MicrosoftnastínilMetoda krok za krokem pro předávání vlastních uživatelských dat do aplikací během přihlášení pomocí atributů prodloužení adresáře Entra ID. Tento proces může organizacím pomoci zahrnout jedinečné identifikátory, jako jsou podrobnosti o sponzorství, v tokenech SSO pro konkrétní skupiny uživatelů.
V nedávné příručce Microsoft ukázal, jak se administrátoři mohou zaregistrovat, přiřadit a mapovat tyto atributy, aby se objevovali jako nároky v tokenech SAML nebo OIDC a pouze pro vybrané skupiny.
Zde je způsob, jak vám společnost Microsoft navrhuje dokončit tento proces:
Krok 1: Zaregistrujte atributy prodloužení adresáře
Pomocí Graph Explorer zaregistrujte dva vlastní atributy, například Sponsorid1 a Conponsorid2, v cílové aplikaci.
Odeslat žádost o příspěvek na:
Post https://graph.microsoft.com/v1.0/applications/;
Požádat o příklad těla:
{
„Jméno“: „sponsorid1“,
„DataType“: „String“,
„TargetObjects“: [„Uživatel“]
}
Opakujte proces pro sponsorid2. Po registraci systém v tomto formátu vrátí úplné názvy atributů:
rozšíření_<AppClientID> _sponsorid1
rozšíření_<AppClientID> _sponsorid2
Všimněte si těchto přesných názvů pro budoucí použití.
Krok 2: Přiřadit atributy prodloužení uživatelům
Pomocí Graph Explorer znovu použijte objekty uživatelů a přiřaďte hodnoty těmto atributům prodloužení.
Žádost URL:
Patch https://graph.microsoft.com/v1.0/users/ {userObjectId}
Požádat o tělo:
{
"rozšíření_<AppClientID> _sponsorid1 ”:„ ABC123 “
}
Opakujte to pro každého uživatele a přiřaďte odpovídající atribut (sponsorid1 nebo sponsorid2).
Krok 3: Vytvořte nároky v aplikaci Enterprise
Přejděte na ID ENTRA> Enterprise Applications> [Název aplikace]> Jednotlivé přihlášení> Atributy a nároky.
1. Klikněte na Přidat nový nárok
2. Poskytněte jméno (např. Sponsorclaim1)
3. za podmínek nároku vyberte člen a vyberte skupinu, která by měla obdržet nárok
4. Ve zdrojovém atributu použijte název atributu Atribut Atribut Attribute (např. Extension_<AppClientID> _sponsorid1)
Opakujte pro druhou skupinu a atribut.
Krok 4: Zpracování chyby mapování nároků
Pokud vidíte chybu, „Aplikace vyžaduje vlastní podpisovací klíč pro přizpůsobení nároků“
Viz také:Přihlaste se s SSO nepracují na Windows, Mac, Android nebo iOS
To můžete dočasně obejít aktualizací manifestu registrace aplikace:
„AcceptMappedClaims“: True
To umožňuje přizpůsobení nároků bez vlastních podpisových klíčů.
Krok 5: Vyzkoušejte konfiguraci
Zavolejte aplikaci pomocíId) /oauth2/v2.0/authorize?client_id= (ID klienta) & response_type = id_token & redirect_uri = https: //jwt.ms&scope=openid&state=12345&nonce=12345 a přihlásí se k uživatelům, kteří patří k definovaným skupinám. Měli byste vidět očekávané vlastní nároky (sponsorid1 nebo sponsorid2) vydané v tokenu SAML nebo OIDChttps://jwt.ms. Uživatelé, kteří nejsou v žádné ze skupin, neobdrží žádný nárok na sponzor.
Společnost Microsoft říká, že toto nastavení zajišťuje, že citlivá nebo specializovaná data oslovují správné publikum během přihlášení, aniž by bylo vystaveno ostatním.
