Címtárbővítmény-attribútumok használata jogcímekben

A címtárbővítmény-attribútumok, más néven Azure AD bővítmények lehetővé teszik további adatok tárolását az Azure Active Directoryban felhasználói objektumokon és más címtárobjektumokon, például csoportokon, bérlői adatokon és szolgáltatásneveken. Kizárólag a felhasználói objektumokhoz tartozó bővítményattribútumok használhatók arra, hogy jogcímeket bocsássanak ki alkalmazásokhoz. Ez a cikk a címtárbővítmény-attribútumok használatát ismerteti a felhasználói adatok tokenjogcímekben lévő alkalmazásoknak való küldéséhez.

Megjegyzés

A Microsoft Graph három további bővítménymechanizmust biztosít a Graph-objektumok testreszabásához. Ezek az 1–15. bővítményattribútumok, a nyitott bővítmények és a sémabővítmények. Részletekért tekintse meg a Microsoft Graph dokumentációját . A Microsoft Graph-objektumokon nyitott és sémabővítményeket használó adatok nem érhetők el jogcímek forrásaként a jogkivonatokban.

A címtárbővítmény-attribútumok mindig a bérlőben lévő alkalmazáshoz vannak társítva, és az alkalmazás appId azonosítója hivatkozik nevére.

A címtárbővítmény-attribútum azonosítója extension_xxxxxxxxx_AttributeName. Ahol az xxxxxxxxx annak az alkalmazásnak az appId azonosítója , amelynek a bővítményét definiálták, csak 0-9 és A-Z karakterekkel.

Címtárbővítmények regisztrálása és használata

A címtárbővítmény-attribútumok kétféleképpen regisztrálhatók és tölthetők fel:

Jogcímek kibocsátása az AD Connecttel létrehozott címtárbővítmény-attribútumokból származó adatokkal

Az AD Connect használatával létrehozott és szinkronizált címtárbővítmény-attribútumok mindig az AD Connect által használt alkalmazásazonosítóhoz vannak társítva. A jogcímek forrásaként egyaránt használhatók, ha jogcímként konfigurálja őket a Portál felhasználói felületén a Katalógus vagy a Katalóguson kívüli alkalmazáskonfigurációs felületen a Vállalati alkalmazások területen regisztrált SAML-alkalmazásokhoz, valamint egy jogcímleképezési szabályzattal az alkalmazásregisztrációs felületen regisztrált alkalmazásokhoz. Ha az AD Connecten keresztül létrehozott címtárbővítmény-attribútum bekerül a könyvtárba, megjelenik az SAML SSO jogcímkonfigurációs felhasználói felületén.

Jogcímek kibocsátása egy alkalmazáshoz létrehozott címtárbővítmény-attribútumokból származó adatokkal a Graph vagy a PowerShell használatával

Ha egy címtárbővítmény-attribútum regisztrálva van egy alkalmazáshoz a Microsoft Graph vagy a PowerShell használatával (például egy alkalmazás kezdeti beállítási vagy kiépítési lépésével), ugyanaz az alkalmazás konfigurálható az Azure Active Directoryban úgy, hogy az adott attribútumban lévő adatokat fogadja egy jogcím felhasználói objektumából, amikor a felhasználó bejelentkezik. Az alkalmazás konfigurálható úgy, hogy a címtárbővítményekben olyan adatokat fogadjon, amelyek ugyanahhoz az alkalmazáshoz vannak regisztrálva opcionális jogcímek használatával. Ezek az alkalmazásjegyzékben állíthatók be. Ez lehetővé teszi, hogy egy több-bérlős alkalmazás saját használatra regisztrálja a címtárbővítmény-attribútumokat. Amikor az alkalmazást egy bérlőben helyezik üzembe, a társított címtárbővítmények elérhetővé válnak a bérlő felhasználói számára, és használatba vehetők lesznek. Miután konfigurálta a bérlőben, és megadta a hozzájárulást, az adatok gráfon keresztüli tárolására és lekérésére, valamint az alkalmazásoknak kibocsátott Microsoft Identitásplatform által kibocsátott jogcímekre való leképezésre használható.

A címtárbővítmény-attribútumok bármely alkalmazáshoz regisztrálhatók és feltölthetők.

Ha egy alkalmazásnak egy másik alkalmazásban regisztrált bővítményattribútum adataival kell jogcímeket küldenie, a jogcímleképezési szabályzattal le kell képezni a bővítményattribútumot a jogcímre. A címtárbővítmény-attribútumok kezelésének gyakori mintája egy alkalmazás létrehozása, amely kifejezetten a szükséges címtárbővítmények regisztrálási pontja. Nem kell valódi alkalmazásnak lennie, és ez a technika azt jelenti, hogy minden bővítménynek ugyanaz az appID azonosítója a nevükben.

Íme például egy jogcímleképezési szabályzat, amely egyetlen jogcímet bocsát ki egy címtárbővítmény-attribútumból egy OAuth/OIDC-jogkivonatban:

{
    "ClaimsMappingPolicy": {
        "Version": 1,
        "IncludeBasicClaimSet": "false",
        "ClaimsSchema": [{
                "Source": "User",
                "ExtensionID": "extension_xxxxxxx_test",
                "JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
            },
        ]
    }
}

Ahol az xxxxxxx annak az alkalmazásnak az appID azonosítója (vagy ügyfél-azonosítója), amellyel a bővítmény regisztrálva lett.

Figyelmeztetés

Amikor jogcímleképezési szabályzatot határoz meg egy címtárbővítmény-attribútumhoz, a ExtensionID tulajdonságot használja a ID tömb törzsében ClaimsSchema lévő tulajdonság helyett, ahogy az a fenti példában is látható.

Tipp

A kis- és nagybetűk konzisztenciája fontos a címtárbővítmény-attribútumok objektumokon való beállításakor. A bővítményattribútumok nevei nem érzékenyek a beállításkor, de megkülönböztetik a kis- és nagybetűket, amikor a jogkivonat-szolgáltatás beolvassa őket a címtárból. Ha egy bővítményattribútum egy "LegacyId" nevű felhasználói objektumon és egy másik, "legacyid" nevű felhasználói objektumon van beállítva, az attribútum "LegacyId" nevű jogcímre való leképezése esetén a rendszer sikeresen lekéri az adatokat, és az első felhasználó jogkivonatában szereplő jogcímet, a másodikat azonban nem.

Következő lépések