Atrybuty rozszerzenia katalogu w oświadczeniach
Atrybuty rozszerzenia katalogu umożliwiają przechowywanie większej ilości danych na obiektach katalogu, takich jak użytkownicy. Do emitowania oświadczeń dla aplikacji można używać tylko atrybutów rozszerzeń dotyczących obiektów użytkowników. W tym artykule opisano sposób używania atrybutów rozszerzenia katalogu do wysyłania danych użytkownika do aplikacji w oświadczeniach tokenów.
Uwaga
Program Microsoft Graph udostępnia trzy inne mechanizmy rozszerzeń służące do dostosowywania obiektów programu Graph. Są to atrybuty rozszerzenia 1–15, otwarte rozszerzenia i rozszerzenia schematu. Zobacz dokumentację usługi Microsoft Graph, aby uzyskać szczegółowe informacje. Dane przechowywane w obiektach programu Microsoft Graph przy użyciu rozszerzeń otwierania i schematu nie są dostępne jako źródła oświadczeń w tokenach.
Atrybuty rozszerzenia katalogu są zawsze skojarzone z aplikacją w dzierżawie. Nazwa atrybutu katalogu zawiera identyfikator appId aplikacji w nazwie.
Identyfikator atrybutu rozszerzenia katalogu ma postać extension_xxxxxxxxx_AttributeName
. Gdzie xxxxxxxxx
to appId aplikacji, dla której zdefiniowano rozszerzenie, z tylko znakami 0–9 i A-Z.
Rejestrowanie i używanie rozszerzeń katalogu
Zarejestruj atrybuty rozszerzenia katalogu na jeden z następujących sposobów:
- Skonfiguruj Połączenie firmy Microsoft, aby utworzyć je i zsynchronizować z nimi dane ze środowiska lokalnego. Zobacz Microsoft Entra Połączenie Sync Directory Extensions (Rozszerzenia katalogów synchronizacji firmy Microsoft Połączenie).
- Użyj programu Microsoft Graph, aby zarejestrować, ustawić wartości i odczytać z rozszerzeń katalogu. Dostępne są również polecenia cmdlet programu PowerShell.
Emitowanie oświadczeń przy użyciu danych z Połączenie firmy Microsoft
Atrybuty rozszerzenia katalogu utworzone i zsynchronizowane przy użyciu usługi Microsoft Entra Połączenie są zawsze skojarzone z identyfikatorem aplikacji używanym przez firmę Microsoft Entra Połączenie. Te atrybuty mogą być używane jako źródło dla oświadczeń, konfigurując je jako oświadczenia w konfiguracji aplikacji dla przedsiębiorstw w portalu. Po utworzeniu atrybutu rozszerzenia katalogu przy użyciu usługi AD Połączenie jest on wyświetlany w konfiguracji oświadczeń logowania jednokrotnego SAML.
Emituj oświadczenia przy użyciu programu Graph lub programu PowerShell
Jeśli atrybut rozszerzenia katalogu jest zarejestrowany do używania programu Microsoft Graph lub programu PowerShell, można skonfigurować aplikację do odbierania danych w tym atrybucie po zalogowaniu się użytkownika. Aplikację można skonfigurować tak, aby odbierała dane w rozszerzeniach katalogu zarejestrowanych w aplikacji przy użyciu opcjonalnych oświadczeń, które można ustawić w manifeście aplikacji.
Aplikacje wielodostępne mogą następnie rejestrować atrybuty rozszerzenia katalogu do własnego użytku. Gdy aplikacja jest aprowizowana w dzierżawie, skojarzone rozszerzenia katalogu stają się dostępne i używane dla użytkowników w tej dzierżawie. Po udostępnieniu rozszerzenia katalogu można go użyć do przechowywania i pobierania danych przy użyciu programu Microsoft Graph. Rozszerzenie katalogu może również mapować oświadczenia w tokenach Platforma tożsamości Microsoft emitować do aplikacji.
Jeśli aplikacja musi wysyłać oświadczenia z danymi z atrybutu rozszerzenia zarejestrowanego w innej aplikacji, należy użyć zasad mapowania oświadczeń do mapowania atrybutu rozszerzenia na oświadczenie.
Typowym wzorcem zarządzania atrybutami rozszerzenia katalogu jest zarejestrowanie aplikacji specjalnie dla wszystkich potrzebnych rozszerzeń katalogu. W przypadku korzystania z tego typu aplikacji wszystkie rozszerzenia mają ten sam identyfikator appID w nazwie.
Na przykład poniższy kod przedstawia zasady mapowania oświadczeń w celu emitowania pojedynczego oświadczenia z atrybutu rozszerzenia katalogu w tokenie OAuth/OIDC:
{
"ClaimsMappingPolicy": {
"Version": 1,
"IncludeBasicClaimSet": "false",
"ClaimsSchema": [{
"Source": "User",
"ExtensionID": "extension_xxxxxxx_test",
"JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
},
]
}
}
Gdzie xxxxxxx
jest appID (lub identyfikator klienta) aplikacji, z którą zarejestrowano rozszerzenie.
Ostrzeżenie
Podczas definiowania zasad mapowania oświadczeń dla atrybutu rozszerzenia katalogu użyj ExtensionID
właściwości zamiast ID
właściwości w treści ClaimsSchema
tablicy, jak pokazano w poprzednim przykładzie.
Napiwek
Spójność wielkości liter jest ważna podczas ustawiania atrybutów rozszerzenia katalogu na obiektach. Nazwy atrybutów rozszerzenia nie są uwzględniane podczas konfigurowania, ale są uwzględniane wielkość liter podczas odczytywania z katalogu przez usługę tokenu. Jeśli atrybut rozszerzenia jest ustawiony na obiekt użytkownika o nazwie "LegacyId" i na innym obiekcie użytkownika o nazwie "legacyid", gdy atrybut jest mapowany na oświadczenie przy użyciu nazwy "LegacyId", dane są pomyślnie pobierane i oświadczenie zawarte w tokenie dla pierwszego użytkownika, ale nie drugie.
Następne kroki
- Dowiedz się, jak dostosować oświadczenia emitowane w tokenach dla określonej aplikacji.