Egyéni jogcímszolgáltató konfigurálása jogkivonat-kiállítási eseményhez

Ez a cikk bemutatja, hogyan konfigurálhat egyéni jogcímszolgáltatót a tokenkiállítás kezdőeseményéhez. Egy meglévő Azure Functions REST API használatával regisztrál egy egyéni hitelesítési bővítményt, és olyan attribútumokat ad hozzá, amelyeket várhatóan elemezni fog a REST API-ból. Az egyéni hitelesítési bővítmény teszteléséhez regisztrál egy OpenID-mintaalkalmazást Csatlakozás jogkivonat lekéréséhez és a jogcímek megtekintéséhez.

Előfeltételek

• Azure-előfizetés az Azure Functions létrehozásához. Ha nem rendelkezik meglévő Azure-fiókkal, regisztráljon ingyenes próbaverzióra, vagy használja a Visual Studio-előfizetés előnyeit egy fiók létrehozásakor.
• Egy Azure-függvényalkalmazás, amely egy jogkivonat kiállításának kezdőeseményéhez konfigurált HTTP-triggerfüggvényt használ. Ha nem rendelkezik ilyennel, kövesse a jogkivonat-kiállítás indítási esemény HTTP-eseményindító függvényének létrehozásához szükséges lépéseket.
• Az egyéni hitelesítési bővítmények áttekintésében szereplő fogalmak alapszintű ismerete.
• Egy Microsoft Entra ID-bérlő. Ehhez az útmutatóhoz ügyfél- vagy munkaerő-bérlőt is használhat.
  • Külső bérlők esetén használjon regisztrációs és bejelentkezési felhasználói folyamatot.

1. lépés: Egyéni hitelesítési bővítmény regisztrálása

Most egy egyéni hitelesítési bővítményt fog konfigurálni, amelyet a Microsoft Entra ID fog használni az Azure-függvény meghívásához. Az egyéni hitelesítési bővítmény információkat tartalmaz a REST API-végpontról, a REST API-ból elemezendő jogcímekről és a REST API-val való hitelesítésről. Az alábbi lépéseket követve regisztrálhat egy egyéni hitelesítési bővítményt az Azure-függvényalkalmazásban.

Feljegyzés

Legfeljebb 100 egyéni bővítményszabályzatot használhat.

Azure Portalra

Egyéni hitelesítési bővítmény regisztrálása

1. Jelentkezzen be az Azure Portalra legalább egy alkalmazás-Rendszergazda istrator és hitelesítési Rendszergazda istratorként.
2. Keresse meg és válassza ki a Microsoft Entra-azonosítót , majd válassza a Nagyvállalati alkalmazások lehetőséget.
3. Válassza az Egyéni hitelesítési bővítmények lehetőséget, majd válassza az Egyéni bővítmény létrehozása lehetőséget.
4. Az Alapszintű beállítások területen válassza a TokenIssuanceStart eseménytípust, és válassza a Tovább lehetőséget.
5. A Végpontkonfigurációban töltse ki a következő tulajdonságokat:
   • Név – Az egyéni hitelesítési bővítmény neve. Például a jogkivonat kiállítási eseménye.
   • Cél URL-címe – Az {Function_Url} Azure-függvény URL-címe. Lépjen az Azure-függvényalkalmazás Áttekintés lapjára, majd válassza ki a létrehozott függvényt. A függvény áttekintése lapon válassza a Függvény URL-címének lekérése lehetőséget, és másolja a másolás ikont az URL-cím másolásához.
   • Leírás – Az egyéni hitelesítési bővítmények leírása.
6. Válassza a Tovább lehetőséget.
7. Az API-hitelesítésben válassza az Új alkalmazásregisztráció létrehozása lehetőséget a függvényalkalmazást képviselő alkalmazásregisztráció létrehozásához.
8. Adjon nevet az alkalmazásnak, például az Azure Functions hitelesítési események API-jának.
9. Válassza a Tovább lehetőséget.
10. A Jogcímek mezőben adja meg azokat az attribútumokat, amelyek alapján az egyéni hitelesítési bővítmény elemezni fogja a REST API-t, és egyesíteni fogja a jogkivonattal. Adja hozzá a következő jogcímeket:
    • dateOfBirth
    • customRoles
    • apiVersion
    • correlationId
11. Válassza a Tovább, majd a Létrehozás lehetőséget, amely regisztrálja az egyéni hitelesítési bővítményt és a hozzá tartozó alkalmazásregisztrációt.
12. Jegyezze fel az API-hitelesítés alatti alkalmazásazonosítót, amely az Azure-függvényalkalmazás környezeti változóinak beállításához szükséges.

Microsoft Graph

Egy alkalmazás regisztrálása

1. Jelentkezzen be a Graph Explorerbe egy olyan fiókkal, amelynek az otthoni bérlője az a bérlő, amelyben kezelni szeretné az egyéni hitelesítési bővítményt. Ennek a fióknak rendelkeznie kell jogosultságokkal egy alkalmazásregisztráció létrehozásához és kezeléséhez a bérlőben.

2. Futtassa a következő kérést.

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
       "displayName": "authenticationeventsAPI"
   }
   

3. A válaszból rögzítse az újonnan létrehozott alkalmazásregisztráció azonosítójának és appId azonosítójának értékét. Ezekre az értékekre a jelen cikkben, illetve {authenticationeventsAPI_ObjectId}{authenticationeventsAPI_AppId} annak megfelelően hivatkozunk.

Hozzon létre egy szolgáltatásnevet a bérlőben a authenticationeventsAPI alkalmazásregisztrációhoz.

A Graph Explorerben futtassa a következő kérést. Cserélje le {authenticationeventsAPI_AppId} az előző lépésben rögzített appId értéket.

POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-type: application/json
    
{
    "appId": "{authenticationeventsAPI_AppId}"
}

Az alkalmazásazonosító URI-jának, a hozzáférési jogkivonat verziójának és a szükséges erőforrás-hozzáférésnek a beállítása

Frissítse az újonnan létrehozott alkalmazást az alkalmazásazonosító URI-értékének, a hozzáférési jogkivonat verziójának és a szükséges erőforrás-hozzáférésnek a beállításához.

A Graph Explorerben futtassa a következő kérést.

• Adja meg az alkalmazásazonosító URI-értékét az identifierUris tulajdonságban. Cserélje le {Function_Url_Hostname} a korábban rögzített állomásnévre {Function_Url} .
• Állítsa be az {authenticationeventsAPI_AppId} értéket a korábban rögzített appId azonosítóval.
• Példaérték: api://authenticationeventsAPI.azurewebsites.net/00001111-aaaa-2222-bbbb-3333cccc4444. Jegyezze fel ezt az értéket, mivel ezt a cikket később fogja használni a {functionApp_IdentifierUri}helyett.

POST https://graph.microsoft.com/v1.0/applications/{authenticationeventsAPI_ObjectId}
Content-type: application/json

{
"identifierUris": [
    "api://{Function_Url_Hostname}/{authenticationeventsAPI_AppId}"
],    
"api": {
    "requestedAccessTokenVersion": 2,
    "acceptMappedClaims": null,
    "knownClientApplications": [],
    "oauth2PermissionScopes": [],
    "preAuthorizedApplications": []
},
"requiredResourceAccess": [
    {
        "resourceAppId": "00000003-0000-0000-c000-000000000000",
        "resourceAccess": [
            {
                "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                "type": "Role"
            }
        ]
    }
]
}

Egyéni hitelesítési bővítmény regisztrálása

Az egyéni hitelesítési bővítmény regisztrálásához társítja az Azure-függvény alkalmazásregisztrációjával és az Azure-függvény végpontjával {Function_Url}.

1. A Graph Explorerben futtassa a következő kérést. Cserélje le {Function_Url} az Azure-függvényalkalmazás gazdanevére. Cserélje le {functionApp_IdentifierUri} az előző lépésben használt identifierUri-ra.

   • A CustomAuthenticationExtension.ReadWrite.All delegált engedélyre van szüksége.

   POST https://graph.microsoft.com/beta/identity/customAuthenticationExtensions
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtension",
       "displayName": "onTokenIssuanceStartCustomExtension",
       "description": "Fetch additional claims from custom user store",
       "endpointConfiguration": {
           "@odata.type": "#microsoft.graph.httpRequestEndpoint",
           "targetUrl": "{Function_Url}"
       },
       "authenticationConfiguration": {
           "@odata.type": "#microsoft.graph.azureAdTokenAuthentication",
           "resourceId": "{functionApp_IdentifierUri}"
       },
       "claimsForTokenConfiguration": [
           {
               "claimIdInApiResponse": "DateOfBirth"
           },
           {
               "claimIdInApiResponse": "CustomRoles"
           }
       ]
   }
   

2. Jegyezze fel a id létrehozott egyéni jogcímszolgáltató objektum értékét. Az ebben az oktatóanyagban szereplő értéket a következő helyett {customExtensionObjectId}fogja használni: .

1.2 Rendszergazdai hozzájárulás megadása

Az egyéni hitelesítési bővítmény létrehozása után engedélyeket kell adnia az API-nak. Az egyéni hitelesítési bővítmény az azure-függvényalkalmazásban való hitelesítéshez használja client_credentials az Receive custom authentication extension HTTP requests engedélyt.

1. Nyissa meg az új egyéni hitelesítési bővítmény Áttekintés lapját. Jegyezze fel az API-hitelesítés alatt található alkalmazásazonosítót, mivel az identitásszolgáltató hozzáadásakor szükség lesz rá.

2. Az API-hitelesítés területen válassza az Engedély megadása lehetőséget.

3. Megnyílik egy új ablak, és miután bejelentkezett, engedélyt kér az egyéni hitelesítési bővítmény HTTP-kéréseinek fogadásához. Ez lehetővé teszi az egyéni hitelesítési bővítmény hitelesítését az API-ra. Válassza az Elfogadás lehetőséget.

   

2. lépés: OpenID-Csatlakozás alkalmazás konfigurálása bővített jogkivonatok fogadásához

Jogkivonat beszerzéséhez és az egyéni hitelesítési bővítmény teszteléséhez használhatja az https://jwt.ms alkalmazást. Ez egy Microsoft-tulajdonban lévő webalkalmazás, amely megjeleníti egy jogkivonat dekódolt tartalmát (a jogkivonat tartalma soha nem hagyja el a böngészőt).

2.1 Teszt webalkalmazás regisztrálása

Kövesse az alábbi lépéseket a jwt.ms webalkalmazás regisztrálásához:

1. Az Azure Portal kezdőlapján válassza a Microsoft Entra-azonosítót.

2. Válassza a Alkalmazásregisztrációk> New regisztrációt.

3. Adja meg az alkalmazás nevét. Például: Saját tesztalkalmazás.

4. A Támogatott fióktípusok csoportban válassza a Csak ebben a szervezeti címtárban lévő Fiókok lehetőséget.

5. Az Átirányítási URI Platform kiválasztása legördülő listájában válassza a Web lehetőséget, majd írja be https://jwt.ms az URL-szövegmezőt.

6. Az alkalmazásregisztráció befejezéséhez válassza a Regisztráció lehetőséget.

   

7. Az alkalmazásregisztráció Áttekintés lapján másolja ki az alkalmazás (ügyfél) azonosítóját. Az alkalmazásazonosítót a későbbi lépésekben nevezik.{App_to_enrich_ID} A Microsoft Graphban az appId tulajdonság hivatkozik rá.

   

2.2 Implicit folyamat engedélyezése

A jwt.ms tesztalkalmazás az implicit folyamatot használja. Implicit folyamat engedélyezése a My Test alkalmazásregisztrációban :

1. A Kezelés területen válassza a Hitelesítés lehetőséget.
2. Az Implicit engedélyezési és hibrid folyamatok területen jelölje be az (implicit és hibrid folyamatokhoz használt) azonosító jogkivonatokat.
3. Válassza a Mentés lehetőséget.

2.3 Az alkalmazás engedélyezése jogcímleképezési szabályzathoz

A jogcímleképezési szabályzattal kiválaszthatja, hogy az egyéni hitelesítési bővítményből visszaadott attribútumok mely attribútumokat képezik le a jogkivonatba. A jogkivonatok bővítésének engedélyezéséhez explicit módon engedélyeznie kell az alkalmazásregisztrációt a megfeleltetett jogcímek elfogadásához:

1. A Saját teszt alkalmazás regisztrációjában, a Kezelés területen válassza a Jegyzék elemet.
2. A jegyzékben keresse meg az acceptMappedClaims attribútumot, és állítsa az értéket a következőre true: .
3. Állítsa be a accessTokenAcceptedVersion következőt 2: .
4. A módosítások mentéséhez válassza a Mentés lehetőséget.

Az alábbi JSON-kódrészlet bemutatja, hogyan konfigurálhatja ezeket a tulajdonságokat.

{
	"id": "22222222-0000-0000-0000-000000000000",
	"acceptMappedClaims": true,
	"accessTokenAcceptedVersion": 2,  
    ...
}

Figyelmeztetés

Ne állítson be acceptMappedClaims tulajdonságot true több-bérlős alkalmazásokhoz, amelyek lehetővé teszik a rosszindulatú szereplők számára, hogy jogcímleképezési szabályzatokat hozzanak létre az alkalmazáshoz. Ehelyett konfiguráljon egy egyéni aláírókulcsot.

Munkaerő-bérlő

Folytassa a következő lépéssel: Rendeljen hozzá egy egyéni jogcímszolgáltatót az alkalmazáshoz.

Külső bérlő

3.4 Az alkalmazás társítása felhasználói folyamattal

Külső bérlők esetén az alkalmazást egy felhasználói folyamathoz kell társítania. A felhasználói folyamatok meghatározzák azokat a hitelesítési módszereket, amelyekkel az ügyfél bejelentkezhet az alkalmazásba, valamint azokat az információkat, amelyekre a regisztráció során szükségük van. Mielőtt folytatná a Saját tesztalkalmazás hozzáadását a felhasználói folyamathoz, győződjön meg arról, hogy végrehajtja az Alkalmazás hozzáadása felhasználói folyamathoz című témakörben leírt lépéseket.

3. lépés: Egyéni jogcímszolgáltató hozzárendelése az alkalmazáshoz

Ahhoz, hogy a jogkivonatok az egyéni hitelesítési bővítményből bejövő jogcímekkel legyenek kiadva, egyéni jogcímszolgáltatót kell hozzárendelnie az alkalmazáshoz. Ez a jogkivonat célközönségén alapul, ezért a szolgáltatót hozzá kell rendelni az ügyfélalkalmazáshoz, hogy jogcímeket fogadjon egy azonosító jogkivonatban, valamint az erőforrásalkalmazáshoz, hogy jogcímeket fogadjon egy hozzáférési jogkivonatban. Az egyéni jogcímszolgáltató a jogkivonat-kiállítás indítási eseményfigyelőjével konfigurált egyéni hitelesítési bővítményre támaszkodik. Megadhatja, hogy az egyéni jogcímszolgáltató összes vagy egy részhalmaza megfeleltethető-e a jogkivonatnak.

Feljegyzés

Csak 250 egyedi hozzárendelés hozható létre az alkalmazások és az egyéni bővítmények között. Ha ugyanazt az egyéni bővítményhívást több alkalmazásra szeretné alkalmazni, javasoljuk, hogy az authenticationEventListeners Microsoft Graph API használatával hozzon létre figyelőket több alkalmazáshoz. Ez az Azure Portalon nem támogatott.

Kövesse az alábbi lépéseket a My Test alkalmazás és az egyéni hitelesítési bővítmény összekapcsolásához:

Azure Portalra

Az egyéni hitelesítési bővítmény hozzárendelése egyéni jogcímszolgáltatói forrásként;

1. Az Azure Portal kezdőlapján válassza a Microsoft Entra-azonosítót.

2. Válassza aVállalati alkalmazások lehetőséget, majd a Kezelés területen válassza az Összes alkalmazás lehetőséget. Keresse meg és válassza ki a saját tesztalkalmazást a listából.

3. A Saját tesztalkalmazás Áttekintés lapján lépjen a Kezelés lapra, és válassza az Egyszeri bejelentkezés lehetőséget.

4. Az Attribútumok és jogcímek csoportban válassza a Szerkesztés lehetőséget.

   

5. Bontsa ki a Speciális beállítások menüt.

6. Az Egyéni jogcímszolgáltató mellett válassza a Konfigurálás lehetőséget.

7. Bontsa ki az Egyéni jogcímszolgáltató legördülő listában, és válassza ki a korábban létrehozott jogkivonat-kiállítási eseményt .

8. Válassza a Mentés lehetőséget.

Ezután rendelje hozzá az egyéni jogcímszolgáltató attribútumait, amelyeket jogcímekként kell kibocsátani a jogkivonatba:

1. Új jogcím hozzáadásához válassza az Új jogcím hozzáadása lehetőséget. Adjon nevet a kibocsátani kívánt jogcímnek, például dateOfBirth.

2. A Forrás területen válassza az Attribútum lehetőséget, és válassza a CustomClaimsProvider.dateOfBirth lehetőséget a Forrás attribútum legördülő listában.

   

3. Válassza a Mentés lehetőséget.

4. Ismételje meg ezt a folyamatot a customClaimsProvider.customRoles, a customClaimsProvider.apiVersion és a customClaimsProvider.correlationId attribútumok és a megfelelő név hozzáadásához. Érdemes a jogcím nevét az attribútum nevével egyezni.

Microsoft Graph

Először hozzon létre egy eseményfigyelőt a Saját teszt alkalmazás egyéni hitelesítési bővítményének aktiválásához a jogkivonat kiállításának kezdő eseményével.

1. Jelentkezzen be a Graph Explorerbe egy olyan fiókkal, amelynek az otthoni bérlője az a bérlő, amelyben kezelni szeretné az egyéni hitelesítési bővítményt.

2. Futtassa a következő kérést. Cserélje le {App_to_enrich_ID} a korábban rögzített Saját tesztalkalmazás alkalmazásazonosítójára. Cserélje le {customExtensionObjectId} a korábban rögzített egyéni hitelesítésbővítmény-azonosítóra.

   • Az EventListener.ReadWrite.All delegált engedélyre van szüksége.

   POST https://graph.microsoft.com/beta/identity/authenticationEventListeners
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartListener",
       "conditions": {
           "applications": {
               "includeAllApplications": false,
               "includeApplications": [
                   {
                       "appId": "{App_to_enrich_ID}"
                   }
               ]
           }
       },
       "priority": 500,
       "handler": {
           "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtensionHandler",
           "customExtension": {
               "id": "{customExtensionObjectId}"
           }
       }
   }
   

Ezután hozza létre a jogcímleképezési szabályzatot, amely leírja, hogy mely jogcímeket lehet kiadni egy alkalmazásnak egy egyéni jogcímszolgáltatótól.

1. Futtassa a következő kérést a Graph Explorerben. A Policy.ReadWrite.ApplicationConfiguration delegált engedélyre lesz szüksége.

   POST https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies
   Content-type: application/json
   
   {
       "definition": [
           "{\"ClaimsMappingPolicy\":{\"Version\":1,\"IncludeBasicClaimSet\":\"true\",\"ClaimsSchema\":[{\"Source\":\"CustomClaimsProvider\",\"ID\":\"DateOfBirth\",\"JwtClaimType\":\"dob\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CustomRoles\",\"JwtClaimType\":\"my_roles\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CorrelationId\",\"JwtClaimType\":\"correlationId\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"ApiVersion\",\"JwtClaimType\":\"apiVersion \"},{\"Value\":\"tokenaug_V2\",\"JwtClaimType\":\"policy_version\"}]}}"
       ],
       "displayName": "MyClaimsMappingPolicy",
       "isOrganizationDefault": false
   }
   

2. Jegyezze fel a ID válaszban létrehozott, később ezt nevezik {claims_mapping_policy_ID}.

A szolgáltatásnév objektumazonosítójának lekérése:

1. Futtassa a következő kérést a Graph Explorerben. Cserélje le {App_to_enrich_ID} a saját tesztalkalmazás appId azonosítójára.

   GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='{App_to_enrich_ID}')
   

Jegyezze fel az azonosító értékét.

Rendelje hozzá a jogcímleképezési szabályzatot a Saját tesztalkalmazás szolgáltatásnévéhez.

1. Futtassa a következő kérést a Graph Explorerben. A Policy.ReadWrite.ApplicationConfiguration és az Application.ReadWrite.All delegált engedélyre lesz szüksége.

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{test_App_Service_Principal_ObjectId}/claimsMappingPolicies/$ref
   Content-type: application/json
   
   {
       "@odata.id": "https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies/{claims_mapping_policy_ID}"
   }
   

4. lépés: Az Azure-függvény védelme

A Microsoft Entra egyéni hitelesítési bővítmény kiszolgálói folyamattal szerzi be a HTTP-fejlécben Authorization az Azure-függvénynek küldött hozzáférési jogkivonatot. Amikor közzéteszi a függvényt az Azure-ban, különösen éles környezetben, ellenőriznie kell az engedélyezési fejlécben küldött jogkivonatot.

Az Azure-függvény védelme érdekében kövesse az alábbi lépéseket a Microsoft Entra-hitelesítés integrálásához a bejövő jogkivonatok Azure Functions-hitelesítési események API-alkalmazásregisztrációjával való érvényesítéséhez. Válasszon az alábbi lapok közül a bérlő típusa alapján.

Feljegyzés

Ha az Azure-függvényalkalmazás egy másik Azure-bérlőben van üzemeltetve, mint abban a bérlőben, amelyben az egyéni hitelesítési bővítmény regisztrálva van, válassza a Open ID Csatlakozás lapot.

4.1 A Microsoft Entra identitásszolgáltató használata

Az alábbi lépésekkel adja hozzá a Microsoft Entrát identitásszolgáltatóként az Azure-függvényalkalmazáshoz.

Munkaerő-bérlő

1. Az Azure Portalon keresse meg és válassza ki a korábban közzétett függvényalkalmazást.

2. A Gépház területen válassza a Hitelesítés lehetőséget.

3. Válassza az Identitásszolgáltató hozzáadása lehetőséget.

4. Válassza ki a Microsoftot identitásszolgáltatóként.

5. Bérlőtípusként válassza a Munkaerő lehetőséget.

6. Az Alkalmazásregisztráció területen válassza ki a meglévő alkalmazásregisztrációt ebben a könyvtárban az alkalmazásregisztrációs típushoz, majd válassza ki az egyéni jogcímszolgáltató regisztrálásakor korábban létrehozott Azure Functions-hitelesítési események API-alkalmazásregisztrációját.

7. Adja meg a következő kiállító URL-címét, https://login.microsoftonline.com/{tenantId}/v2.0ahol {tenantId} a munkaerő-bérlő bérlőazonosítója található.

8. A Nem hitelesített kérések területen válassza a HTTP 401 Jogosulatlanul lehetőséget identitásszolgáltatóként.

9. Törölje a tokentároló beállítás kijelölését.

10. Válassza a Hozzáadás lehetőséget, ha hitelesítést szeretne hozzáadni az Azure-függvényhez.

    

Külső bérlő

1. Az Azure Portalon keresse meg és válassza ki a korábban közzétett függvényalkalmazást.

2. A Gépház területen válassza a Hitelesítés lehetőséget.

3. Válassza az Identitásszolgáltató hozzáadása lehetőséget.

4. Válassza ki a Microsoftot identitásszolgáltatóként.

5. Bérlőtípusként válassza az Ügyfél lehetőséget.

6. Az alkalmazásregisztráció alatt adja meg az client_idegyéni jogcímszolgáltató regisztrálásakor korábban létrehozott Azure Functions-hitelesítési események API-alkalmazásregisztrációját.

7. A kiállító URL-címéhez adja meg a következő URL-címethttps://{domainName}.ciamlogin.com/{tenant_id}/v2.0, ahol

   • {domainName} a külső bérlő tartományneve az űrlapon {domainName}.contoso.com.
   • {tenantId} A külső bérlő bérlőazonosítója.

8. A Nem hitelesített kérések területen válassza a HTTP 401 Jogosulatlanul lehetőséget identitásszolgáltatóként.

9. Törölje a tokentároló beállítás kijelölését.

10. Válassza a Hozzáadás lehetőséget, ha hitelesítést szeretne hozzáadni az Azure-függvényhez.

    

4.2 Az OpenID Csatlakozás identitásszolgáltató használata

Ha konfigurálta a Microsoft identitásszolgáltatót, hagyja ki ezt a lépést. Ellenkező esetben, ha az Azure-függvény egy másik bérlő alatt van üzemeltetve, mint az a bérlő, amelyben az egyéni hitelesítési bővítmény regisztrálva van, kövesse az alábbi lépéseket a függvény védelméhez:

Titkos ügyfélkód létrehozása

1. Az Azure Portal kezdőlapján válassza a Microsoft Entra-azonosítót> Alkalmazásregisztrációk.
2. Válassza ki a korábban létrehozott Azure Functions-hitelesítési események API-alkalmazásregisztrációját.
3. Válassza a Tanúsítványok > titkos>ügyfélkulcsok új ügyféltitkot>.
4. Válasszon lejáratot a titkos kódhoz, vagy adjon meg egy egyéni élettartamot, adjon meg egy leírást, és válassza a Hozzáadás lehetőséget.
5. Jegyezze fel a titkos kód értékét az ügyfélalkalmazás kódjában való használatra. Ez a titkos érték soha többé nem jelenik meg a lap elhagyása után.

Adja hozzá az OpenID Csatlakozás identitásszolgáltatót az Azure-függvényalkalmazáshoz.

1. Keresse meg és válassza ki a korábban közzétett függvényalkalmazást.

2. A Gépház területen válassza a Hitelesítés lehetőséget.

3. Válassza az Identitásszolgáltató hozzáadása lehetőséget.

4. Identitásszolgáltatóként válassza az OpenID Csatlakozás lehetőséget.

5. Adjon meg egy nevet, például a Contoso Microsoft Entra-azonosítót.

6. A Metaadatok bejegyzés alatt adja meg a következő URL-címet a dokumentum URL-címéhez. Cserélje le a {tenantId} Microsoft Entra-bérlő azonosítóját.

   https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
   

7. Az alkalmazásregisztráció alatt adja meg a korábban létrehozott Azure Functions-hitelesítési események API-alkalmazásregisztrációjának alkalmazásazonosítóját (ügyfélazonosítóját).

8. Térjen vissza az Azure-függvényhez az alkalmazásregisztráció alatt, és adja meg az ügyfél titkos kódját.

9. Törölje a tokentároló beállítás kijelölését.

10. Válassza a Hozzáadás lehetőséget az OpenID Csatlakozás identitásszolgáltató hozzáadásához.

5. lépés: Az alkalmazás tesztelése

Az egyéni jogcímszolgáltató teszteléséhez kövesse az alábbi lépéseket:

Munkaerő-bérlő

1. Nyisson meg egy új privát böngészőt, és navigáljon és jelentkezzen be az alábbi URL-címen keresztül.

   https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Cserélje le {tenantId} a bérlőazonosítót, a bérlőnevet vagy az egyik ellenőrzött tartománynevet. Például: contoso.onmicrosoft.com.

3. Cserélje le {App_to_enrich_ID} a Saját tesztalkalmazás ügyfélazonosítóját.

4. A bejelentkezés után a dekódolt jogkivonat a következő helyen https://jwt.msjelenik meg: . Ellenőrizze, hogy az Azure-függvény jogcímei megjelennek-e például a dekódolt jogkivonatban dateOfBirth.

Külső bérlő

1. Nyisson meg egy új privát böngészőt, és navigáljon és jelentkezzen be az alábbi URL-címen keresztül.

   https://{domainName}.ciamlogin.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Cserélje le {domainName} például a tartománynevét contoso.

3. Cserélje le {tenantId} a bérlőazonosítót, a bérlőnevet vagy az egyik ellenőrzött tartománynevet. Például: contoso.onmicrosoft.com.

4. Cserélje le {App_to_enrich_ID} a Saját tesztalkalmazás ügyfélazonosítóját.

5. Haladjon végig a konfigurált bejelentkezési felhasználói folyamaton, és fogadja el a kért engedélyeket.

6. A bejelentkezés után a dekódolt jogkivonat a következő helyen https://jwt.msjelenik meg: . Ellenőrizze, hogy az Azure-függvény jogcímei megjelennek-e például a dekódolt jogkivonatban dateOfBirth.

Lásd még

• SAML-alkalmazás konfigurálása külső tárolóból származó jogcímekkel rendelkező jogkivonatok fogadásához
• Egyéni jogcímszolgáltatói referencia
• Az egyéni hitelesítési bővítmények API hibaelhárítása