Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.
Il profilo utente della directory di Azure Active Directory B2C (Azure AD B2C) include un set di attributi predefiniti, ad esempio nome, cognome, città, codice postale e numero di telefono. È possibile estendere il profilo utente con i propri dati dell'applicazione senza richiedere un archivio dati esterno.
L'API Microsoft Graph supporta la maggior parte degli attributi che è possibile usare con Azure Questo articolo descrive gli attributi del profilo utente supportati da Azure AD B2C. Annota anche gli attributi che Microsoft Graph non supporta e gli attributi dell'API Microsoft Graph che Azure AD B2C non deve usare.
Importante
Non è consigliabile usare attributi predefiniti o di estensione per archiviare dati personali sensibili, ad esempio credenziali dell'account, numeri di identificazione per enti pubblici, dati di titolari di carte, dati di account finanziari, informazioni sanitarie o informazioni di background riservate.
È anche possibile eseguire l'integrazione con sistemi esterni. Ad esempio, è possibile usare Azure AD B2C per l'autenticazione, ma delegare a un database CRM (Customer Relationship Management) esterno o fedeltà dei clienti come origine autorevole dei dati dei clienti. Per altre informazioni, vedere la soluzione del profilo remoto .
Tipo di risorsa utente Microsoft Entra
Il profilo utente della directory di Azure AD B2C supporta gli attributi del tipo di risorsa utente elencati nella tabella seguente. Fornisce le informazioni seguenti su ogni attributo:
- Nome dell'attributo usato da Azure AD B2C (seguito dal nome di Microsoft Graph tra parentesi, se diverso)
- Tipo di dati dell'attributo
- Descrizione dell'attributo
- Indica se l'attributo è disponibile nel portale di Azure
- Indica se l'attributo può essere usato in un flusso utente
- Indica se l'attributo può essere usato in un profilo tecnico microsoft Entra ID personalizzato e in quale sezione (<InputClaims>, <OutputClaims> o <PersistedClaims>)
| Nome | Tipo di dati | Descrizione | Disponibile nel portale di Azure | Usato nei flussi utente | Usato nelle politiche personalizzate |
|---|---|---|---|---|---|
| accountAbilitato | Booleano | Se l'account utente è abilitato o disabilitato: true se l'account è abilitato, in caso contrario false. | Sì | NO | Persistente, risultato |
| fascia di età | Stringa | Fascia di età dell'utente. Valori possibili: null, Undefined, Minor, Adult, NotAdult. | Sì | NO | Persistente, risultato |
| alternativeSecurityId (Identità) | Stringa | Una singola identità utente dal provider di identità esterno. | NO | NO | Ingresso, Persistente, Uscita |
| alternativeSecurityIds (Identità) | raccolta alternativa di ID di sicurezza | Raccolta di identità degli utenti da provider di identità esterni. | NO | NO | Persistente, risultato |
| città | Stringa | Città di residenza dell'utente. Lunghezza massima 128. | Sì | Sì | Persistente, risultato |
| consensoDatoPerMinore | Stringa | Indica se il consenso è stato fornito per un minore. Valori consentiti: null, concesso, negato o non richiesto. | Sì | NO | Persistente, risultato |
| paese | Stringa | Paese/area geografica dell'utente. Ad esempio: Stati Uniti o Regno Unito. Lunghezza massima 128. | Sì | Sì | Persistente, risultato |
| createdDateTime | Data e ora | Data di creazione dell'oggetto utente. Sola lettura. | NO | NO | Persistente, risultato |
| tipo di creazione | Stringa | Se l'account utente è stato creato come account locale per un tenant di Azure Active Directory B2C, il valore è LocalAccount o nameCoexistence. Sola lettura. | NO | NO | Persistente, risultato |
| dataDiNascita | Data | Data di nascita. | NO | NO | Persistente, risultato |
| dipartimento | Stringa | Nome del reparto in cui funziona l'utente. Lunghezza massima 64. | Sì | NO | Persistente, risultato |
| nome visualizzato | Stringa | Nome visualizzato per l'utente. Lunghezza massima 256. | Sì | Sì | Persistente, risultato |
| numeroDiTelefonoFax1 | Stringa | Numero di telefono della macchina fax aziendale dell'utente. | Sì | NO | Persistente, risultato |
| givenName | Stringa | Nome di battesimo (nome proprio) dell'utente. Lunghezza massima 64. | Sì | Sì | Persistente, risultato |
| titolo di lavoro | Stringa | Titolo di lavoro dell'utente. Lunghezza massima 128. | Sì | Sì | Persistente, risultato |
| Id immutabile | Stringa | Identificatore in genere usato per gli utenti migrati da Active Directory locale. | NO | NO | Persistente, risultato |
| Classificazione dell'età legale | Stringa | Classificazione di fascia d'età legale. Di sola lettura e calcolata in base alle proprietà ageGroup e consentProvidedForMinor. Valori consentiti: null, minorWithOutParentalConsent, minorWithParentalConsent, minorNoParentalConsentRequired, notAdult e adult. | Sì | NO | Persistente, risultato |
| paese legale1 | Stringa | Paese/Area geografica per scopi legali. | NO | NO | Persistente, risultato |
| mailSoprannome | Stringa | Alias di posta elettronica per l'utente. Lunghezza massima 64. | NO | NO | Persistente, risultato |
| cellulare (mobilePhone) | Stringa | Numero di telefono cellulare primario per l'utente. Lunghezza massima 64. | Sì | NO | Persistente, risultato |
| netId | Stringa | ID netto. | NO | NO | Persistente, risultato |
| objectId | Stringa | Identificatore univoco globale (GUID) che rappresenta l'identificatore univoco per l'utente. Esempio: 12345678-9abc-def0-1234-56789abcde. Sola lettura, Non modificabile. | Sola lettura | Sì | Ingresso, Persistente, Uscita |
| altroPosta | Raccolta di tipi string | Elenco di altri indirizzi di posta elettronica per l'utente. Esempio: ["bob@contoso.com", "Robert@fabrikam.com"]. NOTA: i caratteri accentati non sono consentiti. | Sì (indirizzo di posta elettronica alternativo) | NO | Persistente, risultato |
| parola d’ordine | Stringa | Password dell'account locale durante la creazione dell'account utente. | NO | NO | Persistente |
| politiche delle password | Stringa | Politica della password. Si tratta di una stringa costituita da nomi di criteri diversi separati da virgola. Ad esempio, "DisablePasswordExpiration, DisableStrongPassword". | NO | NO | Persistente, risultato |
| physicalDeliveryOfficeName (PosizioneUfficio) | Stringa | Posizione dell'ufficio nel luogo di lavoro dell'utente. Lunghezza massima 128. | Sì | NO | Persistente, risultato |
| codice postale | Stringa | Codice postale per l'indirizzo postale dell'utente. Il codice postale è specifico del paese/area geografica dell'utente. Negli Stati Uniti d'America questo attributo contiene il codice postale. Lunghezza massima 40. | Sì | NO | Persistente, risultato |
| lingua preferita | Stringa | Lingua preferita per l'utente. Il formato di lingua preferito è basato su RFC 4646. Il nome è una combinazione di un codice delle impostazioni cultura minuscole ISO 639 a due lettere associato alla lingua e un codice di sottoculture in maiuscolo ISO 3166 a due lettere associato al paese o all'area geografica. Ad esempio: en-USo es-ES. | NO | NO | Persistente, risultato |
| refreshTokensValidFromDateTime (signInSessionsValidFromDateTime) | Data e ora | Tutti i token di aggiornamento rilasciati prima di questo periodo non sono validi e le applicazioni ricevono un errore quando si usa un token di aggiornamento non valido per acquisire un nuovo token di accesso. In questo caso, l'applicazione deve acquisire un nuovo token di aggiornamento effettuando una richiesta all'endpoint autorizzato. Di sola lettura. | NO | NO | Risultato |
| signInNames (Identità) | Stringa | Nome d'accesso univoco dell'utente di un account locale di qualsiasi tipo nella directory. Usare questo attributo per ottenere un utente con credenziali di accesso senza dover specificare il tipo di account locale. | NO | NO | Inserimento |
| signInNames.userName (Identità) | Stringa | Nome utente univoco dell'utente dell'account locale nella directory. Usare questo attributo per creare o ottenere un utente con un nome utente di accesso specifico. Se si specifica questo attributo in PersistedClaims solo durante l'operazione patch, vengono rimossi altri tipi di signInNames. Se si vuole aggiungere un nuovo tipo di signInNames, è anche necessario rendere persistenti i signInName esistenti. NOTA: i caratteri accentati non sono consentiti nel nome utente. | NO | NO | Ingresso, Persistente, Uscita |
| signInNames.phoneNumber (Identità) | Stringa | Numero di telefono univoco dell'utente dell'account locale nella directory. Usare questo attributo per creare o ottenere un utente con un numero di telefono di accesso specifico. Se si specifica questo attributo in PersistedClaims solo durante l'operazione patch, vengono rimossi altri tipi di signInNames. Se si vuole aggiungere un nuovo tipo di signInNames, è anche necessario rendere persistenti i signInName esistenti. | NO | NO | Ingresso, Persistente, Uscita |
| signInNames.emailAddress (Identità) | Stringa | Indirizzo di posta elettronica univoco dell'utente dell'account locale nella directory. Usare questo attributo per creare o ottenere un utente con un indirizzo di posta elettronica di accesso specifico. Se si specifica questo attributo in PersistedClaims solo durante l'operazione patch, vengono rimossi altri tipi di signInNames. Se si vuole aggiungere un nuovo tipo di signInNames, è anche necessario rendere persistenti i signInName esistenti. | NO | NO | Ingresso, Persistente, Uscita |
| stato | Stringa | Stato o provincia nell'indirizzo dell'utente. Lunghezza massima 128. | Sì | Sì | Persistente, risultato |
| indirizzo stradale | Stringa | Indirizzo dell'ufficio dell'utente. Lunghezza massima 1024. | Sì | Sì | Persistente, risultato |
| strongAuthentication NumeroTelefonoAlternativo1 | Stringa | Numero di telefono secondario dell'utente, utilizzato per l'autenticazione a più fattori. | Sì | NO | Persistente, risultato |
| indirizzoEmailDiAutenticazioneForte1 | Stringa | Indirizzo SMTP per l'utente. Esempio: "bob@contoso.com" Questo attributo viene usato per l'accesso con i criteri di nome utente, per archiviare l'indirizzo di posta elettronica dell'utente. Indirizzo di posta elettronica usato in un flusso di reimpostazione della password. I caratteri accentati non sono consentiti in questo attributo. | Sì | NO | Persistente, risultato |
| NumeroDiTelefonoPerAutenticazioneForte2 | Stringa | Numero di telefono primario dell'utente, utilizzato per l'autenticazione a più fattori. | Sì | NO | Persistente, risultato |
| cognome | Stringa | Cognome dell'utente (nome della famiglia o cognome). Lunghezza massima 64. | Sì | Sì | Persistente, risultato |
| telephoneNumber (prima voce del valore businessPhones) | Stringa | Numero di telefono principale del luogo di lavoro dell'utente. | Sì | NO | Persistente, risultato |
| nome utente principale | Stringa | Nome principale utente (UPN) dell'utente. L'UPN è un nome di accesso in stile Internet per l'utente basato sullo standard Internet RFC 822. Il dominio deve essere presente nella raccolta di domini verificati del tenant. Questa proprietà è obbligatoria quando viene creato un account. Non modificabile. | NO | NO | Ingresso, Persistente, Uscita |
| luogo di utilizzo | Stringa | Obbligatorio per gli utenti a cui sono assegnate licenze a causa del requisito legale di verificare la disponibilità dei servizi nei paesi o nelle aree geografiche. Non ammette i valori NULL. Codice paese/area geografica a due lettere (standard ISO 3166). Ad esempio, STATI Uniti, JP e GB. | Sì | NO | Persistente, risultato |
| tipo di utente | Stringa | Valore stringa che può essere usato per classificare i tipi di utente nella directory. Il valore deve essere "Member". Di sola lettura. | Sola lettura | NO | Persistente, risultato |
| statoUtente (statoUtenteEsterno)3 | Stringa | Solo per l'account Microsoft Entra B2B e indica se l'invito è PendingAcceptance o Accepted. | NO | NO | Persistente, risultato |
| userStateChangedOn (externalUserStateChangeDateTime)3 | Data e ora | Mostra il timestamp per la modifica più recente alla proprietà UserState. | NO | NO | Persistente, risultato |
1 Non supportato da Microsoft Graph
2 Per altre informazioni, vedere Attributo numero di telefono MFA
3 Non deve essere usato con Azure AD B2C
Attributi obbligatori
Per creare un account utente nella directory di Azure AD B2C, specificare gli attributi necessari seguenti:
Identità: con almeno un'entità (un account locale o federato).
Profilo password: se si crea un account locale, specificare il profilo password.
Attributo del nome visualizzato
displayName è il nome da visualizzare nella gestione utenti del portale di Azure per l'utente e nel token di accesso restituito da Azure AD B2C all'applicazione. Questa proprietà è obbligatoria.
Attributo Identità
Un account cliente, che può essere un consumer, un partner o un cittadino, può essere associato a questi tipi di identità:
- Identità locale : il nome utente e la password vengono archiviati localmente nella directory di Azure AD B2C. Queste identità sono spesso dette "account locali".
- Identità federata : nota anche come account di social networking o aziendale , l'identità dell'utente viene gestita da un provider di identità federato come Facebook, Microsoft, ADFS o Salesforce.
Un utente con un account cliente può accedere con più identità. Ad esempio, nome utente, posta elettronica, ID dipendente, ID governo e altri. Un singolo account può avere più identità, sia locali che social, con la stessa password.
Nell'API Microsoft Graph le identità locali e federate vengono archiviate nell'attributo utente identities , che è di tipo objectIdentity. La identities raccolta rappresenta un set di identità usate per accedere a un account utente. Questa raccolta consente all'utente di accedere all'account utente con una delle identità associate. L'attributo identities può contenere fino a 10 oggetti objectIdentity . Ogni oggetto contiene le proprietà seguenti:
| Nome | TIPO | Descrizione |
|---|---|---|
| tipoDiAccesso | corda | Specifica i metodi di accesso degli utenti nella directory. Per l'account locale: emailAddress, emailAddress1, emailAddress2emailAddress3, , userNameo qualsiasi altro tipo desiderato. L'account di social networking deve essere impostato su federated. |
| Emittente | corda | Specifica l'emittente dell'identità. Per gli account locali (dove signInType non è federated), questa proprietà è il nome di dominio predefinito del tenant B2C locale, ad esempio contoso.onmicrosoft.com. Per l'identità social (dove signInType è federated) il valore è il nome dell'autorità emittente, ad esempio facebook.com |
| ID assegnato dall'emittente | corda | Specifica l'identificatore univoco assegnato all'utente dall'emittente. La combinazione di issuer e issuerAssignedId deve essere univoca all'interno del tenant. Per l'account locale, quando signInType è impostato su emailAddress o userName, rappresenta il nome di accesso per l'utente.Quando signInType è impostato su:
|
Il seguente frammento JSON mostra l'attributo Identità, con un'identità dell'account locale con un nome di accesso, un indirizzo email come metodo di accesso e un'identità sociale.
"identities": [
{
"signInType": "userName",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "johnsmith"
},
{
"signInType": "emailAddress",
"issuer": "contoso.onmicrosoft.com",
"issuerAssignedId": "jsmith@yahoo.com"
},
{
"signInType": "federated",
"issuer": "facebook.com",
"issuerAssignedId": "5eecb0cd"
}
]
Per le identità federate, a seconda del provider di identità, issuerAssignedId è un valore univoco per un determinato utente per ogni applicazione o account di sviluppo. Configurare la politica di Azure AD B2C con lo stesso ID applicazione assegnato dal provider sociale o da un'altra applicazione all'interno dello stesso account di sviluppo.
Proprietà del profilo password
Per un'identità locale, l'attributo passwordProfile è obbligatorio e contiene la password dell'utente. L'attributo forceChangePasswordNextSignIn indica se un utente deve reimpostare la password al successivo accesso. Per gestire una reimpostazione della password forzata, usare le istruzioni riportate in Configurare il flusso di reimpostazione della password forzata.
Per un'identità federata (social), l'attributo passwordProfile non è obbligatorio.
"passwordProfile" : {
"password": "password-value",
"forceChangePasswordNextSignIn": false
}
Attributo dei criteri password
I criteri delle password di Azure AD B2C (per gli account locali) si basano sui criteri di forza delle password robuste di Microsoft Entra ID. I criteri di iscrizione o di accesso e reimpostazione della password di Azure AD B2C richiedono questo livello di complessità della password complessa e non scadono le password.
Negli scenari di migrazione degli utenti, se gli account di cui si vuole eseguire la migrazione hanno un livello di complessità della password più debole rispetto al livello di complessità della password complessa applicato da Azure AD B2C, è possibile disabilitare il requisito di password complessa. Per modificare i criteri password predefiniti, impostare l'attributo passwordPolicies su DisableStrongPassword. Ad esempio, è possibile modificare la richiesta utente creata come segue:
"passwordPolicies": "DisablePasswordExpiration, DisableStrongPassword"
Attributo numero di telefono MFA
Quando si usa un telefono per l'autenticazione a più fattori (MFA), il telefono cellulare viene usato per verificare l'identità dell'utente. Per aggiungere un nuovo numero di telefono a livello di codice, aggiornare, ottenere o eliminare il numero di telefono, usare il metodo di autenticazione telefono dell'API Graph ms.
Nei criteri personalizzati di Azure AD B2C il numero di telefono è disponibile attraverso strongAuthenticationPhoneNumber il tipo di attestazione.
Attributi di estensione
Ogni applicazione rivolta al cliente ha requisiti univoci per le informazioni da raccogliere. Il tenant di Azure AD B2C include un set predefinito di informazioni archiviate in proprietà, ad esempio nome, cognome e codice postale. Con Azure AD B2C è possibile estendere il set di proprietà archiviate in ogni account cliente. Per altre informazioni, vedere Aggiungere attributi utente e personalizzare l'input dell'utente in Azure Active Directory B2C
Gli attributi di estensione estendono lo schema degli oggetti utente nella directory. Gli attributi di estensione possono essere registrati solo in un oggetto applicazione, anche se possono contenere dati per un utente. L'attributo di estensione è associato all'applicazione denominata b2c-extensions-app. Non modificare questa applicazione, perché viene usata da Azure AD B2C per l'archiviazione dei dati utente. È possibile trovare questa applicazione in Registrazioni dell'app Microsoft Entra.
Altre informazioni su Azure AD B2Cb2c-extensions-app.
Annotazioni
- È possibile scrivere fino a 100 attributi di estensione per qualsiasi account utente.
- Se l'applicazione b2c-extensions-app viene eliminata, tali attributi di estensione vengono rimossi da tutti gli utenti insieme ai dati che contengono.
- Se un attributo di estensione viene eliminato dall'applicazione, viene rimosso da tutti gli account utente e i valori vengono eliminati.
Gli attributi di estensione nell'API Microsoft Graph vengono denominati usando la convenzione extension_ApplicationClientID_AttributeName, dove:
-
ApplicationClientIDè l'ID applicazione (client) dell'applicazioneb2c-extensions-app. Informazioni su come trovare l'app delle estensioni. -
AttributeNameè il nome dell'attributo di estensione.
L'ID applicazione (client) quando usato per creare il nome dell'attributo di estensione non include trattini. Per esempio:
"extension_831374b3bd5041bfaa54263ec9e050fc_loyaltyNumber": "212342"
Quando si definisce un attributo in un'estensione dello schema, sono supportati i tipi di dati seguenti:
| TIPO | Osservazioni: |
|---|---|
| Booleano | Valori possibili: true o false. |
| Data e ora | Deve essere specificato in formato ISO 8601. Il valore viene archiviato in formato UTC. |
| Numero intero | Valore a 32 bit. |
| Stringa | Massimo 256 caratteri. |
Contenuti correlati
Altre informazioni sugli attributi di estensione:
- estensioni dello schema
- Definire attributi personalizzati