Jogcímek testreszabása a Microsoft Graph egyéni jogcímszabályzatával (előzetes verzió)
A jogcímek olyan információk, amelyeket egy identitásszolgáltató a felhasználó számára kibocsátott jogkivonaton belül közöl egy felhasználóval kapcsolatban. A bérlői rendszergazdák a jogcímek testreszabásával testre szabják a bérlőben lévő adott alkalmazás jogkivonataiban kibocsátott jogcímeket. A jogcímek testreszabása támogatja az alkalmazások jogcímeinek konfigurálását SAML, OAuth és OpenID Connect protokollokkal. A jogcímek testreszabása a következő műveletekhez használható:
- Válassza ki, hogy mely jogcímek szerepelnek a jogkivonatokban.
- Hozzon létre még nem létező jogcímtípusokat.
- Válassza ki vagy módosítsa az adott jogcímekben kibocsátott adatok forrását.
Ebben az útmutatóban bemutatunk néhány gyakori forgatókönyvet, amelyek segítenek megérteni az egyéni jogcímek házirendjének használatát.
Előfeltételek
- Egy Microsoft Entra-bérlő.
- A Microsoft Entra Felügyeleti központban konfigurált nagyvállalati alkalmazás .
- PowerShell-felhasználók számára töltse le a legújabb Microsoft Graph PowerShell SDK-t. Ez a lépés nem kötelező.
Jogcímek testreszabása a Microsoft Entra-azonosítóban
A Microsoft Entra ID két módszert támogat a jogcímek testreszabására a Microsoft Graph/PowerShell használatával az alkalmazásokhoz:
- Egyéni jogcímházirend használata (előzetes verzió)
- Jogcímleképezési szabályzat használata
Az alábbi példákban szabályzatokat hozhat létre, frissíthet és cserélhet le a szolgáltatásnevek számára. Az egyéni jogcímszabályzatok mindig szolgáltatásnév-objektumokhoz vannak társítva. Győződjön meg arról, hogy a vállalati alkalmazást az előfeltételek részeként konfigurálta, mielőtt egyéni jogcímházirendet hoz létre az alkalmazás/szolgáltatásnév számára.
Nyissa meg a Microsoft Graph Explorert a böngészőben, és jelentkezzen be a Microsoft Graph Explorerbe legalább alkalmazásadminisztrátorként, és válasszon az alábbi forgatókönyvek közül.
- Az alapszintű jogcímek kihagyása a jogkivonatokból
- Az EmployeeID és a TenantCountry belefoglalása jogcímekként a jogkivonatokban
- Jogcímátalakítás használata jogkivonatokban
Egyéni jogcímházirend létrehozása után konfigurálnia kell az alkalmazást, hogy elismerje, hogy a jogkivonatok tartalmazzák a testre szabott jogcímeket. További információkért tekintse meg a biztonsági szempontokat.
Az alapszintű jogcímek kihagyása a jogkivonatokból
Ebben a példában létrehoz egy egyéni jogcímházirendet, amely eltávolítja az alapszintű jogcímkészletet a társított szolgáltatásnévnek kibocsátott jogkivonatokból.
A Microsoft Graph Explorerben azonosítsa az egyéni jogcímházirendet a szolgáltatásnév API használatához konfigurálni kívánt alkalmazással.
Hozza létre az Egyéni jogcímek házirendet az alábbi API futtatásával. Ez a szolgáltatásnévhez társított szabályzat kihagyja az alapszintű jogcímeket a jogkivonatokból.
PUT https://graph.microsoft.com/beta/servicePrincipals/<servicePrincipal-id>/claimsPolicy
Kérés szövegtörzse:
{ "includeBasicClaimSet": false }
Az új szabályzat megtekintéséhez futtassa a következő parancsot
GET https://graph.microsoft.com/beta/servicePrincipals/<servicePrincipal-id>/claimsPolicy
Válasz:
HTTP/1.1 200 OK Content-type: application/json { "@odata.context": "…", "id": "aaaaaaaa-bbbb-cccc-1111-222222222222.", "includeBasicClaimSet": false, "includeApplicationIdInIssuer": false, "audienceOverride": null, "groupFilter": null, "claims": [] }
Jogcímek belefoglalása EmployeeID
TenantCountry
a jogkivonatba
Ebben a példában testre szabja azokat a jogcímeket, amelyek hozzáadják a EmployeeID
jogkivonatokat.TenantCountry
Ebben a példában a jogkivonatokban beállított alapszintű jogcímeket is belefoglaljuk.
A Microsoft Graph Explorerben azonosítsa az egyéni jogcímházirendet a szolgáltatásnév API használatához konfigurálni kívánt alkalmazással.
Hozza létre az Egyéni jogcímek házirendet az alábbi API futtatásával. Ez a szolgáltatásnévhez társított szabályzat hozzáadja az EmployeeID és a TenantCountry jogcímeket a jogkivonatokhoz.
PUT https://graph.microsoft.com/beta/servicePrincipals/<servicePrincipal-id>/claimsPolicy
Kérés szövegtörzse:
{ "includeBasicClaimSet": true, "claims": [ { "@odata.type": "#microsoft.graph.customClaim", "name": "employeeId", "namespace": null, "tokenFormat": [ "jwt" ], "samlAttributeNameFormat": null, "configurations": [ { "condition": null, "attribute": { "@odata.type": "#microsoft.graph.sourcedAttribute", "id": " employeeid", "source": "user", "isExtensionAttribute": false }, "transformations": [] } ] }, { "@odata.type": "#microsoft.graph.customClaim", "name": "country", "namespace": null, "tokenFormat": [ "jwt" ], "samlAttributeNameFormat": null, "configurations": [ { "condition": null, "attribute": { "@odata.type": "#microsoft.graph.sourcedAttribute", "id": " tenantcountry", "source": "user", "isExtensionAttribute": false }, "transformations": [] } ] } ] }
Az új szabályzat megtekintéséhez futtassa a következő parancsot:
GET https://graph.microsoft.com/beta/servicePrincipals/<servicePrincipal-id>/claimsPolicy
Válasz:
{ "@odata.context": "…", "id": "aaaaaaaa-bbbb-cccc-1111-222222222222", "includeBasicClaimSet": true, "includeApplicationIdInIssuer": false, "audienceOverride": null, "groupFilter": null, "claims": [...] }
Jogcímátalakítás használata jogkivonatokban
Ebben a példában frissít egy szabályzatot, hogy egyéni "JoinedData" jogcímet bocsátson ki a társított szolgáltatásnevek számára kibocsátott JWT-knek. Ez a jogcím a felhasználói objektum extensionattribute1 attribútumában tárolt adatok "-ext" értékkel való összekapcsolásával létrehozott értéket tartalmaz. Ebben a példában kizárjuk a jogkivonatokban beállított alapszintű jogcímeket.
A Microsoft Graph Explorerben azonosítsa az egyéni jogcímházirendet a szolgáltatásnév API használatához konfigurálni kívánt alkalmazással.
Hozza létre az egyéni jogcímházirendet az alábbi API futtatásával. Ez a szabályzat egy egyéni jogcímet
JoinedData
bocsát ki a jogkivonatokra.PATCH https://graph.microsoft.com/beta/servicePrincipals/<servicePrincipal-id>/claimsPolicy
Kérés szövegtörzse:
{ "includeBasicClaimSet": true, "claims": [ { "@odata.type": "#microsoft.graph.customClaim", "name": "JoinedData", "namespace": null, "tokenFormat": [ "jwt" ], "samlAttributeNameFormat": null, "configurations": [ { "condition": null, "attribute": null, "transformations": [ { "@odata.type": "#microsoft.graph.joinTransformation", "separator": "-", "input": { "treatAsMultiValue": false, "attribute": { "@odata.type": "#microsoft.graph.sourcedAttribute", "id": "extensionattribute1", "source": "user", "isExtensionAttribute": false } }, "input2": { "treatAsMultiValue": false, "attribute": { "@odata.type":"#microsoft.graph.valueBasedAttribute", "value": "ext" } } } ] } ] } ] }
Feljegyzés
Az egyéni jogcímházirend egy erősen gépelt szabályzat, és minden átalakítás más
@odata.type
értéket használ.Az új szabályzat megtekintéséhez és a szabályzat
ObjectId
lekéréséhez futtassa a következő parancsot:GET https://graph.microsoft.com/beta/servicePrincipals/<servicePrincipal-id>/claimsPolicy
Válasz:
{ "@odata.context": "…", "id": "aaaaaaaa-bbbb-cccc-1111-222222222222", "includeBasicClaimSet": true, "includeApplicationIdInIssuer": false, "audienceOverride": null, "groupFilter": null, "claims": [...] }
Kapcsolódó tartalom
- További információ a szabályzatok közötti különbségekről a jogcímek testreszabása során szabályzatok használatával
- Microsoft Graph-identitás bejelentkezései
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: