Katalogtilläggsattribut i anspråk
Katalogtilläggsattribut är ett sätt att lagra mer data på katalogobjekt som användare. Endast tilläggsattribut för användarobjekt kan användas för att generera anspråk till program. Den här artikeln beskriver hur du använder katalogtilläggsattribut för att skicka användardata till program i tokenanspråk.
Kommentar
Microsoft Graph innehåller tre andra tilläggsmekanismer för att anpassa Graph-objekt. Det här är tilläggsattributen 1–15, öppna tillägg och schematillägg. Mer information finns i Microsoft Graph-dokumentationen. Data som lagras på Microsoft Graph-objekt med öppna och schematillägg är inte tillgängliga som källor för anspråk i token.
Katalogtilläggsattribut associeras alltid med ett program i klientorganisationen. Namnet på katalogattributet innehåller appId för programmet i dess namn.
Identifieraren för ett katalogtilläggsattribut är av formatet extension_xxxxxxxxx_AttributeName. Var xxxxxxxxx är appId för programmet som tillägget definierades för, med endast tecknen 0–9 och A-Z.
Registrera och använda katalogtillägg
Registrera katalogtilläggsattribut på något av följande sätt:
- Konfigurera Microsoft Entra Anslut för att skapa dem och synkronisera data till dem lokalt. Se Microsoft Entra Anslut Sync Directory-tillägg.
- Använd Microsoft Graph för att registrera, ange värden för och läsa från katalogtillägg. PowerShell-cmdletar är också tillgängliga.
Generera anspråk med data från Microsoft Entra Anslut
Katalogtilläggsattribut som skapats och synkroniserats med Microsoft Entra Anslut associeras alltid med det program-ID som används av Microsoft Entra Anslut. Dessa attribut kan användas som källa för anspråk både genom att konfigurera dem som anspråk i Konfiguration av företagsprogram i portalen. När ett katalogtilläggsattribut har skapats med HJÄLP av AD Anslut visas det i SAML SSO-anspråkskonfigurationen.
Generera anspråk med hjälp av Graph eller PowerShell
Om ett katalogtilläggsattribut har registrerats för användning av Microsoft Graph eller PowerShell kan programmet konfigureras för att ta emot data i det attributet när användaren loggar in. Programmet kan konfigureras för att ta emot data i katalogtillägg som är registrerade i programmet med hjälp av valfria anspråk som kan anges i programmanifestet.
Program med flera klientorganisationer kan sedan registrera katalogtilläggsattribut för eget bruk. När programmet etableras i en klientorganisation blir de associerade katalogtilläggen tillgängliga och förbrukade för användare i den klientorganisationen. När katalogtillägget är tillgängligt kan det användas för att lagra och hämta data med hjälp av Microsoft Graph. Katalogtillägget kan också mappas till anspråk i token som Microsofts identitetsplattform genererar till program.
Om ett program behöver skicka anspråk med data från ett tilläggsattribut som är registrerat i ett annat program, måste en princip för anspråksmappning användas för att mappa tilläggsattributet till anspråket.
Ett vanligt mönster för att hantera katalogtilläggsattribut är att registrera ett program specifikt för alla katalogtillägg som du behöver. När du använder den här typen av program har alla tillägg samma appID i deras namn.
Följande kod visar till exempel en princip för anspråksmappning för att generera ett enda anspråk från ett katalogtilläggsattribut i en OAuth/OIDC-token:
{
"ClaimsMappingPolicy": {
"Version": 1,
"IncludeBasicClaimSet": "false",
"ClaimsSchema": [{
"Source": "User",
"ExtensionID": "extension_xxxxxxx_test",
"JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
},
]
}
}
Var xxxxxxx finns appID (eller klient-ID) för programmet som tillägget registrerades med.
Varning
När du definierar en princip för anspråksmappning för ett katalogtilläggsattribut använder du ExtensionID egenskapen i stället för ID egenskapen i matrisens ClaimsSchema brödtext, som du ser i föregående exempel.
Dricks
Skiftlägeskonsekvens är viktigt när du anger katalogtilläggsattribut för objekt. Namn på tilläggsattribut är inte skiftlägeskänsliga när de konfigureras, men de är skiftlägeskänsliga när de läse från katalogen av tokentjänsten. Om ett tilläggsattribut anges för ett användarobjekt med namnet "LegacyId" och på ett annat användarobjekt med namnet "legacyid" när attributet mappas till ett anspråk med namnet "LegacyId" hämtas data och anspråket som ingår i token för den första användaren men inte det andra.