Aangepaste claimprovider

Dit artikel bevat een overzicht van de aangepaste Claimprovider van Microsoft Entra. Wanneer een gebruiker zich bij een toepassing verifieert, kan een aangepaste claimprovider worden gebruikt om claims toe te voegen aan het token. Een aangepaste claimprovider bestaat uit een aangepaste verificatie-extensie die een externe REST API aanroept om claims op te halen uit externe systemen. Een aangepaste claimprovider kan worden toegewezen aan een of meer toepassingen in uw directory.

Belangrijke gegevens over een gebruiker worden vaak opgeslagen in systemen buiten Microsoft Entra-id. Bijvoorbeeld secundaire e-mail, factureringslaag of gevoelige informatie. Sommige toepassingen kunnen afhankelijk zijn van deze kenmerken, zodat de toepassing werkt zoals ontworpen. De toepassing kan bijvoorbeeld de toegang tot bepaalde functies blokkeren op basis van een claim in het token.

De volgende video biedt een uitstekend overzicht van de aangepaste verificatie-extensies van Microsoft Entra en aangepaste claimproviders:

Gebruik een aangepaste claimprovider voor de volgende scenario's:

• Migratie van verouderde systemen : mogelijk hebt u verouderde identiteitssystemen zoals Active Directory Federation Services (AD FS) of gegevensarchieven (zoals LDAP-adreslijst) die informatie over gebruikers bevatten. U wilt deze toepassingen migreren, maar u kunt de identiteitsgegevens niet volledig migreren naar Microsoft Entra-id. Uw apps zijn mogelijk afhankelijk van bepaalde informatie over het token en kunnen niet opnieuw worden gearchitecteerd.
• Integratie met andere gegevensarchieven die niet kunnen worden gesynchroniseerd met de directory : u hebt mogelijk systemen van derden of uw eigen systemen waarin gebruikersgegevens worden opgeslagen. In het ideale geval kan deze informatie worden samengevoegd via synchronisatie of directe migratie in de Microsoft Entra-directory. Dat is echter niet altijd haalbaar. De beperking kan worden veroorzaakt door gegevenslocatie, voorschriften of andere vereisten.

Tokenuitgifte-gebeurtenislistener starten

Een gebeurtenislistener is een procedure die wacht tot een gebeurtenis plaatsvindt. De aangepaste verificatie-extensie maakt gebruik van de tokenuitgifte-start-gebeurtenislistener . De gebeurtenis wordt geactiveerd wanneer een token op het punt staat om te worden uitgegeven aan uw toepassing. Wanneer de gebeurtenis wordt geactiveerd, wordt de REST API voor de aangepaste verificatie-extensie aangeroepen om kenmerken op te halen uit externe systemen.

Als u een aangepaste claimprovider wilt instellen, moet u een REST API maken met een begin-gebeurtenis voor tokenuitgifte en vervolgens een aangepaste claimprovider configureren voor een tokenuitgifte-gebeurtenis.

Tip

Als u deze functie wilt uitproberen, gaat u naar de demo Woodgrove Boodschappen en start u de use case 'Claims toevoegen aan beveiligingstokens vanuit een REST API'.

Trigger voor verificatie-gebeurtenissen voor Azure Functions-clientbibliotheek voor .NET

Met de trigger voor verificatie-gebeurtenissen voor Azure Functions kunt u een aangepaste extensie implementeren om verificatie-gebeurtenissen van Microsoft Entra ID af te handelen. De trigger voor verificatie-gebeurtenissen verwerkt alle back-endverwerking voor binnenkomende HTTP-aanvragen voor verificatie-gebeurtenissen.

• Tokenvalidatie voor het beveiligen van de API-aanroep
• Objectmodel, typen en IDE intellisense
• Binnenkomende en uitgaande validatie van de API-aanvraag- en antwoordschema's

Zie ook

• Een REST API maken met een start-gebeurtenis voor tokenuitgifte
• Een SAML-app configureren voor het ontvangen van tokens met claims uit een externe store
• Referentieartikel voor aangepaste claimsprovider .