Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Профиль пользователя каталога Azure Active Directory B2C (Azure AD B2C) поставляется с набором встроенных атрибутов, таких как имя, фамилия, город, почтовый код и номер телефона. Вы можете расширить профиль пользователя с собственными данными приложения, не требуя внешнего хранилища данных.
API Microsoft Graph поддерживает большинство атрибутов, которые можно использовать с Azure В этой статье, описываются атрибуты профиля пользователя, поддерживаемые Azure AD B2C. Перечисляются также атрибуты, которые не поддерживает Microsoft Graph, и атрибуты API Microsoft Graph, которые не следует использовать в Azure AD B2C.
Это важно
Встроенные атрибуты или атрибуты расширения не следует использовать для хранения конфиденциальных персональных данных, таких как учетные данные учетной записи, идентификационные номера государственных организаций, данные заполнителя карт, данные финансовой учетной записи, сведения о здравоохранении или конфиденциальные фоновые данные.
Вы также можете интегрироваться с внешними системами. Например, можно использовать Azure AD B2C для проверки подлинности, но делегировать внешнему управлению отношениями клиентов (CRM) или базе данных лояльности клиентов в качестве авторитетного источника данных клиента. Для получения более подробной информации см. решение дистанционного профиля.
Тип ресурса пользователя Microsoft Entra
Профиль пользователя каталога Azure AD B2C поддерживает атрибуты типа ресурса пользователя , перечисленные в таблице ниже. Он предоставляет следующие сведения о каждом атрибуте:
- Имя атрибута, используемое Azure AD B2C (за которым следует имя Microsoft Graph в скобках, если отличается)
- Тип данных атрибута
- Описание атрибута
- Доступность атрибута на портале Azure
- Может ли атрибут использоваться в потоке пользователя
- Можно ли использовать атрибут в техническом профиле Microsoft Entra ID пользовательской политики и в каком разделе (<InputClaims>, <OutputClaims> или <PersistedClaims>).
| Имя | Тип данных | Описание | Доступно на портале Azure | Используется в потоках пользователей | Используется в пользовательской политике |
|---|---|---|---|---|---|
| учетная запись активирована | булевый | Включена ли учетная запись пользователя или отключена: true , если учетная запись включена, в противном случае — значение false. | Да | нет | Сохранённые данные, выходные данные |
| возрастная группа | Струна | Возрастная группа пользователя. Возможные значения: NULL, Undefined, Minor, Adult, NotAdult. | Да | нет | Сохранённые данные, выходные данные |
| alternativeSecurityId (идентификаторы) | Струна | Единая идентичность пользователя от внешнего поставщика идентичностей. | нет | нет | Входные данные, сохраняемые данные, выходные данные |
| alternativeSecurityIds (идентификаторы) | альтернативная коллекция securityId | Коллекция удостоверений пользователей из внешних поставщиков идентификационных услуг. | нет | нет | Сохранённые данные, выходные данные |
| город | Струна | Город проживания пользователя.. Максимальная длина 128. | Да | Да | Сохранённые данные, выходные данные |
| подтверждено согласие для несовершеннолетнего | Струна | Предоставляется ли согласие для несовершеннолетнего. Допустимые значения: null, предоставленные, отклоненные или не запрашиваемые. | Да | нет | Сохранённые данные, выходные данные |
| страна | Струна | Страна или регион проживания пользователя. Например: США или Великобритания. Максимальная длина 128. | Да | Да | Сохранённые данные, выходные данные |
| дата и время создания | дата и время | Дата создания объекта пользователя. Только для чтения. | нет | нет | Сохранённые данные, выходные данные |
| тип создания | Струна | Если учетная запись пользователя была создана в качестве локальной учетной записи для клиента Azure Active Directory B2C, значением является LocalAccount или nameCoexistence. Только для чтения. | нет | нет | Сохранённые данные, выходные данные |
| дата рождения | Дата | Дата рождения. | нет | нет | Сохранённые данные, выходные данные |
| отдел | Струна | Имя отдела, в котором работает пользователь. Максимальная длина 64. | Да | нет | Сохранённые данные, выходные данные |
| отображаемое имя | Струна | Отображаемое имя пользователя. Максимальная длина 256. | Да | Да | Сохранённые данные, выходные данные |
| факсимильный телефонный номер1 | Струна | Номер телефона бизнес-факса пользователя. | Да | нет | Сохранённые данные, выходные данные |
| Имя | Струна | Имя (первое имя) пользователя. Максимальная длина 64. | Да | Да | Сохранённые данные, выходные данные |
| Название должности | Струна | Должность пользователя. Максимальная длина 128. | Да | Да | Сохранённые данные, выходные данные |
| неизменяемый идентификатор | Струна | Идентификатор, который обычно используется для пользователей, перенесенных из локальной среды Active Directory. | нет | нет | Сохранённые данные, выходные данные |
| классификация по возрастным группам согласно законодательству | Струна | Классификация юридических возрастных групп. Только для чтения и вычисляется на основе свойств ageGroup и consentProvidedForMinor. Допустимые значения: null, minorWithOutParentalConsent, minorWithParentalConsent, minorNoParentalConsentRequired, notAdult и adult. | Да | нет | Сохранённые данные, выходные данные |
| законнаяСтрана1 | Струна | Страна или регион для юридических целей. | нет | нет | Сохранённые данные, выходные данные |
| Почтовый псевдоним | Струна | Псевдоним почты для пользователя. Максимальная длина 64. | нет | нет | Сохранённые данные, выходные данные |
| мобильный (мобильный телефон) | Струна | Основной номер мобильного телефона для пользователя. Максимальная длина 64. | Да | нет | Сохранённые данные, выходные данные |
| netId | Струна | Сетевой идентификатор. | нет | нет | Сохранённые данные, выходные данные |
| objectId | Струна | Глобальный уникальный идентификатор (GUID), который является уникальным идентификатором для пользователя. Пример: 12345678-9abc-def0-1234-56789abcde. Только чтение, неизменяемое. | Только для чтения | Да | Входные данные, сохраняемые данные, выходные данные |
| другиеПисьма | Набор строк | Список других адресов электронной почты для пользователя. Пример: ["[email protected], "[email protected]"]. ПРИМЕЧАНИЕ. Символы акцента не допускаются. | Да (альтернативное сообщение электронной почты) | нет | Сохранённые данные, выходные данные |
| пароль | Струна | Пароль для локальной учетной записи во время создания пользователя. | нет | нет | Сохранено |
| политики паролей | Струна | Политика пароля. Это строка, состоящая из разных имен политики, разделенных запятой. Например, DisablePasswordExpiration и DisableStrongPassword. | нет | нет | Сохранённые данные, выходные данные |
| НазваниеОфисаДляФизическойДоставки (РасположениеОфиса) | Струна | Расположение офиса в месте работы пользователя. Максимальная длина 128. | Да | нет | Сохранённые данные, выходные данные |
| почтовый индекс | Струна | Почтовый индекс почтового адреса пользователя. Почтовый индекс зависит от страны или региона пользователя. В Соединенных Штатах Америки этот атрибут содержит ZIP-код. Максимальная длина 40. | Да | нет | Сохранённые данные, выходные данные |
| Предпочтительный язык | Струна | Предпочтительный язык для пользователя. Предпочтительный формат языка основан на RFC 4646. Имя представляет собой сочетание двухбуквенного кода языка ISO 639 в нижнем регистре, связанного с языком, и двухбуквенного кода субкультуры ISO 3166 в верхнем регистре, связанного со страной или регионом. Например, en-USили es-ES. | нет | нет | Сохранённые данные, выходные данные |
| refreshTokensValidFromDateTime (signInSessionsValidFromDateTime) | дата и время | Все маркеры обновления, выданные до этого времени, недопустимы, и приложения получают ошибку при использовании недопустимого маркера обновления для получения нового маркера доступа. В этом случае приложению необходимо получить новый маркер обновления, выполнив запрос к авторизованной конечной точке. Только для чтения. | нет | нет | Выходные данные |
| signInNames (идентификации) | Струна | Уникальное имя входа пользователя локальной учетной записи любого типа в каталоге. Используйте этот атрибут, чтобы получить пользователя с учетными данными для входа без указания типа локальной учетной записи. | нет | нет | Ввод |
| signInNames.userName (Идентификаторы) | Струна | Уникальное имя пользователя локальной учетной записи в каталоге. Используйте этот атрибут для создания или получения пользователя с определенным именем пользователя для входа. Указание этого атрибута только в PersistedClaims в процессе патча удаляет другие типы signInNames. Если вы хотите добавить новый тип signInNames, необходимо также сохранить существующий signInNames. ПРИМЕЧАНИЕ. Символы акцента не допускаются в имени пользователя. | нет | нет | Входные данные, сохраняемые данные, выходные данные |
| signInNames.phoneNumber (Идентификаторы) | Струна | Уникальный номер телефона пользователя локальной учетной записи в каталоге. Используйте этот атрибут для создания или получения пользователя с определенным номером телефона для входа. Указание этого атрибута только в PersistedClaims в процессе патча удаляет другие типы signInNames. Если вы хотите добавить новый тип signInNames, необходимо также сохранить существующий signInNames. | нет | нет | Входные данные, сохраняемые данные, выходные данные |
| signInNames.emailAddress (идентификации) | Струна | Уникальный адрес электронной почты локального пользователя учетной записи в каталоге. Используйте этот атрибут для создания или получения пользователя с определенным адресом электронной почты для входа. Указание этого атрибута только в PersistedClaims в процессе патча удаляет другие типы signInNames. Если вы хотите добавить новый тип signInNames, необходимо также сохранить существующий signInNames. | нет | нет | Входные данные, сохраняемые данные, выходные данные |
| государство | Струна | Штат или провинция в адресе пользователя. Максимальная длина 128. | Да | Да | Сохранённые данные, выходные данные |
| уличный адрес | Струна | Адрес улицы места работы пользователя. Максимальная длина 1024. | Да | Да | Сохранённые данные, выходные данные |
| надёжная аутентификация АльтернативныйНомерТелефона1 | Струна | Дополнительный номер телефона пользователя, используемый для многофакторной проверки подлинности. | Да | нет | Сохранённые данные, выходные данные |
| Электронный адрес для сильной аутентификации1 | Струна | SMTP-адрес пользователя. Пример: "[email protected]" Этот атрибут используется для входа с политикой имени пользователя для хранения адреса электронной почты пользователя. Затем адрес электронной почты используется в потоке сброса пароля. Символы акцента не допускаются в этом атрибуте. | Да | нет | Сохранённые данные, выходные данные |
| СильнаяАутентификацияНомерТелефона2 | Струна | Основной номер телефона пользователя, используемый для многофакторной проверки подлинности. | Да | нет | Сохранённые данные, выходные данные |
| фамилия | Струна | Фамилия пользователя (фамилия или фамильное имя). Максимальная длина 64. | Да | Да | Сохранённые данные, выходные данные |
| номер телефона (первая запись служебных телефонов) | Струна | Основной номер телефона места работы пользователя. | Да | нет | Сохранённые данные, выходные данные |
| ИмяОсновногоПользователя | Струна | Учетное имя (UPN) пользователя. Имя пользователя (UPN) — это логин в стиле Интернета, основанное на стандарте RFC 822. Домен должен присутствовать в коллекции проверенных доменов клиента. Это свойство необходимо при создании учетной записи. Неизменяемый. | нет | нет | Входные данные, сохраняемые данные, выходные данные |
| место использования | Струна | Требуется для пользователей, которым назначены лицензии из-за юридических требований для проверки доступности служб в странах или регионах. Не допускает значения NULL. Двухбуквенный код страны и региона (стандарт ISO 3166). Например, US, JP и ГБ. | Да | нет | Сохранённые данные, выходные данные |
| тип пользователя | Струна | Строковое значение, которое можно использовать для классификации типов пользователей в каталоге. Значение должно быть элементом множества. Только для чтения. | Только для чтения | нет | Сохранённые данные, выходные данные |
| userState (externalUserState)3 | Струна | Только для учетной записи Microsoft Entra B2B, указывает, находится ли приглашение в ожидании принятия или принято. | нет | нет | Сохранённые данные, выходные данные |
| userStateChangedOn (externalUserStateChangeDateTime)3 | дата и время | Отображает метку времени последнего изменения свойства UserState. | нет | нет | Сохранённые данные, выходные данные |
1 Не поддерживается Microsoft Graph
2 Дополнительные сведения см. в атрибуте номера телефона MFA
3 Не следует использовать с Azure AD B2C
Требуемые атрибуты
Чтобы создать учетную запись пользователя в каталоге Azure AD B2C, укажите следующие обязательные атрибуты:
Идентичности — с как минимум одной учетной единицей (локальной или федеративной учетной записью).
Профиль пароля. Если вы создаете локальную учетную запись, укажите профиль пароля.
Атрибут отображаемого имени
Это displayName — имя для отображения в управлении пользователями на портале Azure и в токене доступа, который Azure AD B2C возвращает приложению. Это свойство является обязательным.
Атрибут идентичности
Учетная запись клиента, которая может быть потребителем, партнером или гражданином, связывается с этими типами идентификаций.
- Локальное удостоверение. Имя пользователя и пароль хранятся локально в каталоге Azure AD B2C. Эти идентификации часто называются локальными учетными записями.
- Федеративное удостоверение — также известное как социальные или корпоративные учетные записи, удостоверение пользователя управляется федеративными поставщиками удостоверений, такими как Facebook, Microsoft, ADFS или Salesforce.
Пользователь с учетной записью клиента может войти, используя несколько идентичностей. Например, имя пользователя, электронная почта, идентификатор сотрудника, идентификатор правительства и другие. Одна учетная запись может иметь несколько идентификаций, локальных и социальных, с одинаковым паролем.
В API Microsoft Graph локальные и федеративные удостоверения хранятся в атрибуте пользователя identities, который имеет тип объекта objectIdentity. Коллекция identities представляет набор идентификаторов, используемых для входа в учетную запись пользователя. Эта коллекция позволяет пользователю войти в учетную запись пользователя с любым из связанных удостоверений. Атрибут идентификаторов может содержать до 10 объектов objectIdentity. Каждый объект содержит указанные ниже свойства.
| Имя | Тип | Описание |
|---|---|---|
| тип входа | струна | Указывает типы входа пользователей в каталог. Для локальной учетной записи: emailAddress, emailAddress1, emailAddress2emailAddress3, userNameили любого другого типа, который вам нравится. Социальная учетная запись должна быть установлена в federated. |
| Издатель | струна | Указывает издателя удостоверения. Для локальных учетных записей (где нет signInTypefederated), это свойство является локальным доменным именем клиента B2C по умолчанию, напримерcontoso.onmicrosoft.com. Для социальной идентичности (где signInType является federated) значение — название издателя, напримерfacebook.com |
| идентификаторНазначенныйЭмитентом | струна | Задает уникальный идентификатор, назначенный пользователю издателем. Сочетание Issuer и IssuerAssignedId должно быть уникальным в вашем арендаторе. Для локальной учетной записи, если signInType задано значением emailAddress или userName, это представляет имя входа для пользователя.Если для signInType задано значение:
|
В следующем фрагменте JSON показан атрибут Identities: идентификатор локальной учетной записи с именем для входа, адрес электронной почты в качестве входа и социальная идентификация.
"identities": [
{
"signInType": "userName",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "johnsmith"
},
{
"signInType": "emailAddress",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "[email protected]"
},
{
"signInType": "federated",
"issuer": "facebook.com",
"issuerAssignedId": "5eecb0cd"
}
]
Для федеративных удостоверений в зависимости от поставщика удостоверений issuerAssignedId представляет собой уникальное значение для каждого пользователя в рамках приложения или учетной записи разработки. Настройте политику Azure AD B2C с тем же идентификатором приложения, что и поставщик социальных сетей или другое приложение в той же учетной записи разработки.
Свойство профиля пароля
Для локального удостоверения требуется атрибут passwordProfile и содержит пароль пользователя. Атрибут forceChangePasswordNextSignIn указывает, должен ли пользователь сбросить пароль при следующем входе. Для обработки принудительного сброса пароля используйте инструкции, описанные в настройке потока принудительного сброса пароля.
Для федеративного (социального) удостоверения атрибут passwordProfile не требуется.
"passwordProfile" : {
"password": "password-value",
"forceChangePasswordNextSignIn": false
}
Атрибут политики паролей
Политика паролей Azure AD B2C (для локальных учетных записей) основана на политике строгой надежности паролей Microsoft Entra ID. Политики регистрации и входа, а также сброса паролей в Azure AD B2C требуют высокой надежности паролей, и пароли не истекают.
В сценариях миграции пользователей, если учетные записи, которые вы хотите перенести, имеют более слабую силу пароля, чем надежная сила пароля , применяемая Azure AD B2C, можно отключить требование строгого пароля. Чтобы изменить политику пароля по умолчанию, задайте значение для атрибута passwordPoliciesDisableStrongPassword. Например, можно изменить созданный запрос пользователя следующим образом:
"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"
Атрибут номера телефона для многофакторной аутентификации
При использовании телефона для многофакторной проверки подлинности (MFA) мобильный телефон используется для проверки удостоверения пользователя. Чтобы добавить новый номер телефона программным способом, обновить, получить или удалить номер телефона, используйте метод проверки подлинности телефона API MS Graph.
В пользовательских политиках Azure AD B2C номер телефона доступен через strongAuthenticationPhoneNumber тип заявки.
Атрибуты расширения
Каждое клиентское приложение имеет уникальные требования к собираемой информации. Клиент Azure AD B2C поставляется со встроенным набором сведений, хранящихся в свойствах, таких как заданное имя, фамилия и почтовый индекс. С помощью Azure AD B2C можно расширить набор свойств, хранящихся в каждой учетной записи клиента. Дополнительные сведения см. в разделе "Добавление атрибутов пользователей" и настройка входных данных пользователей в Azure Active Directory B2C
Атрибуты расширения расширяют схему пользовательских объектов в каталоге. Атрибуты расширения могут быть зарегистрированы только в объекте приложения, даже если они могут содержать данные для пользователя. Атрибут расширения присоединен к приложению под названием b2c-extensions-app. Не изменяйте это приложение, так как оно используется Azure AD B2C для хранения пользовательских данных. Это приложение можно найти в разделе регистрации приложений Microsoft Entra.
Дополнительные сведения о Azure AD B2Cb2c-extensions-app.
Примечание.
- Атрибуты расширения можно записывать до 100 в любую учетную запись пользователя.
- Если приложение b2c-extensions-app удаляется, эти атрибуты расширения удаляются со всех пользователей вместе с любыми данными, которые они содержат.
- Если атрибут расширения удаляется приложением, он удаляется из всех учетных записей пользователей и значения удаляются.
Атрибуты расширения в API Microsoft Graph именуются с помощью соглашения extension_ApplicationClientID_AttributeName, где:
- Идентификатор
ApplicationClientIDприложения (клиента) дляb2c-extensions-appприложения. Узнайте, как найти приложение расширений. -
AttributeName— это имя атрибута расширения.
Идентификатор приложения (клиента) при создании имени атрибута расширения не включает дефисы. Рассмотрим пример.
"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"
При определении атрибута в расширении схемы поддерживаются следующие типы данных:
| Тип | Замечания |
|---|---|
| булевый | Возможные значения: true или false. |
| дата и время | Должен быть указан в формате ISO 8601. Значение хранится в формате UTC. |
| Целое число | 32-разрядное значение. |
| Струна | Не более 256 символов |
Связанный контент
Дополнительные сведения об атрибутах расширения: