Jogcímleképezési szabályzat típusa

A Azure AD házirendobjektumok az egyes alkalmazásokra vagy a szervezet összes alkalmazására kikényszerített szabályok halmazát képviselik. Minden szabályzattípus egyedi struktúrával rendelkezik, és olyan tulajdonságokkal rendelkezik, amelyeket a rendszer alkalmaz azokra az objektumokra, amelyekhez hozzá vannak rendelve.

A jogcímleképezési szabályzatok olyan szabályzatobjektumok , amelyek módosítják az adott alkalmazásokhoz kibocsátott jogkivonatokban kibocsátott jogcímeket .

Jogcímkészletek

Vannak olyan jogcímkészletek, amelyek meghatározzák, hogyan és mikor használják őket a jogkivonatokban.

Jogcímkészlet Leírás
Alapjogcímkészlet A szabályzattól függetlenül minden jogkivonatban jelen vannak. Ezek a jogcímek szintén korlátozottnak minősülnek, és nem módosíthatók.
Alapszintű jogcímkészlet Tartalmazza a jogkivonatokhoz alapértelmezés szerint kibocsátott jogcímeket (az alapjogcímkészlet mellett). Az alapszintű jogcímeket a jogcímleképezési szabályzatok használatával hagyhatja ki vagy módosíthatja .
Korlátozott jogcímkészlet Szabályzattal nem módosítható. Az adatforrás nem módosítható, és a jogcímek létrehozásakor nem alkalmaztak átalakítást.

Ez a szakasz a következő listákat tartalmazza:

1. táblázat: JSON webes jogkivonat (JWT) korlátozott jogcímkészlet

Megjegyzés

A "xms_" kezdetű jogcímek korlátozottak.

Jogcím típusa (név)
.
_claim_names
_claim_sources
aai
access_token
account_type
Acct
acr
acrs
Színész
korcsoport
Aio
altsecid
Amr
app_chain
app_displayname
app_res
appctx
appctxsender
Appid
appidacr
at_hash
auth_time
azp
azpacr
c_hash
ca_enf
ca_policy_result
capolids_latebind
capolids
cc
cnf
code
controls_auds
vezérlők
credential_keys
ctry
Deviceid
domain_dns_name
domain_netbios_name
e_exp
e-mail
endpoint
enfpolids
expires_on
fido_auth_data
fwd_appidacr
Fwd
Grafikon
group_sids
csoportok
hasgroups
haswids
home_oid
home_puid
home_tid
identityprovider
Idp
idtyp
in_corp
Példány
inviteTicket
ipaddr
isbrowserhostedapp
isViral
login_hint
mam_compliance_url
mam_enrollment_url
mam_terms_of_use_url
mdm_compliance_url
mdm_enrollment_url
mdm_terms_of_use_url
msproxy
nameid
Felhasználónév
nemce
Oid
on_prem_id
onprem_sam_account_name
onprem_sid
openid2_id
origin_header
platf
polids
pop_jwk
preferred_username
primary_sid
prov_data
puid
pwd_exp
pwd_url
rdp_bt
refresh_token_issued_on
refreshtoken
Rh
szerepkörök
rt_type
Scp
secaud
Sid
Sid
signin_state
source_anchor
src1
src2
Al
target_deviceid
tbid
tbidv2
tenant_ctry
tenant_display_name
tenant_region_scope
tenant_region_sub_scope
thumbnail_photo
Tid
tokenAutologonEnabled
trustedfordelegation
Ttr
unique_name
Upn
user_setting_sync_url
Uti
Ver
verified_primary_email
verified_secondary_email
vnet
wamcompat_client_info
wamcompat_id_token
wamcompat_scopes
wids
xcb2b_rclient
xcb2b_rcloud
xcb2b_rtenant
ztdid

2. táblázat: SAML által korlátozott jogcímkészlet

Az alábbi táblázat azokat az SAML-jogcímeket sorolja fel, amelyek alapértelmezés szerint a korlátozott jogcímkészletben találhatók.

Jogcím típusa (URI)
http://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
http://schemas.microsoft.com/2014/02/devicecontext/claims/isknown
http://schemas.microsoft.com/2014/03/psso
http://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
http://schemas.microsoft.com/claims/authnmethodsreferences
http://schemas.microsoft.com/claims/groups.link
http://schemas.microsoft.com/identity/claims/accesstoken
http://schemas.microsoft.com/identity/claims/acct
http://schemas.microsoft.com/identity/claims/agegroup
http://schemas.microsoft.com/identity/claims/aio
http://schemas.microsoft.com/identity/claims/identityprovider
http://schemas.microsoft.com/identity/claims/objectidentifier
http://schemas.microsoft.com/identity/claims/openid2_id
http://schemas.microsoft.com/identity/claims/puid
http://schemas.microsoft.com/identity/claims/tenantid
http://schemas.microsoft.com/identity/claims/xms_et
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
http://schemas.microsoft.com/ws/2008/06/identity/claims/expiration
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
http://schemas.microsoft.com/ws/2008/06/identity/claims/role
http://schemas.microsoft.com/ws/2008/06/identity/claims/wids
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Ezek a jogcímek alapértelmezés szerint korlátozottak, de nem lesznek korlátozva, ha az AcceptMappedClaims tulajdonságottrue az alkalmazásjegyzékben állítja be , vagyegyéni aláírási kulccsal rendelkezik:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/x500distinguishedname

Ezek a jogcímek alapértelmezés szerint korlátozottak, de egyéni aláírókulcs esetén nem lesznek korlátozva:

  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Jogcímleképezési szabályzat tulajdonságai

Egy jogcímleképezési szabályzat tulajdonságaival szabályozhatja, hogy mely jogcímek legyenek kibocsátva, és honnan származnak az adatok. Ha egy szabályzat nincs beállítva, a rendszer olyan jogkivonatokat bocsát ki, amelyek tartalmazzák az alapvető jogcímkészletet, az alapszintű jogcímkészletet és az alkalmazás által a fogadásra kiválasztott opcionális jogcímeket .

Megjegyzés

Az alapjogcímkészlet jogcímei minden jogkivonatban megtalálhatók, függetlenül attól, hogy mire van beállítva ez a tulajdonság.

Alapszintű jogcímkészlet belefoglalása

Karakterlánc: IncludeBasicClaimSet

Adattípus: Logikai (igaz vagy hamis)

Összefoglaló: Ez a tulajdonság határozza meg, hogy az alapszintű jogcímkészlet szerepel-e a szabályzat által érintett jogkivonatokban.

  • Ha Igaz értékre van állítva, az alapszintű jogcímkészletben lévő összes jogcím a szabályzat által érintett jogkivonatokban lesz kibocsátva.
  • Ha False (Hamis) értékre van állítva, az alapszintű jogcímkészletben lévő jogcímek nem szerepelnek a jogkivonatokban, kivéve, ha a jogcímséma tulajdonságában egyedileg vannak hozzáadva ugyanannak a szabályzatnak.

Jogcímséma

Karakterlánc: ClaimsSchema

Adattípus: JSON-blob egy vagy több jogcímséma-bejegyzéssel

Összefoglaló: Ez a tulajdonság határozza meg, hogy mely jogcímek találhatók a szabályzat által érintett jogkivonatokban az alapszintű jogcímkészleten és az alapvető jogcímkészleten kívül. A tulajdonságban definiált minden jogcímséma-bejegyzéshez szükség van bizonyos információkra. Adja meg, hogy az adatok honnan származnak (Érték, Forrás/azonosító pár vagy Forrás/BővítményAZONOSÍTÓ pár), és hogy az adatok melyik jogcímként vannak kibocsátva (jogcímtípus).

Jogcímséma-bejegyzés elemei

Érték: Az Érték elem statikus értéket határoz meg a jogcímben kibocsátandó adatokként.

Forrás/azonosító pár: A forrás- és azonosítóelemek határozzák meg, hogy a jogcímben lévő adatok honnan származnak.

Forrás/ExtensionID pár: A Forrás és az ExtensionID elem határozza meg azt a könyvtárséma-bővítményattribútumot, amelyből a jogcím adatai származnak. További információ: Címtárséma-bővítmény attribútumainak használata jogcímekben.

Állítsa a Forrás elemet a következő értékek egyikére:

  • "user": A jogcímben szereplő adatok a Felhasználói objektum egyik tulajdonsága.
  • "application": A jogcímben szereplő adatok az alkalmazás (ügyfél) szolgáltatásnév egyik tulajdonsága.
  • "resource": A jogcímben szereplő adatok az erőforrás-szolgáltatásnév egyik tulajdonsága.
  • "audience": A jogcímben szereplő adatok a jogkivonat célközönségét képező szolgáltatásnév (ügyfél vagy erőforrás-szolgáltatásnév) egyik tulajdonsága.
  • "company": A jogcímben szereplő adatok az erőforrás-bérlő Cég objektumának egyik tulajdonsága.
  • "átalakítás": A jogcím adatai jogcímátalakításból származnak (lásd a cikk későbbi, "Jogcímátalakítás" szakaszát).

Ha a forrás transzformáció, az Átalakításazonosító elemet is bele kell foglalni ebbe a jogcímdefinícióba.

Az AZONOSÍTÓ elem azonosítja, hogy a forrás melyik tulajdonsága adja meg a jogcím értékét. Az alábbi táblázat a Forrás minden értékére érvényes azonosító értékeket sorolja fel.

Figyelmeztetés

Jelenleg az egyetlen elérhető többértékű jogcímforrás egy felhasználói objektumon az AADConnectből szinkronizált többértékű bővítményattribútumok. Más tulajdonságok, például az OtherMails és a címkék többértékűek, de forrásként kijelölve csak egy értéket adnak ki.

3. táblázat: Érvényes azonosítóértékek forrásonként

Forrás ID (Azonosító) Leírás
Felhasználó surname Családnév
Felhasználó givenname utónév;
Felhasználó Displayname Megjelenítendő név
Felhasználó objectid ObjectID
Felhasználó Levelezés E-mail-cím
Felhasználó userprincipalname Felhasználó egyszerű neve
Felhasználó Részleg Részleg
Felhasználó onpremisessamaccountname Helyszíni SAM-fiók neve
Felhasználó netbiosname NetBios-név
Felhasználó dnsdomainname DNS-tartománynév
Felhasználó onpremisesecurityidentifier Helyszíni biztonsági azonosító
Felhasználó cégnév Szervezetnév
Felhasználó streetaddress Utca, házszám
Felhasználó irányítószám Irányítószám
Felhasználó preferredlanguage Előnyben részesített nyelv
Felhasználó onpremisesuserprincipalname Helyszíni UPN
Felhasználó mailnickname E-mail becenév
Felhasználó extensionattribute1 1. bővítményattribútum
Felhasználó extensionattribute2 2. bővítményattribútum
Felhasználó extensionattribute3 3. bővítményattribútum
Felhasználó extensionattribute4 4. bővítményattribútum
Felhasználó extensionattribute5 5. bővítményattribútum
Felhasználó extensionattribute6 6. bővítményattribútum
Felhasználó extensionattribute7 7. bővítményattribútum
Felhasználó extensionattribute8 Bővítményattribútum 8
Felhasználó extensionattribute9 9. bővítményattribútum
Felhasználó extensionattribute10 Extension Attribute 10
Felhasználó extensionattribute11 Extension Attribute 11
Felhasználó extensionattribute12 Bővítményattribútum 12
Felhasználó extensionattribute13 Bővítményattribútum 13
Felhasználó extensionattribute14 Extension Attribute 14
Felhasználó extensionattribute15 Extension Attribute 15
Felhasználó egyéb e-mail Egyéb levelek
Felhasználó ország Ország/régió
Felhasználó city City
Felhasználó állapot Állapot
Felhasználó jobtitle Beosztás
Felhasználó employeeid Alkalmazott azonosítója
Felhasználó facsimiletelephonenumber Telefax telefonszám
Felhasználó assignedroles a felhasználóhoz rendelt alkalmazásszerepkörök listája
Felhasználó accountEnabled Fiók engedélyezve
Felhasználó consentprovidedforminor A kiskorú számára megadott hozzájárulás
Felhasználó createddatetime Létrehozás dátuma/időpontja
Felhasználó creationtype Létrehozás típusa
Felhasználó lastpasswordchangedatetime Utolsó jelszóváltoztatás dátuma/időpontja
Felhasználó mobiltelefon Mobiltelefonszám
Felhasználó officelocation Office hely
Felhasználó onpremisesdomainname Helyszíni tartománynév
Felhasználó onpremisesimmutableid Helyszíni nem módosítható azonosító
Felhasználó onpremisessyncenabled Helyszíni szinkronizálás engedélyezve
Felhasználó preferreddatalocation Előküldett adatok helye
Felhasználó proxyaddresses Proxycímek
Felhasználó usertype Felhasználó típusa
Felhasználó telephonenumber Business Phones / Office Telefonok
alkalmazás, erőforrás, célközönség Displayname Megjelenítendő név
alkalmazás, erőforrás, célközönség objectid ObjectID
alkalmazás, erőforrás, célközönség tags Szolgáltatásnév címkéje
Vállalat tenantcountry Bérlő országa/régiója

Átalakítási azonosító: A TransformationID elemet csak akkor kell megadni, ha a Forrás elem "átalakítás" értékre van állítva.

  • Ennek az elemnek meg kell egyeznie a ClaimsTransformation tulajdonság átalakítási bejegyzésének azonosító elemével, amely meghatározza a jogcím adatainak generálását.

Jogcím típusa: A JwtClaimType és a SamlClaimType elemek határozzák meg, hogy melyik jogcímre vonatkozik ez a jogcímséma-bejegyzés.

  • A JwtClaimType tulajdonságnak tartalmaznia kell a JWT-ben kibocsátandó jogcím nevét.
  • A SamlClaimType tulajdonságnak tartalmaznia kell az SAML-jogkivonatokban kibocsátandó jogcím URI-ját.
  • onPremisesUserPrincipalName attribútum: Alternatív azonosító használata esetén a userPrincipalName helyszíni attribútum szinkronizálva lesz az onPremisesUserPrincipalName Azure AD attribútummal. Ez az attribútum csak akkor érhető el, ha alternatív azonosító van konfigurálva, de az MS Graph Bétaverzión keresztül is elérhető: https://graph.microsoft.com/beta/me/.

Megjegyzés

A korlátozott jogcímkészletben lévő jogcímek nevei és URI-i nem használhatók a jogcímtípus elemeihez. További információt a cikk későbbi, "Kivételek és korlátozások" című szakaszában talál.

Csoportszűrő (előzetes verzió)

Karakterlánc: GroupFilter

Adattípus: JSON-blob

Összefoglaló: Ezzel a tulajdonságpal szűrőt alkalmazhat a csoportjogcímben szerepeltetni kívánt felhasználói csoportokra. Ez hasznos eszköz lehet a jogkivonat méretének csökkentésére.

MatchOn: A MatchOn tulajdonság azonosítja azt a csoportattribútumot, amelyre alkalmazni szeretné a szűrőt.

Állítsa a MatchOn tulajdonságot az alábbi értékek egyikére:

  • "displayname": A csoport megjelenítendő neve.
  • "samaccountname": A helyszíni SAM-fiók neve

Típus: A Type tulajdonság a MatchOn tulajdonság által kiválasztott attribútumra alkalmazni kívánt szűrőtípust választja ki.

Állítsa a Type tulajdonságot az alábbi értékek egyikére:

  • "prefix": Olyan csoportok belefoglalása, ahol a MatchOn tulajdonság a megadott Value tulajdonsággal kezdődik.
  • "utótag": Olyan csoportok belefoglalása, ahol a MatchOn tulajdonság a megadott Value tulajdonsággal végződik.
  • "contains": Olyan csoportok belefoglalása, ahol a MatchOn tulajdonság a megadott Value tulajdonsággal rendelkezik.

Jogcím-átalakítás

Karakterlánc: ClaimsTransformation

Adattípus: JSON-blob egy vagy több átalakítási bejegyzéssel

Összefoglaló: Ezzel a tulajdonságkal gyakori átalakításokat alkalmazhat a forrásadatokra, és létrehozhatja a jogcímsémában megadott jogcímek kimeneti adatait.

ID: Az ID elem használatával hivatkozhat erre az átalakítási bejegyzésre a TransformationID Jogcímséma bejegyzésben. Ennek az értéknek egyedinek kell lennie a szabályzat minden egyes átalakítási bejegyzéséhez.

TransformationMethod: A TransformationMethod elem azonosítja, hogy a rendszer melyik műveletet hajtja végre a jogcím adatainak létrehozásához.

A választott módszer alapján bemenetek és kimenetek halmaza várható. A bemeneteket és kimeneteket az InputClaims, az InputParameters és az OutputClaims elemekkel határozhatja meg.

4. táblázat: Átalakítási módszerek, valamint a várt bemenetek és kimenetek

TransformationMethod Várt bemenet Várt kimenet Leírás
Csatlakozás string1, string2, elválasztó outputClaim Bemeneti sztringeket illeszt egymáshoz elválasztó karakterrel. Például: string1:"foo@bar.com" , string2:"sandbox" , separator:"." results in outputClaim:"foo@bar.com.sandbox"
ExtractMailPrefix E-mail vagy UPN kinyert sztring Az ExtensionAttributes 1-15 vagy bármely más sémabővítmény, amely upn- vagy e-mail-címértéket tárol a felhasználó számára, például johndoe@contoso.com. Kinyeri egy e-mail-cím helyi részét. Például: mail:"foo@bar.com" eredménye outputClaim:"foo". Ha nincs @ jel, akkor a rendszer az eredeti bemeneti sztringet adja vissza.

InputClaims: Az InputClaims elem használatával továbbítja az adatokat egy jogcímséma-bejegyzésből egy átalakításba. Három attribútummal rendelkezik: ClaimTypeReferenceId, TransformationClaimType és TreatAsMultiValue (előzetes verzió)

  • A ClaimTypeReferenceId a jogcímséma bejegyzés azonosítóelemével van összekapcsolva a megfelelő bemeneti jogcím megkereséséhez.
  • A TransformationClaimType egyedi nevet ad a bemenetnek. Ennek a névnek meg kell egyeznie az átalakítási módszer egyik várt bemenetével.
  • A TreatAsMultiValue egy logikai jelölő, amely azt jelzi, hogy az átalakítást minden értékre vagy csak az elsőre kell-e alkalmazni. Alapértelmezés szerint a transzformációk csak a többértékű jogcím első elemére lesznek alkalmazva, ha ezt az értéket igaz értékre állítja, ezzel biztosíthatja, hogy az összesre alkalmazva legyen. A ProxyAddresses és a csoportok két példa a bemeneti jogcímekre, amelyeket valószínűleg több értékként szeretne kezelni.

InputParameters: Egy InputParameters elem használatával adjon át egy állandó értéket egy átalakításnak. Két attribútuma van: érték és azonosító.

  • Az érték az átadandó tényleges állandó érték.
  • Az azonosítóval egyedi nevet adhat a bemenetnek. A névnek meg kell egyeznie az átalakítási módszer egyik várt bemenetével.

OutputClaims: Használja az OutputClaims elemet az átalakítás által létrehozott adatok tárolására és jogcímséma-bejegyzéshez való kapcsolására. Két attribútuma van: ClaimTypeReferenceId és TransformationClaimType.

  • A ClaimTypeReferenceId a jogcímséma-bejegyzés azonosítójával van összekapcsolva a megfelelő kimeneti jogcím megkereséséhez.
  • A TransformationClaimType egyedi nevet ad a kimenetnek. A névnek meg kell egyeznie az átalakítási módszer várt kimeneteinek egyikével.

Kivételek és korlátozások

SAML NameID és UPN: Az attribútumok, amelyekből a NameID és az UPN értékeket forrásként adja meg, valamint az engedélyezett jogcímátalakítások korlátozottak. Az engedélyezett értékek megtekintéséhez tekintse meg az 5. és a 6. táblázatot.

5. táblázat: Az SAML NameID adatforrásaként engedélyezett attribútumok

Forrás ID (Azonosító) Leírás
Felhasználó Levelezés E-mail-cím
Felhasználó userprincipalname Felhasználó egyszerű neve
Felhasználó onpremisessamaccountname Helyszíni Sam-fiók neve
Felhasználó employeeid Alkalmazott azonosítója
Felhasználó telephonenumber Business Phones / Office Telefonok
Felhasználó extensionattribute1 1. bővítményattribútum
Felhasználó extensionattribute2 2. bővítményattribútum
Felhasználó extensionattribute3 3. bővítményattribútum
Felhasználó extensionattribute4 4. bővítményattribútum
Felhasználó extensionattribute5 5. bővítményattribútum
Felhasználó extensionattribute6 6. bővítményattribútum
Felhasználó extensionattribute7 7. bővítményattribútum
Felhasználó extensionattribute8 Bővítményattribútum 8
Felhasználó extensionattribute9 9. bővítményattribútum
Felhasználó extensionattribute10 Extension Attribute 10
Felhasználó extensionattribute11 Extension Attribute 11
Felhasználó extensionattribute12 Bővítményattribútum 12
Felhasználó extensionattribute13 Bővítményattribútum 13
Felhasználó extensionattribute14 Extension Attribute 14
Felhasználó extensionattribute15 Extension Attribute 15

6. táblázat: Az SAML NameID-hez engedélyezett átalakítási módszerek

TransformationMethod Korlátozások
ExtractMailPrefix None
Csatlakozás Az összekapcsolt utótagnak az erőforrás-bérlő ellenőrzött tartományának kell lennie.

Következő lépések