Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Атрибуты расширения каталога предоставляют способ хранения дополнительных данных для объектов каталога, таких как пользователи. Для выдачи утверждений приложениям можно использовать только атрибуты расширения для пользовательских объектов. В этой статье описывается, как использовать атрибуты расширения схемы каталога для отправки пользовательских данных в приложения в утверждениях маркеров.
Примечание.
Microsoft Graph предоставляет еще три механизма расширения для настройки объектов Graph. Это атрибуты расширения 1–15, открытые расширения и расширения схемы. Дополнительные сведения см. в документации по Microsoft Graph. Данные, хранящиеся в объектах Microsoft Graph с помощью расширений открытых и схем, недоступны в качестве источников для утверждений в токенах.
Атрибуты расширения каталога всегда связаны с приложением в клиенте. Имя атрибута каталога содержит идентификатор приложения в его имени.
Идентификатор атрибута расширения каталога имеет форму extension_xxxxxxxxx_AttributeName. Где xxxxxxxxx находится идентификатор приложения , для которого было определено расширение, с только символами 0-9 и A-Z.
Регистрация и использование расширений каталогов
Зарегистрируйте атрибуты расширения каталога одним из следующих способов:
- Настройте Microsoft Entra Подключение для создания и синхронизации данных с ними из локальной среды. Ознакомьтесь с расширениями каталога синхронизации microsoft Entra Подключение.
- Используйте Microsoft Graph для регистрации, задания значений и чтения из расширений каталогов. Доступны также командлеты PowerShell.
Выдача утверждений с данными из Microsoft Entra Подключение
Атрибуты расширения каталога, созданные и синхронизированные с помощью Microsoft Entra Подключение, всегда связаны с идентификатором приложения, используемым microsoft Entra Подключение. Эти атрибуты можно использовать в качестве источника утверждений, настраивая их в качестве утверждений в конфигурации корпоративных приложений на портале. После создания атрибута расширения каталога с помощью AD Подключение он отображается в конфигурации утверждений единого входа SAML.
Выдача утверждений с помощью Graph или PowerShell
Если атрибут расширения каталога зарегистрирован для использования Microsoft Graph или PowerShell, приложение можно настроить для получения данных в этом атрибуте при входе пользователя. Приложение можно настроить для получения данных в расширениях каталогов, зарегистрированных в приложении, с помощью необязательных утверждений , которые можно задать в манифесте приложения.
Затем мультитенантные приложения могут регистрировать атрибуты расширения каталога для собственного использования. Когда приложение подготавливается в клиент, связанные расширения каталога становятся доступными и используются для пользователей в этом клиенте. После того как расширение каталога доступно, его можно использовать для хранения и извлечения данных с помощью Microsoft Graph. Расширение каталога также может сопоставляться с утверждениями в токенах, платформа удостоверений Майкрософт выдает приложениям.
Если приложению необходимо отправлять утверждения с данными из атрибута расширения, зарегистрированного в другом приложении, политика сопоставления утверждений должна использоваться для сопоставления атрибута расширения с утверждением.
Распространенный шаблон управления атрибутами расширения каталога — зарегистрировать приложение специально для всех необходимых расширений каталогов. При использовании этого типа приложения все расширения имеют один и тот же идентификатор appID в имени.
Например, в следующем коде показана политика сопоставления утверждений для отправки одного утверждения из атрибута расширения каталога в токене OAuth/OIDC:
{
"ClaimsMappingPolicy": {
"Version": 1,
"IncludeBasicClaimSet": "false",
"ClaimsSchema": [{
"Source": "User",
"ExtensionID": "extension_xxxxxxx_test",
"JWTClaimType": "http://schemas.contoso.com/identity/claims/exampleclaim"
},
]
}
}
Где xxxxxxx находится идентификатор приложения (или идентификатор клиента), в котором было зарегистрировано расширение.
Предупреждение
При определении политики сопоставления утверждений для атрибута расширения каталога используйте ExtensionID свойство вместо ID свойства в теле ClaimsSchema массива, как показано в предыдущем примере.
Совет
Согласованность регистров важна при задании атрибутов расширения каталога для объектов. Имена атрибутов расширения не учитывает регистр при настройке, но они чувствительны к регистру при чтении из каталога службой токенов. Если атрибут расширения задан в объекте пользователя с именем LegacyId и другим объектом пользователя с именем legacyid, при сопоставлении атрибута с утверждением с именем "LegacyId" данные успешно извлекаются, а утверждение, включенное в маркер для первого пользователя, но не второго.