Jogcímleképezési szabályzat típusa

A Azure AD házirendobjektum az egyes alkalmazásokra vagy a szervezet összes alkalmazására érvényes szabályok halmazát jelöli. Minden szabályzattípus egyedi struktúrával rendelkezik, amely tulajdonságokat alkalmaz azokra az objektumokra, amelyekhez hozzá vannak rendelve.

A jogcímleképezési szabályzatok olyan szabályzatobjektumok , amelyek módosítják az adott alkalmazásokhoz kibocsátott jogkivonatokban kibocsátott jogcímeket .

Jogcímkészletek

Vannak bizonyos jogcímkészletek, amelyek meghatározzák, hogyan és mikor használják őket a jogkivonatokban.

Jogcímkészlet Description
Alapszintű jogcímkészlet A szabályzattól függetlenül minden jogkivonatban jelen vannak. Ezek a jogcímek szintén korlátozottnak minősülnek, és nem módosíthatók.
Alapszintű jogcímkészlet Tartalmazza a jogkivonatokhoz alapértelmezés szerint kibocsátott jogcímeket (az alapvető jogcímkészleten kívül). Az alapszintű jogcímeket a jogcímleképezési szabályzatok használatával hagyhatja ki vagy módosíthatja .
Korlátozott jogcímkészlet Szabályzattal nem módosítható. Az adatforrás nem módosítható, és a jogcímek létrehozásakor nem alkalmaztak átalakítást.

Ez a szakasz a következő listákat sorolja fel:

1. táblázat: JSON webes jogkivonat (JWT) korlátozott jogcímkészlete

Megjegyzés

A "xms_" kezdetű jogcímek korlátozottak.

Jogcím típusa (név)
.
_claim_names
_claim_sources
aai
access_token
account_type
Acct
acr
acrs
Színész
korcsoport
Aio
altsecid
Amr
app_chain
app_displayname
app_res
appctx
appctxsender
Appid
appidacr
at_hash
auth_time
azp
azpacr
c_hash
ca_enf
ca_policy_result
capolids_latebind
capolids
cc
cnf
code
controls_auds
vezérlők
credential_keys
ctry
Deviceid
domain_dns_name
domain_netbios_name
e_exp
e-mail
endpoint
enfpolids
expires_on
fido_auth_data
fwd_appidacr
Fwd
Grafikon
group_sids
csoportok
hasgroups
haswids
home_oid
home_puid
home_tid
identityprovider
Idp
idtyp
in_corp
Példány
inviteTicket
ipaddr
isbrowserhostedapp
isViral
login_hint
mam_compliance_url
mam_enrollment_url
mam_terms_of_use_url
mdm_compliance_url
mdm_enrollment_url
mdm_terms_of_use_url
msproxy
nameid
Felhasználónév
nemce
Oid
on_prem_id
onprem_sam_account_name
onprem_sid
openid2_id
origin_header
platf
polids
pop_jwk
preferred_username
primary_sid
prov_data
puid
pwd_exp
pwd_url
rdp_bt
refresh_token_issued_on
refreshtoken
Rh
szerepkörök
rt_type
Scp
secaud
Sid
Sid
signin_state
source_anchor
src1
src2
Al
target_deviceid
tbid
tbidv2
tenant_ctry
tenant_display_name
tenant_region_scope
tenant_region_sub_scope
thumbnail_photo
Tid
tokenAutologonEnabled
trustedfordelegation
Ttr
unique_name
Upn
user_setting_sync_url
Uti
Ver
verified_primary_email
verified_secondary_email
vnet
wamcompat_client_info
wamcompat_id_token
wamcompat_scopes
wids
xcb2b_rclient
xcb2b_rcloud
xcb2b_rtenant
ztdid

2. táblázat: KORLÁTOZOTT SAML-jogcímkészlet

Az alábbi táblázat azokat az SAML-jogcímeket sorolja fel, amelyek alapértelmezés szerint a korlátozott jogcímkészletben találhatók.

Jogcím típusa (URI)
http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
http://schemas.microsoft.com/2014/03/psso
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
http://schemas.microsoft.com/claims/authnmethodsreferences
http://schemas.microsoft.com/claims/groups.link
http://schemas.microsoft.com/identity/claims/accesstoken
http://schemas.microsoft.com/identity/claims/acct
http://schemas.microsoft.com/identity/claims/agegroup
http://schemas.microsoft.com/identity/claims/aio
http://schemas.microsoft.com/identity/claims/identityprovider
http://schemas.microsoft.com/identity/claims/objectidentifier
http://schemas.microsoft.com/identity/claims/openid2_id
http://schemas.microsoft.com/identity/claims/puid
http://schemas.microsoft.com/identity/claims/tenantid
http://schemas.microsoft.com/identity/claims/xms_et
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
http://schemas.microsoft.com/ws/2008/06/identity/claims/role
http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Ezek a jogcímek alapértelmezés szerint korlátozottak, de nem korlátozottak, ha az AcceptMappedClaims tulajdonságottrue az alkalmazásjegyzékben állítja be , vagyegyéni aláíró kulccsal rendelkezik:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

Ezek a jogcímek alapértelmezés szerint korlátozottak, de nem korlátozottak, ha egyéni aláírókulccsal rendelkezik:

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Jogcímleképezési szabályzat tulajdonságai

A jogcímleképezési szabályzat tulajdonságaival szabályozhatja, hogy mely jogcímek és honnan származnak az adatok. Ha nincs beállítva szabályzat, a rendszer olyan jogkivonatokat bocsát ki, amelyek tartalmazzák az alapjogcímkészletet, az alapszintű jogcímkészletet és az alkalmazás által fogadott opcionális jogcímeket .

Megjegyzés

Az alapjogcímkészletben lévő jogcímek minden jogkivonatban megtalálhatók, függetlenül attól, hogy mire van beállítva ez a tulajdonság.

Alapszintű jogcímkészlet belefoglalása

Karakterlánc: IncludeBasicClaimSet

Adattípus: Logikai (igaz vagy hamis)

Összefoglaló: Ez a tulajdonság határozza meg, hogy az alapszintű jogcímkészlet szerepel-e a szabályzat által érintett jogkivonatokban.

  • Ha Igaz értékre van állítva, az alapszintű jogcímkészletben lévő összes jogcím a szabályzat által érintett jogkivonatokban lesz kibocsátva.
  • Ha False (Hamis) értékre van állítva, az alapszintű jogcímkészletben lévő jogcímek nem szerepelnek a jogkivonatokban, kivéve, ha egyenként vannak hozzáadva ugyanannak a szabályzatnak a jogcímséma-tulajdonságához.

Jogcímséma

Karakterlánc: ClaimsSchema

Adattípus: JSON-blob egy vagy több jogcímséma-bejegyzéssel

Összefoglaló: Ez a tulajdonság határozza meg, hogy mely jogcímek szerepelnek a szabályzat által érintett jogkivonatokban az alapszintű jogcímkészleten és az alapvető jogcímkészleten kívül. A tulajdonságban definiált jogcímséma-bejegyzésekhez bizonyos információkra van szükség. Adja meg, hogy az adatok honnan származnak (Érték, Forrás/azonosító pár vagy Forrás/Bővítményazonosító pár), és hogy az adatok melyik jogcímként vannak kibocsátva (Jogcím típusa).

Jogcímséma-bejegyzés elemei

Érték: Az Érték elem statikus értéket határoz meg a jogcímben kibocsátandó adatokként.

SAMLNameFormat: Az SAML Name Format tulajdonság a jogcím "NameFormat" attribútumának értékét adja meg. Ha jelen van, az engedélyezett értékek a következők:

  • urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
  • urn:oasis:names:tc:SAML:2.0:attrname-format:uri
  • urn:oasis:names:tc:SAML:2.0:attrname-format:basic

Forrás/azonosító pár: A Forrás és azonosító elemek határozzák meg, hogy a jogcímben lévő adatok honnan származnak.

Forrás/ExtensionID pár: A Forrás és az ExtensionID elem határozza meg azt a könyvtárbővítmény-attribútumot, amelyből a jogcímben lévő adatok származnak. További információ: Címtárbővítmény-attribútumok használata jogcímekben.

Állítsa a Forrás elemet a következő értékek egyikére:

  • "user": A jogcímben lévő adatok a User objektum egyik tulajdonsága.
  • "application": A jogcímben szereplő adatok az alkalmazás (ügyfél) szolgáltatásnév egyik tulajdonsága.
  • "resource": A jogcímben szereplő adatok az erőforrás-szolgáltatásnév tulajdonsága.
  • "célközönség": A jogcímben szereplő adatok a jogkivonat célközönségét képező szolgáltatásnév tulajdonságai (az ügyfél vagy az erőforrás-szolgáltatásnév).
  • "vállalat": A jogcímben szereplő adatok az erőforrás-bérlő Cég objektumának egy tulajdonsága.
  • "átalakítás": A jogcímben szereplő adatok jogcímátalakításból származnak (lásd a cikk későbbi, Jogcímátalakítás című szakaszát).

Ha a forrás átalakítás, a Átalakítási azonosító elemet is bele kell foglalni ebbe a jogcímdefinícióba.

Az ID elem azonosítja, hogy a forrás melyik tulajdonsága adja meg a jogcím értékét. Az alábbi táblázat a Forrás minden értékére érvényes azonosító értékeket sorolja fel.

Figyelmeztetés

Jelenleg az egyetlen elérhető többértékű jogcímforrás egy felhasználói objektumon az AADConnectből szinkronizált többértékű bővítményattribútumok. Más tulajdonságok, például az OtherMails és a címkék többértékűek, de forrásként való kijelöléskor csak egy érték lesz kibocsátva.

3. táblázat: Érvényes azonosítóértékek forrásonként

Forrás ID (Azonosító) Description
Felhasználó surname Családnév
Felhasználó givenname utónév;
Felhasználó Displayname Megjelenítendő név
Felhasználó objectid ObjectID
Felhasználó Levelezés E-mail-cím
Felhasználó userprincipalname Felhasználó egyszerű neve
Felhasználó Részleg Részleg
Felhasználó onpremisessamaccountname Helyszíni SAM-fiók neve
Felhasználó netbiosname NetBios neve
Felhasználó dnsdomainname DNS-tartománynév
Felhasználó onpremisesecurityidentifier Helyszíni biztonsági azonosító
Felhasználó companyname Szervezetnév
Felhasználó streetaddress Utca, házszám
Felhasználó irányítószám Irányítószám
Felhasználó preferredlanguage Előnyben részesített nyelv
Felhasználó onpremisesuserprincipalname Helyszíni UPN
Felhasználó mailnickname E-mail becenév
Felhasználó extensionattribute1 1. bővítményattribútum
Felhasználó extensionattribute2 2. bővítményattribútum
Felhasználó extensionattribute3 3. bővítményattribútum
Felhasználó extensionattribute4 4. bővítményattribútum
Felhasználó extensionattribute5 5. bővítményattribútum
Felhasználó extensionattribute6 6. bővítményattribútum
Felhasználó extensionattribute7 7. bővítményattribútum
Felhasználó extensionattribute8 8. bővítményattribútum
Felhasználó extensionattribute9 9. bővítményattribútum
Felhasználó extensionattribute10 10. bővítményattribútum
Felhasználó extensionattribute11 Bővítményattribútum 11
Felhasználó extensionattribute12 Bővítményattribútum 12
Felhasználó extensionattribute13 Bővítményattribútum 13
Felhasználó extensionattribute14 Bővítményattribútum 14
Felhasználó extensionattribute15 Bővítményattribútum 15
Felhasználó egyéb e-mail Egyéb levelek
Felhasználó ország Ország/régió
Felhasználó city City
Felhasználó állapot Állapot
Felhasználó jobtitle Beosztás
Felhasználó employeeid Alkalmazott azonosítója
Felhasználó facsimiletelephonenumber Telefakszimile telefonszám
Felhasználó assignedroles a felhasználóhoz rendelt alkalmazásszerepkörök listája
Felhasználó accountEnabled Fiók engedélyezve
Felhasználó consentprovidedforminor A kismértékű hozzájárulás megadva
Felhasználó createddatetime Létrehozás dátuma/időpontja
Felhasználó creationtype Létrehozás típusa
Felhasználó lastpasswordchangedatetime Legutóbbi jelszóváltoztatás dátuma/időpontja
Felhasználó mobiltelefon Mobiltelefonszám
Felhasználó officelocation Office-hely
Felhasználó onpremisesdomainname Helyszíni tartománynév
Felhasználó onpremisesimmutableid Helyszíni nem módosítható azonosító
Felhasználó onpremisessyncenabled Helyszíni szinkronizálás engedélyezve
Felhasználó preferreddatalocation Előnyben részesített adathely
Felhasználó proxyaddresses Proxycímek
Felhasználó usertype Felhasználó típusa
Felhasználó telephonenumber Business Phone /Office Phone
alkalmazás, erőforrás, célközönség Displayname Megjelenítendő név
alkalmazás, erőforrás, célközönség objectid ObjectID
alkalmazás, erőforrás, célközönség tags Szolgáltatásnév címkéje
Vállalat tenantcountry Bérlő országa/régiója

Átalakítási azonosító: A TransformationID elemet csak akkor kell megadni, ha a Forrás elem "átalakítás" értékre van állítva.

  • Ennek az elemnek meg kell egyeznie a jogcímhez tartozó adatok létrehozásának módját meghatározó ClaimsTransformation tulajdonság átalakítási bejegyzésének azonosító elemével.

Jogcím típusa: A JwtClaimType és a SamlClaimType elemek határozzák meg, hogy melyik jogcímre hivatkozik ez a jogcímséma-bejegyzés.

  • A JwtClaimType tulajdonságnak tartalmaznia kell a JWT-ben kibocsátandó jogcím nevét.
  • A SamlClaimType tulajdonságnak tartalmaznia kell az SAML-jogkivonatokban kibocsátandó jogcím URI-ját.
  • onPremisesUserPrincipalName attribútum: Alternatív azonosító használata esetén a userPrincipalName helyszíni attribútum szinkronizálva lesz az onPremisesUserPrincipalName Azure AD attribútummal. Ez az attribútum csak akkor érhető el, ha alternatív azonosító van konfigurálva, de az MS Graph Bétaverzión keresztül is elérhető: https://graph.microsoft.com/beta/me/.

Megjegyzés

A korlátozott jogcímkészletben lévő jogcímek nevei és URI-i nem használhatók a jogcímtípus elemeihez. További információt a cikk későbbi, "Kivételek és korlátozások" című szakaszában talál.

Csoportszűrő

Karakterlánc: GroupFilter

Adattípus: JSON-blob

Összefoglaló: Ezzel a tulajdonságpal szűrőt alkalmazhat a csoportjogcímbe felvenni kívánt felhasználói csoportokra. Ez hasznos eszköz lehet a jogkivonat méretének csökkentésére.

MatchOn: A MatchOn tulajdonság azonosítja azt a csoportattribútumot, amelyre alkalmazni szeretné a szűrőt.

Állítsa a MatchOn tulajdonságot a következő értékek egyikére:

  • "displayname": A csoport megjelenítendő neve.
  • "samaccountname": A helyszíni SAM-fiók neve

Típus: A Type (Típus) tulajdonság kiválasztja a MatchOn tulajdonság által kiválasztott attribútumra alkalmazni kívánt szűrő típusát.

Állítsa a Type (Típus) tulajdonságot a következő értékek egyikére:

  • "előtag": Olyan csoportok belefoglalása, ahol a MatchOn tulajdonság a megadott Érték tulajdonsággal kezdődik.
  • "utótag": Olyan csoportokat is felvehet, ahol a MatchOn tulajdonság a megadott Érték tulajdonsággal végződik.
  • "contains": Belefoglalja azokat a csoportokat, ahol a MatchOn tulajdonság a megadott Value tulajdonsággal rendelkezik.

Jogcím-átalakítás

Karakterlánc: ClaimsTransformation

Adattípus: JSON-blob egy vagy több átalakítási bejegyzéssel

Összefoglaló: Ezzel a tulajdonságkal gyakori átalakításokat alkalmazhat a forrásadatokra a jogcímsémában megadott jogcímek kimeneti adatainak létrehozásához.

ID: Az ID elem használatával hivatkozzon erre az átalakítási bejegyzésre a TransformationID Jogcímséma bejegyzésben. Ennek az értéknek egyedinek kell lennie a házirend minden egyes átalakítási bejegyzéséhez.

TransformationMethod: Az TransformationMethod elem azonosítja, hogy a rendszer melyik műveletet hajtja végre a jogcím adatainak létrehozásához.

A választott módszer alapján bemenetek és kimenetek készlete várható. A bemeneteket és kimeneteket az InputClaims, az InputParameters és az OutputClaims elemek használatával határozhatja meg.

4. táblázat: Átalakítási módszerek és várt bemenetek és kimenetek

TransformationMethod Várt bemenet Várt kimenet Description
Csatlakozás sztring1, sztring2, elválasztó outputClaim A bemeneti sztringeket egy elválasztóval illeszti be a kettő közé. Például: string1:"foo@bar.com" , string2:"sandbox" , separator:"." results in outputClaim:"foo@bar.com.sandbox"
ExtractMailPrefix Email vagy UPN kinyert sztring ExtensionAttributes 1-15 vagy bármely más címtárbővítmény, amely a felhasználó upn- vagy e-mail-címértékét tárolja, például johndoe@contoso.com: . Kinyeri egy e-mail-cím helyi részét. Például: mail:"foo@bar.com" eredménye outputClaim:"foo". Ha nincs @ jel, akkor a rendszer az eredeti bemeneti sztringet adja vissza.

InputClaims: Használja az InputClaims elemet a jogcímséma-bejegyzés adatainak transzformációba való továbbításához. Három attribútuma van: ClaimTypeReferenceId, TransformationClaimType és TreatAsMultiValue

  • A ClaimTypeReferenceId a jogcímséma bejegyzés azonosítóelemével van összekapcsolva a megfelelő bemeneti jogcím megkereséséhez.
  • A TransformationClaimType használatával egyedi nevet adhat ennek a bemenetnek. Ennek a névnek meg kell egyeznie az átalakítási módszer várt bemeneteinek egyikével.
  • A TreatAsMultiValue egy logikai jelző, amely azt jelzi, hogy az átalakítást minden értékre vagy csak az elsőre kell-e alkalmazni. Alapértelmezés szerint az átalakítások csak a többértékű jogcímek első elemére lesznek alkalmazva, ha ezt az értéket igaz értékre állítja, ez biztosítja az összesre való alkalmazását. A ProxyAddresses és a csoportok két példa a bemeneti jogcímekre, amelyeket valószínűleg több értékként szeretne kezelni.

Bemenetiparaméterek: Egy InputParameters elem használatával adjon át egy állandó értéket egy transzformációnak. Két attribútuma van: Érték és azonosító.

  • Az érték az átadandó tényleges állandó érték.
  • Az azonosítóval egyedi nevet adhat a bemenetnek. A névnek meg kell egyeznie az átalakítási módszer várt bemeneteinek egyikével.

OutputClaims: Használja az OutputClaims elemet az átalakítás által létrehozott adatok tárolásához, és kösse hozzá egy jogcímséma-bejegyzéshez. Két attribútuma van: ClaimTypeReferenceId és TransformationClaimType.

  • A ClaimTypeReferenceId a jogcímséma bejegyzés azonosítójával van összekapcsolva a megfelelő kimeneti jogcím megkereséséhez.
  • A TransformationClaimType használatával egyedi nevet adhat a kimenetnek. A névnek meg kell egyeznie az átalakítási módszer várt kimeneteinek egyikével.

Kivételek és korlátozások

SAML nameID és UPN: Az attribútumok, amelyekből a NameID- és UPN-értékeket, valamint az engedélyezett jogcímátalakításokat forrásként adja meg, korlátozottak. Az engedélyezett értékek megtekintéséhez tekintse meg az 5. és a 6. táblázatot.

5. táblázat: Az SAML NameID adatforrásaként engedélyezett attribútumok

Forrás ID (Azonosító) Description
Felhasználó Levelezés E-mail-cím
Felhasználó userprincipalname Felhasználó egyszerű neve
Felhasználó onpremisessamaccountname Helyszíni Sam-fiók neve
Felhasználó employeeid Alkalmazott azonosítója
Felhasználó telefonszám Vállalati telefonok / Office Phone-telefonok
Felhasználó extensionattribute1 1. bővítményattribútum
Felhasználó extensionattribute2 2. bővítményattribútum
Felhasználó extensionattribute3 3. bővítményattribútum
Felhasználó extensionattribute4 4. bővítményattribútum
Felhasználó extensionattribute5 5. bővítményattribútum
Felhasználó extensionattribute6 6. bővítményattribútum
Felhasználó extensionattribute7 7. bővítményattribútum
Felhasználó extensionattribute8 8. bővítményattribútum
Felhasználó extensionattribute9 Bővítményattribútum 9
Felhasználó extensionattribute10 10. bővítményattribútum
Felhasználó extensionattribute11 Bővítményattribútum 11
Felhasználó extensionattribute12 Bővítményattribútum 12
Felhasználó extensionattribute13 Bővítményattribútum 13
Felhasználó extensionattribute14 Bővítményattribútum 14
Felhasználó extensionattribute15 Bővítményattribútum 15

6. táblázat: Az SAML NameID-hez engedélyezett átalakítási módszerek

TransformationMethod Korlátozások
ExtractMailPrefix None
Csatlakozás Az összekapcsolt utótagnak az erőforrás-bérlő ellenőrzött tartományának kell lennie.

Kiállító alkalmazásazonosítóval

Sztring: issuerWithApplicationId
Adattípus: Logikai (igaz vagy hamis)
Összefoglaló: Ez a tulajdonság lehetővé teszi az alkalmazásazonosító hozzáadását a kiállítói jogcímhez. Biztosítja, hogy ugyanazon alkalmazás több példánya egyedi jogcímértékekkel rendelkezzen minden példányhoz. Ez a beállítás figyelmen kívül lesz hagyva, ha nincs konfigurálva egyéni aláírókulcs az alkalmazáshoz.

  • Ha a értékre Truevan állítva, a rendszer hozzáadja az alkalmazásazonosítót a kiállítói jogcímhez a szabályzat által érintett jogkivonatokban.
  • Ha a értékre Falsevan állítva, az alkalmazásazonosító nem lesz hozzáadva a kiállítói jogcímhez a szabályzat által érintett jogkivonatokban. (alapértelmezett)

Célközönség felülbírálása

Sztring: audienceOverride
Adattípus: Karakterlánc
Összefoglaló: Ez a tulajdonság lehetővé teszi az alkalmazásnak küldött célközönségjogcím felülírását. A megadott értéknek érvényes abszolút URI-nak kell lennie. Ez a beállítás figyelmen kívül lesz hagyva, ha nincs egyéni aláírókulcs konfigurálva az alkalmazáshoz. 

Következő lépések