Configureer groepsclaims voor toepassingen met behulp van Azure Active Directory - Microsoft Entra (2023)

Azure Active Directory (Azure AD) kan informatie over het groepslidmaatschap van een gebruiker verstrekken in tokens voor gebruik binnen toepassingen. Deze functie ondersteunt drie hoofdpatronen:

• Groepen geïdentificeerd door hun Azure AD-object-ID-kenmerk (OID).
• Groepen geïdentificeerd door desAMAccountnaamofGroepsIDkenmerk voor met Active Directory gesynchroniseerde groepen en gebruikers
• Groepen geïdentificeerd aan de hand van hun weergavenaamkenmerk voor groepen die alleen in de cloud zijn

Belangrijke kanttekeningen bij deze functionaliteit

• Ondersteuning voor gebruik vansAMAccountnaamen security identifier (SID) attributen gesynchroniseerd vanuit on-premises is ontworpen om het verplaatsen van bestaande applicaties van Active Directory Federation Services (AD FS) en andere identiteitsproviders mogelijk te maken. Groepen die worden beheerd in azure AD bevatten niet de kenmerken die nodig zijn om deze claims uit te zenden.

• Om de limiet voor het aantal groepen te vermijden als uw gebruikers een groot aantal groepslidmaatschappen hebben, kunt u de groepen die in claims worden verzonden, beperken tot de relevante groepen voor de toepassing. Lees meer over het uitzenden van groepen die aan de applicatie zijn toegewezen voorJWT-tokensEnSAML-tokens. Als het toewijzen van groepen aan uw applicaties niet mogelijk is, kunt u ook eengroepsfilterom het aantal groepen dat in de claim wordt uitgezonden te verminderen. Groepsfiltering is van toepassing op tokens die worden verzonden voor apps waarvoor groepsclaims en filtering zijn geconfigureerd in deEnterprise-appsmes in het portaal.

• Groeps claims hebben een limiet van vijf groepen als het token wordt uitgegeven via de impliciete stroom. Tokens die via de impliciete stroom worden aangevraagd, hebben een"heeft groepen": waarclaim alleen als de gebruiker in meer dan vijf groepen zit.

• We raden aan om in-app-autorisatie te baseren op applicatierollen in plaats van op groepen wanneer:

  • U ontwikkelt een nieuwe applicatie, of er kan een bestaande applicatie voor worden geconfigureerd.
  • Ondersteuning voor geneste groepen is niet vereist.

  Het gebruik van applicatierollen beperkt de hoeveelheid informatie die in het token moet worden ingevoerd, is veiliger en scheidt gebruikerstoewijzing van app-configuratie.

Groepsclaims voor toepassingen die migreren vanuit AD FS en andere identiteitsproviders

Veel toepassingen die zijn geconfigureerd om te worden geverifieerd met AD FS, zijn afhankelijk van groepslidmaatschapsgegevens in de vorm van Windows Server Active Directory-groepskenmerken. Deze attributen zijn de groepsAMAccountnaam, die kan worden gekwalificeerd door de domeinnaam of de beveiligings-ID van de Windows-groep (GroepsID). Wanneer de toepassing is gefedereerd met AD FS, gebruikt AD FS deTokengroepenfunctie om de groepslidmaatschappen voor de gebruiker op te halen.

Een app die is verplaatst van AD FS heeft claims in dezelfde indeling nodig. Groeps- en rolclaims die worden verzonden vanuit Azure AD, kunnen de domeingekwalificeerde bevattensAMAccountnaamattribuut of deGroepsIDkenmerk gesynchroniseerd vanuit Active Directory, in plaats van de Azure AD van de groepobjectIDattribuut.

De ondersteunde indelingen voor groepsclaims zijn:

• ObjectId van de Azure AD-groep: Beschikbaar voor alle groepen.
• sAMAccountnaam: beschikbaar voor groepen die zijn gesynchroniseerd vanuit Active Directory.
• NetbiosDomain\sAMAccountName: beschikbaar voor groepen die zijn gesynchroniseerd vanuit Active Directory.
• DNSDomainName\sAMAccountName: beschikbaar voor groepen die zijn gesynchroniseerd vanuit Active Directory.
• On-premises groeps beveiligings-ID: beschikbaar voor groepen die zijn gesynchroniseerd vanuit Active Directory.

Opties voor toepassingen om groepsinformatie te gebruiken

Toepassingen kunnen het eindpunt van de Microsoft Graph-groep aanroepen om groepsinformatie voor de geverifieerde gebruiker te verkrijgen. Deze oproep zorgt ervoor dat alle groepen waar een gebruiker lid van is, beschikbaar zijn, zelfs als het om een ​​groot aantal groepen gaat. Groepsopsomming is dan onafhankelijk van beperkingen op tokengrootte.

Als een bestaande toepassing echter groepsgegevens verwacht te verbruiken via claims, kunt u Azure AD configureren met verschillende claimindelingen. Overweeg de volgende opties:

• Wanneer u groepslidmaatschap gebruikt voor autorisatie in de toepassing, verdient het de voorkeur om de groep te gebruikenObjectIDattribuut. De groepObjectIDkenmerk is onveranderlijk en uniek in Azure AD. Het is beschikbaar voor alle groepen.

• Als u de on-premises groep gebruiktsAMAccountnaamattribuut voor autorisatie, gebruik domeingekwalificeerde namen. Het verkleint de kans op botsende namen.sAMAccountnaamkan uniek zijn binnen een Active Directory-domein, maar als meer dan één Active Directory-domein wordt gesynchroniseerd met een Azure AD-tenant, bestaat de mogelijkheid dat meer dan één groep dezelfde naam heeft.

• Overweeg om te gebruikenapplicatie rollenom een ​​indirecte laag te bieden tussen het groepslidmaatschap en de applicatie. De toepassing neemt vervolgens interne autorisatiebeslissingen op basis van rolclaims in het token.

• Als de toepassing is geconfigureerd om groepskenmerken op te halen die worden gesynchroniseerd vanuit Active Directory en een groep deze kenmerken niet bevat, wordt deze niet opgenomen in de claims.

• Groeps claims in tokens bevatten geneste groepen, behalve wanneer u de optie gebruikt om de groeps claims te beperken tot groepen die aan de toepassing zijn toegewezen.

  Als een gebruiker lid is van GroepB en GroepB lid is van GroepA, bevatten de groepsclaims voor de gebruiker zowel GroepA als GroepB. Wanneer de gebruikers van een organisatie een groot aantal groepslidmaatschappen hebben, kan het aantal groepen dat in het token wordt vermeld, de tokengrootte vergroten. Azure AD beperkt het aantal groepen dat in een token wordt uitgezonden tot 150 voor SAML-bevestigingen en 200 voor JWT. Als een gebruiker lid is van een groter aantal groepen, worden de groepen weggelaten. In plaats daarvan is een koppeling naar het Microsoft Graph-eindpunt opgenomen om groepsinformatie te verkrijgen.

  See Also

  Six Flags Flash Pass: alles wat u moet weten voordat u koopt

Vereisten voor het gebruik van groepskenmerken die zijn gesynchroniseerd vanuit Active Directory

Claims voor groepslidmaatschap kunnen voor elke groep in tokens worden verzonden als u deObject-IDformaat. Groepsclaims gebruiken in andere formaten dan groupObject-ID, moeten de groepen worden gesynchroniseerd vanuit Active Directory via Azure AD Connect.

Azure AD configureren om groepsnamen voor Active Directory-groepen uit te zenden:

1. Synchroniseer groepsnamen vanuit Active Directory

   Voordat Azure AD de groepsnamen of on-premises groeps-SID in groeps- of rolclaims kan uitzenden, moet u de vereiste kenmerken van Active Directory synchroniseren. U moet Azure AD Connect versie 1.2.70 of hoger gebruiken. Eerdere versies van Azure AD Connect dan 1.2.70 synchroniseren de groepsobjecten vanuit Active Directory, maar bevatten niet de vereiste groepsnaamkenmerken.

2. Configureer de toepassingsregistratie in Azure AD om groepsclaims in tokens op te nemen

   U kunt groepsclaims configureren in deEnterprise applicatiesgedeelte van de portal, of door gebruik te maken van het toepassingsmanifest in deApplicatie Registratiessectie. Zie voor het configureren van groepsclaims in het toepassingsmanifestConfigureer de registratie van de Azure AD-toepassing voor groepskenmerkenverderop in dit artikel.

Voeg groepsclaims toe aan tokens voor SAML-applicaties met behulp van SSO-configuratie

Groepsclaims configureren voor een galerie of niet-galerie SAML-applicatie via Single sign-on (SSO):

1. OpenEnterprise applicaties, selecteer de toepassing in de lijst, selecteerSingle Sign On-configuratieen selecteer vervolgensGebruikerskenmerken en claims.

2. SelecteerVoeg een groepsclaim toe.

   

3. Gebruik de opties om te selecteren welke groepen in het token moeten worden opgenomen.

   

   Selectie	Beschrijving
   Alle groepen	Zendt beveiligingsgroepen en distributielijsten en rollen uit.
   Beveiligingsgroepen	Verzendt beveiligingsgroepen waarvan de gebruiker lid is in de groepsclaim.
   Directory-rollen	Als aan de gebruiker directoryrollen zijn toegewezen, worden deze verzonden als eenvrouwenclaim. (De claim van de groep wordt niet verzonden.)
   Groepen toegewezen aan de applicatie	Verzendt alleen de groepen die expliciet zijn toegewezen aan de toepassing en waarvan de gebruiker lid is. Aanbevolen voor grote organisaties vanwege de groepsnummerlimiet in token.

   • Als u bijvoorbeeld alle beveiligingsgroepen wilt uitzenden waarvan de gebruiker lid is, selecteert uBeveiligingsgroepen.

     

     Om groepen uit te zenden met behulp van Active Directory-kenmerken die zijn gesynchroniseerd vanuit Active Directory in plaats van Azure ADobjectIDattributen, selecteer het gewenste formaat van deBronkenmerkkeuzelijst. Alleen groepen die vanuit Active Directory zijn gesynchroniseerd, worden opgenomen in de claims.

     

   • Selecteer om alleen groepen uit te zenden die aan de applicatie zijn toegewezenGroepen toegewezen aan de applicatie.

     

     Groepen die aan de toepassing zijn toegewezen, worden opgenomen in het token. Andere groepen waarvan de gebruiker lid is, worden weggelaten. Met deze optie worden geneste groepen niet opgenomen en moet de gebruiker een direct lid zijn van de groep die aan de toepassing is toegewezen.

     Om de groepen die aan de applicatie zijn toegewezen te wijzigen, selecteert u de applicatie in deEnterprise applicatieslijst. Selecteer vervolgensGebruikers en groepenvanuit het linkermenu van de toepassing.

     Zie voor meer informatie over het beheren van groepstoewijzing aan applicatiesWijs een gebruiker of groep toe aan een bedrijfsapp.

Geef alleen de weergavenaam van de cloudgroep weer in token

U kunt groepsclaim configureren om de weergavenaam van de groep op te nemen voor de groepen die alleen in de cloud zijn.

1. OpenEnterprise applicaties, selecteer de toepassing in de lijst, selecteerSingle Sign On-configuratieen selecteer vervolgensGebruikerskenmerken en claims.

2. Als u al groepsclaims heeft geconfigureerd, selecteert u deze in hetAanvullende vorderingensectie. Anders kunt u de groepsclaim toevoegen zoals beschreven in de vorige stappen.

3. Selecteer voor het groepstype dat in het token wordt verzondenGroepen toegewezen aan de applicatie:

   

4. Om groepsweergavenaam alleen voor cloudgroepen uit te zenden, in deBronkenmerkvervolgkeuzelijst selecteert u deGroepsweergavenamen alleen in de cloud:

   

5. Voor een hybride configuratie, om een ​​lokaal groepskenmerk voor gesynchroniseerde groepen en een weergavenaam voor cloudgroepen uit te zenden, kunt u het gewenste kenmerk voor lokale bronnen selecteren en het selectievakje aanvinkenGroepsnaam verzenden voor groepen die alleen in de cloud zijn:

   

Stel geavanceerde opties in

Naam van groepsclaim aanpassen

U kunt de manier wijzigen waarop groepsclaims worden verzonden met behulp van de onderstaande instellingenGeavanceerde mogelijkheden.

Als u selecteertPas de naam van de groepsclaim aan, kunt u een ander claimtype opgeven voor groepsclaims. Voer het claimtype in deNaambox en de optionele naamruimte voor de claim in hetNaamruimtedoos.

Sommige applicaties vereisen dat de informatie over het groepslidmaatschap wordt weergegeven in de rolclaim. U kunt de groepen van de gebruiker optioneel als rollen uitzenden door deGroepen verzenden als rolclaimsselectievakje.

Groepsfiltering

Groepsfiltering zorgt voor nauwkeurige controle over de lijst met groepen die is opgenomen als onderdeel van de groepsclaim. Wanneer een filter is geconfigureerd, worden alleen groepen die overeenkomen met het filter opgenomen in de claim van de groep die naar die toepassing wordt verzonden. Het filter wordt toegepast op alle groepen, ongeacht de groepshiërarchie.

U kunt filters configureren die moeten worden toegepast op de weergavenaam van de groep ofSAMAccountnaamattribuut. De volgende filterbewerkingen worden ondersteund:

• Voorvoegsel: komt overeen met het begin van het geselecteerde attribuut.
• Achtervoegsel: komt overeen met het einde van het geselecteerde attribuut.
• Bevat: komt overeen met elke locatie in het geselecteerde attribuut.

Transformatie van de groep

Voor sommige toepassingen is het mogelijk dat de groepen een andere indeling nodig hebben dan hoe ze worden weergegeven in Azure AD. Om deze vereiste te ondersteunen, kunt u een transformatie toepassen op elke groep die wordt uitgezonden in de groepsclaim. U bereikt dit door de configuratie van een reguliere expressie (regex) en een vervangingswaarde voor claims van aangepaste groepen toe te staan.

\

• Regex-patroon: Gebruik een regex om tekenreeksen te ontleden volgens het patroon dat u in dit vak hebt ingesteld. Als het regex-patroon dat u schetst, evalueert naarWAAR, wordt het regex-vervangingspatroon uitgevoerd.
• Regex-vervangingspatroon: schets in regex-notatie hoe u uw tekenreeks wilt vervangen als het regex-patroon dat u hebt geschetst, evalueertWAAR. Gebruik capture-groepen om subexpressies in deze vervangende regex te matchen.

Zie voor meer informatie over groepen voor het vervangen en vastleggen van reguliere expressiesHet objectmodel voor reguliere expressies: de vastgelegde groep.

Bewerk de configuratie van de groepsclaim

Nadat u een groepsclaimconfiguratie hebt toegevoegd aan hetGebruikerskenmerken en claimsconfiguratie, is de optie om een ​​groepsclaim toe te voegen niet beschikbaar. Om de configuratie van de groepsclaim te wijzigen, selecteert u de groepsclaim in hetAanvullende vorderingenlijst.

Configureer de registratie van de Azure AD-toepassing voor groepskenmerken

U kunt ook groepsclaims configureren in hetoptionele claimsgedeelte van deapplicatie manifest.

1. Selecteer in de portalAzure Active Directory>Applicatie Registraties>Selecteer Toepassing>Manifest.

2. Claims voor groepslidmaatschap inschakelen door te wijzigengroupLidmaatschapclaims.

   Geldige waarden zijn:

   Selectie	Beschrijving
   Alle	Zendt beveiligingsgroepen, distributielijsten en rollen uit.
   Beveiligingsgroep	Verzendt beveiligingsgroepen en Azure AD-rollen waarvan de gebruiker lid is in de groepsclaim.
   DirectoryRol	Als aan de gebruiker directoryrollen zijn toegewezen, worden deze verzonden als eenvrouwenclaim. (Een groepsclaim wordt niet verzonden.)
   Applicatiegroep	Verzendt alleen de groepen die expliciet zijn toegewezen aan de toepassing en waarvan de gebruiker lid is.
   Geen	Er worden geen groepen geretourneerd. (Het is niet hoofdlettergevoelig, dusgeenwerkt ook. Het kan rechtstreeks in het toepassingsmanifest worden ingesteld.)

   Bijvoorbeeld:

   "groupMembershipClaims": "Beveiligingsgroep"

   Standaard groepObjectIDattributen worden uitgezonden in de waarde van de groepsclaim. Gebruik deoptioneleclaimsconfiguratie beschreven in de volgende stap.

3. Stel optionele claims in voor de configuratie van groepsnamen.

   Als u wilt dat de groepen in het token de on-premises Active Directory-groepskenmerken bevatten, geeft u op welk tokentype optionele claim moet worden toegepast in deoptioneleclaimssectie. U kunt meerdere tokentypen vermelden:

   • idTokenvoor het OIDC ID-token
   • toegangstokenvoor het OAuth/OIDC-toegangstoken
   • Saml2Tokenvoor SAML-tokens

   Opmerking

   DeSaml2Tokentype is van toepassing op tokens in zowel SAML1.1- als SAML2.0-indeling.

   Wijzig voor elk relevant tokentype de groepsclaim om deoptioneleclaimssectie in het manifest. Deoptioneleclaimsschema is als volgt:

   {"name": "groups","source": null,"essential": false,"additionalProperties": []}

   Optioneel claimschema	Waarde
   naam	Moet zijn"groepen".
   bron	Niet gebruikt. Weglaten of specificerennul.
   essentieel	Niet gebruikt. Weglaten of specificerenvals.
   aanvullendeEigenschappen	Lijst met aanvullende eigenschappen. Geldige opties zijn"sam_account_name","dns_domein_en_sam_accountnaam","netbios_domain_and_sam_account_name","cloud_displaynaam", En"emit_as_roles".

   InaanvullendeEigenschappen, slechts een van"sam_account_name","dns_domein_en_sam_accountnaam", of"netbios_domain_and_sam_account_name"Is benodigd. Als er meer dan één aanwezig is, wordt de eerste gebruikt en worden alle andere genegeerd.

   Sommige toepassingen vereisen groepsinformatie over de gebruiker in de rolclaim. Als u het claimtype wilt wijzigen van een groepsclaim naar een rolclaim, voegt u toe"emit_as_roles"naar extra eigenschappen. De groepswaarden worden uitgezonden in de rolclaim.

   Om groepsweergavenaam voor cloud-only groepen uit te zenden, kunt u toevoegen"cloud_displaynaam"naarextra eigenschappen. Deze optie werkt alleen wanneer"groepslidmaatschapclaims"ingesteld opApplicatiegroep

   Opmerking

   Als je gebruikt"emit_as_roles", verschijnen eventuele geconfigureerde applicatierollen waaraan de gebruiker is toegewezen niet in de rolclaim.

Voorbeelden

Groepen uitgeven als groepsnamen in OAuth-toegangstokens inDNSDomainName\sAMAccountNameformaat:

" optionalClaims": { "accessToken": [{ "name": "groups", "additionalProperties": ["dns_domain_and_sam_account_name"] }]}

Groepsnamen verzenden waarin moet worden geretourneerdNetbiosDomain\sAMAccountNameindeling als rolclaim in SAML- en OIDC ID-tokens:

" optionalClaims": { "saml2Token": [{ "name": "groups", "additionalProperties": ["netbios_domain_and_sam_account_name", "emit_as_roles"] }], "idToken": [{ "name": "groups", " additionalProperties": ["netbios_domain_and_sam_account_name", "emit_as_roles"] }]}

Volgende stappen

• Autorisatie met behulp van groepen en groepsclaims toevoegen aan een ASP.NET Core-webapp (codevoorbeeld)
• Wijs een gebruiker of groep toe aan een bedrijfsapp
• Rolclaims configureren