Sdílet prostřednictvím


Přehled rozšíření vlastního ověřování

Tento článek obsahuje obecný technický přehled vlastních rozšíření ověřování pro Microsoft Entra ID. Vlastní rozšíření ověřování umožňují přizpůsobit prostředí ověřování Microsoft Entra integrací s externími systémy.

Následující diagram znázorňuje tok přihlášení integrovaný s vlastním rozšířením ověřování.

Diagram znázorňující rozšíření tokenu deklaracemi z externího zdroje

  1. Uživatel se pokusí přihlásit k aplikaci a přesměruje se na přihlašovací stránku Microsoft Entra.
  2. Jakmile uživatel dokončí určitý krok ověřování, aktivuje se naslouchací proces události.
  3. Vaše vlastní rozšíření ověřování odešle požadavek HTTP do koncového bodu rozhraní REST API. Požadavek obsahuje informace o události, profilu uživatele, datech relace a dalších kontextových informacích.
  4. Rozhraní REST API provádí vlastní pracovní postup.
  5. Rozhraní REST API vrátí odpověď HTTP na ID Microsoft Entra.
  6. Vlastní rozšíření ověřování Microsoft Entra zpracuje odpověď a přizpůsobí ověřování na základě typu události a datové části odpovědi HTTP.
  7. Do aplikace se vrátí token.

Koncový bod rozhraní REST API pro rozšíření vlastního ověřování

Když se událost aktivuje, Microsoft Entra ID volá koncový bod rozhraní REST API, který vlastníte. Požadavek na rozhraní REST API obsahuje informace o události, profilu uživatele, datech žádosti o ověření a dalších kontextových informacích.

K vytvoření a hostování vlastních rozšíření ověřování REST API můžete použít libovolný programovací jazyk, architekturu a hostitelské prostředí. Rychlý způsob, jak začít, získáte pomocí funkce Azure Functions v jazyce C#. Azure Functions umožňuje spouštět kód v bezserverovém prostředí, aniž byste museli nejprve vytvořit virtuální počítač nebo publikovat webovou aplikaci.

Vaše rozhraní REST API musí zpracovávat:

  • Ověření tokenu pro zabezpečení volání rozhraní REST API
  • Obchodní logika
  • Příchozí a odchozí ověřování schémat požadavků HTTP a odpovědí.
  • Auditování a protokolování
  • Dostupnost, výkon a kontrolní mechanismy zabezpečení

Pro vývojáře, kteří používají rozhraní REST API ve službě Azure Functions, zvažte použití knihovny NuGet Microsoft.Azure.WebJobs.Extensions.AuthenticationEvents , která pomáhá s implementací ověřování tokenů pomocí integrovaných možností ověřování Microsoft Azure. Poskytuje datový model pro různé typy událostí, inicializuje příchozí a odchozí požadavky a zpracování odpovědí, takže se můžete zaměřit na obchodní logiku.

Ochrana rozhraní REST API

Aby bylo zajištěno, že komunikace mezi vlastním rozšířením ověřování a vaším rozhraním REST API je zabezpečená správně, je potřeba použít více bezpečnostních prvků.

  1. Když rozšíření vlastního ověřování volá vaše rozhraní REST API, odešle hlavičku HTTP Authorization s nosným tokenem vydaným ID Microsoft Entra.
  2. Nosný token obsahuje appid nebo azp deklarace identity. Ověřte, že příslušná deklarace identity obsahuje 99045fe1-7639-4a75-9d4a-577b6ca3810f hodnotu. Tato hodnota zajišťuje, že ID Microsoft Entra je id, který volá rozhraní REST API.
    1. V případě aplikací V1 ověřte appid deklaraci identity.
    2. V případě aplikací V2 ověřte azp deklaraci identity.
  3. Deklarace cílové skupiny nosného tokenu aud obsahuje ID přidružené registrace aplikace. Koncový bod rozhraní REST API musí ověřit, že je pro danou cílovou skupinu vystaven nosný token.
  4. Deklarace vystavitele nosný token iss obsahuje adresu URL vystavitele Microsoft Entra. V závislosti na konfiguraci tenanta bude adresa URL vystavitele jedna z následujících možností:
    • Pracovníci: https://login.microsoftonline.com/{tenantId}/v2.0.
    • Zákazník: https://{domainName}.ciamlogin.com/{tenantId}/v2.0.

Vlastní zprostředkovatel deklarací identity

Vlastní zprostředkovatel deklarací identity je typ rozšíření vlastního ověřování, které volá rozhraní REST API k načtení deklarací identity z externích systémů. Vlastní zprostředkovatel deklarací identity mapuje deklarace identity z externích systémů na tokeny a dá se přiřadit k jedné nebo mnoha aplikacím ve vašem adresáři.

Přečtěte si další informace o vlastních zprostředkovatelech deklarací identity.

Zahájení a odesílání událostí kolekce atributů

Události zahájení a odesílání kolekce atributů lze použít s vlastními rozšířeními ověřování, které přidávají logiku před a po shromáždění atributů od uživatele. Můžete například přidat pracovní postup pro ověření atributů, které uživatel zadá během registrace. OnAttributeCollectionStart událost nastane na začátku kroku kolekce atributů před vykreslení stránky kolekce atributů. Umožňuje přidat akce, jako jsou předvyplňování hodnot a zobrazení blokující chyby. Událost OnAttributeCollectionSubmit se aktivuje poté, co uživatel zadá a odešle atributy, což vám umožní přidat akce, jako je ověřování položek nebo úpravy atributů.

Poznámka:

Události zahájení a odesílání kolekce atributů jsou aktuálně dostupné jenom pro toky uživatelů v Microsoft Entra Externí ID v externích tenantech. Podrobnosti najdete v tématu Přidání vlastní obchodní logiky.

Viz také