Kenmerken van directory-extensies in claims

Kenmerken van directory-extensies bieden een manier om meer gegevens op te slaan op mapobjecten zoals gebruikers. Alleen extensiekenmerken op gebruikersobjecten kunnen worden gebruikt voor verzenden van claims naar toepassingen. In dit artikel wordt beschreven hoe u kenmerken van directory-extensies gebruikt voor het verzenden van gebruikersgegevens naar toepassingen in tokenclaims.

Notitie

Microsoft Graph biedt drie andere uitbreidingsmechanismen voor het aanpassen van Graph-objecten. Dit zijn de extensiekenmerken 1-15, open extensies en schema-extensies. Zie de Microsoft Graph-documentatie voor meer informatie. Gegevens die zijn opgeslagen op Microsoft Graph-objecten met behulp van open- en schema-extensies zijn niet beschikbaar als bronnen voor claims in tokens.

Kenmerken van directory-extensies zijn altijd gekoppeld aan een toepassing in de tenant. De naam van het mapkenmerk bevat de appId van de toepassing in de naam.

De id voor een directory-extensiekenmerk is van het formulier extension_xxxxxxxxx_AttributeName. Waar xxxxxxxxx is de appId van de toepassing waarvoor de extensie is gedefinieerd, met alleen tekens 0-9 en A-Z.

Directory-extensies registreren en gebruiken

Registreer kenmerken van mapextensie op een van de volgende manieren:

• Configureer Microsoft Entra Verbinding maken om ze te maken en gegevens vanuit on-premises te synchroniseren. Zie Microsoft Entra Verbinding maken Sync Directory Extensions.
• Gebruik Microsoft Graph om de waarden van en leesbewerkingen van directory-extensies te registreren, in te stellen en te lezen. PowerShell-cmdlets zijn ook beschikbaar.

Claims verzenden met gegevens van Microsoft Entra Verbinding maken

Kenmerken van directory-extensies die zijn gemaakt en gesynchroniseerd met Microsoft Entra Verbinding maken zijn altijd gekoppeld aan de toepassings-id die wordt gebruikt door Microsoft Entra Verbinding maken. Deze kenmerken kunnen worden gebruikt als bron voor claims door ze te configureren als claims in de configuratie van bedrijfstoepassingen in de portal. Nadat een kenmerk voor de directory-extensie is gemaakt met ad-Verbinding maken, wordt dit weergegeven in de configuratie van SAML SSO-claims.

Claims verzenden met Graph of PowerShell

Als een directory-extensiekenmerk is geregistreerd voor het gebruik van Microsoft Graph of PowerShell, kan de toepassing worden geconfigureerd voor het ontvangen van gegevens in dat kenmerk wanneer de gebruiker zich aanmeldt. De toepassing kan worden geconfigureerd voor het ontvangen van gegevens in directory-extensies die zijn geregistreerd in de toepassing met behulp van optionele claims die kunnen worden ingesteld in het toepassingsmanifest.

Toepassingen met meerdere tenants kunnen vervolgens directory-extensiekenmerken registreren voor eigen gebruik. Wanneer de toepassing is ingericht in een tenant, worden de bijbehorende directory-extensies beschikbaar en gebruikt voor gebruikers in die tenant. Nadat de mapextensie beschikbaar is, kan deze worden gebruikt om gegevens op te slaan en op te halen met Behulp van Microsoft Graph. De mapextensie kan ook worden toegewezen aan claims in tokens die het Microsoft Identity Platform verzendt naar toepassingen.

Als een toepassing claims moet verzenden met gegevens van een extensiekenmerk dat is geregistreerd in een andere toepassing, moet een claimtoewijzingsbeleid worden gebruikt om het extensiekenmerk toe te wijzen aan de claim.

Een veelvoorkomend patroon voor het beheren van directory-extensiekenmerken is het registreren van een toepassing specifiek voor alle directory-extensies die u nodig hebt. Wanneer u dit type toepassing gebruikt, hebben alle extensies dezelfde appID in hun naam.

De volgende code toont bijvoorbeeld een claimtoewijzingsbeleid voor het verzenden van één claim vanuit een directory-extensiekenmerk in een OAuth/OIDC-token:

{
    "ClaimsMappingPolicy": {
        "Version": 1,
        "IncludeBasicClaimSet": "false",
        "ClaimsSchema": [{
                "Source": "User",
                "ExtensionID": "extension_xxxxxxx_test",
                "JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
            },
        ]
    }
}

Waar xxxxxxx is de appID (of client-id) van de toepassing waarmee de extensie is geregistreerd.

Waarschuwing

Wanneer u een claimtoewijzingsbeleid definieert voor een directory-extensiekenmerk, gebruikt u de ExtensionID eigenschap in plaats van de ID eigenschap in de hoofdtekst van de ClaimsSchema matrix, zoals wordt weergegeven in het vorige voorbeeld.

Tip

Consistentie van hoofdletters is belangrijk wanneer u kenmerken van mapextensie instelt voor objecten. Namen van extensiekenmerken zijn niet hoofdlettergevoelig wanneer ze worden ingesteld, maar ze zijn hoofdlettergevoelig wanneer ze worden gelezen uit de map door de tokenservice. Als een extensiekenmerk is ingesteld op een gebruikersobject met de naam LegacyId en op een ander gebruikersobject met de naam 'legacyid', wanneer het kenmerk is toegewezen aan een claim met de naam LegacyId, worden de gegevens opgehaald en wordt de claim opgenomen in het token voor de eerste gebruiker, maar niet de tweede.

Volgende stappen

• Meer informatie over het aanpassen van claims die worden verzonden in tokens voor een specifieke app.