Címtárkiterjesztési attribútumok jogcímekben

A címtárbővítmény-attribútumok lehetővé teszik további adatok tárolását a címtárobjektumokon, például a felhasználókon. Kizárólag a felhasználói objektumokhoz tartozó bővítményattribútumok használhatók arra, hogy jogcímeket bocsássanak ki alkalmazásokhoz. Ez a cikk azt ismerteti, hogyan használhatók a címtárbővítmény-attribútumok a felhasználói adatok jogkivonat-jogcímekben lévő alkalmazásokba való küldéséhez.

Feljegyzés

A Microsoft Graph három további bővítménymechanizmust biztosít a Graph-objektumok testreszabásához. Ezek az 1–15-ös bővítményattribútumok, a nyitott bővítmények és a sémabővítmények. A részletekért tekintse meg a Microsoft Graph dokumentációját. A Microsoft Graph-objektumokon nyitott és sémabővítményeket használó adatok nem érhetők el a jogkivonatokban lévő jogcímek forrásaként.

A címtárbővítmény-attribútumok mindig egy alkalmazáshoz vannak társítva a bérlőben. A címtárattribútum neve tartalmazza az alkalmazás appId azonosítóját a nevében.

A címtárbővítmény attribútumának azonosítója az űrlap extension_xxxxxxxxx_AttributeName. Hol xxxxxxxxx található annak az alkalmazásnak az appId azonosítója , amelyhez a bővítményt definiálták, csak 0-9 és A-Z karakterekkel.

Címtárbővítmények regisztrálása és használata

Címtárbővítmény-attribútumok regisztrálása az alábbi módok egyikével:

• Konfigurálja a Microsoft Entra Csatlakozás létrehozására és a helyszíni adatok szinkronizálására. Lásd: Microsoft Entra Csatlakozás Sync Directory Extensions.
• A Microsoft Graph használatával regisztrálhatja, beállíthatja és olvashatja a címtárbővítmények értékeit. PowerShell-parancsmagok is elérhetők.

Jogcímek kibocsátása a Microsoft Entra Csatlakozás adataival

A Microsoft Entra Csatlakozás használatával létrehozott és szinkronizált címtárkiterjesztési attribútumok mindig a Microsoft Entra Csatlakozás által használt alkalmazásazonosítóhoz vannak társítva. Ezek az attribútumok a jogcímek forrásaként is használhatók, ha jogcímként konfigurálják őket a Portál Nagyvállalati alkalmazások konfigurációjában. Miután létrejött egy címtárbővítmény-attribútum az AD Csatlakozás használatával, megjelenik az SAML SSO jogcímkonfigurációjában.

Jogcímek kibocsátása a Graph vagy a PowerShell használatával

Ha egy címtárkiterjesztési attribútum regisztrálva van a Microsoft Graph vagy a PowerShell használatához, az alkalmazás konfigurálható úgy, hogy az adott attribútumban adatokat fogadjon, amikor a felhasználó bejelentkezik. Az alkalmazás konfigurálható úgy, hogy az alkalmazásjegyzékben beállítható opcionális jogcímek használatával fogadjon adatokat az alkalmazásban regisztrált címtárkiterjesztésekben.

A több-bérlős alkalmazások ezután saját használatra regisztrálhatják a címtárbővítmény-attribútumokat. Amikor az alkalmazás ki van építve egy bérlőben, a társított címtárbővítmények elérhetővé válnak és használatba vehetők az adott bérlő felhasználói számára. Miután a címtárbővítmény elérhetővé válik, adatok tárolására és lekérésére használható a Microsoft Graph használatával. A címtárbővítmény a Microsoft Identitásplatform által az alkalmazásoknak kibocsátott jogkivonatokban lévő jogcímekhez is megfeleltethető.

Ha egy alkalmazásnak egy másik alkalmazásban regisztrált bővítményattribútum adataival kell jogcímeket küldenie, egy jogcímleképezési szabályzatot kell használni a bővítményattribútum jogcímhez való leképezéséhez.

A címtárbővítmény-attribútumok kezelésének gyakori mintája, hogy egy alkalmazást kifejezetten az összes szükséges címtárkiterjesztéshez regisztrál. Ha ilyen típusú alkalmazást használ, az összes bővítmény ugyanazzal az appID azonosítóval rendelkezik a nevükben.

Az alábbi kód például egy jogcímleképezési szabályzatot mutat be, amely egyetlen jogcímet bocsát ki egy címtárkiterjesztési attribútumból egy OAuth/OIDC-jogkivonatban:

{
    "ClaimsMappingPolicy": {
        "Version": 1,
        "IncludeBasicClaimSet": "false",
        "ClaimsSchema": [{
                "Source": "User",
                "ExtensionID": "extension_xxxxxxx_test",
                "JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
            },
        ]
    }
}

Hol xxxxxxx található annak az alkalmazásnak az appID azonosítója (vagy ügyfélazonosítója), amellyel a bővítmény regisztrálva lett.

Figyelmeztetés

Amikor jogcímleképezési szabályzatot határoz meg egy címtárkiterjesztési attribútumhoz, használja a ExtensionID tulajdonságot a ID tömb törzsében ClaimsSchema lévő tulajdonság helyett, ahogy az az előző példában is látható.

Tipp.

A kis- és nagybetűk konzisztenciája akkor fontos, ha címtárkiterjesztési attribútumokat állít be az objektumokon. A bővítményattribútumok nevei nem érzékenyek a kis- és nagybetűkre a beállításkor, de kis- és nagybetűk megkülönböztetik őket, amikor a jogkivonat-szolgáltatás beolvassa őket a címtárból. Ha egy bővítményattribútum "LegacyId" nevű felhasználói objektumon és egy másik " legacyid" nevű felhasználói objektumon van beállítva, az attribútum "LegacyId" nevű jogcímhez való hozzárendelése esetén a rendszer sikeresen lekéri az adatokat, és az első felhasználó jogkivonatában szereplő jogcímet, de a másodikat nem.

Következő lépések

• Megtudhatja, hogyan szabhatja testre egy adott alkalmazás jogkivonataiban kibocsátott jogcímeket.