Atributos de extensión de directorio en notificaciones
Los atributos de extensión de directorio proporcionan una manera de almacenar más datos en objetos de directorio, como los usuarios. Solo se pueden utilizar atributos de extensión en objetos de usuario para emitir notificaciones a las aplicaciones. Este artículo describe cómo usar atributos de extensión de directorio para enviar datos de usuario a aplicaciones en notificaciones de token.
Nota
Microsoft Graph proporciona otros tres mecanismos de extensión para personalizar los objetos de Graph. Estos son los atributos de extensión 1-15, extensiones abiertas y extensiones de esquema. Vea la documentación de Microsoft Graph para obtener información detallada. Los datos almacenados en objetos de Microsoft Graph que usan extensiones abiertas y de esquema no están disponibles como orígenes de las notificaciones en tókenes.
Los atributos de extensión del directorio siempre se asocian con una aplicación en el inquilino. El nombre del atributo del directorio incluye el appId de la aplicación en su nombre.
El identificador de un atributo de extensión de directorio tiene el formato extension_xxxxxxxxx_AttributeName
. Donde xxxxxxxxx
es el valor de AppID de la aplicación para la que se definió la extensión, solo con caracteres 0-9 y A-Z.
Registro y uso de extensiones de directorio
Registre los atributos de extensión de directorio de una de las maneras siguientes:
- Configure Microsoft Entra para crearlos y sincronizar los datos en ellos desde una instancia local. Consulte Extensiones de directorio de la sincronización de Microsoft Entra Connect.
- Use Microsoft Graph para registrar, establecer los valores y leer las extensiones de directorio. Los cmdlets de PowerShell también están disponibles.
Emisión de notificaciones con datos desde Microsoft Entra Connect
Los atributos de extensión de directorio creados y sincronizados mediante Microsoft Entra Connect siempre están asociados al identificador de aplicaciones utilizado por Microsoft Entra Connect. Estos atributos se pueden usar como origen para las notificaciones mediante la configuración de notificaciones como notificaciones en la configuración de Aplicaciones empresariales en Azure Portal. Después de crear un atributo de extensión de directorio mediante AD Connect, se muestra en la configuración de notificaciones de SSO de SAML.
Emisión de notificaciones mediante Graph o PowerShell
Si se registra un atributo de extensión de directorio para usar Microsoft Graph o PowerShell, la aplicación puede configurarse para recibir datos en dicho atributo cuando el usuario inicia sesión. La aplicación se puede configurar para recibir datos en las extensiones de directorio que están registradas en la aplicación mediante notificaciones opcionales que pueden establecerse en el manifiesto de aplicación.
Después, las aplicaciones multiinquilino pueden registrar atributos de extensión de directorio para su propio uso. Cuando la aplicación se aprovisiona en un inquilino, las extensiones de directorio asociadas pasan a estar disponibles y a ser consumidas por los usuarios de ese inquilino. Una vez disponible la extensión de directorio, se puede usar para almacenar y recuperar datos mediante Microsoft Graph. La extensión de directorio también puede asignarse a notificaciones en tókenes que el Plataforma de identidad de Microsoft emite a las aplicaciones.
Si una aplicación necesita enviar notificaciones con datos de un atributo de extensión registrado en otra aplicación, se debe usar una directiva de asignación de notificaciones para asignar el atributo de extensión a la notificación.
Un patrón común para administrar los atributos de extensión de directorio es registrar una aplicación específicamente para todas las extensiones de directorio que necesita. Cuando se usa este tipo de aplicación, todas las extensiones tienen el mismo appID en su nombre.
Por ejemplo, el siguiente código muestra una directiva de asignación de notificaciones para emitir una notificación única desde un atributo de extensión de directorio en un token de OAuth/OIDC:
{
"ClaimsMappingPolicy": {
"Version": 1,
"IncludeBasicClaimSet": "false",
"ClaimsSchema": [{
"Source": "User",
"ExtensionID": "extension_xxxxxxx_test",
"JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
},
]
}
}
Donde xxxxxxx
es el valor de AppID (o Id. de cliente) de la aplicación con la que se registró la extensión.
Advertencia
Al definir una directiva de asignación de notificaciones para un atributo de extensión de directorio, use la propiedad ExtensionID
en lugar de la propiedad ID
en el cuerpo de la matriz ClaimsSchema
, como se muestra en el ejemplo anterior.
Sugerencia
La coherencia entre mayúsculas y minúsculas es importante cuando establece los atributos de extensión de directorio en los objetos. Los nombres de los atributos de extensión no distinguen mayúsculas y minúsculas cuando se configuran, pero sí realizan esta distinción cuando el servicio de token los lee desde el directorio. Si se establece un atributo de extensión en un objeto de usuario con el nombre "LegacyId" y en otro objeto de usuario con el nombre "legacyid", cuando el atributo se asigna a una notificación con el nombre "LegacyId", los datos se recuperan correctamente, y la notificación se incluirá en el token del primer usuario, pero no del segundo.
Pasos siguientes
- Obtenga información sobre cómo personalizar las notificaciones emitidas en tokens para una aplicación específica.