Felhasználói profilattribútumok
Az Azure Active Directory B2C (Azure AD B2C) címtár felhasználói profilja beépített attribútumokkal rendelkezik, például utónév, vezetéknév, város, irányítószám és telefonszám. A felhasználói profilt kiterjesztheti saját alkalmazásadataival anélkül, hogy külső adattárat kellene használnia.
A Microsoft Graph API az Azure-ral használható attribútumok többségét támogatja. Ez a cikk az Azure AD B2C által támogatott felhasználóiprofil-attribútumokat ismerteti. Megjegyzi azokat az attribútumokat is, amelyeket a Microsoft Graph nem támogat, és a Microsoft Graph API-attribútumokat, amelyeket az Azure AD B2C-nek nem kellene használnia.
Fontos
Ne használjon beépített vagy bővítményattribútumokat bizalmas személyes adatok, például fiók hitelesítő adatainak, kormányzati azonosítószámainak, kártyatulajdonosi adatainak, pénzügyi fiókadatainak, egészségügyi adatainak vagy bizalmas háttéradatainak tárolására.
Külső rendszerekkel is integrálható. Használhatja például az Azure AD B2C-t hitelesítéshez, de az ügyféladatok mérvadó forrásaként delegálhat külső ügyfélkapcsolat-kezelési (CRM) vagy ügyfélhűség-adatbázist. További információt a távoli profilmegoldásban talál.
Microsoft Entra felhasználói erőforrástípus
Az Azure AD B2C címtár felhasználói profilja támogatja az alábbi táblázatban felsorolt felhasználói erőforrástípus-attribútumokat . A következő információkat adja meg az egyes attribútumokról:
- Az Azure AD B2C által használt attribútumnév (ha eltérő, zárójelben a Microsoft Graph neve)
- Attribútum adattípusa
- Attribútum leírása
- Az attribútum elérhető-e az Azure Portalon
- Azt jelzi, hogy az attribútum használható-e egy felhasználói folyamatban
- Azt, hogy az attribútum használható-e egyéni szabályzatban a Microsoft Entra ID technikai profilban , és melyik szakaszban (<InputClaims>, <OutputClaims> vagy <PersistedClaims>)
| Name | Dátum típusa | Leírás | Elérhető az Azure Portalon | A felhasználói folyamatokban használatos | Egyéni szabályzatban használva |
|---|---|---|---|---|---|
| accountEnabled | Logikai | Függetlenül attól, hogy a felhasználói fiók engedélyezve van-e vagy letiltva: igaz , ha a fiók engedélyezve van, egyébként hamis. | Igen | Nem | Megőrzött, kimenet |
| ageGroup | Sztring | A felhasználó korcsoportja. Lehetséges értékek: null, Nem definiált, Kisebb, Felnőtt, NotAdult. | Igen | Nem | Megőrzött, kimenet |
| alternativeSecurityId (Identitások) | Sztring | Egyetlen felhasználói identitás a külső identitásszolgáltatótól. | Nem | Nem | Bemenet, Megőrzött, Kimenet |
| alternativeSecurityIds (Identitások) | alternatív securityId-gyűjtemény | Felhasználói identitások gyűjteménye külső identitásszolgáltatóktól. | Nem | Nem | Megőrzött, kimenet |
| Város | Sztring | A felhasználó tartózkodási helye. Maximális hossz 128. | Igen | Igen | Megőrzött, kimenet |
| consentProvidedForMinor | Sztring | Azt jelzi, hogy a hozzájárulást megadták-e egy kiskorúnak. Engedélyezett értékek: null, megadva, megtagadva vagy nem Válaszolva. | Igen | Nem | Megőrzött, kimenet |
| Ország | Sztring | A felhasználó tartózkodási országa/régiója. Például: USA vagy Egyesült Királyság. Maximális hossz 128. | Igen | Igen | Megőrzött, kimenet |
| createdDateTime | DateTime | A felhasználói objektum létrehozásának dátuma. Csak olvasható. | Nem | Nem | Megőrzött, kimenet |
| creationType | Sztring | Ha a felhasználói fiók helyi fiókként lett létrehozva egy Azure Active Directory B2C-bérlőhöz, az érték LocalAccount vagy nameCoexistence. Csak olvasható. | Nem | Nem | Megőrzött, kimenet |
| dateOfBirth | Dátum | Születési dátum. | Nem | Nem | Megőrzött, kimenet |
| department | Sztring | Annak a részlegnek a neve, amelyben a felhasználó dolgozik. Maximális hossz 64. | Igen | Nem | Megőrzött, kimenet |
| displayName | Sztring | A felhasználó megjelenítendő neve. Maximális hossz 256. <> karakterek nem engedélyezettek. | Igen | Igen | Megőrzött, kimenet |
| facsimileTelephoneNumber1 | Sztring | A felhasználó üzleti faxgépének telefonszáma. | Igen | Nem | Megőrzött, kimenet |
| givenName | Sztring | A felhasználó utóneve (utóneve). Maximális hossz 64. | Igen | Igen | Megőrzött, kimenet |
| jobTitle | Sztring | A felhasználó beosztása. Maximális hossz 128. | Igen | Igen | Megőrzött, kimenet |
| immutableId | Sztring | Általában a helyi Active Directory áttelepített felhasználók számára használt azonosító. | Nem | Nem | Megőrzött, kimenet |
| legalAgeGroupClassification | Sztring | Jogi korcsoport besorolása. Írásvédett és számított az ageGroup és a consentProvidedForMinor tulajdonságok alapján. Engedélyezett értékek: null, minorWithOutParentalConsent, minorWithParentalConsent, minorNoParentalConsentRequired, notAdult és adult. | Igen | Nem | Megőrzött, kimenet |
| legalCountry1 | Sztring | Ország/régió jogi célokra. | Nem | Nem | Megőrzött, kimenet |
| mailNickName | Sztring | A felhasználó levelezési aliasa. Maximális hossz 64. | Nem | Nem | Megőrzött, kimenet |
| mobil (mobil Telefon) | Sztring | A felhasználó elsődleges mobiltelefonszáma. Maximális hossz 64. | Igen | Nem | Megőrzött, kimenet |
| netId | Sztring | Nettó azonosító. | Nem | Nem | Megőrzött, kimenet |
| objectId | Sztring | Globálisan egyedi azonosító (GUID), amely a felhasználó egyedi azonosítója. Példa: 12345678-9abc-def0-1234-56789abcde. Csak olvasható, nem módosítható. | Csak olvasás | Igen | Bemenet, Megőrzött, Kimenet |
| otherMails | Sztringgyűjtemény | A felhasználó egyéb e-mail-címeinek listája. Példa: [""bob@contoso.com, "Robert@fabrikam.com"]. MEGJEGYZÉS: Az ékezetes karakterek nem engedélyezettek. | Igen (másodlagos e-mail) | Nem | Megőrzött, kimenet |
| jelszó | Sztring | A helyi fiók jelszava a felhasználó létrehozása során. | Nem | Nem | Kitartott |
| passwordPolicies | Sztring | A jelszó szabályzata. Ez egy sztring, amely különböző szabályzatnevet tartalmaz vesszővel elválasztva. Például: "DisablePasswordExpiration, DisableStrongPassword". | Nem | Nem | Megőrzött, kimenet |
| physicalDeliveryOfficeName (officeLocation) | Sztring | Az iroda helye a felhasználó munkahelyén. Maximális hossz 128. | Igen | Nem | Megőrzött, kimenet |
| irányítószám | Sztring | A felhasználó postai címének irányítószáma. Az irányítószám a felhasználó országára/régiójára vonatkozik. Amerika Egyesült Államok ez az attribútum tartalmazza az irányítószámot. Maximális hossz 40. | Igen | Nem | Megőrzött, kimenet |
| preferredLanguage | Sztring | A felhasználó által előnyben részesített nyelv. Az előnyben részesített nyelvi formátum az RFC 4646-on alapul. A név a nyelvhez társított ISO 639 kétbetűs kisbetűs kulturális kód és az országhoz vagy régióhoz társított ISO 3166 kétbetűs nagybetűs szubkultúrakód kombinációja. Például: en-US vagy es-ES. | Nem | Nem | Megőrzött, kimenet |
| refreshTokensValidFromDateTime (signInSessionsValidFromDateTime) | DateTime | A korábban kiadott frissítési jogkivonatok érvénytelenek, és az alkalmazások hibaüzenetet kapnak, amikor érvénytelen frissítési jogkivonatot használnak egy új hozzáférési jogkivonat beszerzéséhez. Ebben az esetben az alkalmazásnak új frissítési jogkivonatot kell beszereznie az engedélyezési végpontra irányuló kéréssel. Írásvédett. | Nem | Nem | Hozam |
| signInNames (Identitások) | Sztring | A címtárban bármilyen típusú helyi fiókfelhasználó egyedi bejelentkezési neve. Ezzel az attribútummal a helyi fióktípus megadása nélkül kérhet le egy bejelentkezési értéket használó felhasználót. | Nem | Nem | Bevitel |
| signInNames.userName (Identitások) | Sztring | A címtárban lévő helyi fiók felhasználójának egyedi felhasználóneve. Ezzel az attribútummal létrehozhat vagy lekérhet egy felhasználót egy adott bejelentkezési felhasználónévvel. Ha ezt az attribútumot csak a PersistedClaimsben adja meg a Patch művelet során, az eltávolítja a többi típusú signInNames nevet. Ha új típusú signInNames nevet szeretne hozzáadni, a meglévő signInName-eket is meg kell őriznie. MEGJEGYZÉS: A jelölőkarakterek nem használhatók a felhasználónévben. | Nem | Nem | Bemenet, Megőrzött, Kimenet |
| signInNames.phoneNumber (Identityes) | Sztring | A címtárban lévő helyi fiókfelhasználó egyedi telefonszáma. Ezzel az attribútummal létrehozhat vagy lekérhet egy adott bejelentkezési telefonszámmal rendelkező felhasználót. Ha ezt az attribútumot csak a PersistedClaimsben adja meg a Patch művelet során, az eltávolítja a többi típusú signInNames nevet. Ha új típusú signInNames nevet szeretne hozzáadni, a meglévő signInName-eket is meg kell őriznie. | Nem | Nem | Bemenet, Megőrzött, Kimenet |
| signInNames.emailAddress (Identityes) | Sztring | A címtárban lévő helyi fiókfelhasználó egyedi e-mail-címe. Ezzel az attribútummal létrehozhat vagy lekérhet egy adott bejelentkezési e-mail-címmel rendelkező felhasználót. Ha ezt az attribútumot csak a PersistedClaimsben adja meg a Patch művelet során, az eltávolítja a többi típusú signInNames nevet. Ha új típusú signInNames nevet szeretne hozzáadni, a meglévő signInName-eket is meg kell őriznie. | Nem | Nem | Bemenet, Megőrzött, Kimenet |
| állapot | Sztring | A felhasználó címében szereplő állam vagy tartomány. Maximális hossz 128. | Igen | Igen | Megőrzött, kimenet |
| streetAddress | Sztring | A felhasználó munkahelyének címe. Maximális hossz 1024. | Igen | Igen | Megőrzött, kimenet |
| strongAuthentication Alternative Telefon Number1 | Sztring | A többtényezős hitelesítéshez használt felhasználó másodlagos telefonszáma. | Igen | Nem | Megőrzött, kimenet |
| strongAuthenticationEmailAddress1 | Sztring | A felhasználó SMTP-címe. Példa: "bob@contoso.com" Ez az attribútum a felhasználónév-szabályzattal való bejelentkezéshez használatos a felhasználói e-mail-cím tárolásához. A jelszó-visszaállítási folyamatban használt e-mail-cím. Ebben az attribútumban nem használhatók ékezetes karakterek. | Igen | Nem | Megőrzött, kimenet |
| strongAuthentication Telefon Number2 | Sztring | A többtényezős hitelesítéshez használt felhasználó elsődleges telefonszáma. | Igen | Nem | Megőrzött, kimenet |
| surname | Sztring | A felhasználó vezetékneve (családnév vagy vezetéknév). Maximális hossz 64. | Igen | Igen | Megőrzött, kimenet |
| telephoneNumber (első üzleti bejegyzés Telefon) | Sztring | A felhasználó székhelyének elsődleges telefonszáma. | Igen | Nem | Megőrzött, kimenet |
| userPrincipalName | Sztring | A felhasználó egyszerű felhasználóneve (UPN). Az UPN egy internet stílusú bejelentkezési név a felhasználó számára az RFC 822 internetes szabvány alapján. A tartománynak szerepelnie kell az ellenőrzött tartományok bérlői gyűjteményében. Ez a tulajdonság fiók létrehozásakor szükséges. Megváltoztathatatlan. | Nem | Nem | Bemenet, Megőrzött, Kimenet |
| usageLocation | Sztring | Azoknak a felhasználóknak, amelyek a jogi követelmény miatt licencet kapnak, ellenőrizni kell a szolgáltatások elérhetőségét az országokban/régiókban. Nem null értékű. Kétbetűs ország-/régiókód (ISO 3166). Ilyenek például az USA, a JP és a GB. | Igen | Nem | Megőrzött, kimenet |
| userType | Sztring | Sztringérték, amely a címtár felhasználói típusainak besorolására használható. Az értéknek tagnak kell lennie. Írásvédett. | Csak olvasás | Nem | Megőrzött, kimenet |
| userState (externalUserState)3 | Sztring | Csak Microsoft Entra B2B-fiók esetén, és jelzi, hogy a meghívás PendingAcceptance vagy Accepted. | Nem | Nem | Megőrzött, kimenet |
| userStateChangedOn (externalUserStateChangeDateTime)2 | DateTime | Megjeleníti a UserState tulajdonság legutóbbi módosításának időbélyegét. | Nem | Nem | Megőrzött, kimenet |
1 A Microsoft Graph nem támogatja
2 További információ: MFA-telefonszám attribútum
3 Nem használható az Azure AD B2C-vel
Szükséges attribútumok
Ha felhasználói fiókot szeretne létrehozni az Azure AD B2C-címtárban, adja meg a következő szükséges attribútumokat:
Identitások – Legalább egy entitással (helyi vagy összevont fiókkal).
Jelszóprofil – Ha helyi fiókot hoz létre, adja meg a jelszóprofilt.
Megjelenítendő névattribútum
Ez displayName a név jelenik meg az Azure Portal felhasználókezelésében a felhasználó számára, valamint abban a hozzáférési jogkivonatban, amelyet az Azure AD B2C visszatér az alkalmazáshoz. Ez a tulajdonság kötelező.
Identityes attribútum
Egy ügyfélfiók, amely lehet fogyasztó, partner vagy állampolgár, az alábbi identitástípusokhoz társítható:
- Helyi identitás – A felhasználónevet és a jelszót a rendszer helyileg tárolja az Azure AD B2C könyvtárban. Ezeket az identitásokat gyakran "helyi fiókoknak" nevezzük.
- Összevont identitás – Közösségi vagy vállalati fiókként is ismert, a felhasználó identitását egy összevont identitásszolgáltató, például a Facebook, a Microsoft, az ADFS vagy a Salesforce kezeli.
Az ügyfélfiókkal rendelkező felhasználók több identitással is bejelentkezhetnek. Például felhasználónév, e-mail, alkalmazotti azonosító, kormányzati azonosító és egyéb. Egyetlen fiók több identitással is rendelkezhet, mind helyi, mind közösségi, ugyanazzal a jelszóval.
A Microsoft Graph API-ban a helyi és az összevont identitások is a felhasználói identities attribútumban vannak tárolva, amely objectIdentitás típusú. A identities gyűjtemény a felhasználói fiókba való bejelentkezéshez használt identitáskészletet jelöli. Ez a gyűjtemény lehetővé teszi a felhasználó számára, hogy bármely társított identitásával jelentkezzen be a felhasználói fiókba. Az identityes attribútum legfeljebb 10 objectIdentity objektumot tartalmazhat. Minden objektum a következő tulajdonságokat tartalmazza:
| Name | Type | Description |
|---|---|---|
| signInType | sztring | Megadja a címtárban lévő felhasználói bejelentkezési típusokat. Helyi fiók esetén: emailAddress, emailAddress1, emailAddress2, emailAddress3, , userNamevagy bármilyen más tetszés szerint. A közösségi fiókot a következő értékre federatedkell állítani: . |
| Kibocsátó | sztring | Az identitás kiállítóját adja meg. Helyi fiókok esetén (ahol a signInType nem federated), ez a tulajdonság például a helyi B2C-bérlő alapértelmezett tartományneve contoso.onmicrosoft.com. A közösségi identitás (ahol a signInTypefederated) esetében az érték a kiállító neve, példáulfacebook.com |
| issuerAssignedId | sztring | Megadja a felhasználóhoz a kiállító által hozzárendelt egyedi azonosítót. A kiállító és a kiállítóAssignedId kombinációjának egyedinek kell lennie a bérlőn belül. Helyi fiók esetén, ha a signInType értéke emailAddress vagy userNameértéke, az a felhasználó bejelentkezési nevét jelöli.Ha a signInType értéke:
|
Az alábbi JSON-kódrészlet az Identityes attribútumot mutatja be, egy helyi fiókadentitást, egy bejelentkezési névvel, egy bejelentkezési e-mail-címmel és egy közösségi identitással.
"identities": [
{
"signInType": "userName",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "johnsmith"
},
{
"signInType": "emailAddress",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "jsmith@yahoo.com"
},
{
"signInType": "federated",
"issuer": "facebook.com",
"issuerAssignedId": "5eecb0cd"
}
]
Összevont identitások esetén az identitásszolgáltatótól függően a kiállítóAssignedId egy egyedi érték egy adott felhasználó számára alkalmazásonként vagy fejlesztési fiókonként. Konfigurálja az Azure AD B2C-szabályzatot ugyanazzal az alkalmazásazonosítóval, amelyet a közösségi szolgáltató vagy egy másik alkalmazás ugyanazon a fejlesztési fiókon belül hozzárendel.
Jelszóprofil tulajdonság
Helyi identitás esetén a passwordProfile attribútum szükséges, és tartalmazza a felhasználó jelszavát. Az forceChangePasswordNextSignIn attribútum azt jelzi, hogy a felhasználónak alaphelyzetbe kell-e állítania a jelszót a következő bejelentkezéskor. A kényszerített jelszó-visszaállítás kezeléséhez használja a kényszerített jelszó-visszaállítási folyamat beállításának utasításait.
Összevont (közösségi) identitás esetén nincs szükség a passwordProfile attribútumra.
"passwordProfile" : {
"password": "password-value",
"forceChangePasswordNextSignIn": false
}
Jelszóházirend-attribútum
Az Azure AD B2C jelszóházirendje (helyi fiókokhoz) a Microsoft Entra ID erős jelszóerősség-szabályzatán alapul. Az Azure AD B2C regisztrációs vagy bejelentkezési és jelszó-visszaállítási szabályzatai megkövetelik ezt az erős jelszóerősséget, és nem járnak le jelszavak.
Felhasználói migrálási forgatókönyvekben, ha a migrálni kívánt fiókok jelszóerősségük gyengébbek, mint az Azure AD B2C által megkövetelt erős jelszóerősség , letilthatja az erős jelszókövetelményt. Az alapértelmezett jelszóházirend módosításához állítsa az attribútumot a passwordPolicies következőre DisableStrongPassword: . A létrehozási felhasználói kérést például az alábbiak szerint módosíthatja:
"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"
MFA-telefonszám attribútum
Ha többtényezős hitelesítéshez (MFA) használ telefont, a mobiltelefon a felhasználói identitás ellenőrzésére szolgál. Új telefonszám programozott hozzáadásához frissítse, kérje le vagy törölje a telefonszámot az MS Graph API telefonos hitelesítési módszerével.
Az Egyéni Azure AD B2C-szabályzatokban a telefonszám jogcímtípuson keresztül strongAuthenticationPhoneNumber érhető el.
Extension attributes
Minden ügyfélhez kapcsolódó alkalmazás egyedi követelményekkel rendelkezik az összegyűjtendő információkra vonatkozóan. Az Azure AD B2C-bérlő egy beépített, tulajdonságokban tárolt információkészlettel rendelkezik, például utónév, vezetéknév és irányítószám. Az Azure AD B2C-vel kibővítheti az egyes ügyfélfiókokban tárolt tulajdonságok készletét. További információ: Felhasználói attribútumok hozzáadása és felhasználói bemenet testreszabása az Azure Active Directory B2C-ben
A bővítményattribútumok kibővítik a címtárban lévő felhasználói objektumok sémáját . A bővítményattribútumok csak egy alkalmazásobjektumon regisztrálhatók, annak ellenére, hogy egy felhasználó adatait tartalmazhatják. A bővítményattribútum a . nevű alkalmazáshoz van csatolva b2c-extensions-app. Ne módosítsa ezt az alkalmazást, mivel azt az Azure AD B2C használja a felhasználói adatok tárolására. Ezt az alkalmazást a Microsoft Entra Alkalmazásregisztrációk alatt találja. További információ az Azure AD B2C-rőlb2c-extensions-app.
Megjegyzés:
- Bármely felhasználói fiókba legfeljebb 100 bővítményattribútumot írhat.
- Ha a b2c-extensions-app alkalmazás törölve van, ezek a bővítményattribútumok az összes felhasználóról, valamint az általuk tárolt adatokból törlődnek.
- Ha az alkalmazás töröl egy bővítményattribútumot, az el lesz távolítva az összes felhasználói fiókból, és az értékek törlődnek.
A Graph API bővítményattribútumait a konvenció extension_ApplicationClientID_AttributeNamehasználatával nevezik el, ahol:
- Az
ApplicationClientIDalkalmazás (ügyfél) azonosítójab2c-extensions-app. Megtudhatja, hogyan keresheti meg a bővítmények alkalmazást. - A
AttributeNamebővítményattribútum neve.
Az alkalmazás (ügyfél) azonosítója a bővítményattribútum nevének létrehozásához nem tartalmaz kötőjeleket. Például:
"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"
A sémabővítmények attribútumainak definiálásakor a következő adattípusok támogatottak:
| Típus | Remarks |
|---|---|
| Logikai | Lehetséges értékek: igaz vagy hamis. |
| DateTime | Iso 8601 formátumban kell megadni. Az érték utc-ben van tárolva. |
| Egész | 32 bites érték. |
| Sztring | Legfeljebb 256 karakter. |
További lépések
További információ a bővítményattribútumokról: