • "Şirket": Talepteki veriler, kaynak kiracının şirket nesnesindeki bir özelliktir.“company”: The data in the claim is a property on the resource tenant’s Company object.
  • "dönüştürme": Talepteki veriler talep dönüşümünde (Bu makalenin devamındaki "talep dönüştürme" bölümüne bakın)."transformation": The data in the claim is from claims transformation (see the "Claims transformation" section later in this article).

Kaynak dönüşümde ise, dönüştürme işlemi kimliği öğesi bu talep tanımına da dahil olmalıdır.If the source is transformation, the TransformationID element must be included in this claim definition as well.

ID öğesi, kaynak üzerinde hangi özelliğin talep için değer sağladığını tanımlar.The ID element identifies which property on the source provides the value for the claim. Aşağıdaki tabloda her kaynak değeri için geçerli olan KIMLIK değerleri listelenmektedir.The following table lists the values of ID valid for each value of Source.

Tablo 3: Kaynak başına geçerli KIMLIK değerleriTable 3: Valid ID values per source

SourceSource idID AçıklamaDescription
KullanıcıUser Soyadısurname Aile adıFamily Name
KullanıcıUser givenNamegivenname AdGiven Name
KullanıcıUser displayNamedisplayname Görünen AdDisplay Name
KullanıcıUser uzantınınobjectid ObjectIDObjectID
KullanıcıUser postamail E-posta AdresiEmail Address
KullanıcıUser userPrincipalNameuserprincipalname Kullanıcı asıl adıUser Principal Name
KullanıcıUser Bölümdepartment BölümDepartment
KullanıcıUser onpremisessamaccountnameonpremisessamaccountname Şirket içi SAM hesap adıOn-premises SAM Account Name
KullanıcıUser NetbiosNamenetbiosname NetBIOS adıNetBios Name
KullanıcıUser DNdnsdomainname DNS etki alanı adıDNS Domain Name
KullanıcıUser onpremisesecurityidentifieronpremisesecurityidentifier Şirket içi güvenlik tanımlayıcısıOn-premises Security Identifier
KullanıcıUser tadıcompanyname Kuruluş adıOrganization Name
KullanıcıUser StreetAddressstreetaddress Açık adresStreet Address
KullanıcıUser PostalCodepostalcode Posta koduPostal Code
KullanıcıUser preferredlanguangepreferredlanguange Tercih Edilen DilPreferred Language
KullanıcıUser onpremisesuserprincipalnameonpremisesuserprincipalname Şirket içi UPNOn-premises UPN
KullanıcıUser mailNicknamemailnickname Posta Takma AdıMail Nickname
KullanıcıUser extensionattribute1extensionattribute1 Uzantı özniteliği 1Extension Attribute 1
KullanıcıUser extensionattribute2extensionattribute2 Uzantı özniteliği 2Extension Attribute 2
KullanıcıUser extensionattribute3extensionattribute3 Uzantı özniteliği 3Extension Attribute 3
KullanıcıUser extensionattribute4extensionattribute4 Uzantı özniteliği 4Extension Attribute 4
KullanıcıUser extensionattribute5extensionattribute5 Uzantı özniteliği 5Extension Attribute 5
KullanıcıUser extensionattribute6extensionattribute6 Uzantı özniteliği 6Extension Attribute 6
KullanıcıUser extensionattribute7extensionattribute7 Uzantı özniteliği 7Extension Attribute 7
KullanıcıUser extensionattribute8extensionattribute8 Uzantı özniteliği 8Extension Attribute 8
KullanıcıUser extensionattribute9extensionattribute9 Uzantı özniteliği 9Extension Attribute 9
KullanıcıUser extensionattribute10extensionattribute10 Uzantı özniteliği 10Extension Attribute 10
KullanıcıUser extensionattribute11extensionattribute11 Uzantı özniteliği 11Extension Attribute 11
KullanıcıUser extensionattribute12extensionattribute12 Uzantı özniteliği 12Extension Attribute 12
KullanıcıUser extensionattribute13extensionattribute13 Uzantı özniteliği 13Extension Attribute 13
KullanıcıUser extensionattribute14extensionattribute14 Uzantı özniteliği 14Extension Attribute 14
KullanıcıUser extensionattribute15extensionattribute15 Uzantı özniteliği 15Extension Attribute 15
KullanıcıUser diğer postaothermail Diğer postaOther Mail
KullanıcıUser ülkecountry CountryCountry
KullanıcıUser citycity CityCity
KullanıcıUser statestate DurumState
KullanıcıUser JobTitlejobtitle İş UnvanıJob Title
KullanıcıUser EmployeeIDemployeeid Çalışan KimliğiEmployee ID
KullanıcıUser facsimileTelephoneNumber 'dirfacsimiletelephonenumber Facsıle telefon numarasıFacsimile Telephone Number
uygulama, kaynak, hedef kitleapplication, resource, audience displayNamedisplayname Görünen AdDisplay Name
uygulama, kaynak, hedef kitleapplication, resource, audience objectedobjected ObjectIDObjectID
uygulama, kaynak, hedef kitleapplication, resource, audience tagstags Hizmet sorumlusu etiketiService Principal Tag
ŞirketCompany tenantcountrytenantcountry Kiracının ülkesiTenant’s country

Dönüştürme kimliği: Dönüşümtionıd öğesi yalnızca kaynak öğe "dönüşüm" olarak ayarlandıysa sağlanmalıdır.TransformationID: The TransformationID element must be provided only if the Source element is set to “transformation”.

  • Bu öğe, bu talep için verilerin nasıl oluşturulduğunu tanımlayan Claimstrans, özelliğindeki dönüştürme girişinin ID öğesiyle aynı olmalıdır.This element must match the ID element of the transformation entry in the ClaimsTransformation property that defines how the data for this claim is generated.

Talep türü: Jwtclaimtype ve samlclaimtype öğeleri, bu talep şeması girişinin hangi talebe başvurduğunu tanımlar.Claim Type: The JwtClaimType and SamlClaimType elements define which claim this claim schema entry refers to.

  • JwtClaimType, JWTs 'de yayınlankullanılacak talebin adını içermelidir.The JwtClaimType must contain the name of the claim to be emitted in JWTs.
  • SamlClaimType, SAML belirteçlerine yayınlaneklenecek talebin URI 'sini içermelidir.The SamlClaimType must contain the URI of the claim to be emitted in SAML tokens.

Not

Kısıtlanmış talep kümesindeki taleplerin adları ve URI 'Leri talep türü öğeleri için kullanılamaz.Names and URIs of claims in the restricted claim set cannot be used for the claim type elements. Daha fazla bilgi için, bu makalenin devamındaki "özel durumlar ve kısıtlamalar" bölümüne bakın.For more information, see the "Exceptions and restrictions" section later in this article.

Talepleri dönüştürmeClaims transformation

Dizisinde ClaimstranssizeString: ClaimsTransformation

Veri türü: JSON blobu, bir veya daha fazla dönüştürme girdisiData type: JSON blob, with one or more transformation entries

Özetleme Bu özelliği, talep şemasında belirtilen talepler için çıkış verilerini oluşturmak üzere kaynak verilere ortak dönüşümler uygulamak için kullanın.Summary: Use this property to apply common transformations to source data, to generate the output data for claims specified in the Claims Schema.

NUMARASINI Transformation Tionıd talep şeması girişinde bu dönüşüm girişine başvurmak için ID öğesini kullanın.ID: Use the ID element to reference this transformation entry in the TransformationID Claims Schema entry. Bu değer, bu ilkedeki her bir dönüştürme girişi için benzersiz olmalıdır.This value must be unique for each transformation entry within this policy.

Dönüştürme yöntemi: Dönüştürme Tionmethod öğesi, talep için verileri oluşturmak üzere hangi işlemin gerçekleştirildiğini tanımlar.TransformationMethod: The TransformationMethod element identifies which operation is performed to generate the data for the claim.

Seçilen yönteme bağlı olarak bir dizi giriş ve çıkış beklenmektedir.Based on the method chosen, a set of inputs and outputs is expected. Giriş ve çıkışları ınputclaim, InputParameters ve outputclaim öğelerini kullanarak tanımlayın.Define the inputs and outputs by using the InputClaims, InputParameters and OutputClaims elements.

Tablo 4: Dönüştürme yöntemleri ve beklenen girişler ve çıktılarTable 4: Transformation methods and expected inputs and outputs

Dönüştürme TionmethodTransformationMethod Beklenen girişExpected input Beklenen çıkışExpected output AçıklamaDescription
BirleştirJoin dize1, dize2, ayırıcıstring1, string2, separator outputClaimoutputClaim Arasında bir ayırıcı kullanarak girdi dizelerini birleştirir.Joins input strings by using a separator in between. Örneğin: Dize1: "foo@bar.com", dize2: "Sandbox", ayırıcı: "." outputclaim 'de sonuçlar: ""foo@bar.com.sandboxFor example: string1:"foo@bar.com" , string2:"sandbox" , separator:"." results in outputClaim:"foo@bar.com.sandbox"
ExtractMailPrefixExtractMailPrefix postamail outputClaimoutputClaim Bir e-posta adresinin yerel bölümünü ayıklar.Extracts the local part of an email address. Örneğin: posta: "foo@bar.com" outputclaim sonucu: "foo".For example: mail:"foo@bar.com" results in outputClaim:"foo". Hiçbir @ işaret yoksa, özgün giriş dizesi olduğu gibi döndürülür.If no @ sign is present, then the original input string is returned as is.

Inputclaims Bir talep şeması girdisinden bir dönüşüme veri geçirmek için ınputclaim öğesi kullanın.InputClaims: Use an InputClaims element to pass the data from a claim schema entry to a transformation. İki özniteliğe sahiptir: ClaimTypeReferenceId ve dönüştürme tionclaimtype.It has two attributes: ClaimTypeReferenceId and TransformationClaimType.

  • ClaimTypeReferenceId , uygun giriş talebini bulmak için talep ŞEMASı girişinin ID öğesiyle birleştirilir.ClaimTypeReferenceId is joined with ID element of the claim schema entry to find the appropriate input claim.
  • Bu girişe benzersiz bir ad vermek için dönüştürme Işlemi ClaimType kullanılır.TransformationClaimType is used to give a unique name to this input. Bu ad, dönüşüm yöntemi için beklenen girdilerden biriyle eşleşmelidir.This name must match one of the expected inputs for the transformation method.

InputParameters: Bir dönüşüme sabit değer geçirmek için InputParameters öğesi kullanın.InputParameters: Use an InputParameters element to pass a constant value to a transformation. İki özniteliğe sahiptir: Değer ve kimlik.It has two attributes: Value and ID.

  • Değer geçirilecek gerçek sabit değerdir.Value is the actual constant value to be passed.
  • Girişe benzersiz bir ad vermek için kimlik kullanılır.ID is used to give a unique name to the input. Ad, dönüşüm yöntemi için beklenen girdilerden biriyle eşleşmelidir.The name must match one of the expected inputs for the transformation method.

Outputclaim: Bir dönüştürme tarafından oluşturulan verileri tutmak ve bir talep şeması girişine bağlamak için bir Outputclaim öğesi kullanın.OutputClaims: Use an OutputClaims element to hold the data generated by a transformation, and tie it to a claim schema entry. İki özniteliğe sahiptir: ClaimTypeReferenceId ve dönüştürme tionclaimtype.It has two attributes: ClaimTypeReferenceId and TransformationClaimType.

  • ClaimTypeReferenceId , uygun çıkış talebini bulmak için talep ŞEMASı girişinin kimliğiyle birleştirilir.ClaimTypeReferenceId is joined with the ID of the claim schema entry to find the appropriate output claim.
  • Dönüştürme , çıkışa benzersiz bir ad vermek için kullanılır.TransformationClaimType is used to give a unique name to the output. Ad, dönüştürme yöntemi için beklenen çıktılardan biriyle eşleşmelidir.The name must match one of the expected outputs for the transformation method.

Özel durumlar ve kısıtlamalarExceptions and restrictions

SAML NameID ve UPN: NameID ve UPN değerlerini ve izin verilen talep dönüştürmelerini kaynak olarak belirten öznitelikler sınırlıdır.SAML NameID and UPN: The attributes from which you source the NameID and UPN values, and the claims transformations that are permitted, are limited. İzin verilen değerleri görmek için bkz. Tablo 5 ve tablo 6.See table 5 and table 6 to see the permitted values.

Tablo 5: SAML NameID için veri kaynağı olarak izin verilen özniteliklerTable 5: Attributes allowed as a data source for SAML NameID

SourceSource idID AçıklamaDescription
KullanıcıUser postamail E-posta AdresiEmail Address
KullanıcıUser userPrincipalNameuserprincipalname Kullanıcı asıl adıUser Principal Name
KullanıcıUser onpremisessamaccountnameonpremisessamaccountname Şirket Içi Sam hesap adıOn Premises Sam Account Name
KullanıcıUser EmployeeIDemployeeid Çalışan KimliğiEmployee ID
KullanıcıUser extensionattribute1extensionattribute1 Uzantı özniteliği 1Extension Attribute 1
KullanıcıUser extensionattribute2extensionattribute2 Uzantı özniteliği 2Extension Attribute 2
KullanıcıUser extensionattribute3extensionattribute3 Uzantı özniteliği 3Extension Attribute 3
KullanıcıUser extensionattribute4extensionattribute4 Uzantı özniteliği 4Extension Attribute 4
KullanıcıUser extensionattribute5extensionattribute5 Uzantı özniteliği 5Extension Attribute 5
KullanıcıUser extensionattribute6extensionattribute6 Uzantı özniteliği 6Extension Attribute 6
KullanıcıUser extensionattribute7extensionattribute7 Uzantı özniteliği 7Extension Attribute 7
KullanıcıUser extensionattribute8extensionattribute8 Uzantı özniteliği 8Extension Attribute 8
KullanıcıUser extensionattribute9extensionattribute9 Uzantı özniteliği 9Extension Attribute 9
KullanıcıUser extensionattribute10extensionattribute10 Uzantı özniteliği 10Extension Attribute 10
KullanıcıUser extensionattribute11extensionattribute11 Uzantı özniteliği 11Extension Attribute 11
KullanıcıUser extensionattribute12extensionattribute12 Uzantı özniteliği 12Extension Attribute 12
KullanıcıUser extensionattribute13extensionattribute13 Uzantı özniteliği 13Extension Attribute 13
KullanıcıUser extensionattribute14extensionattribute14 Uzantı özniteliği 14Extension Attribute 14
KullanıcıUser extensionattribute15extensionattribute15 Uzantı özniteliği 15Extension Attribute 15

Tablo 6: SAML NameID için izin verilen dönüştürme yöntemleriTable 6: Transformation methods allowed for SAML NameID

Dönüştürme TionmethodTransformationMethod KısıtlamalarRestrictions
ExtractMailPrefixExtractMailPrefix Yok.None
BirleştirJoin Katılmakta olan sonekin, kaynak kiracının doğrulanmış bir etki alanı olması gerekir.The suffix being joined must be a verified domain of the resource tenant.

Özel imzalama anahtarıCustom signing key

Bir talep eşleme ilkesinin etkili olması için hizmet sorumlusu nesnesine özel bir imzalama anahtarı atanmalıdır.A custom signing key must be assigned to the service principal object for a claims mapping policy to take effect. Bu, belirteçlerin talep eşleme ilkesinin Oluşturucusu tarafından değiştirildiğini ve uygulamaların kötü amaçlı aktörler tarafından oluşturulan talep eşleme ilkelerine karşı korunmasını sağlar.This ensures acknowledgment that tokens have been modified by the creator of the claims mapping policy and protects applications from claims mapping policies created by malicious actors. Talep eşlemesi etkin olan uygulamalar, kendi appid={client_id} OpenID Connect meta veri isteklerineekleyerek belirteç imzalama anahtarları için özel bir URI 'yi denetmelidir.Apps that have claims mapping enabled must check a special URI for their token signing keys by appending appid={client_id} to their OpenID Connect metadata requests.

Çapraz kiracı senaryolarıCross-tenant scenarios

Talep eşleme ilkeleri Konuk kullanıcılar için uygulanmaz.Claims mapping policies do not apply to guest users. Konuk Kullanıcı, hizmet sorumlusuna atanmış bir talep eşleme ilkesiyle bir uygulamaya erişmeyi denediğinde, varsayılan belirteç verilir (ilkenin hiçbir etkisi yoktur).If a guest user tries to access an application with a claims mapping policy assigned to its service principal, the default token is issued (the policy has no effect).

Talep eşleme ilkesi atamasıClaims mapping policy assignment

Talep eşleme ilkeleri, yalnızca hizmet sorumlusu nesnelerine atanabilir.Claims mapping policies can only be assigned to service principal objects.

Örnek talep eşleme ilkeleriExample claims mapping policies

Azure AD 'de, belirli hizmet sorumluları için belirteçlerde yayılan talepleri özelleştirebilmeniz için birçok senaryo mümkündür.In Azure AD, many scenarios are possible when you can customize claims emitted in tokens for specific service principals. Bu bölümde, talep eşleme ilkesi türünü nasıl kullanacağınızı belirlemenize yardımcı olabilecek birkaç yaygın senaryoya kılavuzluk ederiz.In this section, we walk through a few common scenarios that can help you grasp how to use the claims mapping policy type.

ÖnkoşullarPrerequisites

Aşağıdaki örneklerde, hizmet sorumluları için ilkeleri oluşturur, güncelleştirir, bağlar ve silebilirsiniz.In the following examples, you create, update, link, and delete policies for service principals. Azure AD 'de yeni başladıysanız, bu örneklere geçmeden önce bir Azure AD kiracısı alma hakkında bilgi almanızı öneririz.If you are new to Azure AD, we recommend that you learn about how to get an Azure AD tenant before you proceed with these examples.

Başlamak için aşağıdaki adımları uygulayın:To get started, do the following steps:

  1. En son Azure AD PowerShell modülü genel önizleme sürümünüindirin.Download the latest Azure AD PowerShell Module public preview release.

  2. Azure AD yönetici hesabınızda oturum açmak için Connect komutunu çalıştırın.Run the Connect command to sign in to your Azure AD admin account. Her yeni oturumu başlattığınızda bu komutu çalıştırın.Run this command each time you start a new session.

    Connect-AzureAD -Confirm
    
  3. Kuruluşunuzda oluşturulan tüm ilkeleri görmek için aşağıdaki komutu çalıştırın.To see all policies that have been created in your organization, run the following command. İlkelerinizin beklenen şekilde oluşturulduğunu denetlemek için, aşağıdaki senaryolarda işlemlerden en çok işlem sonrasında bu komutu çalıştırmanızı öneririz.We recommend that you run this command after most operations in the following scenarios, to check that your policies are being created as expected.

    Get-AzureADPolicy
    

Örnek: Hizmet sorumlusuna verilen belirteçlerden temel talepleri atlamak için bir ilke oluşturun ve atayınExample: Create and assign a policy to omit the basic claims from tokens issued to a service principal

Bu örnekte, bağlı hizmet sorumlularına verilen belirteçlerden temel talep kümesini kaldıran bir ilke oluşturursunuz.In this example, you create a policy that removes the basic claim set from tokens issued to linked service principals.

  1. Talep eşleme ilkesi oluşturun.Create a claims mapping policy. Belirli hizmet sorumlularına bağlı olan bu ilke, temel talep kümesini belirteçlerden kaldırır.This policy, linked to specific service principals, removes the basic claim set from tokens.
    1. İlkeyi oluşturmak için şu komutu çalıştırın:To create the policy, run this command:

      New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"false"}}') -DisplayName "OmitBasicClaims" -Type "ClaimsMappingPolicy"
      
    2. Yeni ilkenize bakmak ve ilke ObjectID 'yi almak için aşağıdaki komutu çalıştırın:To see your new policy, and to get the policy ObjectId, run the following command:

      Get-AzureADPolicy
      
  2. İlkeyi hizmet sorumlusuna atayın.Assign the policy to your service principal. Ayrıca hizmet sorumlunun ObjectID 'sini almanız gerekir.You also need to get the ObjectId of your service principal.
    1. Tüm kuruluşunuzun hizmet sorumlularını görmek için Microsoft Graph sorgulayabilirsiniz.To see all your organization's service principals, you can query Microsoft Graph. Ya da Azure AD Graph Explorer 'da Azure AD hesabınızda oturum açın.Or, in Azure AD Graph Explorer, sign in to your Azure AD account.

    2. Hizmet sorumlunuz ObjectID 'niz varsa, aşağıdaki komutu çalıştırın:When you have the ObjectId of your service principal, run the following command:

      Add-AzureADServicePrincipalPolicy -Id <ObjectId of the ServicePrincipal> -RefObjectId <ObjectId of the Policy>
      

Örnek: Hizmet sorumlusuna verilen belirteçlere talepler olarak EmployeeID ve TenantCountry dahil etmek için bir ilke oluşturun ve atayınExample: Create and assign a policy to include the EmployeeID and TenantCountry as claims in tokens issued to a service principal

Bu örnekte, EmployeeID ve TenantCountry ' ı bağlı hizmet sorumlularına verilen belirteçlere ekleyen bir ilke oluşturacaksınız.In this example, you create a policy that adds the EmployeeID and TenantCountry to tokens issued to linked service principals. ÇalışanNo, hem SAML belirteçlerinde hem de JWTs 'de ad talep türü olarak yayınlanır.The EmployeeID is emitted as the name claim type in both SAML tokens and JWTs. TenantCountry, hem SAML belirteçlerinde hem de JWTs 'de ülke talep türü olarak yayınlanır.The TenantCountry is emitted as the country claim type in both SAML tokens and JWTs. Bu örnekte, belirteçlere temel talepler kümesini eklemeye devam ediyoruz.In this example, we continue to include the basic claims set in the tokens.

  1. Talep eşleme ilkesi oluşturun.Create a claims mapping policy. Bu ilke, belirli hizmet sorumlularıyla bağlantılı olarak, ÇalışanNo ve TenantCountry taleplerini belirteçlere ekler.This policy, linked to specific service principals, adds the EmployeeID and TenantCountry claims to tokens.
    1. İlkeyi oluşturmak için aşağıdaki komutu çalıştırın:To create the policy, run the following command:

      New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema": [{"Source":"user","ID":"employeeid","SamlClaimType":"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name","JwtClaimType":"name"},{"Source":"company","ID":"tenantcountry","SamlClaimType":"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/country","JwtClaimType":"country"}]}}') -DisplayName "ExtraClaimsExample" -Type "ClaimsMappingPolicy"
      
    2. Yeni ilkenize bakmak ve ilke ObjectID 'yi almak için aşağıdaki komutu çalıştırın:To see your new policy, and to get the policy ObjectId, run the following command:

      Get-AzureADPolicy
      
  2. İlkeyi hizmet sorumlusuna atayın.Assign the policy to your service principal. Ayrıca hizmet sorumlunun ObjectID 'sini almanız gerekir.You also need to get the ObjectId of your service principal.
    1. Tüm kuruluşunuzun hizmet sorumlularını görmek için Microsoft Graph sorgulayabilirsiniz.To see all your organization's service principals, you can query Microsoft Graph. Ya da Azure AD Graph Explorer 'da Azure AD hesabınızda oturum açın.Or, in Azure AD Graph Explorer, sign in to your Azure AD account.

    2. Hizmet sorumlunuz ObjectID 'niz varsa, aşağıdaki komutu çalıştırın:When you have the ObjectId of your service principal, run the following command:

      Add-AzureADServicePrincipalPolicy -Id <ObjectId of the ServicePrincipal> -RefObjectId <ObjectId of the Policy>
      

Örnek: Hizmet sorumlusuna verilen belirteçlerde talep dönüştürmesi kullanan bir ilke oluşturma ve atamaExample: Create and assign a policy that uses a claims transformation in tokens issued to a service principal

Bu örnekte, bağlantılı hizmet sorumlularına verilen JWTs 'e "JoinedData" özel talebi yayan bir ilke oluşturacaksınız.In this example, you create a policy that emits a custom claim “JoinedData” to JWTs issued to linked service principals. Bu talep, kullanıcı nesnesindeki extensionAttribute1 özniteliğinde depolanan verileri ". Sandbox" ile birleştirerek oluşturulmuş bir değer içerir.This claim contains a value created by joining the data stored in the extensionattribute1 attribute on the user object with “.sandbox”. Bu örnekte, belirteçlerde ayarlanan temel talepler hariç tutuyoruz.In this example, we exclude the basic claims set in the tokens.

  1. Talep eşleme ilkesi oluşturun.Create a claims mapping policy. Bu ilke, belirli hizmet sorumlularıyla bağlantılı olarak, ÇalışanNo ve TenantCountry taleplerini belirteçlere ekler.This policy, linked to specific service principals, adds the EmployeeID and TenantCountry claims to tokens.
    1. İlkeyi oluşturmak için aşağıdaki komutu çalıştırın:To create the policy, run the following command:

      New-AzureADPolicy -Definition @('{"ClaimsMappingPolicy":{"Version":1,"IncludeBasicClaimSet":"true", "ClaimsSchema":[{"Source":"user","ID":"extensionattribute1"},{"Source":"transformation","ID":"DataJoin","TransformationId":"JoinTheData","JwtClaimType":"JoinedData"}],"ClaimsTransformations":[{"ID":"JoinTheData","TransformationMethod":"Join","InputClaims":[{"ClaimTypeReferenceId":"extensionattribute1","TransformationClaimType":"string1"}], "InputParameters": [{"ID":"string2","Value":"sandbox"},{"ID":"separator","Value":"."}],"OutputClaims":[{"ClaimTypeReferenceId":"DataJoin","TransformationClaimType":"outputClaim"}]}]}}') -DisplayName "TransformClaimsExample" -Type "ClaimsMappingPolicy"
      
    2. Yeni ilkenize bakmak ve ilke ObjectID 'yi almak için aşağıdaki komutu çalıştırın:To see your new policy, and to get the policy ObjectId, run the following command:

      Get-AzureADPolicy
      
  2. İlkeyi hizmet sorumlusuna atayın.Assign the policy to your service principal. Ayrıca hizmet sorumlunun ObjectID 'sini almanız gerekir.You also need to get the ObjectId of your service principal.
    1. Tüm kuruluşunuzun hizmet sorumlularını görmek için Microsoft Graph sorgulayabilirsiniz.To see all your organization's service principals, you can query Microsoft Graph. Ya da Azure AD Graph Explorer 'da Azure AD hesabınızda oturum açın.Or, in Azure AD Graph Explorer, sign in to your Azure AD account.

    2. Hizmet sorumlunuz ObjectID 'niz varsa, aşağıdaki komutu çalıştırın:When you have the ObjectId of your service principal, run the following command:

      Add-AzureADServicePrincipalPolicy -Id <ObjectId of the ServicePrincipal> -RefObjectId <ObjectId of the Policy>
      

Ayrıca bkz.See also

SAML belirtecinde verilen talepleri Azure Portal aracılığıyla özelleştirmeyi öğrenmek için bkz . nasıl yapılır: Kurumsal uygulamalar için SAML belirtecinde verilen talepleri özelleştirmeTo learn how to customize claims issued in the SAML token through the Azure portal, see How to: Customize claims issued in the SAML token for enterprise applications