Hozzáférési jogkivonat jogcímeinek referenciája
A hozzáférési jogkivonatok JSON webes jogkivonatok (JWT). A JWT-k a következő darabokat tartalmazzák:
- Fejléc – Információkat tartalmaz a jogkivonat érvényesítéséről, beleértve a jogkivonat típusával és aláírási módjával kapcsolatos információkat.
- Hasznos adat – Tartalmazza a szolgáltatást meghívni próbáló felhasználó vagy alkalmazás összes fontos adatát.
- Aláírás – A jogkivonat érvényesítéséhez használt nyersanyag.
Minden darab egy ponttal (.) és külön Base 64 kódolással van elválasztva.
A jogcímek csak akkor vannak jelen, ha létezik érték a kitöltéséhez. Egy alkalmazásnak nem szabad függőséget vállalnia a jelen lévő jogcímek miatt. Ilyenek például a következők pwd_exp ( nem minden bérlő igényel jelszavakat) és family_name (az ügyfél hitelesítő adatainak folyamatai olyan alkalmazások nevében vannak, amelyek nem rendelkeznek névvel). A hozzáférési jogkivonat mindig elegendő jogcímet tartalmaz a hozzáférés kiértékeléshez.
A Microsoft Identitásplatform egyes jogcímek használatával biztosítják a jogkivonatok újbóli felhasználását. A jogcímek Opaque leírása nem nyilvános fogyasztásra szolgál. Előfordulhat, hogy ezek a jogcímek megjelennek egy jogkivonatban, és új jogcímek is hozzáadhatók előzetes értesítés nélkül.
Fejléc jogcímek
| Jogcím | Formátum | Leírás |
|---|---|---|
typ |
Sztring – mindig JWT |
Azt jelzi, hogy a jogkivonat egy JWT. |
alg |
Sztring | A jogkivonat aláírásához használt algoritmust jelzi, például RS256: . |
kid |
Sztring | Megadja a jogkivonat aláírásának érvényesítéséhez használt nyilvános kulcs ujjlenyomatát. Az 1.0-s és a 2.0-s verziós hozzáférési jogkivonatokban is kibocsátva. |
x5t |
Sztring | A függvények ugyanazt a függvényt használják (használatban és értékben), mint a kid. x5t és egy örökölt jogcím, amelyet csak kompatibilitási célból az 1.0-s verziós hozzáférési jogkivonatokban bocsátanak ki. |
Hasznos adatok jogcíme
| Jogcím | Formátum | Leírás | Engedélyezési szempontok |
|---|---|---|---|
acrs |
Sztringek JSON-tömbje | Azoknak a műveleteknek a hitelesítési környezeti azonosítóit jelzi, amelyeket a tulajdonos végrehajthat. A hitelesítési környezeti azonosítók használatával igény léptethető fel az alkalmazáson és a szolgáltatásokon belülről a felfelé irányuló hitelesítésre. Gyakran használják az xms_cc állítással együtt. |
|
aud |
Sztring, alkalmazásazonosító URI vagy GUID | Azonosítja a jogkivonat kívánt célközönségét. A 2.0-s verziójú jogkivonatokban ez az érték mindig az API ügyfélazonosítója. Az 1.0-s verziójú jogkivonatokban ez lehet az ügyfél azonosítója vagy a kérelemben használt erőforrás URI-ja. Az érték attól függ, hogy az ügyfél hogyan kérte a jogkivonatot. | Ezt az értéket érvényesíteni kell, el kell utasítani a jogkivonatot, ha az érték nem felel meg a kívánt célközönségnek. |
iss |
Sztring, biztonsági jogkivonat-szolgáltatás (STS) URI | Azonosítja a jogkivonatot összeállító és visszaadó STS-t, valamint a hitelesített felhasználó Microsoft Entra-bérlőét. Ha a kibocsátott jogkivonat egy v2.0-s jogkivonat (lásd a ver jogcímet), az URI a következő lesz /v2.0: . Az a GUID, amely azt jelzi, hogy a felhasználó egy Microsoft-fiók felhasználói felhasználója.9188040d-6c67-4c5b-b112-36a304b66dad |
Az alkalmazás a jogcím GUID-részének használatával korlátozhatja az alkalmazásba bejelentkezni képes bérlők körét, ha vannak ilyenek. |
idp |
Sztring, általában STS URI | A jogkivonat alanyát hitelesítő identitásszolgáltatót adja meg. Ez az érték megegyezik a Kiállítói jogcím értékével, kivéve, ha a felhasználói fiók nem ugyanabban a bérlőben van, mint a kiállító, például a vendégek. Használja annak értékét iss , ha a jogcím nem jelenik meg. A szervezeti környezetben használt személyes fiókok (például egy Microsoft Entra-bérlőhöz meghívott személyes fiók) esetén a idp jogcím lehet "live.com" vagy a Microsoft-fiók bérlőt 9188040d-6c67-4c5b-b112-36a304b66dadtartalmazó STS URI. |
|
iat |
int, unix-időbélyeg | Megadja, hogy mikor történt a jogkivonat hitelesítése. | |
nbf |
int, unix-időbélyeg | Azt az időt adja meg, amely után a JWT feldolgozható. | |
exp |
int, unix-időbélyeg | Megadja azt a lejárati időt, amely előtt a JWT feldolgozható. Egy erőforrás ezt megelőzően is elutasíthatja a jogkivonatot. Az elutasítás a hitelesítés szükséges módosításához vagy egy jogkivonat visszavonásához fordulhat elő. | |
aio |
Átlátszatlan sztring | Egy belső jogcím, amelyet a Microsoft Entra ID használ a jogkivonatok újbóli felhasználásához szükséges adatok rögzítésére. Az erőforrások nem használhatják ezt a jogcímet. | |
acr |
Sztring 0 , a vagy 1, csak 1.0-s jogkivonatokban jelenik meg |
A "Hitelesítési környezeti osztály" jogcím értéke 0 azt jelzi, hogy a végfelhasználói hitelesítés nem felelt meg az ISO/IEC 29115 követelményeinek. |
|
amr |
Sztringek JSON-tömbje, csak 1.0-s jogkivonatokban jelenik meg | A jogkivonat tulajdonosának hitelesítési módszerét azonosítja. | |
appid |
Sztring, GUID, csak 1.0-s verziós jogkivonatokban jelenik meg | A jogkivonatot használó ügyfél alkalmazásazonosítója. Az alkalmazás önállóan vagy egy felhasználó nevében is eljárhat. Az alkalmazásazonosító általában egy alkalmazásobjektumot jelöl, de a Microsoft Entra ID szolgáltatásnév objektumát is jelentheti. | appid az engedélyezési döntésekben felhasználhatók. |
azp |
Sztring, guid, csak v2.0-jogkivonatokban jelenik meg | Csere a következőre appid: . A jogkivonatot használó ügyfél alkalmazásazonosítója. Az alkalmazás önállóan vagy egy felhasználó nevében is eljárhat. Az alkalmazásazonosító általában egy alkalmazásobjektumot jelöl, de a Microsoft Entra ID szolgáltatásnév objektumát is jelentheti. |
azp az engedélyezési döntésekben felhasználhatók. |
appidacr |
Sztring, egy 0, 1vagy 2, csak 1.0-s jogkivonatokban jelenik meg |
Az ügyfél hitelesítési módszerét jelzi. Nyilvános ügyfél esetén az érték 0. Ha az ügyfélazonosítót és az ügyfél titkos kódját használja, az érték a következő 1: . Ha ügyféltanúsítványt használ a hitelesítéshez, az érték a következő 2: . |
|
azpacr |
Sztring, egy 0, 1vagy 2, csak v2.0-jogkivonatokban jelenik meg |
Csere a következőre appidacr: . Az ügyfél hitelesítési módszerét jelzi. Nyilvános ügyfél esetén az érték 0. Ha az ügyfélazonosítót és az ügyfél titkos kódját használja, az érték a következő 1: . Ha ügyféltanúsítványt használ a hitelesítéshez, az érték a következő 2: . |
|
preferred_username |
Sztring, csak v2.0-jogkivonatokban jelenik meg. | A felhasználót jelképező elsődleges felhasználónév. Az érték lehet egy e-mail-cím, telefonszám vagy egy általános felhasználónév, amely nem rendelkezik megadott formátummal. Használja a felhasználónév-tippek értékét, és az emberi olvasásra alkalmas felhasználói felületen felhasználónévként. A jogcím fogadásához használja a hatókört profile . |
Mivel ez az érték nem módosítható, ne használja arra, hogy engedélyezési döntéseket hozzon. |
name |
Sztring | Egy emberi olvasásra alkalmas értéket biztosít, amely azonosítja a jogkivonat tárgyát. Az érték változhat, módosítható, és csak megjelenítési célokra használható. A jogcím fogadásához használja a hatókört profile . |
Ne használja ezt az értéket engedélyezési döntések meghozatalához. |
scp |
Sztring, a hatókörök szóközzel elválasztott listája | Az alkalmazás által közzétett hatókörök, amelyekhez az ügyfélalkalmazás hozzájárulást kért (és kapott). Csak felhasználói jogkivonatok esetén. | Az alkalmazásnak ellenőriznie kell, hogy ezek a hatókörök érvényesek-e, amelyeket az alkalmazás elérhetővé tesz, és a hatókörök értéke alapján kell engedélyezési döntéseket hoznia. |
roles |
Sztringek tömbje, engedélyek listája | Az alkalmazás által közzétett engedélyek készlete, amelyet a kérelmező alkalmazás vagy felhasználó engedélyt kapott a hívásra. Az ügyfél hitelesítőadat-folyamata ezt az engedélykészletet használja az alkalmazásjogkivonatok felhasználói hatókörei helyett. A felhasználói jogkivonatok esetében ez az értékkészlet tartalmazza a felhasználó hozzárendelt szerepköreit a célalkalmazásban. | Ezek az értékek használhatók a hozzáférés kezelésére, például az erőforrások elérésére vonatkozó engedélyezés kikényszerítésére. |
wids |
RoleTemplateID GUID-k tömbje | A felhasználóhoz rendelt bérlői szerepköröket jelöli a Microsoft Entra beépített szerepköreiben található szerepkörök szakaszából. Az groupMembershipClaims alkalmazásjegyzék tulajdonsága alkalmazásonként konfigurálja ezt a jogcímet. Állítsa be a jogcímet a következőre All : vagy DirectoryRole. |
Ezek az értékek használhatók a hozzáférés kezelésére, például az erőforrások elérésére vonatkozó engedélyezés kikényszerítésére. |
groups |
GUID-k JSON-tömbje | Olyan objektumazonosítókat biztosít, amelyek a tárgy csoporttagságait jelölik. Az groupMembershipClaims alkalmazásjegyzék tulajdonsága alkalmazásonként konfigurálja a csoportok jogcímét. Az érték null kizárja az összes csoportot, a SecurityGroup címtárszerepköröket és az Active Directory biztonsági csoporttagságokat, valamint All a biztonsági csoportokat és a Microsoft 365 terjesztési listákat is. Más folyamatok esetében, ha a felhasználó által használt csoportok száma meghaladja a 150-et AZ SAML és 200 a JWT esetében, akkor a Microsoft Entra ID egy túlhasználati jogcímet ad hozzá a jogcímforrásokhoz. A jogcímforrások arra a Microsoft Graph-végpontra mutatnak, amely a felhasználó csoportjainak listáját tartalmazza. |
Ezek az értékek használhatók a hozzáférés kezelésére, például az erőforrások elérésére vonatkozó engedélyezés kikényszerítésére. |
hasgroups |
Logikai | Ha van ilyen, mindig trueazt jelzi, hogy a felhasználó legalább egy csoportban van-e. Azt jelzi, hogy az ügyfélnek a Microsoft Graph API használatával kell meghatároznia a felhasználó csoportjait (https://graph.microsoft.com/v1.0/users/{userID}/getMemberObjects). |
|
groups:src1 |
JSON-objektum | A felhasználó teljes csoportlistájára mutató hivatkozást tartalmaz, ha a jogkivonat-kérelmek túl nagyok a jogkivonathoz. Elosztott jogcímként a JWT-k esetében az SAML mint új jogcím a groups jogcím helyett. Példa JWT-értékre: "groups":"src1" "_claim_sources: "src1" : { "endpoint" : "https://graph.microsoft.com/v1.0/users/{userID}/getMemberObjects" } |
|
sub |
Sztring | A jogkivonathoz társított egyszerű. Például egy alkalmazás felhasználója. Ez az érték nem módosítható, ne rendelje újra és ne használja újra. A tárgy egy, egy adott alkalmazásazonosítóra egyedi, párosított azonosító. Ha egyetlen felhasználó két különböző alkalmazásba jelentkezik be két különböző ügyfélazonosító használatával, akkor ezek az alkalmazások két különböző értéket kapnak a tulajdonosi jogcímhez. A két különböző érték használata az architektúrától és az adatvédelmi követelményektől függ. Lásd még a oid jogcímet, amely nem változik a bérlőn belüli alkalmazásokban. |
Ez az érték használható engedélyezési ellenőrzések végrehajtására, például amikor a jogkivonatot egy erőforrás eléréséhez használják, és kulcsként használható az adatbázistáblákban. |
oid |
Sztring, GUID | A kérelmező nem módosítható azonosítója, amely a felhasználó vagy szolgáltatásnév igazolt identitása. Ez az azonosító egyedileg azonosítja a kérelmezőt az alkalmazások között. Az ugyanabban a felhasználóban bejelentkező két különböző alkalmazás ugyanazt az értéket kapja a oid jogcímben. Ez oid használható a Microsoft online szolgáltatások lekérdezéseihez, például a Microsoft Graphhoz. A Microsoft Graph ezt az azonosítót adja vissza egy id adott felhasználói fiók tulajdonságaként. Mivel ez oid lehetővé teszi, hogy több alkalmazás is korreláljon a tagok között, a hatókört használó felhasználók számára is megkaphatja ezt a profile jogcímet. Ha egyetlen felhasználó több bérlőben is létezik, a felhasználó minden bérlőben egy másik objektumazonosítót tartalmaz. Annak ellenére, hogy a felhasználó minden fiókba ugyanazokkal a hitelesítő adatokkal jelentkezik be, a fiókok eltérőek. |
Ez az érték használható engedélyezési ellenőrzések végrehajtására, például amikor a jogkivonatot egy erőforrás eléréséhez használják, és kulcsként használható az adatbázistáblákban. |
tid |
Sztring, GUID | Azt a bérlőt jelöli, amelyikbe a felhasználó bejelentkezik. Munkahelyi és iskolai fiókok esetén a GUID annak a szervezetnek a nem módosítható bérlőazonosítója, amelybe a felhasználó bejelentkezik. A személyes Microsoft-fiók bérlőjéhez (például Xbox, Teams for Life vagy Outlook) való bejelentkezések esetén az érték .9188040d-6c67-4c5b-b112-36a304b66dad A jogcím fogadásához az alkalmazásnak le kell kérnie a hatókört profile . |
Ezt az értéket más jogcímekkel együtt kell figyelembe venni az engedélyezési határozatokban. |
unique_name |
Sztring, csak 1.0-s verziós jogkivonatokban jelenik meg | A jogkivonat alanyát azonosító, ember által olvasható értéket ad meg. | Ez az érték eltérhet egy bérlőn belül, és csak megjelenítési célokra használható. |
uti |
Sztring | Jogkivonat-azonosító jogcím, amely egyenértékű jti a JWT-specifikációval. Egyedi, jogkivonatonkénti azonosító, amely megkülönbözteti a kis- és nagybetűk számát. |
|
rh |
Átlátszatlan sztring | Az Azure által a jogkivonatok újraértékelésére használt belső jogcím. Az erőforrások nem használhatják ezt a jogcímet. | |
ver |
Sztring vagy 1.02.0 |
A hozzáférési jogkivonat verzióját jelzi. | |
xms_cc |
Sztringek JSON-tömbje | Azt jelzi, hogy a jogkivonatot beszerző ügyfélalkalmazás képes-e kezelni a jogcímekkel kapcsolatos problémákat. Gyakran használják a jogcímekkel acrsegyütt. Ezt a jogcímet gyakran használják a feltételes hozzáférés és a folyamatos hozzáférés kiértékelése forgatókönyvekben. A jogkivonat által kibocsátott erőforrás-kiszolgáló vagy szolgáltatásalkalmazás szabályozza a jogcím jelenlétét egy jogkivonatban. cp1 A hozzáférési jogkivonat értéke mérvadó módszer annak azonosítására, hogy egy ügyfélalkalmazás képes-e kezelni a jogcímekkel kapcsolatos kihívásokat. További információ: Jogcímekkel kapcsolatos kihívások, jogcímkérelmek és ügyfélképességek. |
Feljegyzés
A roles, groups, scpés wids jogcímek nem teljes körű lista arról, hogy egy erőforrás hogyan engedélyezheti a felhasználót vagy az alkalmazást, és nem is a hívónak adott engedélyek teljes listája. A célerőforrás más módszerrel engedélyezheti a védett erőforrásokhoz való hozzáférést.
Csoportok túlhasználati jogcíme
A Microsoft Entra ID korlátozza azoknak az objektumazonosítóknak a számát, amelyeket a csoportok tartalmaznak, és azt állítják, hogy a HTTP-fejléc méretkorlátja alatt maradnak. Ha egy felhasználó több csoportnak is tagja, mint a túllépési korlát (SAML-jogkivonatok esetén 150, JWT-jogkivonatok esetén 200), akkor a Microsoft Entra-azonosító nem bocsátja ki a csoportok jogcímét a jogkivonatban. Ehelyett tartalmaz egy túlhasználati jogcímet a jogkivonatban, amely azt jelzi az alkalmazásnak, hogy lekérdezi a Microsoft Graph API-t a felhasználó csoporttagságának lekéréséhez.
{
...
"_claim_names": {
"groups": "src1"
},
"_claim_sources": {
"src1": {
"endpoint": "[Url to get this user's group membership from]"
}
}
...
}
A túlhasználati forgatókönyvek teszteléséhez használja az BulkCreateGroups.ps1 Alkalmazás-létrehozási szkriptek mappában megadottakat.
Feljegyzés
A visszaadott URL-cím egy Azure AD Graph URL-cím lesz (azaz graph.windows.net). Az URL-cím használata helyett a szolgáltatásoknak inkább az idtyp opcionális jogcímet kell használniuk (amely azt határozza meg, hogy a jogkivonat alkalmazás vagy alkalmazás+felhasználói jogkivonat-e), hogy a csoportok teljes listájának lekérdezéséhez Microsoft Graph URL-címet hozzon létre.
1.0-s verziós alapjogcímek
Az 1.0-s verziós jogkivonatok a következő jogcímeket tartalmazzák, ha vannak, de alapértelmezés szerint nem v2.0-s jogkivonatokat. Ha ezeket a jogcímeket a 2.0-s verzióhoz szeretné használni, az alkalmazás opcionális jogcímek használatával kéri őket.
| Jogcím | Formátum | Leírás |
|---|---|---|
ipaddr |
Sztring | A felhasználó által hitelesített IP-cím. |
onprem_sid |
Sztring, SID formátumban | Azokban az esetekben, amikor a felhasználó helyszíni hitelesítéssel rendelkezik, ez a jogcím biztosítja a biztonsági azonosítóját. Használja ezt a jogcímet az örökölt alkalmazásokban való engedélyezéshez. |
pwd_exp |
int, unix-időbélyeg | Azt jelzi, hogy a felhasználó jelszava mikor jár le. |
pwd_url |
Sztring | Egy URL- cím, ahol a felhasználók visszaállíthatják a jelszavukat. |
in_corp |
Logikai | Jelzi, ha az ügyfél bejelentkezik a vállalati hálózatról. |
nickname |
Sztring | A felhasználó másik neve, a vezeték- és utónévtől függetlenül. |
family_name |
Sztring | Megadja a felhasználó vezetéknevét, vezetéknevét vagy családi nevét a felhasználói objektumban definiált módon. |
given_name |
Sztring | A felhasználó első vagy utónevét adja meg a felhasználói objektumon beállított módon. |
upn |
Sztring | A felhasználó felhasználóneve. Lehet telefonszám, e-mail-cím vagy formázatlan sztring. Csak megjelenítési célokra és felhasználónév-tippek megadására használható újrahitelesítési forgatókönyvekben. |
amr-jogcím
Az identitások különböző módokon hitelesíthetők, ami az alkalmazás szempontjából releváns lehet. A amr jogcím egy tömb, amely több elemet is tartalmazhat, például ["mfa", "rsa", "pwd"]egy jelszót és az Authenticator alkalmazást egyaránt használó hitelesítéshez.
| Érték | Leírás |
|---|---|
pwd |
Jelszó-hitelesítés, egy felhasználó Microsoft-jelszava vagy egy alkalmazás titkos ügyfélkódja. |
rsa |
A hitelesítés egy RSA-kulcs igazolásán alapult, például a Microsoft Authenticator alkalmazással. Ez az érték azt is jelzi, hogy egy önaláírt JWT egy szolgáltatás tulajdonában lévő X509-tanúsítvánnyal rendelkezik a hitelesítésben. |
otp |
Egyszeri pin-kód e-mail vagy szöveges üzenet használatával. |
fed |
Összevont hitelesítési állítás (például JWT vagy SAML) használatát jelzi. |
wia |
Integrált Windows-hitelesítés |
mfa |
Többtényezős hitelesítés használatát jelzi. Az egyéb hitelesítési módszereket is tartalmazza, ha ez a jogcím jelen van. |
ngcmfa |
Egyenértékű bizonyos mfaspeciális hitelesítő adatok kiépítéséhez használt beállításokkal. |
wiaormfa |
A felhasználó windowsos vagy MFA-hitelesítő adatokat használt a hitelesítéshez. |
none |
Azt jelzi, hogy nincs befejezett hitelesítés. |
Következő lépések
- További információ a Microsoft Entra ID-ban használt hozzáférési jogkivonatokról.