- 기사
선택적 클레임을 사용하여 다음을 수행할 수 있습니다.
- 애플리케이션의 토큰에 포함할 클레임을 선택합니다.
- Microsoft ID 플랫폼이 토큰으로 반환하는 특정 클레임의 동작을 변경합니다.
- 애플리케이션에 대한 사용자 지정 클레임을 추가하고 액세스합니다.
표준 클레임 목록은 다음을 참조하세요.액세스 토큰그리고id_token청구 문서.
선택적 클레임은 v1.0 및 v2.0 형식 토큰과 SAML 토큰 모두에서 지원되지만 v1.0에서 v2.0으로 이동할 때 대부분의 가치를 제공합니다. Microsoft ID 플랫폼에서는 클라이언트의 최적 성능을 보장하기 위해 더 작은 토큰 크기가 사용됩니다. 그 결과 이전에 액세스 및 ID 토큰에 포함되었던 여러 클레임이 v2.0 토큰에 더 이상 존재하지 않으며 특히 애플리케이션별로 요청해야 합니다.
| 계정 유형 | v1.0 토큰 | v2.0 토큰 |
|---|---|---|
| 개인 마이크로소프트 계정 | 해당 없음 | 지원 |
| Azure AD 계정 | 지원 | 지원 |
v1.0 및 v2.0 선택적 클레임 세트
애플리케이션에서 기본적으로 사용할 수 있는 선택적 클레임 집합은 다음 표에 나열되어 있습니다. 확장 특성 및 디렉터리 확장에서 사용자 지정 데이터를 사용하여 애플리케이션에 대한 선택적 클레임을 추가할 수 있습니다. 액세스 토큰에 클레임을 추가하면 요청된 액세스 토큰에 클레임이 적용됩니다.~을 위한요청된 클레임이 아닌 애플리케이션(웹 API)~에 의해응용 프로그램. 클라이언트가 API에 액세스하는 방법에 관계없이 API에 대해 인증하는 데 사용되는 액세스 토큰에 올바른 데이터가 있습니다.
메모
이러한 클레임의 대부분은 v1.0 및 v2.0 토큰에 대한 JWT에 포함될 수 있지만 토큰 유형 열에 명시된 경우를 제외하고 SAML 토큰에는 포함될 수 없습니다. 소비자 계정은 사용자 유형 열에 표시된 이러한 클레임의 하위 집합을 지원합니다. 나열된 많은 클레임은 소비자 사용자에게 적용되지 않습니다(테넌트가 없으므로tenant_ctry값이 없습니다).
다음 표에는 v1.0 및 v2.0 선택적 클레임 집합이 나열되어 있습니다.
| 이름 | 설명 | 토큰 유형 | 사용자 유형 | 노트 |
|---|---|---|---|---|
계정 | 테넌트의 사용자 계정 상태 | JWT, SAML | 사용자가 테넌트의 구성원인 경우 값은0. 게스트인 경우 값은 다음과 같습니다.1. | |
auth_time | 사용자가 마지막으로 인증한 시간입니다. | JWT | ||
씨트리 | 사용자의 국가/지역 | JWT | 이 클레임이 있고 필드 값이 FR, JP, SZ 등과 같은 표준 2자리 국가/지역 코드인 경우 반환됩니다. | |
이메일 | 이 사용자에 대해 보고된 이메일 주소 | JWT, SAML | MSA, 애저 AD | 사용자가 테넌트의 게스트인 경우 이 값이 포함됩니다. 관리되는 사용자(테넌트 내부의 사용자)의 경우 이 선택적 클레임을 통해 또는 v2.0에서만 OpenID 범위를 사용하여 요청해야 합니다. 이 값은 정확하다고 보장되지 않으며 시간이 지남에 따라 변경될 수 있습니다. 인증에 사용하거나 사용자를 위해 데이터를 저장하지 마십시오. 자세한 내용은 다음을 참조하십시오.클레임을 검증하여 애플리케이션 및 API 보호. 앱에 주소 지정이 가능한 이메일 주소가 필요한 경우 이 클레임을 제안으로 사용하거나 UX에 미리 입력하여 사용자에게 이 데이터를 직접 요청하세요. |
앞으로 | IP 주소 | JWT | 요청 클라이언트의 원래 IPv4 주소를 추가합니다(VNET 내부에 있을 때). | |
여러 떼 | 그룹 클레임에 대한 선택적 형식 지정 | JWT, SAML | 그만큼여러 떼클레임은 GroupMembershipClaims 설정과 함께 사용됩니다.애플리케이션 매니페스트, 이것도 설정해야 합니다. | |
신분증 | 토큰 유형 | JWT 액세스 토큰 | 특수: 앱 전용 액세스 토큰에서만 | 값은앱토큰이 앱 전용 토큰인 경우. 이 클레임은 API가 토큰이 앱 토큰인지 또는 앱+사용자 토큰인지 확인하는 가장 정확한 방법입니다. |
로그인_힌트 | 로그인 힌트 | JWT | MSA, 애저 AD | base64로 인코딩된 불투명하고 신뢰할 수 있는 로그인 힌트 클레임입니다. 이 값을 수정하지 마십시오. 이 주장은로그인_힌트SSO를 가져오기 위한 모든 흐름의 OAuth 매개 변수입니다. 응용 프로그램 간에 전달되어 자동으로 SSO를 지원할 수도 있습니다. 응용 프로그램 A는 사용자를 로그인하고로그인_힌트그런 다음 사용자가 응용 프로그램 B로 이동하는 링크를 선택할 때 쿼리 문자열 또는 조각의 응용 프로그램 B에 클레임 및 현재 테넌트 컨텍스트를 보냅니다. 경쟁 조건 및 안정성 문제를 방지하기 위해로그인_힌트주장하다하지 않는다사용자의 현재 테넌트를 포함하고 사용 시 사용자의 홈 테넌트로 기본 설정됩니다. 사용자가 다른 테넌트에 있는 게스트 시나리오에서는 로그인 요청에 테넌트 식별자를 제공해야 합니다. 파트너 관계에 있는 앱에 동일한 정보를 전달합니다. 이 클레임은 SDK의 기존로그인_힌트그러나 기능이 노출되었습니다. |
시드 | 세션별 사용자 로그아웃에 사용되는 세션 ID | JWT | 개인 및 Azure AD 계정. | |
tenant_ctry | 리소스 테넌트의 국가/지역 | JWT | 동일씨트리관리자가 테넌트 수준에서 설정한 경우를 제외하고. 또한 표준 두 글자 값이어야 합니다. | |
tenant_region_scope | 리소스 테넌트의 지역 | JWT | ||
업 | UserPrincipalName | JWT, SAML | 와 함께 사용할 수 있는 사용자의 식별자username_hint매개변수. 사용자에 대한 지속 가능한 식별자가 아니며 권한 부여 또는 사용자 정보를 고유하게 식별하는 데(예: 데이터베이스 키로) 사용해서는 안 됩니다. 대신 사용자 개체 ID(oid) 데이터베이스 키로. 자세한 내용은 다음을 참조하십시오.클레임을 검증하여 애플리케이션 및 API 보호. 다음으로 로그인하는 사용자대체 로그인 IDUPN(User Principal Name)이 표시되어서는 안 됩니다. 대신 다음 ID 토큰 클레임을 사용하여 사용자에게 로그인 상태를 표시합니다.preferred_username또는unique_namev1 토큰 및preferred_usernamev2 토큰의 경우. 이 클레임은 자동으로 포함되지만 게스트 사용자 사례에서 해당 동작을 수정하기 위해 다른 속성을 연결하는 선택적 클레임으로 지정할 수 있습니다. 다음을 사용해야 합니다.로그인_힌트~에 대한 주장로그인_힌트사용 - UPN과 같이 사람이 읽을 수 있는 식별자는 신뢰할 수 없습니다. | |
verify_primary_email | 사용자의 PrimaryAuthoritativeEmail에서 소싱됨 | JWT | ||
verify_secondary_email | 사용자의 SecondaryAuthoritativeEmail에서 소싱됨 | JWT | ||
열성적인 | VNET 지정자 정보입니다. | JWT | ||
xms_cc | 클라이언트 기능 | JWT | Azure 광고 | 토큰을 획득한 클라이언트 애플리케이션이 클레임 챌린지를 처리할 수 있는지 여부를 나타냅니다. 서비스 애플리케이션(리소스 서버)은 이 클레임을 사용하여 보호된 리소스에 대한 액세스 권한을 부여할 수 있습니다. 이 클레임은 일반적으로 조건부 액세스 및 연속 액세스 평가 시나리오에서 사용됩니다. 토큰을 발급하는 서비스 응용 프로그램은 토큰에 있는 클레임의 존재를 제어합니다. 이 선택적 클레임은 서비스 앱 등록의 일부로 구성되어야 합니다. 자세한 내용은 다음을 참조하십시오.클레임 이의 제기, 클레임 요청 및 클라이언트 기능. |
xms_pdl | 선호하는 데이터 위치 | JWT | Multi-Geo 테넌트의 경우 기본 데이터 위치는 사용자가 있는 지역을 나타내는 3자리 코드입니다. 자세한 내용은 다음을 참조하십시오.기본 데이터 위치에 대한 Azure AD Connect 설명서. | |
xms_pl | 사용자 선호 언어 | JWT | 설정된 경우 사용자의 기본 언어입니다. 게스트 액세스 시나리오에서 홈 테넌트에서 소싱됩니다. 형식화된 LL-CC("en-us"). | |
xms_tpl | 임차인이 선호하는 언어 | JWT | 리소스 테넌트의 기본 언어(설정된 경우)입니다. 형식화된 LL("en"). | |
ztdid | 제로터치 배포 ID | JWT | 다음에 사용되는 장치 ID윈도우 오토파일럿. |
경고
사용하지 마십시오이메일또는업클레임 값을 저장하거나 액세스 토큰의 사용자가 데이터에 액세스해야 하는지 여부를 결정합니다. 이와 같은 변경 가능한 클레임 값은 시간이 지남에 따라 변경될 수 있으므로 인증에 대해 안전하지 않고 신뢰할 수 없게 됩니다.
v2.0 전용 선택적 클레임 세트
이러한 클레임은 항상 v1.0 토큰에 포함되지만 요청하지 않는 한 v2.0 토큰에는 포함되지 않습니다. 이러한 클레임은 JWT(ID 토큰 및 액세스 토큰)에만 적용됩니다.
| JWT 클레임 | 이름 | 설명 | 노트 |
|---|---|---|---|
아이패드 | IP 주소 | 클라이언트가 로그인한 IP 주소입니다. | |
onprem_sid | 온프레미스 보안 식별자 | ||
pwd_exp | 비밀번호 만료 시간 | 시간 이후의 초 수앗암호가 만료되는 클레임. 이 클레임은 암호가 곧 만료되는 경우에만 포함됩니다(암호 정책의 "통지 일수"로 정의됨). | |
pwd_url | 비밀번호 URL 변경 | 사용자가 비밀번호를 변경하기 위해 방문할 수 있는 URL입니다. 이 클레임은 암호가 곧 만료되는 경우에만 포함됩니다(암호 정책의 "통지 일수"로 정의됨). | |
in_corp | 내부 기업 네트워크 | 클라이언트가 회사 네트워크에서 로그인하는 경우 신호를 보냅니다. 그렇지 않은 경우 클레임이 포함되지 않습니다. | 를 기반으로신뢰할 수 있는 IPMFA의 설정. |
family_name | 성 | 사용자 개체에 정의된 대로 사용자의 성, 성 또는 성을 제공합니다. 예를 들어,"family_name": "밀러". | MSA 및 Azure AD에서 지원됩니다. 필요합니다프로필범위. |
주어진_이름 | 이름 | 사용자 개체에 설정된 대로 사용자의 첫 번째 또는 "주어진" 이름을 제공합니다. 예를 들어,"given_name": "프랭크". | MSA 및 Azure AD에서 지원됩니다. 필요합니다프로필범위. |
업 | 사용자 계정 이름 | 와 함께 사용할 수 있는 사용자의 식별자username_hint매개변수. 사용자에 대한 지속 가능한 식별자가 아니며 권한 부여 또는 사용자 정보를 고유하게 식별하는 데(예: 데이터베이스 키로) 사용해서는 안 됩니다. 자세한 내용은 다음을 참조하십시오.클레임을 검증하여 애플리케이션 및 API 보호. 대신 사용자 개체 ID(oid) 데이터베이스 키로. 다음으로 로그인하는 사용자대체 로그인 IDUPN(User Principal Name)이 표시되어서는 안 됩니다. 대신 다음을 사용하십시오.preferred_username사용자에게 로그인 상태를 표시하기 위한 클레임. | 필요합니다프로필범위. |
v1.0 전용 선택적 클레임 세트
v2 토큰 형식의 개선 사항 중 일부는 v1 토큰 형식을 사용하는 앱에서 보안 및 안정성을 개선하는 데 도움이 되므로 사용할 수 있습니다. 이러한 개선 사항은 SAML 토큰이 아닌 JWT에만 적용됩니다.
| JWT 클레임 | 이름 | 설명 | 노트 |
|---|---|---|---|
소리 | 청중 | 항상 JWT에 존재하지만 v1 액세스 토큰에서는 후행 슬래시가 있거나 없는 모든 appID URI 및 리소스의 클라이언트 ID와 같은 다양한 방식으로 방출될 수 있습니다. 이 무작위화는 토큰 유효성 검사를 수행할 때 코딩하기 어려울 수 있습니다. 사용추가 속성이 클레임이 항상 v1 액세스 토큰에서 리소스의 클라이언트 ID로 설정되도록 합니다. | v1 JWT 액세스 토큰만 해당 |
preferred_username | 선호하는 사용자 이름 | v1 토큰 내에서 선호하는 사용자 이름 클레임을 제공합니다. 이 클레임은 토큰 유형에 관계없이 앱이 사용자 이름 힌트를 제공하고 사람이 읽을 수 있는 표시 이름을 표시하는 것을 더 쉽게 만듭니다. 다음을 사용하는 대신 이 선택적 클레임을 사용하는 것이 좋습니다.업또는unique_name. | v1 ID 토큰 및 액세스 토큰 |
추가 속성선택적 클레임
일부 선택적 클레임은 클레임이 반환되는 방식을 변경하도록 구성할 수 있습니다. 이것들추가 속성데이터 기대치가 다른 온프레미스 애플리케이션의 마이그레이션을 지원하는 데 주로 사용됩니다. 예를 들어,include_externally_authenticated_upn_without_hash해시 마크를 처리할 수 없는 고객에게 도움이 됩니다(#) UPN에서.
| 속성 이름 | 추가 속성이름 | 설명 |
|---|---|---|
업 | SAML 및 JWT 응답과 v1.0 및 v2.0 토큰 모두에 사용할 수 있습니다. | |
include_externally_authenticated_upn | 리소스 테넌트에 저장된 게스트 UPN을 포함합니다. 예를 들어,foo_hometenant.com#EXT#@resourcetenant.com. | |
include_externally_authenticated_upn_without_hash | 해시 마크(#)는 밑줄(_), 예를 들어foo_hometenant.com_EXT_@resourcetenant.com. | |
소리 | v1 액세스 토큰에서 이 클레임은소리주장하다. 이 클레임은 v2 토큰 또는 두 버전의 ID 토큰에 영향을 미치지 않습니다.소리클레임은 항상 클라이언트 ID입니다. 이 구성을 사용하여 API가 대상 유효성 검사를 보다 쉽게 수행할 수 있도록 합니다. 액세스 토큰에 영향을 미치는 모든 선택적 클레임과 마찬가지로 리소스가 액세스 토큰을 소유하므로 요청의 리소스는 이 선택적 클레임을 설정해야 합니다. | |
use_guid | 리소스(API)의 클라이언트 ID를 GUID 형식으로 내보냅니다.소리런타임에 의존하지 않고 항상 주장하십시오. 예를 들어 리소스가 이 플래그를 설정하고 해당 클라이언트 ID가bb0a297b-6a42-4a55-ac40-09a501456577, 해당 리소스에 대한 액세스 토큰을 요청하는 모든 앱은소리:bb0a297b-6a42-4a55-ac40-09a501456577. 이 클레임 집합이 없으면 API는 다음을 사용하여 토큰을 가져올 수 있습니다.소리의 주장api://MyApi.com,api://MyApi.com/,api://myapi.com/AdditionalRegisteredField또는 해당 API에 대한 앱 ID URI로 설정된 다른 값과 리소스의 클라이언트 ID입니다. |
추가 속성예
"optionalClaims": { "idToken": [ { "name": "upn", "essential": false, "additionalProperties": [ "include_externally_authenticated_upn" ] } ]}이것optionalClaims객체로 인해 클라이언트에 반환된 ID 토큰은 다음을 포함합니다.업다른 주택 임차인 및 리소스 임차인 정보로 청구합니다. 그만큼업클레임은 사용자가 테넌트의 게스트인 경우에만 토큰에서 변경됩니다(인증에 다른 IDP 사용).
선택적 클레임 구성
중요한
액세스 토큰은언제나클라이언트가 아닌 리소스의 매니페스트를 사용하여 생성됩니다. 요청에서...범위=https://graph.microsoft.com/user.read..., 리소스는 Microsoft Graph API입니다. 액세스 토큰은 클라이언트의 매니페스트가 아닌 Microsoft Graph API 매니페스트를 사용하여 생성됩니다. 애플리케이션에 대한 매니페스트를 변경해도 Microsoft Graph API의 토큰이 다르게 표시되지 않습니다. 확인하려면accessToken변경 사항이 적용되면 다른 앱이 아닌 애플리케이션에 대한 토큰을 요청하십시오.
Azure Portal 또는 애플리케이션 매니페스트를 통해 애플리케이션에 대한 선택적 클레임을 구성할 수 있습니다.
- 로 이동Azure 포털.
- 검색 및 선택Azure 액티브 디렉터리.
- 아래에관리하다, 선택하다앱 등록.
- 시나리오 및 원하는 결과에 따라 선택적 클레임을 구성할 애플리케이션을 선택합니다.
- 아래에관리하다, 선택하다토큰 구성.
- UI 옵션토큰 구성애플리케이션 매니페스트를 수정하여 구성할 수 있는 Azure AD B2C 테넌트에 등록된 앱에는 블레이드를 사용할 수 없습니다. 자세한 내용은 다음을 참조하십시오.Azure Active Directory B2C에서 사용자 지정 정책을 사용하여 클레임을 추가하고 사용자 입력을 사용자 지정합니다.
매니페스트를 사용하여 클레임을 구성합니다.
선택하다선택적 클레임 추가.
구성하려는 토큰 유형을 선택합니다.
추가할 선택적 클레임을 선택합니다.
선택하다추가하다.
아래에관리하다, 선택하다명백한. 웹 기반 매니페스트 편집기가 열리고 매니페스트를 편집할 수 있습니다. 선택적으로 다음을 선택할 수 있습니다.다운로드로컬에서 매니페스트를 편집한 다음업로드응용 프로그램에 다시 적용합니다.
다음 애플리케이션 매니페스트 항목은
auth_time,아이패드, 그리고업ID, 액세스 및 SAML 토큰에 대한 선택적 클레임.(Video) Microsoft ID 플랫폼을 사용한 토큰 사용자 지정"optionalClaims": { "idToken": [ { "name": "auth_time", "essential": false } ], "accessToken": [ { "name": "ipaddr", "essential": false } ], " saml2Token": [ { "이름": "upn", "필수": 거짓 }, { "이름": "extension_ab603c56068041afb2f6832e2a17e237_skypeId", "소스": "사용자", "필수": 거짓 } ]}완료되면 선택구하다. 이제 지정된 선택적 클레임이 애플리케이션의 토큰에 포함됩니다.
그만큼optionalClaims개체는 응용 프로그램에서 요청한 선택적 클레임을 선언합니다. 애플리케이션은 ID 토큰, 액세스 토큰 및 SAML 2 토큰에서 반환되는 선택적 클레임을 구성할 수 있습니다. 애플리케이션은 각 토큰 유형에서 반환될 다양한 선택적 클레임 집합을 구성할 수 있습니다.
| 이름 | 유형 | 설명 |
|---|---|---|
아이디토큰 | 수집 | JWT ID 토큰에 반환된 선택적 클레임입니다. |
accessToken | 수집 | JWT 액세스 토큰에 반환된 선택적 클레임입니다. |
saml2토큰 | 수집 | SAML 토큰에 반환된 선택적 클레임입니다. |
특정 클레임에서 지원하는 경우 다음을 사용하여 선택적 클레임의 동작을 수정할 수도 있습니다.추가 속성필드.
| 이름 | 유형 | 설명 |
|---|---|---|
이름 | Edm.String | 선택적 클레임의 이름입니다. |
원천 | Edm.String | 클레임의 소스(디렉토리 개체)입니다. 확장 속성에서 미리 정의된 클레임과 사용자 정의 클레임이 있습니다. 소스 값이 null인 경우 클레임은 미리 정의된 선택적 클레임입니다. 소스 값이 사용자인 경우 이름 속성의 값은 사용자 개체의 확장 속성입니다. |
필수적인 | Edm.Boolean | 값이 true이면 최종 사용자가 요청한 특정 작업에 대한 원활한 권한 부여 환경을 보장하기 위해 클라이언트에서 지정한 클레임이 필요합니다. 기본값은 거짓입니다. |
추가 속성 | 컬렉션(Edm.String) | 클레임의 다른 속성입니다. 이 컬렉션에 속성이 있으면 이름 속성에 지정된 선택적 클레임의 동작을 수정합니다. |
디렉터리 확장 선택적 클레임 구성
표준 선택적 클레임 집합 외에도 Microsoft Graph 확장을 포함하도록 토큰을 구성할 수도 있습니다. 자세한 내용은 다음을 참조하십시오.확장 프로그램을 사용하여 리소스에 사용자 지정 데이터 추가.
선택적 클레임은 확장 특성 및 디렉터리 확장을 지원합니다. 이 기능은 앱에서 사용할 수 있는 더 많은 사용자 정보를 첨부하는 데 유용합니다. 예를 들어 사용자가 설정한 다른 식별자 또는 중요한 구성 옵션입니다. 애플리케이션 매니페스트가 사용자 지정 확장을 요청하고 MSA 사용자가 앱에 로그인하면 이러한 확장이 반환되지 않습니다.
디렉토리 확장 형식
애플리케이션 매니페스트를 사용하여 디렉터리 확장 선택적 클레임을 구성할 때 확장의 전체 이름(형식:extension_). 그만큼<신청>클레임을 요청하는 애플리케이션의 appId(또는 클라이언트 ID)의 제거된 버전입니다.
JWT 내에서 이러한 클레임은 다음 이름 형식으로 내보냅니다.extn.<속성 이름>. SAML 토큰 내에서 이러한 클레임은 다음 URI 형식으로 내보내집니다.http://schemas.microsoft.com/identity/claims/extn.<속성 이름>
그룹 선택적 클레임 구성
이 섹션에서는 그룹 클레임에 사용되는 그룹 특성을 기본 그룹 objectID에서 온-프레미스 Windows Active Directory에서 동기화된 특성으로 변경하기 위한 선택적 클레임 아래의 구성 옵션을 다룹니다. Azure Portal 또는 애플리케이션 매니페스트를 통해 애플리케이션에 대한 그룹 선택적 클레임을 구성할 수 있습니다. 그룹 선택적 클레임은 사용자 주체에 대한 JWT에서만 내보냅니다. 서비스 주체는 JWT에서 내보낸 선택적 클레임 그룹에 포함되지 않습니다.
중요한
토큰에서 내보낸 그룹 수는 중첩 그룹을 포함하여 SAML 어설션의 경우 150개, JWT의 경우 200개로 제한됩니다. 온-프레미스 특성의 그룹 클레임에 대한 그룹 제한 및 중요한 주의 사항에 대한 자세한 내용은 다음을 참조하세요.Azure AD를 사용하여 애플리케이션에 대한 그룹 클레임 구성.
Azure Portal을 사용하여 그룹 선택적 클레임을 구성하려면 다음 단계를 완료하세요.
- 에 로그인Azure 포털.
- 인증한 후 페이지의 오른쪽 상단 모서리에서 선택하여 테넌트를 선택합니다.
- 검색 및 선택Azure 액티브 디렉터리.
- 아래에관리하다, 선택하다앱 등록.
- 목록에서 선택적 클레임을 구성하려는 애플리케이션을 선택합니다.
- 아래에관리하다, 선택하다토큰 구성.
- 선택하다그룹 클레임 추가.
- 반환할 그룹 유형을 선택합니다(보안 그룹, 또는디렉터리 역할,모든 그룹, 및/또는애플리케이션에 할당된 그룹):
- 그만큼애플리케이션에 할당된 그룹옵션에는 애플리케이션에 할당된 그룹만 포함됩니다. 그만큼애플리케이션에 할당된 그룹옵션은 토큰의 그룹 수 제한으로 인해 대규모 조직에 권장됩니다. 애플리케이션에 할당된 그룹을 변경하려면 목록에서 애플리케이션을 선택합니다.엔터프라이즈 애플리케이션목록. 선택하다사용자 및 그룹그런 다음사용자/그룹 추가. 애플리케이션에 추가할 그룹을 선택하십시오.사용자 및 그룹.
- 그만큼모든 그룹옵션 포함보안 그룹,디렉토리역할, 그리고배포 목록, 하지만애플리케이션에 할당된 그룹.
- 선택 사항: 특정 토큰 유형 속성을 선택하여 온프레미스 그룹 속성을 포함하도록 그룹 클레임 값을 수정하거나 클레임 유형을 역할로 변경합니다.
- 선택하다구하다.
애플리케이션 매니페스트를 통해 그룹 선택적 클레임을 구성하려면 다음 단계를 완료하세요.
에 로그인Azure 포털.
(Video) Microsoft Store 앱 문제를 해결하는 방법 | 마이크로소프트인증한 후 페이지의 오른쪽 위 모서리에서 선택하여 Azure AD 테넌트를 선택합니다.
검색 및 선택Azure 액티브 디렉터리.
목록에서 선택적 클레임을 구성하려는 애플리케이션을 선택합니다.
아래에관리하다, 선택하다명백한.
매니페스트 편집기를 사용하여 다음 항목을 추가합니다.
유효한 값은 다음과 같습니다.
- "모두"(이 옵션에는 SecurityGroup, DirectoryRole 및 DistributionList가 포함됨)
- "보안그룹"
- "디렉토리 역할"
- "ApplicationGroup"(이 옵션에는 애플리케이션에 할당된 그룹만 포함됨)
예를 들어:
"groupMembershipClaims": "보안 그룹"기본적으로 그룹 개체 ID는 그룹 클레임 값에서 내보냅니다. 온프레미스 그룹 속성을 포함하도록 클레임 값을 수정하거나 클레임 유형을 역할로 변경하려면
optionalClaims다음과 같은 구성:그룹 이름 구성 선택적 클레임을 설정합니다.
토큰의 그룹이 선택적 클레임 섹션에 온프레미스 그룹 특성을 포함하도록 하려면 선택적 클레임을 적용해야 하는 토큰 유형을 지정합니다. 또한 요청된 선택적 클레임의 이름과 원하는 기타 속성을 지정합니다.
여러 토큰 유형을 나열할 수 있습니다.
- OIDC ID 토큰용 idToken
- OAuth 액세스 토큰에 대한 accessToken
- SAML 토큰용 Saml2Token.
Saml2Token 유형은 SAML1.1 및 SAML2.0 형식 토큰 모두에 적용됩니다.
각 관련 토큰 유형에 대해 다음을 사용하도록 그룹 클레임을 수정합니다.
optionalClaims매니페스트의 섹션. 그만큼optionalClaims스키마는 다음과 같습니다.{ "이름": "그룹", "소스": null, "필수": 거짓, "추가 속성": []}선택적 클레임 스키마 값 이름반드시 여러 떼원천사용되지 않습니다. null을 생략하거나 지정합니다. 필수적인사용되지 않습니다. false를 생략하거나 지정하십시오. 추가 속성다른 속성 목록입니다. 유효한 옵션은 다음과 같습니다. sam_account_name,dns_domain_and_sam_account_name,netbios_domain_and_sam_account_name,emit_as_roles그리고cloud_displayname.~ 안에
추가 속성중 하나만sam_account_name,dns_domain_and_sam_account_name,netbios_domain_and_sam_account_name필요합니다. 둘 이상이 있는 경우 첫 번째 항목이 사용되고 다른 항목은 무시됩니다. 당신은 또한 추가할 수 있습니다cloud_displayname클라우드 그룹의 표시 이름을 내보냅니다. 이 옵션은 다음과 같은 경우에만 작동합니다.그룹 멤버십 클레임로 설정애플리케이션 그룹.(Video) Teams 모바일 앱으로 Microsoft Teams 모임에 참여하는 방법 | 마이크로소프트일부 애플리케이션에는 역할 클레임에서 사용자에 대한 그룹 정보가 필요합니다. 클레임 유형을 그룹 클레임에서 역할 클레임으로 변경하려면 다음을 추가합니다.
emit_as_roles에게추가 속성. 그룹 값은 역할 클레임에서 내보냅니다.만약에
emit_as_roles가 사용되면 사용자에게 할당되도록 구성된 모든 애플리케이션 역할이 역할 클레임에 포함되지 않습니다.
다음 예는 그룹 클레임에 대한 매니페스트 구성을 보여줍니다.
OAuth 액세스 토큰에서 그룹 이름으로 그룹 내보내기dns도메인 이름\sAM계정 이름체재.
"optionalClaims": { "accessToken": [ { "이름": "그룹", "additionalProperties": [ "dns_domain_and_sam_account_name" ] } ]}반환할 그룹 이름을 내보냅니다.netbios도메인\sAM계정 이름SAML 및 OIDC ID 토큰의 역할 클레임 형식입니다.
"optionalClaims": { "saml2Token": [ { "name": "groups", "additionalProperties": [ "netbios_domain_and_sam_account_name", "emit_as_roles" ] } ], "idToken": [ { "name": "groups", " 추가 속성": [ "netbios_domain_and_sam_account_name", "emit_as_roles" ] } ]}형식으로 그룹 이름을 내보냅니다.sam_account_name온프레미스 동기화 그룹 및cloud_displaySAML의 클라우드 그룹 이름 및 애플리케이션에 할당된 그룹의 OIDC ID 토큰.
"groupMembershipClaims": "ApplicationGroup","optionalClaims": { "saml2Token": [ { "name": "groups", "additionalProperties": [ "sam_account_name", "cloud_displayname" ] } ], "idToken": [ { " name": "그룹", "additionalProperties": [ "sam_account_name", "cloud_displayname" ] } ]}선택적 클레임 예
선택적 클레임을 활성화하고 구성하기 위해 애플리케이션 ID 구성의 속성을 업데이트하는 데 사용할 수 있는 여러 옵션이 있습니다.
- Azure Portal을 사용할 수 있습니다.
- 매니페스트를 사용할 수 있습니다.
- 를 사용하는 애플리케이션을 작성하는 것도 가능합니다.마이크로소프트 그래프 API애플리케이션을 업데이트합니다. 그만큼선택적 클레임Microsoft Graph API 참조 가이드에 입력하면 선택적 클레임 구성에 도움이 됩니다.
다음 예제에서는 Azure Portal 및 매니페스트를 사용하여 애플리케이션용 액세스, ID 및 SAML 토큰에 선택적 클레임을 추가합니다. 애플리케이션이 받을 수 있는 각 유형의 토큰에 서로 다른 선택적 클레임이 추가됩니다.
- ID 토큰에는 전체 형식(
_<홈도메인>#EXT#@<리소스도메인> - 다른 클라이언트가 이 애플리케이션에 대해 요청하는 액세스 토큰에는 다음이 포함됩니다.
auth_time주장하다. - SAML 토큰에는
스카이프 아이디디렉터리 스키마 확장(이 예에서 이 앱의 앱 ID는ab603c56068041afb2f6832e2a17e237). SAML 토큰은 Skype ID를 다음과 같이 노출합니다.extension_ab603c56068041afb2f6832e2a17e237_skypeId.
Azure Portal에서 클레임을 구성합니다.
- 에 로그인Azure 포털.
- 인증한 후 페이지의 오른쪽 상단 모서리에서 선택하여 테넌트를 선택합니다.
- 검색 및 선택Azure 액티브 디렉터리.
- 아래에관리하다, 선택하다앱 등록.
- 목록에서 선택적 클레임을 구성하려는 애플리케이션을 찾아 선택합니다.
- 아래에관리하다, 선택하다토큰 구성.
- 선택하다선택적 클레임 추가, 선택ID토큰 유형, 선택업클레임 목록에서 다음을 선택합니다.추가하다.
- 선택하다선택적 클레임 추가, 선택입장토큰 유형, 선택auth_time클레임 목록에서 다음을 선택합니다.추가하다.
- 토큰 구성 개요 화면에서 옆에 있는 연필 아이콘을 선택합니다.업, 선택외부 인증전환한 다음 선택구하다.
- 선택하다선택적 클레임 추가, 선택SAML토큰 유형, 선택extn.스카이프 ID클레임 목록에서(skypeID라는 Azure AD 사용자 개체를 만든 경우에만 해당) 다음을 선택합니다.추가하다.
매니페스트에서 클레임을 구성합니다.
에 로그인Azure 포털.
인증한 후 페이지의 오른쪽 상단 모서리에서 선택하여 테넌트를 선택합니다.
검색 및 선택Azure 액티브 디렉터리.
목록에서 선택적 클레임을 구성하려는 애플리케이션을 찾아 선택합니다.
(Video) Microsoft 365 Admin 모바일 앱을 얻는 방법아래에관리하다, 선택하다명백한인라인 매니페스트 편집기를 엽니다.
이 편집기를 사용하여 매니페스트를 직접 편집할 수 있습니다. 매니페스트는 다음에 대한 스키마를 따릅니다.애플리케이션 엔터티, 저장되면 매니페스트를 자동으로 포맷합니다. 에 새로운 요소가 추가됩니다.
optionalClaims재산."optionalClaims": { "idToken": [ { "name": "upn", "essential": false, "additionalProperties": [ "include_externally_authenticated_upn" ] } ], "accessToken": [ { "name": "auth_time" , "필수": 거짓 } ], "saml2Token": [ { "이름": "extension_ab603c56068041afb2f6832e2a17e237_skypeId", "소스": "사용자", "필수": 참 } ]}매니페스트 업데이트를 마치면 다음을 선택합니다.구하다매니페스트를 저장합니다.
또한보십시오
- 애플리케이션 매니페스트
- ID 토큰
- 액세스 토큰
다음 단계
- 자세히 알아보기토큰 및 클레임Microsoft ID 플랫폼에서.