Een aangepaste verificatie-extensie maken voor het starten van de kenmerkverzameling en het verzenden van gebeurtenissen (preview)

Van toepassing op:Externe tenantsvan werknemers (meer informatie)

In dit artikel wordt beschreven hoe u de gebruikersaanmeldingservaring in Microsoft Entra Externe ID voor klanten kunt uitbreiden. In gebruikersstromen voor aanmelding van klanten kunnen gebeurtenislisteners worden gebruikt om het proces voor het verzamelen van kenmerken uit te breiden vóór het verzamelen van kenmerken en op het moment van het indienen van kenmerken:

• De gebeurtenis OnAttributeCollectionStart vindt plaats aan het begin van de stap voor het verzamelen van kenmerken, voordat de pagina voor het verzamelen van kenmerken wordt weergegeven. U kunt acties toevoegen, zoals het vooraf doorvoeren van waarden en het weergeven van een blokkeringsfout.

  Tip

  

  Als u deze functie wilt uitproberen, gaat u naar de demo Woodgrove Boodschappen en start u de use case 'Vooraf ingevulde registratiekenmerken'.

• De gebeurtenis OnAttributeCollectionSubmit vindt plaats nadat de gebruiker kenmerken invoert en verzendt. U kunt acties toevoegen, zoals het valideren of wijzigen van de vermeldingen van de gebruiker.

  Tip

  

  Als u deze functie wilt uitproberen, gaat u naar de demo Woodgrove Boodschappen en start u de use-case 'Registratiekenmerken valideren' of 'Voorkomen dat een gebruiker doorgaat met het registratieproces'.

Naast het maken van een aangepaste verificatie-extensie voor het starten van de kenmerkverzameling en het verzenden van gebeurtenissen, moet u een REST API maken die de werkstroomacties definieert die voor elke gebeurtenis moeten worden uitgevoerd. U kunt elke programmeertaal, framework en hostingomgeving gebruiken om uw REST API te maken en te hosten. In dit artikel wordt een snelle manier beschreven om aan de slag te gaan met een C#-azure-functie. Met Azure Functions voert u uw code uit in een serverloze omgeving zonder dat u eerst een virtuele machine (VM) hoeft te maken of een webtoepassing hoeft te publiceren.

Vereisten

• Als u Azure-services, waaronder Azure Functions, wilt gebruiken, hebt u een Azure-abonnement nodig. Als u geen bestaand Azure-account hebt, kunt u zich registreren voor een gratis proefversie of de voordelen van uw Visual Studio-abonnement gebruiken wanneer u een account maakt.
• Een gebruikersstroom voor registreren en aanmelden.

Stap 1: Een REST API voor aangepaste verificatie-extensies maken (Azure Function-app)

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

In deze stap maakt u een HTTP-triggerfunctie-API met behulp van Azure Functions. De functie-API is de bron van de bedrijfslogica voor uw gebruikersstromen. Nadat u de triggerfunctie hebt gemaakt, kunt u deze configureren voor een van de volgende gebeurtenissen:

• OnAttributeCollectionStart
• OnAttributeCollectionSubmit

1. Meld u aan bij Azure Portal met uw beheerdersaccount.

2. Selecteer vanuit het menu van Azure Portal of op de startpagina de optie Een resource maken.

3. Zoek en selecteer Functie-app en selecteer Maken.

4. Op de pagina Basics gebruikt u de instellingen voor de functie-app zoals in de volgende tabel wordt vermeld:

   Instelling	Voorgestelde waarde	Beschrijving
   Abonnement	Uw abonnement	Het abonnement waarin de nieuwe functie-app wordt gemaakt.
   Resourcegroep	myResourceGroup	Selecteer en de bestaande resourcegroep of geef een naam op voor de nieuwe resourcegroep waarin u uw functie-app gaat maken.
   Naam van de functie-app	Wereldwijd unieke naam	Een naam die de nieuwe functie-app identificeert. Geldige tekens zijn a-z (niet hoofdlettergevoelig), 0-9 en -.
   Publiceren	Code	Optie voor het publiceren van codebestanden of een Docker-container. Voor deze zelfstudie selecteert u Code.
   Runtimestack	.NET	Uw favoriete programmeertaal. Voor deze zelfstudie selecteert u .NET.
   Versie	6 (LTS) In-process	Versie van de .NET-runtime. In-process geeft aan dat u functies in de portal kunt maken en wijzigen. Dit wordt aanbevolen voor deze handleiding
   Regio	Voorkeursregio	Selecteer een regio in de buurt of in de buurt van andere services waartoe uw functies toegang hebben.
   Besturingssysteem	Windows	Het besturingssysteem is vooraf geselecteerd op basis van uw runtimestackselectie.
   Plantype	Verbruik (serverloos)	Hostingabonnement dat definieert hoe resources worden toegewezen aan uw functie-app.

5. Selecteer Beoordelen en maken om de app-configuratieselecties te controleren en selecteer vervolgens Maken. De implementatie duurt een paar minuten.

6. Nadat de resource is geïmplementeerd, selecteert u Ga naar de resource om uw nieuwe functie-app weer te geven.

1.1 HTTP-triggerfuncties maken

Nu u de Azure Function-app hebt gemaakt, maakt u HTTP-triggerfuncties voor de acties die u wilt aanroepen met een HTTP-aanvraag. HTTP-triggers worden verwezen en aangeroepen door de aangepaste verificatie-extensie van Microsoft Entra.

1. Selecteer op de pagina Overzicht van uw functie-app het deelvenster Functies en selecteer Functie maken onder Maken in Azure Portal.
2. Laat in het venster Functie maken de eigenschap Ontwikkelomgeving staan als Ontwikkelen in de portal. Selecteer onder Sjabloon de HTTP-trigger.
3. Voer onder Sjabloondetails CustomAuthenticationExtensionsAPI in voor de eigenschap Nieuwe functie.
4. Selecteer Functie voor het autorisatieniveau.
5. Selecteer Maken.

1.2 Configureer de HTTP-trigger voor OnAttributeCollectionStart

1. Selecteer Code + Test in het menu.
2. Selecteer het onderstaande tabblad voor het scenario dat u wilt implementeren: Doorgaan, Blokkeren of SetPrefillValues. Vervang de code door de opgegeven codefragmenten.
3. Nadat u de code hebt vervangen, selecteert u in het bovenste menu Functie-URL ophalen en kopieert u de URL. U gebruikt deze URL in stap 2: een aangepaste verificatie-extensie maken en registreren voor de doel-URL.

Doorgaan

Gebruik deze HTTP-trigger om de gebruiker in staat te stellen door te gaan met de registratiestroom als er geen verdere actie nodig is.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);


    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionStart.continueWithDefaultBehavior"}
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
}

Blokkade

Gebruik deze HTTP-trigger om te voorkomen dat de gebruiker doorgaat met het registratieproces. U kunt bijvoorbeeld een identiteitsverificatieservice of externe identiteitsgegevensbron gebruiken om het e-mailadres van de gebruiker te verifiëren.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    
    dynamic request = JsonConvert.DeserializeObject(requestBody);       

    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionStart.showBlockPage", 
            message = "AttributeCollectionStart Custom Extension message: Sorry, your access request has been blocked. Try reaching an admin at admin@contoso.com."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Waarden vooraf doorvoeren

Gebruik deze HTTP-trigger om de waarden die zijn gekoppeld aan de gebruikersstroom vooraf in te vullen, bijvoorbeeld vanuit een extern HR-systeem of een andere gegevensbron. U kunt waarden vooraf invullen voor ingebouwde kenmerken (bijvoorbeeld adres), aangepaste gebruikerskenmerken (bijvoorbeeld loyaliteitsnummer).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // The form fields will load with these default values
    var inputs = new Dictionary<string, object>()
    {
        { "postalCode", "<your-prefill-value>" },
        { "streetAddress", "<your-prefill-value>" },
        { "city", "<your-prefill-value>" },
        { "extension_appId_mailingList", false },
        { "extension_appId_memberSince", 2023 }      
    };

    var actions = new List<SetPrefillValuesAction>{
        new SetPrefillValuesAction { 
            type = "microsoft.graph.attributeCollectionStart.setPrefillValues", 
            inputs = inputs }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<SetPrefillValuesAction> actions { get; set; }
}

[JsonObject]
public class SetPrefillValuesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> inputs { get; set; }
}

1.3 De HTTP-trigger voor OnAttributeCollectionSubmit configureren

1. Selecteer Code + Test in het menu.
2. Selecteer het onderstaande tabblad voor het scenario dat u wilt implementeren: Doorgaan, Blokkeren, Waarden wijzigen of Validatiefout. Vervang de code door de opgegeven codefragmenten.
3. Nadat u de code hebt vervangen, selecteert u in het bovenste menu Functie-URL ophalen en kopieert u de URL. U gebruikt deze URL in stap 2: een aangepaste verificatie-extensie maken en registreren voor de doel-URL.

Doorgaan

Gebruik deze HTTP-trigger om de gebruiker in staat te stellen door te gaan met de registratiestroom als er geen verdere actie nodig is.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.continueWithDefaultBehavior"}
    };
						
    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };
	    
	dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Blokkade

Gebruik deze HTTP-trigger om te voorkomen dat de gebruiker doorgaat met het registratieproces op basis van de kenmerkwaarden die ze hebben ingevoerd. U kunt bijvoorbeeld registratie blokkeren op basis van een riskant telefoonnummer. U kunt de registratiestroom ook beëindigen en de gebruiker naar een aangepast goedkeuringssysteem verzenden voor het maken van een account.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionSubmit.showBlockPage", 
            message = "AttributeCollectionSubmit Custom Extension Message: Thank you for your response. Your access request is processing. You'll be notified when your request has been approved."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Waarden wijzigen

Gebruik deze HTTP-trigger om de verzameling kenmerken van de gebruiker te wijzigen. U kunt bijvoorbeeld de indeling van een door de gebruiker opgegeven kenmerk wijzigen. Nadat kenmerken zijn gewijzigd, gaat de registratie verder zonder melding aan de gebruiker. Als er een melding is vereist, gebruikt u de validatieactie.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    // User attributes will be saved with these override values
    var attributes = new Dictionary<string, object>()
    {
        { "postalCode", "<your-override-value>" },
        { "streetAddress", "<your-override-value>" },
        { "city", "<your-override-value>" },
        { "extension_appId_mailingList", false }
        { "extension_appId_memberSince", 2010 }
    };

    var actions = new List<ModifiedAttributesAction>{
        new ModifiedAttributesAction { 
            type = "microsoft.graph.attributeCollectionSubmit.modifyAttributeValues", 
            attributes = attributes 
        }
    };

    log.LogInformation("actions: " + actions);

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };


    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ModifiedAttributesAction> actions { get; set; }
}

[JsonObject]
public class ModifiedAttributesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> attributes { get; set; }
}

Validatiefout

Gebruik deze HTTP-trigger om kenmerken te valideren die door de gebruiker zijn ingevoerd. U kunt bijvoorbeeld kenmerken valideren op basis van een extern gegevensarchief. U kunt ingebouwde kenmerken (bijvoorbeeld land), aangepaste gebruikerskenmerken (bijvoorbeeld loyaliteitsnummer) valideren.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation($"C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // Parse specified attributes
    string cityValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.city?.value)).ToString();

    string postalCodeValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.postalCode?.value)).ToString();

    string streetAddressValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.streetAddress?.value)).ToString();

    // JSON convert makes the length different, so we put 7 here
    if(cityValue.Length < 7 || postalCodeValue.Length < 7 || streetAddressValue.Length < 7){
        var inputs = new Dictionary<string, string>();

        if(cityValue.Length < 7){
            inputs.Add("city", "Length of city string should be of at 5 characters at least");
        }

        if(postalCodeValue.Length < 7){
            inputs.Add("postalCode", "Length of postalCodeValue string should be of at 5 characters at least");
        }

        if(streetAddressValue.Length < 7){
            inputs.Add("streetAddress", "Length of streetAddress string should be of at 5 characters at least");
        }

        string pageMessage = "Please fix below errors to proceed";

        var actions = new List<ValidationErrorActions>{
            new ValidationErrorActions { type = "microsoft.graph.attributeCollectionSubmit.ShowValidationError", message = pageMessage, attributeErrors = inputs }
        };

        
        var dataObject = new Data {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
        };

        dynamic response = new ResponseObject {
            data = dataObject
        };

        log.LogInformation($"Returning validation error");

        // Send the validation error response
        return response;

    }else{
        var actions = new List<ContinueWithDefaultBehavior>{
            new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.ContinueWithDefaultBehavior"}
            };

        
        var dataObject = new DataContinue {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
            };

        dynamic response = new ResponseObjectContinue {
            data = dataObject
        };

        log.LogInformation($"Returning continue");
        
        // Send the continue response
        return response;
    }
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ValidationErrorActions> actions { get; set; }
}

[JsonObject]
public class ValidationErrorActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
    public Dictionary<string, string> attributeErrors {get; set;}
}


public class ResponseObjectContinue
{
    public DataContinue data { get; set; }
}

[JsonObject]
public class DataContinue {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Stap 2: Een aangepaste verificatie-extensie maken en registreren

In deze stap registreert u een aangepaste verificatie-extensie die wordt gebruikt door Microsoft Entra ID om uw Azure-functie aan te roepen. De aangepaste verificatie-extensie bevat informatie over uw REST API-eindpunt, het starten en verzenden van acties die worden geparseerd vanuit uw REST API en hoe u zich kunt verifiëren bij uw REST API.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een application Beheer istrator en verificatie Beheer istrator.

2. Blader naar >aangepaste verificatie-extensies voor externe identiteiten.>

3. Selecteer Een aangepaste extensie maken.

4. Selecteer in Basics de gebeurtenis AttributeCollectionStart of de gebeurtenis AttributeCollectionSubmit en selecteer vervolgens Volgende. Zorg ervoor dat dit overeenkomt met de configuratie in de vorige stap.

5. Vul in Endpoint Configuration de volgende eigenschappen in:

   • Naam : een naam voor uw aangepaste verificatie-extensie. Bijvoorbeeld bij gebeurtenis voor kenmerkverzameling.
   • Doel-URL : de {Function_Url} URL van uw Azure-functie.
   • Beschrijving : een beschrijving voor uw aangepaste verificatie-extensies.

6. Selecteer Volgende.

7. Selecteer in API-verificatie de optie Nieuwe app-registratie maken om een app-registratie te maken die uw functie-app vertegenwoordigt.

8. Geef de app een naam, bijvoorbeeld azure Functions-verificatie-gebeurtenissen-API.

9. Selecteer Volgende.

10. Selecteer Maken, waarmee de aangepaste verificatie-extensie en de bijbehorende toepassingsregistratie worden gemaakt.

2.2 Beheerderstoestemming verlenen

Nadat uw aangepaste verificatie-extensie is gemaakt, verleent u toepassingstoestemming aan de geregistreerde app, zodat de aangepaste verificatie-extensie kan worden geverifieerd bij uw API.

1. Blader naar >extensies>voor aangepaste identiteiten voor aangepaste verificatie (preview).
2. Selecteer uw aangepaste verificatie-extensie in de lijst.
3. Selecteer op het tabblad Overzicht de knop Machtigingen verlenen om beheerders toestemming te geven voor de geregistreerde app. De aangepaste verificatie-extensie gebruikt client_credentials voor verificatie bij de Azure Function-app met behulp van de Receive custom authentication extension HTTP requests machtiging. Selecteer Accepteren.

Stap 3: De aangepaste verificatie-extensie toevoegen aan een gebruikersstroom

U kunt nu de aangepaste verificatie-extensie koppelen aan een of meer gebruikersstromen.

Notitie

Als u een gebruikersstroom wilt maken, volgt u de stappen in Een registratie- en aanmeldingsgebruikersstroom maken voor klanten.

3.1 De aangepaste verificatie-extensie toevoegen aan een bestaande gebruikersstroom

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een toepassings-Beheer istrator en verificatie-Beheer istrator

2. Als u toegang hebt tot meerdere tenants, gebruikt u het pictogram Instellingen in het bovenste menu om over te schakelen naar uw externe tenant.

3. Blader naar gebruikersstromen> voor externe identiteiten.>

4. Selecteer de gebruikersstroom uit de lijst.

5. Selecteer Aangepaste verificatie-extensies.

6. Op de pagina Aangepaste verificatie-extensies kunt u uw aangepaste verificatie-extensie koppelen aan twee verschillende stappen in uw gebruikersstroom:

   • Voordat u gegevens van de gebruiker verzamelt, is gekoppeld aan de gebeurtenis OnAttributeCollectionStart . Selecteer het potlood bewerken. Alleen de aangepaste extensies die zijn geconfigureerd voor de onAttributeCollectionStart-gebeurtenis worden weergegeven. Selecteer de toepassing die u hebt geconfigureerd voor de begingebeurtenis van de kenmerkverzameling en kies vervolgens Selecteren.
   • Wanneer een gebruiker zijn gegevens indient, is gekoppeld aan de gebeurtenis OnAttributeCollectionSubmit . alleen de aangepaste extensies die zijn geconfigureerd voor de gebeurtenis OnAttributeCollectionSubmit worden weergegeven. Selecteer de toepassing die u hebt geconfigureerd voor de gebeurtenis voor het verzenden van de kenmerkverzameling en kies vervolgens Selecteren.

7. Zorg ervoor dat de toepassingen die naast beide kenmerkverzamelingsstappen worden vermeld, juist zijn.

8. Selecteer het pictogram Opslaan.

Stap 4: De toepassing testen

Als u een token wilt ophalen en de aangepaste verificatie-extensie wilt testen, kunt u de https://jwt.ms app gebruiken. Het is een webtoepassing van Microsoft die de gedecodeerde inhoud van een token weergeeft (de inhoud van het token verlaat uw browser nooit).

Volg deze stappen om de jwt.ms-webtoepassing te registreren:

4.1 Registreer de jwt.ms-webtoepassing

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een toepassings-Beheer istrator.
2. Blader naar toepassingsregistraties voor identiteitstoepassingen>>.
3. Selecteer Nieuwe registratie.
4. Voer een naam in voor de toepassing. Bijvoorbeeld mijn testtoepassing.
5. Onder Ondersteunde accounttypen selecteert u Enkel accounts in deze organisatieadreslijst.
6. Selecteer web in de vervolgkeuzelijst Een platform selecteren in de omleidings-URI en voer https://jwt.ms het tekstvak URL in.
7. Selecteer Registreren om de app-registratie te voltooien.

4.2 De toepassings-id ophalen

Kopieer in de app-registratie onder Overzicht de toepassings-id (client). De app-id wordt in latere stappen aangeduid als de <client_id> id. In Microsoft Graph wordt ernaar verwezen door de eigenschap appId .

4.3 Impliciete stroom inschakelen

De jwt.ms testtoepassing maakt gebruik van de impliciete stroom. Impliciete stroom inschakelen in de registratie van mijn testtoepassing :

1. Selecteer Verificatie onder Beheren.
2. Schakel onder Impliciete toekenning en hybride stromen het selectievakje ID-tokens (gebruikt voor impliciete en hybride stromen) in.
3. Selecteer Opslaan.

Stap 5: Uw Azure-functie beveiligen

De aangepaste verificatie-extensie van Microsoft Entra maakt gebruik van server-naar-serverstroom om een toegangstoken te verkrijgen dat in de HTTP-header naar uw Azure-functie Authorization wordt verzonden. Wanneer u uw functie publiceert naar Azure, met name in een productieomgeving, moet u het token valideren dat is verzonden in de autorisatieheader.

Als u uw Azure-functie wilt beveiligen, volgt u deze stappen om Microsoft Entra-verificatie te integreren, voor het valideren van binnenkomende tokens met de registratie van uw API-toepassingsregistratie voor Azure Functions-verificatie-gebeurtenissen.

Notitie

Als de Azure-functie-app wordt gehost in een andere Azure-tenant dan de tenant waarin uw aangepaste verificatie-extensie is geregistreerd, gaat u verder met stap 5.1 Met openID Verbinding maken id-providerstap.

5.1 Een id-provider toevoegen aan uw Azure-functie

1. Meld u aan bij het Azure-portaal.

2. Navigeer en selecteer de functie-app die u eerder hebt gepubliceerd.

3. Selecteer Verificatie in het menu links.

4. Selecteer Id-provider toevoegen.

5. Selecteer Microsoft als id-provider.

6. Selecteer Klant als tenanttype.

7. Voer onder App-registratie de client_id API-app-registratie voor Azure Functions-verificatie-gebeurtenissen in die u eerder hebt gemaakt bij het registreren van de aangepaste claimprovider.

8. Voer voor de verlener-URL de volgende URL https://{domainName}.ciamlogin.com/{tenant_id}/v2.0in, waarbij

   • {domainName} is de domeinnaam van uw externe tenant.
   • {tenantId} is de tenant-id van uw externe tenant. Uw aangepaste verificatie-extensie moet hier worden geregistreerd.

9. Selecteer onder Niet-geverifieerde aanvragen HTTP 401 Niet geautoriseerd als id-provider.

10. Hef de selectie van de tokenopslagoptie op.

11. Selecteer Toevoegen om verificatie toe te voegen aan uw Azure-functie.

    

5.2 OpenID Verbinding maken id-provider gebruiken

Als u stap 5 hebt geconfigureerd : Uw Azure-functie beveiligen, slaat u deze stap over. Als de Azure-functie wordt gehost onder een andere tenant dan de tenant waarin uw aangepaste verificatie-extensie is geregistreerd, volgt u deze stappen om uw functie te beveiligen:

1. Meld u aan bij Azure Portal en navigeer en selecteer de functie-app die u eerder hebt gepubliceerd.

2. Selecteer Verificatie in het menu links.

3. Selecteer Id-provider toevoegen.

4. Selecteer OpenID Verbinding maken als id-provider.

5. Geef een naam op, zoals Contoso Microsoft Entra ID.

6. Voer onder de vermelding Metagegevens de volgende URL in naar de document-URL. Vervang de {tenantId} door uw Microsoft Entra-tenant-id.

   https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
   

7. Voer onder de app-registratie de toepassings-id (client-id) in van de API-app-registratie van Azure Functions-verificatie-gebeurtenissen die u eerder hebt gemaakt.

8. In het Microsoft Entra-beheercentrum:

   1. Selecteer de API-app-registratie voor Azure Functions-verificatie-gebeurtenissen die u eerder hebt gemaakt.
   2. Selecteer Certificaten en geheimen Clientgeheimen>>Nieuw clientgeheim.
   3. Voeg een beschrijving voor uw clientgeheim toe.
   4. Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op.
   5. Selecteer Toevoegen.
   6. Noteer de waarde van het geheim voor gebruik in uw clienttoepassingscode. Deze geheimwaarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten.

9. Ga terug naar de Azure-functie en voer onder de app-registratie het clientgeheim in.

10. Hef de selectie van de tokenopslagoptie op.

11. Selecteer Toevoegen om de OpenID-Verbinding maken id-provider toe te voegen.

Stap 6: De toepassing testen

Voer de volgende stappen uit om uw aangepaste verificatie-extensie te testen:

1. Open een nieuwe privébrowser en navigeer naar de volgende URL:

   https://<domainName>.ciamlogin.com/<tenant_id>/oauth2/v2.0/authorize?client_id=<client_id>&response_type=code+id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

   • Vervang door <domainName> de naam van uw externe tenant en vervang deze door <tenant-id> uw externe tenant-id.
   • Vervang <client_id> door de id voor de toepassing die u hebt toegevoegd aan de gebruikersstroom.

2. Nadat u zich hebt aangemeld, krijgt u uw gedecodeerde token te zien op https://jwt.ms.

Volgende stappen

• Naslaginformatie over OnAttributeCollectionStart
• Verwijzing onAttributeCollectionSubmit