Microsoftέχει περιγράψειμια μέθοδος βήμα προς βήμα για τη μετάδοση προσαρμοσμένων δεδομένων χρήστη σε εφαρμογές κατά τη σύνδεση, χρησιμοποιώντας τα χαρακτηριστικά επέκτασης καταλόγου του Entra ID. Η διαδικασία μπορεί να βοηθήσει τους οργανισμούς να συμπεριλάβουν μοναδικά αναγνωριστικά, όπως λεπτομέρειες χορηγίας, σε διακριτικά SSO για συγκεκριμένες ομάδες χρηστών.
Σε έναν πρόσφατο οδηγό, η Microsoft έδειξε πώς οι διαχειριστές μπορούν να εγγραφούν, να εκχωρήσουν και να αντιστοιχίσουν αυτά τα χαρακτηριστικά, ώστε να εμφανίζονται ως αξιώσεις σε διακριτικά SAML ή OIDC και μόνο για επιλεγμένες ομάδες.
Δείτε πώς η Microsoft σας προτείνει να ολοκληρώσετε τη διαδικασία:
Βήμα 1: Καταχωρίστε τα χαρακτηριστικά επέκτασης καταλόγου
Χρησιμοποιήστε το Graph Explorer για να καταχωρίσετε δύο προσαρμοσμένα χαρακτηριστικά, για παράδειγμα sponsorid1 και sponsorid2, στην εφαρμογή προορισμού.
Στείλτε ένα αίτημα POST στο:
ΑΝΑΡΤΗΣΗ https://graph.microsoft.com/v1.0/applications/{AppObjectId}/extensionProperties
Αίτημα για παράδειγμα σώματος:
{
"όνομα": "sponsorid1",
"dataType": "String",
"targetObjects": ["Χρήστης"]
}
Επαναλάβετε τη διαδικασία για το sponsorid2. Μετά την εγγραφή, το σύστημα θα επιστρέψει τα πλήρη ονόματα χαρακτηριστικών σε αυτήν τη μορφή:
επέκταση_<AppClientID>_sponsorid1
επέκταση_<AppClientID>_sponsorid2
Σημειώστε αυτά τα ακριβή ονόματα για μελλοντική χρήση.
Βήμα 2: Εκχώρηση χαρακτηριστικών επέκτασης σε χρήστες
Προτεινόμενη ανάγνωση:Ζουμ Είσοδος με SSO που δεν λειτουργεί σε Windows, Mac, Android ή iOS
Χρησιμοποιήστε ξανά το Graph Explorer για να επιδιορθώσετε τα αντικείμενα χρήστη και να εκχωρήσετε τιμές σε αυτά τα χαρακτηριστικά επέκτασης.
URL αιτήματος:
PACH https://graph.microsoft.com/v1.0/users/{UserObjectId}
Σώμα αιτήματος:
{
"extension_<AppClientID>_sponsorid1": "ABC123"
}
Επαναλάβετε αυτό για κάθε χρήστη, εκχωρώντας το αντίστοιχο χαρακτηριστικό (sponsorid1 ή sponsorid2).
Βήμα 3: Δημιουργία αξιώσεων στην εφαρμογή Enterprise
Μεταβείτε στο Entra ID > Enterprise Applications > [App Name] > Single Sign-On > Attributes & Claims.
1. Κάντε κλικ στην Προσθήκη νέας αξίωσης
2. Καταχωρίστε ένα όνομα (π.χ. χορηγόςClaim1)
3. Στις συνθήκες αξίωσης, επιλέξτε Μέλος και επιλέξτε την ομάδα που θα λάβει την αξίωση
4. Στο χαρακτηριστικό source, χρησιμοποιήστε το όνομα του χαρακτηριστικού επέκτασης καταλόγου (π.χ. extension_<AppClientID>_sponsorid1)
Επαναλάβετε για τη δεύτερη ομάδα και χαρακτηριστικό.
Βήμα 4: Χειριστείτε το σφάλμα αντιστοίχισης αξίωσης
Εάν δείτε το σφάλμα "Η εφαρμογή απαιτεί προσαρμοσμένο κλειδί υπογραφής για την προσαρμογή των αξιώσεων"
Μπορείτε να το παρακάμψετε προσωρινά ενημερώνοντας τη δήλωση εγγραφής εφαρμογής:
"acceptMappedClaims": αληθές
Αυτό επιτρέπει την προσαρμογή των αξιώσεων χωρίς προσαρμοσμένα κλειδιά υπογραφής.
Βήμα 5: Δοκιμάστε τη διαμόρφωση
Καλέστε την εφαρμογή χρησιμοποιώνταςID)/oauth2/v2.0/authorize?client_id=(Αναγνωριστικό πελάτη) &response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345 και συνδεθείτε με χρήστες που ανήκουν στις καθορισμένες ομάδες. Θα πρέπει να δείτε τις αναμενόμενες προσαρμοσμένες αξιώσεις (sponsorid1 ή sponsorid2) που εκδίδονται στο διακριτικό SAML ή OIDC στοhttps://jwt.ms. Οι χρήστες που δεν ανήκουν σε καμία από τις ομάδες δεν θα λάβουν καμία αξίωση χορηγού.
Η Microsoft λέει ότι αυτή η ρύθμιση διασφαλίζει ότι ευαίσθητα ή εξειδικευμένα δεδομένα φτάνουν μόνο στο σωστό κοινό κατά τη σύνδεση, χωρίς να τα εκθέτουν σε άλλους.
