Aracılığıyla paylaş

Microsoft Entra Id'de certificateUserIds özniteliğine eşleme

Microsoft Entra Id'deki kullanıcı nesnelerinin certificateUserIds adlı bir özniteliği vardır.

  • certificateUserIds özniteliği birden çok değerlidir ve en fazla 10 değer barındırabilir.
  • Her değer en fazla 1024 karakter olabilir.
  • Her değer benzersiz olmalıdır. Bir kullanıcı hesabında bir değer mevcut olduğunda, aynı Microsoft Entra kiracısında başka bir kullanıcı hesabına yazılamaz.
  • Değerin e-posta kimliği biçiminde olması gerekmez. certificateUserIds özniteliği, bob@woodgrove veya bob@local gibi yönlendirilemez kullanıcı asıl adlarını (UPN) depolayabilir.

Not

Her değerin Microsoft Entra Id'de benzersiz olması gerekse de, birden çok kullanıcı adı bağlaması uygulayarak tek bir sertifikayı birden çok hesapla eşleyebilirsiniz. Daha fazla bilgi için bkz . Birden çok kullanıcı adı bağlaması.

Sertifika kullanıcı kimlikleri için desteklenen desenler

certificateUserIds içinde depolanan değerler aşağıdaki tabloda açıklanan biçimde olmalıdır. X509:<Mapping> ön ekleri büyük/küçük harf duyarlıdır.

Sertifika eşleme alanı certificateUserIds içindeki değer örnekleri
AsılAd X509:<PN>bob@woodgrove.com
AsılAd X509:<PN>bob@woodgrove
RFC822Adı X509:<RFC822>user@woodgrove.com
DüzenleyenVeKonu X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest
Konu X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=mfatest
KAYAK X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
SHA1PublicKey (Genel Anahtar) X509:<SHA1-PUKEY>cD2eF3gH4iJ5kL6mN7oP8qR9sT
Veren ve Seri Numarası X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8qR9sT0uV
Seri numarası için doğru değeri almak için şu komutu çalıştırın ve certificateUserIds içinde gösterilen değeri depolayın:
Söz dizimi:
Certutil –dump –v [~certificate path~] >> [~dumpFile path~]
Örnek:
certutil -dump -v firstusercert.cer >> firstCertDump.txt

CertificateUserIds güncelleştirme rolleri

CertificateUserId'leri güncelleştirmek için yalnızca bulut kullanıcılarının en az Privileged Authentication Administrator rolüne sahip olması gerekir. Yalnızca bulut kullanıcıları, certificateUserId'leri güncelleştirmek için Microsoft Entra yönetim merkezini veya Microsoft Graph'ı kullanabilir.

Eşitlenen kullanıcıların certificateUserId'leri güncelleştirmek için en az Karma Kimlik Yöneticisi rolüne sahip olması gerekir. Değeri şirket içinden eşitleyerek certificateUserId'leri güncelleştirmek için yalnızca Microsoft Entra Connect kullanılabilir.

Not

Active Directory yöneticileri, eşitlenen herhangi bir hesap için Microsoft Entra Id'deki certificateUserIds değerini etkileyen değişiklikler yapabilir. Yöneticiler, eşitlenmiş kullanıcı hesapları üzerinde atanmış yönetici yetkisine sahip hesapları veya Microsoft Entra Connect sunucuları üzerinde yönetici haklarına sahip hesapları içerebilir.

PowerShell modülünü kullanarak son kullanıcı sertifikasından bir kullanıcı için doğru CertificateUserIds değerlerini bulma

Sertifika Kullanıcı Kimlikleri, kiracıdaki Kullanıcı Adı bağlama yapılandırmalarına göre belirli bir desen takip eder. Aşağıdaki PowerShell komutu, bir yöneticinin son kullanıcı sertifikasından bir kullanıcının Certificate UserIds özniteliğinin tam değerlerini almasına yardımcı olur. Yönetici ayrıca belirli bir kullanıcı adı bağlaması için kullanıcının Certificate UserIds özniteliğindeki geçerli değerleri alabilir ve Certificate UserIds özniteliğinin değerini ayarlayabilir.

Daha fazla bilgi için bkz. Microsoft Entra PowerShell Yüklemesi ve Microsoft Graph PowerShell.

  1. PowerShell'i başlatın.

  2. Microsoft Graph PowerShell SDK'sını yükleyin ve içeri aktarın.

    Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Microsoft Entra PowerShell modülünü yükleme (En düşük gerekli sürüm 1.0.6'dır)

        Install-Module -Name Microsoft.Entra

CertificateBasedAuthentication modülü hakkında daha fazla bilgi için buraya bakın

Get-EntraUserCBAAuthorizationInfo

Get-EntraUserCBAAuthorizationInfo, sertifika tabanlı kimlik doğrulama tanımlayıcıları da dahil olmak üzere bir Microsoft Entra ID kullanıcısı için yetkilendirme bilgilerinin alınmasına yardımcı olur.

Sözdizimi: Get-EntraUserCBAAuthorizationInfo [-UserId] <String>[-Raw][<CommonParameters>]

Örnek 1: Kullanıcı Asıl Adına göre kullanıcı için yetkilendirme bilgilerini alma

Connect-Entra -Scopes 'User.Read.All' 
Get-EntraUserCBAAuthorizationInfo -UserId ‘user@contoso.com'

Yanıt:

Özellik Değer
Kimlik aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Gösterim Adı Contoso User
KullanıcıTemelAdı user@contoso.com
Kullanıcı Türü Member
Yetkilendirme Bilgisi @{CertificateUserIds=System.Object[]; RawAuthorizationInfo=System.Collections.Hashtable}

Bu komut, belirtilen Kullanıcı Asıl Adına sahip kullanıcının yetkilendirme bilgilerini alır.

Örnek 2: Kullanıcı için yetkilendirme bilgilerini alma

Connect-Entra -Scopes 'User.Read.All'
$userInfo = Get-EntraUserCBAAuthorizationInfo -UserId 'user@contoso.com'
$userInfo.AuthorizationInfo.CertificateUserIds | Format-Table Type, TypeName, Value

Yanıt:

Türü TürAdı Değer
PN AsılAd user@contoso.com
S Konu CN=user@contoso.com
KAYAK Konu Anahtar Tanımlayıcısı 1111112222333344445555

Bu örnek yetkilendirme bilgilerini alır.

Örnek 3: Belirli sertifika kullanıcı kimliklerini ayıklama

Connect-Entra -Scopes 'User.Read.All'
$userInfo = Get-EntraUserCBAAuthorizationInfo -UserId user@contoso.com'
$userInfo.AuthorizationInfo.CertificateUserIds | Where-Object Type -eq "PN" | Select-Object -ExpandProperty Value

Yanıt:user@contoso.com

Bu örnek yetkilendirme bilgilerini alır ve ardından yalnızca Asıl Ad sertifika değerlerini görüntüleyecek şekilde filtreler.

Get-EntraUserCertificateUserIdsFromCertificate

Microsoft Entra Id'de Certificate-Based Kimlik Doğrulaması için CertificateUserIDs'i yapılandırmak için gereken sertifika değerlerine sahip bir nesne döndürür.

Sözdizimi: Get-EntraUserCertificateUserIdsFromCertificate [-Path] <string>[[-Certificate] <System.Security.Cryptography.X509Certificates.X509Certificate2> [-CertificateMapping] <string>][<CommonParameters>]

Sertifikadaki değerler çok uzunsa, çıktıyı bir dosyaya gönderebilir ve oradan kopyalayabilirsiniz.

Connect-Entra -Scopes 'User.Read.All'
Get-EntraUserCertificateUserIdsFromCertificate -Path C:\Downloads\test.pem | Format-List | Out-File -FilePath ".\certificateUserIds.txt"

Örnek 1: Sertifika yolundan sertifika nesnesi alma

Get-EntraUserCertificateUserIdsFromCertificate -Path 'C:\path\to\certificate.cer'

Yanıt:

Veri Akışı Adı Değer
Konu X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user
Veren ve Seri Numarası X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<SR>eF3gH4iJ5kL6mN7oP8qR9sV0uD
RFC822Adı X509:<RFC822>user@contoso.com
SHA1PublicKey (Genel Anahtar) X509:<SHA1-PUKEY>cA2eB3gH4iJ5kL6mN7oP8qR9sT
DüzenleyenVeKonu X509:<I>DC=com,DC=contoso,CN=CONTOSO-DC-CA<S>DC=com,DC=contoso,OU=UserAccounts,CN=user
KAYAK X509:<SKI>aB1cD2eF3gH4iJ5kL6mN7oP8qR
AsılAd X509:<PN>user@contoso.com

Bu örnekte, tüm olası sertifika eşlemelerinin nesne olarak nasıl alınıyor olduğu gösterilmektedir.

Örnek 2: Sertifika yolundan ve sertifika eşlemesinden sertifika nesnesi alma

Get-EntraUserCertificateUserIdsFromCertificate -Path 'C:\path\to\certificate.cer' -CertificateMapping 'Subject'

Yanıt:X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user

Bu komut PrincipalName özelliğini döndürür.

Örnek 3: Sertifikadan sertifika nesnesi alma

$text = "-----BEGIN CERTIFICATE-----
MIIDiz...=
-----END CERTIFICATE-----"
$bytes = [System.Text.Encoding]::UTF8.GetBytes($text)
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($bytes)
Get-EntraUserCertificateUserIdsFromCertificate -Certificate $certificate -CertificateMapping 'Subject'

Yanıt:X509:<S>DC=com,DC=contoso,OU=UserAccounts,CN=user

Bu komut PrincipalName özelliğini döndürür.

Set-EntraUserCBACertificateUserId

Bir sertifika dosyası veya nesnesi kullanarak Microsoft Entra Id'deki bir kullanıcı için sertifika tabanlı kimlik doğrulaması kullanıcı kimliklerini ayarlar.

Söz dizimi Set-EntraUserCBACertificateUserId -UserId <string>[-CertPath <string>][-Cert <System.Security.Cryptography.X509Certificates.X509Certificate2>]-CertificateMapping <string[]>[<CommonParameters>]

Örnek 1: Sertifika yolunu kullanarak kullanıcının sertifika yetkilendirme bilgilerini güncelleştirme

Connect-Entra -Scopes 'Directory.ReadWrite.All', 'User.ReadWrite.All'
Set-EntraUserCBACertificateUserId -UserId ‘user@contoso.com' -CertPath 'C:\path\to\certificate.cer' -CertificateMapping @('Subject', 'PrincipalName')

Bu örnek, bir sertifika dosyası kullanarak belirtilen kullanıcı için sertifika kullanıcı kimliklerini ayarlar ve hem Subject hem de PrincipalName alanlarını eşler. Güncelleştirilmiş ayrıntıları görüntülemek için Get-EntraUserCBAAuthorizationInfo komutunu kullanabilirsiniz.

Örnek 2: Sertifika kullanarak kullanıcının sertifika yetkilendirme bilgilerini güncelleştirme

Connect-Entra -Scopes 'Directory.ReadWrite.All', 'User.ReadWrite.All'
$text = '-----BEGIN CERTIFICATE-----
MIIDiz...=
-----END CERTIFICATE-----'
$bytes = [System.Text.Encoding]::UTF8.GetBytes($text)
$certificate = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new($bytes)
Set-EntraUserCBACertificateUserId -UserId user@contoso.com' -Cert $certificate -CertificateMapping @('RFC822Name', 'SKI')

Bu örnek, belirtilen kullanıcı için sertifika kullanıcı kimliklerini bir sertifika nesnesi kullanarak ayarlar ve RFC822Name ve SKI alanlarını eşler. Güncelleştirilmiş ayrıntıları görüntülemek için Get-EntraUserCBAAuthorizationInfo komutunu kullanabilirsiniz.

Microsoft Entra yönetim merkezini kullanarak certificateUserIds güncelleştirme

Kullanıcılar için certificateUserIds'i güncelleştirmek için aşağıdaki adımları kullanın:

  1. Microsoft Entra yönetim merkezinde yalnızca bulut kullanıcıları için en az Ayrıcalıklı Kimlik Doğrulama Yöneticisi olarak veya eşitlenmiş kullanıcılar için en az Karma Kimlik Yöneticisi olarak oturum açın.

  2. Tüm kullanıcılar'ı arayın ve seçin.

    Test kullanıcı hesabının ekran görüntüsü.

  3. Bir kullanıcı seçin ve Özellikleri Düzenleseçin.

  4. Yetkilendirme bilgileriyanındaki Görünümöğesini seçin.

    Yetkilendirme bilgilerini görüntüle'nin ekran görüntüsü.

  5. Sertifika kullanıcı kimliklerini düzenle seçin.

    Sertifika kullanıcı kimliklerini düzenle'nin ekran görüntüsü.

  6. Ekle'ı seçin.

    CertificateUserIds ekleme ekran görüntüsü.

  7. Değerini girin ve Kaydetseçin. Her biri 120 karakterden oluşan en çok dört değer ekleyebilirsiniz.

    certificateUserIds için girilir bir değerin ekran görüntüsü.

Microsoft Graph sorgularını kullanarak certificateUserIds'i güncelleştirme

Aşağıdaki örneklerde, certificateUserId'leri aramak ve güncelleştirmek için Microsoft Graph'ın nasıl kullanılacağı gösterilmektedir.

CertificateUserIds arama

Yetkili arayanlar, belirli bir certificateUserId değerine sahip tüm kullanıcıları bulmak için Microsoft Graph sorguları çalıştırabilir. Microsoft Graph kullanıcı nesnesinde certificateUserIds koleksiyonu authorizationInfo özelliğinde depolanır.

Tüm kullanıcı nesnelerinin certificateUserId değerlerini almak için:

GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo
ConsistencyLevel: eventual

Kullanıcının ObjectId değerine göre belirli bir kullanıcının certificateUserId değerlerini almak için:

GET https://graph.microsoft.com/v1.0/users/{user-object-id}?$select=authorizationinfo
ConsistencyLevel: eventual

certificateUserIds içinde belirli bir değere sahip kullanıcı nesnesini almak için:

GET https://graph.microsoft.com/v1.0/users?$select=authorizationinfo&$filter=authorizationInfo/certificateUserIds/any(x:x eq 'X509:<PN>user@contoso.com')&$count=true
ConsistencyLevel: eventual

Filtre koşulunu eşleştirmek için not ve startsWith işleçlerini de kullanabilirsiniz. certificateUserIds nesnesine göre filtrelemek için isteğin $count=true sorgu dizesini içermesi ve ConsistencyLevel üst bilgisinin olarak eventualayarlanması gerekir.

CertificateUserIds'i güncelleştirme

Belirli bir kullanıcının certificateUserId'lerini güncelleştirmek için bir PATCH isteği çalıştırın.

İstek gövdesi

PATCH https://graph.microsoft.com/v1.0/users/{user-object-id}
Content-Type: application/json
{
    "authorizationInfo": {
        "certificateUserIds": [
            "X509:<PN>123456789098765@mil"
        ]
    }
}

Microsoft Graph PowerShell komutlarını kullanarak certificateUserIds'i güncelleştirme

Bu yapılandırma için Microsoft Graph PowerShell'i kullanabilirsiniz.

  1. PowerShell'i yönetici ayrıcalıklarıyla başlatın.

  2. Microsoft Graph PowerShell SDK'sını yükleyin ve içeri aktarın.

        Install-Module Microsoft.Graph -Scope CurrentUser
    Import-Module Microsoft.Graph.Authentication
    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Kiracıya bağlanın ve hepsini kabul edin.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

  4. Belirli bir kullanıcının certificateUserIds özniteliğini listeleyin.

      $results = Invoke-MGGraphRequest -Method get -Uri 'https://graph.microsoft.com/v1.0/users/<userId>?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' }
  #list certificateUserIds
  $results.authorizationInfo

  5. certificateUserIds değerleriyle bir değişken oluşturun.

      #Create a new variable to prepare the change. Ensure that you list any existing values you want to keep as this operation will overwrite the existing value
  $params = @{
        authorizationInfo = @{
              certificateUserIds = @(
              "X509:<SKI>gH4iJ5kL6mN7oP8qR9sT0uV1wX", 
              "X509:<PN>user@contoso.com"
              )
        }
  }

  6. certificateUserIds özniteliğini güncelleştirin.

       $results = Invoke-MGGraphRequest -Method patch -Uri 'https://graph.microsoft.com/v1.0/users/<UserId>/?$select=authorizationinfo' -OutputType PSObject -Headers @{'ConsistencyLevel' = 'eventual' } -Body $params

Kullanıcı nesnesini kullanarak certificateUserIds'i güncelleştirme

  1. Kullanıcı nesnesini alın.

      $userObjectId = "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
  $user = Get-MgUser -UserId $userObjectId -Property AuthorizationInfo

  2. Kullanıcı nesnesinin certificateUserIds özniteliğini güncelleştirin.

       $user.AuthorizationInfo.certificateUserIds = @("X509:<SKI>iJ5kL6mN7oP8qR9sT0uV1wX2yZ", "X509:<PN>user1@contoso.com") 
   Update-MgUser -UserId $userObjectId -AuthorizationInfo $user.AuthorizationInfo

Microsoft Entra Connect kullanarak certificateUserIds güncelleştirme

Microsoft Entra Connect, değerleri şirket içi Active Directory bir ortamdan certificateUserIds ile eşitlemeyi destekler. Şirket içi Active Directory, sertifika tabanlı kimlik doğrulamayı ve birden çok kullanıcı adı bağlamayı destekler. Microsoft Entra Connect'in en son sürümünü kullandığınızdan emin olun.

Bu eşleme yöntemlerini kullanmak için şirket içi Active Directory kullanıcı nesnelerinin altSecurityIdentities özniteliğini doldurmanız gerekir. Ayrıca, KB5014754'de açıklandığı gibi Windows etki alanı denetleyicilerine sertifika tabanlı kimlik doğrulama değişiklikleri uyguladıktan sonra, şirket içi Active Directory güçlü sertifika bağlama zorlama gereksinimlerini karşılamak için yeniden kullanılamayan bazı eşleme yöntemlerini (Type=strong) uygulamış olabilirsiniz.

Eşitleme hatalarını önlemek için eşitlenen değerlerin certificateUserIds için desteklenen biçimlerden birini izlediğinden emin olun.

Başlamadan önce, şirket içindeki Active Directory'den eşitlenen tüm kullanıcı hesaplarının aşağıdakilere sahip olduğundan emin olun:

  • altSecurityIdentities özniteliklerinde 10 veya daha az değer

  • 1.024 karakterden uzun değer yok

  • Yinelenen değer yok

    Yinelenen bir değerin tek bir sertifikayı birden çok şirket içi Active Directory hesabıyla eşlemek için tasarılıp tasarlanmamış olduğunu dikkatle göz önünde bulundurun. Daha fazla bilgi için bkz . Birden çok kullanıcı adı bağlaması.

    Not

    Belirli senaryolarda, kullanıcıların bir alt kümesinin tek bir sertifikayı birden fazla şirket içi Active Directory hesaba eşlemek için geçerli bir iş gerekçesi olabilir. Bu senaryoları gözden geçirin ve gerektiğinde hem şirket içi Active Directory'de hem de Microsoft Entra Id'de birden fazla hesapla eşlemek için ayrı eşleme yöntemleri uygulayın.

CertificateUserIds'in sürekli eşitlenmesiyle ilgili dikkat edilmesi gerekenler

  • şirket içi Active Directory değerleri doldurmaya yönelik sağlama işleminin düzgün hijyen sağladığından emin olun. Yalnızca geçerli sertifikalarla ilişkili değerler doldurulur.
  • Karşılık gelen sertifikanın süresi dolduğunda veya iptal edildiğinde değerler kaldırılır.
  • 1024 karakterden büyük değerler doldurulmuyor.
  • Yinelenen değerler temin edilmemiştir.
  • Eşitlemeyi izlemek için Microsoft Entra Connect Health'i kullanın.

UserPrincipalName öğesini certificateUserIds ile eşitlemek üzere Microsoft Entra Connect'i yapılandırmak için şu adımları izleyin:

  1. Microsoft Entra Connect sunucusunda Eşitleme Kuralları Düzenleyicisi'ni bulun ve başlatın.

  2. Yön'ni seçin ve Giden'ü seçin.

    Giden eşitleme kuralının ekran görüntüsü.

  3. Microsoft Entra ID – Kullanıcı Kimliği dışa aktarma kuralını bulun, Düzenle'yi seçin ve onaylamak için Evet'i seçin.

    Kullanıcı kimliğinin ekran görüntüsü.

  4. Öncelik alanına yüksek bir sayı girin ve ardından İleriseçin.

    Öncelik değerinin ekran görüntüsü.

  5. Dönüştürmeler'i seçin>Dönüştürme ekle. Yeni bir dönüşüm oluşturabilmek için önce dönüşümler listesini aşağı kaydırmanız gerekebilir.

X509:<PN>PrincipalNameValue değerini senkronize et

X509:<PN>PrincipalNameValue değerini eşitlemek için bir giden eşitleme kuralı oluşturun ve akış türünü İfade olarak seçin. Hedef özniteliği certificateUserIds olarak seçin ve kaynak alana aşağıdaki ifadeyi ekleyin. Kaynak özniteliğiniz userPrincipalName değilse, ifadeyi buna göre değiştirebilirsiniz.

"X509:<PN>"&[userPrincipalName]

x509'un nasıl senkronize edileceğine dair ekran görüntüsü.

X509:<RFC822>RFC822Name'ı eşitlemek

X509:<RFC822 RFC822Name>öğesini eşitlemek için bir giden eşitleme kuralı oluşturun ve akış türünde İfade'yi seçin. Hedef özniteliği certificateUserIds olarak seçin ve kaynak alana aşağıdaki ifadeyi ekleyin. Kaynak özniteliğiniz userPrincipalName değilse, ifadeyi buna göre değiştirebilirsiniz.

"X509:<RFC822>"&[userPrincipalName]

RFC822Name'in nasıl eşitlenmesinin ekran görüntüsü.

  1. Hedef Öznitelik 'i seçin, certificateUserIds 'ü seçin, Kaynak 'i seçin, ve ardından userPrincipalName 'i seçin, son olarak Kaydet seçin.

    Kuralı kaydetme ekran görüntüsü.

  2. Onaylamak için Tamam'ı seçin.

Önemli

Önceki örneklerde dönüştürme kuralında kaynak özniteliği olarak userPrincipalName özniteliği kullanılır. Kullanılabilir herhangi bir özniteliği uygun değerle kullanabilirsiniz. Örneğin, bazı kuruluşlar mail özniteliğini kullanır. Daha karmaşık dönüştürme kuralları için bkz . Microsoft Entra Connect Sync: Bildirim Temelli Sağlama İfadelerini Anlama

Bildirim temelli sağlama ifadeleri hakkında daha fazla bilgi için bkz . Microsoft Entra Connect: Bildirim Temelli Sağlama İfadeleri.

altSecurityIdentities özniteliğini Active Directory'den Microsoft Entra certificateUserIds ile eşitleme

altSecurityIdentities özniteliği, varsayılan öznitelik kümesinin bir parçası değildir. Bir yöneticinin Meta veri kümesindeki kişi nesnesine yeni bir öznitelik eklemesi ve ardından bu verileri Microsoft Entra Id'deki certificateUserIds'e aktarmak için uygun eşitleme kurallarını oluşturması gerekir.

  1. MetaVeri Tasarımcısı'nı açın ve kişi nesnesini seçin. alternativeSecurityId özniteliğini oluşturmak için yeni özniteliğiseçin. 1024 karaktere kadar, CertificateUserIds için desteklenen maksimum uzunluk olan bir öznitelik boyutu oluşturmak üzere Dize (dizine eklenemez) seçin. Dize (dizinlenebilir) seçeneğini belirlerseniz, öznitelik değerinin en büyük boyutu 448 karakterdir. Çok değerli'yi seçtiğinizden emin olun.

    Yeni bir özniteliğin nasıl oluşturulacağını gösteren ekran görüntüsü.

  2. Metaverse Designer'ı açın ve person nesnesine eklemek için alternativeSecurityId öğesini seçin.

    Person nesnesine alternativeSecurityId ekleme işleminin ekran görüntüsü.

  3. altSecurityIdentities'den alternativeSecurityId özniteliğine dönüştürmek için bir gelen eşitleme kuralı oluşturun.

    Gelen kuralında aşağıdaki seçenekleri kullanın.

    Seçenek Değer
    Veri Akışı Adı Kuralın açıklayıcı adı, örneğin: Active Directory'den gelen - altSecurityIdentities
    Bağlı Sistem şirket içi Active Directory etki alanınız
    Bağlı Sistem Nesne Türü kullanıcı
    Metaverse Nesne Türü kişi
    Öncelik Şu anda kullanılmayan 100'in altında bir sayı seçin

    Ardından Dönüşümler öğesini seçin ve aşağıdaki ekran görüntüsünde gösterildiği gibi altSecurityIdentities kaynak özniteliğinden alternativeSecurityId hedef özniteliğine doğrudan bir eşleme oluşturun.

    altSecurityId varlıklarından alternateSecurityId özniteliğine dönüştürmenin ekran görüntüsü.

  4. Microsoft Entra Id'de alternativeSecurityId özniteliğinden certificateUserIds özniteliğine dönüştürmek için bir giden eşitleme kuralı oluşturun.

    Seçenek Değer
    Veri Akışı Adı Kuralın açıklayıcı adı, örneğin: Out to Microsoft Entra ID - certificateUserIds
    Bağlı Sistem Microsoft Entra etki alanınız
    Bağlı Sistem Nesne Türü kullanıcı
    Metaverse Nesne Türü kişi
    Öncelik 150 gibi tüm varsayılan kuralların üzerinde şu anda kullanılmayan yüksek bir sayı seçin

    Ardından Dönüştürmeler seçin ve aşağıdaki ekran görüntüsünde gösterildiği gibi alternativeSecurityId kaynak özniteliğinden certificateUserIds hedef özniteliğine doğrudan bir eşleme oluşturun.

    alternateSecurityId özniteliğinden certificateUserIds'e dönüştürülen dışa eşitleme kuralı ekran görüntüsü.

  5. CertificateUserIds özniteliğine verileri doldurmak için eşitlemeyi çalıştırın.

  6. Başarıyı doğrulamak için Microsoft Entra Id'de kullanıcının Yetkilendirme bilgilerini görüntüleyin.

    Başarılı eşitlemenin ekran görüntüsü.

altSecurityIdentities özniteliğindeki değerlerin bir alt kümesini eşlemek için 4. adımdaki Dönüştürme değerini bir İfade ile değiştirin. İfade kullanmak için Dönüşümler sekmesine geçin ve FlowType seçeneğinizi İfade, certificateUserIds hedef özniteliği olarak değiştirin ve ardından ifadeyi Kaynak alanına girin. Aşağıdaki örnek yalnızca SKI ve SHA1PublicKey Sertifika eşleme alanlarına hizalanmış değerleri filtreler:

İfadenin ekran görüntüsü.

İfade kodu:

IIF(IsPresent([alternativeSecurityId]),
                Where($item,[alternativeSecurityId],BitOr(InStr($item, "X509:<SKI>"),InStr($item, "X509:<SHA1-PUKEY>"))>0),[alternativeSecurityId]
)

Yöneticiler, desteklenen desenlerle uyumlu altSecurityId varlıklarından değerleri filtreleyebilir. CBA yapılandırmasının certificateUserIds ile eşitlenen kullanıcı adı bağlamalarını destekleyecek şekilde güncelleştirildiğinden emin olun ve bu değerleri kullanarak kimlik doğrulamasını etkinleştirin.

Sonraki adımlar

  • Last updated on