Nem kötelező jogcímek konfigurálása

A Microsoft Entra által visszaadott jogkivonatok kisebbek maradnak, hogy optimális teljesítményt biztosítsanak az őket kérő ügyfelek. Ennek eredményeképpen a jogkivonatban alapértelmezés szerint már nem található több jogcím, és kifejezetten alkalmazásonként kell kérni.

Az alkalmazás opcionális jogcímeit a Microsoft Entra felügyeleti központ alkalmazásainak felhasználói felületén vagy jegyzékfájlján keresztül konfigurálhatja.

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
• Rövid útmutató befejezése: Alkalmazás regisztrálása

Választható jogcímek konfigurálása az alkalmazásban

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
2. Keresse meg az identitásalkalmazásokat>> Alkalmazásregisztrációk.
3. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni a forgatókönyv és a kívánt eredmény alapján.

Az alkalmazás felhasználói felületének folytatása

1. A Kezelés területen válassza a Jogkivonat-konfiguráció lehetőséget.
2. Válassza az Opcionális jogcím hozzáadása lehetőséget.
3. Válassza ki a konfigurálni kívánt jogkivonattípust, például az Accesst.
4. Válassza ki a hozzáadni kívánt opcionális jogcímeket.
5. Válassza a Hozzáadás lehetőséget.

Folytassa a jegyzékfájlt

1. A Kezelés csoportban válassza a Jegyzék elemet. Megnyílik egy webes jegyzékszerkesztő, amely lehetővé teszi a jegyzék szerkesztését. Másik lehetőségként a Letöltés lehetőséget választva a helyi gépen is szerkesztheti az alkalmazásjegyzéket, majd a Feltöltés gombra kattintva alkalmazhatja a módosításokat az alkalmazásra. Ha a fájl nem tartalmaz tulajdonságot optionalClaims , felveheti.

   Az alábbi alkalmazásjegyzék-bejegyzés hozzáadja a , ipaddrés upn opcionális jogcímeket az auth_timeazonosítóhoz, a hozzáféréshez és az SAML-jogkivonatokhoz.

   "optionalClaims": {
       "idToken": [
           {
               "name": "auth_time",
               "essential": false
           }
       ],
       "accessToken": [
           {
               "name": "ipaddr",
               "essential": false
           }
       ],
       "saml2Token": [
           {
               "name": "upn",
               "essential": false
           },
           {
               "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
               "source": "user",
               "essential": false
           }
       ]
   }
   

2. Ha végzett, válassza a Mentés lehetőséget. A megadott opcionális jogcímek mostantól szerepelnek az alkalmazás jogkivonataiban.

Az optionalClaims objektum deklarálja az alkalmazás által kért opcionális jogcímeket. Egy alkalmazás konfigurálhatja az azonosító jogkivonatokban, hozzáférési jogkivonatokban és SAML 2-jogkivonatokban visszaadott opcionális jogcímeket. Az alkalmazás konfigurálhatja az opcionális jogcímek különböző készletét, amelyek minden jogkivonattípusban visszaadhatók.

Név	Típus	Leírás
idToken	Gyűjtemény	A JWT ID-jogkivonatban visszaadott opcionális jogcímek.
accessToken	Gyűjtemény	A JWT hozzáférési jogkivonatban visszaadott opcionális jogcímek.
saml2Token	Gyűjtemény	Az SAML-jogkivonatban visszaadott opcionális jogcímek.

Ha egy adott jogcím támogatja, a mező használatával módosíthatja az opcionális jogcím viselkedését additionalProperties is.

Név	Típus	Leírás
name	Edm.String	Az opcionális jogcím neve.
source	Edm.String	A jogcím forrása (könyvtárobjektuma). A bővítménytulajdonságokból előre definiált jogcímek és felhasználó által definiált jogcímek találhatók. Ha a forrás értéke null, a jogcím egy előre definiált opcionális jogcím. Ha a forrásérték felhasználó, a névtulajdonság értéke a felhasználói objektum bővítménytulajdonsága.
essential	Edm.Boolean	Ha az érték igaz, az ügyfél által megadott jogcím szükséges a végfelhasználó által kért konkrét feladat zökkenőmentes engedélyezési élményének biztosításához. Az alapértelmezett érték: hamis.
additionalProperties	Gyűjtemény (Edm.String)	A jogcím egyéb tulajdonságai. Ha egy tulajdonság létezik ebben a gyűjteményben, az módosítja a névtulajdonságban megadott opcionális jogcím viselkedését.

---

A címtárbővítmény opcionális jogcímeinek konfigurálása

A standard opcionális jogcímkészlet mellett a jogkivonatokat microsoft graph-bővítmények hozzáadására is konfigurálhatja. További információ: Egyéni adatok hozzáadása erőforrásokhoz bővítmények használatával.

Fontos

A hozzáférési jogkivonatok mindig az erőforrás jegyzékével jönnek létre, nem az ügyféllel. A kérelemben ...scope=https://graph.microsoft.com/user.read...az erőforrás a Microsoft Graph API. A hozzáférési jogkivonat a Microsoft Graph API-jegyzék használatával jön létre, nem az ügyfél jegyzékfájljával. Az alkalmazás jegyzékfájljának módosítása soha nem eredményezi a Microsoft Graph API-hoz tartozó jogkivonatok eltérő megjelenését. Annak ellenőrzéséhez, hogy a accessToken módosítások érvényben vannak-e, kérjen jogkivonatot az alkalmazáshoz, nem pedig egy másik alkalmazáshoz.

Az opcionális jogcímek támogatják a bővítményattribútumokat és a címtárbővítményeket. Ez a funkció hasznos az alkalmazás által használható további felhasználói információk csatolásához. Például a felhasználó által megadott egyéb azonosítók vagy fontos konfigurációs beállítások. Ha az alkalmazásjegyzék egyéni bővítményt kér, és egy MSA-felhasználó bejelentkezik az alkalmazásba, a rendszer nem adja vissza ezeket a bővítményeket.

Címtárbővítmény formázása

Ha a címtárbővítmény opcionális jogcímeit az alkalmazásjegyzék használatával konfigurálja, használja a bővítmény teljes nevét (a következő formátumban: extension_<appid>_<attributename>). A <appid> jogcímet kérő alkalmazás alkalmazásazonosítójának (vagy ügyfélazonosítójának) lecsupaszított verziója.

A JWT-ben ezek a jogcímek a következő névformátummal lesznek kibocsátva: extn.<attributename>. Az SAML-jogkivonatokon belül ezek a jogcímek a következő URI formátumban lesznek kibocsátva: http://schemas.microsoft.com/identity/claims/extn.<attributename>

Csoportok nem kötelező jogcímeinek konfigurálása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ez a szakasz az opcionális jogcímek alatti konfigurációs beállításokat ismerteti, amelyek a csoportjogcímekben használt csoportattribútumokat az alapértelmezett csoportobjektum-azonosítóról a helyszíni Windows Active Directoryból szinkronizált attribútumokra módosítják. A csoportok opcionális jogcímeit az Azure Portalon vagy az alkalmazásjegyzékben konfigurálhatja. A csoportosan választható jogcímek csak a felhasználói tagok JWT-jében lesznek kibocsátva. A szolgáltatásnevek nem szerepelnek a JWT-ben kibocsátott választható csoportos jogcímek között.

Fontos

Az egy-egy tokenben kibocsátott csoportok száma az SAML-előfeltételek esetében 150-re, a JWT esetén pedig 200-ra van korlátozva a beágyazott csoportokkal együtt. További információ a csoportkorlátokról és a helyszíni attribútumokból származó csoportjogcímek fontos kikötéseiről: Csoportjogcímek konfigurálása alkalmazásokhoz.

A csoportok opcionális jogcímeinek konfigurálásához hajtsa végre az alábbi lépéseket az Azure Portalon:

1. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni.
2. A Kezelés területen válassza a Jogkivonat-konfiguráció lehetőséget.
3. Válassza a Csoportok hozzáadása jogcím lehetőséget.
4. Válassza ki a visszaadni kívánt csoporttípusokat (biztonsági csoportok vagy címtárszerepkörök, Minden csoport és/vagy Az alkalmazáshoz rendelt csoportok):
   • Az alkalmazásbeállításhoz rendelt csoportok csak az alkalmazáshoz rendelt csoportokat tartalmazzák. Az alkalmazásbeállításhoz rendelt csoportok a jogkivonat csoportszámkorlátja miatt nagy szervezetek számára ajánlottak. Az alkalmazáshoz rendelt csoportok módosításához válassza ki az alkalmazást a Vállalati alkalmazások listájából. Válassza a Felhasználók és csoportok lehetőséget, majd a Felhasználó/csoport hozzáadása lehetőséget. Válassza ki az alkalmazáshoz hozzáadni kívánt csoport(ok)t a Felhasználók és csoportok területen.
   • A Minden csoport beállítás tartalmazza a SecurityGroup, a DirectoryRole és a DistributionList elemet, de az alkalmazáshoz rendelt csoportokat nem.
5. Nem kötelező: válassza ki az adott jogkivonattípus-tulajdonságokat, ha módosítani szeretné a csoport jogcímértékét a helyszíni csoportattribútumokat tartalmazó csoporthoz, vagy a jogcím típusát szerepkörre szeretné módosítani.
6. Válassza a Mentés lehetőséget.

Hajtsa végre a következő lépéseket a csoportok opcionális jogcímeinek konfigurálásához az alkalmazásjegyzéken keresztül:

1. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni.

2. A Kezelés csoportban válassza a Jegyzék elemet.

3. Adja hozzá a következő bejegyzést a jegyzékszerkesztővel:

   Az érvényes értékek a következők:

   • "Minden" (ebbe a beállításba tartozik a SecurityGroup, a DirectoryRole és a DistributionList)
   • "SecurityGroup"
   • "DirectoryRole"
   • "ApplicationGroup" (ez a beállítás csak az alkalmazáshoz rendelt csoportokat tartalmazza)

   Példa:

   "groupMembershipClaims": "SecurityGroup"
   

   Alapértelmezés szerint a csoportobjektum-azonosítók a csoport jogcímértékében vannak kibocsátva. A jogcím értékének helyszíni csoportattribútumokat tartalmazó módosításához vagy a jogcím típusának szerepkörre való módosításához használja a konfigurációt az optionalClaims alábbiak szerint:

4. Csoportnév konfigurációjának megadása nem kötelező jogcímek.

   Ha azt szeretné, hogy a jogkivonat csoportjai tartalmazzák az opcionális jogcímek szakaszban szereplő helyszíni csoportattribútumokat, adja meg, hogy melyik jogkivonattípusra kell alkalmazni az opcionális jogcímet. Meg kell adnia a kért opcionális jogcím nevét és a kívánt egyéb tulajdonságokat is.

   Több jogkivonattípus is szerepelhet a listában:

   • idToken az OIDC-azonosító jogkivonatához
   • accessToken az OAuth hozzáférési jogkivonathoz
   • Saml2Token SAML-jogkivonatok esetén.

   A Saml2Token típus az SAML1.1 és az SAML2.0 formátumú jogkivonatokra is vonatkozik.

   Minden releváns jogkivonattípus esetében módosítsa a csoportok jogcímét úgy, hogy a optionalClaims jegyzékben szereplő szakaszt használja. A optionalClaims séma a következő:

   {
       "name": "groups",
       "source": null,
       "essential": false,
       "additionalProperties": []
   }
   

   Választható jogcímséma	Érték
   name	Kell groups
   source	Nincs használatban. Hagyja ki vagy adja meg a null értéket.
   essential	Nincs használatban. Hagyja ki vagy adja meg a hamis értéket.
   additionalProperties	Egyéb tulajdonságok listája. Az érvényes beállítások a következők: sam_account_name, dns_domain_and_sam_account_namenetbios_domain_and_sam_account_nameés emit_as_roles cloud_displayname.

   Csak additionalProperties az egyikben sam_account_namedns_domain_and_sam_account_namenetbios_domain_and_sam_account_name van szükség. Ha egynél több van jelen, az elsőt használja a rendszer, a többit pedig figyelmen kívül hagyja. Hozzáadhatja a felhőcsoport megjelenítendő nevének kibocsátásához is cloud_displayname . Ez a beállítás csak akkor működik, ha groupMembershipClaims be van állítva.ApplicationGroup

   Egyes alkalmazások csoportadatokat igényelnek a szerepkör-jogcímben szereplő felhasználóról. Ha csoportjogcímről szerepkör-jogcímre szeretné módosítani a jogcímtípust, adja hozzá emit_as_roles a következőhöz additionalProperties: A csoportértékek a szerepkör-jogcímben lesznek kibocsátva.

   Használat esetén emit_as_roles a felhasználó (vagy egy erőforrásalkalmazás) hozzárendelésére konfigurált alkalmazásszerepkörök nem szerepelnek a szerepkör-jogcímben.

Az alábbi példák a csoportjogcímek jegyzékkonfigurációját mutatják be:

Csoportok kibocsátása csoportnévként az OAuth hozzáférési jogkivonataiban dnsDomainName\sAMAccountName formátumban.

"optionalClaims": {
    "accessToken": [
        {
            "name": "groups",
            "additionalProperties": [
                "dns_domain_and_sam_account_name"
            ]
        }
    ]
}

Az SAML- és OIDC-azonosító jogkivonatokban szereplő szerepkör-jogcímként formázandó netbiosDomain\sAMAccountName csoportneveket bocsát ki.

"optionalClaims": {
    "saml2Token": [
        {
            "name": "groups",
            "additionalProperties": [
                "netbios_domain_and_sam_account_name",
                "emit_as_roles"
            ]
        }
    ],
    "idToken": [
        {
            "name": "groups",
            "additionalProperties": [
                "netbios_domain_and_sam_account_name",
                "emit_as_roles"
            ]
        }
    ]
}

Csoportneveket bocsát ki a helyszíni szinkronizált csoportok, valamint cloud_display a sam_account_name felhőcsoportok neveként SAML- és OIDC-azonosító jogkivonatokban az alkalmazáshoz rendelt csoportok számára.

"groupMembershipClaims": "ApplicationGroup",
"optionalClaims": {
    "saml2Token": [
        {
            "name": "groups",
            "additionalProperties": [
                "sam_account_name",
                "cloud_displayname"
            ]
        }
    ],
    "idToken": [
        {
            "name": "groups",
            "additionalProperties": [
                "sam_account_name",
                "cloud_displayname"
            ]
        }
    ]
}

Választható jogcímek – példa

A választható jogcímek engedélyezéséhez és konfigurálásához több lehetőség is rendelkezésre áll az alkalmazás identitáskonfigurációjának tulajdonságainak frissítésére:

• Használhatja az Azure Portalt
• Használhatja a jegyzékfájlt.
• Olyan alkalmazást is írhat, amely a Microsoft Graph API-t használja az alkalmazás frissítéséhez. A Microsoft Graph API referencia-útmutatójának OptionalClaims típusa segíthet az opcionális jogcímek konfigurálásában.

Az alábbi példában az Azure Portal és a jegyzék használatával opcionális jogcímeket adhat hozzá az alkalmazáshoz szánt hozzáférési, azonosító- és SAML-jogkivonatokhoz. A rendszer különböző opcionális jogcímeket ad hozzá minden olyan jogkivonathoz, amelyet az alkalmazás megkaphat:

• Az azonosító jogkivonatok teljes formában () tartalmazzák az összevont felhasználók UPN-ét.<upn>_<homedomain>#EXT#@<resourcedomain>
• A többi ügyfél által az alkalmazáshoz kért hozzáférési jogkivonatok tartalmazzák a jogcímet auth_time .
• Az SAML-jogkivonatok tartalmazzák a skypeId címtárséma-bővítményt (ebben a példában az alkalmazás alkalmazásazonosítója).ab603c56068041afb2f6832e2a17e237 Az SAML-jogkivonat a Skype-azonosítót extension_ab603c56068041afb2f6832e2a17e237_skypeIda következőképpen teszi elérhetővé: .

Jogcímek konfigurálása az Azure Portalon:

1. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni.
2. A Kezelés területen válassza a Jogkivonat-konfiguráció lehetőséget.
3. Válassza az Opcionális jogcím hozzáadása lehetőséget, válassza ki az azonosító jogkivonat típusát, válassza ki a jogcímek listájából a upn elemet, majd válassza a Hozzáadás lehetőséget.
4. Válassza az Opcionális jogcím hozzáadása lehetőséget, válassza ki az Access-jogkivonat típusát, válassza a auth_time lehetőséget a jogcímek listájából, majd válassza a Hozzáadás lehetőséget.
5. A Jogkivonat konfigurációja áttekintési képernyőn válassza a felfelé melletti ceruza ikont, válassza a Külső hitelesítésű kapcsolót, majd a Mentés lehetőséget.
6. Válassza az Opcionális jogcím hozzáadása lehetőséget, válassza ki az SAML-jogkivonat típusát, válassza az extn.skypeID elemet a jogcímek listájából (csak akkor, ha létrehozott egy Microsoft Entra felhasználói objektumot skypeID néven), majd válassza a Hozzáadás lehetőséget.

Jogcímek konfigurálása a jegyzékben:

1. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni.

2. A Kezelés területen válassza a Jegyzék elemet a beágyazott jegyzékszerkesztő megnyitásához.

3. Ezzel a szerkesztővel közvetlenül szerkesztheti a jegyzékfájlt. A jegyzék az Alkalmazás entitás sémáját követi, és automatikusan formázja a jegyzékfájlt a mentés után. A rendszer új elemeket ad hozzá a optionalClaims tulajdonsághoz.

   "optionalClaims": {
       "idToken": [
           {
               "name": "upn",
               "essential": false,
               "additionalProperties": [
                   "include_externally_authenticated_upn"
               ]
           }
       ],
       "accessToken": [
           {
               "name": "auth_time",
               "essential": false
           }
       ],
       "saml2Token": [
           {
               "name": "extension_ab603c56068041afb2f6832e2a17e237_skypeId",
               "source": "user",
               "essential": true
           }
       ]
   }
   

4. Ha végzett a jegyzék frissítésével, a jegyzék mentéséhez kattintson a Mentés gombra.

Kapcsolódó tartalom

• Hozzáférési jogkivonatok
• Alkalmazásjegyzék
• Azonosító jogkivonatok
• Választható jogcímek referenciája