Egyéni hitelesítési bővítmények áttekintése
Ez a cikk magas szintű, technikai áttekintést nyújt a Microsoft Entra ID egyéni hitelesítési bővítményeiről . Az egyéni hitelesítési bővítmények lehetővé teszik a Microsoft Entra hitelesítési felület testreszabását külső rendszerekkel való integrációval.
Az alábbi ábra az egyéni hitelesítési bővítménybe integrált bejelentkezési folyamatot mutatja be.
- A felhasználó megpróbál bejelentkezni egy alkalmazásba, és átirányítja a Microsoft Entra bejelentkezési oldalára.
- Ha egy felhasználó végrehajt egy bizonyos lépést a hitelesítésben, egy eseményfigyelő aktiválódik.
- Az egyéni hitelesítési bővítmény HTTP-kérést küld a REST API-végpontnak. A kérelem információkat tartalmaz az eseményről, a felhasználói profilról, a munkamenet adatairól és egyéb környezeti információkról.
- A REST API egyéni munkafolyamatot hajt végre.
- A REST API HTTP-választ ad vissza a Microsoft Entra-azonosítóra.
- A Microsoft Entra egyéni hitelesítési bővítmény feldolgozza a választ, és testre szabja a hitelesítést az esemény típusa és a HTTP-válasz hasznos adatai alapján.
- A jogkivonat visszakerül az alkalmazásba.
Egyéni hitelesítési bővítmény REST API-végpontja
Amikor egy esemény aktiválódik, a Microsoft Entra ID meghív egy ÖN tulajdonában lévő REST API-végpontot. A REST API-nak küldött kérés információkat tartalmaz az eseményről, a felhasználói profilról, a hitelesítési kérelem adatairól és egyéb környezeti információkról.
Bármilyen programozási nyelvet, keretrendszert és üzemeltetési környezetet használhat a REST API egyéni hitelesítési bővítményeinek létrehozásához és üzemeltetéséhez. Az első lépésekhez használjon egy C# Azure-függvényt. Az Azure Functions lehetővé teszi, hogy a kódot kiszolgáló nélküli környezetben futtassa anélkül, hogy először létre kellene hoznia egy virtuális gépet vagy közzé kellene tennie egy webalkalmazást.
A REST API-nak a következőket kell kezelnie:
- Jogkivonat-érvényesítés a REST API-hívások biztonságossá tételéhez.
- Üzleti logika
- HTTP-kérés- és válaszsémák bejövő és kimenő ellenőrzése.
- Naplózás és naplózás.
- Rendelkezésre állási, teljesítmény- és biztonsági vezérlők.
A REST API-t az Azure Functionsben futtató fejlesztőknek érdemes lehet a Microsoft.Azure.WebJobs.Extensions.AuthenticationEvents NuGet kódtárat használni, amely a Microsoft Azure beépített hitelesítési képességeivel segíti a jogkivonatok érvényesítését. Adatmodellt biztosít a különböző eseménytípusokhoz, kezdeményezi a bejövő és kimenő kérések feldolgozását és a válaszfeldolgozást, így nagyobb hangsúlyt fektethet az üzleti logikára.
A REST API védelme
Az egyéni hitelesítési bővítmény és a REST API közötti kommunikáció megfelelő védelme érdekében több biztonsági vezérlőt kell alkalmazni.
- Amikor az egyéni hitelesítési bővítmény meghívja a REST API-t, egy HTTP-fejlécet
Authorization
küld a Microsoft Entra ID által kibocsátott tulajdonosi jogkivonattal. - A tulajdonosi jogkivonat egy vagy
azp
több jogcímetappid
tartalmaz. Ellenőrizze, hogy a megfelelő jogcím tartalmazza-e az99045fe1-7639-4a75-9d4a-577b6ca3810f
értéket. Ez az érték biztosítja, hogy a REST API-t a Microsoft Entra-azonosító hívja meg.- V1-alkalmazások esetén ellenőrizze a jogcímet
appid
. - V2-alkalmazások esetén ellenőrizze a jogcímet
azp
.
- V1-alkalmazások esetén ellenőrizze a jogcímet
- A tulajdonosi jogkivonat
aud
célközönségre vonatkozó jogcíme tartalmazza a társított alkalmazásregisztráció azonosítóját. A REST API-végpontnak ellenőriznie kell, hogy a tulajdonosi jogkivonat ki van-e adva az adott célközönség számára. - A tulajdonosi jogkivonat
iss
kiállítójának jogcíme tartalmazza a Microsoft Entra-kiállító URL-címét. A bérlő konfigurációjától függően a kiállító URL-címe az alábbiak egyike lesz;- Munkaerő:
https://login.microsoftonline.com/{tenantId}/v2.0
. - Ügyfél:
https://{domainName}.ciamlogin.com/{tenantId}/v2.0
.
- Munkaerő:
Egyéni jogcímszolgáltató
Az egyéni jogcímszolgáltatók olyan egyéni hitelesítési bővítmények, amelyek REST API-t hívnak meg a jogcímek külső rendszerekből való lekéréséhez. Az egyéni jogcímszolgáltatók jogkivonatokká képezik le a külső rendszerek jogcímeit, és hozzárendelhetők a címtárban lévő egy vagy több alkalmazáshoz.
További információ az egyéni jogcímszolgáltatókról.
Az attribútumgyűjtemény eseményeket indít el és küld el
Az attribútumgyűjtés indítási és küldési eseményei egyéni hitelesítési bővítményekkel használhatók a logika hozzáadásához az attribútumok felhasználótól való begyűjtése előtt és után. Hozzáadhat például egy munkafolyamatot, amely ellenőrzi a felhasználó által a regisztráció során megadott attribútumokat. Az OnAttributeCollectionStart esemény az attribútumgyűjtési lépés elején, az attribútumgyűjtési oldal megjelenítése előtt következik be. Lehetővé teszi olyan műveletek hozzáadását, mint az értékek előzetes kitöltése és a blokkolási hiba megjelenítése. Az OnAttributeCollectionSubmit esemény eseményindítója azután aktiválódik, hogy a felhasználó beírja és elküldi az attribútumokat, így olyan műveleteket adhat hozzá, mint a bejegyzések ellenőrzése vagy az attribútumok módosítása.
Feljegyzés
Az attribútumgyűjtemény indítási és küldési eseményei jelenleg csak a külső bérlők Microsoft Entra Külső ID felhasználói folyamataiban érhetők el. További részletekért lásd : Saját üzleti logika hozzáadása.
Lásd még
- Megtudhatja, hogyan hozhat létre egyéni hitelesítési bővítményeket az attribútumgyűjtemény indításához és az események elküldéséhez egy OpenID Connect-mintaalkalmazással.