Créer une extension d’authentification personnalisée pour le démarrage de la collection d’attributs et l’envoi d’événements (préversion)

S’applique à : Clients de main-d’œuvre Clients externes (en savoir plus)

Cet article explique comment étendre l’expérience d’inscription de l’utilisateur dans l’ID externe Microsoft Entra pour les clients. Dans les flux d’utilisateurs d’inscription du client, les écouteurs d’événements peuvent être utilisés pour étendre le processus de collection d’attributs avant celle-ci et au moment de l’envoi d’attributs :

• L’événement OnAttributeCollectionStart se produit au début de l’étape de collection d’attributs, avant le rendu de la page de collection d’attributs. Vous pouvez ajouter des actions telles que Préremplir des valeurs et Afficher une erreur bloquante.

  Conseil

  

  Pour essayer cette fonctionnalité, accédez à la version de démonstration Woodgrove Groceries et démarrez le cas d’utilisation « Préremplir les attributs d’inscription ».

• L’événement OnAttributeCollectionSubmit se produit une fois que l’utilisateur entre et envoie des attributs. Vous pouvez ajouter des actions telles que Valider ou modifier des entrées de l’utilisateur.

  Conseil

  

  Pour essayer cette fonctionnalité, accédez à la version de démonstration Woodgrove Groceries et démarrez le cas d’utilisation « Valider les attributs d’inscription » ou le cas d’utilisation « Empêcher un utilisateur de poursuivre le processus d’inscription ».

Outre la création d’une extension d’authentification personnalisée pour le démarrage et l’envoi d’événements de collection d’attributs, vous devez créer une API REST qui définit les actions de flux de travail à entreprendre pour chaque événement. Vous pouvez utiliser n’importe quel langage de programmation, infrastructure et environnement d’hébergement pour créer et héberger votre API REST. Cet article illustre un moyen rapide de commencer à utiliser une fonction Azure C#. Azure Functions vous permet d’exécuter votre code dans un environnement serverless, sans avoir à créer une machine virtuelle ou à publier une application web au préalable.

Prérequis

• Pour utiliser les services Azure, y compris Azure Functions, vous avez besoin d’un abonnement Azure. Si vous n’avez pas de compte Azure, vous pouvez vous inscrire à un essai gratuit ou utiliser les avantages de votre abonnement Visual Studio quand vous créez un compte.
• Flux d’utilisateur d’inscription et de connexion.

Étape 1 : Créer une API REST d’extensions d’authentification personnalisées (application de fonction Azure)

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Dans cette étape, vous créez une API de fonction de déclencheur HTTP à l’aide d’Azure Functions. L’API de fonction est la source de la logique métier pour vos flux d’utilisateurs. Après avoir créé votre fonction de déclencheur, vous pouvez la configurer pour un des événements suivants :

• OnAttributeCollectionStart
• OnAttributeCollectionSubmit

1. Connectez-vous au portail Azure avec votre compte d’administrateur.

2. Dans le menu du portail Azure ou dans la page Accueil, sélectionnez Créer une ressource.

3. Recherchez et sélectionnez Application de fonction, puis sélectionnez Créer.

4. Dans la page De base, utilisez les paramètres d’application de fonction comme indiqué dans le tableau ci-dessous :

   Setting	Valeur suggérée	Description
   Abonnement	Votre abonnement	Abonnement dans lequel la nouvelle application de fonction sera créée.
   Groupe de ressources	myResourceGroup	Sélectionnez le groupe de ressources existant ou le nom du nouveau dans lequel vous allez créer votre application de fonction.
   Nom de l’application de fonction	Nom globalement unique	Nom qui identifie la nouvelle application de fonction. Les caractères valides sont a-z (insensible à la casse), 0-9 et -.
   Publier	Code	Option de publication de fichiers de code ou d’un conteneur Docker. Pour les besoins de ce didacticiel, sélectionnez Code.
   Pile d’exécution	.NET	Votre langage de programmation préféré. Pour les besoins de ce didacticiel, sélectionnez .NET.
   Version	6 (LTS) In-process	Version du runtime .NET. In-process signifie que vous pouvez créer et modifier des fonctions dans le portail, ce qui est recommandé pour ce guide
   Région	Région recommandée	Sélectionnez une région proche de chez vous, ou proche d’autres services auxquels vos fonctions peuvent accéder.
   Système d’exploitation	Windows	Le système d’exploitation est présélectionné pour vous en fonction de la pile d’exécution que vous avez sélectionnée.
   Type de plan	Consommation (serverless)	Plan d’hébergement qui définit la façon dont les ressources sont allouées à votre application de fonction.

5. Sélectionnez Vérifier + créer pour passer en revue les sélections de configuration d’application, puis sélectionnez Créer. Le déploiement prend quelques minutes.

6. Une fois le déploiement effectué, sélectionnez Accéder à la ressource pour voir votre nouvelle application de fonction.

1.1 Créer des fonctions de déclencheur HTTP

Maintenant que vous avez créé l’application de fonction Azure, vous créez des fonctions de déclencheur HTTP pour les actions que vous souhaitez appeler avec une requête HTTP. Ces déclencheurs HTTP sont référencés et appelés par votre extension d’authentification personnalisée Microsoft Entra.

1. Dans la page Vue d’ensemble de votre application de fonction, sélectionnez le volet Fonctions, puis sélectionnez Créer une fonction sous Créer dans le Portail Microsoft Azure.
2. Dans la fenêtre Créer une fonction, laissez la propriété Environnement de développement définie sur Développer dans le portail. Sous Modèle, sélectionnez Déclencheur HTTP.
3. Sous Détails du modèle, entrez CustomAuthenticationExtensionsAPI comme propriété Nouvelle fonction.
4. Pour le niveau d’autorisation, sélectionnez Fonction.
5. Sélectionnez Créer.

1.2 Configurer le déclencheur HTTP pour OnAttributeCollectionStart

1. Dans le menu, sélectionnez Code + test.
2. Sélectionnez l’onglet ci-dessous pour le scénario que vous souhaitez implémenter : Continuer, Bloquer ou SetPrefillValues. Remplacez le code par le ou les extraits de code fournis.
3. Après avoir remplacé le code, dans le menu supérieur, sélectionnez Obtenir l’URL de la fonction, puis copiez l’URL. Vous utilisez cette URL à l’Étape 2 : créer et inscrire une extension d’authentification personnalisée pour l’URL cible.

Continuer

Utilisez ce déclencheur HTTP pour permettre à l’utilisateur de continuer avec le flux d’inscription si aucune action supplémentaire n’est nécessaire.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);


    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionStart.continueWithDefaultBehavior"}
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
}

Blocage

Utilisez ce déclencheur HTTP pour empêcher l’utilisateur de poursuivre le processus d’inscription. Par exemple, vous pouvez utiliser un service de vérification d’identité ou une source de données d’identité externe pour vérifier l’adresse e-mail de l’utilisateur.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    
    dynamic request = JsonConvert.DeserializeObject(requestBody);       

    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionStart.showBlockPage", 
            message = "AttributeCollectionStart Custom Extension message: Sorry, your access request has been blocked. Try reaching an admin at admin@contoso.com."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Valeurs de préremplissage

Utilisez ce déclencheur HTTP pour préremplir les valeurs associées au flux d’utilisateur, par exemple à partir d’un système RH externe ou d’une autre source de données. Vous pouvez préremplir des valeurs pour les attributs intégrés (par exemple, l’adresse), les attributs utilisateur personnalisés (par exemple, le numéro de fidélité).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // The form fields will load with these default values
    var inputs = new Dictionary<string, object>()
    {
        { "postalCode", "<your-prefill-value>" },
        { "streetAddress", "<your-prefill-value>" },
        { "city", "<your-prefill-value>" },
        { "extension_appId_mailingList", false },
        { "extension_appId_memberSince", 2023 }      
    };

    var actions = new List<SetPrefillValuesAction>{
        new SetPrefillValuesAction { 
            type = "microsoft.graph.attributeCollectionStart.setPrefillValues", 
            inputs = inputs }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<SetPrefillValuesAction> actions { get; set; }
}

[JsonObject]
public class SetPrefillValuesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> inputs { get; set; }
}

1.3 Configurer le déclencheur HTTP pour OnAttributeCollectionSubmit

1. Dans le menu, sélectionnez Code + test.
2. Sélectionnez l’onglet ci-dessous pour le scénario que vous souhaitez implémenter : Continuer, Bloquer, Modifier les valeurs ou Erreur de validation. Remplacez le code par le ou les extraits de code fournis.
3. Après avoir remplacé le code, dans le menu supérieur, sélectionnez Obtenir l’URL de la fonction, puis copiez l’URL. Vous utilisez cette URL à l’Étape 2 : créer et inscrire une extension d’authentification personnalisée pour l’URL cible.

Continuer

Utilisez ce déclencheur HTTP pour permettre à l’utilisateur de continuer avec le flux d’inscription si aucune action supplémentaire n’est nécessaire.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.continueWithDefaultBehavior"}
    };
						
    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };
	    
	dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Blocage

Utilisez ce déclencheur HTTP pour empêcher l’utilisateur de poursuivre le processus d’inscription en fonction des valeurs d’attribut entrées. Par exemple, vous pouvez bloquer l’inscription en fonction d’un numéro de téléphone risqué. Vous pouvez également mettre fin au flux d’inscription et diriger l’utilisateur vers un système d’approbation personnalisé pour la création de compte.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionSubmit.showBlockPage", 
            message = "AttributeCollectionSubmit Custom Extension Message: Thank you for your response. Your access request is processing. You'll be notified when your request has been approved."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Modifier les valeurs

Utilisez ce déclencheur HTTP pour modifier la collection d’attributs de l’utilisateur. Par exemple, vous pouvez modifier le format d’un attribut fourni par l’utilisateur. Une fois les attributs modifiés, l’inscription continue sans notification à l’utilisateur. Si une notification est requise, utilisez l’action de validation.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    // User attributes will be saved with these override values
    var attributes = new Dictionary<string, object>()
    {
        { "postalCode", "<your-override-value>" },
        { "streetAddress", "<your-override-value>" },
        { "city", "<your-override-value>" },
        { "extension_appId_mailingList", false }
        { "extension_appId_memberSince", 2010 }
    };

    var actions = new List<ModifiedAttributesAction>{
        new ModifiedAttributesAction { 
            type = "microsoft.graph.attributeCollectionSubmit.modifyAttributeValues", 
            attributes = attributes 
        }
    };

    log.LogInformation("actions: " + actions);

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };


    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ModifiedAttributesAction> actions { get; set; }
}

[JsonObject]
public class ModifiedAttributesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> attributes { get; set; }
}

Erreur de validation

Utilisez ce déclencheur HTTP pour valider les attributs entrés par l’utilisateur. Par exemple, vous pouvez valider des attributs sur un magasin de données externe. Vous pouvez valider des attributs intégrés (par exemple, le pays), des attributs utilisateur personnalisés (par exemple, le numéro de fidélité).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation($"C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // Parse specified attributes
    string cityValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.city?.value)).ToString();

    string postalCodeValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.postalCode?.value)).ToString();

    string streetAddressValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.streetAddress?.value)).ToString();

    // JSON convert makes the length different, so we put 7 here
    if(cityValue.Length < 7 || postalCodeValue.Length < 7 || streetAddressValue.Length < 7){
        var inputs = new Dictionary<string, string>();

        if(cityValue.Length < 7){
            inputs.Add("city", "Length of city string should be of at 5 characters at least");
        }

        if(postalCodeValue.Length < 7){
            inputs.Add("postalCode", "Length of postalCodeValue string should be of at 5 characters at least");
        }

        if(streetAddressValue.Length < 7){
            inputs.Add("streetAddress", "Length of streetAddress string should be of at 5 characters at least");
        }

        string pageMessage = "Please fix below errors to proceed";

        var actions = new List<ValidationErrorActions>{
            new ValidationErrorActions { type = "microsoft.graph.attributeCollectionSubmit.ShowValidationError", message = pageMessage, attributeErrors = inputs }
        };

        
        var dataObject = new Data {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
        };

        dynamic response = new ResponseObject {
            data = dataObject
        };

        log.LogInformation($"Returning validation error");

        // Send the validation error response
        return response;

    }else{
        var actions = new List<ContinueWithDefaultBehavior>{
            new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.ContinueWithDefaultBehavior"}
            };

        
        var dataObject = new DataContinue {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
            };

        dynamic response = new ResponseObjectContinue {
            data = dataObject
        };

        log.LogInformation($"Returning continue");
        
        // Send the continue response
        return response;
    }
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ValidationErrorActions> actions { get; set; }
}

[JsonObject]
public class ValidationErrorActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
    public Dictionary<string, string> attributeErrors {get; set;}
}


public class ResponseObjectContinue
{
    public DataContinue data { get; set; }
}

[JsonObject]
public class DataContinue {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Étape 2 : Créer et inscrire une extension d’authentification personnalisée

Dans cette étape, vous inscrivez une extension d’authentification personnalisée utilisée par Microsoft Entra ID pour appeler votre fonction Azure. L’extension d’authentification personnalisée contient des informations sur votre point de terminaison d’API REST, sur les actions de démarrage et d’envoi de la collection d’attributs qu’elle analyse à partir de votre API REST et sur la façon de s’authentifier auprès de votre API REST.

1. Connectez-vous au centre d’administration Microsoft Entra au minimum en tant qu’Administrateur d’application et Administrateur d’authentification.

2. Accédez à Identité>Identités externes>Extensions d’authentification personnalisées.

3. Sélectionnez Créer une extension personnalisée.

4. Dans Éléments de base, sélectionnez l’événement AttributeCollectionStart ou l’événement AttributeCollectionSubmit, puis Suivant. Vérifiez que ceci correspond à la configuration de l’étape précédente.

5. Dans Configuration du point de terminaison, renseignez les propriétés suivantes :

   • Nom : spécifiez un nom pour votre extension d’authentification personnalisée. Par exemple, Événement On Attribute Collection.
   • URL cible : {Function_Url} de l’URL de votre fonction Azure.
   • Description : description de vos extensions d’authentification personnalisées.

6. Cliquez sur Suivant.

7. Dans Authentification d’API, sélectionnez l’option Créer une inscription d’application pour créer une inscription d’application qui représente votre application de fonction.

8. Donnez un nom à l’application, par exemple API d’événements d’authentification de fonctions Azure.

9. Cliquez sur Suivant.

10. Sélectionnez Créer, qui crée l’extension d’authentification personnalisée et l’inscription d’application associée.

2.2 Accorder un consentement administrateur

Une fois votre extension d’authentification personnalisée créée, accordez le consentement à l’application inscrite ; cela permet à l’extension d’authentification personnalisée de s’authentifier auprès de votre API.

1. Accédez à Identité>Identités externes>Extensions d’authentification personnalisées (préversion).
2. Sélectionnez votre extension d’authentification personnalisée dans la liste.
3. Dans l’onglet Vue d’ensemble, sélectionnez le bouton Accorder l’autorisation pour donner le consentement administrateur à l’application inscrite. L’extension d’authentification personnalisée utilise client_credentials pour s’authentifier auprès de l’application de fonction Azure à l’aide de l’autorisation Receive custom authentication extension HTTP requests. Sélectionnez Accepter.

Étape 3 : Ajouter l’extension d’authentification personnalisée à un flux d’utilisateur

Vous pouvez maintenant associer l’extension d’authentification personnalisée à un ou plusieurs de vos flux d’utilisateurs.

Remarque

Si vous devez créer un flux d’utilisateur, suivez les étapes décrites dans Créer un flux d’utilisateur d’inscription et de connexion pour les clients.

3.1 Ajouter l’extension d’authentification personnalisée à un flux d’utilisateur existant

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’application et Administrateur d’authentification

2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe.

3. Accédez à Identité>Identités externes>Flux utilisateur.

4. Sélectionnez le flux d’utilisateur dans la liste.

5. Sélectionnez Extensions d’authentification personnalisées.

6. Dans la page Extensions d’authentification personnalisées, vous pouvez associer votre extension d’authentification personnalisée à deux étapes différentes dans votre flux d’utilisateur :

   • Avant de collecter des informations auprès de l’utilisateur est associé à l’événement OnAttributeCollectionStart. Sélectionnez le crayon de modification. Seules les extensions personnalisées configurées pour l’événement OnAttributeCollectionStart sont affichées. Sélectionnez l’application que vous avez configurée pour l’événement de démarrage de la collection d’attributs, puis cliquez sur Sélectionner.
   • Quand un utilisateur envoie ses informations est associé à l’événement OnAttributeCollectionSubmit. Seules les extensions personnalisées configurées pour l’événement OnAttributeCollectionSubmit sont affichées. Sélectionnez l’application que vous avez configurée pour l’événement d’envoi de la collection d’attributs, puis cliquez sur Sélectionner.

7. Vérifiez que les applications répertoriées en regard des deux étapes de collection d’attributs sont correctes.

8. Sélectionnez l’icône Enregistrer.

Étape 4 : Tester l’application

Pour obtenir un jeton et tester l’extension d’authentification personnalisée, vous pouvez utiliser l’application https://jwt.ms. Il s’agit d’une application Web Microsoft qui affiche le contenu décodé d’un jeton (le contenu du jeton ne quitte jamais votre navigateur).

Procédez comme suit pour inscrire l’application web jwt.ms :

4.1 Inscrire l’application web jwt.ms

1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’application.
2. Accédez à Identité>Applications>Inscriptions d’applications.
3. Sélectionnez Nouvel enregistrement.
4. Entrez un Nom pour l’application. Par exemple, Mon application de test.
5. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.
6. Dans la liste déroulante Sélectionner une plateforme dans URI de redirection, sélectionnez Web, puis entrez https://jwt.ms dans la zone de texte URL.
7. Sélectionnez Inscrire pour procéder à l’inscription d’application.

4.2 Récupérer l’ID de l’application

Dans l’inscription de votre application, sous Vue d’ensemble, copiez l’ID d’application (client). L’ID d’application est appelé <client_id> dans les étapes ultérieures. Dans Microsoft Graph, il est référencé par la propriété appId.

4.3 Activer le flux implicite

L’application de test jwt.ms utilise le flux implicite. Activez le flux implicite dans votre inscription Mon application de test avec les étapes suivantes.

Important

Microsoft vous recommande d’utiliser le flux d’authentification le plus sécurisé disponible. Le flux d’authentification décrit dans cette procédure demande un degré de confiance très élevé dans l’application et comporte des risques qui ne sont pas présents dans d’autres flux. Cette approche ne doit pas être utilisée pour authentifier les utilisateurs auprès de vos applications de production (en savoir plus).

1. Sous Gérer, sélectionnez Authentification.
2. Sous Flux d’octroi implicite et flux hybride, cochez la case Jetons d’ID (utilisés pour les flux implicites et hybrides).
3. Sélectionnez Enregistrer.

Étape 5 : Protéger votre fonction Azure

L’extension d’authentification personnalisée Microsoft Entra utilise le flux de serveur à serveur pour obtenir un jeton d’accès envoyé dans l’en-tête HTTP Authorization à votre fonction Azure. Lorsque vous publiez votre fonction sur Azure, en particulier dans un environnement de production, vous devez valider le jeton envoyé dans l’en-tête d’autorisation.

Pour protéger votre fonction Azure, suivez ces étapes pour intégrer l’authentification Microsoft Entra, afin de valider les jetons entrants avec votre inscription d’application API d’événements d’authentification Azure Functions.

Remarque

Si l’application de fonction Azure est hébergée dans un locataire Azure différent du locataire dans lequel votre extension d’authentification personnalisée est inscrite, passez à l’Étape 5.1 : Utiliser le fournisseur d’identité OpenID Connect.

5.1 Ajouter un fournisseur d’identité à votre fonction Azure

1. Connectez-vous au portail Azure.

2. Accédez à et sélectionnez l’application de fonction que vous avez publiée précédemment.

3. Sélectionnez Authentification dans le menu de gauche.

4. Sélectionnez Ajouter un fournisseur d’identité.

5. Sélectionnez Microsoft en tant que fournisseur d’identité.

6. Sélectionnez Client comme type de locataire.

7. Sous Inscription d’applications, entrez le client_id de l’inscription d’applications API des événements d’authentification Azure Functions que vous avez créée précédemment.

8. Pour l’URL de l’émetteur, entrez l’URL suivante, https://{domainName}.ciamlogin.com/{tenant_id}/v2.0, où

   • {domainName} est le nom de domaine de votre tenant externe.
   • {tenantId} est l’ID de tenant de votre tenant externe. Votre extension d’authentification personnalisée doit être inscrite ici.

9. Sous Requêtes non authentifiées, sélectionnez HTTP 401 Non autorisé comme fournisseur d’identité.

10. Désélectionnez l’option Magasin de jetons.

11. Sélectionnez Ajouter pour ajouter l’authentification à votre fonction Azure.

    

5.2 Utilisation d’un fournisseur d’identité OpenID Connect

Si vous avez configuré l’Étape 5 : Protéger votre fonction Azure, ignorez cette étape. Sinon, si la fonction Azure est hébergée sous un locataire différent du locataire dans lequel votre extension d’authentification personnalisée est inscrite, procédez comme suit pour protéger votre fonction :

1. Connectez-vous au Portail Azure, ensuite accédez et sélectionnez l’application de fonction que vous avez publiée précédemment.

2. Sélectionnez Authentification dans le menu de gauche.

3. Sélectionnez Ajouter un fournisseur d’identité.

4. Sélectionnez OpenID Connect en tant que fournisseur d’identité.

5. Fournissez un nom, tel que Contoso Microsoft Entra ID.

6. Sous l’entrée Métadonnées, entrez l’URL suivante pour l’URL du document. Remplacez {tenantId} par votre ID de locataire Microsoft Entra.

   https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
   

7. Sous Inscription d’applications, entrez l’ID d’application (ID client) de l’inscription de l’application API des événements d’authentification Azure Functions que vous avez créée précédemment.

8. Dans le centre d’administration Microsoft Entra :

   1. Sélectionnez l’inscription de l’application API des événements d’authentification Azure Functions que vous avez créée précédemment.
   2. Sélectionnez Certificats et secrets>Clés secrètes client>Nouvelle clé secrète client.
   3. Ajoutez une description pour votre clé secrète client.
   4. Sélectionnez un délai d’expiration pour le secret ou spécifiez une durée de vie personnalisée.
   5. Sélectionnez Ajouter.
   6. Enregistrez la valeur du secret en prévision d’une utilisation dans le code de votre application cliente. Cette valeur secrète ne sera plus jamais affichée lorsque vous aurez quitté cette page.

9. De retour à la fonction Azure, sous l’inscription de l’application, entrez le secret du client.

10. Désélectionnez l’option Magasin de jetons.

11. Sélectionnez Ajouter pour ajouter le fournisseur d’identité OpenID Connect.

Étape 6 : Tester l’application

Pour tester votre extension d’authentification personnalisée, procédez comme suit :

1. Ouvrez un nouveau navigateur privé et accédez à l’URL suivante :

   https://<domainName>.ciamlogin.com/<tenant_id>/oauth2/v2.0/authorize?client_id=<client_id>&response_type=code+id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

   • Remplacez <domainName> par le nom de votre tenant externe, puis remplacez <tenant-id> par l’ID de votre tenant externe.
   • Remplacez <client_id> par l’ID de l’application que vous avez ajoutée au flux d’utilisateur.

2. Une fois connecté, vous et votre jeton décodé serez dirigés vers https://jwt.ms.

Étapes suivantes

• Informations de référence sur OnAttributeCollectionStart
• Informations de référence sur OnAttributeCollectionSubmit