Atributy profilu uživatele
Profil uživatele adresáře Azure Active Directory B2C (Azure AD B2C) obsahuje sadu předdefinovaných atributů, jako je jméno, příjmení, město, PSČ a telefonní číslo. Profil uživatele můžete rozšířit o vlastní data aplikace bez nutnosti externího úložiště dat.
Rozhraní Microsoft Graph API podporuje většinu atributů, které můžete použít s Azure. Tento článek popisuje atributy profilů uživatelů, které Podporuje Azure AD B2C. Všimněte si také atributů, které Microsoft Graph nepodporuje, a atributy rozhraní Microsoft Graph API, které by azure AD B2C neměl používat.
Důležité
Neměli byste používat předdefinované atributy ani atributy rozšíření k ukládání citlivých osobních údajů, jako jsou přihlašovací údaje účtu, identifikační čísla státní správy, data o držiteli karet, data finančního účtu, informace o zdravotní péči nebo citlivé informace na pozadí.
Můžete se také integrovat s externími systémy. K ověřování můžete například použít Azure AD B2C, ale delegovat na externí správu vztahů se zákazníky (CRM) nebo zákaznickou databázi věrnosti jako autoritativní zdroj zákaznických dat. Další informace najdete v řešení vzdáleného profilu .
Typ prostředku uživatele Microsoft Entra
Profil uživatele adresáře Azure AD B2C podporuje atributy typu prostředku uživatele uvedené v následující tabulce. Poskytuje následující informace o jednotlivých atributech:
- Název atributu používaný službou Azure AD B2C (následovaný názvem Microsoft Graphu v závorkách, pokud se liší)
- Datový typ atributu
- Popis atributu
- Určuje, jestli je atribut dostupný na webu Azure Portal.
- Určuje, jestli se atribut dá použít v toku uživatele.
- Zda lze atribut použít v technickém profilu Microsoft Entra ID vlastní zásady a v jaké části (<InputClaims>, <OutputClaims> nebo <PersistedClaims>)
| Název | Typ data | Popis | K dispozici na webu Azure Portal | Používá se v tocích uživatelů. | Používá se ve vlastních zásadách. |
|---|---|---|---|---|---|
| accountEnabled | Boolean | Jestli je uživatelský účet povolený nebo zakázaný: true , pokud je účet povolený, jinak nepravda. | Yes | No | Trvalý, výstup |
| ageGroup | Řetězec | Věková skupina uživatele. Možné hodnoty: null, Undefined, Minor, Adult, NotAdult. | Yes | No | Trvalý, výstup |
| alternativeSecurityId (Identityies) | Řetězec | Jedna identita uživatele z externího zprostředkovatele identity. | No | Ne | Vstup, trvalý, výstup |
| alternativeSecurityIds (Identityies) | alternativní kolekce securityId | Kolekce identit uživatelů od externích zprostředkovatelů identity. | No | Ne | Trvalý, výstup |
| city | Řetězec | Město bydliště uživatele. Maximální délka 128. | Ano | Yes | Trvalý, výstup |
| consentProvidedForMinor | Řetězec | Zda byl souhlas poskytnut pro podverzi. Povolené hodnoty: null, uděleno, odepřeno nebo notRequired. | Yes | No | Trvalý, výstup |
| country | Řetězec | Země/oblast bydliště uživatele. Příklad: USA nebo Velká Británie. Maximální délka 128. | Ano | Yes | Trvalý, výstup |
| createdDateTime | DateTime | Datum vytvoření objektu uživatele. Jen pro čtení. | No | Ne | Trvalý, výstup |
| creationType | Řetězec | Pokud byl uživatelský účet vytvořen jako místní účet pro tenanta Azure Active Directory B2C, hodnota je LocalAccount nebo nameCoexistence. Jen pro čtení. | No | Ne | Trvalý, výstup |
| dateOfBirth | Datum | Datum narození. | No | Ne | Trvalý, výstup |
| department | Řetězec | Název oddělení, ve kterém uživatel pracuje. Maximální délka 64. | Yes | No | Trvalý, výstup |
| displayName | Řetězec | Zobrazované jméno uživatele. Maximální délka 256. <> znaky nejsou povoleny. | Ano | Yes | Trvalý, výstup |
| facsimileTelephoneNumber1 | Řetězec | Telefonní číslo firemního faxového stroje uživatele. | Yes | No | Trvalý, výstup |
| givenName | Řetězec | Křestní jméno (jméno) uživatele Maximální délka 64. | Ano | Yes | Trvalý, výstup |
| jobTitle | Řetězec | Pracovní pozice uživatele. Maximální délka 128. | Ano | Yes | Trvalý, výstup |
| immutableId | Řetězec | Identifikátor, který se obvykle používá pro uživatele migrované z místní Active Directory. | No | Ne | Trvalý, výstup |
| legalAgeGroupClassification | Řetězec | Právní zařazení věkové skupiny. Jen pro čtení a vypočítává se na základě vlastností ageGroup a consentProvidedForMinor. Povolené hodnoty: null, minorWithOutParentalConsent, minorWithParentalConsent, minorNoParentalConsentRequired, notAdult a dospělý. | Yes | No | Trvalý, výstup |
| legalCountry1 | Řetězec | Země/oblast pro právní účely. | No | Ne | Trvalý, výstup |
| mailNickName | Řetězec | Alias pošty pro uživatele. Maximální délka 64. | No | Ne | Trvalý, výstup |
| mobilní zařízení (mobilní Telefon) | Řetězec | Primární mobilní telefonní číslo uživatele. Maximální délka 64. | Yes | No | Trvalý, výstup |
| netId | Řetězec | Net ID. | No | Ne | Trvalý, výstup |
| objectId | Řetězec | Globálně jedinečný identifikátor (GUID), který je jedinečným identifikátorem uživatele. Příklad: 12345678-9abc-def0-1234-56789abcde. Jen pro čtení, Immutable. | Jen pro čtení | Ano | Vstup, trvalý, výstup |
| ostatní e-maily | Kolekce řetězců | Seznam dalších e-mailových adres pro uživatele Příklad: ["bob@contoso.com", "Robert@fabrikam.com"]. POZNÁMKA: Zvýraznění znaků není povoleno. | Ano (alternativní e-mail) | No | Trvalý, výstup |
| Heslo | Řetězec | Heslo pro místní účet během vytváření uživatele. | No | Ne | Trvalé |
| passwordPolicies | Řetězec | Zásady hesla. Jedná se o řetězec skládající se z různých názvů zásad oddělených čárkami. Například DisablePasswordExpiration, DisableStrongPassword. | No | Ne | Trvalý, výstup |
| physicalDeliveryOfficeName (officeLocation) | Řetězec | Umístění kanceláře v místě podnikání uživatele. Maximální délka 128. | Yes | No | Trvalý, výstup |
| postalCode | Řetězec | PSČ poštovní adresy uživatele. PSČ je specifické pro zemi nebo oblast uživatele. V USA Ameriky tento atribut obsahuje PSČ. Maximální délka 40. | Yes | No | Trvalý, výstup |
| preferredLanguage | Řetězec | Upřednostňovaný jazyk pro uživatele. Upřednostňovaný formát jazyka je založený na dokumentu RFC 4646. Název je kombinací dvoumísmenného kódu jazykové verze ISO 639 s malými písmeny přidruženým k jazyku a kódu subculture přidruženého k zemi nebo oblasti dvoumísmenným velkým písmenem ISO 3166. Příklad: en-US nebo es-ES. | No | Ne | Trvalý, výstup |
| refreshTokensValidFromDateTime (signInSessionsValidFromDateTime) | DateTime | Všechny obnovovací tokeny vydané před tímto časem jsou neplatné a při použití neplatného obnovovacího tokenu k získání nového přístupového tokenu dojde k chybě. V takovém případě aplikace potřebuje získat nový obnovovací token vytvořením požadavku na autorizační koncový bod. Jen pro čtení. | No | Ne | Výstup |
| signInNames (Identityies) | Řetězec | Jedinečný přihlašovací název uživatele místního účtu libovolného typu v adresáři. Tento atribut použijte k získání uživatele s přihlašovací hodnotou bez zadání typu místního účtu. | No | Ne | Vstup |
| signInNames.userName (Identityies) | Řetězec | Jedinečné uživatelské jméno uživatele místního účtu v adresáři. Pomocí tohoto atributu můžete vytvořit nebo získat uživatele s konkrétním přihlašovacím uživatelským jménem. Zadáním tohoto atributu v persistedClaims samostatně během operace Patch odeberete další typy signInNames. Pokud chcete přidat nový typ signInNames, musíte zachovat i existující signInNames. POZNÁMKA: V uživatelském jménu nejsou povolené zvýrazňující znaky. | No | Ne | Vstup, trvalý, výstup |
| signInNames.phoneNumber (Identityies) | Řetězec | Jedinečné telefonní číslo uživatele místního účtu v adresáři. Pomocí tohoto atributu můžete vytvořit nebo získat uživatele s určitým přihlašovacím telefonním číslem. Zadáním tohoto atributu v persistedClaims samostatně během operace Patch odeberete další typy signInNames. Pokud chcete přidat nový typ signInNames, musíte zachovat i existující signInNames. | No | Ne | Vstup, trvalý, výstup |
| signInNames.emailAddress (Identityies) | Řetězec | Jedinečná e-mailová adresa uživatele místního účtu v adresáři. Pomocí tohoto atributu můžete vytvořit nebo získat uživatele s konkrétní přihlašovací e-mailovou adresou. Zadáním tohoto atributu v persistedClaims samostatně během operace Patch odeberete další typy signInNames. Pokud chcete přidat nový typ signInNames, musíte zachovat i existující signInNames. | No | Ne | Vstup, trvalý, výstup |
| state | Řetězec | Stát nebo provincie v adrese uživatele. Maximální délka 128. | Ano | Yes | Trvalý, výstup |
| streetAddress | Řetězec | Adresa ulice místa podnikání uživatele. Maximální délka 1024. | Ano | Yes | Trvalý, výstup |
| strongAuthentication Alternative Telefon Number1 | Řetězec | Sekundární telefonní číslo uživatele, které se používá pro vícefaktorové ověřování. | Yes | No | Trvalý, výstup |
| strongAuthenticationEmailAddress1 | Řetězec | Adresa SMTP pro uživatele. Příklad: "bob@contoso.com" Tento atribut se používá pro přihlášení pomocí zásad uživatelského jména k uložení e-mailové adresy uživatele. E-mailová adresa se pak použila v toku resetování hesla. V tomto atributu nejsou povolené znaky zvýraznění. | Yes | No | Trvalý, výstup |
| strongAuthentication Telefon Number2 | Řetězec | Primární telefonní číslo uživatele, které se používá pro vícefaktorové ověřování. | Yes | No | Trvalý, výstup |
| surname | Řetězec | Příjmení uživatele (příjmení nebo příjmení). Maximální délka 64. | Ano | Yes | Trvalý, výstup |
| telephoneNumber (první položka podnikání Telefon s) | Řetězec | Primární telefonní číslo místa podnikání uživatele. | Yes | No | Trvalý, výstup |
| userPrincipalName (Hlavní název uživatele) | Řetězec | Hlavní název uživatele (UPN) Hlavní název uživatele (UPN) je přihlašovací jméno ve stylu internetu pro uživatele založené na internetovém standardu RFC 822. Doména musí být v kolekci ověřených domén tenanta. Tato vlastnost se vyžaduje při vytvoření účtu. Neměnný | No | Ne | Vstup, trvalý, výstup |
| usageLocation | Řetězec | Vyžaduje se pro uživatele, kteří mají přiřazené licence kvůli právnímu požadavku na kontrolu dostupnosti služeb v zemích nebo oblastech. Nelze použít hodnotu null. Dvoumísmenný kód země/oblasti (standard ISO 3166). Příklady, USA, JP a GB. | Yes | No | Trvalý, výstup |
| userType | Řetězec | Řetězcová hodnota, kterou lze použít ke klasifikaci typů uživatelů v adresáři. Hodnota musí být Člen. Jen pro čtení. | Jen pro čtení | No | Trvalý, výstup |
| userState (externalUserState)3 | Řetězec | Pouze pro účet Microsoft Entra B2B a označuje, jestli je pozvánka PendingAcceptance nebo Přijato. | No | Ne | Trvalý, výstup |
| userStateChangedOn (externalUserStateChangeDateTime)2 | DateTime | Zobrazuje časové razítko poslední změny vlastnosti UserState. | No | Ne | Trvalý, výstup |
1 Microsoft Graph nepodporuje
2 Další informace najdete v tématu Atribut telefonního čísla vícefaktorového ověřování
3 Nemělo by se používat s Azure AD B2C
Povinné atributy
Pokud chcete vytvořit uživatelský účet v adresáři Azure AD B2C, zadejte následující požadované atributy:
Identity – s alespoň jednou entitou (místní nebo federovaný účet).
Profil hesla – Pokud vytvoříte místní účet, zadejte profil hesla.
Atribut zobrazovaného názvu
Jedná displayName se o název, který se má zobrazit ve správě uživatelů webu Azure Portal pro uživatele a v přístupovém tokenu, který Azure AD B2C vrátí do aplikace. Tato vlastnost je povinná.
Atribut Identities
K těmto typům identit může být přidružený účet zákazníka, partnera nebo občana:
- Místní identita – Uživatelské jméno a heslo se ukládají místně v adresáři Azure AD B2C. Tyto identity často označujeme jako "místní účty".
- Federovaná identita – označuje se také jako sociální nebo podnikové účty, identita uživatele je spravovaná federovaným zprostředkovatelem identity, jako je Facebook, Microsoft, ADFS nebo Salesforce.
Uživatel s účtem zákazníka se může přihlásit s více identitami. Například uživatelské jméno, e-mail, ID zaměstnance, ID státní správy a další. Jeden účet může mít více identit, místní i sociální sítě se stejným heslem.
V rozhraní Microsoft Graph API jsou místní i federované identity uložené v atributu uživatele identities , což je typ objectIdentity. Kolekce identities představuje sadu identit sloužících k přihlášení k uživatelskému účtu. Tato kolekce umožňuje uživateli přihlásit se k uživatelskému účtu s libovolnou jeho přidruženou identitou. Atribut identit může obsahovat až 10 objektů objectIdentity . Každý objekt obsahuje následující vlastnosti:
| Name | Typ | Popis |
|---|---|---|
| signInType | řetězec | Určuje typy přihlašování uživatelů ve vašem adresáři. Pro místní účet: emailAddress, , emailAddress2emailAddress1, emailAddress3, , userNamenebo jakýkoli jiný typ, který se vám líbí. Účet sociální sítě musí být nastaven na federatedhodnotu . |
| issuer | řetězec | Určuje vystavitele identity. U místních účtů (kde signInType není federated) je tato vlastnost výchozím názvem domény místního tenanta B2C, například contoso.onmicrosoft.com. Pro sociální identitu (kde signInType je federated) je hodnota název vystavitele, například facebook.com |
| issuerAssignedId | řetězec | Určuje jedinečný identifikátor přiřazený uživateli vystavitelem. Kombinace vystavitele a issuerAssignedId musí být v rámci vašeho tenanta jedinečná. U místního účtu je při nastavení emailAddress userNamesignInType nebo představuje přihlašovací jméno uživatele.Když je signInType nastaveno na:
|
Následující fragment kódu JSON ukazuje atribut Identityies s místní identitou účtu s přihlašovacím jménem, e-mailovou adresou jako přihlášení a sociální identitou.
"identities": [
{
"signInType": "userName",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "johnsmith"
},
{
"signInType": "emailAddress",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "jsmith@yahoo.com"
},
{
"signInType": "federated",
"issuer": "facebook.com",
"issuerAssignedId": "5eecb0cd"
}
]
U federovaných identit je v závislosti na zprostředkovateli identity vystavitelAssignedId jedinečnou hodnotou pro daného uživatele na aplikaci nebo vývojový účet. Nakonfigurujte zásadu Azure AD B2C se stejným ID aplikace, které přiřadí poskytovatel sociální sítě nebo jiná aplikace ve stejném účtu pro vývoj.
Vlastnost profilu hesla
Pro místní identitu je vyžadován atribut passwordProfile a obsahuje heslo uživatele. Atribut forceChangePasswordNextSignIn označuje, jestli uživatel musí resetovat heslo při příštím přihlášení. Pokud chcete zpracovat vynucené resetování hesla, postupujte podle pokynů v nastavení toku vynuceného resetování hesla.
Pro federovanou (sociální) identitu není vyžadován atribut passwordProfile .
"passwordProfile" : {
"password": "password-value",
"forceChangePasswordNextSignIn": false
}
Atribut zásady hesel
Zásady hesel Azure AD B2C (pro místní účty) jsou založené na zásadách silné síly hesla Microsoft Entra ID. Zásady registrace nebo přihlašování a resetování hesel v Azure AD B2C vyžadují tuto silnou sílu hesel a nevyprší platnost hesel.
Pokud mají účty, které chcete migrovat, ve scénářích migrace slabší sílu hesla než silná síla hesel vynucená službou Azure AD B2C, můžete požadavek silného hesla zakázat. Chcete-li změnit výchozí zásady hesel, nastavte passwordPolicies atribut na DisableStrongPassword. Žádost o vytvoření uživatele můžete například upravit následujícím způsobem:
"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"
Atribut telefonního čísla MFA
Při použití telefonu pro vícefaktorové ověřování (MFA) se mobilní telefon používá k ověření identity uživatele. Pokud chcete přidat nové telefonní číslo prostřednictvím kódu programu, aktualizovat, získat nebo odstranit telefonní číslo, použijte metodu ověřování telefonu rozhraní MS Graph API.
Ve vlastních zásadách Azure AD B2C je telefonní číslo dostupné prostřednictvím strongAuthenticationPhoneNumber typu deklarace identity.
Atributy rozšíření
Každá aplikace určená pro zákazníky má jedinečné požadavky na shromažďování informací. Váš tenant Azure AD B2C obsahuje integrovanou sadu informací uložených ve vlastnostech, jako je Dané jméno, Příjmení a PSČ. Pomocí Azure AD B2C můžete rozšířit sadu vlastností uložených v každém zákaznickém účtu. Další informace najdete v tématu Přidání atributů uživatele a přizpůsobení uživatelského vstupu v Azure Active Directory B2C
Atributy rozšíření rozšiřují schéma uživatelských objektů v adresáři. Atributy rozšíření lze zaregistrovat pouze u objektu aplikace, i když můžou obsahovat data pro uživatele. Atribut rozšíření je připojen k aplikaci s názvem b2c-extensions-app. Tuto aplikaci neupravujte, protože ji používá Azure AD B2C k ukládání uživatelských dat. Tuto aplikaci najdete v části Microsoft Entra Registrace aplikací. Přečtěte si další informace o Azure AD B2Cb2c-extensions-app.
Poznámka:
- Do libovolného uživatelského účtu můžete napsat až 100 atributů rozšíření.
- Pokud je aplikace b2c-extensions-app odstraněna, odeberou se tyto atributy rozšíření všem uživatelům spolu s daty, která obsahují.
- Pokud aplikace odstraní atribut rozšíření, odebere se ze všech uživatelských účtů a hodnoty se odstraní.
Atributy rozšíření v rozhraní Graph API jsou pojmenovány pomocí konvence extension_ApplicationClientID_AttributeName, kde:
- Jedná se
ApplicationClientIDo IDb2c-extensions-appaplikace (klienta). Zjistěte, jak najít aplikaci rozšíření. - Jedná se
AttributeNameo název atributu rozšíření.
ID aplikace (klienta), pokud se používá k vytvoření názvu atributu rozšíření, neobsahuje pomlčky. Příklad:
"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"
Při definování atributu v rozšíření schématu se podporují následující datové typy:
| Typ | Poznámky |
|---|---|
| Boolean | Možné hodnoty: true nebo false. |
| DateTime | Musí být zadán ve formátu ISO 8601. Hodnota je uložena ve standardu UTC. |
| Integer | 32bitová hodnota. |
| Řetězec | Maximálně 256 znaků. |
Další kroky
Další informace o atributech rozšíření: