Verificatiestromen uitbreiden met uw eigen bedrijfslogica

Van toepassing op:Externe tenantsvan werknemers (meer informatie)

Microsoft Entra Externe ID gebruikersstromen zijn ontworpen voor flexibiliteit. Binnen een gebruikersstroom voor registratie en aanmelding zijn er ingebouwde verificatiegebeurtenissen. U kunt ook aangepaste verificatie-extensies toevoegen op specifieke punten binnen de verificatiestroom. Een aangepaste verificatie-extensie is in feite een gebeurtenislistener die, wanneer deze wordt geactiveerd, een HTTP-aanroep maakt naar een REST API-eindpunt waar u een werkstroomactie definieert. U kunt bijvoorbeeld een werkstroom voor het verzamelen van kenmerken toevoegen om de kenmerken te valideren die een gebruiker tijdens de registratie invoert, of u kunt een aangepaste claimprovider gebruiken om externe gebruikersgegevens toe te voegen aan het token voordat het token wordt uitgegeven.

Er zijn twee onderdelen die u moet configureren: een aangepaste verificatie-extensie en een REST API. De aangepaste verificatie-extensie geeft uw REST API-eindpunt op wanneer de REST API moet worden aangeroepen en de referenties voor het aanroepen van de REST API. U kunt aangepaste verificatie-extensies maken op de volgende punten in de verificatiestroom:

• Tijdens het registreren, vóór of na kenmerkverzameling:
  • De gebeurtenis OnAttributeCollectionStart vindt plaats aan het begin van de stap voor het verzamelen van kenmerken, voordat de pagina voor het verzamelen van kenmerken wordt weergegeven.
  • De gebeurtenis OnAttributeCollectionSubmit vindt plaats nadat de gebruiker kenmerken invoert en verzendt.
• Bij tokenuitgifte met behulp van de gebeurtenis OnTokenIssuanceStart , die wordt geactiveerd vlak voordat een token wordt uitgegeven aan de toepassing.

Als u een aangepaste verificatie-extensie hebt geconfigureerd op een van deze punten, roept Microsoft Entra ID de REST API aan die u definieert. De aanvraag voor de REST API bevat informatie over de gebeurtenis, het gebruikersprofiel, verificatieaanvraaggegevens en andere contextinformatie. Op zijn beurt voert de REST API de werkstroomacties uit.

Dit artikel bevat een overzicht van aangepaste verificatie-extensies in Microsoft Entra Externe ID.

Begin van de kenmerkverzameling en verzend gebeurtenissen

U kunt aangepaste verificatie-extensies gebruiken om werkstromen toe te voegen aan de kenmerkverzameling in uw selfservicegebruikersstromen voor registratie. U kunt bijvoorbeeld kenmerkvelden vooraf invullen met aangepaste waarden, de vermeldingen van een gebruiker valideren en kenmerken wijzigen en fouten weergeven. Er zijn twee gebeurtenissen ingeschakeld:

• OnAttributeCollectionStart - De gebeurtenis OnAttributeCollectionStart vindt plaats aan het begin van het kenmerkverzamelingsproces voordat de pagina voor het verzamelen van kenmerken wordt weergegeven. Deze gebeurtenis kan worden gebruikt voor scenario's zoals voorkomen dat de gebruiker zich registreert op basis van hun domein of het toevoegen van kenmerken die moeten worden verzameld. De volgende scenario's kunnen worden geconfigureerd voor de gebeurtenis OnAttributeCollectionStart:

  • continueWithDefaultBehavior : geef de pagina van de kenmerkverzameling weer zoals gebruikelijk.
  • setPreFillValues - Prefill attributes in the sign-up form.
  • showBlockPage : een foutbericht weergeven en blokkeren dat de gebruiker zich kan registreren.

• OnAttributeCollectionSubmit - De gebeurtenis OnAttributeCollectionSubmit vindt plaats nadat de gebruiker kenmerken invoert en verzendt. Deze gebeurtenis kan worden gebruikt voor scenario's zoals het valideren of wijzigen van de informatie die door de gebruiker wordt verstrekt. U kunt bijvoorbeeld een uitnodigingscode of partnernummer valideren, een adresindeling wijzigen of een fout retourneren.

  • continueWithDefaultBehavior - Ga verder met de registratiestroom.
  • modifyAttributeValues : overschrijf de waarden die de gebruiker heeft ingediend in het aanmeldingsformulier.
  • showValidationError : retourneer een fout op basis van de ingediende waarden.
  • showBlockPage : een foutbericht weergeven en blokkeren dat de gebruiker zich kan registreren.

Als u de begin- en verzendbeurtenissen van de kenmerkverzameling wilt configureren, maakt u een AANGEPASTe REST API voor verificatie-extensie. Wanneer een gebeurtenis wordt geactiveerd, verzendt Microsoft Entra-id een HTTP-aanvraag naar uw REST API-eindpunt. De REST API kan een Azure-functie, Een logische Azure-app of een ander openbaar beschikbaar API-eindpunt zijn. Uw REST API-eindpunt is verantwoordelijk voor het definiëren van de werkstroomacties die moeten worden uitgevoerd.

Zie Aangepaste extensies voor kenmerkverzamelingen toevoegen aan uw gebruikersstroom voor meer informatie.

Start-gebeurtenis voor tokenuitgifte

De startgebeurtenis voor tokenuitgifte wordt geactiveerd zodra een gebruiker alle verificatieproblemen heeft voltooid en er een beveiligingstoken wordt uitgegeven.

Wanneer gebruikers zich verifiëren bij uw toepassing met Microsoft Entra-id, wordt er een beveiligingstoken geretourneerd naar uw toepassing. Het beveiligingstoken bevat claims die instructies zijn over de gebruiker, zoals naam, unieke id of toepassingsrollen. Naast de standaardset claims die zijn opgenomen in het beveiligingstoken, kunt u uw eigen aangepaste claims van externe systemen definiëren met behulp van een REST API die u ontwikkelt.

In sommige gevallen kunnen belangrijke gegevens worden opgeslagen in systemen buiten Microsoft Entra, zoals een secundaire e-mail, factureringslaag of gevoelige informatie. Het is niet altijd haalbaar om de informatie in het externe systeem op te slaan in de Microsoft Entra-map. Voor deze scenario's kunt u een aangepaste verificatie-extensie en een aangepaste claimprovider gebruiken om deze externe gegevens toe te voegen aan tokens die worden geretourneerd aan uw toepassing.

Een gebeurtenisextensie voor tokenuitgifte omvat de volgende onderdelen:

• Aangepaste claimprovider. Een aangepaste claimprovider is een type aangepaste verificatie-extensie waarmee gegevens worden opgehaald uit externe systemen. De aangepaste claimprovider geeft de kenmerken op die moeten worden toegevoegd aan het beveiligingstoken dat wordt geretourneerd aan uw toepassing. Meerdere claimproviders kunnen dezelfde aangepaste extensie delen, zodat er voor elke toepassing een andere set kenmerken kan worden toegevoegd aan het beveiligingstoken.

• REST API-eindpunt. Wanneer een gebeurtenis wordt geactiveerd, verzendt Microsoft Entra-id een HTTP-aanvraag naar uw REST API-eindpunt. De REST API kan een Azure-functie, Een logische Azure-app of een ander openbaar beschikbaar API-eindpunt zijn. Uw REST API-eindpuntinterfaces met verschillende gegevensarchieven, waaronder downstreamdatabases, bestaande API's, LDAP-mappen (Lightweight Directory Access Protocol) of andere winkels die de kenmerken bevatten die u wilt toevoegen aan de tokenconfiguratie.

  De REST API retourneert een HTTP-antwoord of -actie terug naar de Microsoft Entra-id die de kenmerken bevat. Deze kenmerken worden niet automatisch toegevoegd aan een token. In plaats daarvan moet het claimtoewijzingsbeleid van een toepassing worden geconfigureerd voor elk kenmerk dat in het token moet worden opgenomen.

Zie deze artikelen voor meer informatie:

• Over aangepaste verificatie-extensies.
• Configureer een aangepaste claimprovider voor een tokenuitgifte-gebeurtenis met behulp van een aangepaste claimprovider.

Zie ook

• Zie Aangepaste verificatie-extensies voor meer informatie over de werking van aangepaste extensies.
• Maak een REST API met een begin-gebeurtenis voor tokenuitgifte.
• Configureer een aangepaste claimprovider voor een tokenuitgifte-gebeurtenis.
• Configureer aangepaste verificatie-extensies voor het starten en verzenden van gebeurtenissen met een openID-voorbeeldtoepassing Verbinding maken.
• Zie het Microsoft Entra Externe ID Developer Center voor de nieuwste inhoud en resources voor ontwikkelaars.