Teilen über

Zuordnung zum Attribut „certificateUserIds“ in der Microsoft Entra-ID

Benutzerobjekte in Microsoft Entra ID verfügen über ein Attribut namens certificateUserIds.

  • Das Attribut "certificateUserIds" ist mehrwertig und kann bis zu 10 Werte enthalten.
  • Jeder Wert darf maximal 1024 Zeichen lang sein.
  • Jeder Wert muss eindeutig sein. Sobald ein Wert in einem Benutzerkonto vorhanden ist, kann er nicht in ein anderes Benutzerkonto im selben Microsoft Entra-Mandanten geschrieben werden.
  • Der Wert muss nicht im E-Mail-ID-Format vorliegen. Das Attribut "certificateUserIds" kann nicht routingfähige Benutzerprinzipalnamen (USER Principal Names, UPNs) wie bob@woodgrove oder bob@local speichern.

Hinweis

Obwohl jeder Wert in der Microsoft Entra-ID eindeutig sein muss, können Sie ein einzelnes Zertifikat mehreren Konten zuordnen, indem Sie mehrere Benutzernamenbindungen implementieren. Weitere Informationen finden Sie unter "Mehrere Benutzernamenbindungen".

Unterstützte Muster für Zertifikatbenutzer-IDs

Die in certificateUserIds gespeicherten Werte sollten das Format aufweisen, das in der folgenden Tabelle beschrieben ist. Das X509:<Zuordnung> Bei Präfixen wird die Groß-/Kleinschreibung beachtet.

Zertifikatzuordnungsfeld Beispiele für Werte in certificateUserIds
Hauptname X509:<PN>bob@woodgrove.com
Hauptname X509:<PN>bob@woodgrove
RFC822Name X509:<RFC822>user@woodgrove.com
Herausgeber und Subjekt X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest
Betreff X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest
SKI X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
SHA1PublicKey X509:<SHA1-PUKEY>cD2eF3gH4iJ5kL6mN7oP8qR9sT
AusstellerUndSeriennummer X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8qR9sT0uV
Um den richtigen Wert für die Seriennummer zu erhalten, führen Sie diesen Befehl aus, und speichern Sie den in certificateUserIds angezeigten Wert:
Syntax:
Certutil –dump –v [~certificate path~] >> [~dumpFile path~]
Beispiel:
certutil -dump -v firstusercert.cer >> firstCertDump.txt

Rollen zum Aktualisieren von certificateUserIds

Nur Cloudbenutzer müssen mindestens über die Rolle "Administrator für privilegierte Authentifizierung " verfügen, um "certificateUserIds" zu aktualisieren. Cloudbenutzer können entweder das Microsoft Entra Admin Center oder die Microsoft Graph verwenden, um certificateUserIds zu aktualisieren.

Synchronisierte Benutzer müssen mindestens über die Rolle des Hybrididentitätsadministrators verfügen, um certificateUserIds zu aktualisieren. Nur Microsoft Entra Connect kann zum Aktualisieren von „certificateUserIds“ verwendet werden, indem der Wert lokal synchronisiert wird.

Hinweis

Active Directory-Administratoren können Änderungen vornehmen, die sich auf den Wert „certificateUserIds“ in der Microsoft Entra-ID für jedes synchronisierte Konto auswirken. Administratoren können Konten mit delegierten Administratorrechten über synchronisierte Benutzerkonten oder Administratorrechte über die Microsoft Entra Connect-Server einschließen.

So finden Sie die richtigen CertificateUserIds-Werte für einen Benutzer aus dem Endbenutzerzertifikat mithilfe des PowerShell-Moduls

Zertifikat-UserIds folgen einem bestimmten Muster für seine Werte gemäß den UserName-Bindungskonfigurationen für den Mandanten. Mit dem folgenden PowerShell-Befehl kann ein Administrator die genauen Werte für das Attribut "Certificate UserIds" für einen Benutzer aus einem Endbenutzerzertifikat abrufen. Der Administrator kann auch die aktuellen Werte im Attribut "Certificate UserIds" für einen Benutzer für eine bestimmte Benutzernamenbindung abrufen und den Wert des Attributs "Certificate UserIds" festlegen.

Weitere Informationen zu Microsoft Entra PowerShell-Installation und Microsoft Graph PowerShell.

  1. Starten Sie PowerShell.

  2. Installieren und importieren Sie das Microsoft Graph PowerShell SDK.

    Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Installieren des Microsoft Entra PowerShell-Moduls (Mindestens erforderliche Version ist 1.0.6)

        Install-Module -Name Microsoft.Entra

Weitere Informationen zum CertificateBasedAuthentication-Modul hier

Get-EntraUserCBAAuthorizationInfo

Get-EntraUserCBAAuthorizationInfo hilft beim Abrufen von Autorisierungsinformationen für einen Microsoft Entra-ID-Benutzer, einschließlich zertifikatbasierter Authentifizierungs-IDs.

Syntax: Get-EntraUserCBAAuthorizationInfo [-UserId] <String>[-Raw][<CommonParameters>]

Beispiel 1: Abrufen von Autorisierungsinformationen für einen Benutzer anhand des Benutzerprinzipalnamens

Connect-Entra -Scopes 'User.Read.All' 
Get-EntraUserCBAAuthorizationInfo -UserId ‘user@contoso.com'

Antwort:

Merkmal Wert
Id aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Anzeigename Contoso User
Benutzerhauptname user@contoso.com
Benutzertyp Member
Autorisierungsinformationen @{CertificateUserIds=System.Object[]; RawAuthorizationInfo=System.Collections.Hashtable}

Mit diesem Befehl werden die Autorisierungsinformationen für den Benutzer mit dem angegebenen Benutzerprinzipalnamen abgerufen.

Beispiel 2: Abrufen von Autorisierungsinformationen für einen Benutzer

Connect-Entra -Scopes 'User.Read.All'
$userInfo = Get-EntraUserCBAAuthorizationInfo -UserId 'user@contoso.com'
$userInfo.AuthorizationInfo.CertificateUserIds | Format-Table Type, TypeName, Value

Antwort:

Typ Typname Wert
PN Hauptname user@contoso.com
S Betreff CN=user@contoso.com
SKI Schlüsselidentifikation des Subjekts 1111112222333344445555

In diesem Beispiel werden die Autorisierungsinformationen abgerufen.

Beispiel 3: Extrahieren bestimmter Zertifikatbenutzer-IDs

Connect-Entra -Scopes 'User.Read.All'
$userInfo = Get-EntraUserCBAAuthorizationInfo -UserId user@contoso.com'
$userInfo.AuthorizationInfo.CertificateUserIds | Where-Object Type -eq "PN" | Select-Object -ExpandProperty Value

Antwort:user@contoso.com

In diesem Beispiel werden die Autorisierungsinformationen abgerufen und dann gefiltert, um nur die Werte des Prinzipalnamenzertifikats anzuzeigen.

Get-EntraUserCertificateUserIdsFromCertificate

Gibt ein Objekt mit den Zertifikatwerten zurück, die zum Konfigurieren von CertificateUserIDs für Certificate-Based Authentication in Microsoft Entra ID erforderlich sind.

Syntax: Get-EntraUserCertificateUserIdsFromCertificate [-Path] <string>[[-Certificate] <System.Security.Cryptography.X509Certificates.X509Certificate2> [-CertificateMapping] <string>][<CommonParameters>]

Wenn die Werte aus dem Zertifikat zu lang sind, können Sie die Ausgabe an eine Datei senden und von dort kopieren.

Connect-Entra -Scopes 'User.Read.All'
Get-EntraUserCertificateUserIdsFromCertificate -Path C:\Downloads\test.pem | Format-List | Out-File -FilePath ".\certificateUserIds.txt"

Beispiel 1: Abrufen eines Zertifikatobjekts aus einem Zertifikatpfad

Get-EntraUserCertificateUserIdsFromCertificate -Path 'C:\path\to\certificate.cer'

Antwort:

Name Wert
Betreff X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user
AusstellerUndSeriennummer X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8qR9sV0uD
RFC822Name X509:<RFC822>user@contoso.com
SHA1PublicKey X509:<SHA1-PUKEY>cA2eB3gH4iJ5kL6mN7oP8qR9sT
Herausgeber und Subjekt X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=user
SKI X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
Hauptname X509:<PN>user@contoso.com

In diesem Beispiel wird gezeigt, wie alle möglichen Zertifikatzuordnungen als Objekt abgerufen werden können.

Beispiel 2: Abrufen eines Zertifikatobjekts aus einem Zertifikatpfad und einer Zertifikatzuordnung

Get-EntraUserCertificateUserIdsFromCertificate -Path 'C:\path\to\certificate.cer' -CertificateMapping 'Subject'

Antwort:X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user

Dieser Befehl gibt die PrincipalName-Eigenschaft zurück.

Beispiel 3: Abrufen eines Zertifikatobjekts aus einem Zertifikat

$text = "-----BEGIN CERTIFICATE-----
MIIDiz...=
-----END CERTIFICATE-----"
$bytes = [System.Text.Encoding]::UTF8.GetBytes($text)
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($bytes)
Get-EntraUserCertificateUserIdsFromCertificate -Certificate $certificate -CertificateMapping 'Subject'

Antwort:X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user

Dieser Befehl gibt die PrincipalName-Eigenschaft zurück.

Set-EntraUserCBACertificateUserId

Legt zertifikatbasierte Authentifizierungsbenutzer-IDs für einen Benutzer in microsoft Entra ID mithilfe einer Zertifikatdatei oder eines Objekts fest.

Syntax Set-EntraUserCBACertificateUserId -UserId <string>[-CertPath <string>][-Cert <System.Security.Cryptography.X509Certificates.X509Certificate2>]-CertificateMapping <string[]>[<CommonParameters>]

Beispiel 1: Aktualisieren der Zertifikatautorisierungsinformationen des Benutzers mithilfe des Zertifikatpfads

Connect-Entra -Scopes 'Directory.ReadWrite.All', 'User.ReadWrite.All'
Set-EntraUserCBACertificateUserId -UserId ‘user@contoso.com' -CertPath 'C:\path\to\certificate.cer' -CertificateMapping @('Subject', 'PrincipalName')

In diesem Beispiel werden die Zertifikatbenutzer-IDs für den angegebenen Benutzer mithilfe einer Zertifikatdatei festgelegt, wobei sowohl die Felder "Betreff" als auch "PrincipalName" abgebildet werden. Sie können Get-EntraUserCBAAuthorizationInfo Befehl verwenden, um aktualisierte Details anzuzeigen.

Beispiel 2: Aktualisieren der Zertifikatautorisierungsinformationen des Benutzers mithilfe eines Zertifikats

Connect-Entra -Scopes 'Directory.ReadWrite.All', 'User.ReadWrite.All'
$text = '-----BEGIN CERTIFICATE-----
MIIDiz...=
-----END CERTIFICATE-----'
$bytes = [System.Text.Encoding]::UTF8.GetBytes($text)
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($bytes)
Set-EntraUserCBACertificateUserId -UserId user@contoso.com' -Cert $certificate -CertificateMapping @('RFC822Name', 'SKI')

In diesem Beispiel wird mithilfe eines Zertifikatobjekts die Benutzeridentifikation für den angegebenen Benutzer festgelegt, indem die Felder RFC822Name und SKI zugeordnet werden. Sie können Get-EntraUserCBAAuthorizationInfo Befehl verwenden, um aktualisierte Details anzuzeigen.

Aktualisieren von certificateUserIds mithilfe des Microsoft Entra Admin Centers

Führen Sie die folgenden Schritte aus, um „certificateUserIds“ für Benutzer zu aktualisieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator der privilegierten Authentifizierung für reine Cloudbenutzer oder mindestens als Hybrididentitätsadministrator für synchronisierte Benutzer an.

  2. Suchen und wählen Sie Alle Benutzer aus.

    Screenshot des Testbenutzerkontos.

  3. Wählen Sie einen Benutzer und dann "Eigenschaften bearbeiten" aus.

  4. Wählen Sie neben Autorisierungsinformationendie Option "Ansicht" aus.

    Screenshot: Autorisierungsinformationen anzeigen

  5. Wählen Sie "Zertifikatbenutzer-IDs bearbeiten" aus.

    Screenshot der Benutzer-IDs des Bearbeitungszertifikats.

  6. Wählen Sie "Hinzufügen" aus.

    Screenshot zum Hinzufügen von certificateUserIds.

  7. Geben Sie den Wert ein, und wählen Sie "Speichern" aus. Sie können bis zu vier Werte mit jeweils maximal 120 Zeichen hinzufügen.

    Screenshot eines Werts, der für

Aktualisieren von „certificateUserIds“ mithilfe von Microsoft Graph-Abfragen

Die folgenden Beispiele zeigen, wie Sie mithilfe von Microsoft Graph „certificateUserIds“ nachschlagen und aktualisieren können.

Suchen von certificateUserIds

Autorisierte Anrufer können Microsoft Graph-Abfragen ausführen, um nach allen Benutzern mit einer bestimmten certificateUserId-Kennung zu suchen. Im Microsoft Graph-Benutzerobjekt wird die Sammlung von certificateUserIds in der authorizationInfo-Eigenschaft gespeichert.

So rufen Sie certificateUserIds aller Benutzerobjekte ab:

GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo
ConsistencyLevel: eventual

So rufen Sie certificateUserIds für einen bestimmten Benutzer über die entsprechende ObjectId ab:

GET https://graph.microsoft.com/v1.0/users/{user-object-id}?$select=authorizationinfo
ConsistencyLevel: eventual

Um das Benutzerobjekt mit einem spezifischen Wert in den certificateUserIds abzurufen:

GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo&$filter=authorizationInfo/certificateUserIds/any(x:x eq 'X509:<PN>user@contoso.com')&$count=true
ConsistencyLevel: eventual

Sie können auch die Operatoren not und startsWith verwenden, damit eine Filterbedingung erfüllt wird. Um nach dem certificateUserIds-Objekt zu filtern, muss die Anforderung die $count=true-Abfragezeichenfolge enthalten, und der Header "ConsistencyLevel" muss auf eventual gesetzt werden.

Aktualisieren von certificateUserIds

Führen Sie eine PATCH-Anforderung aus, um „certificateUserIds“ für einen bestimmten Benutzer zu aktualisieren.

Anforderungstext

PATCH https://graph.microsoft.com/v1.0/users/{user-object-id}
Content-Type: application/json
{
    "authorizationInfo": {
        "certificateUserIds": [
            "X509:<PN>123456789098765@mil"
        ]
    }
}

Aktualisieren von certificateUserIds mithilfe von Microsoft Graph PowerShell-Befehlen

Für diese Konfiguration können Sie Microsoft Graph PowerShell verwenden.

  1. Starten Sie PowerShell mit Administratorrechten.

  2. Installieren und importieren Sie das Microsoft Graph PowerShell SDK.

        Install-Module Microsoft.Graph -Scope CurrentUser
    Import-Module Microsoft.Graph.Authentication
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Stellen Sie eine Verbindung mit dem Mandanten her und akzeptieren Sie alle Elemente.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

  4. Listen Sie das „certificateUserIds“-Attributs eines bestimmten Benutzers auf.

      $results = Invoke-MGGraphRequest -Method get -Uri 'https://graph.microsoft.com/v1.0/users/<userId>?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' }
  #list certificateUserIds
  $results.authorizationInfo

  5. Erstellen Sie eine Variable mit „certificateUserIds“-Werten.

      #Create a new variable to prepare the change. Ensure that you list any existing values you want to keep as this operation will overwrite the existing value
  $params = @{
        authorizationInfo = @{
              certificateUserIds = @(
              "X509:<SKI>gH4iJ5kL6mN7oP8qR9sT0uV1wX", 
              "X509:<PN>user@contoso.com"
              )
        }
  }

  6. Aktualisieren Sie das „certificateUserIds“-Attribut.

       $results = Invoke-MGGraphRequest -Method patch -Uri 'https://graph.microsoft.com/v1.0/users/<UserId>/?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' } -Body $params

Aktualisieren von certificateUserIds mithilfe des Benutzerobjekts

  1. Rufen Sie das Benutzerobjekt ab.

      $userObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
  $user = Get-MgUser -UserId $userObjectId -Property AuthorizationInfo

  2. Aktualisieren Sie das „certificateUserIds“-Attribut des Benutzerobjekts.

       $user.AuthorizationInfo.certificateUserIds = @("X509:<SKI>iJ5kL6mN7oP8qR9sT0uV1wX2yZ", "X509:<PN>user1@contoso.com") 
   Update-MgUser -UserId $userObjectId -AuthorizationInfo $user.AuthorizationInfo

Aktualisieren von certificateUserIds mithilfe von Microsoft Entra Connect

Microsoft Entra Connect unterstützt die Synchronisierung von Werten mit certificateUserIds aus einer lokalen Active Directory-Umgebung. Lokales Active Directory unterstützt zertifikatbasierte Authentifizierung und mehrere Benutzernamenbindungen. Stellen Sie sicher, dass Sie die neueste Version von Microsoft Entra Connect verwenden.

Um diese Zuordnungsmethoden zu verwenden, müssen Sie das „altSecurityIdentities“-Attribut von Benutzerobjekten im lokalen Active Directory auffüllen. Darüber hinaus haben Sie nach dem Anwenden von zertifikatbasierten Authentifizierungsänderungen auf Windows-Domänencontrollern, wie in KB5014754 beschrieben, möglicherweise einige der nicht mehr verwendbaren Zuordnungsmethoden (Type=strong) implementiert, um die Anforderungen der lokalen starken Zertifikatbindungserzwingung zu erfüllen.

Um Synchronisierungsfehler zu verhindern, stellen Sie sicher, dass die zu synchronisierenden Werte einem der unterstützten Formate für die „certificateUserIds“ folgen.

Bevor Sie beginnen, stellen Sie sicher, dass alle Benutzerkonten, die aus dem lokalen Active Directory synchronisiert werden, Folgendes haben:

  • 10 oder weniger Werte in ihren altSecurityIdentities-Attributen

  • Kein Wert mit mehr als 1.024 Zeichen

  • Keine doppelten Werte

    Berücksichtigen Sie sorgfältig, ob ein doppelter Wert ein einzelnes Zertifikat mehreren lokales Active Directory-Konten zuordnen soll. Weitere Informationen finden Sie unter "Mehrere Benutzernamenbindungen".

    Hinweis

    In bestimmten Szenarien kann eine Teilmenge von Benutzern eine gültige geschäftliche Begründung haben, um ein einzelnes Zertifikat mehreren lokales Active Directory-Konten zuzuordnen. Überprüfen Sie diese Szenarien und implementieren Sie bei Bedarf separate Zuordnungsmethoden, um mehrere Konten sowohl in der lokalen Active Directory- als auch in der Microsoft Entra-ID zuzuordnen.

Überlegungen zur laufenden Synchronisierung von certificateUserIds

  • Stellen Sie sicher, dass der Bereitstellungsprozess zum Auffüllen der Werte in das lokale Active Directory die richtige Hygiene implementiert. Es werden nur Werte aufgefüllt, die aktuellen gültigen Zertifikaten zugeordnet sind.
  • Werte werden entfernt, wenn das entsprechende Zertifikat abgelaufen oder widerrufen wird.
  • Werte, die mehr als 1024 Zeichen haben, werden nicht aufgefüllt.
  • Doppelte Werte werden nicht bereitgestellt.
  • Verwenden Sie Microsoft Entra Connect Health, um Synchronisierungen zu überwachen.

Führen Sie die folgenden Schritte aus, um Microsoft Entra Connect so zu konfigurieren, dass „userPrincipalName“ mit „certificateUserIds“ synchronisiert wird:

  1. Suchen Sie auf dem Microsoft Entra Connect-Server den Synchronisierungsregeln-Editor, und starten Sie den Synchronisierungsregeln-Editor.

  2. Wählen Sie "Richtung" und dann "Ausgehend" aus.

    Screenshot der Regel für die ausgehende Synchronisierung.

  3. Suchen Sie die Regel Ausgehend an Microsoft Entra ID – Benutzeridentität, wählen Sie Bearbeiten und dann zur Bestätigung Ja aus.

    Screenshot der Benutzeridentität.

  4. Geben Sie eine hohe Zahl in das Feld "Rangfolge " ein, und wählen Sie dann "Weiter" aus.

    Screenshot eines Prioritätswerts.

  5. Wählen Sie Transformationen>Transformation hinzufügen. Möglicherweise müssen Sie die Liste der Transformationen nach unten scrollen, bevor Sie eine neue erstellen können.

Synchronisieren von X509:<PN>PrincipalNameValue

Um „X509:<PN>PrincipalNameValue“ zu synchronisieren, erstellen Sie eine ausgehende Synchronisierungsregel, und wählen Sie Ausdruck als Flowtyp aus. Wählen Sie das Zielattribute als certificateUserIds aus, und fügen Sie im Quellfeld den folgenden Ausdruck hinzu. Wenn Ihr Quellattribute nicht „userPrincipalName“ ist, können Sie den Ausdruck entsprechend ändern.

"X509:<PN>"&[userPrincipalName]

Screenshot, wie man x509 synchronisiert.

Synchronisieren von X509:<RFC822>RFC822Name

Um „X509:<RFC822>RFC822Name“ zu synchronisieren, erstellen Sie eine ausgehende Synchronisierungsregel, und wählen Sie Ausdruck als Flowtyp aus. Wählen Sie das Zielattribute als certificateUserIds aus, und fügen Sie im Quellfeld den folgenden Ausdruck hinzu. Wenn Ihr Quellattribute nicht „userPrincipalName“ ist, können Sie den Ausdruck entsprechend ändern.

"X509:<RFC822>"&[userPrincipalName]

Screenshot, wie RFC822Name synchronisiert wird.

  1. Wählen Sie "Zielattribute", wählen Sie "certificateUserIds" aus, wählen Sie "Quelle", dann "userPrincipalName" und dann " Speichern" aus.

    Screenshot zum Speichern einer Regel.

  2. Wählen Sie "OK" aus, um dies zu bestätigen.

Wichtig

In den vorherigen Beispielen wird das Attribut „userPrincipalName“ als Quellattribute in der Transformationsregel verwendet. Sie können jedes verfügbare Attribut mit dem entsprechenden Wert verwenden. Beispielsweise verwenden einige Organisationen das E-Mail-Attribut. Komplexere Transformationsregeln finden Sie unter Microsoft Entra Connect Sync: Grundlegendes zu deklarativen Bereitstellungsausdrücken

Weitere Informationen zu deklarativen Bereitstellungsausdrücken finden Sie unter Microsoft Entra Connect: Deklarative Bereitstellungsausdrücke.

Synchronisieren des altSecurityIdentities-Attributs aus Active Directory mit Microsoft Entra certificateUserIds

Das Attribut „altSecurityIdentities“ ist nicht Teil des Standardattributsatzes. Ein Administrator muss dem Person-Objekt im Metaverse ein neues Attribut hinzufügen und dann die entsprechenden Synchronisierungsregeln erstellen, um diese Daten an certificateUserIds in Microsoft Entra ID weiterzuleiten.

  1. Öffnen Sie den Metaverse-Designer, und wählen Sie das Personenobjekt aus. Um das alternativeSecurityId-Attribut zu erstellen, wählen Sie "Neues Attribut" aus. Wählen Sie " Zeichenfolge" (nicht indizierbar) aus, um eine Attributgröße von bis zu 1024 Zeichen zu erstellen, was die maximale unterstützte Länge für certificateUserIds ist. Wenn Sie " Zeichenfolge" (indizierbar) auswählen, beträgt die maximale Größe eines Attributwerts 448 Zeichen. Stellen Sie sicher, dass Sie Mehrwertig auswählen.

    Screenshot zum Erstellen eines neuen Attributs.

  2. Öffnen Sie den Metaverse-Designer, und wählen Sie das Attribut „alternativeSecurityId“ aus, um es dem Personenobjekt hinzuzufügen.

    Screenshot des Hinzufügens einer alternativen Sicherheits-ID zum person-Objekt

  3. Erstellen Sie eine eingehende Synchronisierungsregel, um das Attribut „altSecurityIdentities“ in „alternativeSecurityId“ umzuwandeln.

    Verwenden Sie in der eingehenden Regel die folgenden Optionen.

    Option Wert
    Name Beschreibender Name der Regel, z. B.: Eingabe aus Active Directory – altSecurityIdentities
    Verbundenes System Ihre Lokale Active Directory-Domäne
    Objekttyp des verbundenen Systems Benutzende
    Metaverse-Objekttyp person
    Rangfolge Wählen Sie eine Zahl unter 100 aus, die momentan unbenutzt ist

    Wählen Sie dann Transformationen aus und erstellen Sie eine direkte Zuordnung vom Quellattribut altSecurityIdentities zum Zielattribut alternativeSecurityId, wie im folgenden Screenshot gezeigt.

    Screenshot des Transformierens vom altSecurityIdentities- zum alternateSecurityId-Attribut

  4. Erstellen Sie eine ausgehende Synchronisierungsregel, um sie aus dem Attribut „alternativeSecurityId“ in das Attribut „certificateUserIds“ in Microsoft Entra ID zu transformieren.

    Option Wert
    Name Beschreibender Name der Regel, z. B.: Ausgabe an Microsoft Entra ID – certificateUserIds
    Verbundenes System Ihre Microsoft Entra-Domäne
    Objekttyp des verbundenen Systems Benutzende
    Metaverse-Objekttyp person
    Rangfolge Wählen Sie eine über allen Standardregeln liegende hohe Zahl aus, die momentan unbenutzt ist, z. B. 150

    Wählen Sie dann Transformationen aus, und erstellen Sie eine direkte Zuordnung zum Zielattribut certificateUserIds vom Quellattribut alternativeSecurityId, wie im folgenden Screenshot gezeigt.

    Screenshot der ausgehenden Synchronisierungsregel zur Transformation des alternateSecurityId-Attributs zu certificateUserIds.

  5. Führen Sie die Synchronisierung aus, um das Attribut „certificateUserIds“ mit Daten aufzufüllen.

  6. Um den Erfolg zu überprüfen, zeigen Sie die Autorisierungsinformationen eines Benutzers in Microsoft Entra ID an.

    Screenshot der erfolgreichen Synchronisierung.

Um eine Teilmenge von Werten aus dem Attribut altSecurityIdentities zuzuordnen, ersetzen Sie die Transformation in Schritt 4 durch einen Ausdruck. Um einen Ausdruck zu verwenden, fahren Sie mit der Registerkarte "Transformationen" fort, und ändern Sie die FlowType-Option auf "Expression", das Ziel-Attribut auf "certificateUserIds" und geben dann den Ausdruck in das Feld "Quelle" ein. Im folgenden Beispiel werden nur Werte herausgefiltert, die den SKI- und SHA1PublicKey-Zertifikatszuordnungsfeldern entsprechen:

Screenshot eines Ausdrucks

Ausdruckscode:

IIF(IsPresent([alternativeSecurityId]),
                Where($item,[alternativeSecurityId],BitOr(InStr($item, "X509:<SKI>"),InStr($item, "X509:<SHA1-PUKEY>"))>0),[alternativeSecurityId]
)

Administratoren können Werte aus altSecurityIdentities herausfiltern, die den unterstützten Mustern entsprechen. Stellen Sie sicher, dass die CBA-Konfiguration aktualisiert wird, um die Benutzernamenbindungen zu unterstützen, die mit certificateUserIds synchronisiert werden, und aktivieren Sie die Authentifizierung mithilfe dieser Werte.

Nächste Schritte

  • Last updated on