Egyéni hitelesítési bővítmények áttekintése

Ez a cikk magas szintű, technikai áttekintést nyújt a Microsoft Entra ID egyéni hitelesítési bővítményeiről . Az egyéni hitelesítési bővítmények lehetővé teszik a Microsoft Entra hitelesítési felület testreszabását külső rendszerekkel való integrációval.

Az alábbi ábra az egyéni hitelesítési bővítménybe integrált bejelentkezési folyamatot mutatja be.

1. A felhasználó megpróbál bejelentkezni egy alkalmazásba, és átirányítja a Microsoft Entra bejelentkezési oldalára.
2. Ha egy felhasználó végrehajt egy bizonyos lépést a hitelesítésben, egy eseményfigyelő aktiválódik.
3. Az egyéni hitelesítési bővítmény HTTP-kérést küld a REST API-végpontnak. A kérelem információkat tartalmaz az eseményről, a felhasználói profilról, a munkamenet adatairól és egyéb környezeti információkról.
4. A REST API egyéni munkafolyamatot hajt végre.
5. A REST API HTTP-választ ad vissza a Microsoft Entra-azonosítóra.
6. A Microsoft Entra egyéni hitelesítési bővítmény feldolgozza a választ, és testre szabja a hitelesítést az esemény típusa és a HTTP-válasz hasznos adatai alapján.
7. A jogkivonat visszakerül az alkalmazásba.

Egyéni hitelesítési bővítmény REST API-végpontja

Amikor egy esemény aktiválódik, a Microsoft Entra ID meghív egy ÖN tulajdonában lévő REST API-végpontot. A REST API-nak küldött kérés információkat tartalmaz az eseményről, a felhasználói profilról, a hitelesítési kérelem adatairól és egyéb környezeti információkról.

Bármilyen programozási nyelvet, keretrendszert és üzemeltetési környezetet használhat a REST API egyéni hitelesítési bővítményeinek létrehozásához és üzemeltetéséhez. Az első lépésekhez használjon egy C# Azure-függvényt. Az Azure Functions lehetővé teszi, hogy a kódot kiszolgáló nélküli környezetben futtassa anélkül, hogy először létre kellene hoznia egy virtuális gépet vagy közzé kellene tennie egy webalkalmazást.

A REST API-nak a következőket kell kezelnie:

• Jogkivonat-érvényesítés a REST API-hívások biztonságossá tételéhez.
• Üzleti logika
• HTTP-kérés- és válaszsémák bejövő és kimenő ellenőrzése.
• Naplózás és naplózás.
• Rendelkezésre állási, teljesítmény- és biztonsági vezérlők.

A REST API-t az Azure Functionsben futtató fejlesztőknek érdemes lehet a Microsoft.Azure.WebJobs.Extensions.AuthenticationEvents NuGet kódtárat használni, amely a Microsoft Azure beépített hitelesítési képességeivel segíti a jogkivonatok érvényesítését. Adatmodellt biztosít a különböző eseménytípusokhoz, kezdeményezi a bejövő és kimenő kérések feldolgozását és a válaszfeldolgozást, így nagyobb hangsúlyt fektethet az üzleti logikára.

A REST API védelme

Az egyéni hitelesítési bővítmény és a REST API közötti kommunikáció megfelelő védelme érdekében több biztonsági vezérlőt kell alkalmazni.

1. Amikor az egyéni hitelesítési bővítmény meghívja a REST API-t, egy HTTP-fejlécet Authorization küld a Microsoft Entra ID által kibocsátott tulajdonosi jogkivonattal.
2. A tulajdonosi jogkivonat egy vagy azp több jogcímet appid tartalmaz. Ellenőrizze, hogy a megfelelő jogcím tartalmazza-e az 99045fe1-7639-4a75-9d4a-577b6ca3810f értéket. Ez az érték biztosítja, hogy a REST API-t a Microsoft Entra-azonosító hívja meg.
   1. V1-alkalmazások esetén ellenőrizze a jogcímetappid.
   2. V2-alkalmazások esetén ellenőrizze a jogcímetazp.
3. A tulajdonosi jogkivonat aud célközönségre vonatkozó jogcíme tartalmazza a társított alkalmazásregisztráció azonosítóját. A REST API-végpontnak ellenőriznie kell, hogy a tulajdonosi jogkivonat ki van-e adva az adott célközönség számára.
4. A tulajdonosi jogkivonat iss kiállítójának jogcíme tartalmazza a Microsoft Entra-kiállító URL-címét. A bérlő konfigurációjától függően a kiállító URL-címe az alábbiak egyike lesz;
   • Munkaerő: https://login.microsoftonline.com/{tenantId}/v2.0.
   • Ügyfél: https://{domainName}.ciamlogin.com/{tenantId}/v2.0.

Egyéni jogcímszolgáltató

Az egyéni jogcímszolgáltatók olyan egyéni hitelesítési bővítmények, amelyek REST API-t hívnak meg a jogcímek külső rendszerekből való lekéréséhez. Az egyéni jogcímszolgáltatók jogkivonatokká képezik le a külső rendszerek jogcímeit, és hozzárendelhetők a címtárban lévő egy vagy több alkalmazáshoz.

További információ az egyéni jogcímszolgáltatókról.

Az attribútumgyűjtemény eseményeket indít el és küld el

Az attribútumgyűjtés indítási és küldési eseményei egyéni hitelesítési bővítményekkel használhatók a logika hozzáadásához az attribútumok felhasználótól való begyűjtése előtt és után. Hozzáadhat például egy munkafolyamatot, amely ellenőrzi a felhasználó által a regisztráció során megadott attribútumokat. Az OnAttributeCollectionStart esemény az attribútumgyűjtési lépés elején, az attribútumgyűjtési oldal megjelenítése előtt következik be. Lehetővé teszi olyan műveletek hozzáadását, mint az értékek előzetes kitöltése és a blokkolási hiba megjelenítése. Az OnAttributeCollectionSubmit esemény eseményindítója azután aktiválódik, hogy a felhasználó beírja és elküldi az attribútumokat, így olyan műveleteket adhat hozzá, mint a bejegyzések ellenőrzése vagy az attribútumok módosítása.

Feljegyzés

Az attribútumgyűjtemény indítási és küldési eseményei jelenleg csak a külső bérlők Microsoft Entra Külső ID felhasználói folyamataiban érhetők el. További részletekért lásd : Saját üzleti logika hozzáadása.

Lásd még

• Megtudhatja, hogyan hozhat létre egyéni hitelesítési bővítményeket az attribútumgyűjtemény indításához és az események elküldéséhez egy OpenID-mintaalkalmazással Csatlakozás alkalmazással.