Configurare un provider di attestazioni personalizzato per un evento di rilascio di token

Questo articolo descrive come configurare un provider di attestazioni personalizzato per un evento di avvio del rilascio di token. Usando un'API REST di Funzioni di Azure esistente, si registrerà un'estensione per l'autenticazione personalizzata e si aggiungeranno attributi da analizzare dall'API REST. Per testare l'estensione per l'autenticazione personalizzata, si registrerà un'applicazione OpenID Connect di esempio per ottenere un token e visualizzare le attestazioni.

Prerequisiti

• Una sottoscrizione di Azure con la possibilità di creare Funzioni di Azure. Se non si ha già un account Azure, è possibile iscriversi a una versione di prova gratuita oppure usare i vantaggi della Sottoscrizione di Visual Studio quando si crea un account.
• Funzione di attivazione HTTP configurata per un evento di rilascio di token distribuito in Funzioni di Azure. Se non è disponibile, seguire la procedura descritta in Creare un'API REST per un evento di avvio del rilascio di token in Funzioni di Azure.
• Conoscenza di base dei concetti trattati in Panoramica delle estensioni per l'autenticazione personalizzata.
• Tenant di Microsoft Entra ID. È possibile usare un tenant del cliente o del personale per questa guida pratica.
  • Per i tenant esterni, usare un flusso utente di iscrizione e di accesso.

Passaggio 1: Registrare un'estensione per l'autenticazione personalizzata

A questo punto si configurerà un'estensione per l'autenticazione personalizzata, che verrà usata da Microsoft Entra ID per chiamare la funzione di Azure. L'estensione per l'autenticazione personalizzata contiene informazioni sull'endpoint dell'API REST, sulle attestazioni analizzate dall'API REST e su come eseguire l'autenticazione con l'API REST. Seguire questa procedura per registrare un'estensione per l'autenticazione personalizzata nell'app Funzioni di Azure.

Nota

È possibile avere un massimo di 100 criteri di estensione personalizzati.

Azure portal

Registrare un'estensione per l'autenticazione personalizzata

1. Accedere al portale di Azure almeno come amministratore di applicazioni e amministratore dell'autenticazione.
2. Cercare e selezionare Microsoft Entra ID, quindi selezionare Applicazioni aziendali.
3. Selezionare Estensioni di autenticazione personalizzate e quindi selezionare Crea un'estensione personalizzata.
4. In Informazioni di base selezionare il tipo di evento TokenIssuanceStart e selezionare Avanti.
5. In Configurazione endpoint immettere le proprietà seguenti:
   • Nome: un nome per l'estensione di autenticazione personalizzata. Ad esempio, Evento di rilascio del token.
   • URL di destinazione: {Function_Url} dell'URL di Funzioni di Azure. Passare alla pagina Panoramica dell'app Funzioni di Azure e quindi selezionare la funzione creata. Nella pagina Panoramica delle funzioni selezionare Recupera URL funzione e usare l'icona di copia per copiare l'URL customauthenticationextension_extension (chiave di sistema).
   • Descrizione: descrizione delle estensioni per l'autenticazione personalizzate.
6. Selezionare Avanti.
7. In Autenticazione API selezionare l'opzione Crea nuova registrazione app per creare una registrazione dell'app che rappresenta l'app per le funzioni.
8. Assegnare all'app un nome, ad esempio API degli eventi di autenticazione di Funzioni di Azure.
9. Selezionare Avanti.
10. In Attestazioni immettere gli attributi previsti per l'analisi dell'estensione per l'autenticazione personalizzata da parte dell'API REST e che verranno uniti nel token. Aggiungere le attestazioni seguenti:
    • dateOfBirth
    • customRoles
    • apiVersion
    • correlationId
11. Selezionare Avanti, quindi Crea, che registra l'estensione di autenticazione personalizzata e la registrazione dell'applicazione associata.
12. Prendere nota dell'ID app in Autenticazione API, necessario per configurare l'autenticazione per la funzione di Azure nell'app Funzioni di Azure.

Microsoft Graph

Registrare un'applicazione

1. Accedere a Graph Explorer usando un account il cui tenant principale è il tenant in cui si vuole gestire l'estensione per l'autenticazione personalizzata. Questo account deve disporre dei privilegi per creare e gestire una registrazione dell'applicazione nel tenant.

2. Eseguire la richiesta seguente.

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
       "displayName": "authenticationeventsAPI"
   }
   

3. Dalla risposta, registrare il valore di id e appId della registrazione dell'app appena creata. Questi valori vengono indicati in questo articolo come {authenticationeventsAPI_ObjectId} e {authenticationeventsAPI_AppId} rispettivamente.

Creare un'entità servizio nel tenant per la registrazione dell'app authenticationeventsAPI.

Mentre si è in Graph Explorer, eseguire la richiesta seguente. Sostituire {authenticationeventsAPI_AppId} con il valore di appId registrato nel passaggio precedente.

POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-type: application/json
    
{
    "appId": "{authenticationeventsAPI_AppId}"
}

Impostare l'URI dell'ID app, la versione del token di accesso e l'accesso alle risorse richiesto

Aggiornare l'applicazione appena creata per impostare il valore dell'URI dell'ID applicazione, la versione del token di accesso e l'accesso alle risorse richiesto.

In Graph Explorer eseguire la richiesta seguente.

• Impostare il valore dell'URI dell'ID applicazione nella proprietà identifierUris. Sostituire {Function_Url_Hostname} con il nome host di {Function_Url} registrato in precedenza.
• Impostare il valore {authenticationeventsAPI_AppId} con l'appId registrato in precedenza.
• Un valore di esempio è api://authenticationeventsAPI.azurewebsites.net/00001111-aaaa-2222-bbbb-3333cccc4444. Prendere nota di questo valore perché verrà usato più avanti in questo articolo al posto di {functionApp_IdentifierUri}.

POST https://graph.microsoft.com/v1.0/applications/{authenticationeventsAPI_ObjectId}
Content-type: application/json

{
"identifierUris": [
    "api://{Function_Url_Hostname}/{authenticationeventsAPI_AppId}"
],    
"api": {
    "requestedAccessTokenVersion": 2,
    "acceptMappedClaims": null,
    "knownClientApplications": [],
    "oauth2PermissionScopes": [],
    "preAuthorizedApplications": []
},
"requiredResourceAccess": [
    {
        "resourceAppId": "00000003-0000-0000-c000-000000000000",
        "resourceAccess": [
            {
                "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                "type": "Role"
            }
        ]
    }
]
}

Registrare un'estensione per l'autenticazione personalizzata

Per registrare l'estensione di autenticazione personalizzata, associarla alla registrazione dell'app per la funzione di Azure e all'endpoint {Function_Url} della funzione di Azure.

1. In Graph Explorer eseguire la richiesta seguente. Sostituire {Function_Url} con il nome host dell'app per le funzioni di Azure. Sostituire {functionApp_IdentifierUri} con l'URI dell'identificatore usato nel passaggio precedente.

   • È necessaria l'autorizzazione delegata CustomAuthenticationExtension.ReadWrite.All.

   POST https://graph.microsoft.com/beta/identity/customAuthenticationExtensions
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtension",
       "displayName": "onTokenIssuanceStartCustomExtension",
       "description": "Fetch additional claims from custom user store",
       "endpointConfiguration": {
           "@odata.type": "#microsoft.graph.httpRequestEndpoint",
           "targetUrl": "{Function_Url}"
       },
       "authenticationConfiguration": {
           "@odata.type": "#microsoft.graph.azureAdTokenAuthentication",
           "resourceId": "{functionApp_IdentifierUri}"
       },
       "claimsForTokenConfiguration": [
           {
               "claimIdInApiResponse": "DateOfBirth"
           },
           {
               "claimIdInApiResponse": "CustomRoles"
           }
       ]
   }
   

2. Registrare il valore id dell'oggetto provider di attestazioni personalizzato creato. Questo valore verrà usato più avanti nell'esercitazione al posto di {customExtensionObjectId}.

1.2 Concedere il consenso amministratore

Dopo aver creato l'estensione di autenticazione personalizzata, è necessario concedere le autorizzazioni all'API. L'estensione di autenticazione personalizzata usa client_credentials per eseguire l'autenticazione all'app per le funzioni di Azure usando l'autorizzazione Receive custom authentication extension HTTP requests.

1. Aprire la pagina Panoramica della nuova estensione di autenticazione personalizzata. Prendere nota dell'ID app in Autenticazione API, perché sarà necessario quando si aggiunge un provider di identità.

2. In Autenticazione API selezionare Concedi autorizzazione.

3. Viene aperta una nuova finestra e, dopo l'accesso, vengono richieste le autorizzazioni per ricevere richieste HTTP dell'estensione di autenticazione personalizzata. In questo modo l'estensione di autenticazione personalizzata può eseguire l'autenticazione all'API. Selezionare Accetto.

   

Passaggio 2: Configurare un'app OpenID Connect per ricevere token arricchiti

Per ottenere un token e testare l'estensione di autenticazione personalizzata, è possibile usare l'app https://jwt.ms. Si tratta di un'applicazione Web di proprietà di Microsoft che visualizza il contenuto decodificato di un token (il contenuto del token non lascia mai il browser).

2.1 Registrare un'applicazione Web di test

Eseguire questi passaggi per registrare l'applicazione Web jwt.ms:

1. Nella pagina Home del portale di Azure selezionare Microsoft Entra ID.

2. Selezionare Registrazioni app>Nuova registrazione.

3. Immettere un nome per l'applicazione. Ad esempio, Applicazione di test personale.

4. In Tipi di account supportati selezionare Account solo in questa directory organizzativa.

5. Nell'elenco a discesa Seleziona una piattaforma in URI di reindirizzamento, selezionare Web e quindi immettere https://jwt.ms nella casella di testo dell'URL.

6. Selezionare Registra per completare la registrazione dell'app.

   

7. Copiare l'ID applicazione (client) dalla pagina Panoramica di registrazione dell'app. L'ID app viene definito come {App_to_enrich_ID} nei passaggi successivi. In Microsoft Graph vi si fa riferimento tramite la proprietà appId.

   

2.2 Abilitare il flusso implicito

L'applicazione di test jwt.ms usa il flusso implicito. Abilitare il flusso implicito nella registrazione dell'applicazione test personale:

1. In Gestisci selezionare Autenticazione.
2. In Concessione implicita e flussi ibridi selezionare la casella di controllo token ID (usati per i flussi impliciti e ibridi).
3. Seleziona Salva.

2.3 Abilitare l'app per i criteri di mapping delle attestazioni

Un criterio di mapping delle attestazioni viene usato per selezionare gli attributi restituiti dall'estensione di autenticazione personalizzata di cui viene eseguito il mapping nel token. Per consentire l'aumento dei token, è necessario abilitare in modo esplicito la registrazione dell'applicazione per accettare attestazioni mappate:

1. Nella registrazione dell'applicazione test personale, in Gestisci selezionare Manifesto.
2. Nel manifesto individuare l'acceptMappedClaimsattributo e impostare il valore su true.
3. Imposta accessTokenAcceptedVersion su 2.
4. Seleziona Salva per salvare le modifiche.

Il frammento di JSON seguente illustra come configurare queste proprietà.

{
	"id": "22222222-0000-0000-0000-000000000000",
	"acceptMappedClaims": true,
	"accessTokenAcceptedVersion": 2,  
    ...
}

Avviso

Non impostare la proprietà acceptMappedClaims su true per le app multi-tenant in qunato ciò può consentire a malintenzionati di creare criteri di mapping delle attestazioni per l'app. Invece Configurare una chiave di firma personalizzata.

Tenant del personale

Continuare con il passaggio successivo, Assegnare un provider di attestazioni personalizzato all'app.

Tenant esterno

3.4 Associare l'applicazione a un flusso utente

Per i tenant esterni, è necessario associare l'app a un flusso utente. Un flusso utente definisce i metodi di autenticazione che un cliente può usare per accedere all'applicazione e le informazioni che deve fornire durante l'iscrizione. Assicurarsi di completare i passaggi descritti in Aggiungere un'applicazione a un flusso utente prima di continuare ad aggiungere l'applicazione Test personale al flusso utente.

Passaggio 3: Assegnare un provider di attestazioni personalizzato all'app

Per emettere token con attestazioni in ingresso dall'estensione di autenticazione personalizzata, è necessario assegnare un provider di attestazioni personalizzato all'applicazione. Questo è basato sui destinatari del token, quindi il provider deve essere assegnato all'applicazione client per ricevere attestazioni in un token ID e all'applicazione della risorsa per ricevere attestazioni in un token di accesso. Il provider di attestazioni personalizzate si basa sull'estensione di autenticazione personalizzata configurata con il listener dell'evento di avvio del rilascio del token. È possibile scegliere se tutti, o un sottoinsieme, dal provider di attestazioni personalizzato vengono mappati nel token.

Nota

È possibile creare solo 250 assegnazioni univoche tra applicazioni ed estensioni personalizzate. Se si vuole applicare la stessa chiamata di estensione personalizzata a più app, è consigliabile usare l'API Microsoft Graph authenticationEventListeners per creare listener per più applicazioni. Questo non è supportato nel portale di Azure.

Seguire questa procedura per connettere l'applicazione test personale con l'estensione di autenticazione personalizzata:

Azure portal

Per assegnare l'estensione di autenticazione personalizzata come origine del provider di attestazioni personalizzato;

1. Nella pagina Home del portale di Azure selezionare Microsoft Entra ID.

2. Selezionare Applicazioni aziendali e quindi in Gestisci seleziona Tutte le applicazioni. Trovare e selezionare applicazione test personale dall'elenco.

3. Nella pagina Panoramica dell'applicazione test personale passare a Gestisci e selezionare Single Sign-On.

4. In Attributi e attestazioni selezionare Modifica.

   

5. Espandere il menuImpostazioni avanzate.

6. Accanto a Provider di attestazioni personalizzate selezionare Configura.

7. Espandere la casella a discesaProvider di attestazioni personalizzate e selezionare l'evento di rilascio del token creato in precedenza.

8. Seleziona Salva.

Assegnare quindi gli attributi del provider di attestazioni personalizzate, che devono essere rilasciati nel token come attestazioni:

1. Selezionare Aggiungi nuova attestazione per aggiungere una nuova attestazione. Specificare un nome per l'attestazione da rilasciare, ad esempio dateOfBirth.

2. In Origine seleziona Attributo e scegli customClaimsProvider.dateOfBirth nella casella a discesa Attributo di origine.

   

3. Seleziona Salva.

4. Ripeti questo processo per aggiungere gli attributi customClaimsProvider.customRoles, customClaimsProvider.apiVersion e customClaimsProvider.correlationId e il nome corrispondente. È consigliabile associare il nome dell'attestazione al nome dell'attributo.

Microsoft Graph

Crea prima di tutto un listener di eventi per attivare un'estensione di autenticazione personalizzata per l'applicazione Test personale usando l'evento di avvio del rilascio del token.

1. Accedi a Graph explorer usando un account il cui tenant principale è il tenant in cui si vuole gestire l'estensione di autenticazione personalizzata.

2. Eseguire la richiesta seguente. Sostituisci {App_to_enrich_ID} con l'ID app dell'applicazione Test personale registrato in precedenza. Sostituisci {customExtensionObjectId} con l'ID dell'estensione di autenticazione personalizzata registrato in precedenza.

   • È necessaria l'autorizzazione delegata EventListener.ReadWrite.All.

   POST https://graph.microsoft.com/beta/identity/authenticationEventListeners
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartListener",
       "conditions": {
           "applications": {
               "includeAllApplications": false,
               "includeApplications": [
                   {
                       "appId": "{App_to_enrich_ID}"
                   }
               ]
           }
       },
       "priority": 500,
       "handler": {
           "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtensionHandler",
           "customExtension": {
               "id": "{customExtensionObjectId}"
           }
       }
   }
   

Crea quindi i criteri di mapping delle attestazioni, che descrivono quali attestazioni possono essere rilasciate a un'applicazione da un provider di attestazioni personalizzato.

1. Sempre in Graph explorer esegui la richiesta seguente. Sarà necessaria l'autorizzazione delegata Policy.ReadWrite.ApplicationConfiguration.

   POST https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies
   Content-type: application/json
   
   {
       "definition": [
           "{\"ClaimsMappingPolicy\":{\"Version\":1,\"IncludeBasicClaimSet\":\"true\",\"ClaimsSchema\":[{\"Source\":\"CustomClaimsProvider\",\"ID\":\"DateOfBirth\",\"JwtClaimType\":\"dob\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CustomRoles\",\"JwtClaimType\":\"my_roles\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CorrelationId\",\"JwtClaimType\":\"correlationId\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"ApiVersion\",\"JwtClaimType\":\"apiVersion \"},{\"Value\":\"tokenaug_V2\",\"JwtClaimType\":\"policy_version\"}]}}"
       ],
       "displayName": "MyClaimsMappingPolicy",
       "isOrganizationDefault": false
   }
   

2. Registra ID generato nella risposta, in seguito viene definito {claims_mapping_policy_ID}.

Ottenere l'ID oggetto dell'entità servizio:

1. Eseguire la richiesta seguente in Graph Explorer. Sostituire {App_to_enrich_ID} con l'ID app dell'applicazione di test personale.

   GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='{App_to_enrich_ID}')
   

Registrare il valore dell'ID.

Assegnare i criteri di mapping delle attestazioni all'entità servizio dell'applicazione di test personale.

1. Eseguire la richiesta seguente in Graph Explorer. Saranno necessarie le autorizzazioni delegate Policy.ReadWrite.ApplicationConfiguration e Application.ReadWrite.All.

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{test_App_Service_Principal_ObjectId}/claimsMappingPolicies/$ref
   Content-type: application/json
   
   {
       "@odata.id": "https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies/{claims_mapping_policy_ID}"
   }
   

Passaggio 4: Proteggere la funzione di Azure

L'estensione di autenticazione personalizzata di Microsoft Entra usa il flusso da server a server per ottenere un token di accesso inviato nell'intestazione Authorization HTTP alla funzione di Azure. Quando si pubblica la funzione in Azure, in particolare in un ambiente di produzione, è necessario convalidare il token inviato nell'intestazione dell'autorizzazione.

Per proteggere la funzione di Azure, seguire questa procedura di integrazione dell'autenticazione di Microsoft Entra, in modo da convalidare i token in ingresso con la registrazione dell'applicazione API degli eventi di autenticazione di Funzioni di Azure. Scegliere una delle schede seguenti in base al tipo di tenant.

Nota

Se l'app per le funzioni di Azure è ospitata in un tenant di Azure diverso rispetto al tenant in cui è registrata l'estensione di autenticazione personalizzata, scegliere la scheda OpenID Connect.

4.1 Uso del provider di identità Microsoft Entra

Usare la procedura seguente per aggiungere Microsoft Entra come provider di identità all'app per le funzioni di Azure.

Tenant del personale

1. Nel portale di Azure trovare e selezionare l'app per le funzioni pubblicata in precedenza.

2. In Impostazioni selezionare Autenticazione.

3. Selezionare Aggiungi provider di identità.

4. Selezionare Microsoft come provider di identità.

5. Selezionare Personale come tipo di tenant.

6. In Registrazione app selezionare Seleziona una registrazione app esistente in questa directory per il tipo di registrazione app e selezionare la registrazione app API degli eventi di autenticazione di Funzioni di Azure creata in precedenza durante la registrazione del provider di attestazioni personalizzate.

7. Immettere l'URL dell'emittente seguente, https://login.microsoftonline.com/{tenantId}/v2.0, dove {tenantId} è l'ID tenant del tenant del personale.

8. In Requisiti dell'applicazione client selezionare Consenti richieste da applicazioni client specifiche e immettere 99045fe1-7639-4a75-9d4a-577b6ca3810f.

9. In Requisito tenant selezionare Consenti richieste da tenant specifici e immettere l'ID tenant del personale.

10. In Richieste non autenticate selezionare HTTP 401 Non autorizzato come provider di identità.

11. Deselezionare l'opzione Archivio token.

12. Selezionare Aggiungi per aggiungere l'autenticazione alla funzione di Azure.

    

Tenant esterno

1. Nel portale di Azure trovare e selezionare l'app per le funzioni pubblicata in precedenza.

2. In Impostazioni selezionare Autenticazione.

3. Selezionare Aggiungi provider di identità.

4. Selezionare Microsoft come provider di identità.

5. Selezionare Configurazione esterna come tipo di tenant.

6. In Registrazione app selezionare Specifica i dettagli di una registrazione app esistente per il tipo di registrazione app e immettere client_id della registrazione app API degli eventi di autenticazione di Funzioni di Azure creata in precedenza durante la registrazione del provider di attestazioni personalizzate.

7. Per l'URL autorità dell'emittente immettere l'URL https://{domainName}.ciamlogin.com/{tenant_id}/v2.0 seguente, dove

   • {domainName} è il nome di dominio del tenant esterno, nel formato {domainName}.contoso.com.
   • {tenantId} è l'ID tenant del tenant esterno.

8. In Requisiti dell'applicazione client selezionare Consenti richieste da applicazioni client specifiche e immettere 99045fe1-7639-4a75-9d4a-577b6ca3810f.

9. In Requisito tenant selezionare Consenti richieste da tenant specifici e immettere l'ID tenant esterno.

10. In Richieste non autenticate selezionare HTTP 401 Non autorizzato come provider di identità.

11. Deselezionare l'opzione Archivio token.

12. Selezionare Aggiungi per aggiungere l'autenticazione alla funzione di Azure.

    

4.2 Uso del provider di identità OpenID Connect

Se è stato configurato il provider di identità Microsoft, ignorare questo passaggio. In caso contrario, se la funzione di Azure è ospitata in un tenant diverso rispetto al tenant in cui è registrata l'estensione di autenticazione personalizzata, seguire questa procedura per proteggere la funzione:

Creare un segreto client

1. Nella pagina Home del portale di Azure selezionare Microsoft Entra ID>Registrazioni app.
2. Selezionare la registrazione app API degli eventi di autenticazione di Funzioni di Azure creata in precedenza.
3. Selezionare Certificati e segreti>Segreti client>Nuovo segreto client.
4. Selezionare una scadenza per il segreto o specificare una durata personalizzata, aggiungere una descrizione e selezionare Aggiungi.
5. Registrare il valore del segreto da usare nel codice dell'applicazione client. Questo valore del segreto non viene mai più visualizzato dopo aver lasciato questa pagina.

Aggiungere il provider di identità OpenID Connect all'app per le funzioni di Azure.

1. Trovare e selezionare l'app per le funzioni pubblicata in precedenza.

2. In Impostazioni selezionare Autenticazione.

3. Selezionare Aggiungi provider di identità.

4. Selezionare OpenID Connect come provider di identità.

5. Specificare un nome, ad esempio Microsoft Entra ID Contoso.

6. Nella voce metadati immettere l'URL seguente per l'URL del documento. Sostituire {tenantId} con l'ID tenant di Microsoft Entra.

   https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
   

7. In Registrazione app immettere l'ID applicazione (ID client) della registrazione app API degli eventi di autenticazione di Funzioni di Azure creata in precedenza.

8. Tornare alla funzione di Azure e, in Registrazione app, immettere il segreto client.

9. Deselezionare l'opzione Archivio token.

10. Selezionare Aggiungi per aggiungere il provider di identità OpenID Connect.

Passaggio 5: Testare l'applicazione

Per testare il provider di attestazioni personalizzate, seguire questa procedura:

Tenant del personale

1. Aprire un nuovo browser privato e accedere tramite l'URL seguente.

   https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Sostituire {tenantId} con l'ID tenant, il nome del tenant o uno dei nomi di dominio verificati. Ad esempio: contoso.onmicrosoft.com.

3. Sostituire {App_to_enrich_ID} con l'ID client dell'applicazione di test personale.

4. Dopo l'accesso, verrà visualizzato il token decodificato all'indirizzo https://jwt.ms. Verifica che le attestazioni della funzione di Azure vengano presentate nel token decodificato, ad esempio, dateOfBirth.

Tenant esterno

1. Aprire un nuovo browser privato e accedere tramite l'URL seguente.

   https://{domainName}.ciamlogin.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Sostituire {domainName} con il nome di dominio, ad esempio contoso.

3. Sostituire {tenantId} con l'ID tenant, il nome del tenant o uno dei nomi di dominio verificati. Ad esempio: contoso.onmicrosoft.com.

4. Sostituire {App_to_enrich_ID} con l'ID client dell'applicazione di test personale.

5. Passare attraverso il flusso utente di accesso configurato e accettare le autorizzazioni richieste.

6. Dopo l'accesso, verrà visualizzato il token decodificato all'indirizzo https://jwt.ms. Verifica che le attestazioni della funzione di Azure vengano presentate nel token decodificato, ad esempio, dateOfBirth.

Vedi anche

• Configurare un'app SAML per ricevere token con attestazioni da un archivio esterno
• Informazioni di riferimento sul provider di attestazioni personalizzate
• Risolvere i problemi dell'API delle estensioni di autenticazione personalizzate