Creare un'estensione di autenticazione personalizzata per l'avvio e l'invio di eventi della raccolta di attributi (anteprima)

Si applica a: Tenant delle risorse Tenant esterni (altre informazioni)

Questo articolo descrive come estendere l'esperienza di iscrizione utente in Microsoft Entra per ID esterno per i clienti. Nei flussi utente di iscrizione dei clienti, i listener di eventi possono essere usati per estendere il processo di raccolta degli attributi prima della raccolta di attributi e al momento dell'invio di attributi:

• L’evento OnAttributeCollectionStart si verifica all'inizio del passaggio della raccolta di attributi, prima del rendering della pagina della raccolta di attributi. È possibile aggiungere azioni come la precompilazione dei valori e visualizzare un errore bloccante.

  Suggerimento

  

  Per provare questa funzionalità, passare alla demo di Woodgrove Groceries e avviare il caso d'uso “”Prepopola attributi di iscrizione.

• L'evento OnAttributeCollectionSubmit si verifica dopo che l'utente immette e invia gli attributi. È possibile aggiungere azioni come la convalida o la modifica delle voci dell'utente.

  Suggerimento

  

  Per provare questa funzionalità, passare alla demo di Woodgrove Groceries e avviare il caso d'uso "Convalida attributi di iscrizione" o il caso d'uso "Blocca la possibilità all’utente di continuare il processo di iscrizione".

Oltre a creare un'estensione di autenticazione personalizzata per la raccolta di attributi, è necessario creare un'API REST che definisce le azioni del flusso di lavoro da eseguire per ogni evento. È possibile usare qualsiasi linguaggio di programmazione, framework e ambiente di hosting per creare e ospitare l'API REST. Questo articolo illustra un modo rapido per iniziare a usare una funzione di Azure C#. Con le Funzioni di Azure si esegue il codice in un ambiente serverless senza dover prima creare una macchina virtuale (VM) o pubblicare un'applicazione Web.

Prerequisiti

• Per usare i servizi di Azure, tra cui Funzioni di Azure, è necessaria una sottoscrizione di Azure. Se non si ha già un account Azure, è possibile iscriversi a una versione di prova gratuita oppure usare i vantaggi della Sottoscrizione di Visual Studio quando si crea un account.
• Un flusso utente di iscrizione e di accesso.

Passaggio 1: Creare un'API REST per le estensioni di autenticazione personalizzate (app per le funzioni di Azure)

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

In questo passaggio viene creata un'API della funzione trigger HTTP usando Funzioni di Azure. L'API della funzione è l'origine della logica di business per i flussi utente. Dopo aver creato la funzione trigger, è possibile configurarla per uno degli eventi seguenti:

• OnAttributeCollectionStart
• OnAttributeCollectionSubmit

1. Accedere al portale di Azure con un account amministratore.

2. Nel menu del portale di Azure o dalla pagina Home selezionare Crea una risorsa.

3. Cercare e selezionare App per le funzioni e selezionare Crea.

4. Nella pagina Informazioni di base usare le impostazioni dell'app per le funzioni specificate nella tabella seguente:

   Impostazione	Valore suggerito	Descrizione
   Sottoscrizione	Sottoscrizione in uso	La sottoscrizione in cui verrà creata questa nuova app per le funzioni.
   Gruppo di risorse	myResourceGroup	Selezionare un gruppo risorse esistente, o un nome per un nuovo gruppo di risorse in cui verrà creata l'app per le funzioni.
   Nome dell'app per le funzioni	Nome globalmente univoco	Nome che identifica la nuova app per le funzioni. I caratteri validi sono a-z (senza distinzione tra maiuscole e minuscole), 0-9 e -.
   Pubblicazione	Codice	Opzione per la pubblicazione di file di codice o di un contenitore Docker. Per questa esercitazione selezionare Codice.
   Stack di runtime	.NET	Linguaggio di programmazione preferito. Per questa esercitazione selezionare .NET.
   Versione	6 (LTS) in-process	Versione del runtime .NET. In-process indica che è possibile creare e modificare funzioni nel portale, consigliato per questa guida
   Area	Area preferita	Selezionare un'area vicina a sé o vicina ad altri servizi a cui le funzioni possono accedere.
   Sistema operativo	Windows	Viene preselezionato automaticamente il sistema operativo in base alla selezione dello stack di runtime.
   Tipo di piano	Consumo (serverless)	Piano di hosting che definisce come vengono allocate le risorse all'app per le funzioni.

5. Selezionare Rivedi e crea per esaminare le selezioni di configurazione dell’app e quindi selezionare Crea. La distribuzione richiede alcuni minuti.

6. Una volta distribuito, selezionare Vai alla risorsa per visualizzare la nuova app per le funzioni.

1.1 Creare funzioni trigger HTTP

Dopo aver creato l'app per le funzioni di Azure, è possibile creare funzioni trigger HTTP per le azioni che si desidera richiamare con una richiesta HTTP. Ai trigger HTTP viene fatto riferimento e chiamato dall'estensione di autenticazione personalizzata Microsoft Entra.

1. Nella pagina Panoramica dell'app per le funzioni selezionare il riquadro Funzioni e selezionare Crea funzione in Crea in portale di Azure.
2. Nella finestra Crea funzione lasciare la proprietà Ambiente di sviluppo come Sviluppo nel portale. In Modello selezionare Trigger HTTP.
3. In Dettagli modello immettere CustomAuthenticationExtensionsAPI per la proprietà Nuova funzione.
4. Per il Livello di autorizzazione, selezionare Funzione.
5. Seleziona Crea.

1.2 Configurare il trigger HTTP per OnAttributeCollectionStart

1. Dal menu, selezionare Codice e test.
2. Selezionare la scheda seguente per lo scenario che si vuole implementare: Continua, Blocca o SetPrefillValues. Sostituire il codice con i frammenti di codice forniti.
3. Dopo aver sostituito il codice, dal menu in alto selezionare Recupera URL funzione e copiare l'URL. Questo URL viene usato nel passaggio 2: Creare e registrare un'estensione di autenticazione personalizzata per l'URL di destinazione.

Continua

Usare questo trigger HTTP per consentire all'utente di continuare con il flusso di iscrizione se non sono necessarie altre azioni.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);


    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionStart.continueWithDefaultBehavior"}
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
}

Blocco

Usare questo trigger HTTP per impedire all'utente di continuare il processo di iscrizione. Ad esempio, è possibile usare un servizio di verifica delle identità o un'origine dati di identità esterna per verificare l'indirizzo di posta elettronica dell'utente.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    
    dynamic request = JsonConvert.DeserializeObject(requestBody);       

    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionStart.showBlockPage", 
            message = "AttributeCollectionStart Custom Extension message: Sorry, your access request has been blocked. Try reaching an admin at admin@contoso.com."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Valori di precompilato

Usare questo trigger HTTP per precompilare i valori associati al flusso utente, ad esempio da un sistema HR esterno o da un'altra origine dati. È possibile precompilare i valori per gli attributi predefiniti (ad esempio, indirizzo), attributi utente personalizzati (ad esempio, numero fedeltà).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // The form fields will load with these default values
    var inputs = new Dictionary<string, object>()
    {
        { "postalCode", "<your-prefill-value>" },
        { "streetAddress", "<your-prefill-value>" },
        { "city", "<your-prefill-value>" },
        { "extension_appId_mailingList", false },
        { "extension_appId_memberSince", 2023 }      
    };

    var actions = new List<SetPrefillValuesAction>{
        new SetPrefillValuesAction { 
            type = "microsoft.graph.attributeCollectionStart.setPrefillValues", 
            inputs = inputs }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<SetPrefillValuesAction> actions { get; set; }
}

[JsonObject]
public class SetPrefillValuesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> inputs { get; set; }
}

1.3 Configurare il trigger HTTP per OnAttributeCollectionSubmit

1. Dal menu, selezionare Codice e test.
2. Selezionare la scheda seguente per lo scenario che si vuole implementare: Continua, Blocca, Modifica valori o Errore di convalida. Sostituire il codice con i frammenti di codice forniti.
3. Dopo aver sostituito il codice, dal menu in alto selezionare Recupera URL funzione e copiare l'URL. Questo URL viene usato nel passaggio 2: Creare e registrare un'estensione di autenticazione personalizzata per l'URL di destinazione.

Continua

Usare questo trigger HTTP per consentire all'utente di continuare con il flusso di iscrizione se non sono necessarie altre azioni.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.continueWithDefaultBehavior"}
    };
						
    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };
	    
	dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Blocco

Usare questo trigger HTTP per impedire all'utente di continuare il processo di iscrizione in base ai valori degli attributi immessi. Ad esempio, è possibile bloccare l'iscrizione in base a un numero di telefono rischioso. In alternativa, è possibile terminare il flusso di iscrizione e inviare l'utente a un sistema di approvazione personalizzato per la creazione dell'account.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionSubmit.showBlockPage", 
            message = "AttributeCollectionSubmit Custom Extension Message: Thank you for your response. Your access request is processing. You'll be notified when your request has been approved."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Modificare i valori

Usare questo trigger HTTP per modificare la raccolta di attributi dall'utente. Ad esempio, è possibile modificare il formato di un attributo fornito dall'utente. Dopo la modifica degli attributi, l'iscrizione continua senza notifica all'utente. Se è necessaria la notifica, usare l'azione di convalida.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    // User attributes will be saved with these override values
    var attributes = new Dictionary<string, object>()
    {
        { "postalCode", "<your-override-value>" },
        { "streetAddress", "<your-override-value>" },
        { "city", "<your-override-value>" },
        { "extension_appId_mailingList", false }
        { "extension_appId_memberSince", 2010 }
    };

    var actions = new List<ModifiedAttributesAction>{
        new ModifiedAttributesAction { 
            type = "microsoft.graph.attributeCollectionSubmit.modifyAttributeValues", 
            attributes = attributes 
        }
    };

    log.LogInformation("actions: " + actions);

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };


    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ModifiedAttributesAction> actions { get; set; }
}

[JsonObject]
public class ModifiedAttributesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> attributes { get; set; }
}

Errore di convalida

Usare questo trigger HTTP per convalidare gli attributi immessi dall'utente. Ad esempio, è possibile convalidare gli attributi rispetto a un archivio dati esterno. È possibile convalidare gli attributi predefiniti (ad esempio, paese), attributi utente personalizzati (ad esempio, numero fedeltà).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation($"C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // Parse specified attributes
    string cityValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.city?.value)).ToString();

    string postalCodeValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.postalCode?.value)).ToString();

    string streetAddressValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.streetAddress?.value)).ToString();

    // JSON convert makes the length different, so we put 7 here
    if(cityValue.Length < 7 || postalCodeValue.Length < 7 || streetAddressValue.Length < 7){
        var inputs = new Dictionary<string, string>();

        if(cityValue.Length < 7){
            inputs.Add("city", "Length of city string should be of at 5 characters at least");
        }

        if(postalCodeValue.Length < 7){
            inputs.Add("postalCode", "Length of postalCodeValue string should be of at 5 characters at least");
        }

        if(streetAddressValue.Length < 7){
            inputs.Add("streetAddress", "Length of streetAddress string should be of at 5 characters at least");
        }

        string pageMessage = "Please fix below errors to proceed";

        var actions = new List<ValidationErrorActions>{
            new ValidationErrorActions { type = "microsoft.graph.attributeCollectionSubmit.ShowValidationError", message = pageMessage, attributeErrors = inputs }
        };

        
        var dataObject = new Data {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
        };

        dynamic response = new ResponseObject {
            data = dataObject
        };

        log.LogInformation($"Returning validation error");

        // Send the validation error response
        return response;

    }else{
        var actions = new List<ContinueWithDefaultBehavior>{
            new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.ContinueWithDefaultBehavior"}
            };

        
        var dataObject = new DataContinue {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
            };

        dynamic response = new ResponseObjectContinue {
            data = dataObject
        };

        log.LogInformation($"Returning continue");
        
        // Send the continue response
        return response;
    }
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ValidationErrorActions> actions { get; set; }
}

[JsonObject]
public class ValidationErrorActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
    public Dictionary<string, string> attributeErrors {get; set;}
}


public class ResponseObjectContinue
{
    public DataContinue data { get; set; }
}

[JsonObject]
public class DataContinue {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Passaggio 2: Creare e registrare un'estensione per l'autenticazione personalizzata

In questo passaggio, registrare un'estensione per l'autenticazione personalizzata usata da Microsoft Entra per ID per chiamare la funzione di Azure. L'estensione per l'autenticazione personalizzata contiene informazioni sull'endpoint dell'API REST, sulle azioni di avvio e invio della raccolta di attributi analizzata dall'API REST e su come eseguire l'autenticazione con l'API REST.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dell’applicazione e Amministratore dei criteri di autenticazione.

2. Passare a Identità>Identità esterne>Estensioni dell’autenticazione personalizzate.

3. Selezionare Crea un'estensione personalizzata.

4. In Informazioni di base selezionare l'evento AttributeCollectionStart o l'evento AttributeCollectionSubmit e quindi selezionare Avanti. Assicurarsi che corrisponda alla configurazione nel passaggio precedente.

5. In Configurazione endpoint immettere le proprietà seguenti:

   • Nome: un nome per l'estensione di autenticazione personalizzata. Ad esempio, Evento insieme di attributi.
   • URL di destinazione: {Function_Url} dell'URL di Funzioni di Azure.
   • Descrizione: descrizione delle estensioni per l'autenticazione personalizzate.

6. Selezionare Avanti.

7. In Autenticazione API selezionare l'opzione Crea nuova registrazione app per creare una registrazione dell'app che rappresenta l'app per le funzioni.

8. Assegnare all'app un nome, ad esempio API degli eventi di autenticazione di Funzioni di Azure.

9. Selezionare Avanti.

10. Selezionare Crea, che crea l'estensione di autenticazione personalizzata e la registrazione dell'applicazione associata.

2.2 Concedere il consenso amministratore

Dopo aver creato l'estensione di autenticazione personalizzata, concedere il consenso dell'applicazione all'app registrata, che consente all'estensione di autenticazione personalizzata di eseguire l'autenticazione all'API.

1. Passare a Identità>Identità esterne>Estensioni di autenticazione personalizzate (anteprima) .
2. Selezionare l'estensione di autenticazione personalizzata dall'elenco.
3. Nella scheda Panoramica selezionare il pulsante Concedi autorizzazione per concedere il consenso amministratore all'app registrata. L'estensione di autenticazione personalizzata usa client_credentials per eseguire l'autenticazione all'app per le funzioni di Azure usando l'autorizzazione Receive custom authentication extension HTTP requests. Selezionare Accetto.

Passaggio 3: Aggiungere l'estensione per l'autenticazione personalizzata a un flusso utente

Ora è possibile associare l'estensione per l'autenticazione personalizzata a uno o più flussi utente.

Nota

Se si desidera creare un nuovo flusso utente, seguire la procedura Creare un flusso utente di iscrizione e accesso per i clienti.

3.1 Aggiungere l'estensione per l'autenticazione personalizzata a un flusso utente esistente

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dell’applicazione e Amministratore dei criteri di autenticazione

2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno.

3. Passare a Identità>Identità esterne>Flussi utente.

4. Selezionare il flusso utente dall'elenco.

5. Selezionare Estensioni di autenticazione personalizzate.

6. Nella pagina Estensioni per l'autenticazione personalizzata è possibile associare l'estensione di autenticazione personalizzata a due passaggi diversi nel flusso utente:

   • Prima di raccogliere informazioni dall'utente è associato all'evento OnAttributeCollectionStart. Selezionare l'icona della matita di modifica. Verranno visualizzate solo le estensioni personalizzate configurate per l'evento OnAttributeCollectionStart. Selezionare l'applicazione configurata per l'evento di avvio della raccolta di attributi e quindi scegliere Seleziona.
   • Quando un utente invia le informazioni è associato all'evento OnAttributeCollectionSubmit. Verranno visualizzate solo le estensioni personalizzate configurate per l'evento OnAttributeCollectionSubmit. Selezionare l'applicazione configurata per l'evento di invio della raccolta di attributi e quindi scegliere Seleziona.

7. Assicurarsi che le applicazioni elencate accanto a entrambi i passaggi della raccolta di attributi siano corrette.

8. Seleziona l'icona Salva.

Passaggio 4: Testare l'applicazione

Per ottenere un token e testare l'estensione di autenticazione personalizzata, è possibile usare l'app https://jwt.ms. Si tratta di un'applicazione Web di proprietà di Microsoft che visualizza il contenuto decodificato di un token (il contenuto del token non lascia mai il browser).

Eseguire questi passaggi per registrare l'applicazione Web jwt.ms:

4.1 Registrare l'applicazione Web jwt.ms

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore applicazione.
2. Passare a Identità>Applicazioni>Registrazioni applicazioni.
3. Seleziona Nuova registrazione.
4. Immettere un nome per l'applicazione. Ad esempio, Applicazione di test personale.
5. In Tipi di account supportati selezionare Account solo in questa directory organizzativa.
6. Nell'elenco a discesa Seleziona una piattaforma in URI di reindirizzamento, selezionare Web e quindi immettere https://jwt.ms nella casella di testo dell'URL.
7. Selezionare Registra per completare la registrazione dell'app.

4.2 Ottenere l'ID applicazione

Copiare l'ID applicazione (client) dalla pagina Panoramica di registrazione dell'app. L'ID app viene definito come <client_id> nei passaggi successivi. In Microsoft Graph vi si fa riferimento tramite la proprietà appId.

4.3 Abilitare il flusso implicito

L'applicazione di test jwt.ms usa il flusso implicito. Abilitare il flusso implicito nella registrazione dell'applicazione test personale con i seguenti passaggi.

Importante

Microsoft consiglia di usare il flusso di autenticazione più sicuro disponibile. Il flusso di autenticazione usato per i test in questa procedura richiede un livello di attendibilità molto elevato nell'applicazione e comporta rischi che non sono presenti in altri flussi. Questo approccio non deve essere usato per autenticare gli utenti nelle app di produzione (altre informazioni).

1. In Gestisci selezionare Autenticazione.
2. In Concessione implicita e flussi ibridi selezionare la casella di controllo token ID (usati per i flussi impliciti e ibridi).
3. Seleziona Salva.

Passaggio 5: Proteggere la funzione di Azure

L'estensione di autenticazione personalizzata di Microsoft Entra usa il flusso da server a server per ottenere un token di accesso inviato nell'intestazione Authorization HTTP alla funzione di Azure. Quando si pubblica la funzione in Azure, in particolare in un ambiente di produzione, è necessario convalidare il token inviato nell'intestazione dell'autorizzazione.

Per proteggere la funzione di Azure, seguire questa procedura di integrazione dell'autenticazione di Microsoft Entra, in modo da convalidare i token in ingresso con la registrazione dell'applicazione API degli eventi di autenticazione di Funzioni di Azure.

Nota

Se l'app per le funzioni di Azure è ospitata in un tenant di Azure diverso rispetto al tenant in cui è registrata l'estensione di autenticazione personalizzata, passare al passaggio 5.1 Utilizzo del provider di identità OpenID Connect.

5.1 Aggiungere un provider di identità alla funzione di Azure

1. Accedere al portale di Azure.

2. Passare e selezionare l'app per le funzioni pubblicata in precedenza.

3. Selezionare Autenticazione dal menu a sinistra.

4. Selezionare Aggiungi provider di identità.

5. Selezionare Microsoft come provider di identità.

6. Selezionare Cliente come tipo di tenant.

7. In Registrazione app immettere client_id della registrazione app API degli eventi di autenticazione di Funzioni di Azure creata in precedenza con la registrazione del provider di attestazioni personalizzate.

8. Per l'URL autorità dell'emittente immettere l'URL https://{domainName}.ciamlogin.com/{tenant_id}/v2.0 seguente, dove

   • {domainName} è il nome di dominio del tenant esterno.
   • {tenantId} è l'ID tenant del tenant esterno. L'estensione di autenticazione personalizzata deve essere registrata qui.

9. In Richieste non autenticate selezionare HTTP 401 Non autorizzato come provider di identità.

10. Deselezionare l'opzione Archivio token.

11. Selezionare Aggiungi per aggiungere l'autenticazione alla funzione di Azure.

    

5.2 Uso del provider di identità OpenID Connect

Se è stato configurato il passaggio 5: Proteggere la funzione di Azure, ignorare questo passaggio. In caso contrario, se la funzione di Azure è ospitata in un tenant diverso rispetto al tenant in cui è registrata l'estensione di autenticazione personalizzata, seguire questa procedura per proteggere la funzione:

1. Accedere al portale di Azure, poi passare e selezionare l'app per le funzioni pubblicata in precedenza.

2. Selezionare Autenticazione dal menu a sinistra.

3. Selezionare Aggiungi provider di identità.

4. Selezionare OpenID Connect come provider di identità.

5. Specificare un nome, ad esempio Microsoft Entra ID Contoso.

6. Nella voce metadati immettere l'URL seguente per l'URL del documento. Sostituire {tenantId} con l'ID tenant di Microsoft Entra.

   https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
   

7. In Registrazione app immettere l'ID applicazione (ID client) della registrazione app API degli eventi di autenticazione di Funzioni di Azure creata in precedenza.

8. Nell'interfaccia di amministrazione di Microsoft Entra:

   1. Selezionare la registrazione app API degli eventi di autenticazione di Funzioni di Azure creata in precedenza.
   2. Selezionare Certificati e segreti>Segreti client>Nuovo segreto client.
   3. Aggiungere una descrizione per il segreto client.
   4. Selezionare una scadenza per il segreto o specificare una durata personalizzata.
   5. Selezionare Aggiungi.
   6. Registrare il valore del segreto da usare nel codice dell'applicazione client. Questo valore del segreto non viene mai più visualizzato dopo aver lasciato questa pagina.

9. Tornare alla funzione di Azure e, in Registrazione app, immettere il segreto client.

10. Deselezionare l'opzione Archivio token.

11. Selezionare Aggiungi per aggiungere il provider di identità OpenID Connect.

Passaggio 6: Testare l'applicazione

Per testare l'estensione di autenticazione personalizzata, seguire questa procedura:

1. Aprire un nuovo browser privato e passare all'URL seguente:

   https://<domainName>.ciamlogin.com/<tenant_id>/oauth2/v2.0/authorize?client_id=<client_id>&response_type=code+id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

   • Sostituire <domainName> con il nome del tenant esterno e sostituire <tenant-id> con l'ID tenant esterno.
   • Sostituire <client_id> con l'ID per l'applicazione aggiunta al flusso utente.

2. Dopo l'accesso, verrà visualizzato il token decodificato all'indirizzo https://jwt.ms.

Passaggi successivi

• Informazioni di riferimento su OnAttributeCollectionStart
• OnAttributeCollectionSubmit reference