Műszaki profilok
Feljegyzés
Az Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett helyzetek kezelésére szolgálnak. A legtöbb forgatókönyv esetében javasoljuk, hogy beépített felhasználói folyamatokat használjon. Ha még nem tette meg, ismerkedjen meg az egyéni szabályzatok kezdőcsomagjával az Egyéni szabályzatok használatának első lépései az Active Directory B2C-ben.
A technikai profilok egy beépített mechanizmust biztosítanak a különböző típusú felek közötti kommunikációhoz. A technikai profilok segítségével kommunikálhat az Azure Active Directory B2C (Azure AD B2C) bérlővel egy felhasználó létrehozásához vagy egy felhasználói profil olvasásához. A technikai profilok önaláírással is engedélyezhetők a felhasználóval való interakcióhoz. Egy technikai profil például összegyűjtheti a felhasználó hitelesítő adatait a bejelentkezéshez, majd megjelenítheti a regisztrációs oldalt vagy a jelszó-visszaállítási oldalt.
Műszaki profilok típusai
A műszaki profil az alábbi forgatókönyveket teszi lehetővé:
- Application Insights: Eseményadatokat küld az Application Insightsnak.
- Microsoft Entra ID: Támogatást nyújt az Azure AD B2C felhasználói felügyeletéhez.
- Microsoft Entra többtényezős hitelesítés: Támogatja a telefonszámok Microsoft Entra többtényezős hitelesítéssel történő ellenőrzését.
- Jogcímátalakítás: Meghívja a kimeneti jogcímátalakításokat a jogcímértékek módosításához, a jogcímek érvényesítéséhez vagy a kimeneti jogcímek alapértelmezett értékeinek beállításához.
- Azonosító jogkivonat-tipp: Ellenőrzi a
id_token_hint
JWT-jogkivonat aláírását, a kiállító nevét és a jogkivonat célközönségét, és kinyeri a jogcímet a bejövő jogkivonatból. - JWT-tokenkibocsátó: Kibocsát egy JWT-jogkivonatot, amely visszakerül a függő entitás alkalmazásába.
- OAuth1: Összevonás bármely OAuth 1.0 protokoll-identitásszolgáltatóval.
- OAuth2: Összevonás bármely OAuth 2.0 protokoll-identitásszolgáltatóval.
- Egyszeri jelszó: Támogatja az egyszeri jelszó létrehozásának és ellenőrzésének kezelését.
- OpenID Connect: Összevonás bármely OpenID Connect protokoll identitásszolgáltatóval.
- Telefonos tényező: Támogatja a telefonszámok regisztrálását és ellenőrzését.
- RESTful szolgáltató: MEGHÍVJA a REST API-szolgáltatásokat, például a felhasználói bemenetek érvényesítését, a felhasználói adatok bővítését vagy az üzletági alkalmazásokkal való integrációt.
- SAML-identitásszolgáltató: Összevonás bármely SAML protokoll-identitásszolgáltatóval.
- SAML-tokenkibocsátó: Kibocsát egy SAML-jogkivonatot, amely visszakerül a függő entitás alkalmazásába.
- Önérvényesített: Interakcióba lép a felhasználóval. Összegyűjti például a felhasználó hitelesítő adatait a bejelentkezéshez, a regisztrációs oldal megjelenítéséhez vagy a jelszó alaphelyzetbe állításához.
- Munkamenet-kezelés: Különböző típusú munkameneteket kezel.
Műszaki profilfolyamat
A technikai profilok minden típusa ugyanazzal a fogalomtal rendelkezik. A bemeneti jogcímek olvasásával és jogcímátalakítások futtatásával kezdődnek. Ezután kommunikálnak a konfigurált féllel, például identitásszolgáltatóval, REST API-val vagy Microsoft Entra címtárszolgáltatással. A folyamat befejezése után a műszaki profil visszaadja a kimeneti jogcímeket, és futtathat kimeneti jogcím-átalakításokat. Az alábbi ábra a műszaki profilban hivatkozott átalakítások és leképezések feldolgozását mutatja be. A jogcímátalakítás végrehajtása után a kimeneti jogcímek azonnal a jogcímcsomagban lesznek tárolva, függetlenül attól, hogy a műszaki profil milyen féllel kommunikál.
- Egyszeri bejelentkezés (SSO) munkamenet-kezelés: Visszaállítja a technikai profil munkamenet-állapotát az egyszeri bejelentkezés munkamenet-kezelésével.
- Bemeneti jogcímek átalakítása: A műszaki profil elindítása előtt az Azure AD B2C bemeneti jogcímek átalakítását futtatja.
- Bemeneti jogcímek: A jogcímek a műszaki profilhoz használt jogcímcsomagból lesznek átvéve.
- Technikai profil végrehajtása: A műszaki profil kicseréli a jogcímeket a konfigurált féllel. Például:
- Átirányítja a felhasználót az identitásszolgáltatóhoz a bejelentkezés befejezéséhez. A sikeres bejelentkezés után a felhasználó visszatér, és a technikai profil végrehajtása folytatódik.
- Meghív egy REST API-t, miközben a paramétereket InputClaims-ként küldi el, és outputClaims-ként kéri vissza az információkat.
- Létrehozza vagy frissíti a felhasználói fiókot.
- Elküldi és ellenőrzi a többtényezős hitelesítés szöveges üzenetét.
- Érvényesítési műszaki profilok: Az önaláírással rendelkező műszaki profilok érvényesítési technikai profilokat hívhatnak meg a felhasználó által profilozott adatok ellenőrzéséhez. Érvényesítési műszaki profilokat csak önérvényesítő műszaki profilok használhatnak.
- Kimeneti jogcímek: A jogcímek visszakerülnek a jogcímcsomagba. Ezeket a jogcímeket a következő vezénylési lépésben vagy a kimeneti jogcímátalakításokban használhatja.
- Kimeneti jogcímátalakítások: A műszaki profil befejezése után az Azure AD B2C kimeneti jogcímátalakításokat futtat.
- Egyszeri bejelentkezéses munkamenet-kezelés: A technikai profil adatait megőrzi a munkamenetben az egyszeri bejelentkezés munkamenet-kezelésével.
A TechnicalProfiles elem a jogcímszolgáltató által támogatott technikai profilokat tartalmaz. Minden jogcímszolgáltatónak rendelkeznie kell legalább egy műszaki profillal. A műszaki profil határozza meg a jogcímszolgáltatóval való kommunikációhoz szükséges végpontokat és protokollokat. A jogcímszolgáltató több műszaki profillal is rendelkezhet.
<ClaimsProvider>
<DisplayName>Display name</DisplayName>
<TechnicalProfiles>
<TechnicalProfile Id="Technical profile identifier">
<DisplayName>Display name of technical profile</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.RestfulProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
...
</Metadata>
...
</TechnicalProfile>
</TechnicalProfiles>
</ClaimsProvider>
A TechnicalProfile elem a következő attribútumot tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
Azonosító | Igen | A műszaki profil egyedi azonosítója. A technikai profil erre az azonosítóra hivatkozhat a szabályzatfájl más elemeiből. Ilyenek például az OrchestrationSteps és az ValidationTechnicalProfile. |
A TechnicalProfile elem a következő elemeket tartalmazza:
Elem | Események | Leírás |
---|---|---|
Tartomány | 0:1 | A műszaki profil tartományneve. Ha például a technikai profil megadja a Facebook-identitásszolgáltatót, a tartománynév Facebook.com. |
Megjelenített név | 1:1 | A technikai profil megjelenítendő neve. |
Leírás | 0:1 | A műszaki profil leírása. |
Protokoll | 1:1 | A másik féllel való kommunikációhoz használt protokoll. |
Metaadatok | 0:1 | Kulcsok és értékek készlete, amelyek a technikai profil viselkedését vezérli. |
InputTokenFormat | 0:1 | A bemeneti jogkivonat formátuma. A lehetséges értékek a következőkJSON : , JWT SAML11 vagy SAML2 . Az JWT érték egy JSON-webjogkivonatot jelöl az IETF-specifikáció szerint. Az SAML11 érték egy SAML 1.1 biztonsági jogkivonatot jelöl az OASIS specifikációja szerint. Az SAML2 érték egy SAML 2.0 biztonsági jogkivonatot jelöl az OASIS specifikációja szerint. |
OutputTokenFormat | 0:1 | A kimeneti jogkivonat formátuma. A lehetséges értékek a következőkJSON : , JWT SAML11 vagy SAML2 . |
Titkosítási kulcsok | 0:1 | A műszaki profilban használt titkosítási kulcsok listája. |
InputClaimsTransformations | 0:1 | A jogcímátalakításokra vonatkozó, korábban definiált hivatkozások listája, amelyeket a jogcímek szolgáltatójának vagy a függő entitásnak való elküldése előtt végre kell hajtani. |
InputClaims | 0:1 | A műszaki profilban bemenetként használt jogcímtípusokra mutató, korábban definiált hivatkozások listája. |
PersistedClaims | 0:1 | A műszaki profil által megmaradó jogcímtípusokra vonatkozó, korábban definiált hivatkozások listája. |
DisplayClaims | 0:1 | Az önaláírt műszaki profil által bemutatott jogcímtípusokra mutató, korábban definiált hivatkozások listája. A DisplayClaims szolgáltatás jelenleg előzetes verzióban érhető el. |
OutputClaims | 0:1 | A műszaki profilban kimenetként vett jogcímtípusokra mutató, korábban definiált hivatkozások listája. |
OutputClaimsTransformations | 0:1 | A jogcímátalakításokra vonatkozó, korábban definiált hivatkozások listája, amelyeket a jogcímszolgáltatótól való beérkezés után végre kell hajtani. |
ValidationTechnicalProfiles | 0:n | A műszaki profil által érvényesítési célokra használt egyéb műszaki profilokra mutató hivatkozások listája. További információ: Érvényesítési műszaki profil. |
SubjectNamingInfo | 0:1 | Szabályozza a tulajdonosnév előállítását olyan jogkivonatokban, ahol a tulajdonos neve a jogcímektől külön van megadva. Ilyenek például az OAuth vagy az SAML. |
IncludeInSso | 0:1 | Azt, hogy a technikai profil használata SSO-viselkedést alkalmaz-e a munkamenetre, vagy inkább explicit interakciót igényel. Ez az elem csak az érvényesítési műszaki profilban használt SelfAsserted profilokban érvényes. A lehetséges értékek ( true alapértelmezett) vagy false . |
IncludeClaimsFromTechnicalProfile | 0:1 | Egy technikai profil azonosítója, amelyből az összes bemeneti és kimeneti jogcímet hozzá szeretné adni ehhez a műszaki profilhoz. A hivatkozott műszaki profilt ugyanabban a szabályzatfájlban kell meghatározni. |
IncludeTechnicalProfile | 0:1 | Annak a műszaki profilnak az azonosítója, amelyből az összes adatot hozzá szeretné adni ehhez a technikai profilhoz. |
UseTechnicalProfileForSessionManagement | 0:1 | A munkamenet-kezeléshez használandó másik technikai profil. |
EnabledForUserJourneys | 0:1 | Azt szabályozza, hogy a technikai profil végrehajtása egy felhasználói folyamat során történik-e. |
Protokoll
A Protokoll elem meghatározza a másik féllel való kommunikációhoz használandó protokollt. A Protokoll elem a következő attribútumokat tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
Név | Igen | Az Azure AD B2C által támogatott érvényes protokoll neve, amelyet a műszaki profil részeként használnak. A lehetséges értékek a következőkOAuth1 : , OAuth2 SAML2 , OpenIdConnect , Proprietary vagy None . |
Kezelő | Nem | Ha a protokoll neve be van állítva Proprietary , megadja annak a szerelvénynek a nevét, amelyet az Azure AD B2C használ a protokollkezelő meghatározásához. Ha a protokollnév attribútumot úgy állítja be, hogy None ne tartalmazza a Handler attribútumot. |
Metaadatok
A Metaadatok elem egy adott protokoll megfelelő konfigurációs beállításait tartalmazza. A támogatott metaadatok listája a megfelelő műszaki profil specifikációjában van dokumentálva. A Metaadatok elem a következő elemet tartalmazza:
Elem | Események | Leírás |
---|---|---|
Cikk | 0:n | A műszaki profilhoz kapcsolódó metaadatok. Minden technikai profil más metaadat-elemkészlettel rendelkezik. További információkért tekintse meg a műszaki profiltípusok szakaszt. |
Elem
A Metaadat elem Elem eleme a következő attribútumot tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
Kulcs | Igen | A metaadatkulcs. A metaadat-elemek listájához tekintse meg az egyes műszaki profiltípusokat . |
Az alábbi példa az OAuth2 műszaki profilhoz kapcsolódó metaadatok használatát mutatja be.
<TechnicalProfile Id="Facebook-OAUTH">
...
<Metadata>
<Item Key="ProviderName">facebook</Item>
<Item Key="authorization_endpoint">https://www.facebook.com/dialog/oauth</Item>
<Item Key="AccessTokenEndpoint">https://graph.facebook.com/oauth/access_token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="UsePolicyInRedirectUri">0</Item>
...
</Metadata>
...
</TechnicalProfile>
Az alábbi példa a REST API technikai profiljához kapcsolódó metaadatok használatát mutatja be.
<TechnicalProfile Id="REST-Validate-Email">
...
<Metadata>
<Item Key="ServiceUrl">https://api.sendgrid.com/v3/mail/send</Item>
<Item Key="AuthenticationType">Bearer</Item>
<Item Key="SendClaimsIn">Body</Item>
...
</Metadata>
...
</TechnicalProfile>
Titkosítási kulcsok
Az Azure AD B2C szabályzatkulcsok formájában tárolja a titkos kulcsokat és a tanúsítványokat, hogy megbízhatóságot alakítson ki azokkal a szolgáltatásokkal, amellyel integrálva van. A technikai profil végrehajtása során az Azure AD B2C lekéri a titkosítási kulcsokat az Azure AD B2C szabályzatkulcsaiból. Ezután az Azure AD B2C a kulcsokkal hozza létre a megbízhatóságot, titkosít vagy aláír egy jogkivonatot. Ezek a megbízhatósági kapcsolatok a következőkből állnak:
- Összevonás OAuth1, OAuth2 és SAML identitásszolgáltatókkal.
- A REST API-szolgáltatásokkal való kapcsolat biztonságossá tétele.
- A JWT- és SAML-jogkivonatok aláírása és titkosítása.
A CryptographicKeys elem a következő elemet tartalmazza:
Elem | Események | Leírás |
---|---|---|
Kulcs | 1:n | A technikai profilban használt titkosítási kulcs. |
Kulcs
A kulcselem a következő attribútumot tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
Azonosító | Nem | Egy adott kulcspár egyedi azonosítója, amely a szabályzatfájl más elemeiből származik. |
StorageReferenceId | Igen | A szabályzatfájl más elemeiből hivatkozott tároló azonosítója. |
Bemeneti jogcímek átalakítása
Az InputClaimsTransformations elem olyan bemeneti jogcím-átalakítási elemek gyűjteményét tartalmazhatja, amelyek a bemeneti jogcímek módosítására vagy újak létrehozására szolgálnak.
A jogcímátalakítás gyűjteményében egy korábbi jogcímátalakítás kimeneti jogcímei lehetnek egy későbbi bemeneti jogcím-átalakítás bemeneti jogcímei. Ily módon jogcímátalakítások sorozata is lehet, amelyek egymástól függenek.
Az InputClaimsTransformations elem a következő elemet tartalmazza:
Elem | Események | Leírás |
---|---|---|
InputClaimsTransformation | 1:n | A jogcímátalakítás azonosítója, amelyet a jogcímek szolgáltatójának vagy a függő entitásnak való elküldése előtt végre kell hajtani. A jogcímek átalakításával módosíthatja a meglévő ClaimsSchema-jogcímeket, vagy újakat hozhat létre. |
InputClaimsTransformation
Az InputClaimsTransformation elem a következő attribútumot tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
Referenciaazonosító | Igen | A házirendfájlban vagy a szülőházirend-fájlban már definiált jogcímátalakítás azonosítója. |
Az alábbi technikai profilok a CreateOtherMailsFromEmail jogcímátalakításra hivatkoznak. A jogcímátalakítás hozzáadja email
a jogcím értékét a gyűjteményhez, otherMails
mielőtt megőrzi az adatokat a címtárban.
<TechnicalProfile Id="AAD-UserWriteUsingAlternativeSecurityId">
...
<InputClaimsTransformations>
<InputClaimsTransformation ReferenceId="CreateOtherMailsFromEmail" />
</InputClaimsTransformations>
<PersistedClaims>
<PersistedClaim ClaimTypeReferenceId="alternativeSecurityId" />
<PersistedClaim ClaimTypeReferenceId="userPrincipalName" />
<PersistedClaim ClaimTypeReferenceId="mailNickName" DefaultValue="unknown" />
<PersistedClaim ClaimTypeReferenceId="displayName" DefaultValue="unknown" />
<PersistedClaim ClaimTypeReferenceId="otherMails" />
<PersistedClaim ClaimTypeReferenceId="givenName" />
<PersistedClaim ClaimTypeReferenceId="surname" />
</PersistedClaims>
...
</TechnicalProfile>
Bemeneti jogcímek
Az InputClaims elem a műszaki profilhoz használt jogcímcsomagból veszi fel a jogcímeket. Egy önaláírt műszaki profil például a bemeneti jogcímekkel előre feltölti a felhasználó által biztosított kimeneti jogcímeket. A REST API technikai profilja a bemeneti jogcímekkel küld bemeneti paramétereket a REST API-végpontnak. Az Azure AD B2C egy bemeneti jogcímet használ egyedi azonosítóként egy fiók olvasásához, frissítéséhez vagy törléséhez.
Az InputClaims elem a következő elemet tartalmazza:
Elem | Események | Leírás |
---|---|---|
InputClaim | 1:n | Egy várt bemeneti jogcímtípus. |
InputClaim
Az InputClaim elem a következő attribútumokat tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
ClaimTypeReferenceId | Igen | A jogcímtípus azonosítója. A jogcím már definiálva van a házirendfájl vagy a szülőházirend-fájl jogcímséma szakaszában. |
DefaultValue | Nem | A jogcím létrehozásához használt alapértelmezett érték, ha a ClaimTypeReferenceId által jelzett jogcím nem létezik, így az eredményként kapott jogcímet a műszaki profil InputClaim elemként használhatja. |
AlwaysUseDefaultValue | Igen | Kényszeríti az alapértelmezett érték használatát. |
PartnerClaimType | Nem | Annak a külső partnernek a jogcímtípusának azonosítója, amellyel a megadott szabályzat jogcímtípus megfelel. Ha a PartnerClaimType attribútum nincs megadva, a megadott házirend-jogcímtípus az azonos nevű partnerjogcímtípushoz lesz megfeleltetve. Ezt a tulajdonságot akkor használja, ha a jogcímtípus neve eltér a másik féltől. Ilyen például, ha az első jogcím neve givenName, míg a partner egy first_name nevű jogcímet használ. |
Jogcímek megjelenítése
A DisplayClaims elem a képernyőn megjelenítendő jogcímek listáját tartalmazza, amelyek adatokat gyűjtenek a felhasználótól. A megjelenítési jogcímek gyűjteményében hivatkozhat egy jogcímtípusra vagy egy létrehozott megjelenítési vezérlőre .
- A jogcímtípus a képernyőn megjelenítendő jogcímre mutató hivatkozás.
- Ha arra szeretné kényszeríteni a felhasználót, hogy adjon meg egy értéket egy adott jogcímhez, állítsa a DisplayClaim elem Kötelező attribútumát a következőre
true
: . - A megjelenítési jogcímek értékeinek előzetes feltöltéséhez használja a korábban ismertetett bemeneti jogcímeket. Az elem egy alapértelmezett értéket is tartalmazhat.
- A DisplayClaims gyűjtemény ClaimType elemének a UserInputType elemet az Azure AD B2C által támogatott felhasználói beviteli típusra kell beállítania. Ilyenek például a
TextBox
következők: vagyDropdownSingleSelect
.
- Ha arra szeretné kényszeríteni a felhasználót, hogy adjon meg egy értéket egy adott jogcímhez, állítsa a DisplayClaim elem Kötelező attribútumát a következőre
- A megjelenítési vezérlő egy speciális funkciókkal rendelkező felhasználói felületi elem, amely az Azure AD B2C háttérszolgáltatással működik együtt. Lehetővé teszi, hogy a felhasználó műveleteket hajt végre azon a lapon, amely egy érvényesítési műszaki profilt hív meg a háttérrendszerben. Ilyen például egy e-mail-cím, telefonszám vagy ügyfélhűség-szám ellenőrzése.
A DisplayClaims elemeinek sorrendje határozza meg, hogy az Azure AD B2C milyen sorrendben jeleníti meg a jogcímeket a képernyőn.
A DisplayClaims elem a következő elemet tartalmazza:
Elem | Események | Leírás |
---|---|---|
DisplayClaim | 1:n | Egy várt bemeneti jogcímtípus. |
DisplayClaim
A DisplayClaim elem a következő attribútumokat tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
ClaimTypeReferenceId | Nem | Egy jogcímtípus azonosítója, amely már definiálva van a szabályzatfájl Vagy a szülőházirend-fájl Jogcímekséma szakaszában. |
DisplayControlReferenceId | Nem | A szabályzatfájl vagy a szülőházirendfájl ClaimsSchema szakaszában már definiált megjelenítési vezérlő azonosítója. |
Szükséges | Nem | Jelzi, hogy szükség van-e megjelenítési jogcímre. |
Az alábbi példa a megjelenítési jogcímek és megjelenítési vezérlők használatát mutatja be egy önérvényesített műszaki profilban.
A következő műszaki profilban:
- Az első megjelenítési jogcím hivatkozik a megjelenítési
emailVerificationControl
vezérlőre, amely összegyűjti és ellenőrzi az e-mail-címet. - Az ötödik megjelenítési jogcím hivatkozik a megjelenítési
phoneVerificationControl
vezérlőre, amely összegyűjti és ellenőrzi a telefonszámot. - A többi megjelenítési jogcím a felhasználótól begyűjtendő ClaimType-elemek.
<TechnicalProfile Id="Id">
<DisplayClaims>
<DisplayClaim DisplayControlReferenceId="emailVerificationControl" />
<DisplayClaim ClaimTypeReferenceId="displayName" Required="true" />
<DisplayClaim ClaimTypeReferenceId="givenName" Required="true" />
<DisplayClaim ClaimTypeReferenceId="surName" Required="true" />
<DisplayClaim DisplayControlReferenceId="phoneVerificationControl" />
<DisplayClaim ClaimTypeReferenceId="newPassword" Required="true" />
<DisplayClaim ClaimTypeReferenceId="reenterPassword" Required="true" />
</DisplayClaims>
</TechnicalProfile>
Megőrzött jogcímek
A PersistedClaims elem tartalmazza azokat az értékeket, amelyeket egy Microsoft Entra ID technikai profilnak meg kell őriznie a szabályzat Jogcímekkéma szakaszában már definiált jogcímtípus és a Microsoft Entra attribútumnév közötti lehetséges leképezési információkkal.
A jogcím neve a Microsoft Entra attribútum neve, kivéve, ha meg van adva a PartnerClaimType attribútum, amely tartalmazza a Microsoft Entra attribútum nevét.
A PersistedClaims elem a következő elemet tartalmazza:
Elem | Események | Leírás |
---|---|---|
PersistedClaim | 1:n | A megőrzendő jogcímtípus. |
PersistedClaim
A PersistedClaim elem a következő attribútumokat tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
ClaimTypeReferenceId | Igen | Egy jogcímtípus azonosítója, amely már definiálva van a szabályzatfájl Vagy a szülőházirend-fájl Jogcímekséma szakaszában. |
DefaultValue | Nem | A jogcím létrehozásához használt alapértelmezett érték, ha a jogcím nem létezik. |
PartnerClaimType | Nem | Annak a külső partnernek a jogcímtípusának azonosítója, amellyel a megadott szabályzat jogcímtípus megfelel. Ha a PartnerClaimType attribútum nincs megadva, a megadott házirend-jogcímtípus az azonos nevű partnerjogcímtípushoz lesz megfeleltetve. Ezt a tulajdonságot akkor használja, ha a jogcímtípus neve eltér a másik féltől. Ilyen például, ha az első jogcím neve givenName, míg a partner egy first_name nevű jogcímet használ. |
Az alábbi példában az AAD-UserWriteUsingLogonEmail technikai profil vagy az új helyi fiókot létrehozó kezdőcsomag megőrzi a következő jogcímeket:
<PersistedClaims>
<PersistedClaim ClaimTypeReferenceId="email" PartnerClaimType="signInNames.emailAddress" />
<PersistedClaim ClaimTypeReferenceId="newPassword" PartnerClaimType="password"/>
<PersistedClaim ClaimTypeReferenceId="displayName" DefaultValue="unknown" />
<PersistedClaim ClaimTypeReferenceId="passwordPolicies" DefaultValue="DisablePasswordExpiration" />
<PersistedClaim ClaimTypeReferenceId="givenName" />
<PersistedClaim ClaimTypeReferenceId="surname" />
</PersistedClaims>
Kimeneti jogcímek
Az OutputClaims elem olyan jogcímek gyűjteménye, amelyek a műszaki profil befejezése után visszakerülnek a jogcímcsomagba. Ezeket a jogcímeket a következő vezénylési lépésben vagy a kimeneti jogcímátalakításokban használhatja. Az OutputClaims elem a következő elemet tartalmazza:
Elem | Események | Leírás |
---|---|---|
OutputClaim | 1:n | Várt kimeneti jogcímtípus. |
OutputClaim
Az OutputClaim elem a következő attribútumokat tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
ClaimTypeReferenceId | Igen | Egy jogcímtípus azonosítója, amely már definiálva van a szabályzatfájl Vagy a szülőházirend-fájl Jogcímekséma szakaszában. |
DefaultValue | Nem | A jogcím létrehozásához használt alapértelmezett érték, ha a jogcím nem létezik. |
AlwaysUseDefaultValue | Nem | Kényszeríti az alapértelmezett érték használatát. |
PartnerClaimType | Nem | Annak a külső partnernek a jogcímtípusának azonosítója, amellyel a megadott szabályzat jogcímtípus megfelel. Ha a partner jogcímtípus attribútum nincs megadva, a megadott házirend-jogcímtípus az azonos nevű partnerjogcímtípushoz van megfeleltetve. Ezt a tulajdonságot akkor használja, ha a jogcímtípus neve eltér a másik féltől. Ilyen például, ha az első jogcím neve givenName, míg a partner egy first_name nevű jogcímet használ. |
Kimeneti jogcímek átalakítása
Az OutputClaimsTransformations elem az OutputClaimsTransformation elemek gyűjteményét is tartalmazhatja. A kimeneti jogcímek átalakításával módosíthatja a kimeneti jogcímeket, vagy újakat hozhat létre. A végrehajtás után a kimeneti jogcímek vissza lesznek helyezve a jogcímcsomagba. Ezeket a jogcímeket a következő vezénylési lépésben használhatja.
A jogcímátalakítás gyűjteményében egy korábbi jogcímátalakítás kimeneti jogcímei lehetnek egy későbbi bemeneti jogcím-átalakítás bemeneti jogcímei. Ily módon jogcímátalakítások sorozata is lehet, amelyek egymástól függenek.
Az OutputClaimsTransformations elem a következő elemet tartalmazza:
Elem | Események | Leírás |
---|---|---|
OutputClaimsTransformation | 1:n | A jogcímátalakítások azonosítói, amelyeket a jogcímek szolgáltatójának vagy a függő entitásnak való elküldése előtt végre kell hajtani. A jogcímek átalakításával módosíthatja a meglévő ClaimsSchema-jogcímeket, vagy újakat hozhat létre. |
OutputClaimsTransformation
Az OutputClaimsTransformation elem a következő attribútumot tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
Referenciaazonosító | Igen | A házirendfájlban vagy a szülőházirend-fájlban már definiált jogcímátalakítás azonosítója. |
Az alábbi technikai profil az AssertAccountEnabledIsTrue jogcímátalakításra hivatkozik annak kiértékeléséhez, hogy a fiók engedélyezve van-e, vagy sem, miután elolvasta a accountEnabled
jogcímet a címtárból.
<TechnicalProfile Id="AAD-UserReadUsingEmailAddress">
...
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="objectId" />
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="localAccountAuthentication" />
<OutputClaim ClaimTypeReferenceId="userPrincipalName" />
<OutputClaim ClaimTypeReferenceId="displayName" />
<OutputClaim ClaimTypeReferenceId="accountEnabled" />
<OutputClaim ClaimTypeReferenceId="otherMails" />
<OutputClaim ClaimTypeReferenceId="signInNames.emailAddress" />
</OutputClaims>
<OutputClaimsTransformations>
<OutputClaimsTransformation ReferenceId="AssertAccountEnabledIsTrue" />
</OutputClaimsTransformations>
...
</TechnicalProfile>
Érvényesítési műszaki profilok
A rendszer érvényesítési műszaki profilt használ a kimeneti jogcímek önérvényesítő műszaki profilban való érvényesítéséhez. Az érvényesítési műszaki profil bármely protokoll szokásos technikai profilja, például a Microsoft Entra ID vagy a REST API. Az érvényesítési műszaki profil kimeneti jogcímeket ad vissza, vagy hibakódot ad vissza. A hibaüzenet a képernyőn jelenik meg a felhasználó számára, így a felhasználó újra próbálkozhat.
Az alábbi ábra bemutatja, hogy az Azure AD B2C hogyan használ érvényesítési műszaki profilt a felhasználói hitelesítő adatok ellenőrzéséhez.
Az ValidationTechnicalProfiles elem a következő elemet tartalmazza:
Elem | Események | Leírás |
---|---|---|
ValidationTechnicalProfile | 1:n | A használt technikai profilok azonosítói ellenőrzik a hivatkozó műszaki profil kimeneti jogcímeinek egy részét vagy egészét. A hivatkozott műszaki profil összes bemeneti jogcímének szerepelnie kell a hivatkozó műszaki profil kimeneti jogcímeiben. |
ValidationTechnicalProfile
Az ValidationTechnicalProfile elem a következő attribútumot tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
Referenciaazonosító | Igen | A szabályzatfájlban vagy a szülőházirend-fájlban már definiált technikai profil azonosítója. |
SubjectNamingInfo
A SubjectNamingInfo elem határozza meg a függő entitás házirendjének jogkivonataiban használt tulajdonosnevet. A SubjectNamingInfo elem a következő attribútumot tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
Jogcímtípus | Igen | Egy jogcímtípus azonosítója, amely már definiálva van a szabályzatfájl ClaimsSchema szakaszában. |
Műszaki profil belefoglalása
A műszaki profil tartalmazhat egy másik technikai profilt a beállítások módosításához vagy új funkciók hozzáadásához. Az IncludeTechnicalProfile elem arra a közös műszaki profilra mutató hivatkozás, amelyből a műszaki profil származik. A redundancia és a szabályzatelemek összetettségének csökkentése érdekében használja a belefoglalást, ha több olyan technikai profillal rendelkezik, amelyek megosztják az alapvető elemeket. Használjon közös műszaki profilt a közös konfigurációs készlettel, valamint a közös műszaki profilt tartalmazó konkrét feladat-technikai profilokkal együtt.
Tegyük fel, hogy rendelkezik egy REST API technikai profillal egyetlen végponttal, ahol különböző jogcímkészleteket kell küldenie különböző forgatókönyvekhez. Hozzon létre egy közös technikai profilt a megosztott funkciókkal, például a REST API-végpont URI-jával, metaadataival, hitelesítési típusával és titkosítási kulcsaival. Hozzon létre konkrét feladat-technikai profilokat, amelyek tartalmazzák a közös műszaki profilt. Ezután adja hozzá a bemeneti és kimeneti jogcímeket, vagy írja felül az adott műszaki profilhoz kapcsolódó REST API-végpont URI-t.
Az IncludeTechnicalProfile elem a következő attribútumot tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
Referenciaazonosító | Igen | A szabályzatfájlban vagy a szülőházirend-fájlban már definiált technikai profil azonosítója. |
Az alábbi példa a felvétel használatát szemlélteti:
- REST-API-Common: Gyakori műszaki profil az alapkonfigurációval.
- REST-ValidateProfile: Tartalmazza a REST-API-Common műszaki profilt, és meghatározza a bemeneti és kimeneti jogcímeket.
- REST-UpdateProfile: Tartalmazza a REST-API-Common műszaki profilt, megadja a bemeneti jogcímeket, és felülírja a
ServiceUrl
metaadatokat.
<ClaimsProvider>
<DisplayName>REST APIs</DisplayName>
<TechnicalProfiles>
<TechnicalProfile Id="REST-API-Common">
<DisplayName>Base REST API configuration</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.RestfulProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="ServiceUrl">https://your-app-name.azurewebsites.NET/api/identity</Item>
<Item Key="AuthenticationType">Basic</Item>
<Item Key="SendClaimsIn">Body</Item>
</Metadata>
<CryptographicKeys>
<Key Id="BasicAuthenticationUsername" StorageReferenceId="B2C_1A_B2cRestClientId" />
<Key Id="BasicAuthenticationPassword" StorageReferenceId="B2C_1A_B2cRestClientSecret" />
</CryptographicKeys>
<UseTechnicalProfileForSessionManagement ReferenceId="SM-Noop" />
</TechnicalProfile>
<TechnicalProfile Id="REST-ValidateProfile">
<DisplayName>Validate the account and return promo code</DisplayName>
<InputClaims>
<InputClaim ClaimTypeReferenceId="objectId" />
<InputClaim ClaimTypeReferenceId="email" />
<InputClaim ClaimTypeReferenceId="userLanguage" PartnerClaimType="lang" DefaultValue="{Culture:LCID}" AlwaysUseDefaultValue="true" />
</InputClaims>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="promoCode" />
</OutputClaims>
<IncludeTechnicalProfile ReferenceId="REST-API-Common" />
</TechnicalProfile>
<TechnicalProfile Id="REST-UpdateProfile">
<DisplayName>Update the user profile</DisplayName>
<Metadata>
<Item Key="ServiceUrl">https://your-app-name.azurewebsites.NET/api/identity/update</Item>
</Metadata>
<InputClaims>
<InputClaim ClaimTypeReferenceId="objectId" />
<InputClaim ClaimTypeReferenceId="email" />
</InputClaims>
<IncludeTechnicalProfile ReferenceId="REST-API-Common" />
</TechnicalProfile>
</TechnicalProfiles>
</ClaimsProvider>
Többszintű integráció
A műszaki profilok egyetlen műszaki profilt is tartalmazhatnak. A befogadási szintek száma nincs korlátozva. Az AAD-UserReadUsingAlternativeSecurityId-NoError technikai profil például tartalmazza az AAD-UserReadUsingAlternativeSecurityId azonosítót. Ez a technikai profil beállítja a RaiseErrorIfClaimsPrincipalDoesNotExist
metaadat-elemet true
, és hibát jelez, ha egy közösségi fiók nem létezik a címtárban. Az AAD-UserReadUsingAlternativeSecurityId-NoError felülírja ezt a viselkedést, és letiltja a hibaüzenetet.
<TechnicalProfile Id="AAD-UserReadUsingAlternativeSecurityId-NoError">
<Metadata>
<Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">false</Item>
</Metadata>
<IncludeTechnicalProfile ReferenceId="AAD-UserReadUsingAlternativeSecurityId" />
</TechnicalProfile>
Az AAD-UserReadUsingAlternativeSecurityId tartalmazza a technikai profilt AAD-Common
.
<TechnicalProfile Id="AAD-UserReadUsingAlternativeSecurityId">
<Metadata>
<Item Key="Operation">Read</Item>
<Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">true</Item>
<Item Key="UserMessageIfClaimsPrincipalDoesNotExist">User does not exist. Please sign up before you can sign in.</Item>
</Metadata>
<InputClaims>
<InputClaim ClaimTypeReferenceId="AlternativeSecurityId" PartnerClaimType="alternativeSecurityId" Required="true" />
</InputClaims>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="objectId" />
<OutputClaim ClaimTypeReferenceId="userPrincipalName" />
<OutputClaim ClaimTypeReferenceId="displayName" />
<OutputClaim ClaimTypeReferenceId="otherMails" />
<OutputClaim ClaimTypeReferenceId="givenName" />
<OutputClaim ClaimTypeReferenceId="surname" />
</OutputClaims>
<IncludeTechnicalProfile ReferenceId="AAD-Common" />
</TechnicalProfile>
Az AAD-UserReadUsingAlternativeSecurityId-NoError és az AAD-UserReadUsingAlternativeSecurityId sem adja meg a szükséges protokollelemet , mert az az AAD-Common műszaki profilban van megadva.
<TechnicalProfile Id="AAD-Common">
<DisplayName>Azure Active Directory</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AzureActiveDirectoryProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
...
</TechnicalProfile>
Technikai profil használata munkamenet-kezeléshez
A UseTechnicalProfileForSessionManagement elem az SSO-munkamenet technikai profiljára hivatkozik. A UseTechnicalProfileForSessionManagement elem a következő attribútumot tartalmazza:
Attribútum | Kötelező | Leírás |
---|---|---|
Referenciaazonosító | Igen | A szabályzatfájlban vagy a szülőházirend-fájlban már definiált technikai profil azonosítója. |
Engedélyezve a felhasználói folyamatokhoz
A felhasználói folyamat JogcímekProviderSelections szolgáltatása határozza meg a jogcímszolgáltató kiválasztási lehetőségeit és sorrendjét. Az EnabledForUserJourneys elem segítségével szűrheti, hogy melyik jogcímszolgáltató érhető el a felhasználó számára. Az EnabledForUserJourneys elem a következő értékek egyikét tartalmazza:
- Mindig: Végrehajtja a műszaki profilt.
- Soha: Kihagyja a technikai profilt.
- OnClaimsExistence: Csak akkor hajtja végre, ha a műszaki profilban megadott bizonyos jogcím létezik.
- OnItemExistenceInStringCollectionClaim: Csak akkor hajtja végre, ha egy elem létezik egy sztringgyűjteményi jogcímben.
- OnItemAbsenceInStringCollectionClaim: Csak akkor hajtja végre, ha egy elem nem létezik sztringgyűjteményi jogcímben.
Az OnClaimsExistence, az OnItemExistenceInStringCollectionClaim vagy az OnItemAbsenceInStringCollectionClaim használatához a következő metaadatokat kell megadnia:
- ClaimTypeOnWhichToEnable: Megadja a kiértékelendő jogcím típusát.
- ClaimValueOnWhichToEnable: Az összehasonlítandó értéket adja meg.
A következő technikai profil csak akkor lesz végrehajtva, ha az identityProviders sztringgyűjtemény a következő facebook.com
értéket tartalmazza:
<TechnicalProfile Id="UnLink-Facebook-OAUTH">
<DisplayName>Unlink Facebook</DisplayName>
...
<Metadata>
<Item Key="ClaimTypeOnWhichToEnable">identityProviders</Item>
<Item Key="ClaimValueOnWhichToEnable">facebook.com</Item>
</Metadata>
...
<EnabledForUserJourneys>OnItemExistenceInStringCollectionClaim</EnabledForUserJourneys>
</TechnicalProfile>