Udostępnij za pośrednictwem

Rozszerzanie przepływów uwierzytelniania przy użyciu własnej logiki biznesowej

  • Artykuł

Dotyczy:Biały okrąg z szarym symbolem X. Dzierżawcy siły roboczej Zielony okrąg z białym symbolem znacznika wyboru. Dzierżawcy zewnętrzni (dowiedz się więcej)

Przepływy użytkowników zewnętrznego identyfikatora Microsoft Entra są zaprojektowane pod kątem elastyczności. W ramach przepływu rejestracji i logowania użytkownika istnieją wbudowane zdarzenia uwierzytelniania. Niestandardowe rozszerzenia uwierzytelniania można również dodawać w określonych punktach w przepływie uwierzytelniania. Niestandardowe rozszerzenie uwierzytelniania jest zasadniczo odbiornikiem zdarzeń, który po aktywowaniu wykonuje wywołanie HTTP do punktu końcowego interfejsu API REST, w którym definiuje się akcję przepływu pracy. Na przykład można dodać przepływ pracy kolekcjonowania atrybutów do weryfikacji atrybutów wprowadzanych przez użytkownika podczas rejestracji lub można użyć niestandardowego dostawcy oświadczeń, aby dodać dane użytkownika zewnętrznego do tokena przed jego wystawieniem.

Istnieją dwa składniki, które należy skonfigurować: niestandardowe rozszerzenie uwierzytelniania i interfejs API REST. Rozszerzenie niestandardowego uwierzytelniania określa punkt końcowy interfejsu API REST, moment, w którym powinien być wywoływany, oraz poświadczenia potrzebne do jego wywołania. Niestandardowe rozszerzenia uwierzytelniania można tworzyć w następujących punktach w przepływie uwierzytelniania:

  • Podczas rejestracji, przed lub po zebraniu atrybutów:
    • Zdarzenie OnAttributeCollectionStart występuje na początku kroku kolekcji atrybutów przed renderowaniem strony kolekcji atrybutów.
    • Zdarzenie OnAttributeCollectionSubmit występuje po wprowadzeniu i przesłaniu atrybutów przez użytkownika.
  • Podczas wystawiania tokenu przy użyciu zdarzenia OnTokenIssuanceStart , które jest wyzwalane tuż przed wystawieniem tokenu dla aplikacji.

Diagram przedstawiający punkty rozszerzalności w przepływie uwierzytelniania.

Jeśli masz niestandardowe rozszerzenie uwierzytelniania skonfigurowane w jednym z tych punktów, identyfikator Entra firmy Microsoft wykonuje wywołanie zdefiniowanego interfejsu API REST. Żądanie do interfejsu API REST zawiera informacje o zdarzeniu, profilu użytkownika, danych żądania uwierzytelniania i innych informacjach kontekstowych. Z kolei interfejs API REST wykonuje akcje przepływu pracy.

Ten artykuł zawiera omówienie niestandardowych rozszerzeń uwierzytelniania w Microsoft Entra External ID.

Rozpoczynanie i przesyłanie zdarzeń kolekcji atrybutów

Możesz użyć niestandardowych rozszerzeń uwierzytelniania, aby dodać przepływy pracy do zbierania atrybutów w przepływach rejestracji użytkowników samoobsługowych. Można na przykład wstępnie wypełnić pola atrybutów wartościami niestandardowymi, zweryfikować wpisy użytkownika i zmodyfikować atrybuty oraz wyświetlić błędy. Włączone są dwa zdarzenia:

  • OnAttributeCollectionStart — zdarzenie OnAttributeCollectionStart odbywa się na początku procesu zbierania atrybutów przed renderowaniem strony kolekcji atrybutów. To zdarzenie może być używane w scenariuszach, takich jak zapobieganie rejestracji użytkownika na podstawie domeny lub dodawanie atrybutów, które mają zostać zebrane. Następujące scenariusze można skonfigurować dla zdarzenia OnAttributeCollectionStart:

    • continueWithDefaultBehavior — renderuj stronę kolekcji atrybutów w zwykły sposób.
    • setPreFillValues — Wprowadź wartości wstępne w formularzu rejestracji.
    • showBlockPage — umożliwia wyświetlenie komunikatu o błędzie i zablokowanie rejestracji użytkownika.

  • OnAttributeCollectionSubmit — zdarzenie OnAttributeCollectionSubmit występuje po wprowadzeniu i przesłaniu atrybutów przez użytkownika. To zdarzenie może być używane w scenariuszach, takich jak weryfikowanie lub modyfikowanie informacji dostarczonych przez użytkownika. Możesz na przykład zweryfikować kod zaproszenia lub numer partnera, zmodyfikować format adresu lub zwrócić błąd.

    • continueWithDefaultBehavior — kontynuuj proces rejestracji.
    • modifyAttributeValues — zastępowanie wartości przesłanych przez użytkownika w formularzu rejestracji.
    • showValidationError — zwraca błąd na podstawie przesłanych wartości.
    • showBlockPage — umożliwia wyświetlenie komunikatu o błędzie i zablokowanie rejestracji użytkownika.

Aby skonfigurować rozpoczęcie zbierania atrybutów i przesyłanie zdarzeń, należy utworzyć niestandardowe rozszerzenie API REST uwierzytelnienia. Kiedy zdarzenie zostaje uruchomione, Microsoft Entra ID wysyła żądanie HTTP do punktu końcowego Twojego interfejsu API REST. Interfejs API REST może być funkcją platformy Azure, aplikacją logiki platformy Azure lub innym publicznie dostępnym punktem końcowym interfejsu API. Punkt końcowy interfejsu API REST jest odpowiedzialny za definiowanie akcji przepływu pracy do wykonania.

Aby uzyskać szczegółowe informacje, zobacz Dodaj niestandardowe rozszerzenia kolekcji atrybutów do przepływu użytkownika.

Zdarzenie rozpoczęcia wystawiania tokenu

Zdarzenie rozpoczęcia wystawiania tokenu jest wyzwalane po zakończeniu wszystkich wyzwań związanych z uwierzytelnianiem przez użytkownika, a token zabezpieczający zostanie wystawiony.

Gdy użytkownicy uwierzytelniają się w aplikacji przy użyciu identyfikatora Entra firmy Microsoft, token zabezpieczający jest zwracany do aplikacji. Token zabezpieczający zawiera żądania, które są informacjami o użytkowniku, takimi jak imię, unikatowy identyfikator lub role aplikacji. Poza domyślnym zestawem oświadczeń zawartych w tokenie zabezpieczającym można zdefiniować własne oświadczenia niestandardowe z systemów zewnętrznych przy użyciu opracowywanego interfejsu API REST.

W niektórych przypadkach kluczowe dane mogą być przechowywane w systemach zewnętrznych dla firmy Microsoft Entra, takich jak pomocnicza poczta e-mail, warstwa rozliczeń lub informacje poufne. Nie zawsze jest możliwe przechowywanie informacji w systemie zewnętrznym w katalogu Microsoft Entra. W tych scenariuszach można użyć niestandardowego rozszerzenia uwierzytelniania i niestandardowego dostawcy oświadczeń, aby dodać te dane zewnętrzne do tokenów zwróconych do aplikacji.

Rozszerzenie zdarzenia wystawiania tokenu obejmuje następujące składniki:

  • Niestandardowy dostawca oświadczeń. Niestandardowy dostawca oświadczeń to typ niestandardowego rozszerzenia uwierzytelniania, które pobiera dane z systemów zewnętrznych. Dostawca oświadczeń niestandardowych określa atrybuty, które mają zostać dodane do tokenu zabezpieczającego zwróconego do aplikacji. Wielu dostawców oświadczeń może współużytkować to samo rozszerzenie niestandardowe, dlatego do tokenu zabezpieczającego dla każdej aplikacji można dodać inny zestaw atrybutów.

  • Punkt końcowy interfejsu API REST. Po uruchomieniu zdarzenia identyfikator Entra firmy Microsoft wysyła żądanie HTTP do punktu końcowego interfejsu API REST. Interfejs API REST może być funkcją platformy Azure, aplikacją logiki platformy Azure lub innym publicznie dostępnym punktem końcowym interfejsu API. Interfejsy punktu końcowego interfejsu API REST z różnymi magazynami danych, w tym podrzędnymi bazami danych, istniejącymi interfejsami API, katalogami protokołu LDAP (Lightweight Directory Access Protocol) lub innymi magazynami zawierającymi atrybuty, które chcesz dodać do konfiguracji tokenu.

    Interfejs API REST zwraca odpowiedź HTTP lub akcję z powrotem do identyfikatora Entra firmy Microsoft zawierającego atrybuty. Te atrybuty nie są automatycznie dodawane do tokenu. Zamiast tego, zasady mapowania oświadczeń aplikacji muszą być skonfigurowane, aby każdy atrybut był uwzględniony w tokenie.

Aby uzyskać szczegółowe informacje, zobacz:

Zobacz też