Microsoftyra nubrėžęsnuoseklus metodas, skirtas priskirtiems vartotojo duomenims perduoti programoms prisijungiant, naudojant Entra ID katalogo plėtinio atributus. Šis procesas gali padėti organizacijoms įtraukti unikalius identifikatorius, pvz., išsamią rėmimo informaciją, į SSO prieigos raktus konkrečioms vartotojų grupėms.
Naujausiame vadove „Microsoft“ parodė, kaip administratoriai gali registruoti, priskirti ir susieti šiuos atributus, kad jie būtų rodomi kaip pretenzijos SAML arba OIDC prieigos raktuose ir tik pasirinktoms grupėms.
Štai kaip „Microsoft“ siūlo užbaigti procesą:
1 veiksmas: užregistruokite katalogo plėtinio atributus
Naudokite Graph Explorer, norėdami užregistruoti du pasirinktinius atributus, pvz., sponsorid1 ir sponsorid2, tikslinėje programoje.
Siųsti POST užklausą adresu:
POST https://graph.microsoft.com/v1.0/applications/{AppObjectId}/extensionProperties
Prašymo turinio pavyzdys:
{
"pavadinimas": "sponsorid1",
„dataType“: „Eilutė“,
"targetObjects": ["Vartotojas"]
}
Pakartokite procesą su sponsorid2. Po registracijos sistema grąžins visus atributų pavadinimus tokiu formatu:
plėtinys_<AppClientID>_sponsorid1
plėtinys_<AppClientID>_sponsorid2
Ateityje atkreipkite dėmesį į šiuos tikslius pavadinimus.
2 veiksmas: priskirkite plėtinio atributus vartotojams
Rekomenduojama skaityti:Mastelio keitimas Prisijunkite naudodami SSO neveikia „Windows“, „Mac“, „Android“ ar „iOS“.
Dar kartą naudokite „Graph Explorer“, norėdami PATCH vartotojo objektus ir priskirti reikšmes šiems plėtinio atributams.
Užklausos URL:
PATLAISTAS https://graph.microsoft.com/v1.0/users/{UserObjectId}
Užklausos turinys:
{
„Extension_<AppClientID>_sponsorid1“: „ABC123“
}
Pakartokite tai kiekvienam vartotojui, priskirdami atitinkamą atributą (sponsorid1 arba sponsorid2).
3 veiksmas: sukurkite pretenzijas įmonės programoje
Eikite į Entra ID > Įmonės programos > [Programos pavadinimas] > Vienkartinis prisijungimas > Atributai ir pretenzijos.
1. Spustelėkite Pridėti naują pretenziją
2. Pateikite pavadinimą (pvz., sponsorClaim1)
3. Dalyje Pretenzijos sąlygos pasirinkite Narys ir pasirinkite grupę, kuriai turėtų būti pateikta pretenzija
4. Šaltinio atribute naudokite katalogo plėtinio atributo pavadinimą (pvz., plėtinys_<AppClientID>_sponsorid1)
Pakartokite antrąją grupę ir atributą.
4 veiksmas: apdorokite pretenzijų atvaizdavimo klaidą
Jei matote klaidą „Programa reikalauja pasirinktinio pasirašymo rakto, kad būtų galima tinkinti paraiškas“
Galite laikinai tai apeiti atnaujindami programos registracijos aprašą:
„acceptMappedClaims“: tiesa
Tai leidžia tinkinti pretenzijas be pasirinktinių pasirašymo raktų.
5 veiksmas: patikrinkite konfigūraciją
Iškvieskite programą naudodamiID)/oauth2/v2.0/authorize?client_id=(Kliento ID) &response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345 ir prisijunkite su naudotojais, kurie priklauso apibrėžtoms grupėms. Turėtumėte matyti laukiamus tinkintus reikalavimus (sponsorid1 arba sponsorid2), išduotus SAML arba OIDC prieigos raktehttps://jwt.ms. Vartotojai, nepriklausantys nė vienai iš grupių, negaus rėmėjų pretenzijų.
„Microsoft“ teigia, kad ši sąranka užtikrina, kad jautrūs arba specializuoti duomenys prisijungimo metu pasiektų tik reikiamą auditoriją, neatskleisdami jų kitiems.
