Microsoft Identitásplatform azonosító jogkivonatai

Az azonosító jogkivonat az OpenID Connect által az OAuth 2.0-hoz használt alapvető bővítmény. Az azonosító jogkivonatokat az engedélyezési kiszolgáló bocsátja ki, és olyan jogcímeket tartalmaz, amelyek információkat tartalmaznak a felhasználóról. Ezek a hozzáférési jogkivonatok mellett vagy helyett is elküldhetők. Az azonosító jogkivonatokban található információk lehetővé teszik az ügyfél számára annak ellenőrzését, hogy egy felhasználó az, akinek állítja magát. Az azonosító jogkivonatokat külső alkalmazásoknak szánták. Az azonosító jogkivonatok nem használhatók engedélyezési célokra. A hozzáférési jogkivonatok az engedélyezéshez használatosak. Az azonosító jogkivonatok által biztosított jogcímek használhatók az alkalmazáson belüli UX-hoz, kulcsként egy adatbázisban, és hozzáférést biztosítanak az ügyfélalkalmazáshoz.

Előfeltételek

A következő cikk hasznos lesz a cikk elvégzése előtt:

Jogcímek azonosító jogkivonatban

Az azonosító jogkivonatok JSON webes jogkivonatok (JWT). Ezek az azonosító jogkivonatok fejlécből, hasznos adatból és aláírásból állnak. A fejléc és az aláírás a jogkivonat hitelességének ellenőrzésére szolgál, míg a hasznos adat tartalmazza az ügyfél által kért felhasználó adatait. Az 1.0-s és a 2.0-s verziójú azonosító jogkivonatok eltérő információkat hordoznak. A verzió azon a végponton alapul, ahonnan a kérést kérték. Bár a meglévő alkalmazások valószínűleg a Azure AD végpontot használják (1.0-s verzió), az új alkalmazásoknak a "Microsoft Identitásplatform" végpontot (2.0-s verzió) kell használniuk.

  • 1.0-s verzió: Azure AD végpont:https://login.microsoftonline.com/common/oauth2/authorize
  • 2.0-s verzió: Microsoft Identity Platform-végpont: https://login.microsoftonline.com/common/oauth2/v2.0/authorize

Minta 1.0-s verziójú azonosító jogkivonata

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IjdfWnVmMXR2a3dMeFlhSFMzcTZsVWpVWUlHdyIsImtpZCI6IjdfWnVmMXR2a3dMeFlhSFMzcTZsVWpVWUlHdyJ9.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.UJQrCA6qn2bXq57qzGX_-D3HcPHqBMOKDPx4su1yKRLNErVD8xkxJLNLVRdASHqEcpyDctbdHccu6DPpkq5f0ibcaQFhejQNcABidJCTz0Bb2AbdUCTqAzdt9pdgQvMBnVH1xk3SCM6d4BbT4BkLLj10ZLasX7vRknaSjE_C5DI7Fg4WrZPwOhII1dB0HEZ_qpNaYXEiy-o94UJ94zCr07GgrqMsfYQqFR7kn-mn68AjvLcgwSfZvyR_yIK75S_K37vC3QryQ7cNoafDe9upql_6pB2ybMVlgWPs_DmbJ8g0om-sPlwyn74Cc1tW3ze-Xptw_2uVdPgWyqfuWAfq6Q

Tekintse meg ezt az 1.0-s verziós minta jogkivonatot jwt.ms.

Minta 2.0-s verziójú azonosító jogkivonata

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IjFMVE16YWtpaGlSbGFfOHoyQkVKVlhlV01xbyJ9.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.1AFWW-Ck5nROwSlltm7GzZvDwUkqvhSQpm55TQsmVo9Y59cLhRXpvB8n-55HCr9Z6G_31_UbeUkoz612I2j_Sm9FFShSDDjoaLQr54CreGIJvjtmS3EkK9a7SJBbcpL1MpUtlfygow39tFjY7EVNW9plWUvRrTgVk7lYLprvfzw-CIqw3gHC-T7IK_m_xkr08INERBtaecwhTeN4chPC4W3jdmw_lIxzC48YoQ0dB1L9-ImX98Egypfrlbm0IBL5spFzL6JDZIRRJOu8vecJvj1mq-IUhGt0MacxX8jdxYLP-KUu2d9MbNKpCKJuZ7p8gwTL5B7NlUdh_dmSviPWrw

Tekintse meg ezt a 2.0-s verziós mintajogkivonatot jwt.ms.

Az alább felsorolt összes JWT-jogcím az 1.0-s és a 2.0-s verziójú jogkivonatokban is megjelenik, hacsak másként nem rendelkezik.

Fejlécjogcímek

Az alábbi táblázatban az azonosító jogkivonatokban található fejlécjogcímek láthatók.

Jogcím Formátum Leírás
typ Sztring – mindig "JWT" Azt jelzi, hogy a jogkivonat egy JWT-jogkivonat.
alg Sztring A jogkivonat aláírásához használt algoritmust jelzi. Példa: "RS256"
kid Sztring Megadja a jogkivonat aláírásának érvényesítéséhez használható nyilvános kulcs ujjlenyomatát. Az 1.0-s és a 2.0-s verziójú azonosító jogkivonatokban is kibocsátva.
x5t Sztring Ugyanazt a függvényt használja (használatban és értékben), mint a kid. x5t A egy örökölt jogcím, amely csak az 1.0-s verziójú azonosító jogkivonatokban van kibocsátva kompatibilitási célokból.

Hasznos adatok jogcíme

Az alábbi táblázat azokat a jogcímeket mutatja be, amelyek alapértelmezés szerint a legtöbb azonosító jogkivonatban szerepelnek (kivéve, ha fel vannak jegyezve). Az alkalmazás azonban opcionális jogcímekkel is kérhet további jogcímeket az azonosító jogkivonatában. A választható jogcímek a jogcímtől a groups felhasználó nevére vonatkozó információkig terjedhetnek.

Jogcím Formátum Leírás
aud Sztring, alkalmazásazonosító GUID azonosítója A jogkivonat kívánt címzettjének azonosítása. Ebben id_tokensa célközönség az alkalmazás alkalmazásazonosítója, amely hozzá van rendelve az alkalmazáshoz a Azure Portal. Ezt az értéket ellenőrizni kell. A jogkivonatot el kell utasítani, ha az nem felel meg az alkalmazás alkalmazásazonosítójának.
iss Sztring, kiállító URI-ja Azonosítja a jogkivonatot összeállító és visszaküldött kiállítót vagy "engedélyezési kiszolgálót". Azt a Azure AD bérlőt is azonosítja, amelyhez a felhasználót hitelesítették. Ha a jogkivonatot a 2.0-s verziójú végpont adta ki, az URI a következő lesz /v2.0: . Az a GUID, amely azt jelzi, hogy a felhasználó egy Microsoft-fiók felhasználói felhasználója.9188040d-6c67-4c5b-b112-36a304b66dad Az alkalmazásnak a jogcím GUID-részét kell használnia az alkalmazásba bejelentkezni képes bérlők halmazának korlátozására, ha vannak ilyenek.
iat int, Unix-időbélyeg A "Kibocsátás időpontja" azt jelzi, hogy mikor történt a jogkivonat hitelesítése.
idp Sztring, általában STS URI A jogkivonat alanyát hitelesítő identitásszolgáltatót adja meg. Ez az érték megegyezik a Kiállítói jogcím értékével, kivéve, ha a felhasználói fiók nem ugyanabban a bérlőben van, mint a kiállító – például vendégek. Ha a jogcím nincs jelen, az azt jelenti, hogy az érték iss használható helyette. A szervezeti környezetben használt személyes fiókok (például egy Azure AD-bérlőhöz meghívott személyes fiók) esetén a idp jogcím lehet "live.com" vagy a Microsoft-fiók bérlőt 9188040d-6c67-4c5b-b112-36a304b66dadtartalmazó STS URI.
nbf int, Unix-időbélyeg Az "nbf" (nem korábbi) jogcím azonosítja azt az időpontot, amely előtt a JWT NEM fogadható el feldolgozásra.
exp int, Unix-időbélyeg Az "exp" (lejárati idő) jogcím azt a lejárati időt azonosítja, amelyen vagy amely után a JWT nem fogadható el feldolgozásra. Fontos megjegyezni, hogy bizonyos körülmények között az erőforrások ezt megelőzően elutasíthatják a jogkivonatot. Ha például módosítani kell a hitelesítést, vagy jogkivonat-visszavonást észleltek.
c_hash Sztring A kódkivonat csak akkor szerepel az azonosító jogkivonatokban, ha az azonosító jogkivonatot OAuth 2.0 engedélyezési kóddal állítják ki. Egy engedélyezési kód hitelességének ellenőrzésére használható. Az ellenőrzés módjának megismeréséhez tekintse meg az OpenID Connect specifikációját.
at_hash Sztring A hozzáférési jogkivonat csak akkor szerepel az azonosító jogkivonatokban, ha az azonosító jogkivonatot oAuth 2.0 hozzáférési jogkivonattal bocsátják ki a /authorize végpontról. A hozzáférési jogkivonatok hitelességének ellenőrzésére használható. Az ellenőrzés módjának megismeréséhez tekintse meg az OpenID Connect specifikációját. Ez nem jelenik meg a végpont azonosító jogkivonatai esetén /token .
aio Átlátszatlan sztring Egy belső jogcím, amelyet a Azure AD használ a jogkivonatok újbóli felhasználására vonatkozó adatok rögzítéséhez. Figyelmen kívül kell hagyni.
preferred_username Sztring A felhasználót jelölő elsődleges felhasználónév. Ez lehet egy e-mail-cím, telefonszám vagy egy megadott formátum nélküli általános felhasználónév. Az értéke módosítható, és idővel változhat. Mivel ez nem módosítható, ezt az értéket nem szabad az engedélyezési döntések meghozatalához használni. Használható azonban felhasználónév-tippekhez, valamint az emberi olvasásra alkalmas felhasználói felületen felhasználónévként. A profile kérelem fogadására a hatókör szükséges. Csak 2.0-s verziós jogkivonatokban jelenik meg.
email Sztring A email jogcím alapértelmezés szerint jelen van az e-mail-címmel rendelkező vendégfiókok esetében. Az alkalmazás kérheti az e-mail-jogcímet a felügyelt felhasználók (az erőforrással azonos bérlőről származók) számára az emailopcionális jogcím használatával. A 2.0-s verziójú végponton az alkalmazás az OpenID Connect-hatókört is kérheti email – a jogcím lekéréséhez nem kell az opcionális jogcímet és a hatókört is kérnie.
name Sztring A name jogcím egy emberi olvasásra alkalmas értéket biztosít, amely azonosítja a jogkivonat tárgyát. Az érték nem garantáltan egyedi, módosítható, és csak megjelenítési célokra használható. A profile jogcím fogadásához a hatókör szükséges.
nonce Sztring A nonce megegyezik az identitásszolgáltatónak küldött eredeti /engedélyezési kérelemben szereplő paraméterrel. Ha nem egyezik, az alkalmazásnak el kell utasítania a jogkivonatot.
oid Sztring, GUID A Microsoft identitásrendszerében lévő objektumok nem módosítható azonosítója, ebben az esetben egy felhasználói fiók. Ez az azonosító egyedileg azonosítja a felhasználót az alkalmazások között – az egyazon felhasználóba bejelentkező két különböző alkalmazás ugyanazt az értéket kapja a oid jogcímben. A Microsoft Graph ezt az azonosítót adja vissza egy id adott felhasználói fiók tulajdonságaként. Mivel ez oid lehetővé teszi, hogy több alkalmazás is korrelálja a felhasználókat, a profile hatókör szükséges a jogcím fogadásához. Vegye figyelembe, hogy ha egyetlen felhasználó több bérlőben is létezik, a felhasználó minden bérlőben más objektumazonosítót fog tartalmazni – más fióknak számít, annak ellenére, hogy a felhasználó ugyanazokkal a hitelesítő adatokkal jelentkezik be mindegyik fiókba. A oid jogcím GUID azonosító, és nem használható fel újra.
roles Sztringek tömbje A bejelentkező felhasználóhoz rendelt szerepkörök halmaza.
rh Átlátszatlan sztring Az Azure által a jogkivonatok újraértékeléséhez használt belső jogcím. Figyelmen kívül kell hagyni.
sub Sztring Az a rendszerbiztonsági tag, amelyről a jogkivonat információkat állít be, például egy alkalmazás felhasználóját. Ez az érték nem módosítható, és nem rendelhető újra és nem használható fel újra. A tárgy egy párirányú azonosító – egyedi egy adott alkalmazásazonosítóhoz. Ha egy felhasználó két különböző alkalmazásba jelentkezik be két különböző ügyfél-azonosítóval, ezek az alkalmazások két különböző értéket kapnak a tulajdonosi jogcímhez. Ez az architektúrától és az adatvédelmi követelményektől függően lehet, hogy nem feltétlenül szükséges.
tid Sztring, GUID Azt a bérlőt jelöli, amelybe a felhasználó bejelentkezik. Munkahelyi és iskolai fiókok esetén a GUID annak a szervezetnek a nem módosítható bérlőazonosítója, amelybe a felhasználó bejelentkezik. A személyes Microsoft-fiók bérlőjéhez (például Xbox, Teams for Life vagy Outlook) való bejelentkezések esetén az érték 9188040d-6c67-4c5b-b112-36a304b66dad.
unique_name Sztring Csak 1.0-s verziós jogkivonatokban van jelen. A jogkivonat alanyát azonosító, ember által olvasható értéket ad meg. Ez az érték nem garantáltan egyedi a bérlőn belül, és csak megjelenítési célokra használható.
uti Sztring Jogkivonat-azonosító jogcím, amely egyenértékű jti a JWT-specifikációval. Egyedi, jogkivonatonkénti azonosító, amely megkülönbözteti a kis- és nagybetűt.
ver Sztring, 1.0 vagy 2.0 A id_token verzióját jelzi.
hasgroups Logikai Ha jelen van, mindig igaz, a felhasználó jelölése legalább egy csoportban van. A JWT-k csoportjogcíme helyett használva implicit engedélyezési folyamatokban, ha a teljes csoportjogcím az URL-cím hosszkorlátján (jelenleg 6 vagy több csoport) túlterjedne az URI-töredékre. Azt jelzi, hogy az ügyfélnek a Microsoft Graph API kell használnia a felhasználói csoportok (https://graph.microsoft.com/v1.0/users/{userID}/getMemberObjects) meghatározásához.
groups:src1 JSON-objektum Az olyan jogkivonat-kérelmek esetében, amelyek hossza nem korlátozott (lásd hasgroups fent), de még mindig túl nagy a jogkivonathoz, megjelenik a felhasználó teljes csoportlistájára mutató hivatkozás. Elosztott jogcímként a JWT-k esetében az SAML-hez a jogcím helyett groups új jogcímként.

Példa JWT-értékre:
"groups":"src1"
"_claim_sources: "src1" : { "endpoint" : "https://graph.microsoft.com/v1.0/users/{userID}/getMemberObjects" }

További információ: Csoportok túlhasználati jogcíme.

Jogcímek használata egy felhasználó megbízható azonosításához (tárgy- és objektumazonosító)

Amikor egy felhasználót azonosít (például megkeresi őket egy adatbázisban, vagy eldönti, hogy milyen engedélyekkel rendelkezik), fontos, hogy olyan információkat használjon, amelyek folyamatosan állandóak és egyediek maradnak. Az örökölt alkalmazások néha olyan mezőket használnak, mint az e-mail-cím, a telefonszám vagy az egyszerű felhasználónév. Ezek mind változhatnak az idő múlásával, és idővel újra felhasználhatók. Ha például egy alkalmazott megváltoztatja a nevét, vagy egy alkalmazottnak olyan e-mail-címet kap, amely megegyezik egy korábbi, már nem jelen lévő alkalmazott nevével. Ezért kritikus fontosságú, hogy az alkalmazás ne használjon emberi olvasásra alkalmas adatokat egy felhasználó azonosításához – az emberi olvashatóság általában azt jelenti, hogy valaki elolvassa és módosítani szeretné azokat. Ehelyett használja az OIDC szabvány által biztosított jogcímeket, vagy a Microsoft által biztosított bővítményjogcímeket – azokat és oid jogcímeketsub.

A felhasználónkénti információk helyes tárolásához használja sub vagy oid egyedül (amelyek GUID-ként egyediek), tid és szükség esetén útválasztásra vagy horizontális skálázásra használják. Ha adatokat kell megosztania a szolgáltatások között, az a legjobb megoldás, oid+tid ha minden alkalmazás ugyanazt oid és tid jogcímeket kapja meg egy adott bérlőben eljáró felhasználó számára. A sub Microsoft Identitásplatform jogcíme "párszintű" – a jogkivonat címzettjének, bérlőjének és felhasználójának kombinációja alapján egyedi. Ezért két alkalmazás, amely azonosító jogkivonatokat kér egy adott felhasználóhoz, eltérő sub jogcímeket kap, de ugyanazokat oid a jogcímeket az adott felhasználóhoz.

Megjegyzés

Ne használja a idp jogcímet egy felhasználó adatainak tárolására a felhasználók bérlők közötti korrelációjának megkísérlése során. Nem fog működni, mivel a oid felhasználók jogcímei és sub jogcímei a bérlők között megváltoznak, így biztosítva, hogy az alkalmazások ne tudják nyomon követni a felhasználókat a bérlők között.

A vendégforgatókönyvekben, ahol a felhasználó az egyik bérlőben található, és egy másikban hitelesít, úgy kell kezelnie a felhasználót, mintha teljesen új felhasználó lennének a szolgáltatásban. A Contoso-bérlőben lévő dokumentumok és jogosultságok nem alkalmazhatók a Fabrikam-bérlőben. Ez fontos a bérlők véletlen adatszivárgásának és az adatéletciklusok kényszerítésének megakadályozásához. Ha kizár egy vendéget egy bérlőből, akkor a bérlőben létrehozott adatokhoz való hozzáférését is el kell távolítania.

Csoporttúllépési jogcím

Annak érdekében, hogy a jogkivonat mérete ne haladja meg a HTTP-fejléc méretkorlátait, Azure AD korlátozza a jogcímben groups szereplő objektumazonosítók számát. Ha egy felhasználó több csoportnak is tagja, mint a túlhasználati korlát (SAML-jogkivonatok esetén 150, JWT-jogkivonatok esetén 200), akkor Azure AD nem bocsátja ki a csoportjogcímet a jogkivonatban. Ehelyett tartalmaz egy túlhasználati jogcímet a jogkivonatban, amely azt jelzi az alkalmazásnak, hogy lekérdezi a Microsoft Graph API a felhasználó csoporttagságának lekéréséhez.

{
  ...
  "_claim_names": {
   "groups": "src1"
    },
    {
  "_claim_sources": {
    "src1": {
        "endpoint":"[Url to get this user's group membership from]"
        }
       }
     }
  ...
}

Azonosító jogkivonatának élettartama

Az azonosító jogkivonat alapértelmezés szerint egy óráig érvényes – egy óra elteltével az ügyfélnek új azonosító jogkivonatot kell beszereznie.

Az azonosító jogkivonat élettartamának módosításával szabályozhatja, hogy az ügyfélalkalmazás milyen gyakran járjon le az alkalmazás munkamenetében, és hogy milyen gyakran kell a felhasználónak csendesen vagy interaktívan újra hitelesítenie magát. További információkért olvassa el a konfigurálható jogkivonatok élettartamát.

Azonosító jogkivonat érvényesítése

Az azonosító jogkivonat érvényesítése hasonló a hozzáférési jogkivonat érvényesítésének első lépéséhez. Az ügyfél ellenőrizheti, hogy illetéktelenül módosították-e a jogkivonatot. Emellett ellenőrizheti a kibocsátót, hogy a megfelelő kibocsátó küldte-e vissza a jogkivonatot. Mivel az azonosító jogkivonatok mindig JWT-jogkivonatok, számos kódtár létezik a jogkivonatok érvényesítéséhez – azt javasoljuk, hogy ezeket használja ahelyett, hogy saját maga hajtja volna létre. Vegye figyelembe, hogy csak a bizalmas (titkos kóddal rendelkező) ügyfelek ellenőrizhetik az azonosító tokeneket. A nyilvános alkalmazások (teljes egészében egy ön által nem felügyelt eszközön vagy hálózaton futó kód, például a felhasználó böngészője vagy otthoni hálózata) nem használhatják az azonosító jogkivonat érvényesítését. Ennek az az oka, hogy egy rosszindulatú felhasználó elfoghatja és szerkesztheti a jogkivonat érvényesítéséhez használt kulcsokat.

A jogkivonat manuális érvényesítéséhez tekintse meg a hozzáférési jogkivonat érvényesítésének lépéseit. A következő JWT-jogcímeket ellenőrizni kell az azonosító jogkivonatban, miután ellenőrizte az aláírást a jogkivonaton. Ezeket a jogcímeket a jogkivonat-érvényesítési kódtár is érvényesítheti:

  • Időbélyegek: a iat, nbf, és exp időbélyegek az aktuális idő előtt vagy után esnek, ha szükséges.
  • Célközönség: a aud jogcímnek meg kell egyeznie az alkalmazás alkalmazásazonosítójával.
  • Nonce: a nonce hasznos adatban lévő jogcímnek meg kell egyeznie a /authorize végpontnak a kezdeti kérés során átadott nemce paraméterrel.

Következő lépések