Megosztás a következőn keresztül:


Hitelesítési folyamatok kiterjesztése saját üzleti logikával

A következőkre vonatkozik:Fehér kör szürke X szimbólummal. Munkaerő-bérlők Zöld kör fehér pipa jellel. Külső bérlők (további információ)

Microsoft Entra Külső ID felhasználói folyamatok rugalmasságra vannak tervezve. A regisztrációs és bejelentkezési felhasználói folyamaton belül beépített hitelesítési események is vannak. A hitelesítési folyamat adott pontjain egyéni hitelesítési bővítményeket is hozzáadhat. Az egyéni hitelesítési bővítmény lényegében egy eseményfigyelő, amely aktiváláskor HTTP-hívást indít egy REST API-végpontra, ahol munkafolyamat-műveletet határoz meg. Hozzáadhat például egy attribútumgyűjteményi munkafolyamatot, amely ellenőrzi a felhasználó által a regisztráció során megadott attribútumokat, vagy egy egyéni jogcímszolgáltatóval külső felhasználói adatokat adhat hozzá a jogkivonathoz a jogkivonat kiadása előtt.

Két összetevőt kell konfigurálni: egy egyéni hitelesítési bővítményt és egy REST API-t. Az egyéni hitelesítési bővítmény megadja a REST API-végpontot, a REST API meghívásának módját, valamint a REST API meghívásához szükséges hitelesítő adatokat. A hitelesítési folyamat következő pontjain hozhat létre egyéni hitelesítési bővítményeket:

  • A regisztráció során, az attribútumgyűjtés előtt vagy után:
    • Az OnAttributeCollectionStart esemény az attribútumgyűjtési lépés elején, az attribútumgyűjtési oldal megjelenítése előtt következik be.
    • Az OnAttributeCollectionSubmit esemény azután következik be, hogy a felhasználó beírja és elküldi az attribútumokat.
  • Jogkivonat-kiállításkor az OnTokenIssuanceStart esemény használatával, amely a jogkivonatnak az alkalmazáshoz való kiadása előtt aktiválódik.

A hitelesítési folyamat bővíthetőségi pontjait bemutató ábra.

Ha ezen pontok egyikén egyéni hitelesítési bővítmény van konfigurálva, a Microsoft Entra ID meghívja az Ön által definiált REST API-t. A REST API-nak küldött kérés információkat tartalmaz az eseményről, a felhasználói profilról, a hitelesítési kérelem adatairól és egyéb környezeti információkról. A REST API viszont végrehajtja a munkafolyamat-műveleteket.

Ez a cikk áttekintést nyújt a Microsoft Entra Külső ID egyéni hitelesítési bővítményeiről.

Az attribútumgyűjtemény eseményeket indít el és küld el

Egyéni hitelesítési bővítményekkel munkafolyamatokat adhat hozzá az attribútumgyűjtéshez az önkiszolgáló regisztrációs felhasználói folyamatokban. Például előre kitöltheti az attribútummezőket egyéni értékekkel, ellenőrizheti a felhasználó bejegyzéseit, módosíthatja az attribútumokat, és megjelenítheti a hibákat. Két esemény engedélyezve van:

  • OnAttributeCollectionStart – Az OnAttributeCollectionStart esemény az attribútumgyűjtési folyamat elején következik be, mielőtt az attribútumgyűjtési oldal renderelne. Ez az esemény olyan helyzetekben használható, mint például annak megakadályozása, hogy a felhasználó regisztráljon a tartománya alapján, vagy adjon hozzá gyűjtendő attribútumokat. A következő forgatókönyvek konfigurálhatók az OnAttributeCollectionStart eseményhez:

    • continueWithDefaultBehavior – Az attribútumgyűjtemény lapjának megjelenítése a szokásos módon.
    • setPreFillValues – Előtöltési attribútumok a regisztrációs űrlapon.
    • showBlockPage – Hibaüzenet megjelenítése és a felhasználó regisztrációjának letiltása.
  • OnAttributeCollectionSubmit – Az OnAttributeCollectionSubmit esemény azután következik be, hogy a felhasználó beírja és elküldi az attribútumokat. Ez az esemény olyan helyzetekben használható, mint a felhasználó által megadott információk ellenőrzése vagy módosítása. Érvényesíthet például egy meghívókódot vagy partnerszámot, módosíthatja a címformátumot, vagy hibát adhat vissza.

    • continueWithDefaultBehavior – Folytassa a regisztrációs folyamattal.
    • modifyAttributeValues – Írja felül a felhasználó által a regisztrációs űrlapon elküldött értékeket.
    • showValidationError – Hibát ad vissza a beküldött értékek alapján.
    • showBlockPage – Hibaüzenet megjelenítése és a felhasználó regisztrációjának letiltása.

Az attribútumgyűjtemény indításának és elküldésének konfigurálásához hozzon létre egy egyéni hitelesítési bővítményt, a REST API-t. Esemény aktiválásakor a Microsoft Entra ID HTTP-kérést küld a REST API-végpontnak. A REST API lehet azure-függvény, Azure Logic App vagy más nyilvánosan elérhető API-végpont. A REST API-végpont felelős a végrehajtandó munkafolyamat-műveletek meghatározásáért.

További részletekért lásd : Attribútumgyűjtemény egyéni bővítményeinek hozzáadása a felhasználói folyamathoz.

Jogkivonat kiállításának kezdő eseménye

A jogkivonat kiállításának kezdő eseménye akkor aktiválódik, amikor a felhasználó teljesíti az összes hitelesítési kihívását, és egy biztonsági jogkivonatot fog kiadni.

Amikor a felhasználók Microsoft Entra-azonosítóval hitelesítik az alkalmazást, a rendszer biztonsági jogkivonatot ad vissza az alkalmazásnak. A biztonsági jogkivonat olyan jogcímeket tartalmaz, amelyek a felhasználóval kapcsolatos utasítások, például név, egyedi azonosító vagy alkalmazásszerepkörök. A biztonsági jogkivonatban található alapértelmezett jogcímkészleten túl saját egyéni jogcímeket is meghatározhat külső rendszerekből egy ön által fejlesztett REST API használatával.

Bizonyos esetekben előfordulhat, hogy a kulcsadatok a Microsoft Entra-n kívüli rendszerekben vannak tárolva, például másodlagos e-mailekben, számlázási szinteken vagy bizalmas információkban. Nem mindig lehetséges, hogy a külső rendszer információi a Microsoft Entra könyvtárban legyenek tárolva. Ezekben a forgatókönyvekben egyéni hitelesítési bővítmény és egyéni jogcímszolgáltató használatával veheti fel ezeket a külső adatokat az alkalmazáshoz visszaadott jogkivonatokba.

A jogkivonat-kiállítási eseménybővítmény a következő összetevőket foglalja magában:

  • Egyéni jogcímszolgáltató. Az egyéni jogcímszolgáltatók olyan egyéni hitelesítési bővítmények, amelyek adatokat igényelnek le külső rendszerekből. Az egyéni jogcímszolgáltató megadja az alkalmazásnak visszaadott biztonsági jogkivonathoz hozzáadandó attribútumokat. Több jogcímszolgáltató is használhatja ugyanazt az egyéni bővítményt, így az egyes alkalmazásokhoz különböző attribútumkészletek vehetők fel a biztonsági jogkivonathoz.

  • REST API-végpont. Esemény aktiválásakor a Microsoft Entra ID HTTP-kérést küld a REST API-végpontnak. A REST API lehet Azure-függvény, Azure Logic App vagy más nyilvánosan elérhető API-végpont. A REST API végponti felületei különböző adattárakkal, beleértve az alsóbb rétegbeli adatbázisokat, a meglévő API-kat, az Egyszerűsített címtárelérési protokoll (LDAP) címtárakat vagy más olyan tárolókat, amelyek tartalmazzák a tokenkonfigurációhoz hozzáadni kívánt attribútumokat.

    A REST API egy HTTP-választ vagy műveletet ad vissza az attribútumokat tartalmazó Microsoft Entra-azonosítóhoz. Ezek az attribútumok nem lesznek automatikusan hozzáadva egy jogkivonathoz. Ehelyett az alkalmazás jogcímleképezési szabályzatát konfigurálni kell ahhoz, hogy bármely attribútum szerepeljen a jogkivonatban.

Részletes információ:

Lásd még