Címtár sémabővítmény-attribútumainak használata jogcímek között

A címtársémák bővítményattribútumainak segítségével további Azure Active Directory tárolhatók a felhasználói objektumokon és más címtárobjektumokon, például csoportokon, bérlői adatokon és szolgáltatásnéven. Csak a felhasználói objektumok bővítményattribútumai használhatók jogcímek alkalmazásoknak való kibocsátásához. Ez a cikk azt ismerteti, hogyan használhatók a címtársémák bővítményattribútumai felhasználói adatok alkalmazásoknak jogkivonat-jogcímekbe való küldésére.

Megjegyzés

A Microsoft Graph két további bővítménymechanizmust kínál a Graph-objektumok testreszabásához. Ezek a nyitott Microsoft Graph-bővítmények és a Microsoft Graph-sémabővítmények. A részleteket a Microsoft Graph dokumentációjában találhatja meg. Az ezeket a képességeket használó Microsoft Graph-objektumokban tárolt adatok nem érhetők el forrásként jogcímek számára a jogkivonatokban.

A címtár sémabővítmény-attribútumai mindig egy alkalmazáshoz vannak társítva a bérlőben, és a nevükben az alkalmazás applicationId azonosítója hivatkozik rá.

A címtár sémakiterjesztési attribútumának azonosítója a következő Extension_xxxxxxxxx_AttributeName. Ahol az xxxxxxxxx annak az alkalmazásnak az applicationId-e, amely számára a bővítmény definiálva lett.

Címtár sémabővítmények regisztrálása és használata

A címtársémák bővítményattribútumainak regisztrációja és feltöltése kétféleképpen lehetséges:

Jogcímek kibocsátása az AD-val létrehozott címtársémabővítmény-attribútumok adataival Csatlakozás

Az AD-fiókkal létrehozott és szinkronizált címtársémakum-Csatlakozás mindig az AD-felhasználók által használt alkalmazásazonosítóhoz Csatlakozás. A jogcímek forrásaként is használhatók, ha jogcímként konfigurálja őket a Portál felhasználói felületén található Vállalati alkalmazások konfigurációjában a Katalógus használatával regisztrált SAML-alkalmazásokhoz vagy a nem katalógusbeli alkalmazáskonfigurációs felülethez a Vállalati alkalmazások alatt,valamint jogcímleképezési szabályzatokkal az alkalmazásregisztrációs felületen regisztrált alkalmazásokhoz. Ha az AD-n keresztül létrehozott címtárbővítmény Csatlakozás attribútum már a könyvtárban van, az saml SSO-jogcímek konfigurációs felhasználói felületén fog ni.

Jogcímek kibocsátása egy alkalmazáshoz létrehozott címtársémabővítmény-attribútumok adataival az Graph Vagy a PowerShell használatával

Ha egy alkalmazáshoz címtár sémabővítmény-attribútum van regisztrálva a Microsoft Graph vagy a PowerShell használatával (például egy alkalmazás kezdeti beállítási vagy kiépítési lépése révén), ugyanaz az alkalmazás konfigurálható az Azure Active Directory-ban úgy, hogy az adott attribútumban lévő adatokat fogadja egy jogcím egy felhasználói objektumáról a felhasználó bejelentkeztetve. Az alkalmazás konfigurálható úgy, hogy olyan címtársémakvóta-bővítményekben fogadja az adatokat, amelyek regisztrálva vannak ugyanazon az alkalmazáson opcionális jogcímek használatával. Ezek az alkalmazásjegyzékben állíthatóak be. Ez lehetővé teszi, hogy a több-bérlős alkalmazások saját használatra regisztrálják a címtárséma bővítményattribútumát. Amikor az alkalmazást kiépíti egy bérlőben, a társított címtárséma-bővítmények elérhetővé válnak, hogy az adott bérlő felhasználóin beállíthatóak és felhasználhatóak. Miután konfigurálta a bérlőben, és megadta a jóváhagyást, gráfon keresztül tárolhatja és lekérheti az adatokat, valamint leképezheti az adatokat az alkalmazásoknak Microsoft Identitásplatform jogkivonatok jogcímeire.

A címtár sémabővítmény-attribútumai regisztrálhatóak és feltöltve bármely alkalmazáshoz feltöltve.

Ha egy alkalmazásnak olyan jogcímeket kell küldenie, amelyek egy másik alkalmazásban regisztrált bővítményattribútumból származó adatokat tartalmaznak, jogcímleképezési szabályzatot kell használni a bővítményattribútum jogcímhez való hozzárendeléséhez. A címtársémák bővítményattribútumainak kezelésére gyakran használt minta egy alkalmazás létrehozása, amely az összes szükséges sémabővítmény regisztrációs pontja lesz. Nem kell valódi alkalmazásnak lennie, és ez a technika azt jelenti, hogy az összes bővítmény neve ugyanaz az alkalmazásazonosító.

Itt látható például egy jogcím-leképezési szabályzat, amely egyetlen jogcímet bocsát ki egy OAuth/OIDC-jogkivonat könyvtársémabővítmény-attribútumaiból:

{
    "ClaimsMappingPolicy": {
        "Version": 1,
        "IncludeBasicClaimSet": "false",
        "ClaimsSchema": [{
                "Source": "User",
                "ExtensionID": "extension_xxxxxxx_test",
                "JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
            },
        ]
    }
}

Ahol az xxxxxxx az az alkalmazásazonosító, amelyben a bővítmény regisztrálva lett.

Tipp

Az esetkonzisztencia fontos a címtárbővítmény-attribútumok objektumokon való beállításakor. A bővítményattribútumok nevei nincsenek megkülönböztetve a beállításkor, de megkülönböztetik a kis- és nagybetűket, amikor a tokenszolgáltatás beolvassa őket a könyvtárból. Ha a bővítményattribútum egy "LegacyId" nevű felhasználói objektumon és egy másik, "legacyid" nevű felhasználói objektumon van beállítva, akkor az attribútum egy "LegacyId" nevű jogcímre való leképezése sikeresen lekéri az adatokat, és az első felhasználó jogkivonatában foglalt jogcímet, a másodikat azonban nem.

A beépített címtárattribútumokhoz használt jogcímsémában az "Id" paraméter az "ExtensionID" a címtárbővítmény-attribútumok esetén.

Következő lépések