Műszaki profilok

Cikk
01/11/2024

Feljegyzés

Az Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett helyzetek kezelésére szolgálnak. A legtöbb forgatókönyv esetében javasoljuk, hogy beépített felhasználói folyamatokat használjon. Ha még nem tette meg, ismerkedjen meg az egyéni szabályzatok kezdőcsomagjával az Egyéni szabályzatok használatának első lépései az Active Directory B2C-ben.

A technikai profilok egy beépített mechanizmust biztosítanak a különböző típusú felek közötti kommunikációhoz. A technikai profilok segítségével kommunikálhat az Azure Active Directory B2C (Azure AD B2C) bérlővel egy felhasználó létrehozásához vagy egy felhasználói profil olvasásához. A technikai profilok önaláírással is engedélyezhetők a felhasználóval való interakcióhoz. Egy technikai profil például összegyűjtheti a felhasználó hitelesítő adatait a bejelentkezéshez, majd megjelenítheti a regisztrációs oldalt vagy a jelszó-visszaállítási oldalt.

Műszaki profilok típusai

A műszaki profil az alábbi forgatókönyveket teszi lehetővé:

Application Insights: Eseményadatokat küld az Application Insightsnak.
Microsoft Entra ID: Támogatást nyújt az Azure AD B2C felhasználói felügyeletéhez.
Microsoft Entra többtényezős hitelesítés: Támogatja a telefonszámok Microsoft Entra többtényezős hitelesítéssel történő ellenőrzését.
Jogcímátalakítás: Meghívja a kimeneti jogcímátalakításokat a jogcímértékek módosításához, a jogcímek érvényesítéséhez vagy a kimeneti jogcímek alapértelmezett értékeinek beállításához.
Azonosító jogkivonat-tipp: Ellenőrzi a id_token_hint JWT-jogkivonat aláírását, a kiállító nevét és a jogkivonat célközönségét, és kinyeri a jogcímet a bejövő jogkivonatból.
JWT-tokenkibocsátó: Kibocsát egy JWT-jogkivonatot, amely visszakerül a függő entitás alkalmazásába.
OAuth1: Összevonás bármely OAuth 1.0 protokoll-identitásszolgáltatóval.
OAuth2: Összevonás bármely OAuth 2.0 protokoll-identitásszolgáltatóval.
Egyszeri jelszó: Támogatja az egyszeri jelszó létrehozásának és ellenőrzésének kezelését.
OpenID Connect: Összevonás bármely OpenID Connect protokoll identitásszolgáltatóval.
Telefonos tényező: Támogatja a telefonszámok regisztrálását és ellenőrzését.
RESTful szolgáltató: MEGHÍVJA a REST API-szolgáltatásokat, például a felhasználói bemenetek érvényesítését, a felhasználói adatok bővítését vagy az üzletági alkalmazásokkal való integrációt.
SAML-identitásszolgáltató: Összevonás bármely SAML protokoll-identitásszolgáltatóval.
SAML-tokenkibocsátó: Kibocsát egy SAML-jogkivonatot, amely visszakerül a függő entitás alkalmazásába.
Önérvényesített: Interakcióba lép a felhasználóval. Összegyűjti például a felhasználó hitelesítő adatait a bejelentkezéshez, a regisztrációs oldal megjelenítéséhez vagy a jelszó alaphelyzetbe állításához.
Munkamenet-kezelés: Különböző típusú munkameneteket kezel.

Műszaki profilfolyamat

A technikai profilok minden típusa ugyanazzal a fogalomtal rendelkezik. A bemeneti jogcímek olvasásával és jogcímátalakítások futtatásával kezdődnek. Ezután kommunikálnak a konfigurált féllel, például identitásszolgáltatóval, REST API-val vagy Microsoft Entra címtárszolgáltatással. A folyamat befejezése után a műszaki profil visszaadja a kimeneti jogcímeket, és futtathat kimeneti jogcím-átalakításokat. Az alábbi ábra a műszaki profilban hivatkozott átalakítások és leképezések feldolgozását mutatja be. A jogcímátalakítás végrehajtása után a kimeneti jogcímek azonnal a jogcímcsomagban lesznek tárolva, függetlenül attól, hogy a műszaki profil milyen féllel kommunikál.

Egyszeri bejelentkezés (SSO) munkamenet-kezelés: Visszaállítja a technikai profil munkamenet-állapotát az egyszeri bejelentkezés munkamenet-kezelésével.
Bemeneti jogcímek átalakítása: A műszaki profil elindítása előtt az Azure AD B2C bemeneti jogcímek átalakítását futtatja.
Bemeneti jogcímek: A jogcímek a műszaki profilhoz használt jogcímcsomagból lesznek átvéve.
Technikai profil végrehajtása: A műszaki profil kicseréli a jogcímeket a konfigurált féllel. Például:
- Átirányítja a felhasználót az identitásszolgáltatóhoz a bejelentkezés befejezéséhez. A sikeres bejelentkezés után a felhasználó visszatér, és a technikai profil végrehajtása folytatódik.
- Meghív egy REST API-t, miközben a paramétereket InputClaims-ként küldi el, és outputClaims-ként kéri vissza az információkat.
- Létrehozza vagy frissíti a felhasználói fiókot.
- Elküldi és ellenőrzi a többtényezős hitelesítés szöveges üzenetét.
Érvényesítési műszaki profilok: Az önaláírással rendelkező műszaki profilok érvényesítési technikai profilokat hívhatnak meg a felhasználó által profilozott adatok ellenőrzéséhez. Érvényesítési műszaki profilokat csak önérvényesítő műszaki profilok használhatnak.
Kimeneti jogcímek: A jogcímek visszakerülnek a jogcímcsomagba. Ezeket a jogcímeket a következő vezénylési lépésben vagy a kimeneti jogcímátalakításokban használhatja.
Kimeneti jogcímátalakítások: A műszaki profil befejezése után az Azure AD B2C kimeneti jogcímátalakításokat futtat.
Egyszeri bejelentkezéses munkamenet-kezelés: A technikai profil adatait megőrzi a munkamenetben az egyszeri bejelentkezés munkamenet-kezelésével.

A TechnicalProfiles elem a jogcímszolgáltató által támogatott technikai profilokat tartalmaz. Minden jogcímszolgáltatónak rendelkeznie kell legalább egy műszaki profillal. A műszaki profil határozza meg a jogcímszolgáltatóval való kommunikációhoz szükséges végpontokat és protokollokat. A jogcímszolgáltató több műszaki profillal is rendelkezhet.

<ClaimsProvider>
  <DisplayName>Display name</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="Technical profile identifier">
      <DisplayName>Display name of technical profile</DisplayName>
      <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.RestfulProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
      <Metadata>
        ...
      </Metadata>
      ...
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

A TechnicalProfile elem a következő attribútumot tartalmazza:

Attribútum	Kötelező	Leírás
Azonosító	Igen	A műszaki profil egyedi azonosítója. A technikai profil erre az azonosítóra hivatkozhat a szabályzatfájl más elemeiből. Ilyenek például az OrchestrationSteps és az ValidationTechnicalProfile.

A TechnicalProfile elem a következő elemeket tartalmazza:

Elem	Események	Leírás
Tartomány	0:1	A műszaki profil tartományneve. Ha például a technikai profil megadja a Facebook-identitásszolgáltatót, a tartománynév Facebook.com.
Megjelenített név	1:1	A technikai profil megjelenítendő neve.
Leírás	0:1	A műszaki profil leírása.
Protokoll	1:1	A másik féllel való kommunikációhoz használt protokoll.
Metaadatok	0:1	Kulcsok és értékek készlete, amelyek a technikai profil viselkedését vezérli.
InputTokenFormat	0:1	A bemeneti jogkivonat formátuma. A lehetséges értékek a következők`JSON`: , `JWTSAML11`vagy `SAML2`. Az `JWT` érték egy JSON-webjogkivonatot jelöl az IETF-specifikáció szerint. Az `SAML11` érték egy SAML 1.1 biztonsági jogkivonatot jelöl az OASIS specifikációja szerint. Az `SAML2` érték egy SAML 2.0 biztonsági jogkivonatot jelöl az OASIS specifikációja szerint.
OutputTokenFormat	0:1	A kimeneti jogkivonat formátuma. A lehetséges értékek a következők`JSON`: , `JWTSAML11`vagy `SAML2`.
Titkosítási kulcsok	0:1	A műszaki profilban használt titkosítási kulcsok listája.
InputClaimsTransformations	0:1	A jogcímátalakításokra vonatkozó, korábban definiált hivatkozások listája, amelyeket a jogcímek szolgáltatójának vagy a függő entitásnak való elküldése előtt végre kell hajtani.
InputClaims	0:1	A műszaki profilban bemenetként használt jogcímtípusokra mutató, korábban definiált hivatkozások listája.
PersistedClaims	0:1	A műszaki profil által megmaradó jogcímtípusokra vonatkozó, korábban definiált hivatkozások listája.
DisplayClaims	0:1	Az önaláírt műszaki profil által bemutatott jogcímtípusokra mutató, korábban definiált hivatkozások listája. A DisplayClaims szolgáltatás jelenleg előzetes verzióban érhető el.
OutputClaims	0:1	A műszaki profilban kimenetként vett jogcímtípusokra mutató, korábban definiált hivatkozások listája.
OutputClaimsTransformations	0:1	A jogcímátalakításokra vonatkozó, korábban definiált hivatkozások listája, amelyeket a jogcímszolgáltatótól való beérkezés után végre kell hajtani.
ValidationTechnicalProfiles	0:n	A műszaki profil által érvényesítési célokra használt egyéb műszaki profilokra mutató hivatkozások listája. További információ: Érvényesítési műszaki profil.
SubjectNamingInfo	0:1	Szabályozza a tulajdonosnév előállítását olyan jogkivonatokban, ahol a tulajdonos neve a jogcímektől külön van megadva. Ilyenek például az OAuth vagy az SAML.
IncludeInSso	0:1	Azt, hogy a technikai profil használata SSO-viselkedést alkalmaz-e a munkamenetre, vagy inkább explicit interakciót igényel. Ez az elem csak az érvényesítési műszaki profilban használt SelfAsserted profilokban érvényes. A lehetséges értékek ( `true` alapértelmezett) vagy `false`.
IncludeClaimsFromTechnicalProfile	0:1	Egy technikai profil azonosítója, amelyből az összes bemeneti és kimeneti jogcímet hozzá szeretné adni ehhez a műszaki profilhoz. A hivatkozott műszaki profilt ugyanabban a szabályzatfájlban kell meghatározni.
IncludeTechnicalProfile	0:1	Annak a műszaki profilnak az azonosítója, amelyből az összes adatot hozzá szeretné adni ehhez a technikai profilhoz.
UseTechnicalProfileForSessionManagement	0:1	A munkamenet-kezeléshez használandó másik technikai profil.
EnabledForUserJourneys	0:1	Azt szabályozza, hogy a technikai profil végrehajtása egy felhasználói folyamat során történik-e.

Protokoll

A Protokoll elem meghatározza a másik féllel való kommunikációhoz használandó protokollt. A Protokoll elem a következő attribútumokat tartalmazza:

Attribútum	Kötelező	Leírás
Név	Igen	Az Azure AD B2C által támogatott érvényes protokoll neve, amelyet a műszaki profil részeként használnak. A lehetséges értékek a következők`OAuth1`: , `OAuth2SAML2`, `OpenIdConnect`, `Proprietary`vagy `None`.
Kezelő	Nem	Ha a protokoll neve be van állítva `Proprietary`, megadja annak a szerelvénynek a nevét, amelyet az Azure AD B2C használ a protokollkezelő meghatározásához. Ha a protokollnév attribútumot úgy állítja be, hogy `None`ne tartalmazza a Handler attribútumot.

Metaadatok

A Metaadatok elem egy adott protokoll megfelelő konfigurációs beállításait tartalmazza. A támogatott metaadatok listája a megfelelő műszaki profil specifikációjában van dokumentálva. A Metaadatok elem a következő elemet tartalmazza:

Elem	Események	Leírás
Cikk	0:n	A műszaki profilhoz kapcsolódó metaadatok. Minden technikai profil más metaadat-elemkészlettel rendelkezik. További információkért tekintse meg a műszaki profiltípusok szakaszt.

Elem

A Metaadat elem Elem eleme a következő attribútumot tartalmazza:

Attribútum	Kötelező	Leírás
Kulcs	Igen	A metaadatkulcs. A metaadat-elemek listájához tekintse meg az egyes műszaki profiltípusokat .

Az alábbi példa az OAuth2 műszaki profilhoz kapcsolódó metaadatok használatát mutatja be.

<TechnicalProfile Id="Facebook-OAUTH">
  ...
  <Metadata>
    <Item Key="ProviderName">facebook</Item>
    <Item Key="authorization_endpoint">https://www.facebook.com/dialog/oauth</Item>
    <Item Key="AccessTokenEndpoint">https://graph.facebook.com/oauth/access_token</Item>
    <Item Key="HttpBinding">GET</Item>
    <Item Key="UsePolicyInRedirectUri">0</Item>
    ...
  </Metadata>
  ...
</TechnicalProfile>

Az alábbi példa a REST API technikai profiljához kapcsolódó metaadatok használatát mutatja be.

<TechnicalProfile Id="REST-Validate-Email">
  ...
  <Metadata>
    <Item Key="ServiceUrl">https://api.sendgrid.com/v3/mail/send</Item>
    <Item Key="AuthenticationType">Bearer</Item>
    <Item Key="SendClaimsIn">Body</Item>
    ...
  </Metadata>
  ...
</TechnicalProfile>

Titkosítási kulcsok

Az Azure AD B2C szabályzatkulcsok formájában tárolja a titkos kulcsokat és a tanúsítványokat, hogy megbízhatóságot alakítson ki azokkal a szolgáltatásokkal, amellyel integrálva van. A technikai profil végrehajtása során az Azure AD B2C lekéri a titkosítási kulcsokat az Azure AD B2C szabályzatkulcsaiból. Ezután az Azure AD B2C a kulcsokkal hozza létre a megbízhatóságot, titkosít vagy aláír egy jogkivonatot. Ezek a megbízhatósági kapcsolatok a következőkből állnak:

Összevonás OAuth1, OAuth2 és SAML identitásszolgáltatókkal.
A REST API-szolgáltatásokkal való kapcsolat biztonságossá tétele.
A JWT- és SAML-jogkivonatok aláírása és titkosítása.

A CryptographicKeys elem a következő elemet tartalmazza:

Elem	Események	Leírás
Kulcs	1:n	A technikai profilban használt titkosítási kulcs.

Kulcs

A kulcselem a következő attribútumot tartalmazza:

Attribútum	Kötelező	Leírás
Azonosító	Nem	Egy adott kulcspár egyedi azonosítója, amely a szabályzatfájl más elemeiből származik.
StorageReferenceId	Igen	A szabályzatfájl más elemeiből hivatkozott tároló azonosítója.

Bemeneti jogcímek átalakítása

Az InputClaimsTransformations elem olyan bemeneti jogcím-átalakítási elemek gyűjteményét tartalmazhatja, amelyek a bemeneti jogcímek módosítására vagy újak létrehozására szolgálnak.

A jogcímátalakítás gyűjteményében egy korábbi jogcímátalakítás kimeneti jogcímei lehetnek egy későbbi bemeneti jogcím-átalakítás bemeneti jogcímei. Ily módon jogcímátalakítások sorozata is lehet, amelyek egymástól függenek.

Az InputClaimsTransformations elem a következő elemet tartalmazza:

Elem	Események	Leírás
InputClaimsTransformation	1:n	A jogcímátalakítás azonosítója, amelyet a jogcímek szolgáltatójának vagy a függő entitásnak való elküldése előtt végre kell hajtani. A jogcímek átalakításával módosíthatja a meglévő ClaimsSchema-jogcímeket, vagy újakat hozhat létre.

InputClaimsTransformation

Az InputClaimsTransformation elem a következő attribútumot tartalmazza:

Attribútum	Kötelező	Leírás
Referenciaazonosító	Igen	A házirendfájlban vagy a szülőházirend-fájlban már definiált jogcímátalakítás azonosítója.

Az alábbi technikai profilok a CreateOtherMailsFromEmail jogcímátalakításra hivatkoznak. A jogcímátalakítás hozzáadja email a jogcím értékét a gyűjteményhez, otherMails mielőtt megőrzi az adatokat a címtárban.

<TechnicalProfile Id="AAD-UserWriteUsingAlternativeSecurityId">
  ...
  <InputClaimsTransformations>
    <InputClaimsTransformation ReferenceId="CreateOtherMailsFromEmail" />
  </InputClaimsTransformations>
  <PersistedClaims>
    <PersistedClaim ClaimTypeReferenceId="alternativeSecurityId" />
    <PersistedClaim ClaimTypeReferenceId="userPrincipalName" />
    <PersistedClaim ClaimTypeReferenceId="mailNickName" DefaultValue="unknown" />
    <PersistedClaim ClaimTypeReferenceId="displayName" DefaultValue="unknown" />
    <PersistedClaim ClaimTypeReferenceId="otherMails" />
    <PersistedClaim ClaimTypeReferenceId="givenName" />
    <PersistedClaim ClaimTypeReferenceId="surname" />
  </PersistedClaims>
  ...
</TechnicalProfile>

Bemeneti jogcímek

Az InputClaims elem a műszaki profilhoz használt jogcímcsomagból veszi fel a jogcímeket. Egy önaláírt műszaki profil például a bemeneti jogcímekkel előre feltölti a felhasználó által biztosított kimeneti jogcímeket. A REST API technikai profilja a bemeneti jogcímekkel küld bemeneti paramétereket a REST API-végpontnak. Az Azure AD B2C egy bemeneti jogcímet használ egyedi azonosítóként egy fiók olvasásához, frissítéséhez vagy törléséhez.

Az InputClaims elem a következő elemet tartalmazza:

Elem	Események	Leírás
InputClaim	1:n	Egy várt bemeneti jogcímtípus.

InputClaim

Az InputClaim elem a következő attribútumokat tartalmazza:

Attribútum	Kötelező	Leírás
ClaimTypeReferenceId	Igen	A jogcímtípus azonosítója. A jogcím már definiálva van a házirendfájl vagy a szülőházirend-fájl jogcímséma szakaszában.
DefaultValue	Nem	A jogcím létrehozásához használt alapértelmezett érték, ha a ClaimTypeReferenceId által jelzett jogcím nem létezik, így az eredményként kapott jogcímet a műszaki profil InputClaim elemként használhatja.
AlwaysUseDefaultValue	Igen	Kényszeríti az alapértelmezett érték használatát.
PartnerClaimType	Nem	Annak a külső partnernek a jogcímtípusának azonosítója, amellyel a megadott szabályzat jogcímtípus megfelel. Ha a PartnerClaimType attribútum nincs megadva, a megadott házirend-jogcímtípus az azonos nevű partnerjogcímtípushoz lesz megfeleltetve. Ezt a tulajdonságot akkor használja, ha a jogcímtípus neve eltér a másik féltől. Ilyen például, ha az első jogcím neve givenName, míg a partner egy first_name nevű jogcímet használ.

Jogcímek megjelenítése

A DisplayClaims elem a képernyőn megjelenítendő jogcímek listáját tartalmazza, amelyek adatokat gyűjtenek a felhasználótól. A megjelenítési jogcímek gyűjteményében hivatkozhat egy jogcímtípusra vagy egy létrehozott megjelenítési vezérlőre .

A jogcímtípus a képernyőn megjelenítendő jogcímre mutató hivatkozás.
- Ha arra szeretné kényszeríteni a felhasználót, hogy adjon meg egy értéket egy adott jogcímhez, állítsa a DisplayClaim elem Kötelező attribútumát a következőretrue: .
- A megjelenítési jogcímek értékeinek előzetes feltöltéséhez használja a korábban ismertetett bemeneti jogcímeket. Az elem egy alapértelmezett értéket is tartalmazhat.
- A DisplayClaims gyűjtemény ClaimType elemének a UserInputType elemet az Azure AD B2C által támogatott felhasználói beviteli típusra kell beállítania. Ilyenek például a TextBox következők: vagy DropdownSingleSelect.
A megjelenítési vezérlő egy speciális funkciókkal rendelkező felhasználói felületi elem, amely az Azure AD B2C háttérszolgáltatással működik együtt. Lehetővé teszi, hogy a felhasználó műveleteket hajt végre azon a lapon, amely egy érvényesítési műszaki profilt hív meg a háttérrendszerben. Ilyen például egy e-mail-cím, telefonszám vagy ügyfélhűség-szám ellenőrzése.

A DisplayClaims elemeinek sorrendje határozza meg, hogy az Azure AD B2C milyen sorrendben jeleníti meg a jogcímeket a képernyőn.

A DisplayClaims elem a következő elemet tartalmazza:

Elem	Események	Leírás
DisplayClaim	1:n	Egy várt bemeneti jogcímtípus.

DisplayClaim

A DisplayClaim elem a következő attribútumokat tartalmazza:

Attribútum	Kötelező	Leírás
ClaimTypeReferenceId	Nem	Egy jogcímtípus azonosítója, amely már definiálva van a szabályzatfájl Vagy a szülőházirend-fájl Jogcímekséma szakaszában.
DisplayControlReferenceId	Nem	A szabályzatfájl vagy a szülőházirendfájl ClaimsSchema szakaszában már definiált megjelenítési vezérlő azonosítója.
Szükséges	Nem	Jelzi, hogy szükség van-e megjelenítési jogcímre.

Az alábbi példa a megjelenítési jogcímek és megjelenítési vezérlők használatát mutatja be egy önérvényesített műszaki profilban.

Képernyőkép egy önaláírással rendelkező műszaki profilról megjelenítési jogcímekkel.

A következő műszaki profilban:

Az első megjelenítési jogcím hivatkozik a megjelenítési emailVerificationControl vezérlőre, amely összegyűjti és ellenőrzi az e-mail-címet.
Az ötödik megjelenítési jogcím hivatkozik a megjelenítési phoneVerificationControl vezérlőre, amely összegyűjti és ellenőrzi a telefonszámot.
A többi megjelenítési jogcím a felhasználótól begyűjtendő ClaimType-elemek.

<TechnicalProfile Id="Id">
  <DisplayClaims>
    <DisplayClaim DisplayControlReferenceId="emailVerificationControl" />
    <DisplayClaim ClaimTypeReferenceId="displayName" Required="true" />
    <DisplayClaim ClaimTypeReferenceId="givenName" Required="true" />
    <DisplayClaim ClaimTypeReferenceId="surName" Required="true" />
    <DisplayClaim DisplayControlReferenceId="phoneVerificationControl" />
    <DisplayClaim ClaimTypeReferenceId="newPassword" Required="true" />
    <DisplayClaim ClaimTypeReferenceId="reenterPassword" Required="true" />
  </DisplayClaims>
</TechnicalProfile>

Megőrzött jogcímek

A PersistedClaims elem tartalmazza azokat az értékeket, amelyeket egy Microsoft Entra ID technikai profilnak meg kell őriznie a szabályzat Jogcímekkéma szakaszában már definiált jogcímtípus és a Microsoft Entra attribútumnév közötti lehetséges leképezési információkkal.

A jogcím neve a Microsoft Entra attribútum neve, kivéve, ha meg van adva a PartnerClaimType attribútum, amely tartalmazza a Microsoft Entra attribútum nevét.

A PersistedClaims elem a következő elemet tartalmazza:

Elem	Események	Leírás
PersistedClaim	1:n	A megőrzendő jogcímtípus.

PersistedClaim

A PersistedClaim elem a következő attribútumokat tartalmazza:

Attribútum	Kötelező	Leírás
ClaimTypeReferenceId	Igen	Egy jogcímtípus azonosítója, amely már definiálva van a szabályzatfájl Vagy a szülőházirend-fájl Jogcímekséma szakaszában.
DefaultValue	Nem	A jogcím létrehozásához használt alapértelmezett érték, ha a jogcím nem létezik.
PartnerClaimType	Nem	Annak a külső partnernek a jogcímtípusának azonosítója, amellyel a megadott szabályzat jogcímtípus megfelel. Ha a PartnerClaimType attribútum nincs megadva, a megadott házirend-jogcímtípus az azonos nevű partnerjogcímtípushoz lesz megfeleltetve. Ezt a tulajdonságot akkor használja, ha a jogcímtípus neve eltér a másik féltől. Ilyen például, ha az első jogcím neve givenName, míg a partner egy first_name nevű jogcímet használ.

Az alábbi példában az AAD-UserWriteUsingLogonEmail technikai profil vagy az új helyi fiókot létrehozó kezdőcsomag megőrzi a következő jogcímeket:

<PersistedClaims>
  <PersistedClaim ClaimTypeReferenceId="email" PartnerClaimType="signInNames.emailAddress" />
  <PersistedClaim ClaimTypeReferenceId="newPassword" PartnerClaimType="password"/>
  <PersistedClaim ClaimTypeReferenceId="displayName" DefaultValue="unknown" />
  <PersistedClaim ClaimTypeReferenceId="passwordPolicies" DefaultValue="DisablePasswordExpiration" />
  <PersistedClaim ClaimTypeReferenceId="givenName" />
  <PersistedClaim ClaimTypeReferenceId="surname" />
</PersistedClaims>

Kimeneti jogcímek

Az OutputClaims elem olyan jogcímek gyűjteménye, amelyek a műszaki profil befejezése után visszakerülnek a jogcímcsomagba. Ezeket a jogcímeket a következő vezénylési lépésben vagy a kimeneti jogcímátalakításokban használhatja. Az OutputClaims elem a következő elemet tartalmazza:

Elem	Események	Leírás
OutputClaim	1:n	Várt kimeneti jogcímtípus.

OutputClaim

Az OutputClaim elem a következő attribútumokat tartalmazza:

Attribútum	Kötelező	Leírás
ClaimTypeReferenceId	Igen	Egy jogcímtípus azonosítója, amely már definiálva van a szabályzatfájl Vagy a szülőházirend-fájl Jogcímekséma szakaszában.
DefaultValue	Nem	A jogcím létrehozásához használt alapértelmezett érték, ha a jogcím nem létezik.
AlwaysUseDefaultValue	Nem	Kényszeríti az alapértelmezett érték használatát.
PartnerClaimType	Nem	Annak a külső partnernek a jogcímtípusának azonosítója, amellyel a megadott szabályzat jogcímtípus megfelel. Ha a partner jogcímtípus attribútum nincs megadva, a megadott házirend-jogcímtípus az azonos nevű partnerjogcímtípushoz van megfeleltetve. Ezt a tulajdonságot akkor használja, ha a jogcímtípus neve eltér a másik féltől. Ilyen például, ha az első jogcím neve givenName, míg a partner egy first_name nevű jogcímet használ.

Kimeneti jogcímek átalakítása

Az OutputClaimsTransformations elem az OutputClaimsTransformation elemek gyűjteményét is tartalmazhatja. A kimeneti jogcímek átalakításával módosíthatja a kimeneti jogcímeket, vagy újakat hozhat létre. A végrehajtás után a kimeneti jogcímek vissza lesznek helyezve a jogcímcsomagba. Ezeket a jogcímeket a következő vezénylési lépésben használhatja.

Az OutputClaimsTransformations elem a következő elemet tartalmazza:

Elem	Események	Leírás
OutputClaimsTransformation	1:n	A jogcímátalakítások azonosítói, amelyeket a jogcímek szolgáltatójának vagy a függő entitásnak való elküldése előtt végre kell hajtani. A jogcímek átalakításával módosíthatja a meglévő ClaimsSchema-jogcímeket, vagy újakat hozhat létre.

OutputClaimsTransformation

Az OutputClaimsTransformation elem a következő attribútumot tartalmazza:

Attribútum	Kötelező	Leírás
Referenciaazonosító	Igen	A házirendfájlban vagy a szülőházirend-fájlban már definiált jogcímátalakítás azonosítója.

Az alábbi technikai profil az AssertAccountEnabledIsTrue jogcímátalakításra hivatkozik annak kiértékeléséhez, hogy a fiók engedélyezve van-e, vagy sem, miután elolvasta a accountEnabled jogcímet a címtárból.

<TechnicalProfile Id="AAD-UserReadUsingEmailAddress">
  ...
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="objectId" />
    <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="localAccountAuthentication" />
    <OutputClaim ClaimTypeReferenceId="userPrincipalName" />
    <OutputClaim ClaimTypeReferenceId="displayName" />
    <OutputClaim ClaimTypeReferenceId="accountEnabled" />
    <OutputClaim ClaimTypeReferenceId="otherMails" />
    <OutputClaim ClaimTypeReferenceId="signInNames.emailAddress" />
  </OutputClaims>
  <OutputClaimsTransformations>
    <OutputClaimsTransformation ReferenceId="AssertAccountEnabledIsTrue" />
  </OutputClaimsTransformations>
  ...
</TechnicalProfile>

Érvényesítési műszaki profilok

A rendszer érvényesítési műszaki profilt használ a kimeneti jogcímek önérvényesítő műszaki profilban való érvényesítéséhez. Az érvényesítési műszaki profil bármely protokoll szokásos technikai profilja, például a Microsoft Entra ID vagy a REST API. Az érvényesítési műszaki profil kimeneti jogcímeket ad vissza, vagy hibakódot ad vissza. A hibaüzenet a képernyőn jelenik meg a felhasználó számára, így a felhasználó újra próbálkozhat.

Az alábbi ábra bemutatja, hogy az Azure AD B2C hogyan használ érvényesítési műszaki profilt a felhasználói hitelesítő adatok ellenőrzéséhez.

Az ValidationTechnicalProfiles elem a következő elemet tartalmazza:

Elem	Események	Leírás
ValidationTechnicalProfile	1:n	A használt technikai profilok azonosítói ellenőrzik a hivatkozó műszaki profil kimeneti jogcímeinek egy részét vagy egészét. A hivatkozott műszaki profil összes bemeneti jogcímének szerepelnie kell a hivatkozó műszaki profil kimeneti jogcímeiben.

ValidationTechnicalProfile

Az ValidationTechnicalProfile elem a következő attribútumot tartalmazza:

Attribútum	Kötelező	Leírás
Referenciaazonosító	Igen	A szabályzatfájlban vagy a szülőházirend-fájlban már definiált technikai profil azonosítója.

SubjectNamingInfo

A SubjectNamingInfo elem határozza meg a függő entitás házirendjének jogkivonataiban használt tulajdonosnevet. A SubjectNamingInfo elem a következő attribútumot tartalmazza:

Attribútum	Kötelező	Leírás
Jogcímtípus	Igen	Egy jogcímtípus azonosítója, amely már definiálva van a szabályzatfájl ClaimsSchema szakaszában.

Műszaki profil belefoglalása

A műszaki profil tartalmazhat egy másik technikai profilt a beállítások módosításához vagy új funkciók hozzáadásához. Az IncludeTechnicalProfile elem arra a közös műszaki profilra mutató hivatkozás, amelyből a műszaki profil származik. A redundancia és a szabályzatelemek összetettségének csökkentése érdekében használja a belefoglalást, ha több olyan technikai profillal rendelkezik, amelyek megosztják az alapvető elemeket. Használjon közös műszaki profilt a közös konfigurációs készlettel, valamint a közös műszaki profilt tartalmazó konkrét feladat-technikai profilokkal együtt.

Tegyük fel, hogy rendelkezik egy REST API technikai profillal egyetlen végponttal, ahol különböző jogcímkészleteket kell küldenie különböző forgatókönyvekhez. Hozzon létre egy közös technikai profilt a megosztott funkciókkal, például a REST API-végpont URI-jával, metaadataival, hitelesítési típusával és titkosítási kulcsaival. Hozzon létre konkrét feladat-technikai profilokat, amelyek tartalmazzák a közös műszaki profilt. Ezután adja hozzá a bemeneti és kimeneti jogcímeket, vagy írja felül az adott műszaki profilhoz kapcsolódó REST API-végpont URI-t.

Az IncludeTechnicalProfile elem a következő attribútumot tartalmazza:

Attribútum	Kötelező	Leírás
Referenciaazonosító	Igen	A szabályzatfájlban vagy a szülőházirend-fájlban már definiált technikai profil azonosítója.

Az alábbi példa a felvétel használatát szemlélteti:

REST-API-Common: Gyakori műszaki profil az alapkonfigurációval.
REST-ValidateProfile: Tartalmazza a REST-API-Common műszaki profilt, és meghatározza a bemeneti és kimeneti jogcímeket.
REST-UpdateProfile: Tartalmazza a REST-API-Common műszaki profilt, megadja a bemeneti jogcímeket, és felülírja a ServiceUrl metaadatokat.

<ClaimsProvider>
  <DisplayName>REST APIs</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="REST-API-Common">
      <DisplayName>Base REST API configuration</DisplayName>
      <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.RestfulProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
      <Metadata>
        <Item Key="ServiceUrl">https://your-app-name.azurewebsites.NET/api/identity</Item>
        <Item Key="AuthenticationType">Basic</Item>
        <Item Key="SendClaimsIn">Body</Item>
      </Metadata>
      <CryptographicKeys>
        <Key Id="BasicAuthenticationUsername" StorageReferenceId="B2C_1A_B2cRestClientId" />
        <Key Id="BasicAuthenticationPassword" StorageReferenceId="B2C_1A_B2cRestClientSecret" />
      </CryptographicKeys>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-Noop" />
    </TechnicalProfile>

    <TechnicalProfile Id="REST-ValidateProfile">
      <DisplayName>Validate the account and return promo code</DisplayName>
      <InputClaims>
        <InputClaim ClaimTypeReferenceId="objectId" />
        <InputClaim ClaimTypeReferenceId="email" />
        <InputClaim ClaimTypeReferenceId="userLanguage" PartnerClaimType="lang" DefaultValue="{Culture:LCID}" AlwaysUseDefaultValue="true" />
      </InputClaims>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="promoCode" />
      </OutputClaims>
      <IncludeTechnicalProfile ReferenceId="REST-API-Common" />
    </TechnicalProfile>

    <TechnicalProfile Id="REST-UpdateProfile">
      <DisplayName>Update the user profile</DisplayName>  
      <Metadata>
        <Item Key="ServiceUrl">https://your-app-name.azurewebsites.NET/api/identity/update</Item>
      </Metadata>
      <InputClaims>
        <InputClaim ClaimTypeReferenceId="objectId" />
        <InputClaim ClaimTypeReferenceId="email" />
      </InputClaims>
      <IncludeTechnicalProfile ReferenceId="REST-API-Common" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

Többszintű integráció

A műszaki profilok egyetlen műszaki profilt is tartalmazhatnak. A befogadási szintek száma nincs korlátozva. Az AAD-UserReadUsingAlternativeSecurityId-NoError technikai profil például tartalmazza az AAD-UserReadUsingAlternativeSecurityId azonosítót. Ez a technikai profil beállítja a RaiseErrorIfClaimsPrincipalDoesNotExist metaadat-elemet true , és hibát jelez, ha egy közösségi fiók nem létezik a címtárban. Az AAD-UserReadUsingAlternativeSecurityId-NoError felülírja ezt a viselkedést, és letiltja a hibaüzenetet.

<TechnicalProfile Id="AAD-UserReadUsingAlternativeSecurityId-NoError">
  <Metadata>
    <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">false</Item>
  </Metadata>
  <IncludeTechnicalProfile ReferenceId="AAD-UserReadUsingAlternativeSecurityId" />
</TechnicalProfile>

Az AAD-UserReadUsingAlternativeSecurityId tartalmazza a technikai profilt AAD-Common .

<TechnicalProfile Id="AAD-UserReadUsingAlternativeSecurityId">
  <Metadata>
    <Item Key="Operation">Read</Item>
    <Item Key="RaiseErrorIfClaimsPrincipalDoesNotExist">true</Item>
    <Item Key="UserMessageIfClaimsPrincipalDoesNotExist">User does not exist. Please sign up before you can sign in.</Item>
  </Metadata>
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="AlternativeSecurityId" PartnerClaimType="alternativeSecurityId" Required="true" />
  </InputClaims>
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="objectId" />
    <OutputClaim ClaimTypeReferenceId="userPrincipalName" />
    <OutputClaim ClaimTypeReferenceId="displayName" />
    <OutputClaim ClaimTypeReferenceId="otherMails" />
    <OutputClaim ClaimTypeReferenceId="givenName" />
    <OutputClaim ClaimTypeReferenceId="surname" />
  </OutputClaims>
  <IncludeTechnicalProfile ReferenceId="AAD-Common" />
</TechnicalProfile>

Az AAD-UserReadUsingAlternativeSecurityId-NoError és az AAD-UserReadUsingAlternativeSecurityId sem adja meg a szükséges protokollelemet , mert az az AAD-Common műszaki profilban van megadva.

<TechnicalProfile Id="AAD-Common">
  <DisplayName>Azure Active Directory</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AzureActiveDirectoryProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
  ...
</TechnicalProfile>

Technikai profil használata munkamenet-kezeléshez

A UseTechnicalProfileForSessionManagement elem az SSO-munkamenet technikai profiljára hivatkozik. A UseTechnicalProfileForSessionManagement elem a következő attribútumot tartalmazza:

Attribútum	Kötelező	Leírás
Referenciaazonosító	Igen	A szabályzatfájlban vagy a szülőházirend-fájlban már definiált technikai profil azonosítója.

Engedélyezve a felhasználói folyamatokhoz

A felhasználói folyamat JogcímekProviderSelections szolgáltatása határozza meg a jogcímszolgáltató kiválasztási lehetőségeit és sorrendjét. Az EnabledForUserJourneys elem segítségével szűrheti, hogy melyik jogcímszolgáltató érhető el a felhasználó számára. Az EnabledForUserJourneys elem a következő értékek egyikét tartalmazza:

Mindig: Végrehajtja a műszaki profilt.
Soha: Kihagyja a technikai profilt.
OnClaimsExistence: Csak akkor hajtja végre, ha a műszaki profilban megadott bizonyos jogcím létezik.
OnItemExistenceInStringCollectionClaim: Csak akkor hajtja végre, ha egy elem létezik egy sztringgyűjteményi jogcímben.
OnItemAbsenceInStringCollectionClaim: Csak akkor hajtja végre, ha egy elem nem létezik sztringgyűjteményi jogcímben.

Az OnClaimsExistence, az OnItemExistenceInStringCollectionClaim vagy az OnItemAbsenceInStringCollectionClaim használatához a következő metaadatokat kell megadnia:

ClaimTypeOnWhichToEnable: Megadja a kiértékelendő jogcím típusát.
ClaimValueOnWhichToEnable: Az összehasonlítandó értéket adja meg.

A következő technikai profil csak akkor lesz végrehajtva, ha az identityProviders sztringgyűjtemény a következő facebook.comértéket tartalmazza:

<TechnicalProfile Id="UnLink-Facebook-OAUTH">
  <DisplayName>Unlink Facebook</DisplayName>
...
    <Metadata>
      <Item Key="ClaimTypeOnWhichToEnable">identityProviders</Item>
      <Item Key="ClaimValueOnWhichToEnable">facebook.com</Item>
    </Metadata>
...
  <EnabledForUserJourneys>OnItemExistenceInStringCollectionClaim</EnabledForUserJourneys>
</TechnicalProfile>

Megosztás a következőn keresztül: