Rozszerzanie przepływów uwierzytelniania przy użyciu własnej logiki biznesowej
Dotyczy: Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Tożsamość zewnętrzna Microsoft Entra przepływy użytkowników są zaprojektowane pod kątem elastyczności. W ramach przepływu rejestracji i logowania użytkownika istnieją wbudowane zdarzenia uwierzytelniania. Niestandardowe rozszerzenia uwierzytelniania można również dodawać w określonych punktach w przepływie uwierzytelniania. Niestandardowe rozszerzenie uwierzytelniania jest zasadniczo odbiornikiem zdarzeń, który po aktywowaniu wykonuje wywołanie HTTP do punktu końcowego interfejsu API REST, w którym definiuje się akcję przepływu pracy. Na przykład można dodać przepływ pracy zbierania atrybutów, aby zweryfikować atrybuty wprowadzane przez użytkownika podczas rejestracji lub można użyć niestandardowego dostawcy oświadczeń, aby dodać dane użytkownika zewnętrznego do tokenu przed wystawieniem tokenu.
Istnieją dwa składniki, które należy skonfigurować: niestandardowe rozszerzenie uwierzytelniania i interfejs API REST. Rozszerzenie niestandardowego uwierzytelniania określa punkt końcowy interfejsu API REST, gdy interfejs API REST powinien być wywoływany, a poświadczenia do wywoływania interfejsu API REST. Niestandardowe rozszerzenia uwierzytelniania można tworzyć w następujących punktach w przepływie uwierzytelniania:
- Podczas rejestracji przed lub po kolekcji atrybutów:
- Zdarzenie OnAttributeCollectionStart występuje na początku kroku kolekcji atrybutów przed renderowaniem strony kolekcji atrybutów.
- Zdarzenie OnAttributeCollectionSubmit występuje po wprowadzeniu i przesłaniu atrybutów przez użytkownika.
- Podczas wystawiania tokenu przy użyciu zdarzenia OnTokenIssuanceStart , które jest wyzwalane tuż przed wystawieniem tokenu dla aplikacji.
Jeśli masz niestandardowe rozszerzenie uwierzytelniania skonfigurowane w jednym z tych punktów, identyfikator Entra firmy Microsoft wykonuje wywołanie zdefiniowanego interfejsu API REST. Żądanie do interfejsu API REST zawiera informacje o zdarzeniu, profilu użytkownika, danych żądania uwierzytelniania i innych informacjach kontekstowych. Z kolei interfejs API REST wykonuje akcje przepływu pracy.
Ten artykuł zawiera omówienie niestandardowych rozszerzeń uwierzytelniania w Tożsamość zewnętrzna Microsoft Entra.
Rozpoczynanie i przesyłanie zdarzeń kolekcji atrybutów
Możesz użyć niestandardowych rozszerzeń uwierzytelniania, aby dodać przepływy pracy do kolekcji atrybutów w przepływach użytkownika rejestracji samoobsługowej. Można na przykład wstępnie wypełnić pola atrybutów wartościami niestandardowymi, zweryfikować wpisy użytkownika i zmodyfikować atrybuty oraz wyświetlić błędy. Włączone są dwa zdarzenia:
OnAttributeCollectionStart — zdarzenie OnAttributeCollectionStart odbywa się na początku procesu zbierania atrybutów przed renderowaniem strony kolekcji atrybutów. To zdarzenie może być używane w scenariuszach, takich jak uniemożliwianie użytkownikowi rejestracji na podstawie domeny lub dodawanie atrybutów do zebrania. Następujące scenariusze można skonfigurować dla zdarzenia OnAttributeCollectionStart:
- continueWithDefaultBehavior — renderuj stronę kolekcji atrybutów w zwykły sposób.
- setPreFillValues — atrybuty wstępnego wypełniania w formularzu rejestracji.
- showBlockPage — umożliwia wyświetlenie komunikatu o błędzie i zablokowanie rejestracji użytkownika.
OnAttributeCollectionSubmit — zdarzenie OnAttributeCollectionSubmit występuje po wprowadzeniu i przesłaniu atrybutów przez użytkownika. To zdarzenie może być używane w scenariuszach, takich jak weryfikowanie lub modyfikowanie informacji dostarczonych przez użytkownika. Możesz na przykład zweryfikować kod zaproszenia lub numer partnera, zmodyfikować format adresu lub zwrócić błąd.
- continueWithDefaultBehavior — kontynuuj przepływ rejestracji.
- modifyAttributeValues — zastępowanie wartości przesłanych przez użytkownika w formularzu rejestracji.
- showValidationError — zwraca błąd na podstawie przesłanych wartości.
- showBlockPage — umożliwia wyświetlenie komunikatu o błędzie i zablokowanie rejestracji użytkownika.
Aby skonfigurować zbieranie atrybutów uruchamiać i przesyłać zdarzenia, należy utworzyć niestandardowy interfejs API REST rozszerzenia uwierzytelniania. Po uruchomieniu zdarzenia identyfikator Entra firmy Microsoft wysyła żądanie HTTP do punktu końcowego interfejsu API REST. Interfejs API REST może być funkcją platformy Azure, aplikacją logiki platformy Azure lub innym publicznie dostępnym punktem końcowym interfejsu API. Punkt końcowy interfejsu API REST jest odpowiedzialny za definiowanie akcji przepływu pracy do wykonania.
Aby uzyskać szczegółowe informacje, zobacz Dodawanie rozszerzeń niestandardowych kolekcji atrybutów do przepływu użytkownika.
Zdarzenie rozpoczęcia wystawiania tokenu
Zdarzenie rozpoczęcia wystawiania tokenu jest wyzwalane po zakończeniu wszystkich wyzwań związanych z uwierzytelnianiem przez użytkownika, a token zabezpieczający zostanie wystawiony.
Gdy użytkownicy uwierzytelniają się w aplikacji przy użyciu identyfikatora Entra firmy Microsoft, token zabezpieczający jest zwracany do aplikacji. Token zabezpieczający zawiera oświadczenia, które są instrukcjami dotyczącymi użytkownika, takimi jak nazwa, unikatowy identyfikator lub role aplikacji. Poza domyślnym zestawem oświadczeń zawartych w tokenie zabezpieczającym można zdefiniować własne oświadczenia niestandardowe z systemów zewnętrznych przy użyciu opracowywanego interfejsu API REST.
W niektórych przypadkach kluczowe dane mogą być przechowywane w systemach zewnętrznych dla firmy Microsoft Entra, takich jak pomocnicza poczta e-mail, warstwa rozliczeń lub informacje poufne. Nie zawsze jest możliwe przechowywanie informacji w systemie zewnętrznym w katalogu Microsoft Entra. W tych scenariuszach można użyć niestandardowego rozszerzenia uwierzytelniania i niestandardowego dostawcy oświadczeń, aby dodać te dane zewnętrzne do tokenów zwróconych do aplikacji.
Rozszerzenie zdarzenia wystawiania tokenu obejmuje następujące składniki:
Niestandardowy dostawca oświadczeń. Niestandardowy dostawca oświadczeń to typ niestandardowego rozszerzenia uwierzytelniania, które pobiera dane z systemów zewnętrznych. Dostawca oświadczeń niestandardowych określa atrybuty, które mają zostać dodane do tokenu zabezpieczającego zwróconego do aplikacji. Wielu dostawców oświadczeń może współużytkować to samo rozszerzenie niestandardowe, dlatego do tokenu zabezpieczającego dla każdej aplikacji można dodać inny zestaw atrybutów.
Punkt końcowy interfejsu API REST. Po uruchomieniu zdarzenia identyfikator Entra firmy Microsoft wysyła żądanie HTTP do punktu końcowego interfejsu API REST. Interfejs API REST może być funkcją platformy Azure, aplikacją logiki platformy Azure lub innym publicznie dostępnym punktem końcowym interfejsu API. Interfejsy punktu końcowego interfejsu API REST z różnymi magazynami danych, w tym podrzędnymi bazami danych, istniejącymi interfejsami API, katalogami protokołu LDAP (Lightweight Directory Access Protocol) lub innymi magazynami zawierającymi atrybuty, które chcesz dodać do konfiguracji tokenu.
Interfejs API REST zwraca odpowiedź HTTP lub akcję z powrotem do identyfikatora Entra firmy Microsoft zawierającego atrybuty. Te atrybuty nie są automatycznie dodawane do tokenu. Zamiast tego zasady mapowania oświadczeń aplikacji muszą być skonfigurowane pod kątem dowolnego atrybutu, który ma zostać uwzględniony w tokenie.
Aby uzyskać szczegółowe informacje, zobacz:
- Informacje o niestandardowych rozszerzeniach uwierzytelniania.
- Skonfiguruj niestandardowego dostawcę oświadczeń dla zdarzenia wystawiania tokenu przy użyciu niestandardowego dostawcy oświadczeń.
Zobacz też
- Aby dowiedzieć się więcej o sposobie działania rozszerzeń niestandardowych, zobacz Niestandardowe rozszerzenia uwierzytelniania.
- Utwórz interfejs API REST z zdarzeniem rozpoczęcia wystawiania tokenu.
- Skonfiguruj niestandardowego dostawcę oświadczeń dla zdarzenia wystawiania tokenu.
- Skonfiguruj niestandardowe rozszerzenia uwierzytelniania na potrzeby uruchamiania kolekcji atrybutów i przesyłania zdarzeń za pomocą przykładowej aplikacji OpenID Connect.
- Zobacz centrum deweloperów Tożsamość zewnętrzna Microsoft Entra, aby uzyskać najnowszą zawartość i zasoby dla deweloperów.