Verificatiestromen uitbreiden met uw eigen bedrijfslogica

Microsoft Entra Externe ID is ontworpen voor flexibiliteit. Naast de ingebouwde verificatiegebeurtenissen in een gebruikersstroom voor registreren en aanmelden, kunt u aangepaste verificatie-extensies toevoegen op specifieke punten in de verificatiestroom. Een aangepaste verificatie-extensie is in wezen een gebeurtenislistener die, wanneer deze wordt geactiveerd, een HTTP-aanroep naar een REST API-eindpunt maakt waar u een werkstroomactie hebt gedefinieerd. U kunt bijvoorbeeld een werkstroom voor het verzamelen van kenmerken toevoegen om de kenmerken te valideren die een gebruiker invoert tijdens de registratie, of u kunt een aangepaste claimprovider gebruiken om externe gebruikersgegevens toe te voegen aan het token voordat deze wordt uitgegeven.

Er zijn twee onderdelen die u moet configureren: een aangepaste verificatie-extensie en een REST API. De aangepaste verificatie-extensie geeft uw REST API-eindpunt op wanneer de REST API moet worden aangeroepen en de referenties voor het aanroepen van de REST API. U kunt aangepaste verificatie-extensies maken op de volgende punten in de verificatiestroom:

• Tijdens het registreren, vóór of na kenmerkverzameling:
  • De gebeurtenis OnAttributeCollectionStart vindt plaats aan het begin van de stap voor het verzamelen van kenmerken, voordat de pagina voor het verzamelen van kenmerken wordt weergegeven.
  • De gebeurtenis OnAttributeCollectionSubmit vindt plaats nadat de gebruiker kenmerken invoert en verzendt.
• Bij tokenuitgifte met behulp van de gebeurtenis OnTokenIssuanceStart , die wordt geactiveerd vlak voordat een token wordt uitgegeven aan de toepassing.

Als u een aangepaste verificatie-extensie hebt geconfigureerd op een van deze punten, roept Microsoft Entra ID de REST API aan die u hebt gedefinieerd. De aanvraag voor de REST API bevat informatie over de gebeurtenis, het gebruikersprofiel, verificatieaanvraaggegevens en andere contextinformatie. Op zijn beurt voert de REST API de werkstroomacties uit.

Dit artikel bevat een overzicht van aangepaste verificatie-extensies in Microsoft Entra Externe ID.

Begin van de kenmerkverzameling en verzend gebeurtenissen

U kunt aangepaste verificatie-extensies gebruiken om werkstromen toe te voegen aan de kenmerkverzameling in uw selfservicegebruikersstromen voor registratie. U kunt bijvoorbeeld kenmerkvelden vooraf invullen met aangepaste waarden, de vermeldingen van een gebruiker valideren en kenmerken wijzigen en fouten weergeven. Er zijn twee gebeurtenissen ingeschakeld:

• OnAttributeCollectionStart - De gebeurtenis OnAttributeCollectionStart vindt plaats aan het begin van het kenmerkverzamelingsproces voordat de pagina voor het verzamelen van kenmerken wordt weergegeven. Deze gebeurtenis kan worden gebruikt voor scenario's zoals voorkomen dat de gebruiker zich registreert op basis van hun domein of het toevoegen van kenmerken die moeten worden verzameld. De volgende scenario's kunnen worden geconfigureerd voor de gebeurtenis OnAttributeCollectionStart:

  • continueWithDefaultBehavior : geef de pagina van de kenmerkverzameling weer zoals gebruikelijk.
  • setPreFillValues - Prefill attributes in the sign-up form.
  • showBlockPage : een foutbericht weergeven en blokkeren dat de gebruiker zich kan registreren.

• OnAttributeCollectionSubmit - De gebeurtenis OnAttributeCollectionSubmit vindt plaats nadat de gebruiker kenmerken invoert en verzendt. Deze gebeurtenis kan worden gebruikt voor scenario's zoals het valideren of wijzigen van de informatie die door de gebruiker wordt verstrekt. U kunt bijvoorbeeld een uitnodigingscode of partnernummer valideren, een adresindeling wijzigen of een fout retourneren.

  • continueWithDefaultBehavior - Ga verder met de registratiestroom.
  • modifyAttributeValues : overschrijf de waarden die de gebruiker heeft ingediend in het aanmeldingsformulier.
  • showValidationError : retourneer een fout op basis van de ingediende waarden.
  • showBlockPage : een foutbericht weergeven en blokkeren dat de gebruiker zich kan registreren.

Als u de begin- en verzendbeurtenissen van de kenmerkverzameling wilt configureren, maakt u een AANGEPASTe REST API voor verificatie-extensie. Wanneer een gebeurtenis wordt geactiveerd, verzendt Microsoft Entra-id een HTTP-aanvraag naar uw REST API-eindpunt. De REST API kan een Azure-functie, Een logische Azure-app of een ander openbaar beschikbaar API-eindpunt zijn. Uw REST API-eindpunt is verantwoordelijk voor het definiëren van de werkstroomacties die moeten worden uitgevoerd.

Zie Aangepaste extensies voor kenmerkverzamelingen toevoegen aan uw gebruikersstroom voor meer informatie.

Start-gebeurtenis voor tokenuitgifte

De startgebeurtenis voor tokenuitgifte wordt geactiveerd zodra een gebruiker alle verificatieproblemen heeft voltooid en er een beveiligingstoken wordt uitgegeven.

Wanneer gebruikers zich verifiëren bij uw toepassing met Microsoft Entra-id, wordt er een beveiligingstoken geretourneerd naar uw toepassing. Het beveiligingstoken bevat claims die instructies zijn over de gebruiker, zoals naam, unieke id of toepassingsrollen. Naast de standaardset claims die zijn opgenomen in het beveiligingstoken, kunt u uw eigen aangepaste claims van externe systemen definiëren met behulp van een REST API die u ontwikkelt.

In sommige gevallen kunnen belangrijke gegevens worden opgeslagen in systemen buiten Microsoft Entra, zoals een secundaire e-mail, factureringslaag of gevoelige informatie. Het is niet altijd haalbaar om de informatie in het externe systeem op te slaan in de Microsoft Entra-map. Voor deze scenario's kunt u een aangepaste verificatie-extensie en een aangepaste claimprovider gebruiken om deze externe gegevens toe te voegen aan tokens die worden geretourneerd aan uw toepassing.

Een gebeurtenisextensie voor tokenuitgifte omvat de volgende onderdelen:

• Aangepaste claimprovider. Een aangepaste claimprovider is een type aangepaste verificatie-extensie waarmee gegevens worden opgehaald uit externe systemen. De aangepaste claimprovider geeft de kenmerken op die moeten worden toegevoegd aan het beveiligingstoken dat wordt geretourneerd aan uw toepassing. Meerdere claimproviders kunnen dezelfde aangepaste extensie delen, zodat er voor elke toepassing een andere set kenmerken kan worden toegevoegd aan het beveiligingstoken.

• REST API-eindpunt. Wanneer een gebeurtenis wordt geactiveerd, verzendt Microsoft Entra-id een HTTP-aanvraag naar uw REST API-eindpunt. De REST API kan een Azure-functie, Een logische Azure-app of een ander openbaar beschikbaar API-eindpunt zijn. Uw REST API-eindpunt is verantwoordelijk voor communicatie met downstreamdatabases, bestaande API's, LDAP-mappen of andere winkels die de kenmerken bevatten die u aan de tokenconfiguratie wilt toevoegen.

  De REST API retourneert een HTTP-antwoord of -actie terug naar de Microsoft Entra-id die de kenmerken bevat. Kenmerken die worden geretourneerd door uw REST API, worden niet automatisch toegevoegd aan een token. In plaats daarvan moet het claimtoewijzingsbeleid van een toepassing worden geconfigureerd voor elk kenmerk dat in het token moet worden opgenomen.

Zie deze artikelen voor meer informatie:

• Over aangepaste verificatie-extensies
• Configureer een aangepaste claimprovider voor een tokenuitgifte-gebeurtenis met behulp van een aangepaste claimprovider.

Zie ook

• Zie Aangepaste verificatie-extensies voor meer informatie over de werking van aangepaste extensies.
• Maak een REST API met een begin-gebeurtenis voor tokenuitgifte.
• Configureer een aangepaste claimprovider voor een tokenuitgifte-gebeurtenis.
• Configureer aangepaste verificatie-extensies voor het starten van de kenmerkverzameling en verzend gebeurtenissen met een openID-voorbeeldtoepassing Verbinding maken toepassing.
• Zie het Microsoft Entra Externe ID Developer Center voor de nieuwste inhoud en resources voor ontwikkelaars.