Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A címtárbővítmény-attribútumok lehetővé teszik további adatok tárolását a címtárobjektumokon, például a felhasználókon. Kizárólag a felhasználói objektumokhoz tartozó bővítményattribútumok használhatók arra, hogy jogcímeket bocsássanak ki alkalmazásokhoz. Ez a cikk leírja, hogyan lehet a címtárbővítmény-attribútumokat használni a felhasználói adatok token jogcímekben lévő alkalmazásokhoz való továbbításához.
Megjegyzés:
A Microsoft Graph három további bővítménymechanizmust biztosít a Graph-objektumok testreszabásához. Ezek az 1–15-ös bővítményattribútumok, a nyitott bővítmények és a sémabővítmények. Részletekért tekintse meg a Microsoft Graph dokumentációját . A Microsoft Graph-objektumokon tárolt adatok, amelyek nyitott bővítményeket és sémabővítményeket használnak, nem érhetők el a hozzáférési jogok forrásaként a jogkivonatokban.
A címtárbővítmény-attribútumok mindig egy alkalmazáshoz vannak társítva a bérlő környezetében. A címtárattribútum neve tartalmazza az alkalmazás appId azonosítóját a nevében.
A címtárbővítmény attribútumának azonosítója az extension_xxxxxxxxx_AttributeName alakban van. Hol xxxxxxxxx van az alkalmazás appId-je, amelyhez a bővítményt definiálták, csak a 0-9 és A-Z közötti karakterekkel.
Címtárbővítmények regisztrálása és használata
Címtárbővítmény-attribútumok regisztrálása az alábbi módok egyikével:
- Konfigurálja a Microsoft Entra Connectet a létrehozásukhoz és az adatok helyszíni szinkronizálásához. Lásd: Microsoft Entra Connect Sync Directory-bővítmények.
- A Microsoft Graph használatával regisztrálhatja, beállíthatja és olvashatja a címtárbővítmények értékeit. PowerShell-parancsmagok is elérhetők.
Jogcímek kibocsátása a Microsoft Entra Connectből származó adatokkal
A Microsoft Entra Connect használatával létrehozott és szinkronizált címtárkiterjesztési attribútumok mindig a Microsoft Entra Connect által használt alkalmazásazonosítóhoz vannak társítva. Ezek az attribútumok a jogcímek forrásaként is használhatók, ha jogcímként konfigurálják őket a Portál Nagyvállalati alkalmazások konfigurációjában. Miután létrejött egy címtárbővítmény-attribútum az AD Connect használatával, megjelenik az SAML SSO jogcímkonfigurációjában.
Jogcímek kibocsátása a Graph vagy a PowerShell használatával
Ha egy címtárkiterjesztési attribútum regisztrálva van a Microsoft Graph vagy a PowerShell használatához, az alkalmazás konfigurálható úgy, hogy az adott attribútumban adatokat fogadjon, amikor a felhasználó bejelentkezik. Az alkalmazás konfigurálható úgy, hogy az alkalmazásjegyzékben beállítható opcionális jogcímek használatával fogadjon adatokat az alkalmazásban regisztrált címtárkiterjesztésekben.
A több-bérlős rendszerű alkalmazások regisztrálhatják a címtárbővítési attribútumokat saját használatra. Amikor az alkalmazás ki van építve egy bérlőben, a társított címtárbővítmények elérhetővé válnak és használatba vehetők az adott bérlő felhasználói számára. Miután a címtárbővítmény elérhetővé válik, adatok tárolására és lekérésére használható a Microsoft Graph használatával. A címtárbővítmény a Microsoft identitásplatform által az alkalmazásoknak kibocsátott jogkivonatokban lévő jogcímekhez is megfeleltethető.
Ha egy alkalmazásnak egy másik alkalmazásban regisztrált bővítményattribútum adataival kell jogcímeket küldenie, egy jogcímleképezési szabályzatot kell használni a bővítményattribútum jogcímhez való leképezéséhez.
A címtárbővítmény-attribútumok kezelésének gyakori mintája, hogy egy alkalmazást kifejezetten az összes szükséges címtárkiterjesztéshez regisztrál. Ha ilyen típusú alkalmazást használ, az összes bővítmény ugyanazzal az appID azonosítóval rendelkezik a nevükben.
Az alábbi kód például egy jogcímleképezési szabályzatot mutat be, amely egyetlen jogcímet bocsát ki egy címtárkiterjesztési attribútumból egy OAuth/OIDC-jogkivonatban:
{
"ClaimsMappingPolicy": {
"Version": 1,
"IncludeBasicClaimSet": "false",
"ClaimsSchema": [{
"Source": "User",
"ExtensionID": "extension_xxxxxxx_test",
"JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
},
]
}
}
Hol xxxxxxx található annak az alkalmazásnak az appID azonosítója (vagy ügyfélazonosítója), amellyel a bővítmény regisztrálva lett.
Figyelmeztetés
Amikor jogcímleképezési szabályzatot határoz meg egy címtárkiterjesztési attribútumhoz, használja a ExtensionID tulajdonságot a ID tömb törzsében ClaimsSchema lévő tulajdonság helyett, ahogy az az előző példában is látható.
Jótanács
A kis- és nagybetűk konzisztenciája akkor fontos, ha címtárkiterjesztési attribútumokat állít be az objektumokon. A kiterjesztés attribútumok nevei nem érzékenyek a kis- és nagybetűkre a beállítás során, de kis- és nagybetűkre érzékenyek, amikor a jogkivonat szolgáltatás beolvassa azokat a címtárból. Ha egy bővítményattribútum "LegacyId" nevű felhasználói objektumon és egy másik " legacyid" nevű felhasználói objektumon van beállítva, az attribútum "LegacyId" nevű jogcímhez való hozzárendelése esetén a rendszer sikeresen lekéri az adatokat, és az első felhasználó jogkivonatában szereplő jogcímet, de a másodikat nem.
Következő lépések
- Tanulja meg, hogyan szabhatja testre az adott alkalmazás tokenjeiben kibocsátott állításokat.