bővítményattribútumok Azure AD parancsmagok

  • Cikk

A bővítményattribútumok ismertetése

A bővítményattribútumokkal kényelmesen bővítheti olyan új attribútumokkal Azure AD-címtárát, amelyekkel attribútumértékeket tárolhat a címtárban található objektumokhoz. Bővítményattribútum az alábbi objektumtípusokhoz csatolható:

  • felhasználók
  • bérlő részletei
  • eszközök
  • alkalmazások

A bővítménytulajdonságok a fejlesztő címtárában, egy alkalmazásobjektumban vannak regisztrálva. Ha az alkalmazást jóváhagyta egy a fejlesztő címtárához tartozó felhasználó vagy rendszergazda, a rendszer hozzáadja a tulajdonságot a célcímtár típusához, és azonnal elérhetővé válik a fejlesztő címtárában. Több-bérlős alkalmazás esetében, amikor az alkalmazás megkapja egy másik szervezetben található felhasználó vagy rendszergazda hozzájárulását, a bővítménytulajdonságok azonnal elérhetővé válnak a másik szervezet címtárában található célcímtártípuson.

Ha egy szervezet csak olvasási engedélyekhez járul hozzá egy regisztrált bővítményekkel rendelkező alkalmazás esetében, a tulajdonságok akkor is elérhetővé válnak a másik szervezet címtárában. A bővítménytulajdonságok továbbá a szervezet összes jóváhagyott alkalmazása számára elérhetők, nem csak azon alkalmazás számára, amelyhez azokat regisztrálták. A szervezeten belüli többi jóváhagyott alkalmazás olvashatja vagy írhatja az új bővítménytulajdonság értékeit, ha rendelkezik a megfelelő engedélyekkel.

Ha az alkalmazást törlik, vagy a hozzájárulást eltávolítják a másik szervezet címtárában, a bővítménytulajdonság elérhetetlenné válik a célcímtár objektumán. Ha az alkalmazás törli a bővítményt, a tulajdonság szintén elérhetetlenné válik a célcímtár objektumán. Ha egy több-bérlős alkalmazás további bővítménytulajdonságokat ad hozzá a hozzájárulást követően, azok automatikusan elérhetővé válnak a másik szervezet címtárában.

Megjegyzés

Ha egy bővítménytulajdonság értéke egy objektumon van beállítva, és ez a tulajdonság elérhetetlenné válik az objektum könyvtárában, a tulajdonság továbbra is beleszámít az objektum 100 bővítménytulajdonság-értékének korlátába. A tulajdonságérték csak akkor távolítható el a korlátozásba beleszámító értékek közül, ha explicit módon null értékre állítja azt. Ez nem hajtható végre, ha a bővítménytulajdonság nem elérhető.

A bővítménytulajdonságokról bővebben ebben a cikkben olvashat.

Példák

Ezekben a példákban egy felhasználói objektumot használunk, és bővítménytulajdonságokkal fogunk dolgozni. Először meg kell keresni a felhasználó ObjectID azonosítóját, hogy később könnyebben hivatkozhassunk rá:

$UserId = (Get-AzureADUser -Searchstring <UPN of the user we're working with>).ObjectId

A felhasználó összes tulajdonságértékének lekérése

(Get-AzureADUser -ObjectId $UserId).ToJson()

Felhasználó lekérése, és az összes bővítménytulajdonság megjelenítése

Get-AzureADUser -ObjectId $UserId | Select -ExpandProperty ExtensionProperty

Ez a parancsmag az adott felhasználó összes bővítménytulajdonságát adja vissza azok aktuális értékével együtt:

Key                                                                   Value
---                                                                   -----
odata.metadata                                                        https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metad...
odata.type                                                            Microsoft.DirectoryServices.User
thumbnailPhoto@odata.mediaContentType                                 image/Jpeg
extension_e5e29b8a85d941eab8d12162bd004528_extensionAttribute13       Test

Egy adott bővítménytulajdonság értékének lekérése egy felhasználó számára

(Get-AzureADUserExtension -ObjectId $UserId).get_item("extension_e5e29b8a85d941eab8d12162bd004528_wWWHomePage")

A bérlőben definiált összes bővítménytulajdonság lekérése

Get-AzureADApplication | Get-AzureADApplicationExtensionProperty

Új bővítménytulajdonság létrehozása

A bővítménytulajdonságokat mindig egy bizonyos alkalmazás számára hozzák létre. Ha csak általános tulajdonságokat szeretne hozzáadni a címtárához, létrehozhat egy helyőrző alkalmazást:

$MyApp = (New-AzureADApplication -DisplayName "My Properties Bag" -IdentifierUris "https://dummy").ObjectId

Ne feledje, hogy csak akkor hozhat létre egy új bővítménytulajdonságot, ha egy egyszerű szolgáltatást is létrehoz az alkalmazáshoz a címtárban:

New-AzureADServicePrincipal -AppId (Get-AzureADApplication -SearchString "My Properties Bag").AppId

Ezután az alkalmazás használatával létrehozhat egy új bővítménytulajdonságot:

New-AzureADApplicationExtensionProperty -ObjectId $MyApp -Name "MyNewProperty" -DataType "String" -TargetObjects "User"

A parancsmag a feladat sikeres befejezését követően visszaadja az új bővítményattribútum-objektumot:

ObjectId                             Name                                                     TargetObjects
--------                             ----                                                     -------------
91ec8ae5-6813-4453-afd7-31680a484892 extension_0380f0f700c040b5aa577c9268940b53_MyNewProperty {User}

Megjegyzés

Az új tulajdonság neve a helyőrző alkalmazás> "Extension_" + <objectID formátumából + "_" + <az új tulajdonság> nevéből jön létre. Ezáltal a név pontos értéke eltérő lesz a különböző alkalmazások esetében, amelyeket létrehoz. Egy tulajdonságot több objektumtípushoz is hozzárendelhet. A példánkban mi csak egy TargetObject tulajdonságot használtunk, amely a „User”, de a „User”, „Group” értéket is megadhatta volna. Ez a felhasználói és csoportobjektumokhoz egyaránt hozzárendelte volna az objektumot.

Bővítménytulajdonságok értékének megadása

Az előző példában használt bővítménytulajdonság segítségével most már hozzárendelhetünk egy értéket:

Set-AzureADUserExtension -ObjectId $UserId -ExtensionName "extension_0380f0f700c040b5aa577c9268940b53_MyNewProperty" -ExtensionValue "MyNewValue"

Az alkalmazás esetében definiált összes bővítményattribútum lekérése

Lehetősége van az alkalmazás esetében definiált bővítményattribútumok listájának lekérésére:

Get-AzureADApplicationExtensionProperty -ObjectId (Get-AzureADApplication -SearchString "My Properties Bag").ObjectId

Ez a parancsmag az alkalmazásban található bővítménytulajdonságok listáját adja vissza:

ObjectId                             Name                                                      TargetObjects
--------                             ----                                                      -------------

91ec8ae5-6813-4453-afd7-31680a484892 extension_0380f0f700c040b5aa577c9268940b53_MyNewProperty  {User}

Bővítménytulajdonságok törlése

Ha már nincs szüksége egy bővítménytulajdonságra, törölheti:

Remove-AzureADApplicationExtensionProperty -ObjectId (Get-AzureADApplication -SearchString "My Properties Bag").ObjectID -ExtensionPropertyId 91ec8ae5-6813-4453-afd7-31680a484892

Megjegyzés

Az attribútumot nem távolíthatja el a Azure AD a kiterjesztése után, és nem törölheti azt Tenant Schema Extension App anélkül, hogy kérést küldne a PayOps-csapatnak. Emellett a címtárbővítmények beállítás kikapcsolása Azure AD varázsló nem távolítja el az attribútumokat, és nem engedi, hogy megszabaduljon az alkalmazástól.