Verzeichniserweiterungsattribute in Ansprüchen
Verzeichniserweiterungsattribute bieten eine Möglichkeit, mehr Daten in Verzeichnisobjekten wie z. B. Benutzern zu speichern. Nur Erweiterungsattribute für Benutzerobjekte können zum Ausgeben von Ansprüchen an Anwendungen verwendet werden. In diesem Artikel wird beschrieben, wie Verzeichniserweiterungsattribute zum Senden von Benutzerdaten an Anwendungen in Tokenansprüchen verwendet werden.
Hinweis
Microsoft Graph bietet drei weitere Erweiterungsmechanismen zum Anpassen von Graph-Objekten. Dies sind die Erweiterungsattribute 1-15, offene Erweiterungen und Schemaerweiterungen. Ausführliche Informationen finden Sie in der Dokumentation zu Microsoft Graph. Daten, die auf Microsoft Graph-Objekten mit offenen und Schemaerweiterungen gespeichert sind, stehen nicht als Quellen für Ansprüche in Token zur Verfügung.
Verzeichniserweiterungsattribute sind stets mit einer Anwendung in einem Mandanten assoziiert. Der Name des Verzeichnisattributes beinhaltet die appId der Anwendung.
Der Bezeichner für ein Verzeichnisschema-Erweiterungsattribut hat die Form extension_xxxxxxxxx_AttributeName
. Wobei xxxxxxxxx
die AppId der Anwendung ist, für die die Erweiterung definiert wurde, mit nur Zeichen 0-9 und A-Z.
Registrieren und Verwenden von Verzeichniserweiterungen
Registrieren Sie Verzeichniserweiterungsattribute auf eine der folgenden Arten:
- Konfigurieren Sie Microsoft Entra Connect zum Erstellen der Attribute und zum Synchronisieren von Daten aus lokalen Speicherorten. Siehe Microsoft Entra Connect Sync-Verzeichniserweiterungen.
- Verwenden Sie Microsoft Graph zum Registrieren, Festlegen der Werte von und Lesen von Verzeichniserweiterungen. PowerShell-Cmdlets sind ebenfalls verfügbar.
Ausgeben von Ansprüchen mit Daten aus Microsoft Entra Connect
Mit Microsoft Entra Connect erstellte und synchronisierte Verzeichniserweiterungsattribute sind immer der von Microsoft Entra Connect verwendeten Anwendungs-ID zugeordnet. Diese Attribute können als Quelle für Ansprüche verwendet werden, indem sie als Ansprüche in der Konfiguration von Unternehmensanwendungen im Portal konfiguriert werden. Nachdem ein Verzeichniserweiterungsattribut mithilfe von AD Connect erstellt wurde, wird es in der SAML SSO-Anspruchskonfiguration angezeigt.
Ansprüche mithilfe von Graph oder PowerShell ausgeben
Wenn ein Verzeichniserweiterungsattribut für die Verwendung von Microsoft Graph oder PowerShell registriert ist, kann die Anwendung so konfiguriert werden, dass sie bei Anmeldung des Benutzers Daten in diesem Attribut empfängt. Die Anwendung kann so konfiguriert werden, dass sie Daten in Verzeichniserweiterungen empfängt, die mit optionalen Ansprüchen im Anwendungsmanifest festgelegt sind.
Mehrinstanzenfähige Anwendungen können dann Verzeichniserweiterungsattribute für ihre eigene Verwendung registrieren. Wenn die Anwendung in einem Mandanten bereitgestellt wird, werden die zugehörigen Verzeichniserweiterungen verfügbar und für Benutzer in diesem Mandanten verarbeitet. Nachdem die Verzeichniserweiterung verfügbar ist, kann sie zum Speichern und Empfangen von Daten mithilfe von Microsoft Graph verwendet werden. Die Verzeichniserweiterung kann auch Ansprüchen in Token zugeordnet werden, die die Microsoft Identity Platform an Anwendungen ausgibt.
Wenn eine Anwendung Ansprüche mit Daten aus einem für eine andere Anwendung registrierten Erweiterungsattribut senden muss, müssen Sie eine Richtlinie zum Zuordnen von Ansprüchen verwenden, um das Erweiterungsattribut dem Anspruch zuzuordnen.
Ein gängiges Muster für die Verwaltung von Verzeichniserweiterungsattributen besteht darin, eine Anwendung speziell für alle benötigten Verzeichniserweiterungen zu erstellen. Wenn Sie diesen Anwendungstyp verwenden, weisen alle Erweiterungen dieselbe appID im Namen auf.
Hier zeigt der folgende Code beispielsweise eine Anspruchszuordnungsrichtlinie zum Ausgeben eines einzelnen Anspruchs von einem Verzeichniserweiterungsattribut an ein OAuth/OIDC-Token:
{
"ClaimsMappingPolicy": {
"Version": 1,
"IncludeBasicClaimSet": "false",
"ClaimsSchema": [{
"Source": "User",
"ExtensionID": "extension_xxxxxxx_test",
"JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
},
]
}
}
Wenn xxxxxxx
die AppID (oder Client-ID) der Anwendung ist, mit der die Erweiterung registriert wurde.
Warnung
Wenn Sie eine Anspruchszuordnungsrichtlinie für ein Verzeichniserweiterungsattribut definieren, verwenden Sie dieExtensionID
Eigenschaft anstelle der ID
Eigenschaft im Hauptteil des ArraysClaimsSchema
, wie im vorherigen Beispiel gezeigt.
Tipp
Beim Festlegen von Verzeichniserweiterungsattributen für Objekte ist die Groß-/Kleinschreibung zu beachten. Bei der Einrichtung der Erweiterungsattributnamen spielt die Groß-/Kleinschreibung in den Namen keine Rolle. Sie wird jedoch vom Tokendienst beim Lesen aus dem Verzeichnis beachtet. Wenn ein Erweiterungsattribut für ein Benutzerobjekt mit dem Namen „LegacyId“ und für ein anderes Benutzerobjekt namens „legacyid“ festgelegt wird und das Attribut einem Anspruch mit dem Namen „LegacyId" zugeordnet wird, werden die Daten (und der Anspruch im Token für den ersten Benutzer, jedoch nicht für den zweiten) erfolgreich abgerufen.