Udostępnij za pośrednictwem

Mapowanie na atrybut certificateUserIds w identyfikatorze Entra firmy Microsoft

Obiekty użytkownika w identyfikatorze Entra firmy Microsoft mają atrybut o nazwie certificateUserIds.

  • Atrybut certificateUserIds jest wielowartościowy i może przechowywać maksymalnie 10 wartości.
  • Każda wartość nie może zawierać więcej niż 1024 znaków.
  • Każda wartość musi być unikatowa. Gdy wartość jest zapisana na jednym koncie użytkownika, nie można jej zapisać na żadnym innym koncie użytkownika w tej samej dzierżawie Microsoft Entra.
  • Wartość nie musi być w formacie identyfikatora poczty e-mail. Atrybut certificateUserIds może przechowywać nieroutowalne nazwy główne użytkowników (UPN), takie jak bob@woodgrove lub bob@local.

Uwaga

Mimo że każda wartość musi być unikatowa w identyfikatorze Entra firmy Microsoft, można mapować jeden certyfikat na wiele kont, implementując wiele powiązań nazw użytkowników. Aby uzyskać więcej informacji, zobacz Wiele powiązań nazw użytkowników.

Obsługiwane wzorce dla identyfikatorów użytkowników certyfikatów

Wartości przechowywane w identyfikatorach certificateUserId powinny być w formacie opisanym w poniższej tabeli. Prefiksy X509:<Mapowanie> są uwzględniane w wielkości liter.

Pole mapowania certyfikatu Przykłady wartości w identyfikatorach użytkowników certyfikatów
NazwaGłówna X509:<PN>bob@woodgrove.com
NazwaGłówna X509:<PN>bob@woodgrove
RFC822Name X509:<RFC822>user@woodgrove.com
WydawcaIOsobisty X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest
Temat X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest
Narta X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
SHA1PublicKey X509:<SHA1-PUKEY>cD2eF3gH4iJ5kL6mN7oP8qR9sT
WystawcaINumerSeryjny X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8qR9sT0uV
Aby uzyskać poprawną wartość numeru seryjnego, uruchom to polecenie i zapisz wartość wyświetlaną w certificateUserIds:
Składnia:
Certutil –dump –v [~certificate path~] >> [~dumpFile path~]
Przykład:
certutil -dump -v firstusercert.cer >> firstCertDump.txt

Role do aktualizacji certificateUserIds

Użytkownicy korzystający tylko z chmury muszą mieć co najmniej rolę administratora uwierzytelniania uprzywilejowanego , aby zaktualizować identyfikatory certificateUserId. Użytkownicy tylko w chmurze mogą używać centrum administracyjnego firmy Microsoft Entra lub programu Microsoft Graph do aktualizowania identyfikatorów certificateUserId.

Zsynchronizowani użytkownicy muszą mieć co najmniej rolę administratora tożsamości hybrydowej, aby zaktualizować certificateUserIds. Tylko program Microsoft Entra Connect może służyć do aktualizowania identyfikatorów certificateUserId przez zsynchronizowanie wartości ze środowiska lokalnego.

Uwaga

Administratorzy usługi Active Directory mogą wprowadzać zmiany wpływające na wartość certificateUserIds w identyfikatorze Entra firmy Microsoft dla dowolnego zsynchronizowanego konta. Administratorzy mogą dołączać konta z delegowanymi uprawnieniami administracyjnymi do synchronizowanych kont użytkowników lub uprawnieniami administracyjnymi na serwerach Microsoft Entra Connect.

Jak znaleźć poprawne wartości CertificateUserIds dla użytkownika z certyfikatu użytkownika końcowego przy użyciu modułu programu PowerShell

Identyfikatory userid certyfikatu są zgodne z określonym wzorcem dla jego wartości zgodnie z konfiguracjami powiązań UserName w dzierżawie. Następujące polecenie programu PowerShell pomaga administratorowi pobrać dokładne wartości atrybutu UserIds certyfikatu dla użytkownika z certyfikatu użytkownika końcowego. Administrator może również uzyskać bieżące wartości atrybutu UserIds certyfikatu dla użytkownika dla danego powiązania nazwy użytkownika i ustawić wartość atrybutu Identyfikatory użytkownika certyfikatu.

Więcej informacji można znaleźć na stronie Microsoft Entra PowerShell Installation and Microsoft Graph PowerShell (Instalacja programu Microsoft Entra PowerShell i program Microsoft Graph PowerShell).

  1. Uruchom program PowerShell.

  2. Zainstaluj i zaimportuj zestaw MICROSOFT Graph PowerShell SDK.

    Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Zainstaluj moduł Microsoft Entra PowerShell (minimalna wymagana wersja to 1.0.6)

        Install-Module -Name Microsoft.Entra

Więcej informacji na temat modułu CertificateBasedAuthentication znajduje się tutaj

Get-EntraUserCBAAuthorizationInfo

Get-EntraUserCBAAuthorizationInfo pomaga pobrać informacje o autoryzacji dla użytkownika identyfikatora entra firmy Microsoft, w tym identyfikatory uwierzytelniania opartego na certyfikatach.

Składnia: Get-EntraUserCBAAuthorizationInfo [-UserId] <String>[-Raw][<CommonParameters>]

Przykład 1. Uzyskiwanie informacji o autoryzacji użytkownika według głównej nazwy użytkownika

Connect-Entra -Scopes 'User.Read.All' 
Get-EntraUserCBAAuthorizationInfo -UserId ‘user@contoso.com'

Odpowiedź:

Atrybut Wartość
Id aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Nazwa wyświetlana Contoso User
NazwaGłównaUżytkownika user@contoso.com
Typ użytkownika Member
Informacje o autoryzacji @{CertificateUserIds=System.Object[]; RawAuthorizationInfo=System.Collections.Hashtable}

To polecenie pobiera informacje o autoryzacji użytkownika z określoną główną nazwą użytkownika.

Przykład 2. Pobieranie informacji o autoryzacji dla użytkownika

Connect-Entra -Scopes 'User.Read.All'
$userInfo = Get-EntraUserCBAAuthorizationInfo -UserId 'user@contoso.com'
$userInfo.AuthorizationInfo.CertificateUserIds | Format-Table Type, TypeName, Value

Odpowiedź:

Typ NazwaTypu Wartość
PN NazwaGłówna user@contoso.com
S Temat CN=user@contoso.com
Narta IdentyfikatorKluczaPodmiotu 1111112222333344445555

W tym przykładzie są pobierane informacje o autoryzacji.

Przykład 3. Wyodrębnianie identyfikatorów użytkownika określonego certyfikatu

Connect-Entra -Scopes 'User.Read.All'
$userInfo = Get-EntraUserCBAAuthorizationInfo -UserId user@contoso.com'
$userInfo.AuthorizationInfo.CertificateUserIds | Where-Object Type -eq "PN" | Select-Object -ExpandProperty Value

Odpowiedź:user@contoso.com

Ten przykład pobiera informacje o autoryzacji, a następnie filtruje, aby wyświetlić tylko wartości certyfikatu Nazwa główna.

Get-EntraUserCertificateUserIdsFromCertificate

Zwraca obiekt z wartościami certyfikatu potrzebnymi do skonfigurowania identyfikatorów CertificateUserID dla uwierzytelniania Certificate-Based w Microsoft Entra ID.

Składnia: Get-EntraUserCertificateUserIdsFromCertificate [-Path] <string>[[-Certificate] <System.Security.Cryptography.X509Certificates.X509Certificate2> [-CertificateMapping] <string>][<CommonParameters>]

Jeśli wartości z certyfikatu są zbyt długie, możesz wysłać dane wyjściowe do pliku i skopiować z tego miejsca.

Connect-Entra -Scopes 'User.Read.All'
Get-EntraUserCertificateUserIdsFromCertificate -Path C:\Downloads\test.pem | Format-List | Out-File -FilePath ".\certificateUserIds.txt"

Przykład 1. Pobieranie obiektu certyfikatu ze ścieżki certyfikatu

Get-EntraUserCertificateUserIdsFromCertificate -Path 'C:\path\to\certificate.cer'

Odpowiedź:

Nazwisko Wartość
Temat Zobacz materiał X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user
WystawcaINumerSeryjny Zobacz materiał X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8qR9sV0uD
RFC822Name Zobacz materiał X509:<RFC822>user@contoso.com
SHA1PublicKey Zobacz materiał X509:<SHA1-PUKEY>cA2eB3gH4iJ5kL6mN7oP8qR9sT
WydawcaIOsobisty Zobacz materiał X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=user
Narta Zobacz materiał X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
NazwaGłówna Zobacz materiał X509:<PN>user@contoso.com

W tym przykładzie pokazano, jak uzyskać wszystkie możliwe mapowania certyfikatów jako obiekt.

Przykład 2. Wydobycie obiektu certyfikatu w kontekście ścieżki certyfikatu i mapowania certyfikatu

Get-EntraUserCertificateUserIdsFromCertificate -Path 'C:\path\to\certificate.cer' -CertificateMapping 'Subject'

Odpowiedź:X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user

To polecenie zwraca właściwość PrincipalName.

Przykład 3. Pobieranie obiektu certyfikatu z certyfikatu

$text = "-----BEGIN CERTIFICATE-----
MIIDiz...=
-----END CERTIFICATE-----"
$bytes = [System.Text.Encoding]::UTF8.GetBytes($text)
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($bytes)
Get-EntraUserCertificateUserIdsFromCertificate -Certificate $certificate -CertificateMapping 'Subject'

Odpowiedź:X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user

To polecenie zwraca właściwość PrincipalName.

Set-EntraUserCBACertificateUserId

Ustawia identyfikatory użytkowników uwierzytelniania opartego na certyfikatach dla użytkownika w usłudze Microsoft Entra ID przy użyciu pliku certyfikatu lub obiektu.

Set-EntraUserCBACertificateUserId składni-UserId <string>[-CertPath <string>][-Cert <System.Security.Cryptography.X509Certificates.X509Certificate2>]-CertificateMapping <string[]>[<CommonParameters>]

Przykład 1. Aktualizowanie informacji o autoryzacji certyfikatu użytkownika przy użyciu ścieżki certyfikatu

Connect-Entra -Scopes 'Directory.ReadWrite.All', 'User.ReadWrite.All'
Set-EntraUserCBACertificateUserId -UserId ‘user@contoso.com' -CertPath 'C:\path\to\certificate.cer' -CertificateMapping @('Subject', 'PrincipalName')

W tym przykładzie ustawiono identyfikatory użytkownika certyfikatu dla określonego użytkownika przy użyciu pliku certyfikatu, mapując zarówno pola Podmiot, jak i PrincipalName. Aby wyświetlić zaktualizowane szczegóły, możesz użyć polecenia Get-EntraUserCBAAuthorizationInfo.

Przykład 2. Aktualizowanie informacji o autoryzacji certyfikatu użytkownika przy użyciu certyfikatu

Connect-Entra -Scopes 'Directory.ReadWrite.All', 'User.ReadWrite.All'
$text = '-----BEGIN CERTIFICATE-----
MIIDiz...=
-----END CERTIFICATE-----'
$bytes = [System.Text.Encoding]::UTF8.GetBytes($text)
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($bytes)
Set-EntraUserCBACertificateUserId -UserId user@contoso.com' -Cert $certificate -CertificateMapping @('RFC822Name', 'SKI')

W tym przykładzie ustawiono identyfikatory użytkownika certyfikatu dla określonego użytkownika przy użyciu obiektu certyfikatu, mapowania pól RFC822Name i SKI. Aby wyświetlić zaktualizowane szczegóły, możesz użyć polecenia Get-EntraUserCBAAuthorizationInfo.

Aktualizowanie identyfikatorów certificateUserId przy użyciu centrum administracyjnego firmy Microsoft Entra

Wykonaj następujące kroki, aby zaktualizować identyfikatory certificateUserId dla użytkowników:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator uwierzytelniania uprzywilejowanego dla użytkowników korzystających tylko z chmury lub co najmniej jako administrator tożsamości hybrydowej dla zsynchronizowanych użytkowników.

  2. Wyszukaj i wybierz pozycję Wszyscy użytkownicy.

    Zrzut ekranu przedstawiający testowe konto użytkownika.

  3. Wybierz użytkownika i wybierz pozycję Edytuj właściwości.

  4. Obok pozycji Informacje o autoryzacji wybierz pozycję Widok.

    Zrzut ekranu przedstawiający wyświetlanie informacji o autoryzacji.

  5. Wybierz pozycję Edytuj identyfikatory użytkowników certyfikatu.

    Zrzut ekranu przedstawiający edytowanie identyfikatorów użytkowników certyfikatu.

  6. Wybierz pozycję Dodaj.

    Zrzut ekranu przedstawiający sposób dodawania identyfikatorów użytkowników do certyfikatu.

  7. Wprowadź wartość i wybierz pozycję Zapisz. Można dodać maksymalnie cztery wartości, każdy z 120 znaków.

    Zrzut ekranu przedstawiający wartość, która ma być wprowadzana dla identyfikatorów certificateUserId.

Aktualizowanie identyfikatorów certificateUserId przy użyciu zapytań programu Microsoft Graph

W poniższych przykładach pokazano, jak za pomocą programu Microsoft Graph wyszukać identyfikatory certificateUserId i zaktualizować je.

Wyszukaj identyfikatory użytkowników certyfikatów

Autoryzowane osoby wywołujące mogą uruchamiać zapytania programu Microsoft Graph, aby znaleźć wszystkich użytkowników z daną wartością certificateUserId. W obiekcie użytkownika programu Microsoft Graph kolekcja certificateUserIds jest przechowywana we właściwości authorizationInfo .

Aby pobrać identyfikatory certificateUserId wszystkich obiektów użytkownika:

GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo
ConsistencyLevel: eventual

Aby pobrać identyfikatory certificateUserId dla danego użytkownika według identyfikatora ObjectId użytkownika:

GET https://graph.microsoft.com/v1.0/users/{user-object-id}?$select=authorizationinfo
ConsistencyLevel: eventual

Aby pobrać obiekt użytkownika z określoną wartością w certificateUserIds:

GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo&$filter=authorizationInfo/certificateUserIds/any(x:x eq 'X509:<PN>user@contoso.com')&$count=true
ConsistencyLevel: eventual

Można również użyć operatorów not oraz startsWith, aby dopasować warunek filtru. Aby filtrować względem obiektu certificateUserIds, żądanie musi zawierać $count=true parametr zapytania, a nagłówek ConsistencyLevel musi być ustawiony na eventual.

Zaktualizuj identyfikatory użytkowników certyfikatu

Uruchom żądanie PATCH, aby zaktualizować identyfikatory certificateUserId dla danego użytkownika.

Treść żądania

PATCH https://graph.microsoft.com/v1.0/users/{user-object-id}
Content-Type: application/json
{
    "authorizationInfo": {
        "certificateUserIds": [
            "X509:<PN>123456789098765@mil"
        ]
    }
}

Aktualizowanie identyfikatorów certificateUserId przy użyciu poleceń programu PowerShell programu Microsoft Graph

W przypadku tej konfiguracji można użyć programu Microsoft Graph PowerShell.

  1. Uruchom program PowerShell z uprawnieniami administratora.

  2. Zainstaluj i zaimportuj zestaw MICROSOFT Graph PowerShell SDK.

        Install-Module Microsoft.Graph -Scope CurrentUser
    Import-Module Microsoft.Graph.Authentication
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Połącz się z najemcą i zaakceptuj wszystko.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

  4. Wyświetl atrybut certificateUserIds danego użytkownika.

      $results = Invoke-MGGraphRequest -Method get -Uri 'https://graph.microsoft.com/v1.0/users/<userId>?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' }
  #list certificateUserIds
  $results.authorizationInfo

  5. Utwórz zmienną z wartościami certificateUserIds.

      #Create a new variable to prepare the change. Ensure that you list any existing values you want to keep as this operation will overwrite the existing value
  $params = @{
        authorizationInfo = @{
              certificateUserIds = @(
              "X509:<SKI>gH4iJ5kL6mN7oP8qR9sT0uV1wX", 
              "X509:<PN>user@contoso.com"
              )
        }
  }

  6. Zaktualizuj atrybut certificateUserIds.

       $results = Invoke-MGGraphRequest -Method patch -Uri 'https://graph.microsoft.com/v1.0/users/<UserId>/?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' } -Body $params

Aktualizowanie identyfikatorów certificateUserId za pomocą obiektu użytkownika

  1. Pobierz obiekt użytkownika.

      $userObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
  $user = Get-MgUser -UserId $userObjectId -Property AuthorizationInfo

  2. Zaktualizuj atrybut certificateUserIds obiektu użytkownika.

       $user.AuthorizationInfo.certificateUserIds = @("X509:<SKI>iJ5kL6mN7oP8qR9sT0uV1wX2yZ", "X509:<PN>user1@contoso.com") 
   Update-MgUser -UserId $userObjectId -AuthorizationInfo $user.AuthorizationInfo

Aktualizowanie identyfikatorów certificateUserId przy użyciu programu Microsoft Entra Connect

Program Microsoft Entra Connect obsługuje synchronizowanie wartości z identyfikatorami certificateUserIds z lokalnego środowiska Active Directory. Lokalna usługa Active Directory obsługuje uwierzytelnianie oparte na certyfikatach i wiele powiązań nazw użytkowników. Upewnij się, że używasz najnowszej wersji programu Microsoft Entra Connect.

Aby użyć tych metod mapowania, należy wypełnić atrybut altSecurityIdentities obiektów użytkowników w lokalnym Active Directory. Ponadto, po zastosowaniu zmian uwierzytelniania opartych na certyfikatach na kontrolerach domeny Windows, zgodnie z opisem w KB5014754, możesz zaimplementować niektóre metody mapowania niepowtarzalne (Type=strong), aby spełnić wymagania dotyczące wymuszania silnych powiązań certyfikatów w usłudze Active Directory.

Aby zapobiec błędom synchronizacji, upewnij się, że synchronizowane wartości są zgodne z jednym z obsługiwanych formatów dla identyfikatorów certificateUserId.

Przed rozpoczęciem upewnij się, że wszystkie konta użytkowników zsynchronizowane z lokalna usługa Active Directory mają następujące elementy:

  • 10 lub mniej wartości w atrybutach altSecurityIdentities

  • Brak wartości z więcej niż 1024 znakami

  • Brak zduplikowanych wartości

    Należy dokładnie rozważyć, czy zduplikowana wartość ma na celu mapowanie pojedynczego certyfikatu na wiele kont w lokalnej domenie Active Directory. Aby uzyskać więcej informacji, zobacz Wiele powiązań nazw użytkowników.

    Uwaga

    W określonych scenariuszach podzbiór użytkowników może mieć prawidłowe uzasadnienie biznesowe do przypisania pojedynczego certyfikatu do więcej niż jednego lokalnego konta usługi Active Directory. Przejrzyj te scenariusze i w razie potrzeby zaimplementuj oddzielne metody mapowania, aby mapować na więcej niż jedno konto zarówno w lokalnej usłudze Active Directory, jak i identyfikatorze Entra firmy Microsoft.

Zagadnienia dotyczące ciągłej synchronizacji identyfikatorów certificateUserId

  • Upewnij się, że proces wdrażania wartości w lokalnej usłudze Active Directory implementuje właściwą higienę. Wypełniane są tylko wartości skojarzone z bieżącymi prawidłowymi certyfikatami.
  • Wartości są usuwane po wygaśnięciu lub odwołaniu odpowiedniego certyfikatu.
  • Wartości większe niż 1024 znaki nie są wypełniane.
  • Zduplikowane wartości nie są uwzględniane.
  • Monitorowanie synchronizacji za pomocą programu Microsoft Entra Connect Health.

Wykonaj następujące kroki, aby skonfigurować program Microsoft Entra Connect w celu zsynchronizowania parametru userPrincipalName z identyfikatorami certificateUserId:

  1. Na serwerze Microsoft Entra Connect znajdź i uruchom Edytor reguł synchronizacji.

  2. Wybierz Kierunek i Wychodzące.

    Zrzut ekranu przedstawiający regułę synchronizacji ruchu wychodzącego.

  3. Znajdź regułę Do identyfikatora Microsoft Entra ID – Tożsamość użytkownika, wybierz Edytuj, a następnie wybierz Tak, aby potwierdzić.

    Zrzut ekranu przedstawiający tożsamość użytkownika.

  4. Wprowadź dużą liczbę w polu Pierwszeństwo , a następnie wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający wartość pierwszeństwa.

  5. Wybierz pozycję Przekształcenia>Dodaj przekształcenie. Zanim będzie można utworzyć nowy, może być konieczne przewinięcie w dół listy przekształceń.

Synchronizowanie wartości X509:<PN>"PrincipalNameValue"

Aby zsynchronizować wartość X509:<PN>PrincipalNameValue, utwórz regułę synchronizacji wychodzącej i wybierz pozycję Wyrażenie w typie przepływu. Wybierz atrybut docelowy jako certificateUserIds, a w polu źródłowym dodaj następujące wyrażenie. Jeśli atrybut źródłowy nie jest userPrincipalName, możesz odpowiednio zmienić wyrażenie.

"X509:<PN>"&[userPrincipalName]

Zrzut ekranu przedstawiający sposób synchronizacji x509.

Synchronizuj X509:<RFC822>RFC822Name

Aby zsynchronizować X509:<RFC822>RFC822Name, utwórz regułę synchronizacji wychodzącej i wybierz Wyrażenie w typie przepływu. Wybierz atrybut docelowy jako certificateUserIds, a w polu źródłowym dodaj następujące wyrażenie. Jeśli atrybut źródłowy nie jest userPrincipalName, możesz odpowiednio zmienić wyrażenie.

"X509:<RFC822>"&[userPrincipalName]

Zrzut ekranu przedstawiający sposób synchronizowania nazwy RFC822Name.

  1. Wybierz pozycję Atrybut docelowy, wybierz pozycję certificateUserIds, wybierz pozycję Źródło, wybierz pozycję userPrincipalName, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający sposób zapisywania reguły.

  2. Wybierz przycisk OK , aby potwierdzić.

Ważne

Powyższe przykłady używają atrybutu userPrincipalName jako atrybutu źródłowego w regule przekształcania. Możesz użyć dowolnego dostępnego atrybutu z odpowiednią wartością. Na przykład niektóre organizacje używają atrybutu poczty. Aby uzyskać bardziej złożone reguły przekształcania, zobacz Microsoft Entra Connect Sync: Opis wyrażeń aprowizacji deklaratywnej

Aby uzyskać więcej informacji na temat wyrażeń aprowizacji deklaratywnej, zobacz Microsoft Entra Connect: Deklaratywne wyrażenia aprowizacji.

Synchronizowanie atrybutu altSecurityIdentities z usługi Active Directory do identyfikatorów certificateUserIds w Microsoft Entra

Atrybut altSecurityIdentities nie jest częścią domyślnego zestawu atrybutów. Administrator musi dodać nowy atrybut do obiektu osoby w Metaverse, a następnie utworzyć odpowiednie reguły synchronizacji, aby przekazać te informacje do identyfikatorów certificateUserIds w usłudze Microsoft Entra ID.

  1. Otwórz projektanta Metaverse i wybierz obiekt osoby. Aby utworzyć atrybut alternativeSecurityId, wybierz pozycję Nowy atrybut. Wybierz Ciąg (nieindeksowalny), aby utworzyć atrybut do 1024 znaków długości, co jest maksymalną obsługiwaną długością identyfikatorów użytkowników certyfikatu. W przypadku wybrania pozycji Ciąg (indeksowalny) maksymalny rozmiar wartości atrybutu wynosi 448 znaków. Upewnij się, że wybrano opcję Wielowartościowy.

    Zrzut ekranu przedstawiający sposób tworzenia nowego atrybutu.

  2. Otwórz program Metaverse Designer i wybierz pozycję alternativeSecurityId, aby dodać go do obiektu osoba.

    Zrzut ekranu przedstawiający sposób dodawania alternativeSecurityId do obiektu osoba.

  3. Utwórz regułę synchronizacji ruchu przychodzącego, aby przekształcić atrybut altSecurityIdentities do atrybutu alternativeSecurityId.

    W regule ruchu przychodzącego użyj następujących opcji.

    Opcja Wartość
    Nazwisko Opisowa nazwa reguły, na przykład: w usłudze Active Directory — altSecurityIdentities
    Połączony system Twoja lokalna domena Active Directory
    Typ obiektu systemu połączonego Użytkownik
    Typ obiektu Metaverse osoba
    Pierwszeństwo Wybierz liczbę poniżej 100, która nie jest obecnie używana

    Następnie wybierz pozycję Przekształcenia i utwórz bezpośrednie mapowanie atrybutu docelowego alternativeSecurityId z atrybutu źródłowego altSecurityIdentities, jak pokazano na poniższym zrzucie ekranu.

    Zrzut ekranu przedstawiający sposób przekształcania atrybutu altSecurityIdentities na alternateSecurityId.

  4. Utwórz regułę synchronizacji ruchu wychodzącego w celu przekształcenia atrybutu alternativeSecurityId na atrybut certificateUserIds w identyfikatorze Entra firmy Microsoft.

    Opcja Wartość
    Nazwisko Opisowa nazwa reguły, na przykład: Out to Microsoft Entra ID — certificateUserIds
    Połączony system Twoja domena Microsoft Entra
    Typ obiektu systemu połączonego Użytkownik
    Typ obiektu Metaverse osoba
    Pierwszeństwo Wybierz dużą liczbę, która nie jest obecnie używana powyżej wszystkich reguł domyślnych, takich jak 150

    Następnie wybierz pozycję Przekształcenia i utwórz bezpośrednie mapowanie do docelowego atrybutu certificateUserIds z atrybutu źródłowego alternativeSecurityId, jak pokazano na poniższym zrzucie ekranu.

    Zrzut ekranu przedstawiający regułę synchronizacji wychodzącej w celu przekształcenia atrybutu alternateSecurityId na certificateUserIds.

  5. Uruchom synchronizację, aby wypełnić dane atrybutem certificateUserIds.

  6. Aby zweryfikować powodzenie, wyświetl informacje o autoryzacji użytkownika w identyfikatorze Entra firmy Microsoft.

    Zrzut ekranu przedstawiający pomyślną synchronizację.

Aby zamapować podzbiór wartości z atrybutu altSecurityIdentities, zastąp przekształcenie w kroku 4 wyrażeniem. Aby użyć wyrażenia, przejdź do karty Przekształcenia i zmień opcję FlowType na Expression, atrybut docelowy na certificateUserIds, a następnie wprowadź wyrażenie w polu Źródło. Poniższy przykład filtruje tylko wartości, które są zgodne z polami mapowania certyfikatu SKI i SHA1PublicKey:

Zrzut ekranu przedstawiający wyrażenie.

Kod wyrażeń:

IIF(IsPresent([alternativeSecurityId]),
                Where($item,[alternativeSecurityId],BitOr(InStr($item, "X509:<SKI>"),InStr($item, "X509:<SHA1-PUKEY>"))>0),[alternativeSecurityId]
)

Administratorzy mogą filtrować wartości z altSecurityIdentities, które są zgodne z obsługiwanymi wzorcami. Upewnij się, że konfiguracja cba została zaktualizowana w celu obsługi powiązań nazw użytkowników zsynchronizowanych z identyfikatorami certificateUserId i włączenia uwierzytelniania przy użyciu tych wartości.

Następne kroki