Partager via

Mappage de l’attribut certificateUserIds dans Microsoft Entra ID

Les objets utilisateurs dans Microsoft Entra ID ont un attribut nommé certificateUserIds.

  • L’attribut certificateUserIds dispose de plusieurs valeurs et peut en contenir jusqu’à 10.
  • Chaque valeur ne peut pas dépasser 1 024 caractères.
  • Chaque valeur doit être unique. Une fois qu'une valeur est présente sur un compte utilisateur, elle ne peut pas être écrite sur un autre compte utilisateur du même locataire Microsoft Entra.
  • La valeur n'a pas besoin d'être au format email ID. L’attribut certificateUserIds peut stocker des noms d’utilisateur principaux non routables (UPN) comme bob@woodgrove ou bob@local.

Remarque

Bien que chaque valeur soit unique dans Microsoft Entra ID, vous pouvez mapper un seul certificat à plusieurs comptes en implémentant plusieurs liaisons de nom d’utilisateur. Pour plus d’informations, consultez Plusieurs liaisons de nom d’utilisateur.

Modèles pris en charge pour les ID des utilisateurs du certificat

Les valeurs stockées dans certificateUserIds doivent être au format décrit dans le tableau suivant. Les préfixes X509:<Mapping> sont sensibles à la casse.

Champ de mappage de certificat Exemples de valeurs dans certificateUserIds
PrincipalNom X509:<PN>bob@woodgrove.com
PrincipalNom X509:<PN>bob@woodgrove
RFC822Name X509:<RFC822>user@woodgrove.com
ÉmetteurEtSujet X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest
Objet X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest
SKU X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
SHA1PublicKey X509:<SHA1-PUKEY>cD2eF3gH4iJ5kL6mN7oP8qR9sT
Émetteur et Numéro de Série X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8qR9sT0uV
Pour obtenir la valeur correcte pour le numéro de série, exécutez cette commande et stockez la valeur affichée dans certificateUserIds :
Syntaxe :
Certutil –dump –v [~certificate path~] >> [~dumpFile path~]
Exemple :
certutil -dump -v firstusercert.cer >> firstCertDump.txt

Rôles pour mettre à jour certificateUserIds

Les utilisateurs cloud uniquement doivent avoir au moins le rôle Administrateur d’authentification privilégié pour mettre à jour les certificateUserIds. Les utilisateurs cloud uniquement peuvent utiliser le centre d’administration Microsoft Entra ou Microsoft Graph pour mettre à jour les certificateUserIds.

Les utilisateurs synchronisés doivent avoir au moins le rôle Administrateur d’identité hybride pour mettre à jour certificateUserIds. Seul Microsoft Entra Connect peut être utilisé pour mettre à jour les certificateUserIds en synchronisant la valeur depuis le site.

Remarque

Les administrateurs Active Directory peuvent apporter des modifications qui ont un impact sur la valeur certificateUserIds dans Microsoft Entra ID pour tout compte synchronisé. Les administrateurs peuvent inclure des comptes disposant de privilèges administratifs délégués sur des comptes d’utilisateur synchronisés ou des droits d’administration sur les serveurs Microsoft Entra Connect.

Comment trouver les valeurs CertificateUserIds correctes pour un utilisateur à partir du certificat de l’utilisateur final à l’aide du module PowerShell

Les identifiants utilisateur de certificat suivent un certain modèle pour leurs valeurs, conformément aux configurations de liaison UserName sur le tenant. La commande PowerShell suivante permet à un administrateur de récupérer les valeurs exactes de l’attribut UserIds de certificat pour un utilisateur à partir d’un certificat d’utilisateur final. L’administrateur peut également obtenir les valeurs actuelles dans l’attribut UserIds de certificat d’un utilisateur pour une liaison de nom d’utilisateur donnée et définir la valeur de l’attribut UserIds de certificat.

Pour plus d’informations, consultez l’installation de Microsoft Entra PowerShell et Microsoft Graph PowerShell.

  1. Démarrez PowerShell.

  2. Installez et importez le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.

    Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Installer le module Microsoft Entra PowerShell (version minimale requise est 1.0.6)

        Install-Module -Name Microsoft.Entra

Plus d’informations sur le module CertificateBasedAuthentication ici

Get-EntraUserCBAAuthorizationInfo

Get-EntraUserCBAAuthorizationInfo permet de récupérer des informations d’autorisation pour un utilisateur Microsoft Entra ID, y compris les identificateurs d’authentification basés sur des certificats.

Syntaxe : Get-EntraUserCBAAuthorizationInfo [-UserId] <String>[-Raw][<CommonParameters>]

Exemple 1 : Obtenir des informations d’autorisation pour un utilisateur par nom d’utilisateur principal

Connect-Entra -Scopes 'User.Read.All' 
Get-EntraUserCBAAuthorizationInfo -UserId ‘user@contoso.com'

Réponse:

Caractéristique Valeur
Id aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Nom affiché Contoso User
Nom Principal de l'Utilisateur user@contoso.com
Type d'utilisateur Member
Informations d'Autorisation @{CertificateUserIds=System.Object[]; RawAuthorizationInfo=System.Collections.Hashtable}

Cette commande récupère les informations d’autorisation de l’utilisateur avec le nom d’utilisateur principal spécifié.

Exemple 2 : Récupérer des informations d’autorisation pour un utilisateur

Connect-Entra -Scopes 'User.Read.All'
$userInfo = Get-EntraUserCBAAuthorizationInfo -UserId 'user@contoso.com'
$userInfo.AuthorizationInfo.CertificateUserIds | Format-Table Type, TypeName, Value

Réponse:

Catégorie TypeName Valeur
PN PrincipalNom user@contoso.com
S Objet CN=user@contoso.com
SKU IdentifiantCléSujet 1111112222333344445555

Cet exemple récupère les informations d’autorisation.

Exemple 3 : Extraire des ID d’utilisateur de certificat spécifiques

Connect-Entra -Scopes 'User.Read.All'
$userInfo = Get-EntraUserCBAAuthorizationInfo -UserId user@contoso.com'
$userInfo.AuthorizationInfo.CertificateUserIds | Where-Object Type -eq "PN" | Select-Object -ExpandProperty Value

Réponse:user@contoso.com

Cet exemple récupère les informations d'autorisation, puis filtre les résultats pour afficher uniquement les valeurs de certificat Principal Name.

Get-EntraUserCertificateUserIdsFromCertificate

Retourne un objet avec les valeurs de certificat nécessaires pour configurer CertificateUserIDs pour l’authentification Certificate-Based dans Microsoft Entra ID.

Syntaxe : Get-EntraUserCertificateUserIdsFromCertificate [-Path] <string>[[-Certificate] <System.Security.Cryptography.X509Certificates.X509Certificate2> [-CertificateMapping] <string>][<CommonParameters>]

Si les valeurs du certificat sont trop longues, vous pouvez envoyer la sortie à un fichier et la copier à partir de là.

Connect-Entra -Scopes 'User.Read.All'
Get-EntraUserCertificateUserIdsFromCertificate -Path C:\Downloads\test.pem | Format-List | Out-File -FilePath ".\certificateUserIds.txt"

Exemple 1 : Récupérer un objet de certificat à partir d’un chemin d’accès au certificat

Get-EntraUserCertificateUserIdsFromCertificate -Path 'C:\path\to\certificate.cer'

Réponse:

Nom Valeur
Objet X509 :<S>DC=com,DC=contoso,OU=UserAccounts,CN=user
Émetteur et Numéro de Série X509 :<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8qR9sV0uD
RFC822Name X509 :<RFC822>user@contoso.com
SHA1PublicKey X509 :<SHA1-PUKEY>cA2eB3gH4iJ5kL6mN7oP8qR9sT
ÉmetteurEtSujet X509 :<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=user
SKU X509 :<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
PrincipalNom X509 :<PN>user@contoso.com

Cet exemple montre comment obtenir tous les mappages de certificats possibles en tant qu’objet.

Exemple 2 : Récupérer un objet de certificat à partir d’un chemin d’accès de certificat et d’un mappage de certificat

Get-EntraUserCertificateUserIdsFromCertificate -Path 'C:\path\to\certificate.cer' -CertificateMapping 'Subject'

Réponse:X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user

Cette commande retourne la propriété PrincipalName.

Exemple 3 : Récupérer un objet de certificat à partir d’un certificat

$text = "-----BEGIN CERTIFICATE-----
MIIDiz...=
-----END CERTIFICATE-----"
$bytes = [System.Text.Encoding]::UTF8.GetBytes($text)
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($bytes)
Get-EntraUserCertificateUserIdsFromCertificate -Certificate $certificate -CertificateMapping 'Subject'

Réponse:X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user

Cette commande retourne la propriété PrincipalName.

Set-EntraUserCBACertificateUserId

Définit les ID d’utilisateur d’authentification basés sur un certificat pour un utilisateur dans Microsoft Entra ID à l’aide d’un fichier de certificat ou d’un objet.

Syntaxe Set-EntraUserCBACertificateUserId -UserId <string>[-CertPath <string>][-Cert <System.Security.Cryptography.X509Certificates.X509Certificate2>]-CertificateMapping <string[]>[<CommonParameters>]

Exemple 1 : Mettre à jour les informations d’autorisation de certificat de l’utilisateur à l’aide du chemin d’accès au certificat

Connect-Entra -Scopes 'Directory.ReadWrite.All', 'User.ReadWrite.All'
Set-EntraUserCBACertificateUserId -UserId ‘user@contoso.com' -CertPath 'C:\path\to\certificate.cer' -CertificateMapping @('Subject', 'PrincipalName')

Cet exemple montre comment définir les ID d’utilisateur de certificat pour l’utilisateur spécifié à l’aide d’un fichier de certificat, en mappant les champs Subject et PrincipalName. Vous pouvez utiliser Get-EntraUserCBAAuthorizationInfo commande pour afficher les détails mis à jour.

Exemple 2 : Mettre à jour les informations d’autorisation de certificat de l’utilisateur à l’aide d’un certificat

Connect-Entra -Scopes 'Directory.ReadWrite.All', 'User.ReadWrite.All'
$text = '-----BEGIN CERTIFICATE-----
MIIDiz...=
-----END CERTIFICATE-----'
$bytes = [System.Text.Encoding]::UTF8.GetBytes($text)
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($bytes)
Set-EntraUserCBACertificateUserId -UserId user@contoso.com' -Cert $certificate -CertificateMapping @('RFC822Name', 'SKI')

Cet exemple montre comment définir les ID d’utilisateur de certificat pour l’utilisateur spécifié à l’aide d’un objet de certificat, en mappant les champs RFC822Name et SKI. Vous pouvez utiliser Get-EntraUserCBAAuthorizationInfo commande pour afficher les détails mis à jour.

Mettre à jour certificateUserIds à l’aide du Centre d’administration Microsoft Entra

Procédez comme suit pour mettre à jour les certificateUserIds des utilisateurs :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’authentification privilégié pour les utilisateurs cloud uniquement ou en tant qu’administrateur d’identité hybride pour les utilisateurs synchronisés.

  2. Recherchez et sélectionnez Tous les utilisateurs.

    Capture d’écran du compte d’utilisateur de test.

  3. Sélectionnez un utilisateur, puis modifiez les propriétés.

  4. En regard des informations d’autorisation, sélectionnez Afficher.

    Capture d’écran de l’affichage des informations d’autorisation.

  5. Sélectionnez Modifier les ID d’utilisateur de certificat.

    Capture d’écran des ID utilisateur de modification de certificat.

  6. Sélectionnez Ajouter.

    Capture d’écran montrant comment ajouter un certificateUserIds.

  7. Entrez la valeur, puis sélectionnez Enregistrer. Vous pouvez ajouter jusqu’à quatre valeurs, de 120 caractères chacune.

    Capture d’écran d’une valeur à entrer pour certificateUserIds.

Mettre à jour certificateUserIds au moyen de requêtes Microsoft Graph

Les exemples suivants montrent comment utiliser Microsoft Graph pour rechercher des certificateUserIds et les mettre à jour.

Consultez les identifiants de certificat

Les appelants autorisés peuvent exécuter des requêtes Microsoft Graph pour rechercher tous les utilisateurs avec une valeur certificateUserId donnée. Sur l’objet utilisateur Microsoft Graph, la collection de certificateUserIds est stockée dans la propriété authorizationInfo .

Pour récupérer les certificateUserIds de tous les objets utilisateur :

GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo
ConsistencyLevel: eventual

Pour récupérer les certificateUserIds d’un utilisateur donné par ObjectId de l’utilisateur :

GET https://graph.microsoft.com/v1.0/users/{user-object-id}?$select=authorizationinfo
ConsistencyLevel: eventual

Pour récupérer l’objet utilisateur avec une valeur spécifique dans certificateUserIds :

GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo&$filter=authorizationInfo/certificateUserIds/any(x:x eq 'X509:<PN>user@contoso.com')&$count=true
ConsistencyLevel: eventual

Vous pouvez également utiliser les opérateurs not et startsWith pour correspondre à la règle du filtre. Pour filtrer par rapport à l’objet certificateUserIds, la requête doit inclure la $count=true chaîne de requête et l’en-tête ConsistencyLevel doit être défini sur eventual.

Mettre à jour certificateUserIds

Exécutez une requête PATCH pour mettre à jour le certificateUserIds pour un utilisateur précis.

Corps de la requête

PATCH https://graph.microsoft.com/v1.0/users/{user-object-id}
Content-Type: application/json
{
    "authorizationInfo": {
        "certificateUserIds": [
            "X509:<PN>123456789098765@mil"
        ]
    }
}

Mettre à jour les certificateUserIds à l’aide des commandes Microsoft Graph PowerShell

Pour cette configuration, vous pouvez utiliser Microsoft Graph PowerShell.

  1. Démarrez PowerShell avec les privilèges administrateur.

  2. Installez et importez le Kit de développement logiciel (SDK) Microsoft Graph PowerShell.

        Install-Module Microsoft.Graph -Scope CurrentUser
    Import-Module Microsoft.Graph.Authentication
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Connectez-vous au locataire et acceptez toutes les conditions.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

  4. Répertoriez l’attribut certificateUserIds d’un utilisateur donné.

      $results = Invoke-MGGraphRequest -Method get -Uri 'https://graph.microsoft.com/v1.0/users/<userId>?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' }
  #list certificateUserIds
  $results.authorizationInfo

  5. Créez une variable avec des valeurs certificateUserIds.

      #Create a new variable to prepare the change. Ensure that you list any existing values you want to keep as this operation will overwrite the existing value
  $params = @{
        authorizationInfo = @{
              certificateUserIds = @(
              "X509:<SKI>gH4iJ5kL6mN7oP8qR9sT0uV1wX", 
              "X509:<PN>user@contoso.com"
              )
        }
  }

  6. Mettez à jour l’attribut certificateUserIds.

       $results = Invoke-MGGraphRequest -Method patch -Uri 'https://graph.microsoft.com/v1.0/users/<UserId>/?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' } -Body $params

Mettre à jour certificateUserIds à l’aide de l’objet utilisateur

  1. Obtenir l'objet utilisateur.

      $userObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
  $user = Get-MgUser -UserId $userObjectId -Property AuthorizationInfo

  2. Mettez à jour l’attribut certificateUserIds de l’objet utilisateur.

       $user.AuthorizationInfo.certificateUserIds = @("X509:<SKI>iJ5kL6mN7oP8qR9sT0uV1wX2yZ", "X509:<PN>user1@contoso.com") 
   Update-MgUser -UserId $userObjectId -AuthorizationInfo $user.AuthorizationInfo

Mettre à jour certificateUserIds à l'aide de Microsoft Entra Connect

Microsoft Entra Connect prend en charge la synchronisation des valeurs avec certificateUserIds à partir d’un environnement Active Directory local. Active Directory local prend en charge l’authentification basée sur des certificats et plusieurs liaisons de nom d'utilisateur. Veillez à utiliser la dernière version de Microsoft Entra Connect.

Pour utiliser ces méthodes de mappage, vous devez remplir l’attribut altSecurityIdentities des objets utilisateur dans le Active Directory local. En outre, après avoir appliqué des modifications d’authentification basées sur des certificats sur les contrôleurs de domaine Windows, comme décrit dans KB5014754, vous avez peut-être implémenté certaines des méthodes de mappage non modifiables (Type=strong) pour répondre aux exigences d’application de liaison de certificat forte Active Directory locales.

Pour éviter les erreurs de synchronisation, assurez-vous que les valeurs en cours de synchronisation suivent l’un des formats pris en charge pour les certificateUserIds.

Avant de commencer, vérifiez que tous les comptes d’utilisateur synchronisés à partir de Active Directory local ont :

  • 10 valeurs ou moins dans leurs attributs altSecurityIdentities

  • Aucune valeur avec plus de 1 024 caractères

  • Aucune valeur dupliquée

    Examinez attentivement si une valeur dupliquée est destinée à mapper un certificat unique à plusieurs comptes Active Directory local. Pour plus d’informations, consultez Plusieurs liaisons de nom d’utilisateur.

    Remarque

    Dans des scénarios spécifiques, un sous-ensemble d’utilisateurs peut avoir une justification métier valide pour mapper un seul certificat à plusieurs comptes Active Directory local. Passez en revue ces scénarios et, le cas échéant, implémentez des méthodes de mappage distinctes pour mapper à plusieurs comptes dans active Directory local et l’ID Microsoft Entra.

Considérations relatives à la synchronisation continue de certificateUserIds

  • Vérifiez que le processus d’approvisionnement pour remplir les valeurs dans Active Directory local implémente une hygiène appropriée. Seules les valeurs associées aux certificats valides actuels sont remplies.
  • Les valeurs sont supprimées lorsque le certificat correspondant a expiré ou a été révoqué.
  • Les valeurs supérieures à 1 024 caractères ne sont pas remplies.
  • Les valeurs en double ne sont pas provisionnées.
  • Utilisez Microsoft Entra Connect Health pour surveiller la synchronisation.

Suivez ces étapes pour configurer Microsoft Entra Connecter pour synchroniser userPrincipalName avec certificateUserIds :

  1. Sur le serveur Microsoft Entra Connect, recherchez et démarrez l’éditeur de règles de synchronisation.

  2. Sélectionnez Direction, puis sélectionnez Sortant.

    Capture d’écran de la règle de synchronisation sortante.

  3. Recherchez la règle Out to Microsoft Entra ID – User Identity, sélectionnez Edit, et sélectionnez Yes pour confirmer.

    Capture d’écran de l’identité de l’utilisateur.

  4. Entrez un nombre élevé dans le champ Priorité , puis sélectionnez Suivant.

    Capture d’écran d’une valeur de priorité.

  5. Sélectionnez Transformations>Ajouter une transformation. Vous devrez peut-être faire défiler la liste des transformations avant d’en créer une.

Synchroniser X509 :<PN>PrincipalNameValue

Pour synchroniser X509 :<PN>PrincipalNameValue, créez une règle de synchronisation sortante et choisissez Expression dans le type de flux. Choisissez l’attribut cible en tant que certificateUserIds et, dans le champ source, ajoutez l’expression suivante. Si votre attribut source n’est pas userPrincipalName, vous pouvez modifier l’expression en conséquence.

"X509:<PN>"&[userPrincipalName]

Capture d’écran montrant comment synchroniser x509.

Synchroniser X509 :<RFC822>RFC822Name

Pour synchroniser X509 :<RFC822>RFC822Name, créez une règle de synchronisation sortante et choisissez Expression dans le type de flux. Choisissez l’attribut cible en tant que certificateUserIds et, dans le champ source, ajoutez l’expression suivante. Si votre attribut source n’est pas userPrincipalName, vous pouvez modifier l’expression en conséquence.

"X509:<RFC822>"&[userPrincipalName]

Capture d’écran montrant comment synchroniser RFC822Name.

  1. Sélectionnez Attribut cible, sélectionnez certificateUserIds, source, userPrincipalName, puis sélectionnez Enregistrer.

    Capture d’écran montrant comment enregistrer une règle.

  2. Sélectionnez OK pour confirmer.

Importante

Les exemples précédents utilisent l’attribut userPrincipalName comme attribut source dans la règle de transformation. Vous pouvez utiliser n’importe quel attribut disponible avec la valeur appropriée. Par exemple, certaines organisations utilisent l’attribut courrier. Pour obtenir des règles de transformation plus complexes, consultez Microsoft Entra Connect Sync : Présentation des expressions d’approvisionnement déclaratives

Pour plus d’informations sur les expressions d’approvisionnement déclaratives, consultez Microsoft Entra Connect : Expressions d’approvisionnement déclaratives.

Synchroniser l’attribut altSecurityIdentities d’Active Directory avec certificateUserIds de Microsoft Entra

L’attribut altSecurityIdentities ne fait pas partie de l’ensemble par défaut. Un administrateur doit ajouter un nouvel attribut à l’objet person dans le Métaverse, puis créer les règles de synchronisation appropriées pour relayer ces données vers certificateUserIds dans Microsoft Entra ID.

  1. Ouvrez l'Éditeur de métaverse et sélectionnez l'objet représentant une personne. Pour créer l’attribut alternativeSecurityId, sélectionnez Nouvel attribut. Sélectionnez String (non indexable) pour créer une taille d’attribut allant jusqu’à 1 024 caractères, qui est la longueur maximale prise en charge pour certificateUserIds. Si vous sélectionnez String (indexable), la taille maximale d’une valeur d’attribut est de 448 caractères. Veillez à sélectionner Plusieurs valeurs.

    Capture d’écran montrant comment créer un attribut.

  2. Ouvrez Open Metaverse Designer et sélectionnez alternativeSecurityId pour l’ajouter à l'objet "personne".

    Capture d’écran montrant comment ajouter alternativeSecurityId à l’objet person.

  3. Créez une règle de synchronisation entrante pour transformer l’attribut altSecurityIdentities en attribut alternativeSecurityId.

    Dans la règle concernant le trafic entrant, utilisez les options suivantes.

    Choix Valeur
    Nom Nom descriptif de la règle, comme : In from Active Directory - altSecurityIdentities
    Système connecté Votre domaine Active Directory local
    Type d’objet système connecté utilisateur
    Type d’objet métaverse personne
    Priorité Choisir un nombre inférieur à 100 qui n’est pas utilisé actuellement

    Sélectionnez Ensuite Transformations et créez un mappage direct à l’attribut cible alternativeSecurityId à partir de l’attribut source altSecurityIdentities, comme illustré dans la capture d’écran suivante.

    Capture d’écran montrant comment transformer de altSecurityIdentities en attribut alternateSecurityId.

  4. Créez une règle de synchronisation sortante pour passer de l’attribut alternativeSecurityId à l’attribut certificateUserIds dans Microsoft Entra ID.

    Choix Valeur
    Nom Nom descriptif de la règle, comme : Envoi vers Microsoft Entra ID - certificateUserIds
    Système connecté Votre domaine Microsoft Entra
    Type d’objet système connecté utilisateur
    Type d’objet métaverse personne
    Priorité Choisir un nombre élevé non utilisé actuellement au-dessus de toutes les règles par défaut, par exemple 150

    Sélectionnez ensuite Transformations et créez un mappage direct vers l'attribut cible "certificateUserIds" à partir de l'attribut source "alternativeSecurityId", comme illustré dans la capture d’écran suivante.

    Capture d’écran de la règle de synchronisation sortante à transformer de l’attribut alternateSecurityId vers certificateUserIds.

  5. Exécutez la synchronisation pour remplir les données de l’attribut certificateUserIds.

  6. Pour vérifier la réussite, consultez les informations d’Autorisation d’un utilisateur dans Microsoft Entra ID.

    Capture d’écran de la synchronisation réussie.

Pour mapper un sous-ensemble de valeurs à partir de l’attribut altSecurityIdentities, remplacez la transformation à l’étape 4 par une expression. Pour utiliser une expression, passez à l’onglet Transformations et remplacez votre option FlowType par Expression, l’attribut cible par certificateUserIds, puis entrez l’expression dans le champ Source. L’exemple suivant filtre uniquement les valeurs qui s’alignent sur les champs de mappage de certificat SKI et SHA1PublicKey :

Capture d’écran d’une expression.

Code d’expression :

IIF(IsPresent([alternativeSecurityId]),
                Where($item,[alternativeSecurityId],BitOr(InStr($item, "X509:<SKI>"),InStr($item, "X509:<SHA1-PUKEY>"))>0),[alternativeSecurityId]
)

Les administrateurs peuvent filtrer des valeurs de altSecurityIdentities qui s’alignent sur les modèles pris en charge. Vérifiez que la configuration de l'authentification basée sur les certificats (CBA) est mise à jour pour prendre en charge les associations de noms d'utilisateur synchronisées avec les IDsUtilisateurDeCertificat et activer l'authentification à l'aide de ces valeurs.

Étapes suivantes