Megosztás a következőn keresztül:

Csoportok jogcímeinek konfigurálása alkalmazásokhoz a Microsoft Entra ID használatával

A Microsoft Entra ID a felhasználó csoporttagsági információit megadhatja jogkivonatokban az alkalmazásokban való használatra. Ez a funkció három fő mintát támogat:

  • A Microsoft Entra objektumazonosító (OID) attribútuma által azonosított csoportok
  • Az sAMAccountName vagy GroupSID attribútummal azonosított csoportok az Active Directory által szinkronizált csoportok és felhasználók esetében
  • Felhőbeli csoportok, amelyeket a csoportok megjelenítési név attribútuma azonosít.

Fontos

A tokenben kibocsátott csoportok maximális száma SAML-állítások esetén 150, JWT esetén pedig 200, beleértve a beágyazott csoportokat is. Nagyobb szervezetekben azoknak a csoportoknak a száma, ahol a felhasználó tag, meghaladhatja a Microsoft Entra ID által alkalmazott korlátot, mielőtt csoportokra vonatkozó igényeket bocsát ki a jogkivonatban. Ha meghaladja ezt a korlátot, a Microsoft Entra ID teljesen kihagyja a csoportjogcímek küldését a tokenben. A korlátozások megkerülő megoldásaiért olvassa el a funkcióval kapcsolatos fontos kikötéseket.

Fontos kikötések ehhez a funkcióhoz

  • A helyszíni rendszerekből szinkronizált sAMAccountName és biztonsági azonosító (SID) attribútumok használatának támogatása célja a meglévő alkalmazások áthelyezésének lehetővé tétele az Active Directory-összevonási szolgáltatásokból (AD FS) és más identitásszolgáltatókból. A Microsoft Entra ID-ben kezelt csoportok nem tartalmazzák az igények kibocsátásához szükséges attribútumokat.

  • Annak érdekében, hogy a csoportok száma ne legyen korlátozva, ha a felhasználók nagy számú csoporttagságtal rendelkeznek, korlátozhatja a jogcímekben kibocsátott csoportokat az alkalmazás megfelelő csoportjaira. Tudjon meg többet az alkalmazáshoz hozzárendelt és kibocsátott csoportokról, amelyek JWT-jogkivonatokkal és SAML-jogkivonatokkal kapcsolatosak. Ha nem lehet csoportokat hozzárendelni az alkalmazásokhoz, konfigurálhat egy csoportszűrőt is a jogcímben kibocsátott csoportok számának csökkentésére. A csoportszűrés azokhoz az alkalmazásokhoz kibocsátott jogkivonatokra vonatkozik, amelyekben a csoportjogcímek és a szűrés a portál Vállalati alkalmazások paneljén lett konfigurálva. Ne feledje, hogy a nagyobb szervezetekben a csoportok száma, amelyekben a felhasználó tag, meghaladhatja azt a korlátot, amelyet a Microsoft Entra ID alkalmaz, mielőtt csoportjogcímeket bocsát ki a jogkivonatban. Ha túllépi ezt a korlátot, a Microsoft Entra ID teljesen elhagyja a csoportos jogcímek küldését a jogkivonatban.

  • A csoportkövetelések legfeljebb öt csoportra korlátozódnak, ha a jogkivonat implicit folyamat révén kerül kiadásra. Az implicit folyamaton keresztül kért jogkivonatok csak akkor rendelkeznek "hasgroups":true jogcímekkel, ha a felhasználó ötnél több csoportban van.

  • Javasoljuk, hogy az alkalmazáson belüli engedélyezést ne csoportokra, hanem alkalmazásszerepkörökre alapozza, amikor:

    • Új alkalmazást fejleszt, vagy egy meglévő alkalmazás konfigurálható hozzá.
    • A beágyazott csoportok támogatása nem szükséges.

    Az alkalmazásszerepkörök használata korlátozza a jogkivonatba való betekintéshez szükséges információk mennyiségét, biztonságosabb, és elkülöníti a felhasználói hozzárendelést az alkalmazás konfigurációjától.

Csoportos jogcímek az AD FS-ből és más identitásszolgáltatókból migrált alkalmazásokhoz

Az AD FS-sel való hitelesítésre konfigurált alkalmazások többsége Windows Server Active Directory-csoportattribútumok formájában támaszkodik a csoporttagság adataira. Ezek az attribútumok a(z) sAMAccountName csoporthoz tartoznak, amelyet a tartománynév vagy a Windows csoport biztonsági azonosítója (GroupSID) alapján lehet minősíteni. Ha az alkalmazás AD FS-sel van összevonva, az AD FS a TokenGroups függvény használatával kéri le a felhasználó csoporttagságait.

Az AD FS-ből áthelyezett alkalmazásoknak azonos formátumú jogcímekre van szükségük. A Microsoft Entra ID által kibocsátott csoport- és szerepkörjogcímek a csoport Microsoft Entra ID sAMAccountName attribútuma helyett a tartomány által minősített GroupSID attribútumot vagy az Active Directoryból szinkronizált objectID attribútumot tartalmazhatják.

A csoportjogcímek támogatott formátumai a következők:

  • Microsoft Entra group ObjectId: Minden csoporthoz elérhető.
  • sAMAccountName: Az Active Directoryból szinkronizált csoportokhoz érhető el.
  • NetbiosDomain\sAMAccountName: Elérhető az Active Directoryból szinkronizált csoportokhoz.
  • DNSDomainName\sAMAccountName: Elérhető az Active Directoryból szinkronizált csoportokhoz.
  • Helyszíni csoport biztonsági azonosítója: Elérhető az Active Directoryból szinkronizált csoportokhoz.

Feljegyzés

sAMAccountName és a helyszíni GroupSID attribútumok csak az Active Directoryból szinkronizált csoportobjektumokon érhetők el. Nem érhetők el a Microsoft Entra ID-ban vagy az Office 365-ben létrehozott csoportokban. A Microsoft Entra ID-ban konfigurált alkalmazások a szinkronizált helyszíni csoportattribútumok lekéréséhez csak szinkronizált csoportokhoz kapják meg őket.

A csoportadatok felhasználására szolgáló alkalmazások beállításai

Az alkalmazások meghívhatják a Microsoft Graph-csoport végpontját a hitelesített felhasználó csoportadatainak lekéréséhez. Ez a hívás biztosítja, hogy az összes csoport, amelyben a felhasználó tag, elérhető legyen, még akkor is, ha nagy számú csoport van benne. A csoportok felsorolása ezután független a jogosultság méretére vonatkozó korlátozásoktól.

Ha azonban egy meglévő alkalmazás arra számít, hogy jogcímeken keresztül használja fel a csoportadatokat, a Microsoft Entra-azonosítót különböző jogcímformátumokkal konfigurálhatja. Vegye figyelembe a következő lehetőségeket:

  • Ha csoporttagságokat használ az alkalmazáson belüli engedélyezéshez, célszerű a csoportattribútumot ObjectID használni. A csoportattribútum ObjectID nem módosítható és egyedi a Microsoft Entra-azonosítóban. Minden csoport számára elérhető.

  • Ha a helyszíni csoportattribútumot sAMAccountName használja az engedélyezéshez, használjon tartomány-minősített neveket. Csökkenti a nevek összeütközésének esélyét. sAMAccountName Előfordulhat, hogy egy Active Directory-tartományon belül egyedi, de ha egynél több Active Directory-tartomány szinkronizálva van egy Microsoft Entra-bérlővel, több csoport is rendelkezhet ugyanazzal a névvel.

  • Fontolja meg az alkalmazásszerepkörök használatát, hogy közvetett réteget biztosítson a csoporttagság és az alkalmazás között. Az alkalmazás ezután belső engedélyezési döntéseket hoz a jogkivonatban szereplő szerepkör-jogcímek alapján.

  • Ha az alkalmazás úgy van konfigurálva, hogy lekérje az Active Directoryból szinkronizált csoportattribútumokat, és egy csoport nem tartalmazza ezeket az attribútumokat, az nem fog szerepelni a jogcímekben.

  • A jogkivonatokban lévő csoportjogcímek beágyazott csoportokat tartalmaznak, kivéve, ha a csoportjogcímeket az alkalmazáshoz rendelt csoportokra korlátozza.

    Ha egy felhasználó a GroupB tagja, és a GroupB a GroupA tagja, akkor a felhasználó csoportjogcímei a GroupA-t és a GroupB-t is tartalmazzák. Ha egy szervezet felhasználói nagy számú csoporttagságtal rendelkeznek, a jogkivonatban felsorolt csoportok száma növelheti a jogkivonat méretét. A Microsoft Entra ID a jogkivonatban kibocsátandó csoportok számát 150-re korlátozza a SAML-állítások esetében, a JWT esetében pedig 200-ra. Ha egy felhasználó nagyobb számú csoport tagja, a csoportokat a rendszer kihagyja. Ehelyett a Microsoft Graph-végpontra mutató hivatkozás található a csoportadatok lekéréséhez.

Az Active Directoryból szinkronizált csoportattribútumok használatának előfeltételei

A csoporttagsági jogcímek bármely csoport számára jogkivonat formájában bocsáthatók ki, ha a ObjectId formátumot használja. A csoportjogcímek csoporttól ObjectIdeltérő formátumban való használatához a csoportokat szinkronizálni kell az Active Directoryból a Microsoft Entra Connect használatával.

A Microsoft Entra ID konfigurálása az Active Directory-csoportok csoportneveinek kibocsátásához:

  1. Csoportnevek szinkronizálása az Active Directoryból

    Ahhoz, hogy a Microsoft Entra ID kibocsáthassa a csoportneveket vagy a helyszíni csoport SID-jét a csoport- vagy szerepkörjogcímekben, szinkronizálnia kell a szükséges attribútumokat az Active Directoryból. A Microsoft Entra Connect 1.2.70-es vagy újabb verzióját kell futtatnia. A Microsoft Entra Connect 1.2.70-nél korábbi verziói szinkronizálják a csoportobjektumokat az Active Directoryból, de nem tartalmazzák a szükséges csoportnév-attribútumokat.

  2. Konfigurálja az alkalmazás regisztrációját a Microsoft Entra ID-ben, hogy a csoportkövetelések bekerüljenek a tokenekbe

    A csoportjogcímeket a portál Vállalati alkalmazások szakaszában vagy az Alkalmazásregisztrációk szakaszban található alkalmazásjegyzék használatával konfigurálhatja. A csoportjogcímek alkalmazásjegyzékben való konfigurálásához tekintse meg a Microsoft Entra alkalmazásregisztrációjának konfigurálását a csoportattribútumokhoz a jelen cikk későbbi részében.

Csoportjogcímek hozzáadása jogkivonatokhoz SAML-alkalmazásokhoz SSO-konfiguráció használatával

Csoportjogcímek konfigurálása katalógushoz vagy nem katalógusbeli SAML-alkalmazáshoz egyszeri bejelentkezéssel (SSO):

  1. Nyissa meg a Vállalati alkalmazásokat, jelölje ki az alkalmazást a listában, válassza Egyszeri bejelentkezés konfigurációt, majd válassza a Felhasználói attribútumok > Jogcímek lehetőséget.

  2. Válassza a Csoportjogcím hozzáadása lehetőséget.

    A felhasználói attribútumok és jogcímek lapját megjelenítő képernyőkép, amelyen a csoportjogcím hozzáadására szolgáló gomb van kiválasztva.

  3. A beállításokkal kiválaszthatja, hogy mely csoportok szerepeljenek a tokenben.

    Képernyőkép, amely a Csoportjogcímek ablakot mutatja a csoportbeállításokkal.

    Kiválasztás Leírás
    Minden csoport Biztonsági csoportokat, terjesztési listákat és szerepköröket bocsát ki.
    Biztonsági csoportok A csoportkövetelésben felsorolja azokat a biztonsági csoportokat, amelyeknek a felhasználó a tagja. Ha a felhasználó címtárszerepkörökhöz van rendelve, a rendszer objektumazonosítóként adja ki őket.
    Címtárszerepkörök Ha a felhasználó címtárszerepkörökhöz van rendelve, jogcímként wids jelennek meg. (A csoport igénye nem lesz kibocsátva.)
    Az alkalmazáshoz rendelt csoportok Csak azokat a csoportokat bocsátja ki, amelyek kifejezetten hozzá vannak rendelve az alkalmazáshoz, és amelyeknek a felhasználó tagja. Nagy szervezetek számára ajánlott a token csoportlétszám-korlátja miatt.

    • Ha például ki szeretné adni az összes olyan biztonsági csoportot, amelynek a felhasználó tagja, válassza a Biztonsági csoportokat.

      Képernyőkép a Csoportjogcímek ablakról, amelyen a biztonsági csoportokra vonatkozó beállítás van kiválasztva.

      Ha a Microsoft Entra ID objectID attribútumok helyett az Active Directoryból szinkronizált Active Directory-attribútumokkal szeretne csoportokat kibocsátani, válassza ki a szükséges formátumot a Forrás attribútum legördülő listából. A jogcímek csak az Active Directoryból szinkronizált csoportokat tartalmazzák.

      Képernyőkép a forrásattribútum legördülő menüjéről.

    • Ha csak az alkalmazáshoz rendelt csoportokat szeretne kibocsátani, válassza az alkalmazáshoz rendelt csoportok lehetőséget.

      Képernyőkép a Csoportigények ablakról, ahol az alkalmazáshoz rendelt csoportok beállítása van kiválasztva.

      Az alkalmazáshoz rendelt csoportok szerepelni fognak a jogosultsági tokenben. A rendszer kihagyja azokat a csoportokat, amelyeknek a felhasználó tagja. Ebben a beállításban a beágyazott csoportok nem szerepelnek, és a felhasználónak az alkalmazáshoz rendelt csoport közvetlen tagjának kell lennie.

      Az alkalmazáshoz rendelt csoportok módosításához válassza ki az alkalmazást a Vállalati alkalmazások listából. Ezután válassza a Felhasználók és csoportok lehetőséget az alkalmazás bal oldali menüjében.

      A csoportok alkalmazásokhoz való hozzárendelésének kezelésével kapcsolatos további információkért lásd : Felhasználó vagy csoport hozzárendelése vállalati alkalmazáshoz.

Csak felhőalapú csoport megjelenítendő nevének kibocsátása jogkivonatban

Konfigurálhatja, hogy a csoport jogcíme tartalmazza a csak felhőbeli csoportok csoportmegjelenítési nevét.

  1. Nyissa meg a Vállalati alkalmazásokat, jelölje ki az alkalmazást a listában, válassza Egyszeri bejelentkezés konfigurációt, majd válassza a Felhasználói attribútumok > Jogcímek lehetőséget.

  2. Ha már konfigurálta a csoportjogcímeket, válassza ki a További jogcímek szakaszban. Ellenkező esetben hozzáadhatja a csoport jogcímét az előző lépésekben leírtak szerint.

  3. Az érvényesítő tokenben megjelenített csoporttípus esetén válassza a alkalmazáshoz rendelt csoportok lehetőséget.

    Képernyőkép a Csoportigények ablakról, ahol az alkalmazáshoz rendelt csoportok beállítása van kiválasztva.

  4. Ha csak a felhőcsoportok csoportmegjelenítési nevét szeretné kibocsátani, a Forrás attribútum legördülő listájában válassza ki a csak felhőbeli csoport megjelenítési neveit:

Képernyőkép a Csoportjogcímek forrásattribútum legördülő listájáról, amelyen a csak felhőbeli csoportnevek konfigurálásának lehetősége van kiválasztva.

  1. Hibrid beállítás esetén a szinkronizált csoportok helyszíni csoportattribútumának kibocsátásához és a felhőcsoportok megjelenítendő nevének megadásához válassza ki a kívánt helyszíni források attribútumot, és jelölje be a csak felhőalapú csoportok csoportnevének kibocsátása jelölőnégyzetet:

Képernyőkép a szinkronizált csoportok helyszíni csoportattribútumának kibocsátandó konfigurációjáról és a felhőcsoportok megjelenítendő nevéről.

Feljegyzés

Egy alkalmazáshoz csak a hozzárendelt csoportok felhőcsoportnevei vehetők fel. Ennek a korlátozásnak az az oka, hogy groups assigned to the application a csoportnév nem egyedi, és a megjelenített nevek csak az alkalmazáshoz explicit módon hozzárendelt csoportokhoz adhatóak ki a biztonsági kockázatok csökkentése érdekében. Ellenkező esetben bármely felhasználó létrehozhat egy ismétlődő nevű csoportot, és hozzáférhet az alkalmazás oldalán.

Speciális beállítások megadása

Csoport jogcímnevének testreszabása

A csoportjogcímek kibocsátásának módját a Speciális beállítások területen található beállítások használatával módosíthatja.

Ha a csoportjogcím nevének testreszabása lehetőséget választja, a csoportjogcímekhez másik jogcímtípust is megadhat. Írja be a jogcím típusát a Név mezőbe, a jogcím opcionális névterét pedig a Névtér mezőbe.

A speciális beállításokat bemutató képernyőkép, amelyen a kiválasztott csoportjogcím nevének testreszabása és a névtérértékek megadása látható.

Egyes alkalmazások megkövetelik, hogy a csoporttagság adatai megjelenjenek a szerepkör-jogcímben. A felhasználó csoportjait szerepkörként is kiadhatja, ha bejelöli a Kibocsátandó csoportokat szerepkör jogcímként jelölőnégyzetet.

A speciális beállításokat bemutató képernyőkép, amelyen a csoportjogcím nevének testreszabására és a csoportok szerepkör jogcímként való kibocsátására szolgáló jelölőnégyzetek vannak kijelölve.

Feljegyzés

Ha a csoportadatokat szerepkörökként bocsátja ki, akkor csak a csoportok jelennek meg a szerepköri jogcímben. A felhasználó által hozzárendelt alkalmazásszerepkörök nem jelennek meg a szerepkör-jogcímben.

Csoportszűrés

A csoportszűrés lehetővé teszi a csoportjogcím részeként szereplő csoportok listájának finom ellenőrzését. A szűrő konfigurálásakor csak a szűrőnek megfelelő csoportok lesznek belefoglalva a csoportnak az alkalmazásnak küldött jogcímébe. A szűrő a csoporthierarchiától függetlenül minden csoportra érvényes lesz.

Feljegyzés

A csoportszűrés az olyan alkalmazásokhoz kibocsátott jogkivonatokra vonatkozik, amelyeknél a csoportjogcímek és a szűrés a portál Vállalati alkalmazások paneljén lett konfigurálva.
A csoportszűrés nem vonatkozik a Microsoft Entra-szerepkörökre.

Beállíthatja, hogy a szűrők a csoport megjelenítendő nevére vagy SAMAccountName attribútumára legyenek alkalmazva. A következő szűrési műveletek támogatottak:

  • Előtag: Megegyezik a kijelölt attribútum kezdetével.
  • Utótag: A kijelölt attribútum végének felel meg.
  • Tartalmazza: Megfelel a kijelölt attribútum bármely helyének.

Képernyőkép a szűrési lehetőségekről.

Csoportátalakítás

Egyes alkalmazások esetében előfordulhat, hogy a csoportok más formátumban vannak megkívánva, mint a Microsoft Entra ID-ban való ábrázolásuk. Ennek a követelménynek a támogatásához átalakítást alkalmazhat minden csoportra, amely a csoportigényben van kibocsátva. Ezt úgy érheti el, hogy engedélyezi a normál kifejezés (regex) és egy helyettesítő érték konfigurálását az egyéni csoportjogcímeken.

A csoportátalakítás képernyőképe regex-információkkal. \

  • Regex-minta: Regex használatával elemezheti a szövegsztringeket az ebben a mezőben beállított minta szerint. Ha az általad megadott regex minta kiértékelése true eredményezi, a regex csereminta fog futni.
  • Regex csereminta: Körvonalazza regex jelöléssel, hogyan szeretné lecserélni a sztringet, ha a felvázolt regex minta kiértékelésre kerül true. Használjon rögzítési csoportokat a helyettesítő regexben található alexpressziók egyeztetéséhez.

A regex-csere- és rögzítési csoportokról további információt a Regex kifejezésobjektum-modell: A rögzített csoport című témakörben talál.

Feljegyzés

A Microsoft Entra dokumentációjában leírtaknak megfelelően nem módosíthatja a korlátozott jogcímeket egy szabályzat használatával. Az adatforrás nem módosítható, és a jogcímek létrehozásakor a rendszer nem alkalmaz átalakítást. A csoport jogcíme továbbra is korlátozott jogcím, ezért a név módosításával testre kell szabnia a csoportokat. Ha korlátozott nevet választ az egyéni csoport jogcímének nevére, a rendszer futásidőben figyelmen kívül hagyja a jogcímet.

A regex transzformációs funkciót szűrőként is használhatja, mert a regex mintával nem egyező csoportok nem lesznek kibocsátva az eredményül kapott kimenetben.

Ha az eredeti csoportok követelésére alkalmazott átalakítás új egyéni követelést eredményez, akkor az eredeti csoportok követelése ki lesz hagyva a tokenből. Ha azonban a konfigurált regex nem egyezik az eredeti listában szereplő értékkel, akkor az egyéni jogcím nem jelenik meg, és az eredeti csoport jogcíme szerepel a jogkivonatban.

A csoport jogcímkonfigurációjának szerkesztése

Miután hozzáadta a csoportjogcímkonfigurációt a Felhasználói attribútumok > Jogcímek konfigurációhoz, a csoportjogcím hozzáadásának lehetősége nem lesz elérhető. A csoport jogcímkonfigurációjának módosításához válassza ki a csoport jogcímét a További jogcímek listában.

Képernyőkép a felhasználói attribútumok és jogcímek területéről, kiemelt csoportjogcím nevével.

A Microsoft Entra alkalmazásregisztrációjának konfigurálása csoportattribútumokhoz

A csoportjogcímeket az alkalmazásjegyzék választható jogcímek szakaszában is konfigurálhatja.

  1. A portálon válassza az Entra-azonosítót>alkalmazás-regisztrációkat>Válassza az Alkalmazást>Manifeszt.

  2. Csoporttagsági követelmények engedélyezése a groupMembershipClaims módosításával.

    Az érvényes értékek a következők:

    Kiválasztás Leírás
    All Biztonsági csoportokat, terjesztési listákat és szerepköröket bocsát ki.
    SecurityGroup Olyan biztonsági csoportokat és Microsoft Entra-szerepköröket ad meg a csoportigények között, amelyeknek a felhasználó tagja.
    DirectoryRole Ha a felhasználó címtárszerepkörökhöz van rendelve, jogcímként wids jelennek meg. (Csoportos jogcím nem lesz kibocsátva.)
    ApplicationGroup Csak azokat a csoportokat bocsátja ki, amelyek kifejezetten hozzá vannak rendelve az alkalmazáshoz, és amelyeknek a felhasználó tagja.
    None A rendszer nem ad vissza csoportokat. (Nincs különbség a kis- és nagybetűk között, ezért a none is működik. Közvetlenül az alkalmazás-manifesztben állítható be.)

    Példa:

    "groupMembershipClaims": "SecurityGroup"

    Alapértelmezés szerint a csoport attribútumok ObjectID megjelenítésre kerülnek a csoport jogcím értékében. Ha a jogcím értékét úgy szeretné módosítani, hogy helyszíni csoportattribútumokat tartalmazzon, vagy a jogcím típusát szerepkörre szeretné módosítani, használja a optionalClaims következő lépésben ismertetett konfigurációt.

  3. A csoportnév-konfiguráció opcionális követeléseinek beállítása.

    Ha azt szeretné, hogy a jogkivonat csoportjai tartalmazzák a helyi Active Directory csoportattribútumokat, adja meg, hogy melyik jogkivonattípusú opcionális jogcímet kell alkalmazni a optionalClaims szakaszban. Több tokentípust is listázhat:

    • idToken az OIDC ID-jogkivonathoz
    • accessToken az OAuth/OIDC hozzáférési jogkivonathoz
    • Saml2Token SAML-jogkivonatok esetén

    Feljegyzés

    Az Saml2Token típus mind a SAML1.1, mind a SAML2.0 formátumú jogkivonatokra vonatkozik.

    Minden releváns token típus esetében módosítsa a csoport igényét úgy, hogy a optionalClaims szekciót használja a manifesztben. A optionalClaims séma a következő:

    {
"name": "groups",
"source": null,
"essential": false,
"additionalProperties": []
}
    Választható jogcímséma Érték
    name Kell lennie "groups".
    source Nincs használatban. Hagyja ki, vagy adja meg null.
    essential Nincs használatban. Hagyja ki, vagy adja meg false.
    additionalProperties További tulajdonságok listája. Az érvényes beállítások a következők: "sam_account_name", "dns_domain_and_sam_account_name", "netbios_domain_and_sam_account_name""cloud_displayname"és "emit_as_roles".

    A additionalProperties-ben csak az egyik ("sam_account_name", "dns_domain_and_sam_account_name" vagy "netbios_domain_and_sam_account_name") kötelező. Ha egynél több van jelen, az elsőt használja a rendszer, és a rendszer figyelmen kívül hagyja a többit.

    Egyes alkalmazások csoportadatokat igényelnek a szerepkör-jogcímben szereplő felhasználóról. Ha csoportjogcímről szerepkör-jogcímre szeretné módosítani a jogcím típusát, adja hozzá "emit_as_roles" a további tulajdonságokat. A csoportértékek ki lesznek bocsátva a szerepkör-jogcímben.

    A felhőalapú csoportok megjelenítési nevét úgy adhatja meg, hogy hozzáadja a "cloud_displayname" a következőhöz: additional properties. Ez a beállítás csak akkor működik, ha “groupMembershipClaims” be van állítva ApplicationGroup-re.

    Feljegyzés

    Ha használja "emit_as_roles", a felhasználó által hozzárendelt konfigurált alkalmazásszerepkörök nem jelennek meg a szerepkör-jogcímben.

Példák

A csoportok megjelenítése csoportnevekként OAuth hozzáférési jogkivonatokban DNSDomainName\sAMAccountName formátumban.

"optionalClaims": {
    "accessToken": [{
        "name": "groups",
        "additionalProperties": ["dns_domain_and_sam_account_name"]
    }]
}

Csoportneveket adjon vissza NetbiosDomain\sAMAccountName formátumban, hogy szerepkör-jogcímként jelenjenek meg az SAML- és OIDC-azonosító jogkivonatokban.

"optionalClaims": {
    "saml2Token": [{
        "name": "groups",
        "additionalProperties": ["netbios_domain_and_sam_account_name", "emit_as_roles"]
    }],

    "idToken": [{
        "name": "groups",
        "additionalProperties": ["netbios_domain_and_sam_account_name", "emit_as_roles"]
    }]
}

Következő lépések