Атрибуты расширения каталога в утверждениях

Атрибуты расширения каталога предоставляют способ хранения дополнительных данных для объектов каталога, таких как пользователи. Для выдачи утверждений приложениям можно использовать только атрибуты расширения для пользовательских объектов. В этой статье описывается, как использовать атрибуты расширения схемы каталога для отправки пользовательских данных в приложения в утверждениях маркеров.

Примечание.

Microsoft Graph предоставляет еще три механизма расширения для настройки объектов Graph. Это атрибуты расширения 1–15, открытые расширения и расширения схемы. Дополнительные сведения см. в документации по Microsoft Graph. Данные, хранящиеся в объектах Microsoft Graph с помощью расширений открытых и схем, недоступны в качестве источников для утверждений в токенах.

Атрибуты расширения каталога всегда связаны с приложением в клиенте. Имя атрибута каталога содержит идентификатор приложения в его имени.

Идентификатор атрибута расширения каталога имеет форму extension_xxxxxxxxx_AttributeName. Где xxxxxxxxx находится идентификатор приложения , для которого было определено расширение, с только символами 0-9 и A-Z.

Регистрация и использование расширений каталогов

Зарегистрируйте атрибуты расширения каталога одним из следующих способов:

• Настройте Microsoft Entra Подключение для создания и синхронизации данных с ними из локальной среды. Ознакомьтесь с расширениями каталога синхронизации microsoft Entra Подключение.
• Используйте Microsoft Graph для регистрации, задания значений и чтения из расширений каталогов. Доступны также командлеты PowerShell.

Выдача утверждений с данными из Microsoft Entra Подключение

Атрибуты расширения каталога, созданные и синхронизированные с помощью Microsoft Entra Подключение, всегда связаны с идентификатором приложения, используемым microsoft Entra Подключение. Эти атрибуты можно использовать в качестве источника утверждений, настраивая их в качестве утверждений в конфигурации корпоративных приложений на портале. После создания атрибута расширения каталога с помощью AD Подключение он отображается в конфигурации утверждений единого входа SAML.

Выдача утверждений с помощью Graph или PowerShell

Если атрибут расширения каталога зарегистрирован для использования Microsoft Graph или PowerShell, приложение можно настроить для получения данных в этом атрибуте при входе пользователя. Приложение можно настроить для получения данных в расширениях каталогов, зарегистрированных в приложении, с помощью необязательных утверждений , которые можно задать в манифесте приложения.

Затем мультитенантные приложения могут регистрировать атрибуты расширения каталога для собственного использования. Когда приложение подготавливается в клиент, связанные расширения каталога становятся доступными и используются для пользователей в этом клиенте. После того как расширение каталога доступно, его можно использовать для хранения и извлечения данных с помощью Microsoft Graph. Расширение каталога также может сопоставляться с утверждениями в токенах, платформа удостоверений Майкрософт выдает приложениям.

Если приложению необходимо отправлять утверждения с данными из атрибута расширения, зарегистрированного в другом приложении, политика сопоставления утверждений должна использоваться для сопоставления атрибута расширения с утверждением.

Распространенный шаблон управления атрибутами расширения каталога — зарегистрировать приложение специально для всех необходимых расширений каталогов. При использовании этого типа приложения все расширения имеют один и тот же идентификатор appID в имени.

Например, в следующем коде показана политика сопоставления утверждений для отправки одного утверждения из атрибута расширения каталога в токене OAuth/OIDC:

{
    "ClaimsMappingPolicy": {
        "Version": 1,
        "IncludeBasicClaimSet": "false",
        "ClaimsSchema": [{
                "Source": "User",
                "ExtensionID": "extension_xxxxxxx_test",
                "JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
            },
        ]
    }
}

Где xxxxxxx находится идентификатор приложения (или идентификатор клиента), в котором было зарегистрировано расширение.

Предупреждение

При определении политики сопоставления утверждений для атрибута расширения каталога используйте ExtensionID свойство вместо ID свойства в теле ClaimsSchema массива, как показано в предыдущем примере.

Совет

Согласованность регистров важна при задании атрибутов расширения каталога для объектов. Имена атрибутов расширения не учитывает регистр при настройке, но они чувствительны к регистру при чтении из каталога службой токенов. Если атрибут расширения задан в объекте пользователя с именем LegacyId и другим объектом пользователя с именем legacyid, при сопоставлении атрибута с утверждением с именем "LegacyId" данные успешно извлекаются, а утверждение, включенное в маркер для первого пользователя, но не второго.

Следующие шаги

• Узнайте, как настроить утверждения, выдаваемые в токенах для конкретного приложения.