Kenmerken van gebruikersprofiel
Uw Azure Active Directory B2C-adreslijstprofiel (Azure AD B2C) wordt geleverd met een set ingebouwde kenmerken, zoals de voornaam, achternaam, plaats, postcode en telefoonnummer. U kunt het gebruikersprofiel uitbreiden met uw eigen toepassingsgegevens zonder dat hiervoor een extern gegevensarchief nodig is.
Microsoft Graph API ondersteunt de meeste kenmerken die u met Azure kunt gebruiken. In dit artikel worden kenmerken van gebruikersprofielen beschreven die door Azure AD B2C worden ondersteund. Ook worden deze kenmerken opgemerkt die niet door Microsoft Graph worden ondersteund en microsoft Graph API-kenmerken die azure AD B2C niet mag gebruiken.
Belangrijk
U moet geen ingebouwde of extensiekenmerken gebruiken om gevoelige persoonlijke gegevens op te slaan, zoals accountreferenties, overheidsidentificatienummers, gegevens van kaarthouders, financiële accountgegevens, gezondheidsinformatie of gevoelige achtergrondinformatie.
U kunt ook integreren met externe systemen. U kunt bijvoorbeeld Azure AD B2C gebruiken voor verificatie, maar delegeren aan een externe CRM (Customer Relationship Management) of klantloyaliteitsdatabase als gezaghebbende bron van klantgegevens. Zie de externe profieloplossing voor meer informatie.
Resourcetype Microsoft Entra-gebruikers
Azure AD B2C Directory-gebruikersprofiel ondersteunt de kenmerken van het gebruikersresourcetype die worden vermeld in de onderstaande tabel. Het geeft de volgende informatie over elk kenmerk:
- Kenmerknaam die wordt gebruikt door Azure AD B2C (gevolgd door de Microsoft Graph-naam tussen haakjes, indien anders)
- Gegevenstype kenmerk
- Beschrijving kenmerk
- Of het kenmerk beschikbaar is in Azure Portal
- Of het kenmerk kan worden gebruikt in een gebruikersstroom
- Of het kenmerk kan worden gebruikt in een aangepast microsoft Entra ID-technisch profiel en in welke sectie (<InputClaims>, <OutputClaims> of <PersistentedClaims>)
| Naam | Datumtype | Beschrijving | Beschikbaar in Azure Portal | Gebruikt in gebruikersstromen | Gebruikt in aangepast beleid |
|---|---|---|---|---|---|
| accountEnabled | Booleaanse waarde | Of het gebruikersaccount is ingeschakeld of uitgeschakeld: waar als het account is ingeschakeld, anders onwaar. | Ja | Nr. | Persistent, uitvoer |
| ageGroup | String | De leeftijdsgroep van de gebruiker. Mogelijke waarden: null, Undefined, Minor, Adult, NotAdult. | Ja | Nr. | Persistent, uitvoer |
| alternativeSecurityId (Identities) | String | Eén gebruikersidentiteit van de externe id-provider. | Nee | Nr. | Invoer, persistent, uitvoer |
| alternativeSecurityIds (identities) | alternatieve securityId-verzameling | Een verzameling gebruikersidentiteiten van externe id-providers. | Nee | Nr. | Persistent, uitvoer |
| plaats | String | De woonplaats van de gebruiker.. Maximale lengte 128. | Ja | Ja | Persistent, uitvoer |
| consentProvidedForMinor | String | Of de toestemming is verstrekt voor een minderjarige. Toegestane waarden: null, granted, denied of notRequired. | Ja | Nr. | Persistent, uitvoer |
| land | String | Het land/de woonregio van de gebruiker. Bijvoorbeeld: VS of VK. Maximale lengte 128. | Ja | Ja | Persistent, uitvoer |
| createdDateTime | Datum en tijd | De datum waarop het gebruikersobject is gemaakt. Alleen-lezen. | Nee | Nr. | Persistent, uitvoer |
| creationType | String | Als het gebruikersaccount is gemaakt als een lokaal account voor een Azure Active Directory B2C-tenant, is de waarde LocalAccount of nameCoexistence. Alleen-lezen. | Nee | Nr. | Persistent, uitvoer |
| dateOfBirth | Datum | Geboortedatum. | Nee | Nr. | Persistent, uitvoer |
| afdeling | String | De naam voor de afdeling waarin de gebruiker werkt. Maximale lengte 64. | Ja | Nr. | Persistent, uitvoer |
| displayName | String | De weergavenaam voor de gebruiker. Maximale lengte 256. <> tekens zijn niet toegestaan. | Ja | Ja | Persistent, uitvoer |
| facsimileTelephoneNumber1 | String | Het telefoonnummer van de faxmachine van de gebruiker. | Ja | Nr. | Persistent, uitvoer |
| givenName | String | De opgegeven naam (voornaam) van de gebruiker. Maximale lengte 64. | Ja | Ja | Persistent, uitvoer |
| jobTitle | String | De functie van de gebruiker. Maximale lengte 128. | Ja | Ja | Persistent, uitvoer |
| immutableId | String | Een id die doorgaans wordt gebruikt voor gebruikers die zijn gemigreerd vanuit on-premises Active Directory. | Nee | Nr. | Persistent, uitvoer |
| legalAgeGroupClassification | String | Classificatie van juridische leeftijdsgroepen. Alleen-lezen en berekend op basis van ageGroup- en consentProvidedForMinor-eigenschappen. Toegestane waarden: null, minorWithOutParentalConsent, minorWithParentalConsent, minorNoParentalConsentRequired, notAdult en adult. | Ja | Nr. | Persistent, uitvoer |
| legalCountry1 | String | Land/regio voor juridische doeleinden. | Nee | Nr. | Persistent, uitvoer |
| mailNickName | String | De e-mailalias voor de gebruiker. Maximale lengte 64. | Nee | Nr. | Persistent, uitvoer |
| mobiel (mobiel Telefoon) | String | Het primaire mobiele telefoonnummer voor de gebruiker. Maximale lengte 64. | Ja | Nr. | Persistent, uitvoer |
| Netid | String | Netto-id. | Nee | Nr. | Persistent, uitvoer |
| objectId | String | Een GUID (Globally Unique Identifier) die de unieke id voor de gebruiker is. Voorbeeld: 12345678-9abc-def0-1234-56789abcde. Alleen-lezen, onveranderbaar. | Alleen-lezen | Ja | Invoer, persistent, uitvoer |
| otherMails | Tekenreeksverzameling | Een lijst met andere e-mailadressen voor de gebruiker. Voorbeeld: [""bob@contoso.com, "Robert@fabrikam.com"]. OPMERKING: Accenttekens zijn niet toegestaan. | Ja (alternatief e-mailadres) | Nee | Persistent, uitvoer |
| password | String | Het wachtwoord voor het lokale account tijdens het maken van de gebruiker. | Nee | Nr. | Persistent |
| passwordPolicies | String | Beleid van het wachtwoord. Het is een tekenreeks die bestaat uit verschillende beleidsnaam, gescheiden door komma's. Bijvoorbeeld DisablePasswordExpiration, DisableStrongPassword. | Nee | Nr. | Persistent, uitvoer |
| physicalDeliveryOfficeName (officeLocation) | String | De kantoorlocatie in de bedrijfslocatie van de gebruiker. Maximale lengte 128. | Ja | Nr. | Persistent, uitvoer |
| postalCode | String | De postcode voor het postadres van de gebruiker. De postcode is specifiek voor het land/de regio van de gebruiker. In het Verenigde Staten van Amerika bevat dit kenmerk de postcode. Maximale lengte 40. | Ja | Nr. | Persistent, uitvoer |
| preferredLanguage | String | De voorkeurstaal voor de gebruiker. De voorkeurstaalindeling is gebaseerd op RFC 4646. De naam is een combinatie van een ISO 639-cultuurcode met twee letters die aan de taal is gekoppeld en een ISO 3166-subcultuurcode met twee letters die is gekoppeld aan het land of de regio. Bijvoorbeeld: en-US of es-ES. | Nee | Nr. | Persistent, uitvoer |
| refreshTokensValidFromDateTime (signInSessionsValidFromDateTime) | Datum en tijd | Vernieuwingstokens die vóór deze tijd zijn uitgegeven, zijn ongeldig en toepassingen krijgen een foutmelding wanneer u een ongeldig vernieuwingstoken gebruikt om een nieuw toegangstoken te verkrijgen. In dit geval moet de toepassing een nieuw vernieuwingstoken verkrijgen door een aanvraag in te dienen bij het autorisatie-eindpunt. Alleen-lezen. | Nee | Nr. | Uitvoer |
| signInNames (identiteiten) | String | De unieke aanmeldingsnaam van de lokale accountgebruiker van elk type in de map. Gebruik dit kenmerk om een gebruiker met aanmeldingswaarde op te halen zonder het lokale accounttype op te geven. | Nee | Nr. | Invoer |
| signInNames.userName (Identiteiten) | String | De unieke gebruikersnaam van de lokale accountgebruiker in de directory. Gebruik dit kenmerk om een gebruiker met een specifieke aanmeldingsgebruikersnaam te maken of op te halen. Als u dit kenmerk alleen opgeeft in PersistentedClaims tijdens de patchbewerking, worden andere typen signInNames verwijderd. Als u een nieuw type signInNames wilt toevoegen, moet u ook bestaande signInNames behouden. OPMERKING: Accenttekens zijn niet toegestaan in de gebruikersnaam. | Nee | Nr. | Invoer, persistent, uitvoer |
| signInNames.phoneNumber (Identiteiten) | String | Het unieke telefoonnummer van de lokale accountgebruiker in de directory. Gebruik dit kenmerk om een gebruiker met een specifiek aanmeldingstelefoonnummer te maken of op te halen. Als u dit kenmerk alleen opgeeft in PersistentedClaims tijdens de patchbewerking, worden andere typen signInNames verwijderd. Als u een nieuw type signInNames wilt toevoegen, moet u ook bestaande signInNames behouden. | Nee | Nr. | Invoer, persistent, uitvoer |
| signInNames.emailAddress (Identiteiten) | String | Het unieke e-mailadres van de lokale accountgebruiker in de directory. Gebruik dit kenmerk om een gebruiker met een specifiek aanmeldings-e-mailadres te maken of op te halen. Als u dit kenmerk alleen opgeeft in PersistentedClaims tijdens de patchbewerking, worden andere typen signInNames verwijderd. Als u een nieuw type signInNames wilt toevoegen, moet u ook bestaande signInNames behouden. | Nee | Nr. | Invoer, persistent, uitvoer |
| staat | String | De staat of provincie in het adres van de gebruiker. Maximale lengte 128. | Ja | Ja | Persistent, uitvoer |
| streetAddress | String | Het adres van de locatie van de gebruiker. Maximale lengte 1024. | Ja | Ja | Persistent, uitvoer |
| strongAuthentication Alternative Telefoon Number1 | String | Het secundaire telefoonnummer van de gebruiker, dat wordt gebruikt voor meervoudige verificatie. | Ja | Nr. | Persistent, uitvoer |
| strongAuthenticationEmailAddress1 | String | Het SMTP-adres voor de gebruiker. Voorbeeld: 'bob@contoso.com' Dit kenmerk wordt gebruikt voor aanmelding met gebruikersnaambeleid om het e-mailadres van de gebruiker op te slaan. Het e-mailadres dat vervolgens wordt gebruikt in een stroom voor het opnieuw instellen van wachtwoorden. Accenttekens zijn niet toegestaan in dit kenmerk. | Ja | Nr. | Persistent, uitvoer |
| strongAuthentication Telefoon Nummer2 | String | Het primaire telefoonnummer van de gebruiker, dat wordt gebruikt voor meervoudige verificatie. | Ja | Nr. | Persistent, uitvoer |
| surname | String | De achternaam van de gebruiker (familienaam of achternaam). Maximale lengte 64. | Ja | Ja | Persistent, uitvoer |
| telephoneNumber (eerste vermelding van zaken Telefoon s) | String | Het primaire telefoonnummer van de bedrijfsplaats van de gebruiker. | Ja | Nr. | Persistent, uitvoer |
| userPrincipalName | String | De UPN (user Principal name) van de gebruiker. De UPN is een aanmeldingsnaam in internetstijl voor de gebruiker op basis van de internetstandaard RFC 822. Het domein moet aanwezig zijn in de verzameling geverifieerde domeinen van de tenant. Deze eigenschap is vereist wanneer een account wordt gemaakt. Onveranderlijke. | Nee | Nr. | Invoer, persistent, uitvoer |
| usageLocation | String | Vereist voor gebruikers waaraan licenties zijn toegewezen vanwege wettelijke vereisten om te controleren op beschikbaarheid van services in landen/regio's. Niet nullable. Een land-/regiocode van twee letters (ISO-standaard 3166). Voor voorbeelden, VS, JP en GB. | Ja | Nr. | Persistent, uitvoer |
| userType | String | Een tekenreekswaarde die kan worden gebruikt om gebruikerstypen in uw directory te classificeren. De waarde moet Lid zijn. Alleen-lezen. | Alleen-lezen | Nee | Persistent, uitvoer |
| userState (externalUserState)3 | String | Alleen voor Microsoft Entra B2B-account en wordt aangegeven of de uitnodiging PendingAcceptance of Accepted is. | Nee | Nr. | Persistent, uitvoer |
| userStateChangedOn (externalUserStateChangeDateTime)2 | Datum en tijd | Geeft de tijdstempel weer voor de meest recente wijziging in de eigenschap UserState. | Nee | Nr. | Persistent, uitvoer |
1 Niet ondersteund door Microsoft Graph
2 Zie het kenmerk MFA-telefoonnummer voor meer informatie
3 Mag niet worden gebruikt met Azure AD B2C
Vereiste kenmerken
Als u een gebruikersaccount wilt maken in de Azure AD B2C-directory, geeft u de volgende vereiste kenmerken op:
Identiteiten : met ten minste één entiteit (een lokaal of federatief account).
Wachtwoordprofiel: als u een lokaal account maakt, geeft u het wachtwoordprofiel op.
Kenmerk Weergavenaam
Dit displayName is de naam die moet worden weergegeven in azure Portal-gebruikersbeheer voor de gebruiker en in het toegangstoken dat Azure AD B2C retourneert naar de toepassing. Deze eigenschap is vereist.
Kenmerk Identiteiten
Een klantaccount, dat een consument, partner of burger kan zijn, kan worden gekoppeld aan deze identiteitstypen:
- Lokale identiteit: de gebruikersnaam en het wachtwoord worden lokaal opgeslagen in de Azure AD B2C-directory. We verwijzen vaak naar deze identiteiten als 'lokale accounts'.
- Federatieve identiteit: ook wel sociaal- of ondernemingsaccounts genoemd, de identiteit van de gebruiker wordt beheerd door een federatieve id-provider zoals Facebook, Microsoft, ADFS of Salesforce.
Een gebruiker met een klantaccount kan zich aanmelden met meerdere identiteiten. Bijvoorbeeld gebruikersnaam, e-mail, werknemer-id, overheids-id en andere. Eén account kan meerdere identiteiten hebben, zowel lokaal als sociaal, met hetzelfde wachtwoord.
In de Microsoft Graph API worden zowel lokale als federatieve identiteiten opgeslagen in het gebruikerskenmerk identities , dat van het type objectIdentity is. De identities verzameling vertegenwoordigt een set identiteiten die worden gebruikt om u aan te melden bij een gebruikersaccount. Met deze verzameling kan de gebruiker zich aanmelden bij het gebruikersaccount met een van de bijbehorende identiteiten. Het kenmerk identiteiten kan maximaal 10 objectIdentity-objecten bevatten. Elk object bevat de volgende eigenschappen:
| Name | Type | Description |
|---|---|---|
| signInType | tekenreeks | Hiermee geeft u de aanmeldingstypen van de gebruiker in uw directory op. Voor een lokaal account: emailAddress, emailAddress1, emailAddress2, , emailAddress3of userNameeen ander type dat u wilt. Sociaal account moet worden ingesteld op federated. |
| Uitgevende instelling | tekenreeks | Hiermee geeft u de verlener van de identiteit. Voor lokale accounts (waarbij signInType niet federatedis), is deze eigenschap bijvoorbeeld de standaarddomeinnaam contoso.onmicrosoft.comvan de lokale B2C-tenant. Voor sociale identiteit (waarbij signInType is) is federatedde waarde de naam van de verlener, bijvoorbeeld facebook.com |
| issuerAssignedId | tekenreeks | Hiermee geeft u de unieke id op die door de verlener aan de gebruiker is toegewezen. De combinatie van issuer en issuerAssignedId moet uniek zijn binnen uw tenant. Als signInType is ingesteld emailAddress op of userNameals het lokale account de aanmeldingsnaam voor de gebruiker vertegenwoordigt.Wanneer signInType is ingesteld op:
|
Het volgende JSON-fragment toont het kenmerk Identiteiten , met een lokale account-id met een aanmeldingsnaam, een e-mailadres als aanmelding en met een sociale identiteit.
"identities": [
{
"signInType": "userName",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "johnsmith"
},
{
"signInType": "emailAddress",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "jsmith@yahoo.com"
},
{
"signInType": "federated",
"issuer": "facebook.com",
"issuerAssignedId": "5eecb0cd"
}
]
Voor federatieve identiteiten, afhankelijk van de id-provider, is de issuerAssignedId een unieke waarde voor een bepaalde gebruiker per toepassing of ontwikkelingsaccount. Configureer het Azure AD B2C-beleid met dezelfde toepassings-id die de sociale provider of een andere toepassing binnen hetzelfde ontwikkelingsaccount toewijst.
Wachtwoordprofieleigenschap
Voor een lokale identiteit is het kenmerk passwordProfile vereist en bevat het wachtwoord van de gebruiker. Het forceChangePasswordNextSignIn kenmerk geeft aan of een gebruiker het wachtwoord opnieuw moet instellen bij de volgende aanmelding. Als u het opnieuw instellen van een geforceerd wachtwoord wilt afhandelen, gebruikt u de instructies in het instellen van de stroom voor geforceerd opnieuw instellen van wachtwoorden.
Voor een federatieve (sociale) identiteit is het kenmerk passwordProfile niet vereist.
"passwordProfile" : {
"password": "password-value",
"forceChangePasswordNextSignIn": false
}
Kenmerk wachtwoordbeleid
Het Azure AD B2C-wachtwoordbeleid (voor lokale accounts) is gebaseerd op het beleid voor sterke wachtwoordsterkte van Microsoft Entra ID. Voor het azure AD B2C-beleid voor registratie of aanmelding en wachtwoordherstel is deze sterke wachtwoordsterkte vereist en verlopen wachtwoorden niet.
In scenario's voor gebruikersmigratie kunt u de sterke wachtwoordvereiste uitschakelen als de accounts die u wilt migreren een zwakkere wachtwoordsterkte hebben dan de sterke wachtwoordsterkte die door Azure AD B2C wordt afgedwongen. Als u het standaardwachtwoordbeleid wilt wijzigen, stelt u het passwordPolicies kenmerk in DisableStrongPasswordop . U kunt de aanvraag voor het maken van gebruikers bijvoorbeeld als volgt wijzigen:
"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"
Kenmerk MFA-telefoonnummer
Wanneer u een telefoon gebruikt voor meervoudige verificatie (MFA), wordt de mobiele telefoon gebruikt om de gebruikersidentiteit te verifiëren. Als u een nieuw telefoonnummer programmatisch wilt toevoegen, het telefoonnummer wilt bijwerken, ophalen of verwijderen, gebruikt u de verificatiemethode ms Graph API-telefoon.
In aangepast Azure AD B2C-beleid is het telefoonnummer beschikbaar via strongAuthenticationPhoneNumber claimtype.
Extensiekenmerken
Elke klantgerichte toepassing heeft unieke vereisten voor het verzamelen van informatie. Uw Azure AD B2C-tenant wordt geleverd met een ingebouwde set gegevens die zijn opgeslagen in eigenschappen, zoals Voornaam, Achternaam en Postcode. Met Azure AD B2C kunt u de set eigenschappen uitbreiden die zijn opgeslagen in elk klantaccount. Zie Gebruikerskenmerken toevoegen en gebruikersinvoer aanpassen in Azure Active Directory B2C voor meer informatie
Extensiekenmerken breiden het schema van de gebruikersobjecten in de map uit. De extensiekenmerken kunnen alleen worden geregistreerd op een toepassingsobject, ook al bevatten ze mogelijk gegevens voor een gebruiker. Het extensiekenmerk is gekoppeld aan de toepassing met de naam b2c-extensions-app. Wijzig deze toepassing niet, omdat deze wordt gebruikt door Azure AD B2C voor het opslaan van gebruikersgegevens. U vindt deze toepassing onder Microsoft Entra App-registraties. Meer informatie over Azure AD B2Cb2c-extensions-app.
Notitie
- U kunt maximaal 100 extensiekenmerken schrijven naar elk gebruikersaccount.
- Als de toepassing b2c-extensions-app wordt verwijderd, worden deze extensiekenmerken verwijderd van alle gebruikers, samen met alle gegevens die ze bevatten.
- Als een extensiekenmerk wordt verwijderd door de toepassing, wordt het verwijderd uit alle gebruikersaccounts en worden de waarden verwijderd.
Extensiekenmerken in de Graph API worden benoemd met behulp van de conventie extension_ApplicationClientID_AttributeName, waarbij:
- Dit
ApplicationClientIDis de toepassings-id (client) van deb2c-extensions-apptoepassing. Meer informatie over het vinden van de uitbreidings-app. - Dit
AttributeNameis de naam van het extensiekenmerk.
De toepassings-id (client) die wordt gebruikt om de naam van het extensiekenmerk te maken, bevat geen afbreekstreepjes. Bijvoorbeeld:
"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"
De volgende gegevenstypen worden ondersteund bij het definiëren van een kenmerk in een schema-extensie:
| Type | Opmerkingen |
|---|---|
| Booleaanse waarde | Mogelijke waarden: waar of onwaar. |
| Datum en tijd | Moet worden opgegeven in ISO 8601-indeling. De waarde wordt opgeslagen in UTC. |
| Geheel getal | 32-bits waarde. |
| String | Maximaal 256 tekens. |
Volgende stappen
Meer informatie over extensiekenmerken: