Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Abschnitt werden Überlegungen beschrieben, wenn Sie Benutzerprofildaten im Benutzerverzeichnis speichern. Hier finden Sie Entwurfsüberlegungen für Attribute, die in der Microsoft Entra-ID gespeichert werden sollen. Erfahren Sie, wie Sie die Datenresidenz und die Anforderungen an die Compliance verwalten können.
Benutzerverzeichnis
Ein Benutzermodell ist ein logisches Schema für einen Benutzerdatensatz. Das Modell enthält Attribute, deren Speicherung im Verzeichnis von den Verzeichnisadministratoren und App-Besitzern vereinbart wurde. Dies ist die autorisierende Quelle für jede: von Benutzern gesammelt, nicht von einem externen System abgefragt.
Ansprüche, die für die Authentifizierung erforderlich sind, können vertrauliche und sensible Daten umfassen, die in einer externen Quelle gespeichert sind, z. B. in einem CRM-System (Customer Relationship Management) oder in einer elektronischen Patientenakte (EHR). Das Speichern dieser Daten im Verzeichnis für die Authentifizierung ist nicht erforderlich. Stattdessen wird er mithilfe eines RESTful-API-Aufrufs mit benutzerdefinierten Authentifizierungserweiterungen von Microsoft Entra ID abgerufen. Im Token werden diese als Claims ausgegeben.
Attributauswahl
Die folgende Tabelle enthält Attribute zum Definieren Ihres Benutzermodells und in den Szenarien, in denen sie verwendet werden sollen.
| Typ | Szenarien |
|---|---|
| Integrierte Verzeichnisattribute | - Werte beibehalten und im Verzeichnis gespeichert – aussagekräftiger Name und Typ – Verfügbar in der Standardliste der Attribute - Wenn nicht verfügbar, werden Attributwerte administrativ festgelegt. |
| Kundenbenutzerattribute | - Im Verzeichnis gespeicherte Werte – Keine integrierten Attribute verfügbar – Die Datentypanforderungen reichen aus. |
| Benutzerdefinierte Erweiterungen | - In einem CRM oder einem externen Speicher gespeicherte Werte – Werte werden während der Authentifizierung mithilfe eines Ereignishandlers aus einer externen Quelle abgerufen – Der abgerufene Wert wird an das Token ausgegeben. |
Das folgende Diagramm veranschaulicht, wie sich die Optionen in der vorherigen Tabelle in einen Benutzerfluss integrieren.
Attribute im Benutzerverzeichnis
Die externe Microsoft Entra-ID verfügt über Standardattribute für Benutzerobjekte. Wenn das Benutzermodell erforderlich ist, können Sie Erweiterungsattribute erstellen.
Um die Erweiterungsattribute der Externen ID von Microsoft Entra zu verwenden, wird eine Schemaerweiterung auf Ihr Verzeichnis angewendet. Die Erweiterungen sind einem Anwendungsobjekt zugeordnet und können dann als Attribut für alle Verzeichnisbenutzerobjekte und für alle Anwendungen verwendet werden. Das Standardanwendungsobjekt zum Erweitern des Schemas ist die b2c-extensions-app, die standardmäßig mit Ihrem Verzeichnis bereitgestellt wird.
Wenn Sie das Erweiterungsattribut definieren, folgt der im Verzeichnis gespeicherte Name dem Format: extension_GUID_Name. Die GUID ist die Anwendungs-ID des Anwendungsobjekts, für das die Schemaerweiterung registriert ist. Dieser Wert ist verzeichnisspezifisch. Der folgende Screenshot zeigt die b2c-extensions-app, die Anwendungs-ID und den von der Microsoft Graph-API zurückgegebenen Attributnamen.
GET: Erweiterungseigenschaften
"value": [</br>
{</br>
"id": "b7271a2b-a03e-48f7-abf0-54d21427987a",</br>
"deletedDateTime": null,</br>
"appDisplayName": "",</br>
"dataType": "String",</br>
"isMultiValued": false,</br>
"isSyncedFromOnPremises": false,</br>
"name": "extension_8beb06b77e314e2393cc5453a6a56756_lastName",</br>
"targetObjects": [</br>
"User"</br>
]</br>
}
Zu den unterstützten Datenformaten gehören:
- Zeichenfolge (maximal 56 Zeichen)
- Boolescher Typ (Boolean)
- Ganze Zahl (32-Bit-Wert)
Verwalten Sie Verzeichniserweiterungen über das Microsoft Entra Admin Center oder mit der Microsoft Graph-API.
Migration von Benutzerdaten
Berücksichtigen Sie bei der Migration zur externen Microsoft Entra-ID die Primärschlüssel, Fremdschlüssel (oder Verknüpfungsschlüssel) oder Attribute, die von Identitätssystemen und Anwendungen zur Kompatibilität verwendet werden. Ein Beispiel hierfür sind Objekt-IDs von veralteten Identitätssystemen, die als persistente Subjekt- oder Namensbezeichner in Tokens ausgegeben werden. Außerdem handelt es sich bei einem Beispiel um andere Verzeichnisattribute, die von integrierten Systemen als eindeutige Bezeichner verwendet werden: E-Mail-Adressen, kurze Anmeldenamen, CRM-IDs und Auftragsverwaltungssystem-IDs. Um zwei Zwecken zu dienen, behalten Sie die folgenden Werte bei:
- Überwachungsverlauf – Wenn Sie Aktivitäten untersuchen, verweisen Sie auf archivierte Protokolle aus dem älteren System. Ein Verknüpfungsschlüssel über Systeme hinweg erleichtert dieses Szenario. Unterstützen Sie die Einhaltung von Complianceanforderungen, z. B.:
- Fortgesetzte Funktion integrierter Systeme – Die Migration kann eine Konsolidierung von Identitätssystemen umfassen, die unterschiedliche primäre Bezeichner verwenden. Bewahren Sie die Bezeichner auf, um die Konfiguration anwendungsspezifischer Token-Formen mit den richtigen Subjekt- oder Namensbezeichnern zu ermöglichen. Anwendungen funktionieren erwartungsgemäß. Beispiel: Ein Bestellverwaltungssystem zeigt vergangene Käufe für den Benutzer nach der Migration an.
Dokumentieren Sie Informationen, um potenzielle Probleme später zu verhindern. Richten Sie ein Attributverzeichnis für aktuelle und zukünftige Anwendungsentwickler ein. In der folgenden Tabelle handelt es sich um ein Beispiel.
| Attributname | Typ | Datentyp | Datenquelle oder Besitzer | Verwendung |
|---|---|---|---|---|
| Integriert oder benutzerdefiniert | Zeichenfolge, Int usw. | Von Benutzer- oder Administrator-Einstellungen | Apps oder Überwachung |
Fügen Sie Informationen zur Autoritätsquelle hinzu, auch wer, was, wann und wie die Attribute aktualisiert werden.
Von Bedeutung
Nicht alle Anwendungsdaten gehören in das Verzeichnis. Für eine größere Skala stellen kontinuierliche Updates und Datensynchronisierung Herausforderungen dar und können zu unvorhersehbaren Ergebnissen führen.
Entwurf
In diesem Abschnitt erfahren Sie mehr über Designaspekte: Benennungen und Konventionen, Referenzarchitektur, Integrationsmuster und vieles mehr.
Namenskonvention
Die Verwendung von Verzeichnisstandards und Konventionen macht die Verzeichnisstruktur leicht verständlich. Dieser Ansatz gilt für die Benennung von Anwendungen, Benutzern, Attributen usw.
Referenzarchitektur und Integrationsmuster
Dokumentieren Sie Entscheidungen und Integrationsmuster, damit Anwendungsteams unabhängig und konsistent sein können. Schließen Sie Organisationsdetails wie Entwurfsprinzipien, Integrationsarchitekturen, Sequenz- und Datenflussdiagramme, Datenquellen, Aufbewahrungsrichtlinien, Sicherheitsstandards usw. ein.
Wenn möglich, verweisen Sie auf die Produktdokumentation, anstatt den Inhalt in der Referenzdokumentation zu duplizieren. Beispielanwendungen sind als Beschleuniger für Entwickler und Integratoren erwiesen.
Verwaltung
Wenn ein anderer Administrator oder nichtadministrator Microsoft Entra-Ressourcen verwalten muss, weisen Sie in Microsoft Entra-ID eine Microsoft Entra-Rolle mit den benötigten Berechtigungen zu.
Erfahren Sie mehr über integrierte Microsoft Entra-Rollen.
Obwohl es keine Einschränkungen für Benutzerrollenzuweisungen im Verzeichnis externer Identitäten gibt, empfehlen wir Ihnen, Administrative Konten aus dem Verzeichnis der Unternehmensmitarbeiter einzuladen.
Hinweis
Es gibt ein Ziel für die Zukunft, ein Feature für privilegiertes Identitätsmanagement in die externe Microsoft Entra-ID aufzunehmen.
Verzeichnisdatenoperationen
Verzeichnisdaten enthalten die im Verzeichnis gespeicherten Objekte, z. B. Benutzer, Anwendungen und Dienstprinzipale.
Hinweis
Microsoft sichert Verzeichnisdaten regelmäßig und diese sind für die Wiederherstellung durch Microsoft verfügbar.
Das Verzeichnis erstellt während der Objekterstellung einige Werte, z. B. Objekt- und Anwendungs-IDs. Sie können nicht dupliziert oder mit denselben Werten neu erstellt werden.
Sie können kürzlich gelöschte Benutzer wiederherstellen oder endgültig entfernen.
Informationen zu Objekten, die für externe Identitäten relevant sind, z. B. Benutzer, Gruppen und Dienstprinzipale, finden Sie unter "Wiederherstellen von Löschungen in Microsoft Entra ID".
Wir empfehlen, alle Batchaufträge, die Verzeichnisdaten verarbeiten, bei Wartungs- oder Synchronisierungsaufgaben Aktivitätsprotokolle zusätzlich zu den vom System generierten Überwachungsprotokollen zu erzeugen. Überprüfen Sie sie nach dem Batchvorgang.
Konformität
Erfassen Sie die Complianceanforderungen, für die das Verzeichnis relevant ist. Stützen Sie diese Informationen auf die Märkte, in denen das Unternehmen tätig ist. In einigen Branchen oder Inlandsregionen können sich diese Details ändern.
Weitere Informationen finden Sie in der Dokumentation zur Azure-Compliance.
Obwohl die Plattform bestimmte Standards erfüllt, ist der Betreiber für den Verzeichnisdaten-Upkeep verantwortlich und stellt die Compliance für Kunden sicher. Beispielsweise sind Microsoft Entra-Produkte die Datenschutz-Grundverordnung (DSGVO) konform und verfügen über APIs für Verzeichnisvorgänge. Daher ist Microsoft der Datenverarbeiter. Der Verzeichnisbesitzer in der Rolle "Controller" bietet dem Benutzer eine Option zum Vergessen. Der Besitzer führt die API aus, um den Benutzer aus dem Verzeichnis zu entfernen.
Sammeln Sie Complianceanforderungen und beziehen Sie juristische Teams ein. Die folgende Tabelle ist ein Hilfsmittel für die Anforderungserfassung.
| Parameter | Einhaltung und Anforderungen |
|---|---|
| Land oder Region des Betriebs 1 | |
| Land oder Region des Betriebs 2 | |
| Branche | |
| Regulierungsbehörde |
Verwenden Sie diese Informationen, um die im Verzeichnis und deren Konfiguration gespeicherten Daten zu überprüfen. Die Informationen können sich auf Attribute im Verzeichnis beziehen. Erkennen Sie, dass bestimmte Attributkombinationen, z. B. Vorname, Familienname und Ort, möglicherweise in Compliance-Grenzwerte fallen. Dieses Szenario kann auch auf protokollspezifische Aufbewahrungs- und Verschlüsselungsanforderungen angewendet werden, die in der Konfiguration angegeben sind. Dokumentieren Sie bestimmte Konfigurationsanforderungen, um die Konfiguration aufrechtzuerhalten. Die Complianceanforderungen entwickeln sich schneller als Reaktion auf Cyberbedrohungen, politische und soziale Veränderungen. Verwenden Sie die folgende Arbeitshilfe.
| Mandantenkonfiguration | Compliance-Referenz |
|---|---|
| Protokollaufbewahrung | |
| Kryptokonfiguration | |
| Speicherung von Attributen | |
| Aufgabentrennung | |
| Kennwortkomplexität | |
| ... |
Hinweis
Wenden Sie sich bei der Interpretation von Compliance- und Konfigurationsanforderungen an Rechts- und Compliance-Teams, um Leitlinien und einen Konsens zu erreichen.
Dienstbegrenzungen
Microsoft Entra External ID-Mandantenendpunkte unterliegen Drosselungsgrenzwerten, die gleichzeitige Anrufe einschränken und übermäßige Ressourcennutzung verhindern. Dies trägt zum Schutz von Microsoft-Produkten und -Diensten bei, die an alle Kunden übermittelt werden.
In der folgenden Tabelle sind die wichtigsten Szenarien und Dienstkomponenten für das Entwerfen von Lösungen mit der externen Microsoft Entra-ID aufgeführt.
| Szenario | Komponente | Drosselungsrichtlinien |
|---|---|---|
| Administrative Aufgaben zum Erstellen, Lesen, Aktualisieren und Löschen (CRUD) für externe Microsoft Entra-ID-Mandanten, z. B. Benutzerflüsse oder Objekte | Microsoft Graph-API |
-
Graph-Drosselungsleitfaden - Einschränkungsgrenzwerte für Graph-Dienste |
| Registrieren, Anmelden und Passwort zurücksetzen mit Nutzerabläufen | Externe Microsoft Entra-ID | Grenzwerte für externe Microsoft Entra-ID-Dienste |
Die Microsoft Graph-API verfügt über verschiedene Grenzwerttypen und zugeordnete Kontingente. Die Erzwingungsrangfolge ist die Anwendung + Mandant mit der höchsten Priorität und der Mandant mit der niedrigsten Priorität. Da die externe Microsoft Entra-ID keine mehrinstanzenfähige Anwendungen unterstützt, gilt der Grenzwert pro Anwendung nicht.
Ein Beispiel: Eine Anwendung und ein Mandant erreichen ihr Kontingentlimit, bevor das Kontingent des Mandanten erreicht ist. Mit dieser Aktion können andere Anwendungen mit dem Mandanten kommunizieren.
Mit einmaligen Verzeichnisvorgängen für große Mengen wie der Benutzermigration erhöhen Sie den Durchsatz mithilfe von Batchvorgängen und bis zu sechs Anwendungsregistrierungen, um Microsoft Graph-Vorgänge auszuführen.
Dieser Ansatz kann Die Mandanteneinschränkungsgrenzwerte überschreiten. Wenn Anwendungen Grenzwerte erreichen, können sie nicht mit dem Verzeichnis interagieren, was dazu führen kann, dass andere Workloads fehlschlagen. Verwenden Sie Sorgfalt, wenn mehrere Anwendungen den Durchsatz einer Workload erhöhen.
Hinweis
Einige Ressourcentypen der Microsoft Graph-API weisen möglicherweise unterschiedliche, strengere Einschränkungsgrenzwerte für die Sicherheit auf. Öffnen Sie ein Supportticket mit dem Microsoft-Support, um Risikominderungen fallweise zu planen.
Nächste Schritte
Verwenden Sie die folgenden Artikel, um mit einer externen ID-Bereitstellung von Microsoft Entra die ersten Schritte zu unternehmen: