Rozšíření toků ověřování pomocí vlastní obchodní logiky

Microsoft Entra Externí ID je navržená pro flexibilitu. Kromě předdefinovaných událostí ověřování v rámci toku registrace a přihlašování můžete přidat vlastní rozšíření ověřování v konkrétních bodech v rámci toku ověřování. Rozšíření vlastního ověřování je v podstatě naslouchací proces událostí, který při aktivaci provede volání HTTP koncovému bodu rozhraní REST API, kde jste definovali akci pracovního postupu. Můžete například přidat pracovní postup shromažďování atributů pro ověření atributů, které uživatel zadá během registrace, nebo můžete použít vlastního zprostředkovatele deklarací identity k přidání externích dat uživatele do tokenu před jejich vystavením.

Je potřeba nakonfigurovat dvě komponenty: vlastní rozšíření ověřování a rozhraní REST API. Rozšíření vlastního ověřování určuje koncový bod rozhraní REST API, kdy se má rozhraní REST API volat, a přihlašovací údaje pro volání rozhraní REST API. V toku ověřování můžete vytvořit vlastní rozšíření ověřování v následujících bodech:

  • Během registrace, před nebo po kolekci atributů:
    • OnAttributeCollectionStart událost nastane na začátku kroku kolekce atributů před vykreslení stránky kolekce atributů.
    • Událost OnAttributeCollectionSubmit nastane poté, co uživatel zadá a odešle atributy.
  • Při vystavení tokenu pomocí události OnTokenIssuanceStart , která se aktivuje těsně před vydáním tokenu pro aplikaci.

Diagram znázorňující body rozšiřitelnosti v toku ověřování

Pokud máte na jednom z těchto bodů nakonfigurované vlastní rozšíření ověřování, provede Microsoft Entra ID volání rozhraní REST API, které jste definovali. Požadavek na rozhraní REST API obsahuje informace o události, profilu uživatele, datech žádosti o ověření a dalších kontextových informacích. Rozhraní REST API pak provádí akce pracovního postupu.

Tento článek obsahuje přehled vlastních rozšíření ověřování v Microsoft Entra Externí ID.

Zahájení a odesílání událostí kolekce atributů

Vlastní rozšíření ověřování můžete použít k přidání pracovních postupů do kolekce atributů v tocích uživatelů samoobslužné registrace. Pole atributů můžete například předvyplnit vlastními hodnotami, ověřit položky uživatele a upravit atributy a zobrazit chyby. Jsou povoleny dvě události:

  • OnAttributeCollectionStart - OnAttributeCollectionStart událost nastane na začátku procesu kolekce atributů před vykreslení stránky kolekce atributů. Tuto událost lze použít ve scénářích, jako je prevence registrace uživatele na základě domény nebo přidání atributů, které se mají shromáždit. Následující scénáře jsou konfigurovatelné pro událost OnAttributeCollectionStart:

    • continueWithDefaultBehavior – vykreslí stránku kolekce atributů obvyklým způsobem.
    • setPreFillValues – atributy předběžného vyplňování ve formuláři pro registraci
    • showBlockPage – Zobrazí chybovou zprávu a zablokuje uživatele v registraci.
  • OnAttributeCollectionSubmit - OnAttributeCollectionSubmit událost nastane po zadání a odeslání atributů uživatele. Tuto událost lze použít ve scénářích, jako je ověřování nebo úprava informací poskytovaných uživatelem. Můžete například ověřit kód pozvánky nebo číslo partnera, upravit formát adresy nebo vrátit chybu.

    • continueWithDefaultBehavior – pokračujte v postupu registrace.
    • modifyAttributeValues – přepíše hodnoty, které uživatel odeslal ve formuláři pro registraci.
    • showValidationError – Vrátí chybu na základě odeslaných hodnot.
    • showBlockPage – Zobrazí chybovou zprávu a zablokuje uživatele v registraci.

Pokud chcete nakonfigurovat spouštění a odesílání událostí kolekce atributů, vytvoříte vlastní rozhraní REST API rozšíření ověřování. Když se událost aktivuje, Microsoft Entra ID odešle požadavek HTTP do koncového bodu rozhraní REST API. Rozhraní REST API může být funkce Azure, aplikace logiky Azure nebo jiný veřejně dostupný koncový bod rozhraní API. Koncový bod rozhraní REST API zodpovídá za definování akcí pracovního postupu, které se mají provést.

Podrobnosti najdete v tématu Přidání vlastních rozšíření kolekce atributů do toku uživatele.

Počáteční událost vystavení tokenu

Událost spuštění vystavování tokenů se aktivuje, jakmile uživatel dokončí všechny problémy s ověřováním a chystá se vydat token zabezpečení.

Když se uživatelé ověřují ve vaší aplikaci pomocí Microsoft Entra ID, vrátí se do vaší aplikace token zabezpečení. Token zabezpečení obsahuje deklarace identity, které jsou příkazy o uživateli, jako je název, jedinečný identifikátor nebo role aplikace. Kromě výchozí sady deklarací identity obsažených v tokenu zabezpečení můžete definovat vlastní deklarace identity z externích systémů pomocí rozhraní REST API, které vyvíjíte.

V některých případech můžou být klíčová data uložená v systémech externích pro Microsoft Entra, jako je sekundární e-mail, fakturační úroveň nebo citlivé informace. Není vždy možné, aby informace v externím systému byly uloženy v adresáři Microsoft Entra. V těchto scénářích můžete pomocí vlastního rozšíření ověřování a vlastního zprostředkovatele deklarací identity přidat tato externí data do tokenů vrácených do vaší aplikace.

Rozšíření událostí vystavování tokenů zahrnuje následující komponenty:

  • Vlastní zprostředkovatel deklarací identity Vlastní zprostředkovatel deklarací identity je typ rozšíření vlastního ověřování, které načítá data z externích systémů. Vlastní zprostředkovatel deklarací identity určuje atributy, které se mají přidat do tokenu zabezpečení, který se vrátí do vaší aplikace. Několik zprostředkovatelů deklarací identity může sdílet stejné vlastní rozšíření, takže do tokenu zabezpečení pro každou aplikaci je možné přidat jinou sadu atributů.

  • Koncový bod rozhraní REST API. Když se událost aktivuje, Microsoft Entra ID odešle požadavek HTTP do koncového bodu rozhraní REST API. Rozhraní REST API může být funkce Azure, aplikace logiky Azure nebo jiný veřejně dostupný koncový bod rozhraní API. Koncový bod rozhraní REST API je zodpovědný za propojení s podřízenými databázemi, stávajícími rozhraními API, adresáři LDAP nebo jinými úložišti obsahujícími atributy, které chcete přidat do konfigurace tokenu.

    Rozhraní REST API vrátí odpověď HTTP nebo akci zpět na ID Microsoft Entra obsahující atributy. Atributy vrácené vaším rozhraním REST API se do tokenu nepřidávají automaticky. Místo toho musí být zásady mapování deklarací identity aplikace nakonfigurované pro všechny atributy, které se mají zahrnout do tokenu.

Podrobnosti najdete tady:

Viz také