Share via

Megfeleltetés a CertificateUserIds attribútumhoz a Microsoft Entra ID-ban

  • Cikk

A Microsoft Entra ID felhasználói objektumai tanúsítványUserIds nevű attribútummal rendelkeznek.

  • A certificateUserIds attribútum többértékű, és legfeljebb 5 értéket tartalmazhat.
  • Minden érték legfeljebb 1024 karakter lehet.
  • Minden értéknek egyedinek kell lennie. Ha egy érték megtalálható egy felhasználói fiókban, az nem írható egy másik felhasználói fiókba ugyanabban az Entra-azonosító bérlőben.
  • Az értéknek nem kell e-mail-azonosító formátumban lennie. A certificateUserIds attribútum nem átirányítható egyszerű felhasználóneveket (UPN-eket) tárolhat, például bob@woodgrove vagy bob@local.

Feljegyzés

Bár minden értéknek egyedinek kell lennie az Entra-azonosítóban, több felhasználónév-kötés implementálásával egyetlen tanúsítványt több fiókhoz is hozzárendelhet. További információ: Több felhasználónév-kötés.

A tanúsítványfelhasználói azonosítók támogatott mintái

A certificateUserIdsben tárolt értékeknek az alábbi táblázatban leírt formátumban kell lenniük. Az X509:<Mapping> előtagok megkülönböztetik a kis- és nagybetűket.

Tanúsítványleképezési mező Példák a certificateUserIds értékeire
Egyszerű név X509:<PN>bob@woodgrove.com
Egyszerű név X509:<PN>bob@woodgrove
RFC822Name X509:<RFC822>user@woodgrove.com
IssuerAndSubject X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest
Tárgy X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest
SKI X509:<SKI>123456789abcdef
SHA1PublicKey X509:<SHA1-PUKEY>123456789abcdef
IssuerAndSerialNumber X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>b24134139f069b49997212a86ba0ef48
A sorozatszám helyes értékének lekéréséhez futtassa ezt a parancsot, és tárolja a certificateUserIdsben látható értéket:
Szintaxis:
Certutil –dump –v [~certificate path~] >> [~dumpFile path~]
Példa:
certutil -dump -v firstusercert.cer >> firstCertDump.txt

A certificateUserIds frissítéséhez szükséges szerepkörök

A csak felhőalapú felhasználóknak legalább privileged authentication Rendszergazda istrator szerepkört kell használniuk a certificateUserIds frissítéséhez. A csak felhőalapú felhasználók a Microsoft Entra felügyeleti központot vagy a Microsoft Graphot használhatják a certificateUserIds frissítéséhez.

A szinkronizált felhasználóknak legalább hibrid identitás Rendszergazda istrator szerepkörre van szükség a certificateUserIds frissítéséhez. Csak a Microsoft Entra Csatlakozás használható a certificateUserIds frissítéséhez a helyszíni érték szinkronizálásával.

Feljegyzés

Az Active Directory rendszergazdái bármilyen szinkronizált fiók esetén módosíthatják a Microsoft Entra ID tanúsítványuserIds értékét. Rendszergazda istratorok lehetnek a szinkronizált felhasználói fiókokhoz delegált rendszergazdai jogosultsággal rendelkező fiókok, illetve a Microsoft Entra Csatlakozás-kiszolgálók rendszergazdai jogosultságai.

CertificateUserIds frissítése

A következő lépésekkel frissítheti a certificateUserIds szolgáltatást a felhasználók számára:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű hitelesítés Rendszergazda istratorként a csak felhőalapú felhasználók számára, vagy legalább hibrid identitás Rendszergazda istratorként szinkronizált felhasználók számára.

  2. Keresse meg és válassza a Minden felhasználó lehetőséget.

    Képernyőkép a felhasználói fiók teszteléséről.

  3. Kattintson egy felhasználóra, és kattintson a Tulajdonságok szerkesztése parancsra.

  4. Az engedélyezési adatok mellett kattintson a Nézet gombra.

    Képernyőkép az engedélyezési adatok megtekintéséről.

  5. Kattintson a Tanúsítványfelhasználói azonosítók szerkesztése elemre.

    Képernyőkép a tanúsítvány felhasználói azonosítóinak szerkesztéséről.

  6. Kattintson a Hozzáadás gombra.

    Képernyőkép a certificateUserIds hozzáadásáról.

  7. Adja meg az értéket, és kattintson a Mentés gombra. Legfeljebb négy értéket adhat hozzá, egyenként 120 karakterből.

    A certificateUserIds értékének képernyőképe.

CertificateUserIds frissítése Microsoft Graph-lekérdezésekkel

Az alábbi példák bemutatják, hogyan használható a Microsoft Graph a certificateUserIds keresésére és frissítésére.

CertificateUserIds keresése

A jogosult hívók Microsoft Graph-lekérdezéseket futtatva megkereshetik az adott certificateUserId értékkel rendelkező összes felhasználót. A Microsoft Graph felhasználói objektumán a certificateUserIds gyűjtemény az authorizationInfo tulajdonságban van tárolva.

Az összes felhasználói objektum tanúsítványfelhasználói azonosítóinak lekérése:

GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo
ConsistencyLevel: eventual

Egy adott felhasználó tanúsítványfelhasználói azonosítóinak lekérése a felhasználó ObjectId azonosítója alapján:

GET https://graph.microsoft.com/v1.0/users/{user-object-id}?$select=authorizationinfo
ConsistencyLevel: eventual

Egy adott értékkel rendelkező felhasználói objektum lekérése a certificateUserIdsben:

GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo&$filter=authorizationInfo/certificateUserIds/any(x:x eq 'X509:<PN>user@contoso.com')&$count=true
ConsistencyLevel: eventual

A szűrőfeltételnek megfelelő operátorokkal és startsWith operátorokkal not is megfelelhet. A certificateUserIds objektumra való szűréshez a kérelemnek tartalmaznia kell a lekérdezési $count=true sztringet, a Konzisztenciaszint fejlécet pedig a következőre eventualkell állítani.

CertificateUserIds frissítése

Futtasson egy PATCH-kérést egy adott felhasználó tanúsítványfelhasználói azonosítóinak frissítéséhez.

Kérés törzse

PATCH https://graph.microsoft.com/v1.0/users/{user-object-id}
Content-Type: application/json
{
    "authorizationInfo": {
        "certificateUserIds": [
            "X509:<PN>123456789098765@mil"
        ]
    }
}

CertificateUserIds frissítése PowerShell-parancsokkal

Ehhez a konfigurációhoz használhatja a Microsoft Graph PowerShellt.

  1. Indítsa el a PowerShellt rendszergazdai jogosultságokkal.

  2. Telepítse és importálja a Microsoft Graph PowerShell SDK-t.

        Install-Module Microsoft.Graph -Scope AllUsers
    Import-Module Microsoft.Graph.Authentication
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Csatlakozás a bérlőnek, és fogadja el az összeset.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

  4. Egy adott felhasználó certificateUserIds attribútumának listázása.

      $results = Invoke-MGGraphRequest -Method get -Uri 'https://graph.microsoft.com/v1.0/users/<userId>?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' }
  #list certificateUserIds
  $results.authorizationInfo

  5. Hozzon létre egy változót certificateUserIds értékekkel.

      #Create a new variable to prepare the change. Ensure that you list any existing values you want to keep as this operation will overwrite the existing value
  $params = @{
        authorizationInfo = @{
              certificateUserIds = @(
              "X509:<SKI>eec6b88788d2770a01e01775ce71f1125cd6ad0f", 
              "X509:<PN>user@contoso.com"
              )
        }
  }

  6. Frissítse a certificateUserIds attribútumot.

       $results = Invoke-MGGraphRequest -Method patch -Uri 'https://graph.microsoft.com/v1.0/users/<UserId>/?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' } -Body $params

CertificateUserIds frissítése felhasználói objektum használatával

  1. A felhasználói objektum lekérése.

      $userObjectId = "6b2d3bd3-b078-4f46-ac53-f862f35e10b6"
  $user = Get-MgUser -UserId $userObjectId -Property AuthorizationInfo

  2. Frissítse a felhasználói objektum certificateUserIds attribútumát.

       $user.AuthorizationInfo.certificateUserIds = @("X509:<SKI>eec6b88788d2770a01e01775ce71f1125cd6ad0f", "X509:<PN>user1@contoso.com") 
   Update-MgUser -UserId $userObjectId -AuthorizationInfo $user.AuthorizationInfo

CertificateUserIds frissítése a Microsoft Entra Csatlakozás használatával

A Microsoft Entra Connect támogatja az értékek és a certificateUserIds közötti szinkronizálást egy helyi Active Directory környezetből. A helyszíni Active Directory támogatja a tanúsítványalapú hitelesítést és több felhasználónév-kötést. Győződjön meg arról, hogy a Microsoft Entra legújabb verzióját használja Csatlakozás.

A leképezési módszerek használatához fel kell töltenie a felhasználói objektumok altSecurityIdentities attribútumát a helyi Active Directory. Emellett a tanúsítványalapú hitelesítési módosítások windowsos tartományvezérlőkre való alkalmazása után a KB5014754 leírtak szerint előfordulhat, hogy a helyszíni Active Directory erős tanúsítványkötés-kényszerítési követelményeinek megfelelően implementált néhány nem újrafelhasználható leképezési metódust (Type=strong).

A szinkronizálási hibák elkerülése érdekében győződjön meg arról, hogy a szinkronizált értékek a certificateUserIds egyik támogatott formátumát követik.

Mielőtt hozzákezdene, győződjön meg arról, hogy a helyi Active Directory szinkronizált felhasználói fiókok a következők:

  • 5 vagy kevesebb érték az altSecurityIdentities attribútumokban

  • Nincs több, mint 1024 karaktert tartalmazó érték

  • Nincsenek ismétlődő értékek

    Alaposan gondolja át, hogy egy duplikált érték egy tanúsítvány több helyi Active Directory-fiókhoz való leképezésére szolgál-e. További információ: Több felhasználónév-kötés.

    Feljegyzés

    Bizonyos esetekben előfordulhat, hogy a felhasználók egy részhalmaza érvényes üzleti indoklással rendelkezik ahhoz, hogy egyetlen tanúsítványt több helyi Active Directory fiókhoz rendeljen. Tekintse át ezeket a forgatókönyveket, és szükség esetén alkalmazzon külön leképezési módszereket, amelyekkel a helyi Active Directory és az Entra-azonosítóban is több fiókhoz rendelhet leképezést.

A certificateUserIds folyamatos szinkronizálásának szempontjai

  • Győződjön meg arról, hogy a helyi Active Directory értékeinek feltöltésére szolgáló kiépítési folyamat megfelelő higiéniát valósít meg. A rendszer csak az aktuális érvényes tanúsítványokkal társított értékeket tölti ki.
  • A rendszer eltávolítja az értékeket a megfelelő tanúsítvány lejártával vagy visszavonásával.
  • Az 1024 karakternél nagyobb értékek nincsenek kitöltve.
  • Az ismétlődő értékek nincsenek kiépítve.
  • A Microsoft Entra Csatlakozás Health használatával monitorozza a szinkronizálást.

Kövesse az alábbi lépéseket a Microsoft Entra Csatlakozás konfigurálásához a userPrincipalName és a certificateUserIds szinkronizálásához:

  1. A Microsoft Entra Csatlakozás kiszolgálón keresse meg és indítsa el a Szinkronizálási szabályok szerkesztőt.

  2. Kattintson az Irány gombra, majd a Kimenő gombra.

    Képernyőkép a kimenő szinkronizálási szabályról.

  3. Keresse meg a Microsoft Entra-azonosítóra vonatkozó kivételt – Felhasználói identitás, kattintson a Szerkesztés gombra, majd az Igen gombra a megerősítéshez.

    Képernyőkép a felhasználói identitásról.

  4. Adjon meg egy magas számot a Precedencia mezőben, majd kattintson a Tovább gombra.

    Képernyőkép egy elsőbbségi értékről.

  5. Kattintson az Átalakítás hozzáadása>gombra. Előfordulhat, hogy le kell görgetnie az átalakítások listáját, mielőtt újat hoz létre.

X509:<PN>PrincipalNameValue szinkronizálása

Az X509:<PN>PrincipalNameValue szinkronizálásához hozzon létre egy kimenő szinkronizálási szabályt, és válassza a Folyamattípus kifejezését. Válassza ki a célattribútumot certificateUserIdsként, és a forrásmezőben adja hozzá a következő kifejezést. Ha a forrásattribútum nem userPrincipalName, ennek megfelelően módosíthatja a kifejezést.

"X509:<PN>"&[userPrincipalName]

Képernyőkép az x509 szinkronizálásáról.

X509:<RFC822>RFC822Name szinkronizálása

Az X509:<RFC822>RFC822Name szinkronizálásához hozzon létre egy kimenő szinkronizálási szabályt, és válassza a Folyamattípus kifejezését . Válassza ki a célattribútumot certificateUserIdsként, és a forrásmezőben adja hozzá a következő kifejezést. Ha a forrásattribútum nem userPrincipalName, ennek megfelelően módosíthatja a kifejezést.

"X509:<RFC822>"&[userPrincipalName]

Képernyőkép az RFC822Name szinkronizálásáról.

  1. Kattintson a Célattribútum, a CertificateUserIds, a Forrás, a userPrincipalName, majd a Mentés gombra.

    Képernyőkép egy szabály mentéséről.

  2. A megerősítéshez kattintson az OK gombra .

Fontos

Az előző példák a userPrincipalName atribute parancsot használják forrásattribútumként az átalakítási szabályban. Bármilyen elérhető attribútumot használhat a megfelelő értékkel. Egyes szervezetek például a levelezési attribútumot használják. Összetettebb átalakítási szabályokért lásd: Microsoft Entra Csatlakozás Sync: Understanding Deklaratív kiépítési kifejezések

További információ a deklaratív kiépítési kifejezésekről: Microsoft Entra Csatlakozás: Deklaratív kiépítési kifejezések.

AltSecurityIdentities attribútum szinkronizálása az Active Directoryból a Microsoft Entra ID certificateUserIds szolgáltatásba

Az altSecurityIdentities attribútum nem része az alapértelmezett attribútumkészletnek. A rendszergazdának hozzá kell adnia egy új attribútumot a Metaverse személyobjektumához, majd létre kell hoznia a megfelelő szinkronizálási szabályokat, hogy ezeket az adatokat továbbadja az Entra ID-ban található certificateUserIds-nek.

  1. Nyissa meg a Metaverse Tervező, és jelölje ki a személyobjektumot. Az alternativeSecurityId attribútum létrehozásához kattintson az Új attribútum gombra. A sztring (nem indexelhető) kiválasztásával legfeljebb 1024 karakter hosszúságú attribútumot hozhat létre, amely a certificateUserIds maximálisan támogatott hossza. Ha a Sztring (indexelhető) lehetőséget választja, az attribútumérték maximális mérete 448 karakter. Győződjön meg arról, hogy a Többszörös érték lehetőséget választja.

    Képernyőkép egy új attribútum létrehozásáról.

  2. Nyissa meg a Metaverse Tervező, és válassza az alternativeSecurityId lehetőséget a személyobjektumhoz való hozzáadásához.

    Képernyőkép arról, hogyan adhat hozzá alternatívSecurityId azonosítót a személyobjektumhoz.

  3. Hozzon létre egy bejövő szinkronizálási szabályt az altSecurityIdentities attribútumról az alternativeSecurityId attribútumra való átalakításhoz.

    A bejövő szabályban használja az alábbi beállításokat.

    Lehetőség Érték
    Név A szabály leíró neve, például: In from Active Directory – altSecurityIdentities
    Csatlakozás rendszer Az Ön helyi Active Directory tartománya
    Csatlakozás rendszerobjektum típusa user
    Metaverzum objektumtípus személy
    Prioritás Válasszon egy 100 alatti számot, amely jelenleg nincs használatban

    Ezután kattintson az Átalakítások elemre, és hozzon létre egy közvetlen leképezést az alternativeSecurityId célattribútumhoz az altSecurityIdentities forrásattribútumból, ahogyan az az alábbi képernyőképen látható.

    Képernyőkép az altSecurityIdentities attribútumról az alternateSecurityId attribútumra való átalakításról.

  4. Hozzon létre egy kimenő szinkronizálási szabályt az alternativeSecurityId attribútumból a certificateUserIds attribútumra az Entra ID-ban.

    Lehetőség Érték
    Név A szabály leíró neve, például: Out to Microsoft Entra ID – certificateUserIds
    Csatlakozás rendszer Az Ön Microsoft Entra tartománya
    Csatlakozás rendszerobjektum típusa user
    Metaverzum objektumtípus személy
    Prioritás Válassza ki a jelenleg nem használt magas számot az összes alapértelmezett szabálynál, például a 150-esnél

    Ezután kattintson az Átalakítások elemre, és hozzon létre egy közvetlen megfeleltetést a célattribútum-tanúsítványraUserIds elemhez az alternativeSecurityId forrásattribútumból, ahogyan az az alábbi képernyőképen látható.

    Képernyőkép a kimenő szinkronizálási szabályról az alternateSecurityId attribútumról a certificateUserIdsre való átalakításhoz.

  5. A szinkronizálás futtatásával töltse fel az adatokat a certificateUserIds attribútumba.

  6. A sikeresség ellenőrzéséhez tekintse meg egy felhasználó engedélyezési adatait az Entra-azonosítóban.

    Képernyőkép a sikeres szinkronizálásról.

Az altSecurityIdentities attribútum értékeinek egy részhalmazának leképezéséhez cserélje le az átalakítást a 4. lépésben egy Kifejezésre. Kifejezés használatához lépjen az Átalakítások lapra, és módosítsa a FlowType beállítást Kifejezésre, a certificateUserIds célattribútumára, majd írja be a kifejezést a Forrás mezőbe. Az alábbi példa csak a SKI és az SHA1PublicKey tanúsítványleképezési mezőkhöz igazított értékeket szűri:

Egy kifejezés képernyőképe.

Kifejezéskód:

IIF(IsPresent([alternativeSecurityId]),
                Where($item,[alternativeSecurityId],BitOr(InStr($item, "X509:<SKI>"),InStr($item, "X509:<SHA1-PUKEY>"))>0),[alternativeSecurityId]
)

Rendszergazda istratorok szűrhetik az altSecurityIdentities értékeit, amelyek megfelelnek a támogatott mintáknak. Győződjön meg arról, hogy a CBA-konfiguráció frissült, hogy támogassa a certificateUserIds azonosítókkal szinkronizált felhasználónév-kötéseket az értékeket használó hitelesítés engedélyezéséhez.

Következő lépések