Configure pedidos de pedidos de grupo através da utilização do Azure Ative Directory

O Azure Ative Directory (Azure AD) pode fornecer informações de membros do grupo de um utilizador em fichas para utilização dentro das aplicações. Esta funcionalidade suporta dois padrões principais:

  • Grupos identificados pelo seu atributo de identificador de objetos Azure AD (OID)
  • Grupos identificados pelo sAMAccountName ou GroupSID atributo para grupos e utilizadores sincronizados do Diretório Ativo

Importante

O número de grupos emitidos num token é limitado a 150 para afirmações SAML e 200 para JWT, incluindo grupos aninhados. Em organizações maiores, o número de grupos em que um utilizador é membro pode exceder o limite que Azure AD irá adicionar a um símbolo. Ultrapassar um limite pode levar a resultados imprevisíveis. Para soluções alternativas a estes limites, leia mais em Ressalvas Importantes para esta funcionalidade.

Ressalvas importantes para esta funcionalidade

  • O suporte à utilização de atributos de identificador de sAMAccountName segurança (SID) sincronizados a partir do local foi concebido para permitir a deslocação de aplicações existentes a partir de Serviços de Federação do Ative Directory (AD FS) (AD FS) e outros fornecedores de identidade. Os grupos geridos em Azure AD não contêm os atributos necessários para emitir estas alegações.

  • De forma a evitar o número de grupos que limitam se os seus utilizadores tiverem um grande número de membros do grupo, pode restringir os grupos emitidos em reclamações aos grupos relevantes para a aplicação. Leia mais sobre a emissão de grupos atribuídos à aplicação de tokens JWT e fichas SAML. Se não for possível atribuir grupos às suas aplicações, também pode configurar um filtro de grupo para reduzir o número de grupos emitidos na reclamação. A filtragem de grupo aplica-se a fichas emitidas para aplicações onde as reclamações de grupo e a filtragem foram configuradas na lâmina de aplicações da Enterprise no portal.

  • As alegações do grupo têm um limite de cinco grupos se o token for emitido através do fluxo implícito. Os tokens solicitados através do fluxo implícito só terão uma "hasgroups":true reclamação se o utilizador estiver em mais de cinco grupos.

  • Recomendamos basear a autorização na aplicação em funções de aplicação em vez de grupos quando:

    • Está a desenvolver uma nova aplicação, ou uma aplicação existente pode ser configurada para ela.
    • Não é necessário apoio a grupos aninhados.

    A utilização de funções de aplicação limita a quantidade de informação que precisa de entrar no token, é mais segura e separa a atribuição do utilizador da configuração da aplicação.

Pedidos de pedidos de pedidos migratórios de FS AD e outros fornecedores de identidade

Muitas aplicações configuradas para autenticar com FS AD dependem de informações de membros do grupo sob a forma de atributos de grupo Windows Server Ative Directory. Estes atributos são o grupo sAMAccountName, que pode ser qualificado pelo nome de domínio, ou o identificador de segurança do grupo Windows (GroupSID). Quando a aplicação é federada com FS AD, a AD FS utiliza a TokenGroups função para recuperar os membros do grupo para o utilizador.

Uma aplicação que foi transferida da AD FS precisa de reclamações no mesmo formato. As alegações de grupo e de função emitidas a partir de Azure AD podem conter o atributo qualificado pelo sAMAccountName domínio ou o atributo sincronizado com o GroupSID Ative Directory, em vez do atributo Azure AD objectID do grupo.

Os formatos suportados para reclamações em grupo são:

  • Azure AD grupo ObjectId: Disponível para todos os grupos.
  • sAMAccountName: Disponível para grupos sincronizados a partir do Ative Directory.
  • NetbiosDomain\sAMAccountName: Disponível para grupos sincronizados a partir do Ative Directory.
  • DNSDomainName\sAMAccountName: Disponível para grupos sincronizados a partir do Ative Directory.
  • Identificador de segurança de grupo no local: Disponível para grupos sincronizados a partir do Ative Directory.

Nota

sAMAccountName e os atributos GroupSID no local só estão disponíveis em objetos de grupo sincronizados a partir do Ative Directory. Não estão disponíveis em grupos criados em Azure AD ou Office 365. As aplicações configuradas em Azure AD para obter atributos de grupo sincronizados no local obtêm-nas apenas para grupos sincronizados.

Opções para aplicações para consumir informações de grupo

As aplicações podem ligar para o ponto final do grupo Microsoft Graph para obter informações de grupo para o utilizador autenticado. Esta chamada garante que todos os grupos em que um utilizador é membro estejam disponíveis, mesmo quando um grande número de grupos está envolvido. A enumeração em grupo é então independente das limitações no tamanho do token.

No entanto, se uma aplicação existente espera consumir informações de grupo através de reclamações, pode configurar Azure AD com vários formatos de reclamação. Considere as seguintes opções:

  • Quando se usa a filiação em grupo para autorização de inscrição, é preferível usar o atributo de grupo ObjectID . O atributo do grupo ObjectID é imutável e único em Azure AD. Está disponível para todos os grupos.

  • Se estiver a utilizar o atributo do grupo sAMAccountName no local para autorização, utilize nomes qualificados para o domínio. Reduz a hipótese de os nomes se confrontarem. sAMAccountNamepode ser único dentro de um domínio ative directory, mas se mais de um domínio ative diretório é sincronizado com um inquilino Azure AD, há a possibilidade de mais de um grupo ter o mesmo nome.

  • Considere usar funções de aplicação para fornecer uma camada de indireção entre a filiação do grupo e a aplicação. O pedido toma então decisões de autorização interna com base em reivindicações de papel no token.

  • Se a aplicação estiver configurada para obter atributos de grupo sincronizados com o Ative Directory e um grupo não contiver esses atributos, não será incluído nas alegações.

  • As reclamações do grupo em tokens incluem grupos aninhados, exceto quando você está usando a opção de restringir as reivindicações do grupo a grupos que são atribuídos à aplicação.

    Se um utilizador for membro do GrupoB e o GrupoB for membro do GrupoA, então as alegações do grupo para o utilizador conterão tanto o GrupoA como o GrupoB. Quando os utilizadores de uma organização têm um grande número de membros do grupo, o número de grupos listados no símbolo pode aumentar o tamanho do símbolo. Azure AD limita o número de grupos que emitirá num símbolo para 150 para afirmações SAML e 200 para jWT. Se um utilizador for membro de um maior número de grupos, os grupos são omitidos. Em vez disso, está incluído um link para o ponto final do Microsoft Graph para obter informações de grupo.

Pré-requisitos para a utilização de atributos de grupo sincronizados a partir do Ative Directory

As reclamações de membros do grupo podem ser emitidas em fichas para qualquer grupo se utilizar o ObjectId formato. Para utilizar as reclamações de grupo em outros formatos que não o grupoObjectId, os grupos devem ser sincronizados a partir do Ative Directory via Azure AD Connect.

Para configurar Azure AD para emitir nomes de grupo para grupos de diretórios ativos:

  1. Sincronizar nomes de grupo do Ative Directory

    Antes Azure AD pode emitir os nomes do grupo ou o grupo SID no local em reivindicações de grupo ou de função, é necessário sincronizar os atributos exigidos do Ative Directory. Deve estar a executar Azure AD versão 1.2.70 ou mais tarde. Versões anteriores de Azure AD Connect do que 1.2.70 sincronizarão os objetos de grupo do Ative Directory, mas não incluirão os atributos de nome de grupo necessários.

  2. Configure o registo de pedidos em Azure AD para incluir reclamações de grupo em fichas

    Pode configurar reclamações de grupo na secção aplicações empresariais do portal, ou utilizando o manifesto de inscrição na secção Registos de Candidaturas . Para configurar as reclamações do grupo no manifesto de candidatura, consulte configurar o registo de Azure AD de pedidos para atributos de grupo mais tarde neste artigo.

Adicionar pedidos de grupo a fichas para aplicações SAML usando a configuração SSO

Para configurar os pedidos de grupo para uma aplicação SAML de galeria ou não galeria através de um único sign-on (SSO):

  1. Abrir aplicações empresariais, selecionar a aplicação na lista, selecionar a configuração do signo único e, em seguida, selecionar Reclamações de Atributos & do Utilizador.

  2. Selecione Adicionar uma reivindicação de grupo.

    Screenshot que mostra a página para atributos e reclamações do utilizador, com o botão para adicionar uma reivindicação de grupo selecionada.

  3. Utilize as opções para selecionar quais os grupos que devem ser incluídos no token.

    Screenshot que mostra a janela 'Reclamações do Grupo' com opções de grupo.

    Seleção Descrição
    Todos os grupos Emite grupos de segurança e listas de distribuição e funções.
    Grupos de segurança Emite grupos de segurança que o utilizador é membro dos grupos.
    Funções de diretório Se o utilizador tiver funções de diretório atribuídas, são emitidas como uma wids reivindicação. (A reivindicação do grupo não será emitida.)
    Grupos atribuídos à aplicação Emite apenas os grupos que são explicitamente atribuídos à aplicação e que o utilizador é membro. Recomendado para grandes organizações devido ao limite de número de grupo em token.
    • Por exemplo, emitir todos os grupos de segurança dos quais o utilizador é membro, selecione grupos de Segurança.

      Screenshot que mostra a janela 'Reclamações do Grupo', com a opção para grupos de segurança selecionados.

      Para emitir grupos utilizando atributos ative directory sincronizados a partir do Ative Directory em vez de atributos Azure ADobjectID, selecione o formato necessário da lista de drop-down do atributo Source. Apenas grupos sincronizados do Ative Directory serão incluídos nas reclamações.

      Screenshot que mostra o menu suspenso para o atributo de origem.

    • Para emitir apenas grupos atribuídos à aplicação, selecione Grupos atribuídos à aplicação.

      Screenshot que mostra a janela 'Reclamações do Grupo', com a opção para grupos atribuídos à aplicação selecionada.

      Os grupos designados para a aplicação serão incluídos no token. Outros grupos dos que o utilizador é membro serão omitidos. Com esta opção, os grupos aninhados não estão incluídos e o utilizador deve ser um membro direto do grupo designado para a aplicação.

      Para alterar os grupos atribuídos à aplicação, selecione a aplicação a partir da lista de Aplicações empresariais . Em seguida, selecione Utilizadores e Grupos do menu esquerdo da aplicação.

      Para obter mais informações sobre a gestão da atribuição de grupos a aplicações, consulte atribuir um utilizador ou grupo a uma aplicação empresarial.

Definir as opções avançadas

Personalizar o nome de reclamação do grupo

Pode modificar a forma como as reclamações do grupo são emitidas utilizando as definições de opções Avançadas.

Se selecionar Personalizar o nome da reclamação de grupo, pode especificar um tipo de reclamação diferente para reclamações de grupo. Introduza o tipo de reclamação na caixa Nome e no espaço de nome opcional para a reclamação na caixa Namespace .

Screenshot que mostra opções avançadas, com a opção de personalizar o nome da reivindicação do grupo selecionada e os valores de nome e espaço de nome introduzidos.

Algumas aplicações exigem que as informações de membro do grupo apareçam na reivindicação de funções. Pode, opcionalmente, emitir os grupos do utilizador como funções selecionando os grupos Emit como caixa de verificação de reclamações de funções .

Screenshot que mostra opções avançadas, com as caixas de verificação selecionadas para personalizar o nome da reivindicação do grupo e emitir grupos como reivindicações de função.

Nota

Se utilizar a opção de emitir dados de grupo como funções, apenas grupos aparecerão na reivindicação de funções. Quaisquer funções de aplicação a que o utilizador está designado não aparecerão na reivindicação de funções.

Filtragem de grupo

A filtragem do grupo permite o controlo fino da lista de grupos incluídos como parte da reivindicação do grupo. Quando um filtro é configurado, apenas grupos que correspondam ao filtro serão incluídos na alegação do grupo que é enviada para essa aplicação. O filtro será aplicado contra todos os grupos, independentemente da hierarquia do grupo.

Nota

A filtragem de grupo aplica-se a fichas emitidas para aplicações onde as reclamações de grupo e a filtragem foram configuradas na lâmina de aplicações da Enterprise no portal.

Pode configurar filtros a aplicar no nome ou SAMAccountName atributo do grupo. São suportadas as seguintes operações de filtragem:

  • Prefixo: Corresponde ao início do atributo selecionado.
  • Sufixo: Corresponde ao fim do atributo selecionado.
  • Contém: Corresponde a qualquer localização no atributo selecionado.

Screenshot que mostra opções de filtragem.

Transformação em grupo

Algumas aplicações podem exigir os grupos num formato diferente de como são representados em Azure AD. Para apoiar este requisito, pode aplicar uma transformação a cada grupo que será emitido na reivindicação do grupo. Obtém-no permitindo a configuração de uma expressão regular (regex) e um valor de substituição em reivindicações personalizadas do grupo.

Screenshot da transformação do grupo, com informação regex adicionada.\

  • Padrão regex: Use um regex para analisar as cordas de texto de acordo com o padrão que definiu nesta caixa. Se o padrão regex que você esboça trueavaliar, o padrão de substituição regex será executado.
  • Padrão de substituição regex: Delineie na notação regex como pretende substituir a sua corda se o padrão regex que delineou avaliar .true Utilize grupos de captura para combinar subexpressões neste regex de substituição.

Para obter mais informações sobre os grupos de substituição e captura regex, consulte o Modelo de Objeto de Expressão Regular: O Grupo Capturado.

Nota

Como descrito na documentação Azure AD, não é possível modificar uma reclamação restrita utilizando uma apólice. A fonte de dados não pode ser alterada, e nenhuma transformação é aplicada quando se está a gerar estas alegações. A alegação do grupo ainda é uma reivindicação restrita, por isso precisa personalizar os grupos alterando o nome. Se selecionar um nome restrito para o nome da sua reivindicação de grupo personalizado, a reclamação será ignorada no tempo de execução.

Também pode usar a função de transformação regex como filtro, porque quaisquer grupos que não correspondam ao padrão regex não serão emitidos na alegação resultante.

Se a transformação aplicada aos grupos originais alegar que resulta numa nova reivindicação personalizada, então os grupos originais alegam que serão omitidos do token. No entanto, se o regex configurado não corresponder a qualquer valor na lista original, então a reclamação personalizada não estará presente e os grupos originais alegam que serão incluídos no token.

Editar a configuração de reivindicação de grupo

Depois de adicionar uma configuração de reclamação de grupo à configuração 'Reclamações de Atributos & do Utilizador ', a opção de adicionar uma reclamação de grupo não estará disponível. Para alterar a configuração de reclamação de grupo, selecione a reclamação do grupo na lista de reclamações adicionais .

Screenshot da área para atributos e reclamações do utilizador, com o nome de uma reivindicação de grupo realçada.

Configurar o registo de Azure AD de pedidos para atributos de grupo

Pode ainda configurar reclamações de grupo na secção de reclamações opcionais do manifesto de candidatura.

  1. No portal, selecione Azure Ative Directory>Application Registrations>Select Application>Manifest.

  2. Permitir reclamações de membros do grupo alterando groupMembershipClaims.

    Os valores válidos são:

    Seleção Descrição
    All Emite grupos de segurança, listas de distribuição e papéis.
    SecurityGroup Emite grupos de segurança de que o utilizador é membro da reivindicação do grupo.
    DirectoryRole Se o utilizador tiver funções de diretório atribuídas, são emitidas como uma wids reivindicação. (Uma reivindicação de grupo não será emitida.)
    ApplicationGroup Emite apenas os grupos que são explicitamente atribuídos à aplicação e que o utilizador é membro.
    None Nenhum grupo é devolvido. (Não é sensível a casos, então none também funciona. Pode ser definido diretamente no manifesto de candidatura.)

    Por exemplo:

    "groupMembershipClaims": "SecurityGroup"
    

    Por padrão, os atributos do grupo ObjectID serão emitidos no valor de reclamação do grupo. Para modificar o valor de reclamação para conter atributos de grupo no local ou para alterar o tipo de reclamação para uma função, utilize a optionalClaims configuração descrita no passo seguinte.

  3. Desa estaleie pedidos opcionais para a configuração do nome de grupo.

    Se pretender que os grupos na token contenham os atributos Ative Directory no local do grupo, especifique qual a reclamação opcional do tipo token na optionalClaims secção. Pode listar vários tipos de token:

    • idToken para o token OIDC ID
    • accessToken para o token de acesso OAuth/OIDC
    • Saml2Token para fichas SAML

    Nota

    O Saml2Token tipo aplica-se a fichas tanto no formato SAML1.1 como saml2.0.

    Para cada tipo de token relevante, modifique a reivindicação do grupo para utilizar a optionalClaims secção no manifesto. O optionalClaims esquema é o seguinte:

    {
    "name": "groups",
    "source": null,
    "essential": false,
    "additionalProperties": []
    }
    
    Esquema de reclamações opcionais Valor
    name Deve ser "groups".
    source Não é usado. Omitir ou especificar null.
    essential Não é usado. Omitir ou especificar false.
    additionalProperties Lista de propriedades adicionais. As opções válidas são"sam_account_name", "dns_domain_and_sam_account_name"e"netbios_domain_and_sam_account_name""emit_as_roles".

    Em additionalProperties, apenas um de "sam_account_name", "dns_domain_and_sam_account_name"ou "netbios_domain_and_sam_account_name" é necessário. Se mais de um está presente, o primeiro é usado e quaisquer outros são ignorados.

    Algumas aplicações requerem informações de grupo sobre o utilizador na reivindicação de funções. Para alterar o tipo de reclamação para de uma reivindicação de grupo para uma reivindicação de papel, adicione "emit_as_roles" a propriedades adicionais. Os valores do grupo serão emitidos na reivindicação do papel.

    Nota

    Se utilizar "emit_as_roles", quaisquer funções de aplicação configuradas a que o utilizador está designado não aparecerão na alegação de função.

Exemplos

Emit grupos como nomes de grupo em tokens de acesso OAuth em DNSDomainName\sAMAccountName formato:

"optionalClaims": {
    "accessToken": [{
        "name": "groups",
        "additionalProperties": ["dns_domain_and_sam_account_name"]
    }]
}

Emiti nomes de grupo para serem devolvidos em NetbiosDomain\sAMAccountName formato como a reivindicação de papel em fichas de identificação SAML e OIDC:

"optionalClaims": {
    "saml2Token": [{
        "name": "groups",
        "additionalProperties": ["netbios_domain_and_sam_account_name", "emit_as_roles"]
    }],

    "idToken": [{
        "name": "groups",
        "additionalProperties": ["netbios_domain_and_sam_account_name", "emit_as_roles"]
    }]
}

Passos seguintes