Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Atrybuty rozszerzenia katalogu umożliwiają przechowywanie większej ilości danych na obiektach katalogu, takich jak użytkownicy. Do emitowania oświadczeń dla aplikacji można używać tylko atrybutów rozszerzeń dotyczących obiektów użytkowników. W tym artykule opisano sposób używania atrybutów rozszerzenia katalogu do wysyłania danych użytkownika do aplikacji w oświadczeniach tokenów.
Uwaga / Notatka
Program Microsoft Graph udostępnia trzy inne mechanizmy rozszerzeń służące do dostosowywania obiektów programu Graph. Są to atrybuty rozszerzenia 1–15, otwarte rozszerzenia i rozszerzenia schematu. Aby uzyskać szczegółowe informacje, zobacz dokumentację programu Microsoft Graph . Dane przechowywane w obiektach Microsoft Graph przy użyciu rozszerzeń otwartych i schematów nie są dostępne jako źródła oświadczeń w żetonach.
Atrybuty rozszerzenia katalogowe są zawsze skojarzone z aplikacją u najemcy. Nazwa atrybutu katalogu zawiera identyfikator appId aplikacji w nazwie.
Identyfikator atrybutu rozszerzenia katalogu ma postać extension_xxxxxxxxx_AttributeName. Gdzie xxxxxxxxx to appId aplikacji, dla której zdefiniowano rozszerzenie, z tylko znakami 0–9 i A-Z.
Rejestrowanie i używanie rozszerzeń katalogu
Zarejestruj atrybuty rozszerzenia katalogu na jeden z następujących sposobów:
- Skonfiguruj program Microsoft Entra Connect, aby utworzyć je i zsynchronizować z nimi dane ze środowiska lokalnego. Zobacz Microsoft Entra Connect Sync Directory Extensions (Rozszerzenia katalogu synchronizacji programu Microsoft Entra Connect).
- Użyj programu Microsoft Graph, aby zarejestrować rozszerzenia katalogu, ustawić ich wartości i odczytać je. Dostępne są również polecenia cmdlet programu PowerShell.
Emitowanie oświadczeń przy użyciu danych z programu Microsoft Entra Connect
Atrybuty rozszerzenia katalogu utworzone i zsynchronizowane przy użyciu programu Microsoft Entra Connect są zawsze skojarzone z identyfikatorem aplikacji używanym przez program Microsoft Entra Connect. Te atrybuty mogą być używane jako źródło dla oświadczeń, konfigurując je jako oświadczenia w konfiguracji aplikacji dla przedsiębiorstw w portalu. Po utworzeniu rozszerzonego atrybutu katalogu przy użyciu programu AD Connect jest on wyświetlany w konfiguracji oświadczeń SSO SAML.
Emituj oświadczenia przy użyciu programu Graph lub programu PowerShell
Jeśli atrybut rozszerzenia katalogu jest zarejestrowany do używania programu Microsoft Graph lub programu PowerShell, można skonfigurować aplikację do odbierania danych w tym atrybucie po zalogowaniu się użytkownika. Aplikację można skonfigurować tak, aby odbierała dane w rozszerzeniach katalogu zarejestrowanych w aplikacji przy użyciu opcjonalnych oświadczeń , które można ustawić w manifeście aplikacji.
Aplikacje wielodostępne mogą następnie zarejestrować atrybuty rozszerzenia katalogu na potrzeby własnego użytku. Gdy aplikacja jest udostępniana w dzierżawie, skojarzone rozszerzenia katalogu stają się dostępne i wykorzystywane przez użytkowników w tej dzierżawie. Po udostępnieniu rozszerzenia katalogu można go użyć do przechowywania i pobierania danych przy użyciu programu Microsoft Graph. Rozszerzenie katalogu może również odwzorowywać na roszczenia w tokenach, które platforma tożsamości Microsoftu emituje aplikacjom.
Jeśli aplikacja musi wysyłać oświadczenia z danymi z atrybutu rozszerzenia zarejestrowanego w innej aplikacji, należy użyć zasad mapowania oświadczeń do mapowania atrybutu rozszerzenia na oświadczenie.
Typowym wzorcem zarządzania atrybutami rozszerzenia katalogu jest zarejestrowanie aplikacji specjalnie dla wszystkich potrzebnych rozszerzeń katalogu. W przypadku korzystania z tego typu aplikacji wszystkie rozszerzenia mają ten sam identyfikator appID w nazwie.
Na przykład poniższy kod przedstawia politykę mapowania twierdzeń, aby wyemitować jedno twierdzenie z atrybutu rozszerzenia katalogu w tokenie OAuth/OIDC.
{
"ClaimsMappingPolicy": {
"Version": 1,
"IncludeBasicClaimSet": "false",
"ClaimsSchema": [{
"Source": "User",
"ExtensionID": "extension_xxxxxxx_test",
"JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
},
]
}
}
Gdzie xxxxxxx jest appID (lub identyfikator klienta) aplikacji, z którą zarejestrowano rozszerzenie.
Ostrzeżenie
Podczas definiowania polityki mapowania roszczeń dla atrybutu rozszerzenia katalogu użyj właściwości ExtensionID zamiast właściwości ID wewnątrz tablicy ClaimsSchema, jak pokazano w poprzednim przykładzie.
Wskazówka
Ważne jest, aby zachować spójność wielkości liter podczas ustawiania atrybutów rozszerzenia katalogu na obiektach. Nazwy atrybutów rozszerzenia nie są wrażliwe na wielkość liter podczas konfigurowania, ale uwzględniają wielkość liter podczas odczytywania z katalogu przez usługę tokenu. Jeśli atrybut rozszerzenia jest ustawiony na obiekcie użytkownika o nazwie "LegacyId" i na innym obiekcie użytkownika o nazwie "legacyid", to gdy atrybut jest mapowany na oświadczenie przy użyciu nazwy "LegacyId", dane są pomyślnie pobierane i oświadczenie jest zawarte w tokenie dla pierwszego użytkownika, ale nie dla drugiego.
Dalsze kroki
- Dowiedz się, jak dostosować oświadczenia emitowane w tokenach dla określonej aplikacji.