Attribut för användarprofil
Din Azure Active Directory B2C-kataloganvändare (Azure AD B2C) har en uppsättning inbyggda attribut, till exempel förnamn, efternamn, ort, postnummer och telefonnummer. Du kan utöka användarprofilen med dina egna programdata utan att kräva ett externt datalager.
Microsoft Graph API stöder de flesta attribut som du kan använda med Azure Den här artikeln beskriver användarprofilattribut som Azure AD B2C stöder. Den noterar även de attribut som Microsoft Graph inte stöder och Microsoft Graph API-attribut som Azure AD B2C inte bör använda.
Viktigt!
Du bör inte använda inbyggda attribut eller tilläggsattribut för att lagra känsliga personuppgifter, till exempel kontoautentiseringsuppgifter, myndighetsidentifieringsnummer, korthållardata, finansiella kontodata, hälso- och sjukvårdsinformation eller känslig bakgrundsinformation.
Du kan också integrera med externa system. Du kan till exempel använda Azure AD B2C för autentisering, men delegera till en extern kundrelationshantering (CRM) eller kundlojalitetsdatabas som auktoritativ källa för kunddata. Mer information finns i fjärrprofillösningen.
Microsoft Entra-användarresurstyp
Azure AD B2C-kataloganvändarprofilen stöder attributen för användarresurstypen som anges i tabellen nedan. Den ger följande information om varje attribut:
- Attributnamn som används av Azure AD B2C (följt av Microsoft Graph-namnet inom parenteser, om det är annorlunda)
- Attributdatatyp
- Attributbeskrivning
- Om attributet är tillgängligt i Azure-portalen
- Om attributet kan användas i ett användarflöde
- Om attributet kan användas i en anpassad princip , teknisk profil för Microsoft Entra-ID och i vilket avsnitt (<InputClaims>, <OutputClaims> eller <PersistedClaims>)
| Namn | Datumtyp | beskrivning | Tillgänglig i Azure-portalen | Används i användarflöden | Används i anpassad princip |
|---|---|---|---|---|---|
| accountEnabled | Booleskt | Om användarkontot är aktiverat eller inaktiverat: sant om kontot är aktiverat, annars falskt. | Ja | Nej | Sparad, utdata |
| ageGroup | String | Användarens åldersgrupp. Möjliga värden: null, Odefinierad, Mindre, Vuxen, NotAdult. | Ja | Nej | Sparad, utdata |
| alternativeSecurityId (identiteter) | String | En enskild användaridentitet från den externa identitetsprovidern. | Nej | Nej | Indata, beständiga, utdata |
| alternativeSecurityIds (identiteter) | alternativ securityId-samling | En samling användaridentiteter från externa identitetsprovidrar. | Nej | Nej | Sparad, utdata |
| ort | String | Användarens ort.. Maxlängd 128. | Ja | Ja | Sparad, utdata |
| consentProvidedForMinor | String | Om medgivandet har lämnats för en minderårig. Tillåtna värden: null, beviljad, nekad eller inteRequired. | Ja | Nej | Sparad, utdata |
| land | String | Användarens land/region. Till exempel: USA eller Storbritannien. Maxlängd 128. | Ja | Ja | Sparad, utdata |
| createdDateTime | Datum/tid | Det datum då användarobjektet skapades. Skrivskyddad. | Nej | Nej | Sparad, utdata |
| creationType | String | Om användarkontot skapades som ett lokalt konto för en Azure Active Directory B2C-klientorganisation är värdet LocalAccount eller nameCoexistence. Skrivskyddad. | Nej | Nej | Sparad, utdata |
| dateOfBirth | Datum | Födelsedatum. | Nej | Nej | Sparad, utdata |
| Avdelning | String | Namnet på den avdelning där användaren arbetar. Max längd 64. | Ja | Nej | Sparad, utdata |
| displayName | String | Visningsnamnet för användaren. Maxlängd 256. <> tecken tillåts inte. | Ja | Ja | Sparad, utdata |
| facsimileTelephoneNumber1 | String | Telefonnumret till användarens företagsfaxmaskin. | Ja | Nej | Sparad, utdata |
| givenName | String | Användarens förnamn. Max längd 64. | Ja | Ja | Sparad, utdata |
| jobTitle | String | Användarens befattning. Maxlängd 128. | Ja | Ja | Sparad, utdata |
| immutableId | String | En identifierare som vanligtvis används för användare som migreras från lokal Active Directory. | Nej | Nej | Sparad, utdata |
| legalAgeGroupClassification | String | Klassificering av juridiska åldersgrupper. Skrivskyddad och beräknad baserat på egenskaperna ageGroup och consentProvidedForMinor. Tillåtna värden: null, minorWithOutParentalConsent, minorWithParentalConsent, minorNoParentalConsentRequired, notAdult och adult. | Ja | Nej | Sparad, utdata |
| legalCountry1 | String | Land/region för juridiska ändamål. | Nej | Nej | Sparad, utdata |
| mailNickName | String | E-postaliaset för användaren. Max längd 64. | Nej | Nej | Sparad, utdata |
| mobil (mobil Telefon) | String | Användarens primära mobiltelefonnummer. Max längd 64. | Ja | Nej | Sparad, utdata |
| netId | String | Nät-ID. | Nej | Nej | Sparad, utdata |
| objectId | String | En globalt unik identifierare (GUID) som är den unika identifieraren för användaren. Exempel: 12345678-9abc-def0-1234-56789abcde. Skrivskyddad, oföränderlig. | Skrivskyddad | Ja | Indata, beständiga, utdata |
| otherMails | Strängsamling | En lista över andra e-postadresser för användaren. Exempel: ["bob@contoso.com", "Robert@fabrikam.com"]. Obs! Dekortecken är inte tillåtna. | Ja (alternativ e-post) | Nej | Sparad, utdata |
| password | String | Lösenordet för det lokala kontot när användaren skapas. | Nej | Nej | Framhärdade |
| passwordPolicies | String | Princip för lösenordet. Det är en sträng som består av ett annat principnamn avgränsat med kommatecken. Till exempel "DisablePasswordExpiration, DisableStrongPassword". | Nej | Nej | Sparad, utdata |
| physicalDeliveryOfficeName (officeLocation) | String | Kontorsplatsen i användarens verksamhetsplats. Maxlängd 128. | Ja | Nej | Sparad, utdata |
| postalCode | String | Postnumret för användarens postadress. Postnumret är specifikt för användarens land/region. I USA i Amerika innehåller det här attributet postnumret. Max längd 40. | Ja | Nej | Sparad, utdata |
| preferredLanguage | String | Det föredragna språket för användaren. Det föredragna språkformatet baseras på RFC 4646. Namnet är en kombination av en ISO 639-kod med två bokstäver som är associerad med språket och en ISO 3166-kod med två bokstäver med versaler som är associerad med landet eller regionen. Till exempel: en-US eller es-ES. | Nej | Nej | Sparad, utdata |
| refreshTokensValidFromDateTime (signInSessionsValidFromDateTime) | Datum/tid | Alla uppdateringstoken som utfärdas före den här tiden är ogiltiga och program får ett fel när en ogiltig uppdateringstoken används för att hämta en ny åtkomsttoken. I det här fallet måste programmet hämta en ny uppdateringstoken genom att göra en begäran till slutpunkten auktorisera. Skrivskyddat. | Nej | Nej | Output |
| signInNames (identiteter) | String | Det unika inloggningsnamnet för den lokala kontoanvändaren av vilken typ som helst i katalogen. Använd det här attributet för att hämta en användare med inloggningsvärde utan att ange den lokala kontotypen. | Nej | Nej | Indata |
| signInNames.userName (Identiteter) | String | Det unika användarnamnet för den lokala kontoanvändaren i katalogen. Använd det här attributet för att skapa eller hämta en användare med ett specifikt användarnamn för inloggning. Om du anger det här attributet enbart i PersistedClaims under korrigeringsåtgärden tas andra typer av signInNames bort. Om du vill lägga till en ny typ av signInNames måste du också spara befintliga signInNames. Obs! Dekortecken tillåts inte i användarnamnet. | Nej | Nej | Indata, beständiga, utdata |
| signInNames.phoneNumber (Identiteter) | String | Det unika telefonnumret för den lokala kontoanvändaren i katalogen. Använd det här attributet för att skapa eller hämta en användare med ett specifikt inloggningstelefonnummer. Om du anger det här attributet enbart i PersistedClaims under korrigeringsåtgärden tas andra typer av signInNames bort. Om du vill lägga till en ny typ av signInNames måste du också spara befintliga signInNames. | Nej | Nej | Indata, beständiga, utdata |
| signInNames.emailAddress (Identiteter) | String | Den unika e-postadressen för den lokala kontoanvändaren i katalogen. Använd det här attributet för att skapa eller hämta en användare med en specifik e-postadress för inloggning. Om du anger det här attributet enbart i PersistedClaims under korrigeringsåtgärden tas andra typer av signInNames bort. Om du vill lägga till en ny typ av signInNames måste du också spara befintliga signInNames. | Nej | Nej | Indata, beständiga, utdata |
| tillstånd | String | Delstaten eller provinsen i användarens adress. Maxlängd 128. | Ja | Ja | Sparad, utdata |
| streetAddress | String | Gatuadressen för användarens verksamhet. Maxlängd 1024. | Ja | Ja | Sparad, utdata |
| strongAuthentication Alternativ Telefon Number1 | String | Användarens sekundära telefonnummer, som används för multifaktorautentisering. | Ja | Nej | Sparad, utdata |
| strongAuthenticationEmailAddress1 | String | SMTP-adressen för användaren. Exempel: "bob@contoso.com" Det här attributet används för inloggning med användarnamnsprincip för att lagra användarens e-postadress. E-postadressen som sedan används i ett flöde för lösenordsåterställning. Accenttecken tillåts inte i det här attributet. | Ja | Nej | Sparad, utdata |
| strongAuthentication Telefon Number2 | String | Användarens primära telefonnummer, som används för multifaktorautentisering. | Ja | Nej | Sparad, utdata |
| surname | String | Användarens efternamn (efternamn eller efternamn). Max längd 64. | Ja | Ja | Sparad, utdata |
| telephoneNumber (första inträde i verksamheten Telefon s) | String | Det primära telefonnumret för användarens verksamhet. | Ja | Nej | Sparad, utdata |
| userPrincipalName | String | Användarens huvudnamn (UPN). UPN är ett inloggningsnamn i Internetstil för användaren baserat på Internetstandarden RFC 822. Domänen måste finnas i klientorganisationens samling av verifierade domäner. Den här egenskapen krävs när ett konto skapas. Oföränderliga. | Nej | Nej | Indata, beständiga, utdata |
| usageLocation | String | Krävs för användare som har tilldelats licenser på grund av juridiska krav för att söka efter tillgänglighet för tjänster i länder/regioner. Inte nullbar. En lands-/regionkod med två bokstäver (ISO-standard 3166). Till exempel USA, JP och GB. | Ja | Nej | Sparad, utdata |
| userType | String | Ett strängvärde som kan användas för att klassificera användartyper i din katalog. Värdet måste vara Medlem. Skrivskyddat. | Skrivskyddad | Nej | Sparad, utdata |
| userState (externalUserState)3 | String | Endast för Microsoft Entra B2B-konto och anger om inbjudan är PendingAcceptance eller Godkänd. | Nej | Nej | Sparad, utdata |
| userStateChangedOn (externalUserStateChangeDateTime)2 | Datum/tid | Visar tidsstämpeln för den senaste ändringen av egenskapen UserState. | Nej | Nej | Sparad, utdata |
1 Stöds inte av Microsoft Graph
2 Mer information finns i MFA-telefonnummerattribut
3 Ska inte användas med Azure AD B2C
Obligatoriska attribut
Om du vill skapa ett användarkonto i Azure AD B2C-katalogen anger du följande obligatoriska attribut:
Identiteter – med minst en entitet (ett lokalt eller ett federerat konto).
Lösenordsprofil – Om du skapar ett lokalt konto anger du lösenordsprofilen.
Visningsnamnattribut
displayName är namnet som ska visas i Azure-portalens användarhantering för användaren och i åtkomsttoken som Azure AD B2C returnerar till programmet. Egenskapen krävs.
Identitetsattribut
Ett kundkonto, som kan vara en konsument, partner eller medborgare, kan associeras med dessa identitetstyper:
- Lokal identitet – Användarnamnet och lösenordet lagras lokalt i Azure AD B2C-katalogen. Vi kallar ofta dessa identiteter för "lokala konton".
- Federerad identitet – Även kallat sociala konton eller företagskonton hanteras användarens identitet av en federerad identitetsprovider som Facebook, Microsoft, ADFS eller Salesforce.
En användare med ett kundkonto kan logga in med flera identiteter. Till exempel användarnamn, e-post, medarbetar-ID, myndighets-ID och andra. Ett enda konto kan ha flera identiteter, både lokala och sociala, med samma lösenord.
I Microsoft Graph API lagras både lokala och federerade identiteter i användarattributet identities , som är av typen objectIdentity. Samlingen identities representerar en uppsättning identiteter som används för att logga in på ett användarkonto. Med den här samlingen kan användaren logga in på användarkontot med någon av sina associerade identiteter. Identitetsattributet kan innehålla upp till 10 objektIdentitetsobjekt . Varje objekt innehåller följande egenskaper:
| Namn | Typ | Beskrivning |
|---|---|---|
| signInType | sträng | Anger användarinloggningstyperna i din katalog. För lokalt konto: emailAddress, emailAddress1, emailAddress2, emailAddress3, userNameeller någon annan typ som du vill. Socialt konto måste vara inställt på federated. |
| Emittenten | sträng | Anger utfärdaren av identiteten. För lokala konton (där signInType inte federatedär ) är den här egenskapen det lokala standarddomännamnet för B2C-klientorganisationen, till exempel contoso.onmicrosoft.com. För social identitet (där signInType är federated) är värdet namnet på utfärdaren, till exempel facebook.com |
| issuerAssignedId | sträng | Anger den unika identifierare som tilldelats användaren av utfärdaren. Kombinationen av utfärdare och issuerAssignedId måste vara unik i din klientorganisation. För lokalt konto, när signInType är inställt på emailAddress eller userName, representerar det inloggningsnamnet för användaren.När signInType är inställt på:
|
Följande JSON-kodfragment visar attributet Identiteter , med en lokal kontoidentitet med ett inloggningsnamn, en e-postadress som inloggning och med en social identitet.
"identities": [
{
"signInType": "userName",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "johnsmith"
},
{
"signInType": "emailAddress",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "jsmith@yahoo.com"
},
{
"signInType": "federated",
"issuer": "facebook.com",
"issuerAssignedId": "5eecb0cd"
}
]
För federerade identiteter, beroende på identitetsprovidern, är issuerAssignedId ett unikt värde för en viss användare per program eller utvecklingskonto. Konfigurera Azure AD B2C-principen med samma program-ID som den sociala providern eller ett annat program inom samma utvecklingskonto tilldelar.
Lösenordsprofilegenskap
För en lokal identitet krävs attributet passwordProfile och innehåller användarens lösenord. Attributet forceChangePasswordNextSignIn anger om en användare måste återställa lösenordet vid nästa inloggning. Om du vill hantera en tvingad lösenordsåterställning använder du anvisningarna i konfigurerat flöde för tvingad lösenordsåterställning.
För en federerad (social) identitet krävs inte attributet passwordProfile .
"passwordProfile" : {
"password": "password-value",
"forceChangePasswordNextSignIn": false
}
Lösenordsprincipattribut
Azure AD B2C-lösenordsprincipen (för lokala konton) baseras på principen för stark lösenordsstyrka i Microsoft Entra-ID. Principerna för registrering eller inloggning och lösenordsåterställning i Azure AD B2C kräver den här starka lösenordsstyrkan och upphör inte att gälla lösenord.
Om de konton som du vill migrera i användarmigreringsscenarier har svagare lösenordsstyrka än den starka lösenordsstyrka som tillämpas av Azure AD B2C kan du inaktivera det starka lösenordskravet. Om du vill ändra standardprincipen för lösenord anger du attributet passwordPolicies till DisableStrongPassword. Du kan till exempel ändra begäran om att skapa användare på följande sätt:
"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"
MFA-telefonnummerattribut
När du använder en telefon för multifaktorautentisering (MFA) används mobiltelefonen för att verifiera användaridentiteten. Om du vill lägga till ett nytt telefonnummer programmatiskt, uppdatera, hämta eller ta bort telefonnumret använder du ms Graph API-autentiseringsmetoden för telefon.
I anpassade azure AD B2C-principer är telefonnumret tillgängligt via strongAuthenticationPhoneNumber anspråkstyp.
Tilläggsattribut
Alla kundinriktade program har unika krav för att informationen ska samlas in. Din Azure AD B2C-klientorganisation har en inbyggd uppsättning information som lagras i egenskaper, till exempel förnamn, efternamn och postnummer. Med Azure AD B2C kan du utöka uppsättningen egenskaper som lagras i varje kundkonto. Mer information finns i Lägga till användarattribut och anpassa användarindata i Azure Active Directory B2C
Tilläggsattribut utökar schemat för användarobjekten i katalogen. Tilläggsattributen kan bara registreras på ett programobjekt, även om de kan innehålla data för en användare. Tilläggsattributet är kopplat till programmet med namnet b2c-extensions-app. Ändra inte det här programmet eftersom det används av Azure AD B2C för lagring av användardata. Du hittar det här programmet under Microsoft Entra Appregistreringar. Läs mer om Azure AD B2Cb2c-extensions-app.
Kommentar
- Du kan skriva upp till 100 tilläggsattribut till valfritt användarkonto.
- Om programmet b2c-extensions-app tas bort tas dessa tilläggsattribut bort från alla användare tillsammans med alla data som de innehåller.
- Om ett tilläggsattribut tas bort av programmet tas det bort från alla användarkonton och värdena tas bort.
Tilläggsattribut i Graph-API:et namnges med hjälp av konventionen extension_ApplicationClientID_AttributeName, där:
ApplicationClientIDär programmets program-IDb2c-extensions-app(klient). Lär dig hur du hittar tilläggsappen.AttributeNameär namnet på tilläggsattributet.
Program-ID (klient)-ID:t när det används för att skapa namnet på tilläggsattributet innehåller inte bindestreck. Till exempel:
"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"
Följande datatyper stöds när du definierar ett attribut i ett schematillägg:
| Typ | Anmärkningar |
|---|---|
| Booleskt | Möjliga värden: sant eller falskt. |
| Datum/tid | Måste anges i ISO 8601-format. Värdet lagras i UTC. |
| Integer | 32-bitarsvärde. |
| String | Maximalt 256 tecken. |
Nästa steg
Läs mer om tilläggsattribut: