Csoportok jogcímeinek konfigurálása alkalmazásokhoz a Microsoft Entra ID használatával

  • Cikk

A Microsoft Entra-azonosító a felhasználó csoporttagsági adatait jogkivonatokban is megadhatja az alkalmazásokban való használatra. Ez a funkció három fő mintát támogat:

  • A Microsoft Entra objektumazonosító (OID) attribútuma által azonosított csoportok
  • Az Active Directory által szinkronizált csoportok és felhasználók által sAMAccountName azonosított csoportok vagy GroupSID attribútumok
  • A Csak felhőbeli csoportok megjelenítési név attribútuma által azonosított csoportok

Fontos

A jogkivonatban kibocsátott csoportok száma SAML-állítások esetén 150, JWT esetén pedig 200 lehet, beleértve a beágyazott csoportokat is. Nagyobb szervezetekben azoknak a csoportoknak a száma, amelyekben a felhasználó tag, meghaladhatja a Microsoft Entra ID által a jogkivonathoz hozzáadandó korlátot. A korlát túllépése kiszámíthatatlan eredményekhez vezethet. A korlátozások megkerülő megoldásaiért olvassa el a funkcióval kapcsolatos fontos kikötéseket.

Fontos kikötések ehhez a funkcióhoz

  • A helyszíniről szinkronizált biztonsági azonosító attribútumok és biztonsági azonosító attribútumok használatának sAMAccountName támogatása lehetővé teszi a meglévő alkalmazások áthelyezését Active Directory összevonási szolgáltatások (AD FS) (AD FS) és más identitásszolgáltatókból. A Microsoft Entra-azonosítóban kezelt csoportok nem tartalmazzák a jogcímek kibocsátásához szükséges attribútumokat.

  • Annak érdekében, hogy a csoportok száma ne legyen korlátozva, ha a felhasználók nagy számú csoporttagságtal rendelkeznek, korlátozhatja a jogcímekben kibocsátott csoportokat az alkalmazás megfelelő csoportjaira. További információ az alkalmazáshoz hozzárendelt csoportok JWT-jogkivonatok és SAML-jogkivonatok kibocsátásáról. Ha nem lehet csoportokat hozzárendelni az alkalmazásokhoz, konfigurálhat egy csoportszűrőt is a jogcímben kibocsátott csoportok számának csökkentésére. A csoportszűrés azokhoz az alkalmazásokhoz kibocsátott jogkivonatokra vonatkozik, amelyekben a csoportjogcímek és a szűrés a portál Vállalati alkalmazások paneljén lett konfigurálva.

  • A csoportjogcímek ötcsoportos korláttal rendelkeznek, ha a jogkivonatot implicit folyamaton keresztül adják ki. Az implicit folyamaton keresztül kért jogkivonatok csak akkor rendelkeznek "hasgroups":true jogcímekkel, ha a felhasználó ötnél több csoportban van.

  • Javasoljuk, hogy az alkalmazáson belüli engedélyezést ne csoportokra, hanem alkalmazásszerepkörökre alapozza, amikor:

    • Új alkalmazást fejleszt, vagy egy meglévő alkalmazás konfigurálható hozzá.
    • A beágyazott csoportok támogatása nem szükséges.

    Az alkalmazásszerepkörök használata korlátozza a jogkivonatba való betekintéshez szükséges információk mennyiségét, biztonságosabb, és elkülöníti a felhasználói hozzárendelést az alkalmazás konfigurációjától.

Csoportos jogcímek az AD FS-ből és más identitásszolgáltatókból migrált alkalmazásokhoz

Az AD FS-sel való hitelesítésre konfigurált alkalmazások többsége Windows Server Active Directory-csoportattribútumok formájában támaszkodik a csoporttagság adataira. Ezek az attribútumok a tartománynév vagy a Windows-csoport biztonsági azonosítója (GroupSID) alapján minősített csoportsAMAccountName. Ha az alkalmazás AD FS-sel van összevonva, az AD FS a TokenGroups függvény használatával kéri le a felhasználó csoporttagságait.

Az AD FS-ből áthelyezett alkalmazásoknak azonos formátumú jogcímekre van szükségük. A Microsoft Entra-azonosítóból kibocsátott csoport- és szerepkörjogcímek a csoport Microsoft Entra ID objectID attribútuma helyett a tartomány által minősített sAMAccountName attribútumot vagy az GroupSID Active Directoryból szinkronizált attribútumot tartalmazhatják.

A csoportjogcímek támogatott formátumai a következők:

  • Microsoft Entra group ObjectId: Minden csoporthoz elérhető.
  • sAMAccountName: Az Active Directoryból szinkronizált csoportokhoz érhető el.
  • NetbiosDomain\sAMAccountName: Elérhető az Active Directoryból szinkronizált csoportokhoz.
  • DNSDomainName\sAMAccountName: Elérhető az Active Directoryból szinkronizált csoportokhoz.
  • Helyszíni csoport biztonsági azonosítója: Elérhető az Active Directoryból szinkronizált csoportokhoz.

Feljegyzés

sAMAccountName és a helyszíni GroupSID attribútumok csak az Active Directoryból szinkronizált csoportobjektumokon érhetők el. Nem érhetők el a Microsoft Entra ID-ban vagy az Office 365-ben létrehozott csoportokban. A Microsoft Entra ID-ban konfigurált alkalmazások a szinkronizált helyszíni csoportattribútumok lekéréséhez csak szinkronizált csoportokhoz kapják meg őket.

A csoportadatok felhasználására szolgáló alkalmazások beállításai

Az alkalmazások meghívhatják a Microsoft Graph-csoport végpontját a hitelesített felhasználó csoportadatainak lekéréséhez. Ez a hívás biztosítja, hogy az összes csoport, amelyben a felhasználó tag, elérhető legyen, még akkor is, ha nagy számú csoport van benne. A csoportok számbavétele ezután független a jogkivonat méretére vonatkozó korlátozásoktól.

Ha azonban egy meglévő alkalmazás arra számít, hogy jogcímeken keresztül használja fel a csoportadatokat, a Microsoft Entra-azonosítót különböző jogcímformátumokkal konfigurálhatja. Vegye figyelembe a következő lehetőségeket:

  • Ha csoporttagságokat használ az alkalmazáson belüli engedélyezéshez, célszerű a csoportattribútumot ObjectID használni. A csoportattribútum ObjectID nem módosítható és egyedi a Microsoft Entra-azonosítóban. Minden csoport számára elérhető.

  • Ha a helyszíni csoportattribútumot sAMAccountName használja az engedélyezéshez, használjon tartomány-minősített neveket. Csökkenti a nevek összeütközésének esélyét. sAMAccountName Előfordulhat, hogy egy Active Directory-tartományon belül egyedi, de ha egynél több Active Directory-tartomány szinkronizálva van egy Microsoft Entra-bérlővel, több csoport is rendelkezhet ugyanazzal a névvel.

  • Fontolja meg az alkalmazásszerepkörök használatát, hogy közvetett réteget biztosítson a csoporttagság és az alkalmazás között. Az alkalmazás ezután belső engedélyezési döntéseket hoz a jogkivonatban szereplő szerepkör-jogcímek alapján.

  • Ha az alkalmazás úgy van konfigurálva, hogy lekérje az Active Directoryból szinkronizált csoportattribútumokat, és egy csoport nem tartalmazza ezeket az attribútumokat, az nem fog szerepelni a jogcímekben.

  • A jogkivonatokban lévő csoportjogcímek beágyazott csoportokat tartalmaznak, kivéve, ha a csoportjogcímeket az alkalmazáshoz rendelt csoportokra korlátozza.

    Ha egy felhasználó a GroupB tagja, és a GroupB a GroupA tagja, akkor a felhasználó csoportjogcímei a GroupA-t és a GroupB-t is tartalmazzák. Ha egy szervezet felhasználói nagy számú csoporttagságtal rendelkeznek, a jogkivonatban felsorolt csoportok száma növelheti a jogkivonat méretét. A Microsoft Entra ID a jogkivonatban kibocsátandó csoportok számát 150-re korlátozza az SAML-állítások esetében, a JWT esetében pedig 200-ra. Ha egy felhasználó nagyobb számú csoport tagja, a csoportokat a rendszer kihagyja. Ehelyett a Microsoft Graph-végpontra mutató hivatkozás található a csoportadatok lekéréséhez.

Az Active Directoryból szinkronizált csoportattribútumok használatának előfeltételei

A csoporttagsági jogcímek bármely csoport jogkivonatában bocsáthatók ki, ha a formátumot ObjectId használja. Ha a csoportjogcímeket nem csoportformátumban ObjectIdszeretné használni, a csoportokat szinkronizálni kell az Active Directoryból a Microsoft Entra Csatlakozás keresztül.

A Microsoft Entra ID konfigurálása az Active Directory-csoportok csoportneveinek kibocsátásához:

  1. Csoportnevek szinkronizálása az Active Directoryból

    Ahhoz, hogy a Microsoft Entra-azonosító kibocsáthassa a csoportneveket vagy a helyszíni csoport BIZTONSÁGI azonosítóját a csoport- vagy szerepkörjogcímekben, szinkronizálnia kell a szükséges attribútumokat az Active Directoryból. A Microsoft Entra Csatlakozás 1.2.70-es vagy újabb verzióját kell futtatnia. A Microsoft Entra korábbi Csatlakozás 1.2.70-nél régebbi verziói szinkronizálják a csoportobjektumokat az Active Directoryból, de nem tartalmazzák a szükséges csoportnévattribútumokat.

  2. Az alkalmazás regisztrációjának konfigurálása a Microsoft Entra-azonosítóban a csoportjogcímek jogkivonatokban való belefoglalásához

    A csoportjogcímeket a portál Vállalati alkalmazások szakaszában vagy az Alkalmazásregisztrációk szakaszban található alkalmazásjegyzék használatával konfigurálhatja. A csoportjogcímek alkalmazásjegyzékben való konfigurálásához tekintse meg a Microsoft Entra alkalmazásregisztrációjának konfigurálását a csoportattribútumokhoz a jelen cikk későbbi részében.

Csoportjogcímek hozzáadása jogkivonatokhoz SAML-alkalmazásokhoz SSO-konfiguráció használatával

Csoportjogcímek konfigurálása katalógushoz vagy nem katalógusbeli SAML-alkalmazáshoz egyszeri bejelentkezéssel (SSO):

  1. Nyissa meg a Vállalati alkalmazásokat, jelölje ki az alkalmazást a listában, válassza Egyszeri bejelentkezés konfigurációt, majd válassza a Felhasználói attribútumok > Jogcímek lehetőséget.

  2. Válassza a Csoportjogcím hozzáadása lehetőséget.

    A felhasználói attribútumok és jogcímek lapját megjelenítő képernyőkép, amelyen a csoportjogcím hozzáadására szolgáló gomb van kiválasztva.

  3. A beállításokkal kiválaszthatja, hogy mely csoportok szerepeljenek a jogkivonatban.

    Képernyőkép a Csoportjogcímek ablakról csoportbeállításokkal.

    Kiválasztás Leírás
    Minden csoport Biztonsági csoportokat, terjesztési listákat és szerepköröket bocsát ki.
    Biztonsági csoportok Olyan biztonsági csoportokat bocsát ki, amelyeknek a felhasználó tagja a csoportok jogcímében. Ha a felhasználó címtárszerepkörökhöz van rendelve, a rendszer objektumazonosítóként adja ki őket.
    Címtárszerepkörök Ha a felhasználó címtárszerepkörökhöz van rendelve, a rendszer jogcímként wids bocsátja ki őket. (A csoport jogcíme nem lesz kibocsátva.)
    Az alkalmazáshoz rendelt csoportok Csak azokat a csoportokat bocsátja ki, amelyek kifejezetten hozzá vannak rendelve az alkalmazáshoz, és amelyeknek a felhasználó tagja. A jogkivonat csoportszámkorlátja miatt nagy szervezetek számára ajánlott.

    • Ha például ki szeretné adni az összes olyan biztonsági csoportot, amelynek a felhasználó tagja, válassza a Biztonsági csoportokat.

      Képernyőkép a Csoportjogcímek ablakról, amelyen a biztonsági csoportokra vonatkozó beállítás van kiválasztva.

      Ha a Microsoft Entra ID objectID attribútumok helyett az Active Directoryból szinkronizált Active Directory-attribútumokkal szeretne csoportokat kibocsátani, válassza ki a szükséges formátumot a Forrás attribútum legördülő listából. A jogcímek csak az Active Directoryból szinkronizált csoportokat tartalmazzák.

      Képernyőkép a forrásattribútum legördülő menüjéről.

    • Ha csak az alkalmazáshoz rendelt csoportokat szeretne kibocsátani, válassza az alkalmazáshoz rendelt csoportok lehetőséget.

      Képernyőkép a Csoportjogcímek ablakról az alkalmazáshoz rendelt csoportok beállításával.

      Az alkalmazáshoz rendelt csoportok szerepelni fognak a jogkivonatban. A rendszer kihagyja azokat a csoportokat, amelyeknek a felhasználó tagja. Ebben a beállításban a beágyazott csoportok nem szerepelnek, és a felhasználónak az alkalmazáshoz rendelt csoport közvetlen tagjának kell lennie.

      Az alkalmazáshoz rendelt csoportok módosításához válassza ki az alkalmazást a Vállalati alkalmazások listából. Ezután válassza a Felhasználók és csoportok lehetőséget az alkalmazás bal oldali menüjében.

      A csoportok alkalmazásokhoz való hozzárendelésének kezelésével kapcsolatos további információkért lásd : Felhasználó vagy csoport hozzárendelése vállalati alkalmazáshoz.

Csak felhőalapú csoport megjelenítendő nevének kibocsátása jogkivonatban

Konfigurálhatja, hogy a csoport jogcíme tartalmazza a csak felhőbeli csoportok csoportmegjelenítési nevét.

  1. Nyissa meg a Vállalati alkalmazásokat, jelölje ki az alkalmazást a listában, válassza Egyszeri bejelentkezés konfigurációt, majd válassza a Felhasználói attribútumok > Jogcímek lehetőséget.

  2. Ha már konfigurálta a csoportjogcímeket, válassza ki a További jogcímek szakaszban. Ellenkező esetben hozzáadhatja a csoport jogcímét az előző lépésekben leírtak szerint.

  3. A jogkivonatban kibocsátott csoporttípushoz válassza az alkalmazáshoz rendelt csoportok lehetőséget:

    Képernyőkép a Csoportjogcímek ablakról az alkalmazáshoz rendelt csoportok beállításával.

  4. Ha csak a felhőcsoportok csoportmegjelenítési nevét szeretné kibocsátani, a Forrás attribútum legördülő listájában válassza ki a csak felhőbeli csoport megjelenítési neveit:

    Képernyőkép a Csoportjogcímek forrásattribútum legördülő listájáról, amelyen a csak felhőbeli csoportnevek konfigurálásának lehetősége van kiválasztva.

  5. Hibrid beállítás esetén a szinkronizált csoportok helyszíni csoportattribútumának kibocsátásához és a felhőcsoportok megjelenítendő nevének megadásához válassza ki a kívánt helyszíni források attribútumot, és jelölje be a csak felhőalapú csoportok csoportnevének kibocsátása jelölőnégyzetet:

    Képernyőkép a szinkronizált csoportok helyszíni csoportattribútumának kibocsátandó konfigurációjáról és a felhőcsoportok megjelenítendő nevéről.

Feljegyzés

Egy alkalmazáshoz csak a hozzárendelt csoportok felhőcsoportnevei vehetők fel. Ennek a korlátozásnak az az oka, hogy groups assigned to the application a csoportnév nem egyedi, és a megjelenített nevek csak az alkalmazáshoz explicit módon hozzárendelt csoportokhoz adhatóak ki a biztonsági kockázatok csökkentése érdekében. Ellenkező esetben bármely felhasználó létrehozhat egy ismétlődő nevű csoportot, és hozzáférhet az alkalmazás oldalán.

Speciális beállítások megadása

Csoport jogcímnevének testreszabása

A csoportjogcímek kibocsátásának módját a Speciális beállítások területen található beállítások használatával módosíthatja.

Ha a csoportjogcím nevének testreszabása lehetőséget választja, a csoportjogcímekhez másik jogcímtípust is megadhat. Írja be a jogcím típusát a Név mezőbe, a jogcím opcionális névterét pedig a Névtér mezőbe.

A speciális beállításokat bemutató képernyőkép, amelyen a kiválasztott csoportjogcím nevének testreszabása és a névtérértékek megadása látható.

Egyes alkalmazások megkövetelik, hogy a csoporttagság adatai megjelenjenek a szerepkör-jogcímben. A felhasználó csoportjait szerepkörként is kiadhatja, ha bejelöli a Kibocsátandó csoportokat szerepkör jogcímként jelölőnégyzetet.

A speciális beállításokat bemutató képernyőkép, amelyen a csoportjogcím nevének testreszabására és a csoportok szerepkör jogcímként való kibocsátására szolgáló jelölőnégyzetek vannak kijelölve.

Feljegyzés

Ha a csoportadatok szerepkörként való kibocsátására szolgál, akkor csak a csoportok jelennek meg a szerepkör-jogcímben. A felhasználó által hozzárendelt alkalmazásszerepkörök nem jelennek meg a szerepkör-jogcímben.

Csoportszűrés

A csoportszűrés lehetővé teszi a csoportjogcím részeként szereplő csoportok listájának finom ellenőrzését. A szűrő konfigurálásakor csak a szűrőnek megfelelő csoportok lesznek belefoglalva a csoportnak az alkalmazásnak küldött jogcímébe. A szűrő a csoporthierarchiától függetlenül minden csoportra érvényes lesz.

Feljegyzés

A csoportszűrés az olyan alkalmazásokhoz kibocsátott jogkivonatokra vonatkozik, amelyeknél a csoportjogcímek és a szűrés a portál Vállalati alkalmazások paneljén lett konfigurálva.
A csoportszűrés nem vonatkozik a Microsoft Entra-szerepkörökre.

Beállíthatja, hogy a szűrők a csoport megjelenítendő nevére vagy SAMAccountName attribútumára legyenek alkalmazva. A következő szűrési műveletek támogatottak:

  • Előtag: Megegyezik a kijelölt attribútum kezdetével.
  • Utótag: A kijelölt attribútum végének felel meg.
  • Tartalmazza: Megfelel a kijelölt attribútum bármely helyének.

Képernyőkép a szűrési lehetőségekről.

Csoportátalakítás

Egyes alkalmazások esetében előfordulhat, hogy a csoportok más formátumban vannak megkívánva, mint a Microsoft Entra ID-ban való ábrázolásuk. Ennek a követelménynek a támogatásához átalakítást alkalmazhat minden olyan csoportra, amely a csoport jogcímében lesz kibocsátva. Ezt úgy érheti el, hogy engedélyezi a normál kifejezés (regex) és egy helyettesítő érték konfigurálását az egyéni csoportjogcímeken.

A csoportátalakítás képernyőképe regex-információkkal.\

  • Regex-minta: Regex használatával elemezheti a szövegsztringeket az ebben a mezőben beállított minta szerint. Ha a körvonalazott regex minta kiértékelésre truekerül, a regex csereminta fut.
  • Regex csereminta: Körvonal a regex jelölésben, hogyan szeretné lecserélni a sztringet, ha a felvázolt regex minta kiértékeli a következőt true: . Használjon rögzítési csoportokat a helyettesítő regexben található alexpressziók egyeztetéséhez.

A regex-csere- és rögzítési csoportokról további információt a Regex kifejezésobjektum-modell: A rögzített csoport című témakörben talál.

Feljegyzés

A Microsoft Entra dokumentációjában leírtaknak megfelelően nem módosíthatja a korlátozott jogcímeket egy szabályzat használatával. Az adatforrás nem módosítható, és a jogcímek létrehozásakor a rendszer nem alkalmaz átalakítást. A csoport jogcíme továbbra is korlátozott jogcím, ezért a név módosításával testre kell szabnia a csoportokat. Ha korlátozott nevet választ az egyéni csoport jogcímének nevére, a rendszer futásidőben figyelmen kívül hagyja a jogcímet.

A regex transzformációs funkciót szűrőként is használhatja, mert a regex mintával nem egyező csoportok nem lesznek kibocsátva az eredményül kapott jogcímben.

Ha az eredeti csoportok jogcímére alkalmazott átalakítás új egyéni jogcímet eredményez, akkor az eredeti csoportok jogcíme ki lesz hagyva a jogkivonatból. Ha azonban a konfigurált regex nem egyezik az eredeti listában szereplő értékkel, akkor az egyéni jogcím nem jelenik meg, és az eredeti csoport jogcíme szerepel a jogkivonatban.

A csoport jogcímkonfigurációjának szerkesztése

Miután hozzáadta a csoportjogcímkonfigurációt a Felhasználói attribútumok > Jogcímek konfigurációhoz, a csoportjogcím hozzáadásának lehetősége nem lesz elérhető. A csoport jogcímkonfigurációjának módosításához válassza ki a csoport jogcímét a További jogcímek listában.

Képernyőkép a felhasználói attribútumok és jogcímek területéről, kiemelt csoportjogcím nevével.

A Microsoft Entra alkalmazásregisztrációjának konfigurálása csoportattribútumokhoz

A csoportjogcímeket az alkalmazásjegyzék választható jogcímek szakaszában is konfigurálhatja.

  1. A portálon válassza az Identitásalkalmazások>> Alkalmazásregisztrációk> Az alkalmazásjegyzék> kijelölése lehetőséget.

  2. Csoporttagsági jogcímek engedélyezése a módosítással groupMembershipClaims.

    Az érvényes értékek a következők:

    Kiválasztás Leírás
    All Biztonsági csoportokat, terjesztési listákat és szerepköröket bocsát ki.
    SecurityGroup Olyan biztonsági csoportokat és Microsoft Entra-szerepköröket bocsát ki, amelyeknek a felhasználó tagja a csoportjogcímben.
    DirectoryRole Ha a felhasználó címtárszerepkörökhöz van rendelve, a rendszer jogcímként wids bocsátja ki őket. (Csoportos jogcím nem lesz kibocsátva.)
    ApplicationGroup Csak azokat a csoportokat bocsátja ki, amelyek kifejezetten hozzá vannak rendelve az alkalmazáshoz, és amelyeknek a felhasználó tagja.
    None A rendszer nem ad vissza csoportokat. (A kis- és nagybetűk nem érzékenyek, ezért működik none is. Közvetlenül az alkalmazásjegyzékben állítható be.)

    Példa:

    "groupMembershipClaims": "SecurityGroup"

    Alapértelmezés szerint a csoportattribútumok ObjectID ki lesznek bocsátva a csoport jogcímértékében. Ha a jogcím értékét úgy szeretné módosítani, hogy helyszíni csoportattribútumokat tartalmazzon, vagy a jogcím típusát szerepkörre szeretné módosítani, használja a optionalClaims következő lépésben ismertetett konfigurációt.

  3. A csoportnév-konfiguráció opcionális jogcímeinek beállítása.

    Ha azt szeretné, hogy a jogkivonat csoportjai tartalmazzák a helyi Active Directory csoportattribútumokat, adja meg, hogy melyik jogkivonattípusú opcionális jogcímet kell alkalmazni a optionalClaims szakaszban. Több jogkivonattípust is listázhat:

    • idToken az OIDC-azonosító jogkivonatához
    • accessToken az OAuth/OIDC hozzáférési jogkivonathoz
    • Saml2Token SAML-jogkivonatok esetén

    Feljegyzés

    A Saml2Token típus SAML1.1 és SAML2.0 formátumú jogkivonatokra is vonatkozik.

    Minden releváns jogkivonattípus esetében módosítsa a csoport jogcímét úgy, hogy a optionalClaims jegyzékben szereplő szakaszt használja. A optionalClaims séma a következő:

    {
"name": "groups",
"source": null,
"essential": false,
"additionalProperties": []
}
    Választható jogcímséma Érték
    name Kell lennie "groups".
    source Nincs használatban. Kihagyás vagy beállítás null.
    essential Nincs használatban. Kihagyás vagy beállítás false.
    additionalProperties További tulajdonságok listája. Az érvényes beállítások a következők: "sam_account_name", "dns_domain_and_sam_account_name", "netbios_domain_and_sam_account_name""cloud_displayname"és "emit_as_roles".

    A additionalPropertiesbe , csak az egyik "sam_account_name", "dns_domain_and_sam_account_name"vagy "netbios_domain_and_sam_account_name" kötelező. Ha egynél több van jelen, az elsőt használja a rendszer, és a rendszer figyelmen kívül hagyja a többit.

    Egyes alkalmazások csoportadatokat igényelnek a szerepkör-jogcímben szereplő felhasználóról. Ha csoportjogcímről szerepkör-jogcímre szeretné módosítani a jogcím típusát, adja hozzá "emit_as_roles" a további tulajdonságokat. A csoportértékek ki lesznek bocsátva a szerepkör-jogcímben.

    Ha csak felhőbeli csoportok csoportmegjelenítési nevét szeretné kibocsátani, hozzáadhatja "cloud_displayname" a következőhöz additional properties: Ez a beállítás csak akkor működik, ha “groupMembershipClaims” a ApplicationGroup

    Feljegyzés

    Ha használja "emit_as_roles", a felhasználó által hozzárendelt konfigurált alkalmazásszerepkörök nem jelennek meg a szerepkör-jogcímben.

Példák

Csoportok kibocsátása csoportnevekként OAuth hozzáférési jogkivonatokban DNSDomainName\sAMAccountName formátumban:

"optionalClaims": {
    "accessToken": [{
        "name": "groups",
        "additionalProperties": ["dns_domain_and_sam_account_name"]
    }]
}

Az SAML- és OIDC-azonosító jogkivonatokban szereplő szerepkör-jogcímként visszaadandó csoportneveket adja ki NetbiosDomain\sAMAccountName :

"optionalClaims": {
    "saml2Token": [{
        "name": "groups",
        "additionalProperties": ["netbios_domain_and_sam_account_name", "emit_as_roles"]
    }],

    "idToken": [{
        "name": "groups",
        "additionalProperties": ["netbios_domain_and_sam_account_name", "emit_as_roles"]
    }]
}

Következő lépések