Vytvoření vlastního rozšíření ověřování pro spuštění a odeslání událostí kolekce atributů (Preview)

Platí pro: Tenanti pracovních sil – externí tenanti (další informace)

Tento článek popisuje, jak rozšířit možnosti registrace uživatelů v Microsoft Entra Externí ID pro zákazníky. V tocích uživatelů registrace zákazníka je možné použít naslouchací procesy událostí k rozšíření procesu shromažďování atributů před shromažďováním atributů a v době odeslání atributu:

• OnAttributeCollectionStart událost nastane na začátku kroku kolekce atributů před vykreslení stránky kolekce atributů. Můžete přidat akce, jako jsou předvyplnění hodnot a zobrazení blokující chyby.

  Tip

  

  Pokud si chcete tuto funkci vyzkoušet, přejděte do ukázky potravin Woodgrove a spusťte případ použití "Předem vyplní atributy registrace".

• Událost OnAttributeCollectionSubmit nastane poté, co uživatel zadá a odešle atributy. Můžete přidat akce, jako je ověření nebo úprava položek uživatele.

  Tip

  

  Pokud si chcete tuto funkci vyzkoušet, přejděte na ukázku potravin Woodgrove a spusťte případ použití ověření atributů registrace nebo případ použití Blokovat uživateli pokračovat v procesu registrace.

Kromě vytvoření vlastního rozšíření ověřování pro spuštění a odeslání událostí kolekce atributů musíte vytvořit rozhraní REST API, které definuje akce pracovního postupu, které se mají provést pro každou událost. K vytvoření a hostování rozhraní REST API můžete použít libovolný programovací jazyk, architekturu a hostitelské prostředí. Tento článek ukazuje rychlý způsob, jak začít používat funkci Azure Functions v jazyce C#. Se službou Azure Functions spustíte kód v bezserverovém prostředí, aniž byste museli nejprve vytvořit virtuální počítač nebo publikovat webovou aplikaci.

Požadavky

• Pokud chcete používat služby Azure, včetně Azure Functions, potřebujete předplatné Azure. Pokud nemáte existující účet Azure, můžete si zaregistrovat bezplatnou zkušební verzi nebo využít výhody předplatného sady Visual Studio při vytváření účtu.
• Tok uživatele pro registraci a přihlášení

Krok 1: Vytvoření vlastního rozhraní REST API rozšíření ověřování (aplikace Azure Functions)

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

V tomto kroku vytvoříte rozhraní API funkce triggeru HTTP pomocí Azure Functions. Rozhraní API funkce je zdrojem obchodní logiky pro toky uživatelů. Po vytvoření funkce triggeru ji můžete nakonfigurovat pro jednu z následujících událostí:

• OnAttributeCollectionStart
• OnAttributeCollectionSubmit

1. Přihlaste se k webu Azure Portal pomocí účtu správce.

2. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

3. Vyhledejte a vyberte Function App a vyberte Vytvořit.

4. Na stránce Základy použijte nastavení aplikace funkcí, jak je uvedeno v následující tabulce:

   Nastavení	Navrhovaná hodnota	Popis
   Předplatné	Vaše předplatné	Předplatné, ve kterém se vytvoří nová aplikace funkcí.
   Skupina prostředků	myResourceGroup	Vyberte a existující skupinu prostředků nebo název nové skupiny prostředků, ve které vytvoříte aplikaci funkcí.
   Název aplikace funkcí	Globálně jedinečný název	Název, který identifikuje novou aplikaci funkcí. Platné znaky jsou a-z (bez rozlišování malých a velkých písmen), 0-9 a -.
   Publikovat	Kód	Možnost publikování souborů kódu nebo kontejneru Docker Pro účely tohoto kurzu vyberte Kód.
   Zásobník modulu runtime	.NET	Preferovaný programovací jazyk. Pro účely tohoto kurzu vyberte .NET.
   Verze	6 (LTS) V procesu	Verze modulu runtime .NET In-process signifies that you can create and modify functions in the portal, which is recommended for this guide
   Oblast	Upřednostňovaná oblast	Vyberte oblast, která je blízko vás nebo blízko jiných služeb, ke kterým mají vaše funkce přístup.
   Operační systém	Windows	Operační systém je předem vybraný na základě výběru zásobníku modulu runtime.
   Typ plánu	Využití (bez serverů)	Plán Hosting, který určuje způsob přidělování prostředků aplikaci Function App.

5. Výběrem možnosti Zkontrolovat a vytvořit zkontrolujte výběry konfigurace aplikace a pak vyberte Vytvořit. Nasazení trvá několik minut.

6. Po nasazení vyberte Přejít k prostředku a zobrazte novou aplikaci funkcí.

1.1 Vytvoření funkcí triggeru HTTP

Teď, když jste vytvořili aplikaci Funkcí Azure, vytvoříte funkce triggeru HTTP pro akce, které chcete vyvolat pomocí požadavku HTTP. Na triggery HTTP se odkazuje a volá vaše vlastní rozšíření ověřování Microsoft Entra.

1. Na stránce Přehled aplikace funkcí vyberte podokno Funkce a v části Vytvořit na webu Azure Portal vyberte Vytvořit funkci.
2. V okně Vytvořit funkci ponechte vlastnost Vývojové prostředí jako Vývoj na portálu. V části Šablona vyberte trigger HTTP.
3. V části Podrobnosti šablony zadejte CustomAuthenticationExtensionsAPI pro New Function vlastnost.
4. Pro úroveň autorizace vyberte funkci.
5. Vyberte Vytvořit.

1.2 Konfigurace triggeru HTTP pro OnAttributeCollectionStart

1. V nabídce vyberte Kód + Test.
2. Vyberte kartu níže pro scénář, který chcete implementovat: Pokračovat, Blokovat nebo SetPrefillValues. Nahraďte kód zadanými fragmenty kódu.
3. Po nahrazení kódu v horní nabídce vyberte Získat adresu URL funkce a zkopírujte adresu URL. Tuto adresu URL použijete v kroku 2: Vytvoření a registrace vlastního rozšíření ověřování pro cílovou adresu URL.

Continue

Pomocí tohoto triggeru HTTP umožníte uživateli pokračovat v toku registrace, pokud nepotřebujete žádnou další akci.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);


    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionStart.continueWithDefaultBehavior"}
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
}

Blok

Pomocí tohoto triggeru HTTP můžete uživateli zablokovat pokračování procesu registrace. K ověření e-mailové adresy uživatele můžete například použít službu ověření identity nebo externí zdroj dat identity.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    
    dynamic request = JsonConvert.DeserializeObject(requestBody);       

    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionStart.showBlockPage", 
            message = "AttributeCollectionStart Custom Extension message: Sorry, your access request has been blocked. Try reaching an admin at admin@contoso.com."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Předvyplnění hodnot

Tento trigger HTTP slouží k předběžnému vyplňování hodnot přidružených k toku uživatele, například z externího personálního systému nebo jiného zdroje dat. Předvyplnění hodnot pro předdefinované atributy (například adresa), vlastní atributy uživatele (například číslo věrnosti).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // The form fields will load with these default values
    var inputs = new Dictionary<string, object>()
    {
        { "postalCode", "<your-prefill-value>" },
        { "streetAddress", "<your-prefill-value>" },
        { "city", "<your-prefill-value>" },
        { "extension_appId_mailingList", false },
        { "extension_appId_memberSince", 2023 }      
    };

    var actions = new List<SetPrefillValuesAction>{
        new SetPrefillValuesAction { 
            type = "microsoft.graph.attributeCollectionStart.setPrefillValues", 
            inputs = inputs }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<SetPrefillValuesAction> actions { get; set; }
}

[JsonObject]
public class SetPrefillValuesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> inputs { get; set; }
}

1.3 Konfigurace triggeru HTTP pro OnAttributeCollectionSubmit

1. V nabídce vyberte Kód + Test.
2. V případě scénáře, který chcete implementovat, vyberte kartu níže: Pokračovat, Blokovat, Upravit hodnoty nebo Chyba ověření. Nahraďte kód zadanými fragmenty kódu.
3. Po nahrazení kódu v horní nabídce vyberte Získat adresu URL funkce a zkopírujte adresu URL. Tuto adresu URL použijete v kroku 2: Vytvoření a registrace vlastního rozšíření ověřování pro cílovou adresu URL.

Continue

Pomocí tohoto triggeru HTTP umožníte uživateli pokračovat v toku registrace, pokud nepotřebujete žádnou další akci.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.continueWithDefaultBehavior"}
    };
						
    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };
	    
	dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Blok

Pomocí tohoto triggeru HTTP můžete uživateli zablokovat pokračování procesu registrace na základě hodnot atributů, které zadali. Registraci můžete například zablokovat na základě rizikového telefonního čísla. Nebo můžete tok registrace ukončit a odeslat uživatele do vlastního schvalovacího systému pro vytvoření účtu.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionSubmit.showBlockPage", 
            message = "AttributeCollectionSubmit Custom Extension Message: Thank you for your response. Your access request is processing. You'll be notified when your request has been approved."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Úprava hodnot

Pomocí tohoto triggeru HTTP můžete upravit kolekci atributů od uživatele. Můžete například změnit formát atributu poskytnutého uživatelem. Po úpravě atributů bude registrace pokračovat bez oznámení uživateli. Pokud je požadováno oznámení, použijte akci ověření.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    // User attributes will be saved with these override values
    var attributes = new Dictionary<string, object>()
    {
        { "postalCode", "<your-override-value>" },
        { "streetAddress", "<your-override-value>" },
        { "city", "<your-override-value>" },
        { "extension_appId_mailingList", false }
        { "extension_appId_memberSince", 2010 }
    };

    var actions = new List<ModifiedAttributesAction>{
        new ModifiedAttributesAction { 
            type = "microsoft.graph.attributeCollectionSubmit.modifyAttributeValues", 
            attributes = attributes 
        }
    };

    log.LogInformation("actions: " + actions);

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };


    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ModifiedAttributesAction> actions { get; set; }
}

[JsonObject]
public class ModifiedAttributesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> attributes { get; set; }
}

Chyba ověření

Pomocí tohoto triggeru HTTP ověřte atributy zadané uživatelem. Můžete například ověřit atributy v externím úložišti dat. Můžete ověřit předdefinované atributy (například země), vlastní atributy uživatele (například číslo věrnosti).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation($"C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // Parse specified attributes
    string cityValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.city?.value)).ToString();

    string postalCodeValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.postalCode?.value)).ToString();

    string streetAddressValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.streetAddress?.value)).ToString();

    // JSON convert makes the length different, so we put 7 here
    if(cityValue.Length < 7 || postalCodeValue.Length < 7 || streetAddressValue.Length < 7){
        var inputs = new Dictionary<string, string>();

        if(cityValue.Length < 7){
            inputs.Add("city", "Length of city string should be of at 5 characters at least");
        }

        if(postalCodeValue.Length < 7){
            inputs.Add("postalCode", "Length of postalCodeValue string should be of at 5 characters at least");
        }

        if(streetAddressValue.Length < 7){
            inputs.Add("streetAddress", "Length of streetAddress string should be of at 5 characters at least");
        }

        string pageMessage = "Please fix below errors to proceed";

        var actions = new List<ValidationErrorActions>{
            new ValidationErrorActions { type = "microsoft.graph.attributeCollectionSubmit.ShowValidationError", message = pageMessage, attributeErrors = inputs }
        };

        
        var dataObject = new Data {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
        };

        dynamic response = new ResponseObject {
            data = dataObject
        };

        log.LogInformation($"Returning validation error");

        // Send the validation error response
        return response;

    }else{
        var actions = new List<ContinueWithDefaultBehavior>{
            new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.ContinueWithDefaultBehavior"}
            };

        
        var dataObject = new DataContinue {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
            };

        dynamic response = new ResponseObjectContinue {
            data = dataObject
        };

        log.LogInformation($"Returning continue");
        
        // Send the continue response
        return response;
    }
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ValidationErrorActions> actions { get; set; }
}

[JsonObject]
public class ValidationErrorActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
    public Dictionary<string, string> attributeErrors {get; set;}
}


public class ResponseObjectContinue
{
    public DataContinue data { get; set; }
}

[JsonObject]
public class DataContinue {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Krok 2: Vytvoření a registrace vlastního rozšíření ověřování

V tomto kroku zaregistrujete vlastní rozšíření ověřování, které používá ID Microsoft Entra k volání funkce Azure. Rozšíření vlastního ověřování obsahuje informace o koncovém bodu rozhraní REST API, spuštění kolekce atributů a odeslání akcí, které analyzuje z rozhraní REST API, a o tom, jak se ověřit v rozhraní REST API.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator a ověřování Správa istrator aplikace.

2. Přejděte k rozšíření vlastního ověřování Identita>externích>identit.

3. Vyberte Vytvořit vlastní rozšíření.

4. V basics, select the AttributeCollectionStart event or AttributeCollectionSubmit event, and then select Next. Ujistěte se, že odpovídá konfiguraci v předchozím kroku.

5. V konfiguraci koncového bodu vyplňte následující vlastnosti:

   • Název – název vlastního rozšíření ověřování. Například u události kolekce atributů.
   • Cílová adresa URL – {Function_Url} adresa URL vaší funkce Azure.
   • Popis – popis vlastních rozšíření ověřování.

6. Vyberte Další.

7. V části Ověřování rozhraní API vyberte možnost Vytvořit novou registraci aplikace a vytvořte registraci aplikace, která představuje vaši aplikaci funkcí.

8. Pojmenujte aplikaci, například rozhraní API událostí ověřování azure Functions.

9. Vyberte Další.

10. Vyberte Vytvořit, čímž se vytvoří vlastní rozšíření ověřování a přidružená registrace aplikace.

2.2 Udělení souhlasu správce

Po vytvoření vlastního rozšíření ověřování udělte aplikaci souhlas s zaregistrovanou aplikací, která umožňuje ověření vlastního rozšíření ověřování ve vašem rozhraní API.

1. Přejděte k >rozšíření vlastního ověřování Identita externích>identit (Preview).
2. V seznamu vyberte vlastní rozšíření ověřování.
3. Na kartě Přehled vyberte tlačítko Udělit oprávnění a udělte správci souhlas s zaregistrovanou aplikací. Rozšíření vlastního ověřování používá client_credentials k ověření v aplikaci Azure Function App pomocí Receive custom authentication extension HTTP requests oprávnění. Zvolte Přijmout.

Krok 3: Přidání vlastního rozšíření ověřování do toku uživatele

Teď můžete k jednomu nebo několika tokům uživatelů přidružit vlastní rozšíření ověřování.

Poznámka:

Pokud potřebujete vytvořit tok uživatele, postupujte podle pokynů v tématu Vytvoření toku uživatele pro registraci a přihlášení pro zákazníky.

3.1 Přidání vlastního rozšíření ověřování do existujícího toku uživatele

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Správa istrator a ověřování Správa istrator aplikace

2. Pokud máte přístup k více tenantům, přepněte na externího tenanta pomocí ikony Nastavení v horní nabídce.

3. Přejděte k> tokům identity externích>identit uživatelů.

4. Ze seznamu vyberte tok uživatelů.

5. Vyberte vlastní rozšíření ověřování.

6. Na stránce Rozšíření vlastního ověřování můžete přidružit vlastní rozšíření ověřování ke dvěma různým krokům v toku uživatele:

   • Před shromažďováním informací od uživatele je přidružena k Události OnAttributeCollectionStart . Vyberte tužku pro úpravy. Zobrazí se pouze vlastní rozšíření nakonfigurovaná pro událost OnAttributeCollectionStart . Vyberte aplikaci, kterou jste nakonfigurovali pro událost spuštění kolekce atributů, a pak zvolte Vybrat.
   • Když uživatel odešle své informace je přidružen k OnAttributeCollectionSubmit události. Zobrazí se pouze vlastní rozšíření nakonfigurovaná pro událost OnAttributeCollectionSubmit . Vyberte aplikaci, kterou jste nakonfigurovali pro událost odeslání kolekce atributů, a pak zvolte Vybrat.

7. Ujistěte se, že jsou aplikace uvedené vedle obou kroků kolekce atributů správné.

8. Vyberte ikonu Uložit.

Krok 4: Testování aplikace

Pokud chcete získat token a otestovat vlastní rozšíření ověřování, můžete použít https://jwt.ms aplikaci. Jedná se o webovou aplikaci vlastněnou Microsoftem, která zobrazuje dekódovaný obsah tokenu (obsah tokenu nikdy neopustí váš prohlížeč).

Pokud chcete zaregistrovat jwt.ms webovou aplikaci, postupujte takto:

4.1 Registrace webové aplikace jwt.ms

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň aplikační Správa istrator.
2. Přejděte k registracím> aplikací identit.>
3. Vyberte Nová registrace.
4. Zadejte název aplikace. Například Moje testovací aplikace.
5. V části Podporované typy účtů vyberte Pouze účty v tomto organizačním adresáři.
6. V rozevíracím seznamu Vybrat platformu v identifikátoru URI přesměrování vyberte Web a zadejte https://jwt.ms do textového pole adresa URL.
7. Výběrem možnosti Zaregistrovat dokončete registraci aplikace.

4.2 Získání ID aplikace

V registraci aplikace zkopírujte v části Přehled ID aplikace (klienta). ID aplikace se označuje jako <client_id> v dalších krocích. V Microsoft Graphu se na ni odkazuje vlastnost appId .

4.3 Povolení implicitního toku

Testovací aplikace jwt.ms používá implicitní tok. Povolení implicitního toku v registraci moje testovací aplikace :

1. V části Spravovat vyberte Ověřování.
2. V části Implicitní udělení a hybridní toky zaškrtněte políčko Tokeny ID (používané pro implicitní a hybridní toky).
3. Zvolte Uložit.

Krok 5: Ochrana funkce Azure

Rozšíření vlastního ověřování Microsoft Entra používá k získání přístupového tokenu odeslaného v hlavičce HTTP Authorization do vaší funkce Azure server tok serveru. Při publikování funkce do Azure, zejména v produkčním prostředí, je potřeba ověřit token odeslaný v autorizační hlavičce.

Pokud chcete chránit funkci Azure, pomocí těchto kroků integrujte ověřování Microsoft Entra, abyste mohli ověřovat příchozí tokeny s registrací aplikace rozhraní API pro události ověřování azure Functions.

Poznámka:

Pokud je aplikace funkcí Azure hostovaná v jiném tenantovi Azure, než je tenant, ve kterém je zaregistrované vlastní rozšíření ověřování, přeskočte na 5.1 Pomocí OpenID Připojení kroku zprostředkovatele identity.

5.1 Přidání zprostředkovatele identity do funkce Azure Functions

1. Přihlaste se k portálu Azure.

2. Přejděte a vyberte aplikaci funkcí, kterou jste předtím publikovali.

3. V nabídce vlevo vyberte Ověřování .

4. Vyberte Přidat zprostředkovatele identity.

5. Jako zprostředkovatele identity vyberte Microsoft .

6. Jako typ tenanta vyberte zákazníka .

7. V části Registrace aplikace zadejte client_id registraci aplikace API pro ověřování azure Functions, kterou jste vytvořili při registraci vlastního zprostředkovatele deklarací identity.

8. Jako adresu URL vystavitele zadejte následující adresu URL https://{domainName}.ciamlogin.com/{tenant_id}/v2.0, kde

   • {domainName} je název domény vašeho externího tenanta.
   • {tenantId} je ID tenanta vašeho externího tenanta. Vaše vlastní rozšíření ověřování by se mělo zaregistrovat tady.

9. V části Neověřené požadavky vyberte jako zprostředkovatele identity http 401 Neautorizováno .

10. Zrušte výběr možnosti Úložiště tokenů.

11. Výběrem možnosti Přidat přidáte ověřování do funkce Azure Functions.

    

5.2 Použití zprostředkovatele identity OpenID Připojení

Pokud jste nakonfigurovali krok 5: Chraňte funkci Azure Functions, tento krok přeskočte. Jinak platí, že pokud je funkce Azure Functions hostovaná v jiném tenantovi, než je tenant, ve kterém je vaše vlastní rozšíření ověřování zaregistrované, postupujte podle těchto kroků k ochraně vaší funkce:

1. Přihlaste se k webu Azure Portal a pak přejděte a vyberte aplikaci funkcí, kterou jste předtím publikovali.

2. V nabídce vlevo vyberte Ověřování .

3. Vyberte Přidat zprostředkovatele identity.

4. Jako zprostředkovatele identity vyberte OpenID Připojení.

5. Zadejte název, například ID Společnosti Contoso Microsoft Entra.

6. Pod položkou Metadata zadejte následující adresu URL adresy URL dokumentu. Nahraďte ID tenanta {tenantId} Microsoft Entra.

   https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
   

7. V rámci registrace aplikace zadejte ID aplikace (ID klienta) registrace aplikace API pro ověřování azure Functions, kterou jste vytvořili dříve.

8. V Centru pro správu Microsoft Entra:

   1. Vyberte registraci aplikace API pro události ověřování Azure Functions, kterou jste vytvořili dříve.
   2. Vyberte Certifikáty a tajné>klíče>klienta Nové tajné klíče klienta.
   3. Přidejte popis tajného kódu klienta.
   4. Vyberte vypršení platnosti tajného kódu nebo zadejte vlastní životnost.
   5. Vyberte Přidat.
   6. Poznamenejte si hodnotu tajného kódu pro použití v kódu klientské aplikace. Po opuštění této stránky se tento tajný kód už nikdy nezobrazí.

9. Zpět do funkce Azure Functions v rámci registrace aplikace zadejte tajný klíč klienta.

10. Zrušte výběr možnosti Úložiště tokenů.

11. Vyberte Přidat a přidejte zprostředkovatele identity OpenID Připojení.

Krok 6: Testování aplikace

Pokud chcete otestovat vlastní rozšíření ověřování, postupujte takto:

1. Otevřete nový privátní prohlížeč a přejděte na následující adresu URL:

   https://<domainName>.ciamlogin.com/<tenant_id>/oauth2/v2.0/authorize?client_id=<client_id>&response_type=code+id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

   • Nahraďte <domainName> názvem externího tenanta a nahraďte <tenant-id> id externího tenanta.
   • Nahraďte <client_id> ID aplikace, kterou jste přidali do toku uživatele.

2. Po přihlášení se vám zobrazí dekódovaný token na adrese https://jwt.ms.

Další kroky

• Referenční informace k OnAttributeCollectionStart
• Referenční dokumentace OnAttributeCollectionSubmit