Atributy rozšíření adresáře v deklaracích identity

Atributy rozšíření adresáře poskytují způsob, jak ukládat více dat o objektech adresáře, jako jsou uživatelé. Ke generování deklarací identity pro aplikace je možné použít pouze atributy rozšíření pro objekty uživatelů. Tento článek popisuje, jak používat atributy rozšíření adresáře pro odesílání uživatelských dat do aplikací v deklaracích identity tokenů.

Poznámka:

Microsoft Graph poskytuje tři další mechanismy rozšíření pro přizpůsobení objektů Graphu. Toto jsou atributy rozšíření 1–15, otevřená rozšíření a rozšíření schématu. Podrobnosti najdete v dokumentaci k Microsoft Graphu. Data uložená na objektech Microsoft Graphu používajících rozšíření open a schématu nejsou k dispozici jako zdroje deklarací identity v tokenech.

Atributy rozšíření adresáře jsou vždy přidružené k aplikaci v tenantovi. Název atributu adresáře zahrnuje appId aplikace v názvu.

Identifikátor atributu rozšíření adresáře je ve formuláři extension_xxxxxxxxx_AttributeName. Kde xxxxxxxxx je appId aplikace, pro které bylo rozšíření definováno, s pouze znaky 0-9 a A-Z.

Registrace a používání rozšíření adresáře

Atributy rozšíření adresáře zaregistrujte jedním z následujících způsobů:

  • Nakonfigurujte Microsoft Entra Připojení tak, aby je vytvořil a synchronizoval s nimi data z místního prostředí. Viz Rozšíření adresáře synchronizace Microsoft Entra Připojení.
  • Microsoft Graph slouží k registraci, nastavení hodnot a čtení z rozšíření adresáře. K dispozici jsou také rutiny PowerShellu.

Generování deklarací identity s daty z microsoft entra Připojení

Atributy rozšíření adresáře vytvořené a synchronizované pomocí Připojení Microsoft Entra jsou vždy přidruženy k ID aplikace používané Microsoft Entra Připojení. Tyto atributy lze použít jako zdroj pro deklarace identity tím, že je nakonfigurujete jako deklarace identity v konfiguraci podnikových aplikací na portálu. Po vytvoření atributu rozšíření adresáře pomocí služby AD Připojení se zobrazí v konfiguraci deklarací identity jednotného přihlašování SAML.

Generování deklarací identity pomocí Graphu nebo PowerShellu

Pokud je atribut rozšíření adresáře zaregistrovaný pro použití Microsoft Graphu nebo PowerShellu, je možné aplikaci nakonfigurovat tak, aby přijímala data v daném atributu, když se uživatel přihlásí. Aplikaci je možné nakonfigurovat tak, aby přijímala data v rozšířeních adresářů zaregistrovaných v aplikaci pomocí volitelných deklarací identity , které lze nastavit v manifestu aplikace.

Aplikace s více tenanty pak můžou registrovat atributy rozšíření adresáře pro vlastní použití. Když je aplikace zřízená v tenantovi, budou přidružená rozšíření adresáře dostupná a spotřebovaná pro uživatele v daném tenantovi. Jakmile je rozšíření adresáře k dispozici, můžete ho použít k ukládání a načítání dat pomocí Microsoft Graphu. Rozšíření adresáře se také může mapovat na deklarace identity v tokenech, které platforma Microsoft Identity Platform vysílá do aplikací.

Pokud aplikace potřebuje odesílat deklarace identity s daty z atributu rozšíření, který je zaregistrovaný v jiné aplikaci, musí být zásada mapování deklarací identity použita k mapování atributu rozšíření na deklaraci identity.

Běžným vzorem správy atributů rozšíření adresáře je registrace aplikace speciálně pro všechna potřebná rozšíření adresáře. Když použijete tento typ aplikace, budou mít všechna rozšíření stejné ID aplikace ve svém názvu.

Například následující kód ukazuje zásadu mapování deklarací identity pro generování jedné deklarace identity z atributu rozšíření adresáře v tokenu OAuth/OIDC:

{
    "ClaimsMappingPolicy": {
        "Version": 1,
        "IncludeBasicClaimSet": "false",
        "ClaimsSchema": [{
                "Source": "User",
                "ExtensionID": "extension_xxxxxxx_test",
                "JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
            },
        ]
    }
}

Kde xxxxxxx je ID aplikace (nebo ID klienta), ke které bylo rozšíření registrováno.

Upozorňující

Když definujete zásady mapování deklarací identity pro atribut rozšíření adresáře, použijte ExtensionID vlastnost místo ID vlastnosti v těle ClaimsSchema pole, jak je znázorněno v předchozím příkladu.

Tip

Při nastavování atributů rozšíření adresáře u objektů je důležitá konzistence malých a velkých písmen. V názvech atributů rozšíření se při nastavování nerozlišují malá a velká písmena, ale při čtení z adresáře službou tokenů se rozlišují malá a velká písmena. Pokud je atribut rozšíření nastaven na objekt uživatele s názvem LegacyId a na jiném objektu uživatele s názvem legacyid, pokud je atribut namapován na deklaraci identity pomocí názvu LegacyId, data se úspěšně načtou a deklarace identity zahrnutá v tokenu pro prvního uživatele, ale ne na druhé.

Další kroky