Megosztás a következőn keresztül:


Nem kötelező jogcímek konfigurálása

A Microsoft Entra által visszaadott jogkivonatok kisebbek maradnak, hogy optimális teljesítményt biztosítsanak az őket kérő ügyfelek. Ennek eredményeképpen a jogkivonatban alapértelmezés szerint már nem található több jogcím, és kifejezetten alkalmazásonként kell kérni.

Az alkalmazás opcionális jogcímeit a Microsoft Entra felügyeleti központ alkalmazásainak felhasználói felületén vagy jegyzékfájlján keresztül konfigurálhatja.

Előfeltételek

Választható jogcímek konfigurálása az alkalmazásban

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
  2. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
  3. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni a forgatókönyv és a kívánt eredmény alapján.
  1. A Kezelés területen válassza a Jogkivonat-konfiguráció lehetőséget.
  2. Válassza az Opcionális jogcím hozzáadása lehetőséget.
  3. Válassza ki a konfigurálni kívánt jogkivonattípust, például az Accesst.
  4. Válassza ki a hozzáadni kívánt opcionális jogcímeket.
  5. Válassza a Hozzáadás lehetőséget.

Az optionalClaims objektum deklarálja az alkalmazás által kért opcionális jogcímeket. Egy alkalmazás konfigurálhatja az azonosító jogkivonatokban, hozzáférési jogkivonatokban és SAML 2-jogkivonatokban visszaadott opcionális jogcímeket. Az alkalmazás konfigurálhatja az opcionális jogcímek különböző készletét, amelyek minden jogkivonattípusban visszaadhatók.

Név Típus Leírás
idToken Gyűjtemény A JWT ID-jogkivonatban visszaadott opcionális jogcímek.
accessToken Gyűjtemény A JWT hozzáférési jogkivonatban visszaadott opcionális jogcímek.
saml2Token Gyűjtemény Az SAML-jogkivonatban visszaadott opcionális jogcímek.

Ha egy adott jogcím támogatja, a mező használatával módosíthatja az opcionális jogcím viselkedését additionalProperties is.

Név Típus Leírás
name Edm.String Az opcionális jogcím neve.
source Edm.String A jogcím forrása (könyvtárobjektuma). A bővítménytulajdonságokból előre definiált jogcímek és felhasználó által definiált jogcímek találhatók. Ha a forrás értéke null, a jogcím egy előre definiált opcionális jogcím. Ha a forrásérték felhasználó, a névtulajdonság értéke a felhasználói objektum bővítménytulajdonsága.
essential Edm.Boolean Ha az érték igaz, az ügyfél által megadott jogcím szükséges a végfelhasználó által kért konkrét feladat zökkenőmentes engedélyezési élményének biztosításához. Az alapértelmezett érték: hamis.
additionalProperties Gyűjtemény (Edm.String) A jogcím egyéb tulajdonságai. Ha egy tulajdonság létezik ebben a gyűjteményben, az módosítja a névtulajdonságban megadott opcionális jogcím viselkedését.

A címtárbővítmény opcionális jogcímeinek konfigurálása

A standard opcionális jogcímkészlet mellett a jogkivonatokat microsoft graph-bővítmények hozzáadására is konfigurálhatja. További információ: Egyéni adatok hozzáadása erőforrásokhoz bővítmények használatával.

Fontos

A hozzáférési jogkivonatok mindig az erőforrás jegyzékével jönnek létre, nem az ügyféllel. A kérelemben ...scope=https://graph.microsoft.com/user.read...az erőforrás a Microsoft Graph API. A hozzáférési jogkivonat a Microsoft Graph API-jegyzék használatával jön létre, nem az ügyfél jegyzékfájljával. Az alkalmazás jegyzékfájljának módosítása soha nem eredményezi a Microsoft Graph API-hoz tartozó jogkivonatok eltérő megjelenését. Annak ellenőrzéséhez, hogy a accessToken módosítások érvényben vannak-e, kérjen jogkivonatot az alkalmazáshoz, nem pedig egy másik alkalmazáshoz.

Az opcionális jogcímek támogatják a bővítményattribútumokat és a címtárbővítményeket. Ez a funkció hasznos az alkalmazás által használható további felhasználói információk csatolásához. Például a felhasználó által megadott egyéb azonosítók vagy fontos konfigurációs beállítások. Ha az alkalmazásjegyzék egyéni bővítményt kér, és egy MSA-felhasználó bejelentkezik az alkalmazásba, a rendszer nem adja vissza ezeket a bővítményeket.

Címtárbővítmény formázása

Ha a címtárbővítmény opcionális jogcímeit az alkalmazásjegyzék használatával konfigurálja, használja a bővítmény teljes nevét (a következő formátumban: extension_<appid>_<attributename>). A <appid> jogcímet kérő alkalmazás alkalmazásazonosítójának (vagy ügyfélazonosítójának) lecsupaszított verziója.

A JWT-ben ezek a jogcímek a következő névformátummal lesznek kibocsátva: extn.<attributename>. Az SAML-jogkivonatokon belül ezek a jogcímek a következő URI formátumban lesznek kibocsátva: http://schemas.microsoft.com/identity/claims/extn.<attributename>

Csoportok nem kötelező jogcímeinek konfigurálása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ez a szakasz az opcionális jogcímek alatti konfigurációs beállításokat ismerteti, amelyek a csoportjogcímekben használt csoportattribútumokat az alapértelmezett csoportobjektum-azonosítóról a helyszíni Windows Active Directoryból szinkronizált attribútumokra módosítják. A csoportok opcionális jogcímeit az Azure Portalon vagy az alkalmazásjegyzékben konfigurálhatja. A csoportosan választható jogcímek csak a felhasználói tagok JWT-jében lesznek kibocsátva. A szolgáltatásnevek nem szerepelnek a JWT-ben kibocsátott választható csoportos jogcímek között.

Fontos

Az egy-egy tokenben kibocsátott csoportok száma az SAML-előfeltételek esetében 150-re, a JWT esetén pedig 200-ra van korlátozva a beágyazott csoportokkal együtt. További információ a csoportkorlátokról és a helyszíni attribútumokból származó csoportjogcímek fontos kikötéseiről: Csoportjogcímek konfigurálása alkalmazásokhoz.

A csoportok opcionális jogcímeinek konfigurálásához hajtsa végre az alábbi lépéseket az Azure Portalon:

  1. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni.
  2. A Kezelés területen válassza a Jogkivonat-konfiguráció lehetőséget.
  3. Válassza a Csoportok hozzáadása jogcím lehetőséget.
  4. Válassza ki a visszaadni kívánt csoporttípusokat (biztonsági csoportok vagy címtárszerepkörök, Minden csoport és/vagy Az alkalmazáshoz rendelt csoportok):
    • Az alkalmazásbeállításhoz rendelt csoportok csak az alkalmazáshoz rendelt csoportokat tartalmazzák. Az alkalmazásbeállításhoz rendelt csoportok a jogkivonat csoportszámkorlátja miatt nagy szervezetek számára ajánlottak. Az alkalmazáshoz rendelt csoportok módosításához válassza ki az alkalmazást a Vállalati alkalmazások listájából. Válassza a Felhasználók és csoportok lehetőséget, majd a Felhasználó/csoport hozzáadása lehetőséget. Válassza ki az alkalmazáshoz hozzáadni kívánt csoport(ok)t a Felhasználók és csoportok területen.
    • A Minden csoport beállítás tartalmazza a SecurityGroup, a DirectoryRole és a DistributionList elemet, de az alkalmazáshoz rendelt csoportokat nem.
  5. Nem kötelező: válassza ki az adott jogkivonattípus-tulajdonságokat, ha módosítani szeretné a csoport jogcímértékét a helyszíni csoportattribútumokat tartalmazó csoporthoz, vagy a jogcím típusát szerepkörre szeretné módosítani.
  6. Válassza a Mentés lehetőséget.

Hajtsa végre a következő lépéseket a csoportok opcionális jogcímeinek konfigurálásához az alkalmazásjegyzéken keresztül:

  1. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni.

  2. A Kezelés csoportban válassza a Jegyzék elemet.

  3. Adja hozzá a következő bejegyzést a jegyzékszerkesztővel:

    Az érvényes értékek a következők:

    • "Minden" (ebbe a beállításba tartozik a SecurityGroup, a DirectoryRole és a DistributionList)
    • "SecurityGroup"
    • "DirectoryRole"
    • "ApplicationGroup" (ez a beállítás csak az alkalmazáshoz rendelt csoportokat tartalmazza)

    Példa:

    "groupMembershipClaims": "SecurityGroup"
    

    Alapértelmezés szerint a csoportobjektum-azonosítók a csoport jogcímértékében vannak kibocsátva. A jogcím értékének helyszíni csoportattribútumokat tartalmazó módosításához vagy a jogcím típusának szerepkörre való módosításához használja a konfigurációt az optionalClaims alábbiak szerint:

  4. Csoportnév konfigurációjának megadása nem kötelező jogcímek.

    Ha azt szeretné, hogy a jogkivonat csoportjai tartalmazzák az opcionális jogcímek szakaszban szereplő helyszíni csoportattribútumokat, adja meg, hogy melyik jogkivonattípusra kell alkalmazni az opcionális jogcímet. Meg kell adnia a kért opcionális jogcím nevét és a kívánt egyéb tulajdonságokat is.

    Több jogkivonattípus is szerepelhet a listában:

    • idToken az OIDC-azonosító jogkivonatához
    • accessToken az OAuth hozzáférési jogkivonathoz
    • Saml2Token SAML-jogkivonatok esetén.

    A Saml2Token típus az SAML1.1 és az SAML2.0 formátumú jogkivonatokra is vonatkozik.

    Minden releváns jogkivonattípus esetében módosítsa a csoportok jogcímét úgy, hogy a optionalClaims jegyzékben szereplő szakaszt használja. A optionalClaims séma a következő:

    {
        "name": "groups",
        "source": null,
        "essential": false,
        "additionalProperties": []
    }
    
    Választható jogcímséma Érték
    name Kell groups
    source Nincs használatban. Hagyja ki vagy adja meg a null értéket.
    essential Nincs használatban. Hagyja ki vagy adja meg a hamis értéket.
    additionalProperties Egyéb tulajdonságok listája. Az érvényes beállítások a következők: sam_account_name, dns_domain_and_sam_account_namenetbios_domain_and_sam_account_nameés emit_as_roles cloud_displayname.

    Csak additionalProperties az egyikben sam_account_namedns_domain_and_sam_account_namenetbios_domain_and_sam_account_name van szükség. Ha egynél több van jelen, az elsőt használja a rendszer, a többit pedig figyelmen kívül hagyja. Hozzáadhatja a felhőcsoport megjelenítendő nevének kibocsátásához is cloud_displayname . Ez a beállítás csak akkor működik, ha groupMembershipClaims be van állítva.ApplicationGroup

    Egyes alkalmazások csoportadatokat igényelnek a szerepkör-jogcímben szereplő felhasználóról. Ha csoportjogcímről szerepkör-jogcímre szeretné módosítani a jogcímtípust, adja hozzá emit_as_roles a következőhöz additionalProperties: A csoportértékek a szerepkör-jogcímben lesznek kibocsátva.

    Használat esetén emit_as_roles a felhasználó (vagy egy erőforrásalkalmazás) hozzárendelésére konfigurált alkalmazásszerepkörök nem szerepelnek a szerepkör-jogcímben.

Az alábbi példák a csoportjogcímek jegyzékkonfigurációját mutatják be:

Csoportok kibocsátása csoportnévként az OAuth hozzáférési jogkivonataiban dnsDomainName\sAMAccountName formátumban.

"optionalClaims": {
    "accessToken": [
        {
            "name": "groups",
            "additionalProperties": [
                "dns_domain_and_sam_account_name"
            ]
        }
    ]
}

Az SAML- és OIDC-azonosító jogkivonatokban szereplő szerepkör-jogcímként formázandó netbiosDomain\sAMAccountName csoportneveket bocsát ki.

"optionalClaims": {
    "saml2Token": [
        {
            "name": "groups",
            "additionalProperties": [
                "netbios_domain_and_sam_account_name",
                "emit_as_roles"
            ]
        }
    ],
    "idToken": [
        {
            "name": "groups",
            "additionalProperties": [
                "netbios_domain_and_sam_account_name",
                "emit_as_roles"
            ]
        }
    ]
}

Csoportneveket bocsát ki a helyszíni szinkronizált csoportok, valamint cloud_display a sam_account_name felhőcsoportok neveként SAML- és OIDC-azonosító jogkivonatokban az alkalmazáshoz rendelt csoportok számára.

"groupMembershipClaims": "ApplicationGroup",
"optionalClaims": {
    "saml2Token": [
        {
            "name": "groups",
            "additionalProperties": [
                "sam_account_name",
                "cloud_displayname"
            ]
        }
    ],
    "idToken": [
        {
            "name": "groups",
            "additionalProperties": [
                "sam_account_name",
                "cloud_displayname"
            ]
        }
    ]
}

Választható jogcímek – példa

A választható jogcímek engedélyezéséhez és konfigurálásához több lehetőség is rendelkezésre áll az alkalmazás identitáskonfigurációjának tulajdonságainak frissítésére:

Az alábbi példában az Azure Portal és a jegyzék használatával opcionális jogcímeket adhat hozzá az alkalmazáshoz szánt hozzáférési, azonosító- és SAML-jogkivonatokhoz. A rendszer különböző opcionális jogcímeket ad hozzá minden olyan jogkivonathoz, amelyet az alkalmazás megkaphat:

  • Az azonosító jogkivonatok teljes formában () tartalmazzák az összevont felhasználók UPN-ét.<upn>_<homedomain>#EXT#@<resourcedomain>
  • A többi ügyfél által az alkalmazáshoz kért hozzáférési jogkivonatok tartalmazzák a jogcímet auth_time .
  • Az SAML-jogkivonatok tartalmazzák a skypeId címtárséma-bővítményt (ebben a példában az alkalmazás alkalmazásazonosítója).ab603c56068041afb2f6832e2a17e237 Az SAML-jogkivonat a Skype-azonosítót extension_ab603c56068041afb2f6832e2a17e237_skypeIda következőképpen teszi elérhetővé: .

Jogcímek konfigurálása az Azure Portalon:

  1. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni.
  2. A Kezelés területen válassza a Jogkivonat-konfiguráció lehetőséget.
  3. Válassza az Opcionális jogcím hozzáadása lehetőséget, válassza ki az azonosító jogkivonat típusát, válassza ki a jogcímek listájából a upn elemet, majd válassza a Hozzáadás lehetőséget.
  4. Válassza az Opcionális jogcím hozzáadása lehetőséget, válassza ki az Access-jogkivonat típusát, válassza a auth_time lehetőséget a jogcímek listájából, majd válassza a Hozzáadás lehetőséget.
  5. A Jogkivonat konfigurációja áttekintési képernyőn válassza a felfelé melletti ceruza ikont, válassza a Külső hitelesítésű kapcsolót, majd a Mentés lehetőséget.
  6. Válassza az Opcionális jogcím hozzáadása lehetőséget, válassza ki az SAML-jogkivonat típusát, válassza az extn.skypeID elemet a jogcímek listájából (csak akkor, ha létrehozott egy Microsoft Entra felhasználói objektumot skypeID néven), majd válassza a Hozzáadás lehetőséget.

Jogcímek konfigurálása a jegyzékben:

  1. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni.

  2. A Kezelés területen válassza a Jegyzék elemet a beágyazott jegyzékszerkesztő megnyitásához.

  3. Ezzel a szerkesztővel közvetlenül szerkesztheti a jegyzékfájlt. A jegyzék az Alkalmazás entitás sémáját követi, és automatikusan formázja a jegyzékfájlt a mentés után. A rendszer új elemeket ad hozzá a optionalClaims tulajdonsághoz.

    "optionalClaims": {
        "idToken": [
            {
                "name": "upn",
                "essential": false,
                "additionalProperties": [
                    "include_externally_authenticated_upn"
                ]
            }
        ],
        "accessToken": [
            {
                "name": "auth_time",
                "essential": false
            }
        ],
        "saml2Token": [
            {
                "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
                "source": "user",
                "essential": true
            }
        ]
    }
    
  4. Ha végzett a jegyzék frissítésével, a jegyzék mentéséhez kattintson a Mentés gombra.