Konfigurieren eines Anbieters von benutzerdefinierten Ansprüchen für ein Tokenausstellungsereignis

In diesem Artikel wird beschrieben, wie Sie einen benutzerdefinierten Anspruchsanbieter für ein Startereignis der Token-Ausgabe konfigurieren. Mithilfe einer vorhandenen Rest-API für Azure Functions registrieren Sie eine benutzerdefinierte Authentifizierungserweiterung und fügen Attribute hinzu, die von Ihrer REST-API analysiert werden sollen. Zum Testen der benutzerdefinierten Authentifizierungserweiterung registrieren Sie eine OpenID Connect-Beispielanwendung, um ein Token abzurufen und die Ansprüche anzuzeigen.

Voraussetzungen

• Ein Azure-Abonnement mit der Möglichkeit zum Erstellen einer Azure Functions-Instanz. Wenn Sie noch nicht über ein Azure-Konto verfügen, können Sie sich für eine kostenlose Testversion registrieren oder beim Erstellen eines Kontos die Vorteile von Visual Studio Subscription nutzen.
• Eine Azure Function-App mit einer HTTP-Triggerfunktion, die für ein Tokenausstellungsstartereignis konfiguriert ist. Wenn Sie keins haben, führen Sie die Schritte zum Erstellen einer Tokenausstellungsereignis-HTTP-Triggerfunktionaus.
• Ein grundlegendes Verständnis der Konzepte unter Übersicht über benutzerdefinierte Authentifizierungserweiterungen
• Microsoft Entra ID-Mandant. Sie können einen Kunden- oder Mitarbeitermandanten für diese Schrittanleitung verwenden.
  • Für externe Mandanten benötigen Sie einen Benutzerflow für Registrierung und Anmeldung.

Schritt 1: Registrieren einer benutzerdefinierten Authentifizierungserweiterung

Sie konfigurieren eine benutzerdefinierte Authentifizierungserweiterung, die von Microsoft Entra ID zum Aufrufen Ihrer Azure-Funktion verwendet wird. Die benutzerdefinierte Authentifizierungserweiterung enthält Informationen zu Ihrem REST-API-Endpunkt, zu den aus Ihrer REST-API geparsten Ansprüchen sowie zur Authentifizierung bei Ihrer REST-API. Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Authentifizierungserweiterung für Ihre Azure Function-App zu registrieren.

Hinweis

Sie können maximal 100 benutzerdefinierte Erweiterungsrichtlinien verwenden.

Azure portal

Registrieren einer benutzerdefinierten Authentifizierungserweiterung

1. Melden Sie sich beim Azure-Portal mindestens mit der Rolle Anwendungsadministrator und Authentifizierungsadministrator an.
2. Suchen Und wählen Sie Microsoft Entra-ID und Enterprise-Anwendungen aus.
3. Wählen Sie Benutzerdefinierte Authentifizierungserweiterungen und dann Benutzerdefinierte Erweiterung erstellen aus.
4. Wählen Sie unter Grundeinstellungen den Ereignistyp TokenIssuanceStart aus, und wählen Sie dann Weiter aus.
5. Füllen Sie unter Endpunktkonfiguration die folgenden Eigenschaften aus:
   • Name – Ein Name für Ihre benutzerdefinierte Authentifizierungserweiterung. Beispielsweise Tokenausstellungsereignis.
   • Ziel-URL: Die {Function_Url} Ihrer Azure-Funktions-URL. Navigieren Sie zur Seite Übersicht Ihrer Azure Function-App, und wählen Sie dann die von Ihnen erstellte Funktion aus. Wählen Sie auf der Seite Funktionsübersicht die Option Funktions-URL abrufen aus, und verwenden Sie das Kopiersymbol, um die URL zu kopieren.
   • Beschreibung – Eine Beschreibung für Ihre benutzerdefinierten Authentifizierungserweiterungen.
6. Wählen Sie Weiter aus.
7. Wählen Sie unter API-Authentifizierung die Option Neue App-Registrierung erstellen aus, um eine App-Registrierung zu erstellen, die Ihre Funktions-App darstellt.
8. Weisen Sie der App einen Namen zu, z. B. Azure Functions-Authentifizierungsereignis-API.
9. Wählen Sie Weiter aus.
10. Geben Sie unter Ansprüche die Attribute ein, die Ihre benutzerdefinierte Authentifizierungserweiterung aus Ihrer REST-API parsen soll und die im Token zusammengeführt werden. Fügen Sie die folgenden Ansprüche hinzu:
    • dateOfBirth
    • customRoles
    • apiVersion
    • correlationId
11. Wählen Sie Weiter und dann Erstellen aus, wodurch die benutzerdefinierte Authentifizierungserweiterung und die zugehörige Anwendungsregistrierung registriert werden.
12. Beachten Sie die App-ID unter API-Authentifizierung, die zum Festlegen von Umgebungsvariablen in Ihrer Azure-Funktions-App erforderlich ist.

Microsoft Graph

Eine Anwendung registrieren

1. Melden Sie sich beim Graph Explorer mit einem Konto an, dessen Basismandant der Mandant ist, in dem Sie Ihre benutzerdefinierte Authentifizierungserweiterung verwalten möchten. Das Konto muss über die Berechtigung zum Erstellen und Verwalten einer Anwendungsregistrierung im Mandanten verfügen.

2. Führen Sie die folgende Anforderung aus.

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
       "displayName": "authenticationeventsAPI"
   }
   

3. Notieren Sie sich den Wert von id und appId der neu erstellten App-Registrierung aus der Antwort. Diese Werte werden in diesem Artikel als {authenticationeventsAPI_ObjectId} bzw. {authenticationeventsAPI_AppId} bezeichnet.

Erstellen Sie im Mandanten einen Dienstprinzipal für die Registrierung der authenticationeventsAPI-App.

Führen Sie im Graph-Tester die folgende Anforderung aus. Ersetzen Sie {authenticationeventsAPI_AppId} durch den Wert von appId, den Sie im vorherigen Schritt notiert haben.

POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-type: application/json
    
{
    "appId": "{authenticationeventsAPI_AppId}"
}

Festlegen des App-ID-URIs, der Zugriffstokenversion und des erforderlichen Ressourcenzugriffs

Aktualisieren Sie die neu erstellte Anwendung. Legen Sie dabei den Wert für den Anwendungs-ID-URI, die Zugriffstokenversion und den erforderlichen Ressourcenzugriff fest.

Führen Sie im Graph-Tester die folgende Anforderung aus.

• Legen Sie in der Eigenschaft identifierUris den Wert für den Anwendungs-ID-URI fest. Ersetzen Sie {Function_Url_Hostname} durch den Hostnamen der zuvor notierten {Function_Url}.
• Legen Sie den {authenticationeventsAPI_AppId}-Wert anhand der appId fest, die Sie zuvor notiert haben.
• Ein Beispielwert ist api://authenticationeventsAPI.azurewebsites.net/00001111-aaaa-2222-bbbb-3333cccc4444. Notieren Sie sich diesen Wert, da Sie ihn später in diesem Artikel anstelle von {functionApp_IdentifierUri} verwenden werden.

POST https://graph.microsoft.com/v1.0/applications/{authenticationeventsAPI_ObjectId}
Content-type: application/json

{
"identifierUris": [
    "api://{Function_Url_Hostname}/{authenticationeventsAPI_AppId}"
],    
"api": {
    "requestedAccessTokenVersion": 2,
    "acceptMappedClaims": null,
    "knownClientApplications": [],
    "oauth2PermissionScopes": [],
    "preAuthorizedApplications": []
},
"requiredResourceAccess": [
    {
        "resourceAppId": "00000003-0000-0000-c000-000000000000",
        "resourceAccess": [
            {
                "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                "type": "Role"
            }
        ]
    }
]
}

Registrieren einer benutzerdefinierten Authentifizierungserweiterung

Sie registrieren die benutzerdefinierte Authentifizierungserweiterung, indem Sie diese der App-Registrierung für die Azure-Funktion und dem entsprechenden Endpunkt zuordnen {Function_Url}.

1. Führen Sie im Graph-Tester die folgende Anforderung aus. Ersetzen Sie {Function_Url} durch den Hostnamen Ihrer Azure-Funktions-App. Ersetzen Sie {functionApp_IdentifierUri} durch den im vorherigen Schritt verwendeten identifierUri.

   • Sie benötigen die delegierte Berechtigung CustomAuthenticationExtension.ReadWrite.All.

   POST https://graph.microsoft.com/beta/identity/customAuthenticationExtensions
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtension",
       "displayName": "onTokenIssuanceStartCustomExtension",
       "description": "Fetch additional claims from custom user store",
       "endpointConfiguration": {
           "@odata.type": "#microsoft.graph.httpRequestEndpoint",
           "targetUrl": "{Function_Url}"
       },
       "authenticationConfiguration": {
           "@odata.type": "#microsoft.graph.azureAdTokenAuthentication",
           "resourceId": "{functionApp_IdentifierUri}"
       },
       "claimsForTokenConfiguration": [
           {
               "claimIdInApiResponse": "DateOfBirth"
           },
           {
               "claimIdInApiResponse": "CustomRoles"
           }
       ]
   }
   

2. Notieren Sie sich den id-Wert des erstellten benutzerdefinierten Anspruchsanbieterobjekts. Sie verwenden den Wert später in diesem Tutorial anstelle von {customExtensionObjectId}.

1.2 Erteilen der Administratoreinwilligung

Nachdem Ihre benutzerdefinierte Authentifizierungserweiterung erstellt wurde, müssen Sie der API Berechtigungen erteilen. Die benutzerdefinierte Authentifizierungserweiterung verwendet client_credentials für die Authentifizierung bei der Azure-Funktions-App mit der Berechtigung Receive custom authentication extension HTTP requests.

1. Öffnen Sie die Seite Übersicht der neuen benutzerdefinierten Authentifizierungserweiterung. Notieren Sie sich die App-ID unter API-Authentifizierung, da sie beim Hinzufügen eines Identitätsanbieters erforderlich ist.

2. Wählen Sie unter API-Authentifizierung die Option Berechtigung erteilen aus.

3. Ein neues Fenster wird geöffnet. Nach der Anmeldung werden Berechtigungen zum Empfangen von HTTP-Anforderungen für benutzerdefinierte Authentifizierungserweiterungen angefordert. Dadurch kann sich die benutzerdefinierte Authentifizierungserweiterung bei Ihrer API authentifizieren. Wählen Sie Akzeptieren aus.

   

Schritt 2: Konfigurieren einer OpenID Connect-App zum Empfangen angereicherter Token

Sie können die https://jwt.ms-App verwenden, um ein Token abzurufen und die benutzerdefinierte Authentifizierungserweiterung zu testen. Dabei handelt es sich um eine Microsoft-Webanwendung, die den decodierten Inhalt eines Tokens anzeigt (der Inhalt des Tokens verlässt niemals Ihren Browser).

2.1. Registrieren einer Testwebanwendung

Führen Sie die folgenden Schritte aus, um die Webanwendung jwt.ms zu registrieren:

1. Wählen Sie auf derStart-Seite im Azure-Portal die Microsoft Entra-ID aus.

2. Wählen Sie App-Registrierungen>Neue Registrierung aus.

3. Geben Sie unter Name einen Namen für die Anwendung ein. Beispielsweise „Meine Testanwendung“ oder My Test application.

4. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis aus.

5. Wählen Sie im Dropdownmenü Plattform auswählen unter Umleitungs-URI die Option Web aus, und geben Sie dann in das URL-Textfeld die Zeichenfolge https://jwt.ms ein.

6. Wählen Sie Registrieren aus, um die App-Registrierung abzuschließen.

   

7. Kopieren Sie in Ihrer App-Registrierung unter Übersicht die Anwendungs-ID (Client). Die App-ID wird in späteren Schritten als {App_to_enrich_ID} bezeichnet. In Microsoft Graph wird sie durch die appId-Eigenschaft referenziert.

   

2.2 Aktivieren des impliziten Flows

Die Testanwendung jwt.ms verwendet den impliziten Flow. Aktivieren Sie den impliziten Flow in Ihrer App-Registrierung Meine Testanwendung:

1. Wählen Sie unter Verwalten die Option Authentifizierung aus.
2. Aktivieren Sie unter Implizite Genehmigung und Hybridflows das Kontrollkästchen ID-Token (für implizite und Hybridflows verwendet).
3. Wählen Sie Speichern.

2.3 Aktivieren Ihrer App für eine Anspruchszuordnungsrichtlinie

Eine Anspruchszuordnungsrichtlinie wird verwendet, um auszuwählen, welche von der benutzerdefinierten Authentifizierungserweiterung zurückgegebenen Attribute dem Token zugeordnet werden. Damit Token erweitert werden können, müssen Sie die Anwendungsregistrierung explizit aktivieren, um zugeordnete Ansprüche zu akzeptieren:

1. Wählen Sie in Ihrer App-Registrierung Meine Testanwendung unter Verwalten die Option Manifest aus.
2. Suchen Sie im Manifest nach dem Attribut acceptMappedClaims, und legen Sie den Wert auf true fest.
3. Legen Sie accessTokenAcceptedVersion auf 2 fest.
4. Klicken Sie zum Speichern der Änderungen auf Speichern.

Im folgenden JSON-Codeausschnitt wird die Konfiguration dieser Eigenschaften veranschaulicht.

{
	"id": "22222222-0000-0000-0000-000000000000",
	"acceptMappedClaims": true,
	"accessTokenAcceptedVersion": 2,  
    ...
}

Warnung

Legen Sie die acceptMappedClaims-Eigenschaft für mehrinstanzenfähige Apps nicht auf true fest. Dies kann dazu führen, dass böswillige Akteure Anspruchszuordnungsrichtlinien für Ihre App erstellen. Konfigurieren Sie stattdessen einen benutzerdefinierten Signaturschlüssel.

Mitarbeitermandant

Fahren Sie mit dem nächsten Schritt fort: Zuweisen eines benutzerdefinierten Anspruchsanbieters zu Ihrer App.

Externer Mandant

3.4 Zuordnen der App zum Benutzerflow

Bei externen Mandanten müssen Sie Ihre App einem Benutzerflow zuordnen. Ein Benutzerflow definiert die Authentifizierungsmethoden, die ein Kunde verwenden kann, um sich bei Ihrer Anwendung anzumelden, sowie die Informationen, die er bei der Registrierung angeben muss. Führen Sie unbedingt die Schritte unter Hinzufügen einer Anwendung zu einem Benutzerflow aus, bevor Sie Meine Testanwendung zum Benutzerflow hinzufügen.

Schritt 3: Zuweisen eines benutzerdefinierten Anspruchsanbieters zu Ihrer App

Damit Token mit von der benutzerdefinierten Authentifizierungserweiterung eingehenden Ansprüchen ausgestellt werden, müssen Sie Ihrer Anwendung einen benutzerdefinierten Anspruchsanbieter zuweisen. Dieser Schritt basiert auf der Tokenzielgruppe. Daher muss der Anbieter der Clientanwendung zugeordnet sein, um Ansprüche in einem ID-Token zu empfangen, und der Ressourcenanwendung, um Ansprüche in einem Zugriffstoken zu empfangen. Der benutzerdefinierte Anspruchsanbieter basiert auf der mit dem Ereignislistener Start der Tokenausgabe konfigurierten benutzerdefinierten Authentifizierungserweiterung. Sie können auswählen, ob dem Token alle oder eine Teilmenge der Ansprüche des benutzerdefinierten Anspruchsanbieters zugeordnet werden sollen.

Hinweis

Sie können nur 250 eindeutige Zuweisungen zwischen Anwendungen und benutzerdefinierten Erweiterungen erstellen. Wenn Sie denselben Aufruf einer benutzerdefinierten Erweiterung in mehreren Apps anwenden möchten, wird die Verwendung der Microsoft Graph-API authenticationEventListeners empfohlen, um Listener für mehrere Anwendungen zu erstellen. Dies wird im Azure-Portal nicht unterstützt.

Führen Sie die folgenden Schritte aus, um Meine Testanwendung mit Ihrer benutzerdefinierten Authentifizierungserweiterung zu verbinden:

Azure portal

So weisen Sie die benutzerdefinierte Authentifizierungserweiterung als Quelle eines benutzerdefinierten Anspruchsanbieters zu

1. Wählen Sie auf derStart-Seite im Azure-Portal die Microsoft Entra-ID aus.

2. Wählen Sie unter Verwalten die Option Unternehmensanwendungen und dann Alle Anwendungen aus. Suchen Und wählen Sie Meine Testanwendung aus der Liste aus.

3. Navigieren Sie auf der Seite Übersicht von Meine Testanwendung zu Verwalten, und wählen Sie Einmaliges Anmelden aus.

4. Wählen Sie unter Attribute & Ansprüche die Option Bearbeiten aus.

   

5. Erweitern Sie das Menü Erweiterte Einstellungen.

6. Wählen Sie neben Benutzerdefinierter Anspruchsanbieter die Option Konfigurieren aus.

7. Erweitern Sie das Dropdownfeld Benutzerdefinierter Anspruchsanbieter, und wählen Sie das zuvor von Ihnen erstellte Tokenausstellungsereignis aus.

8. Wählen Sie Speichern aus.

Weisen Sie als Nächstes die Attribute des benutzerdefinierten Anspruchsanbieters zu, die im Token als Ansprüche ausgestellt werden sollen:

1. Wählen Sie Neuen Anspruch hinzufügen aus, um einen neuen Anspruch hinzuzufügen. Geben Sie einen Namen für den auszustellenden Anspruch an, z. B. dateOfBirth.

2. Wählen Sie unter Quelle die Option Attribut aus. Wählen Sie anschließend im Dropdownfeld Quellattribut die Option customClaimsProvider.dateOfBirth aus.

   

3. Wählen Sie Speichern.

4. Wiederholen Sie diesen Vorgang, um die Attribute customClaimsProvider.customRoles, customClaimsProvider.apiVersion und customClaimsProvider.correlationId sowie den entsprechenden Namen hinzuzufügen. Es ist ratsam, den Namen des Anspruchs auf den Namen des Attributs abzustimmen.

Microsoft Graph

Erstellen Sie zunächst einen Ereignislistener, um unter Verwendung des Startereignisses für die Tokenausstellung eine benutzerdefinierte Authentifizierungserweiterung für Meine Testanwendung auszulösen.

1. Melden Sie sich beim Graph-Tester mit einem Konto an, dessen Basismandant der Mandant ist, in dem Sie Ihre benutzerdefinierte Authentifizierungserweiterung verwalten möchten.

2. Führen Sie die folgende Anforderung aus. Ersetzen Sie {App_to_enrich_ID} durch die zuvor notierte App-ID von Meine Testanwendung. Ersetzen Sie {customExtensionObjectId} durch die zuvor aufgezeichnete ID der benutzerdefinierten Authentifizierungserweiterung.

   • Sie benötigen die delegierte Berechtigung EventListener.ReadWrite.All.

   POST https://graph.microsoft.com/beta/identity/authenticationEventListeners
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartListener",
       "conditions": {
           "applications": {
               "includeAllApplications": false,
               "includeApplications": [
                   {
                       "appId": "{App_to_enrich_ID}"
                   }
               ]
           }
       },
       "priority": 500,
       "handler": {
           "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtensionHandler",
           "customExtension": {
               "id": "{customExtensionObjectId}"
           }
       }
   }
   

Erstellen Sie als Nächstes die Anspruchszuordnungsrichtlinie, die beschreibt, welche Ansprüche von einem benutzerdefinierten Anspruchsanbieter für eine Anwendung ausgestellt werden können.

1. Führen Sie im Graph-Tester die folgende Anforderung aus. Sie benötigen die delegierte Berechtigung Policy.ReadWrite.ApplicationConfiguration.

   POST https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies
   Content-type: application/json
   
   {
       "definition": [
           "{\"ClaimsMappingPolicy\":{\"Version\":1,\"IncludeBasicClaimSet\":\"true\",\"ClaimsSchema\":[{\"Source\":\"CustomClaimsProvider\",\"ID\":\"DateOfBirth\",\"JwtClaimType\":\"dob\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CustomRoles\",\"JwtClaimType\":\"my_roles\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CorrelationId\",\"JwtClaimType\":\"correlationId\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"ApiVersion\",\"JwtClaimType\":\"apiVersion \"},{\"Value\":\"tokenaug_V2\",\"JwtClaimType\":\"policy_version\"}]}}"
       ],
       "displayName": "MyClaimsMappingPolicy",
       "isOrganizationDefault": false
   }
   

2. Notieren Sie sich die in der Antwort generierte ID. Sie wird später als {claims_mapping_policy_ID} bezeichnet.

Rufen Sie die Objekt-ID des Dienstprinzipals ab:

1. Führen Sie die folgende Anforderung im Graph-Tester aus. Ersetzen Sie {App_to_enrich_ID} durch die appId von Meine Testanwendung.

   GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='{App_to_enrich_ID}')
   

Notieren Sie sich den Wert von id.

Weisen Sie dem Dienstprinzipal von Meine Testanwendung die Anspruchszuordnungsrichtlinie zu.

1. Führen Sie die folgende Anforderung im Graph-Tester aus. Sie benötigen die delegierten Berechtigungen Policy.ReadWrite.ApplicationConfiguration und Application.ReadWrite.All.

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{test_App_Service_Principal_ObjectId}/claimsMappingPolicies/$ref
   Content-type: application/json
   
   {
       "@odata.id": "https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies/{claims_mapping_policy_ID}"
   }
   

Schritt 4: Schützen Ihrer Azure-Funktion

Die benutzerdefinierte Microsoft Entra-Authentifizierungserweiterung verwendet den Server-zu-Server-Flow, um ein Zugriffstoken abzurufen, das im HTTP-Header Authorization an Ihre Azure-Funktion gesendet wird. Wenn Sie Ihre Funktion in Azure – insbesondere in einer Produktionsumgebung – veröffentlichen, müssen Sie das im Autorisierungsheader gesendete Token überprüfen.

Führen Sie zum Schutz Ihrer Azure-Funktion die folgenden Schritte zum Integrieren der Microsoft Entra-Authentifizierung aus, um eingehende Token mit der Azure Functions-Authentifizierungsereignis-API zur Authentifizierungsregistrierung zu überprüfen. Verwenden Sie abhängig von Ihrem Mandantentyp eine der folgenden Registerkarten aus.

Hinweis

Wenn die Azure-Funktions-App in einem anderen Azure-Mandanten gehostet wird als dem Mandanten, in dem Ihre benutzerdefinierte Authentifizierungserweiterung registriert ist, wählen Sie die Registerkarte OpenID Connect aus.

4.1. Verwenden des Microsoft Entra-Identitätsanbieters

Führen Sie die folgenden Schritte aus, um Microsoft Entra als Identitätsanbieter zu Ihrer Azure-Funktions-App hinzuzufügen.

Mitarbeitermandant

1. Suchen Sie im Azure-Portal die zuvor veröffentlichte Funktions-App, und wählen Sie diese aus.

2. Wählen Sie unter Einstellungen die Option Authentifizierung aus.

3. Wählen Sie Identitätsanbieter hinzufügen aus.

4. Wählen Sie Microsoft als Identitätsanbieter aus.

5. Wählen Sie als Mandantentyp den Wert Mitarbeiter aus.

6. Wählen Sie unter App-Registrierung die Option Vorhandene App-Registrierung in diesem Verzeichnis auswählen für App-Registrierungstyp aus. Wählen Sie dann die App-Registrierung Azure Functions-Authentifizierungsereignis-API aus, die Sie beim Registrieren des benutzerdefinierten Anspruchsanbieters zuvor erstellt haben.

7. Geben Sie die Aussteller-URL https://login.microsoftonline.com/{tenantId}/v2.0 ein, wobei {tenantId} die Mandanten-ID Ihres Mitarbeitermandanten ist.

8. Wählen Sie unter Nicht authentifizierte Anforderungen die Option HTTP 401 (nicht autorisiert): für APIs empfohlen aus.

9. Deaktivieren Sie die Option Tokenspeicher.

10. Wählen Sie Hinzufügen aus, um Ihrer Azure-Funktion die Authentifizierung hinzuzufügen.

    

Externer Mandant

1. Suchen Sie im Azure-Portal die zuvor veröffentlichte Funktions-App, und wählen Sie diese aus.

2. Wählen Sie unter Einstellungen die Option Authentifizierung aus.

3. Wählen Sie Identitätsanbieter hinzufügen aus.

4. Wählen Sie Microsoft als Identitätsanbieter aus.

5. Wählen Sie als Mandantentyp Kunde aus.

6. Geben Sie unter App-Registrierung die Client-ID (client_id) der App-Registrierung Azure Functions-Authentifizierungsereignis-API ein, die Sie beim Registrieren des benutzerdefinierten Anspruchsanbieters zuvor erstellt haben.

7. Geben Sie für Aussteller-URL die URL https://{domainName}.ciamlogin.com/{tenant_id}/v2.0 ein. Dabei gilt Folgendes:

   • {domainName} ist der Domänenname Ihres externen Mandanten im Formular {domainName}.contoso.com.
   • {tenantId} ist die Mandanten-ID Ihres externen Mandanten.

8. Wählen Sie unter Nicht authentifizierte Anforderungen die Option HTTP 401 (nicht autorisiert): für APIs empfohlen aus.

9. Deaktivieren Sie die Option Tokenspeicher.

10. Wählen Sie Hinzufügen aus, um Ihrer Azure-Funktion die Authentifizierung hinzuzufügen.

    

4.2 Verwenden des OpenID Connect-Identitätsanbieters

Wenn Sie Microsoft als Identitätsanbieter konfiguriert haben, überspringen Sie diesen Schritt. Wird die Azure-Funktion jedoch in einem anderen Mandanten gehostet als dem Mandanten, in dem Ihre benutzerdefinierte Authentifizierungserweiterung registriert ist, führen Sie die folgenden Schritte aus, um Ihre Funktion zu schützen:

Erstellen eines Clientgeheimnisses

1. Wählen Sie auf der Start-Seite im Azure-Portal Microsoft Entra ID>App-Registrierungen aus.
2. Wählen Sie die App-Registrierung Azure Functions-Authentifizierungsereignis-API aus, die Sie zuvor erstellt haben.
3. Wählen Sie Zertifikate und Geheimnisse>Geheime Clientschlüssel>Neuer geheimer Clientschlüssel aus.
4. Wählen Sie für das Geheimnis eine Ablauffrist aus, oder geben Sie eine benutzerdefinierte Lebensdauer an, fügen Sie eine Beschreibung hinzu, und wählen Sie dann Hinzufügen aus.
5. Notieren Sie sich den Wert des geheimen Clientschlüssels, der in Ihrem Clientanwendungscode verwendet werden soll. Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden.

Als Nächstes fügen Sie Ihrer Azure-Funktions-App den OpenID Connect-Identitätsanbieter hinzu.

1. Suchen Sie die zuvor veröffentlichte Funktions-App, und wählen Sie diese aus.

2. Wählen Sie unter Einstellungen die Option Authentifizierung aus.

3. Wählen Sie Identitätsanbieter hinzufügen aus.

4. Wählen Sie OpenID Connect als Identitätsanbieter aus.

5. Geben Sie einen Namen an, z. B. Contoso Microsoft Entra ID.

6. Geben Sie unter dem Metadateneintrag die folgende URL zur Dokument-URL ein. Ersetzen Sie {tenantId} durch Ihre Microsoft Entra-Mandanten-ID.

   https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
   

7. Geben Sie unter der App-Registrierung die Anwendungs-ID (Client-ID) der App-Registrierung Azure Functions-Authentifizierungsereignis-API ein, die Sie zuvor erstellt haben.

8. Geben Sie zur Azure-Funktion zurück, und geben Sie unter App-Registrierung den Wert für Geheimer Clientschlüssel ein.

9. Deaktivieren Sie die Option Tokenspeicher.

10. Wählen Sie Hinzufügen aus, um den OpenID Connect-Identitätsanbieter hinzuzufügen.

Schritt 5: Testen der Anwendung

Führen Sie die folgenden Schritte aus, um Ihren benutzerdefinierten Anspruchsanbieter zu testen:

Mitarbeitermandant

1. Öffnen Sie ein neues privates Browserfenster, und navigieren Sie zur folgenden URL, um sich anzumelden.

   https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Ersetzen Sie {tenantId} durch Ihre Mandanten-ID, Ihren Mandantennamen oder einen Ihrer überprüften Domänennamen. Beispiel: contoso.onmicrosoft.com.

3. Ersetzen Sie {App_to_enrich_ID} durch die Client-ID für Meine Testanwendung.

4. Nach der Anmeldung wird Ihr decodiertes Token unter https://jwt.ms angezeigt. Überprüfen Sie, ob die Ansprüche aus der Azure-Funktion im decodierten Token enthalten sind, z. B. dateOfBirth.

Externer Mandant

1. Öffnen Sie ein neues privates Browserfenster, und navigieren Sie zur folgenden URL, um sich anzumelden.

   https://{domainName}.ciamlogin.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Ersetzen Sie {domainName} durch Ihren Domänennamen, z. B. contoso.

3. Ersetzen Sie {tenantId} durch Ihre Mandanten-ID, Ihren Mandantennamen oder einen Ihrer überprüften Domänennamen. Beispiel: contoso.onmicrosoft.com.

4. Ersetzen Sie {App_to_enrich_ID} durch die Client-ID für Meine Testanwendung.

5. Durchlaufen Sie den von Ihnen konfigurierten Benutzerflow für die Anmeldung, und akzeptieren Sie die angeforderten Berechtigungen.

6. Nach der Anmeldung wird Ihr decodiertes Token unter https://jwt.ms angezeigt. Überprüfen Sie, ob die Ansprüche aus der Azure-Funktion im decodierten Token enthalten sind, z. B. dateOfBirth.

Siehe auch

• Konfigurieren einer SAML-App zum Empfangen von Token mit Ansprüchen aus einem externen Speicher
• Referenz zu benutzerdefinierten Anspruchsanbietern
• Behandeln von Problemen im Zusammenhang mit Ihrer API für benutzerdefinierte Authentifizierungserweiterungen