Bagikan melalui

Panduan penyebaran ID Eksternal Microsoft Entra untuk arsitektur autentikasi dan kontrol akses

  • Artikel

Autentikasi membantu memverifikasi identitas, dan kontrol akses adalah proses otorisasi pengguna dan grup untuk mengakses sumber daya.

Protokol dan titik akhir autentikasi: aplikasi dan autentikasi pelanggan

Aplikasi yang menghadap pada pelanggan dapat mengautentikasi dengan Microsoft Entra External ID menggunakan Open Authorization 2.0 (OAuth 2) atau Security Assertion Markup Language 2.0 (SAML 2).

Tabel berikut ini meringkas opsi integrasi aplikasi untuk OAuth 2 dan OpendID Connect (OIDC).

Jenis aplikasi Inisiator Autentikasi Opsi autentikasi
Klien asli: aplikasi seluler dan platform Pengguna berinteraksi dengan aplikasi - autentikasi asli dengan Microsoft Authentication Libraries (MSAL)
- Kode Otorisasi
- Hybrid
Aplikasi web yang berjalan di server Pengguna yang berinteraksi dengan aplikasi Kode otorisasi
Aplikasi web yang berjalan di browser, aplikasi satu halaman (SPA) Pengguna yang berinteraksi dengan aplikasi autentikasi asli - dengan
MSAL - Kode otorisasi
- Hibrid atauimplisit , dengan kunci bukti untuk pertukaran kode (PKCE)
Aplikasi web yang berjalan di server: middleware Aplikasi atas nama pengguna Atas nama
Aplikasi web yang berjalan di server Layanan atau aplikasi tanpa kepala kredensial Klien
Perangkat input terbatas Pengguna berinteraksi dengan perangkat alur kode perangkat

Nota

Mengenai atas nama, klaim sub yang disajikan ke middleware dan sistem belakang berbeda. Lihat payload dalam klaim token akses menurut referensi . Subjek adalah pengidentifikasi berpasangan yang unik untuk ID aplikasi. Jika pengguna masuk ke dua aplikasi menggunakan ID klien yang berbeda, aplikasi akan menerima dua nilai klaim subjek. Gunakan jika kedua nilai bergantung pada arsitektur dan persyaratan privasi. Perlu diperhatikan klaim pengidentifikasi objek (OID), yang tetap sama di seluruh aplikasi dalam satu tenant.

Diagram alur OAuth 2 dan OIDC berikut menunjukkan opsi integrasi aplikasi OAuth.

Diagram alur OAuth 2 dan OIDC dengan opsi integrasi aplikasi OAuth.

Opsi integrasi aplikasi untuk SAML didasarkan pada alur yang dimulai penyedia layanan (SP). Alur SAML dijelaskan dalam proses autentikasi dengan Microsoft Entra ID.

Desain ekstensi autentikasi khusus

Gunakan ekstensi autentikasi kustom untuk menyesuaikan pengalaman autentikasi Microsoft Entra dengan mengintegrasikan dengan sistem eksternal. Dalam diagram berikut, perhatikan kemajuan dari pendaftaran ke token yang dikembalikan.

Lihat gambaran umum ekstensi autentikasi kustom .

Diagram berikut menunjukkan alur autentikasi kustom.

Diagram aliran ekstensi khusus.

Pertimbangan API dan penanganan aktivitas

Terapkan API sebagai API khusus, atau dengan menggunakan API Facade dengan solusi middleware seperti pengelola API. Setiap ekstensi kustom memiliki kontrak API yang ditik secara ketat. Berikan perhatian pada definisi.

Pelajari lebih lanjut tentang sumber daya jenis authenticationEventListener.

Nota

Daftar dalam artikel sebelumnya bertambah saat kami menambahkan lebih banyak jenis sumber daya.

Microsoft menyediakan paket NuGet untuk pengembang .NET yang membangun aplikasi Azure Functions . Solusi ini menangani pemrosesan back-end untuk permintaan HTTP masuk untuk peristiwa autentikasi Microsoft Entra. Temukan validasi token untuk mengamankan panggilan API, model objek, ketik dengan IDE IntelliSense. Temukan juga validasi masuk dan keluar dari skema permintaan dan respons API.

Ekstensi autentikasi dijalankan sejalan dengan alur masuk dan pendaftaran. Pastikan skenarionya sangat berkinerja tinggi, kuat, dan aman. Azure Functions menawarkan infrastruktur yang aman, termasuk pustaka, Azure Key Vault untuk penyimpanan rahasia, caching, penskalaan otomatis, dan pemantauan. Terdapat lebih banyak rekomendasi dalam Auditing dan Pemantauan.

Langkah berikutnya

Gunakan artikel berikut untuk membantu Anda memulai penyebaran ID Eksternal Microsoft Entra: