Címtárkiterjesztési attribútumok jogcímekben
A címtárbővítmény-attribútumok lehetővé teszik további adatok tárolását a címtárobjektumokon, például a felhasználókon. Kizárólag a felhasználói objektumokhoz tartozó bővítményattribútumok használhatók arra, hogy jogcímeket bocsássanak ki alkalmazásokhoz. Ez a cikk azt ismerteti, hogyan használhatók a címtárbővítmény-attribútumok a felhasználói adatok jogkivonat-jogcímekben lévő alkalmazásokba való küldéséhez.
Feljegyzés
A Microsoft Graph három további bővítménymechanizmust biztosít a Graph-objektumok testreszabásához. Ezek az 1–15-ös bővítményattribútumok, a nyitott bővítmények és a sémabővítmények. A részletekért tekintse meg a Microsoft Graph dokumentációját. A Microsoft Graph-objektumokon nyitott és sémabővítményeket használó adatok nem érhetők el a jogkivonatokban lévő jogcímek forrásaként.
A címtárbővítmény-attribútumok mindig egy alkalmazáshoz vannak társítva a bérlőben. A címtárattribútum neve tartalmazza az alkalmazás appId azonosítóját a nevében.
A címtárbővítmény attribútumának azonosítója az űrlap extension_xxxxxxxxx_AttributeName
. Hol xxxxxxxxx
található annak az alkalmazásnak az appId azonosítója , amelyhez a bővítményt definiálták, csak 0-9 és A-Z karakterekkel.
Címtárbővítmények regisztrálása és használata
Címtárbővítmény-attribútumok regisztrálása az alábbi módok egyikével:
- Konfigurálja a Microsoft Entra Csatlakozás létrehozására és a helyszíni adatok szinkronizálására. Lásd: Microsoft Entra Csatlakozás Sync Directory Extensions.
- A Microsoft Graph használatával regisztrálhatja, beállíthatja és olvashatja a címtárbővítmények értékeit. PowerShell-parancsmagok is elérhetők.
Jogcímek kibocsátása a Microsoft Entra Csatlakozás adataival
A Microsoft Entra Csatlakozás használatával létrehozott és szinkronizált címtárkiterjesztési attribútumok mindig a Microsoft Entra Csatlakozás által használt alkalmazásazonosítóhoz vannak társítva. Ezek az attribútumok a jogcímek forrásaként is használhatók, ha jogcímként konfigurálják őket a Portál Nagyvállalati alkalmazások konfigurációjában. Miután létrejött egy címtárbővítmény-attribútum az AD Csatlakozás használatával, megjelenik az SAML SSO jogcímkonfigurációjában.
Jogcímek kibocsátása a Graph vagy a PowerShell használatával
Ha egy címtárkiterjesztési attribútum regisztrálva van a Microsoft Graph vagy a PowerShell használatához, az alkalmazás konfigurálható úgy, hogy az adott attribútumban adatokat fogadjon, amikor a felhasználó bejelentkezik. Az alkalmazás konfigurálható úgy, hogy az alkalmazásjegyzékben beállítható opcionális jogcímek használatával fogadjon adatokat az alkalmazásban regisztrált címtárkiterjesztésekben.
A több-bérlős alkalmazások ezután saját használatra regisztrálhatják a címtárbővítmény-attribútumokat. Amikor az alkalmazás ki van építve egy bérlőben, a társított címtárbővítmények elérhetővé válnak és használatba vehetők az adott bérlő felhasználói számára. Miután a címtárbővítmény elérhetővé válik, adatok tárolására és lekérésére használható a Microsoft Graph használatával. A címtárbővítmény a Microsoft Identitásplatform által az alkalmazásoknak kibocsátott jogkivonatokban lévő jogcímekhez is megfeleltethető.
Ha egy alkalmazásnak egy másik alkalmazásban regisztrált bővítményattribútum adataival kell jogcímeket küldenie, egy jogcímleképezési szabályzatot kell használni a bővítményattribútum jogcímhez való leképezéséhez.
A címtárbővítmény-attribútumok kezelésének gyakori mintája, hogy egy alkalmazást kifejezetten az összes szükséges címtárkiterjesztéshez regisztrál. Ha ilyen típusú alkalmazást használ, az összes bővítmény ugyanazzal az appID azonosítóval rendelkezik a nevükben.
Az alábbi kód például egy jogcímleképezési szabályzatot mutat be, amely egyetlen jogcímet bocsát ki egy címtárkiterjesztési attribútumból egy OAuth/OIDC-jogkivonatban:
{
"ClaimsMappingPolicy": {
"Version": 1,
"IncludeBasicClaimSet": "false",
"ClaimsSchema": [{
"Source": "User",
"ExtensionID": "extension_xxxxxxx_test",
"JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
},
]
}
}
Hol xxxxxxx
található annak az alkalmazásnak az appID azonosítója (vagy ügyfélazonosítója), amellyel a bővítmény regisztrálva lett.
Figyelmeztetés
Amikor jogcímleképezési szabályzatot határoz meg egy címtárkiterjesztési attribútumhoz, használja a ExtensionID
tulajdonságot a ID
tömb törzsében ClaimsSchema
lévő tulajdonság helyett, ahogy az az előző példában is látható.
Tipp.
A kis- és nagybetűk konzisztenciája akkor fontos, ha címtárkiterjesztési attribútumokat állít be az objektumokon. A bővítményattribútumok nevei nem érzékenyek a kis- és nagybetűkre a beállításkor, de kis- és nagybetűk megkülönböztetik őket, amikor a jogkivonat-szolgáltatás beolvassa őket a címtárból. Ha egy bővítményattribútum "LegacyId" nevű felhasználói objektumon és egy másik " legacyid" nevű felhasználói objektumon van beállítva, az attribútum "LegacyId" nevű jogcímhez való hozzárendelése esetén a rendszer sikeresen lekéri az adatokat, és az első felhasználó jogkivonatában szereplő jogcímet, de a másodikat nem.
Következő lépések
- Megtudhatja, hogyan szabhatja testre egy adott alkalmazás jogkivonataiban kibocsátott jogcímeket.