Microsoft Identitásplatform Azonosító jogkivonatok

Az azonosító jogkivonat az Az OpenID által az OAuth 2.0 Csatlakozás által az alapvető bővítmény. Az azonosító jogkivonatokat az engedélyezési kiszolgáló állítja ki, és olyan jogcímeket tartalmaznak, amelyek a felhasználóval kapcsolatos információkat tartalmaznak. A hozzáférési jogkivonatok mellett vagy helyett is elküldheti őket. Az azonosító jogkivonatok adatai lehetővé teszik az ügyfél számára annak ellenőrzését, hogy a felhasználó az-e, akinek ki van mondani. Az azonosító jogkivonatokat külső alkalmazásoknak kell értelmezni. Az azonosító jogkivonatokat nem szabad engedélyezési célokra használni. A hozzáférési jogkivonatok az engedélyezéshez használatosak. Az azonosító jogkivonatok által biztosított jogcímek felhasználhatók az alkalmazás felhasználói felületének kulcsaiként egy adatbázisban, és hozzáférést biztosítanak az ügyfélalkalmazáshoz.

Előfeltételek

Az alábbi cikk hasznos lehet, mielőtt végigveszi a cikken:

Jogcímek egy azonosító jogkivonatban

Az azonosító jogkivonatok JSON webes jogkivonatok (JWT). Ezek az azonosító jogkivonatok fejlécből, hasznos kódot és aláírást tartalmaznak. A fejléc és az aláírás a jogkivonat hitelességének ellenőrzésére használható, a hasznos adatok pedig az ügyfél által kért felhasználói információkat tartalmaznak. Az 1.0-s és 2.0-s azonosítójú azonosítók jogkivonatai eltérő információkat tartalmaznak. A verzió azon a végponton alapul, ahonnan a kérés történt. Bár a meglévő alkalmazások valószínűleg az Azure AD-végpontot (1.0-s) használják, az új alkalmazásoknak a "Microsoft Identitásplatform" végpontot (v2.0) kell használniuk.

  • v1.0: Azure AD-végpont: https://login.microsoftonline.com/common/oauth2/authorize
  • v2.0: A Microsoft Identity Platform végpontja: https://login.microsoftonline.com/common/oauth2/v2.0/authorize

Minta 1.0-s azonosító jogkivonat

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IjdfWnVmMXR2a3dMeFlhSFMzcTZsVWpVWUlHdyIsImtpZCI6IjdfWnVmMXR2a3dMeFlhSFMzcTZsVWpVWUlHdyJ9.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.UJQrCA6qn2bXq57qzGX_-D3HcPHqBMOKDPx4su1yKRLNErVD8xkxJLNLVRdASHqEcpyDctbdHccu6DPpkq5f0ibcaQFhejQNcABidJCTz0Bb2AbdUCTqAzdt9pdgQvMBnVH1xk3SCM6d4BbT4BkLLj10ZLasX7vRknaSjE_C5DI7Fg4WrZPwOhII1dB0HEZ_qpNaYXEiy-o94UJ94zCr07GgrqMsfYQqFR7kn-mn68AjvLcgwSfZvyR_yIK75S_K37vC3QryQ7cNoafDe9upql_6pB2ybMVlgWPs_DmbJ8g0om-sPlwyn74Cc1tW3ze-Xptw_2uVdPgWyqfuWAfq6Q

Tekintse meg ezt az 1.0-s minta-jogkivonatot a jwt.ms.

Minta v2.0 azonosító jogkivonat

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IjFMVE16YWtpaGlSbGFfOHoyQkVKVlhlV01xbyJ9.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.1AFWW-Ck5nROwSlltm7GzZvDwUkqvhSQpm55TQsmVo9Y59cLhRXpvB8n-55HCr9Z6G_31_UbeUkoz612I2j_Sm9FFShSDDjoaLQr54CreGIJvjtmS3EkK9a7SJBbcpL1MpUtlfygow39tFjY7EVNW9plWUvRrTgVk7lYLprvfzw-CIqw3gHC-T7IK_m_xkr08INERBtaecwhTeN4chPC4W3jdmw_lIxzC48YoQ0dB1L9-ImX98Egypfrlbm0IBL5spFzL6JDZIRRJOu8vecJvj1mq-IUhGt0MacxX8jdxYLP-KUu2d9MbNKpCKJuZ7p8gwTL5B7NlUdh_dmSviPWrw

Tekintse meg ezt a 2.0-s minta-jogkivonatot a jwt.ms.

Az alább felsorolt összes JWT-jogcím megjelenik mind az 1.0-s, mind a 2.0-s és a 2.0-s tokenben, hacsak másként nincs megszabadva.

Fejléc jogcímek

Az alábbi táblázat az azonosító jogkivonatok fejléc jogcímeit mutatja be.

Jogcím Formátum Leírás
typ Sztring – mindig "JWT" Azt jelzi, hogy a jogkivonat egy JWT-jogkivonat.
alg Sztring A jogkivonat aláíráshoz használt algoritmust jelöli. Például: "RS256"
kid Sztring Megadja a jogkivonat aláírásának érvényesítéséhez használható nyilvános kulcs ujjlenyomatát. Az 1.0-s és 2.0-s azonosító jogkivonatban is ki van bocsátva.
x5t Sztring Ugyanúgy működik (használatban és értékben), mint kid a . x5t A egy örökölt jogcím, amely kompatibilitási célokból csak az 1.0-s verziójú azonosító jogkivonataiból van kiadva.

Hasznos terhelési jogcímek

Az alábbi táblázatban alapértelmezés szerint a legtöbb azonosító jogkivonatban található jogcímek megjelenik (kivéve, ahol fel vannak jelölve). Az alkalmazás azonban opcionális jogcímek használatával további jogcímeket kérhet az azonosító jogkivonatban. A nem kötelező jogcímek a groups jogcímtől a felhasználó nevével kapcsolatos információkon át is eltávóak.

Jogcím Formátum Leírás
aud Sztring, alkalmazásazonosító GUID A jogkivonat kívánt címzettjének azonosítására szolgál. A alkalmazásban a célközönség az alkalmazás alkalmazásazonosítója, amely az alkalmazáshoz van rendelve a id_tokens Azure Portal. Ezt az értéket ellenőrizni kell. A jogkivonatot el kell utasítani, ha nem felel meg az alkalmazás alkalmazásazonosítójának.
iss Sztring, kiállító URI Azonosítja a jogkivonatot összeállító és visszaállító kiállítót vagy "engedélyezési kiszolgálót". Azt az Azure AD-bérlőt is azonosítja, amelyhez a felhasználó hitelesítése történt. Ha a jogkivonatot a 2.0-s végpont bocsátotta ki, az URI a következőre végződik: /v2.0 . A guid azonosító, amely azt jelzi, hogy a felhasználó felhasználó egy Microsoft-fiók 9188040d-6c67-4c5b-b112-36a304b66dad felhasználó. Az alkalmazásnak a jogcím GUID részét kell használnia az alkalmazásba bejelentkező bérlők halmazának korlátozására, ha van ilyen.
iat int, UNIX időbélyeg A "Kibocsátó" azt jelzi, hogy mikor történt a jogkivonat hitelesítése.
idp Sztring, általában STS URI A jogkivonat alanyát hitelesítő identitásszolgáltatót adja meg. Ez az érték megegyezik a Kiállító jogcím értékével, kivéve, ha a felhasználói fiók nem ugyanabban a bérlőben található, mint a kiállító – vendégek. Ha a jogcím nincs jelen, az azt jelenti, hogy a értéke iss használható helyette. Szervezeti környezetben használt személyes fiókok (például egy Azure AD-bérlőbe meghívott személyes fiók) esetében a jogcím lehet "live.com" vagy egy STS URI, amely a Microsoft-fiók idp bérlőt 9188040d-6c67-4c5b-b112-36a304b66dad tartalmazza.
nbf int, UNIX időbélyeg Az "nbf" (nem előtte) jogcím azonosítja azt az időt, amely előtt a JWT NEM fogadható el feldolgozásra.
exp int, UNIX időbélyeg Az "exp" (lejárati idő) jogcím azonosítja azt a lejárati időt, amely után a JWT NEM fogadható el feldolgozásra. Fontos megjegyezni, hogy bizonyos körülmények között előfordulhat, hogy egy erőforrás elutasítja a jogkivonatot ezen időpont előtt. Például ha módosítani kell a hitelesítést, vagy jogkivonat-visszavonást észleltek.
c_hash Sztring Az azonosító jogkivonatok csak akkor tartalmazzák a kódkivonatot, ha az azonosító jogkivonatot OAuth 2.0 engedélyezési kóddal adták ki. Felhasználható egy engedélyezési kód hitelességének ellenőrzésére. Ennek az ellenőrzésnek a érvénybe való érvénybe hozásról az OpenID Csatlakozás leírásában található.
at_hash Sztring A hozzáférési jogkivonat csak akkor szerepel az azonosító jogkivonatban, ha az azonosító jogkivonatot OAuth 2.0 hozzáférési jogkivonattal bocsátották ki a /authorize végpontról. A hozzáférési jogkivonat hitelességének érvényesítésére használható. Ennek az ellenőrzésnek a érvénybe való érvénybe hozásról az OpenID Csatlakozás leírásában található. Ezt a végpont azonosító jogkivonatai nem /token ják vissza.
aio Átlátszatlan sztring Egy belső jogcím, amelyet az Azure AD az adatok jogkivonatok újbóli felhasználásához való rögzítésére használ. Figyelmen kívül kell hagyni.
preferred_username Sztring A felhasználót képviselő elsődleges felhasználónév. Ez lehet egy e-mail-cím, egy telefonszám vagy egy általános felhasználónév egy megadott formátum nélkül. Az értéke változtatható, és idővel változhat. Mivel ez az érték módosítható, nem használható engedélyezési döntések meghozatalához. A profile jogcím fogadásához szükség van a hatókörre.
email Sztring A email jogcím alapértelmezés szerint jelen van az e-mail-címmel rendelkező vendégfiókok esetében. Az alkalmazás a választható jogcím használatával kérheti a felügyelt felhasználók (az erőforrással azonos bérlők) e-mailes email jogcímét. A 2.0-s végponton az alkalmazás az OpenID Csatlakozás-hatókört is le tudja kérni – a jogcím lekéréséhez nem kell sem a választható jogcímet, sem a hatókört email kérnie. Az e-mail jogcím csak a felhasználó profilinformációiból származó címezhető e-maileket támogatja.
name Sztring A name jogcím egy emberi olvasásra alkalmas értéket biztosít, amely azonosítja a jogkivonat tárgyát. Az érték nem garantáltan egyedi, módosítható, és úgy van kialakítva, hogy csak megjelenítési célokra legyen használható. A profile jogcím fogadásához a hatókör szükséges.
nonce Sztring A nonce megegyezik az eredeti /authorize kérelemben szereplő paraméterrel az internetszolgáltatónak. Ha nem egyezik, az alkalmazásnak el kell utasítania a jogkivonatot.
oid Sztring, GUID Egy objektum nem módosítható azonosítója a Microsoft identitásrendszerében, ebben az esetben egy felhasználói fiókban. Ez az azonosító egyedileg azonosítja a felhasználót az alkalmazások között – az ugyanazon felhasználóba bejelentkező két különböző alkalmazás ugyanazt az értéket fogja kapni a oid jogcímben. A Microsoft Graph ezt az azonosítót adja vissza id tulajdonságként egy adott felhasználói fiókhoz. Mivel oid a lehetővé teszi, hogy több alkalmazás korreláljon a felhasználókkal, a hatókör szükséges a profile jogcím fogadásához. Vegye figyelembe, hogy ha egy felhasználó több bérlőben is létezik, a felhasználó minden bérlőben más objektumazonosítót fog tartalmazni – akkor is különböző fiókoknak minősül, ha mindegyik fiókba ugyanazokkal a hitelesítő adatokkal jelentkezik be. A oid jogcím egy GUID, és nem használható újra.
roles Sztringek tömbje A bejelentkező felhasználóhoz rendelt szerepkörök.
rh Átlátszatlan sztring Az Azure által a jogkivonatok újraértékeléseként használt belső jogcím. Figyelmen kívül kell hagyni.
sub Sztring A rendszerbiztonsági tag, amelyről a jogkivonat érvényesíti az információkat, például egy alkalmazás felhasználója. Ez az érték nem módosítható, és nem lehet újból hozzárendelni vagy újra felhasználni. A tárgy egy párban megadott azonosító – egyedi egy adott alkalmazásazonosítóhoz. Ha egyetlen felhasználó két különböző alkalmazásba jelentkezik be két különböző ügyfél-azonosítóval, ezek az alkalmazások két különböző értéket kapnak a tárgy jogcíméhez. Ez az architektúra és az adatvédelmi követelmények függvényében nem mindig szükséges.
tid Sztring, GUID Azt a bérlőt jelöli, amelybe a felhasználó bejelentkezik. Munkahelyi és iskolai fiókok esetén a GUID annak a szervezetnek a nem módosítható bérlőazonosítója, amelybe a felhasználó bejelentkezik. A személyes Microsoft-fiók bérlőbe (például Xbox, Teams for Life vagy Outlook) való bejelentkezések esetén az érték 9188040d-6c67-4c5b-b112-36a304b66dad . A jogcím fogadása esetén az alkalmazásnak le kell kérnie a profile hatókört.
unique_name Sztring A jogkivonat alanyát azonosító, ember által olvasható értéket ad meg. Ez az érték bármely adott időpontban egyedi, de mivel az e-mailek és más azonosítók újra felhasználhatók, ez az érték más fiókoknál is újra megjelenik. Ezért az érték csak megjelenítési célokra használható. Csak az 1.0-s v-ben van id_tokens kibocsátva.
uti Átlátszatlan sztring Az Azure által a jogkivonatok újraértékeléseként használt belső jogcím. Figyelmen kívül kell hagyni.
ver Sztring, 1.0 vagy 2.0 A id_token.
hasgroups Logikai Ha jelen van, mindig igaz, a felhasználó jelölése legalább egy csoportban van. A JWT-khez tartozó csoportok jogcíme helyére használatos az implicit engedélyfolyamatok esetében, ha a teljes csoportok jogcíme kiterjeszti az URI-töredéket az URL-cím hosszkorlátján túlra (jelenleg 6 vagy több csoport). Azt jelzi, hogy az ügyfélnek a Microsoft Graph API-t kell használnia a felhasználói csoportok meghatározásához ( https://graph.microsoft.com/v1.0/users/{userID}/getMemberObjects ).
groups:src1 JSON-objektum A nem korlátozott hosszúságú (lásd fent), de a jogkivonathoz még mindig túl nagy jogkivonat-kérelmek esetén a felhasználó teljes csoportok listájára mutató hivatkozás hasgroups fog szerepelni. A JWT-k elosztott jogcímként való igénylése az SAML-hez a jogcím helyére új groups jogcímként.

JWT-példaérték:
"groups":"src1"
"_claim_sources: "src1" : { "endpoint" : "https://graph.microsoft.com/v1.0/users/{userID}/getMemberObjects" }

További információ: Csoportok túlóra-jogcíme.

Jogcímek használata a felhasználó megbízható azonosításához (tárgy és objektumazonosító)

Egy felhasználó azonosításakor (például egy adatbázisban való keresésekor vagy annak eldöntésekor, hogy milyen engedélyekkel rendelkezik), rendkívül fontos olyan információk használata, amelyek folyamatosan állandók és egyediek maradnak. A régebbi alkalmazások néha olyan mezőket használnak, mint az e-mail-cím, a telefonszám vagy az UPN. Ezek idővel változhatnak, és idővel újra felhasználhatók is. Ha például egy alkalmazott megváltoztatja a nevét, vagy olyan e-mail-címet kap, amely megegyezik egy korábbi, már nem jelenlott alkalmazott címével. Ezért rendkívül fontos, hogy az alkalmazás ne használjon ember által olvasható adatokat a felhasználó azonosításához – az emberi olvasás általában azt jelenti, hogy valaki elolvassa, és módosítani szeretné. Ehelyett használja az OIDC szabvány által biztosított jogcímeket vagy a Microsoft által biztosított kiterjesztési jogcímeket – a sub és oid jogcímeket.

Az adatok felhasználónkénti megfelelő tárolására használja a vagy az önálló (amelyek egyedi GUID azonosítók) lehetőséget, és szükség esetén használja az útválasztáshoz vagy a sub oid horizontális tid skálázáshoz. Ha adatokat kell megosztania a szolgáltatások között, a legjobb, ha minden alkalmazás ugyanazt és jogcímeket kap egy adott bérlőben működő oid + tid oid tid felhasználóhoz. A jogcím a Microsoft Identitásplatform" – a jogkivonat címzettje, a bérlő és a felhasználó kombinációja alapján sub egyedi. Ezért két alkalmazás, amely azonosító jogkivonatokat kér egy adott felhasználóhoz, különböző jogcímeket kap, de ugyanezeket a jogcímeket az sub oid adott felhasználó számára.

Megjegyzés

Ne használja a jogcímet arra, hogy egy felhasználó adatait tárolja a felhasználók bérlők közötti idp korrelálatának megkísérlő kísérlete esetén. Nem fog működni, mivel a felhasználó és jogcímei a bérlők között úgy változnak, hogy az alkalmazások ne tudják nyomon követni a felhasználókat a oid sub bérlők között.

A vendégforgatókönyvek, amelyekben a felhasználó az egyik bérlőben van, és egy másik bérlőben hitelesít, úgy kell kezelnie a felhasználót, mintha a szolgáltatás új felhasználója lenne. A Contoso-bérlőben található dokumentumok és jogosultságok nem alkalmazhatók a Fabrikam-bérlőben. Ez azért fontos, hogy megakadályozza a bérlők közötti véletlen adatszivárgást és az adat-életciklusok érvényesítését. A vendég bérlőből való kiesésének a bérlőben létrehozott adatokhoz való hozzáférését is el kell távolítania.

Csoportokra vonatkozó túlóraigény

Annak érdekében, hogy a jogkivonat mérete ne haladja meg a HTTP-fejléc méretkorlátját, az Azure AD korlátozza a jogcímbe foglalható objektum-azonosítók groups számát. Ha egy felhasználó több csoport tagja, mint a túlórakeret (SAML-jogkivonatok esetén 150, JWT-jogkivonatok esetén 200), akkor az Azure AD nem bocsátja ki a csoport jogcímet a jogkivonatban. Ehelyett a jogkivonat tartalmaz egy overage jogcímet, amely azt jelzi az alkalmazásnak, hogy lekérdezi a Microsoft Graph API-t a felhasználó csoporttagságának lekéréséhez.

{
  ...
  "_claim_names": {
   "groups": "src1"
    },
    {
  "_claim_sources": {
    "src1": {
        "endpoint":"[Url to get this user's group membership from]"
        }
       }
     }
  ...
}

Azonosító jogkivonat élettartama

Alapértelmezés szerint az azonosító jogkivonat egy óráig érvényes – egy óra múlva az ügyfélnek új azonosító jogkivonatot kell szereznie.

Módosíthatja az azonosító jogkivonatok élettartamát, így szabályozhatja, hogy az ügyfélalkalmazás milyen gyakran járjon le az alkalmazás-munkamenet lejártakor, és milyen gyakran követeli meg a felhasználótól, hogy beavatkozás nélkül vagy interaktívan újra hitelesítse magát. További információ: Configurable token lifetimes (Konfigurálható jogkivonatok élettartamának konfigurálása).

Azonosító jogkivonatának érvényesése

Az azonosító jogkivonatok érvényesítése hasonló a hozzáférési jogkivonatok érvényességének első lépéseként. Az ügyfél ellenőrizheti, hogy a jogkivonatot módosították-e. A kiállítót is ellenőrizheti, hogy a megfelelő kiállító küldte-e vissza a jogkivonatot. Mivel az azonosító jogkivonatok mindig JWT-jogkivonatok, számos kódtár létezik a jogkivonatok érvényesítéséhez – javasoljuk, hogy ne saját maga, hanem ezek egyikével ellenőrizze őket. Vegye figyelembe, hogy csak a bizalmas ügyfeleknek (amelyek titkos adatokat tartalmaznak) érvényesítenie kell az azonosító jogkivonatokat. A nyilvános alkalmazások (teljes egészében az Ön által nem vezérelt eszközön vagy hálózaton futó kódok, például egy felhasználó böngészője vagy a saját hálózatuk) nem használják ki az azonosító jogkivonat érvényességének érvényességét. Ennek az az oka, hogy egy rosszindulatú felhasználó elfoghatja és szerkesztheti a jogkivonat érvényesítéséhez használt kulcsokat.

A jogkivonat manuális érvényesítéséhez tekintse meg a hozzáférési jogkivonat érvényesítésének lépéseit. Az alábbi JWT-jogcímeket az azonosító jogkivonatban kell ellenőrizni A jogkivonat aláírásának ellenőrzése után. Ezeket a jogcímeket a jogkivonat-érvényesítési kódtár is érvényesítheti:

  • Időbélyegek: a , és időbélyegnek szükség szerint az aktuális időpont előtt vagy után iat nbf kell exp esni.
  • Célközönség: a aud jogcímnek meg kell egyeznie az alkalmazás azonosítójával.
  • Nonce: a hasznos adatokat meg kell egyeznie a /authorize végpontnak a kezdeti kérés során átadott nonce nonce paraméterrel.

Következő lépések