prévu du jeton. L’application qui reçoit le jeton doit vérifier que la valeur d’audience est correcte et rejeter tous les jetons destinés à une autre audience.
Enregistrement instantané
de l’authentification Enregistre la date et l’heure auxquelles l’authentification a eu lieu.
Méthode d’authentification
Identifie la manière dont l’objet du jeton a été authentifié.
Prénom
Fournit le prénom ou le « prénom » de l’utilisateur, tel qu’il est défini sur l’objet utilisateur Microsoft Entra.
Groupes
Fournit des ID d’objet qui représentent les appartenances aux groupes du sujet. Ces valeurs sont uniques (voir ID d’objet) et peut être utilisé en toute sécurité pour gérer l’accès, par exemple pour appliquer l’autorisation d’accès à une ressource. Les groupes inclus dans la revendication de groupes sont configurés par application, via la propriété « groupMembershipClaims » du manifeste de l’application. La valeur null exclut tous les groupes, la valeur « SecurityGroup » inclut les rôles d’annuaire et les appartenances aux groupes de sécurité Active Directory, et la valeur « Tous » inclut les groupes de sécurité et les listes de distribution Microsoft 365.
Notes : Si le nombre de groupes dans lesquels se trouve l’utilisateur dépasse une limite (150 pour SAML, 200 pour JWT), une réclamation de dépassement sera ajoutée aux sources de réclamation pointant vers le point de terminaison Graph contenant la liste des groupes de l’utilisateur.
Indicateurs de dépassement
de groupes Pour les demandes de jeton qui ne sont pas limitées en longueur, mais qui sont encore trop volumineuses pour Le jeton, un lien vers la liste complète des groupes pour l’utilisateur sera inclus. Pour SAML, il s’agit d’une nouvelle revendication à la place de la revendication.
Notes : L’API Azure AD Graph est remplacée par l’API Microsoft Graph. Pour en savoir plus sur le point de terminaison équivalent, consultez user : getMemberObjects.
Fournisseur
d’identité Enregistre le fournisseur d’identité qui a authentifié l’objet du jeton. Cette valeur est identique à la valeur de la créance de l’émetteur, sauf si le compte d’utilisateur se trouve dans un locataire différent de celui de l’émetteur.
IssuedAt
Stocke l’heure à laquelle le jeton a été émis. Il est souvent utilisé pour mesurer la fraîcheur des jetons.
Émetteur
Identifie le service de jeton de sécurité (STS) qui construit et renvoie le jeton. Dans le jetons renvoyés par Microsoft Entra ID, l’émetteur est sts.windows.net. Le GUID dans la valeur de revendication de l’émetteur est l’ID de locataire de l’annuaire Microsoft Entra. L’ID de locataire est un identificateur immuable et fiable de l’annuaire.
Nom Fournit
le nom, le nom ou le nom de famille de l’utilisateur, tel que défini dans l’objet utilisateur Microsoft Entra.
Nom
Fournit une valeur lisible par l’homme qui identifie l’objet du jeton. Il n’est pas garanti que cette valeur soit unique au sein d’un locataire et est conçue pour être utilisée uniquement à des fins d’affichage.
ID
d’objet Contient un identificateur unique d’un objet dans Microsoft Entra ID. Cette valeur est immuable et ne peut pas être réaffectée ou réutilisée. Utilisez l’ID d’objet pour identifier un objet dans les requêtes adressées à l’ID Microsoft Entra.
Rôles
Représente tous les rôles d’application auxquels le sujet a été accordé directement et indirectement par le biais de l’appartenance à un groupe et qui peuvent être utilisés pour appliquer le contrôle d’accès basé sur les rôles. Les rôles d’application sont définis pour chaque application, via la propriété du manifeste de l’application. La propriété de chaque rôle d’application est la valeur qui apparaît dans la revendication des rôles.
Objet
Identifie le principal sur lequel le jeton affirme des informations, par exemple l’utilisateur d’une application. Cette valeur est immuable et ne peut pas être réaffectée ou réutilisée, elle peut donc être utilisée pour effectuer des vérifications d’autorisation en toute sécurité. Étant donné que l’objet est toujours présent dans les jetons émis par Microsoft Entra ID, nous vous recommandons d’utiliser cette valeur dans un système d’autorisation à usage général. n’est pas une réclamation. Il décrit comment le sujet du jeton est vérifiée. indique que le sujet est confirmé par la possession du jeton.
ID de locataire
Identificateur immuable et non réutilisable qui identifie le locataire d’annuaire qui a émis le jeton. Vous pouvez utiliser cette valeur pour accéder aux ressources d’annuaire spécifiques au locataire dans une application multilocataire. Par exemple, vous pouvez utiliser cette valeur pour identifier le locataire dans un appel à l’API Graph.
Durée de vie du jeton
,
définit l’intervalle de temps pendant lequel un jeton est valide. Le service qui valide le jeton doit vérifier que la date actuelle est comprise dans la durée de vie du jeton, sinon il doit rejeter le jeton. Le service peut autoriser jusqu’à cinq minutes au-delà de la plage de durée de vie du jeton pour tenir compte des différences de temps d’horloge (« décalage temporel ») entre l’ID Microsoft Entra et l’ID service.