Tworzenie niestandardowego rozszerzenia uwierzytelniania na potrzeby uruchamiania kolekcji atrybutów i przesyłania zdarzeń

Dotyczy: Najemcy pracowniczy Najemcy zewnętrzni (dowiedz się więcej)

W tym artykule opisano sposób rozszerzania środowiska rejestracji użytkownika w Tożsamość zewnętrzna Microsoft Entra dla klientów. W przepływach użytkownika rejestracji klienta odbiorniki zdarzeń mogą służyć do rozszerzania procesu zbierania atrybutów przed kolekcją atrybutów i w czasie przesyłania atrybutów:

• Zdarzenie OnAttributeCollectionStart występuje na początku kroku kolekcji atrybutów przed renderowaniem strony kolekcji atrybutów. Możesz dodać akcje, takie jak wstępne wypełnianie wartości i wyświetlanie błędu blokowania.

  Napiwek

  

  pl-PL: Aby wypróbować tę funkcję, przejdź do wersji demonstracyjnej Woodgrove Groceries i uruchom przypadek użycia "Wstępne wypełnianie atrybutów rejestracji".

• Zdarzenie OnAttributeCollectionSubmit występuje po wprowadzeniu i przesłaniu atrybutów przez użytkownika. Możesz dodawać akcje, takie jak weryfikowanie lub modyfikowanie wpisów użytkownika.

  Napiwek

  

  Aby wypróbować tę funkcję, przejdź do pokazu Woodgrove Groceries i uruchom przypadek użycia "Zweryfikuj atrybuty rejestracji" lub "Blokuj użytkownikowi kontynuowanie procesu rejestracji".

Oprócz tworzenia niestandardowego rozszerzenia uwierzytelniania dla kolekcji atrybutów start i przesyłania zdarzeń, należy utworzyć interfejs API REST, który definiuje akcje przepływu pracy do wykonania dla każdego zdarzenia. Do tworzenia i hostowania interfejsu API REST można użyć dowolnego języka programowania, platformy i środowiska hostingu. W tym artykule przedstawiono szybki sposób rozpoczynania pracy z funkcją platformy Azure w języku C#. Usługa Azure Functions uruchamia kod w środowisku bezserwerowym bez konieczności uprzedniego tworzenia maszyny wirtualnej lub publikowania aplikacji internetowej.

Wymagania wstępne

• Do korzystania z usług platformy Azure, w tym usługi Azure Functions, potrzebna jest subskrypcja platformy Azure. Jeśli nie masz istniejącego konta platformy Azure, możesz utworzyć konto bezpłatnej wersji próbnej lub skorzystać z korzyści z subskrypcji programu Visual Studio podczas tworzenia konta.
• Proces użytkownika rejestracji i logowania.

Krok 1. Tworzenie niestandardowego interfejsu API REST rozszerzeń uwierzytelniania (aplikacja funkcji platformy Azure)

W tym kroku utworzysz interfejs API funkcji wyzwalacza HTTP przy użyciu usługi Azure Functions. Interfejs API funkcji jest źródłem logiki biznesowej dla przepływów użytkownika. Po utworzeniu funkcji wyzwalacza można skonfigurować ją dla jednego z następujących zdarzeń:

• NaPoczątekKolekcjiAtrybutów
• OnAttributeCollectionSubmit

1. Zaloguj się do witryny Azure Portal przy użyciu konta administratora.

2. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

3. Wyszukaj i wybierz Function App, a następnie wybierz Utwórz.

4. Na stronie Podstawowe użyj ustawień aplikacji funkcjonalnych określonych w poniższej tabeli:

   Ustawienie	Sugerowana wartość	opis
   Subskrypcja	Twoja subskrypcja	Subskrypcja, w której zostanie utworzona nowa aplikacja funkcji.
   Grupa zasobów	myResourceGroup (grupa zasobówmyResourceGroup)	Wybierz i istniejącą grupę zasobów lub nazwę nowej, w której utworzysz aplikację funkcji.
   Nazwa aplikacji funkcji	Nazwa unikatowa w skali globalnej	Nazwa identyfikująca nową aplikację funkcji. Prawidłowe znaki to a-z (bez uwzględniania wielkości liter), 0-9i -.
   Publikować	Kod	Opcja publikowania plików kodu lub kontenera Docker. Na potrzeby tego samouczka wybierz pozycję Kod.
   Stos uruchomieniowy	.SIEĆ	Preferowany język programowania. Na potrzeby tego samouczka wybierz .NET.
   Wersja	6 (LTS) Proces	Wersja środowiska uruchomieniowego platformy .NET. Oznacza, że można tworzyć i modyfikować funkcje w portalu, co jest zalecane w tym przewodniku
   Region	Preferowany region	Wybierz region , który znajduje się blisko Ciebie lub w pobliżu innych usług, do których mogą uzyskiwać dostęp funkcje.
   System operacyjny	Windows	System operacyjny jest wstępnie wybierany na podstawie wyboru stosu środowiska uruchomieniowego.
   Typ planu	Zużycie (bezserwerowe)	Plan hostingu określający sposób przydzielania zasobów do aplikacji funkcji.

5. Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć wybrane opcje konfiguracji aplikacji, a następnie wybierz pozycję Utwórz. Wdrożenie zajmuje kilka minut.

6. Po wdrożeniu wybierz pozycję Przejdź do zasobu , aby wyświetlić nową aplikację funkcji.

1.1 Tworzenie funkcji wyzwalacza HTTP

Po utworzeniu aplikacji funkcji platformy Azure utworzysz funkcje wyzwalacza HTTP dla akcji, które chcesz wywołać za pomocą żądania HTTP. Wyzwalacze HTTP są przywoływanych i wywoływane przez niestandardowe rozszerzenie uwierzytelniania firmy Microsoft.

1. Na stronie Przegląd aplikacji funkcji wybierz sekcję Funkcje i pod Utwórz w portalu Azure wybierz Utwórz funkcję.
2. W oknie Tworzenie funkcji pozostaw właściwość Środowisko programistyczne jako Programowanie w portalu. W obszarze Szablon wybierz Wyzwalacz HTTP.
3. W obszarze Szczegóły szablonu wprowadź wartość CustomAuthenticationExtensionsAPI dla właściwości Nowa funkcja .
4. Dla Poziomu autoryzacji wybierz Funkcję.
5. Wybierz pozycję Utwórz.

1.2. Konfigurowanie wyzwalacza HTTP dla elementu OnAttributeCollectionStart

1. Z menu wybierz pozycję Kod i testowanie.
2. Wybierz poniższą kartę dla scenariusza, który chcesz zaimplementować: Kontynuuj, Blokuj lub SetPrefillValues. Zastąp kod podanymi fragmentami kodu.
3. Po zastąpieniu kodu z górnego menu wybierz pozycję Pobierz adres URL funkcji i skopiuj adres URL. Ten adres URL jest używany w kroku 2. Tworzenie i rejestrowanie niestandardowego rozszerzenia uwierzytelniania dla docelowego adresu URL.

Kontynuować

Użyj tego wyzwalacza HTTP, aby umożliwić użytkownikowi kontynuowanie przepływu rejestracji, jeśli nie są potrzebne żadne dalsze działania.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);


    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionStart.continueWithDefaultBehavior"}
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
}

Blok

Użyj tego wyzwalacza HTTP, aby zablokować użytkownikowi kontynuowanie procesu rejestracji. Na przykład możesz użyć usługi weryfikacji tożsamości lub zewnętrznego źródła danych tożsamości, aby zweryfikować adres e-mail użytkownika.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    
    dynamic request = JsonConvert.DeserializeObject(requestBody);       

    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionStart.showBlockPage", 
            message = "AttributeCollectionStart Custom Extension message: Sorry, your access request has been blocked. Try reaching an admin at admin@contoso.com."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Wstępne wypełnianie wartości

Użyj tego wyzwalacza HTTP, aby wstępnie wypełnić wartości skojarzone z przepływem użytkownika, na przykład z zewnętrznego systemu HR lub innego źródła danych. Możesz wstępnie wypełnić wartości dla wbudowanych atrybutów (na przykład adres), atrybutów użytkownika niestandardowego (na przykład numeru lojalnościowego).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // The form fields will load with these default values
    var inputs = new Dictionary<string, object>()
    {
        { "postalCode", "<your-prefill-value>" },
        { "streetAddress", "<your-prefill-value>" },
        { "city", "<your-prefill-value>" },
        { "extension_appId_mailingList", false },
        { "extension_appId_memberSince", 2023 }      
    };

    var actions = new List<SetPrefillValuesAction>{
        new SetPrefillValuesAction { 
            type = "microsoft.graph.attributeCollectionStart.setPrefillValues", 
            inputs = inputs }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<SetPrefillValuesAction> actions { get; set; }
}

[JsonObject]
public class SetPrefillValuesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> inputs { get; set; }
}

1.3. Konfigurowanie wyzwalacza HTTP dla elementu OnAttributeCollectionSubmit

1. Z menu wybierz pozycję Kod i testowanie.
2. Wybierz poniższą kartę dla scenariusza, który chcesz zaimplementować: Kontynuuj, Blokuj, Modyfikuj wartości lub Błąd walidacji. Zastąp kod podanymi fragmentami kodu.
3. Po zastąpieniu kodu z górnego menu wybierz pozycję Pobierz adres URL funkcji i skopiuj adres URL. Ten adres URL jest używany w kroku 2. Tworzenie i rejestrowanie niestandardowego rozszerzenia uwierzytelniania dla docelowego adresu URL.

Kontynuować

Użyj tego wyzwalacza HTTP, aby umożliwić użytkownikowi kontynuowanie przepływu rejestracji, jeśli nie są potrzebne żadne dalsze działania.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.continueWithDefaultBehavior"}
    };
						
    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };
	    
	dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Blok

Użyj tego wyzwalacza HTTP, aby zablokować użytkownikowi kontynuowanie procesu rejestracji na podstawie wprowadzonych wartości atrybutów. Możesz na przykład zablokować rejestrację na podstawie ryzykownego numeru telefonu. Możesz też zakończyć przepływ rejestracji i wysłać użytkownika do niestandardowego systemu zatwierdzania w celu utworzenia konta.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionSubmit.showBlockPage", 
            message = "AttributeCollectionSubmit Custom Extension Message: Thank you for your response. Your access request is processing. You'll be notified when your request has been approved."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Modyfikowanie wartości

Użyj tego wyzwalacza HTTP, aby zmodyfikować kolekcję atrybutów od użytkownika. Można na przykład zmienić format atrybutu dostarczonego przez użytkownika. Po zmodyfikowaniu atrybutów rejestracja będzie kontynuowana bez powiadomienia użytkownika. Jeśli wymagane jest powiadomienie, użyj akcji weryfikacji.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    // User attributes will be saved with these override values
    var attributes = new Dictionary<string, object>()
    {
        { "postalCode", "<your-override-value>" },
        { "streetAddress", "<your-override-value>" },
        { "city", "<your-override-value>" },
        { "extension_appId_mailingList", false }
        { "extension_appId_memberSince", 2010 }
    };

    var actions = new List<ModifiedAttributesAction>{
        new ModifiedAttributesAction { 
            type = "microsoft.graph.attributeCollectionSubmit.modifyAttributeValues", 
            attributes = attributes 
        }
    };

    log.LogInformation("actions: " + actions);

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };


    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ModifiedAttributesAction> actions { get; set; }
}

[JsonObject]
public class ModifiedAttributesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> attributes { get; set; }
}

Błąd weryfikacji

Użyj tego wyzwalacza HTTP, aby zweryfikować atrybuty wprowadzone przez użytkownika. Można na przykład zweryfikować atrybuty w zewnętrznym magazynie danych. Możesz zweryfikować wbudowane atrybuty (na przykład kraj), niestandardowe atrybuty użytkownika (na przykład numer lojalnościowy).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation($"C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // Parse specified attributes
    string cityValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.city?.value)).ToString();

    string postalCodeValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.postalCode?.value)).ToString();

    string streetAddressValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.streetAddress?.value)).ToString();

    // JSON convert makes the length different, so we put 7 here
    if(cityValue.Length < 7 || postalCodeValue.Length < 7 || streetAddressValue.Length < 7){
        var inputs = new Dictionary<string, string>();

        if(cityValue.Length < 7){
            inputs.Add("city", "Length of city string should be of at 5 characters at least");
        }

        if(postalCodeValue.Length < 7){
            inputs.Add("postalCode", "Length of postalCodeValue string should be of at 5 characters at least");
        }

        if(streetAddressValue.Length < 7){
            inputs.Add("streetAddress", "Length of streetAddress string should be of at 5 characters at least");
        }

        string pageMessage = "Please fix below errors to proceed";

        var actions = new List<ValidationErrorActions>{
            new ValidationErrorActions { type = "microsoft.graph.attributeCollectionSubmit.ShowValidationError", message = pageMessage, attributeErrors = inputs }
        };

        
        var dataObject = new Data {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
        };

        dynamic response = new ResponseObject {
            data = dataObject
        };

        log.LogInformation($"Returning validation error");

        // Send the validation error response
        return response;

    }else{
        var actions = new List<ContinueWithDefaultBehavior>{
            new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.ContinueWithDefaultBehavior"}
            };

        
        var dataObject = new DataContinue {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
            };

        dynamic response = new ResponseObjectContinue {
            data = dataObject
        };

        log.LogInformation($"Returning continue");
        
        // Send the continue response
        return response;
    }
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ValidationErrorActions> actions { get; set; }
}

[JsonObject]
public class ValidationErrorActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
    public Dictionary<string, string> attributeErrors {get; set;}
}


public class ResponseObjectContinue
{
    public DataContinue data { get; set; }
}

[JsonObject]
public class DataContinue {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Krok 2. Tworzenie i rejestrowanie niestandardowego rozszerzenia uwierzytelniania

W tym kroku zarejestrujesz niestandardowe rozszerzenie uwierzytelniania, które jest używane przez identyfikator Entra firmy Microsoft w celu wywołania funkcji platformy Azure. Rozszerzenie uwierzytelniania niestandardowego zawiera informacje o punkcie końcowym interfejsu API REST, rozpoczęciu kolekcji atrybutów i przesłaniu akcji, które analizuje z interfejsu API REST oraz sposobie uwierzytelniania w interfejsie API REST.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator aplikacji i administrator uwierzytelniania.

2. Przejdź do Entra ID>External Identities>Niestandardowe rozszerzenia uwierzytelniania.

3. Wybierz pozycję Utwórz rozszerzenie niestandardowe.

4. W Podstawach wybierz zdarzenie AttributeCollectionStart lub AttributeCollectionSubmit, a następnie wybierz Dalej. Upewnij się, że jest to zgodne z konfiguracją w poprzednim kroku.

5. W obszarze Konfiguracja punktu końcowego wypełnij następujące właściwości:

   • Nazwa — nazwa niestandardowego rozszerzenia uwierzytelniania. Na przykład zdarzenie w kolekcji atrybutów.
   • funkcji platformy Azure.
   • Opis — opis niestandardowych rozszerzeń uwierzytelniania.

6. Wybierz pozycję Dalej.

7. W obszarze Uwierzytelnianie interfejsu API wybierz opcję Utwórz nową rejestrację aplikacji , aby utworzyć rejestrację aplikacji reprezentującą aplikację funkcji.

8. Nadaj aplikacji nazwę, na przykład API zdarzeń uwierzytelniania Azure Functions.

9. Wybierz pozycję Dalej.

10. Wybierz pozycję Utwórz, co spowoduje utworzenie niestandardowego rozszerzenia uwierzytelniania i skojarzonej rejestracji aplikacji.

2.2 Udzielanie zgody administratora

Po utworzeniu niestandardowego rozszerzenia uwierzytelniania przyznaj aplikacji zgodę na zarejestrowaną aplikację, która umożliwia niestandardowe rozszerzenie uwierzytelniania do uwierzytelniania w interfejsie API.

1. Przejdź do Entra ID>External Identities>Niestandardowe rozszerzenia uwierzytelniania.
2. Wybierz niestandardowe rozszerzenie uwierzytelniania z listy.
3. Na karcie Przegląd wybierz przycisk Udziel uprawnień , aby wyrazić zgodę administratora na zarejestrowaną aplikację. Rozszerzenie uwierzytelniania niestandardowego używa client_credentials polecenia do uwierzytelniania w aplikacji funkcji platformy Receive custom authentication extension HTTP requests Azure przy użyciu uprawnienia. Wybierz pozycję Akceptuj.

Krok 3. Dodawanie niestandardowego rozszerzenia uwierzytelniania do przepływu użytkownika

Teraz możesz skojarzyć rozszerzenie uwierzytelniania niestandardowego z co najmniej jednym przepływem użytkownika.

Uwaga

Jeśli musisz utworzyć przepływ użytkownika, wykonaj kroki opisane w artykule Tworzenie przepływu rejestracji i logowania użytkowników dla klientów.

3.1. Dodawanie niestandardowego rozszerzenia uwierzytelniania do istniejącego przepływu użytkownika

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji i administrator uwierzytelniania

2. Jeśli masz dostęp do wielu dzierżaw, użyj ikony Ustawienia w górnym menu, aby przełączyć się do dzierżawy zewnętrznej.

3. Przejdź do Entra ID>Zewnętrzne tożsamości>Przepływy użytkownika.

4. Wybierz przepływ użytkownika z listy.

5. Wybierz pozycję Niestandardowe rozszerzenia uwierzytelniania.

6. Na stronie Niestandardowe rozszerzenia uwierzytelniania można skojarzyć niestandardowe rozszerzenie uwierzytelniania z dwoma różnymi krokami przepływu użytkownika:

   • Przed zebraniem informacji od użytkownika jest skojarzone ze zdarzeniem OnAttributeCollectionStart . Wybierz ołówek edycji. Zostaną wyświetlone tylko te rozszerzenia niestandardowe skonfigurowane dla zdarzenia OnAttributeCollectionStart . Wybierz aplikację skonfigurowaną dla zdarzenia rozpoczęcia zbierania atrybutów, a następnie wybierz pozycję Wybierz.
   • Gdy użytkownik przesyła swoje informacje, jest powiązane ze zdarzeniem OnAttributeCollectionSubmit. zostaną wyświetlone tylko te rozszerzenia niestandardowe skonfigurowane dla zdarzenia OnAttributeCollectionSubmit . Wybierz aplikację skonfigurowaną dla zdarzenia przesyłania kolekcji atrybutów, a następnie wybierz pozycję Wybierz.

7. Upewnij się, że aplikacje wymienione obok obu kroków kolekcji atrybutów są poprawne.

8. Wybierz ikonę Zapisz .

Krok 4. Testowanie aplikacji

Aby uzyskać token i przetestować niestandardowe rozszerzenie uwierzytelniania, możesz użyć https://jwt.ms aplikacji. Jest to aplikacja internetowa należąca do firmy Microsoft, która wyświetla zdekodowana zawartość tokenu (zawartość tokenu nigdy nie opuszcza przeglądarki).

Wykonaj następujące kroki, aby zarejestrować aplikację internetową jwt.ms :

4.1 Rejestrowanie aplikacji internetowej jwt.ms

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji.
2. Przejdź do obszaruRejestracje aplikacji>.
3. Wybierz pozycję Nowa rejestracja.
4. Wprowadź nazwę aplikacji. Na przykład Moja aplikacja testowa.
5. W sekcji Obsługiwane typy kont wybierz pozycję Konta tylko w tym katalogu organizacyjnym.
6. Na liście rozwijanej Wybierz platformę w polu Adres URI przekierowania wybierz pozycję Internet, a następnie wprowadź w polu tekstowym https://jwt.ms Adres URL.
7. Wybierz pozycję Zarejestruj, aby ukończyć rejestrację aplikacji.

4.2 Pobieranie identyfikatora aplikacji

W rejestracji aplikacji w obszarze Przegląd skopiuj identyfikator aplikacji (klienta). Identyfikator aplikacji jest określany jako w <client_id> kolejnych krokach. W programie Microsoft Graph odwołuje się do niej właściwość appId .

4.3 Włączanie przepływu niejawnego

Aplikacja testowa jwt.ms korzysta z niejawnego przepływu. Włącz niejawny przepływ w rejestracji aplikacji Mój test , wykonując następujące kroki.

Ważne

Firma Microsoft zaleca korzystanie z najbezpieczniejszego dostępnego przepływu uwierzytelniania. Przepływ uwierzytelniania używany do testowania w tej procedurze wymaga bardzo wysokiego poziomu zaufania w aplikacji i niesie ze sobą ryzyko, które nie występują w innych przepływach. Takie podejście nie powinno być używane do uwierzytelniania użytkowników w aplikacjach produkcyjnych (dowiedz się więcej).

1. W obszarze Zarządzanie wybierz pozycję Uwierzytelnianie.
2. W obszarze Niejawne udzielanie i przepływy hybrydowe zaznacz pole wyboru Tokeny ID (dla przepływów niejawnych i hybrydowych).
3. Wybierz pozycję Zapisz.

Krok 5. Ochrona funkcji platformy Azure

Rozszerzenie uwierzytelniania niestandardowego firmy Microsoft używa serwera do przepływu serwera w celu uzyskania tokenu dostępu wysyłanego w nagłówku HTTP Authorization do funkcji platformy Azure. Podczas publikowania funkcji na platformie Azure, zwłaszcza w środowisku produkcyjnym, należy zweryfikować token wysłany w nagłówku autoryzacji.

Aby chronić funkcję platformy Azure, wykonaj następujące kroki, aby zintegrować uwierzytelnianie Microsoft Entra do weryfikacji przychodzących tokenów za pomocą rejestracji aplikacji interfejsu API zdarzeń uwierzytelniania Azure Functions.

Uwaga

Jeśli aplikacja funkcji Azure jest hostowana w dzierżawie platformy Azure innej niż ta, w której zarejestrowano niestandardowe rozszerzenie uwierzytelniania, przejdź do kroku 5.1 Używanie dostawcy tożsamości OpenID Connect.

5.1 Dodawanie dostawcy tożsamości do funkcji platformy Azure

1. Zaloguj się do witryny Azure Portal.

2. Nawiguj i wybierz wcześniej opublikowaną aplikację funkcji.

3. Wybierz pozycję Uwierzytelnianie w menu po lewej stronie.

4. Wybierz pozycję Dodaj dostawcę tożsamości.

5. Wybierz Microsoft jako dostawcę tożsamości.

6. Wybierz pozycję Klient jako typ dzierżawy.

7. W obszarze Rejestracja aplikacji wprowadź client_id rejestrację aplikacji interfejsu API zdarzeń uwierzytelniania usługi Azure Functionsutworzoną wcześniej podczas rejestrowania niestandardowego dostawcy oświadczeń.

8. W polu Adres URL wystawcy wprowadź następujący adres URL https://{domainName}.ciamlogin.com/{tenant_id}/v2.0, gdzie

   • {domainName} to nazwa domeny dzierżawy zewnętrznej.
   • {tenantId} to identyfikator dzierżawy dzierżawy zewnętrznej. W tym miejscu należy zarejestrować niestandardowe rozszerzenie uwierzytelniania.

9. W obszarze Żądania nieuwierzytelnione wybierz HTTP 401 Niezautoryzowany jako dostawcę tożsamości.

10. Usuń zaznaczenie opcji Magazyn tokenów .

11. Wybierz pozycję Dodaj , aby dodać uwierzytelnianie do funkcji platformy Azure.

    

5.2 Używanie dostawcy tożsamości OpenID Connect

Jeśli skonfigurowano krok 5. Ochrona funkcji platformy Azure, pomiń ten krok. W przeciwnym razie, jeśli funkcja platformy Azure jest hostowana w innej dzierżawie niż dzierżawa, w której zarejestrowano rozszerzenie uwierzytelniania niestandardowego, wykonaj następujące kroki, aby chronić funkcję:

1. Zaloguj się do portalu Azure, a następnie przejdź do aplikacji funkcji, którą wcześniej opublikowałeś.

2. Wybierz pozycję Uwierzytelnianie w menu po lewej stronie.

3. Wybierz pozycję Dodaj dostawcę tożsamości.

4. Wybierz OpenID Connect jako dostawcę tożsamości.

5. Podaj nazwę, taką jak Contoso Microsoft Entra ID.

6. W polu Metadane wpisz następujący adres URL do adresu URL dokumentu. Zastąp element identyfikatorem {tenantId} dzierżawy firmy Microsoft Entra.

   https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
   

7. W sekcji Rejestracja aplikacji wprowadź identyfikator aplikacji (identyfikator klienta) rejestracji aplikacji interfejsu API zdarzeń uwierzytelniania Azure Functions, którą utworzyłeś wcześniej.

8. W centrum administracyjnym firmy Microsoft Entra:

   1. Wybierz rejestrację aplikacji interfejsu API uwierzytelniania usługi Azure Functions, którą wcześniej utworzyłeś.
   2. Wybierz pozycję Certyfikaty i wpisy tajne>Tajne informacje klienta>Nowa tajna informacja klienta.
   3. Dodaj opis wpisu tajnego klienta.
   4. Wybierz datę wygaśnięcia klucza tajnego lub określ niestandardowy okres ważności.
   5. Wybierz pozycję Dodaj.
   6. Zapisz wartość tajemnicy do użycia w kodzie aplikacji klienckiej. Po opuszczeniu tej strony wartość klucza tajnego nie jest nigdy wyświetlana ponowna.

9. Wróć do funkcji platformy Azure w obszarze Rejestracja aplikacji wprowadź klucz tajny klienta.

10. Usuń zaznaczenie opcji Magazyn tokenów .

11. Wybierz pozycję Dodaj , aby dodać dostawcę tożsamości OpenID Connect.

Krok 6. Testowanie aplikacji

Aby przetestować niestandardowe rozszerzenie uwierzytelniania, wykonaj następujące kroki:

1. Otwórz nową prywatną przeglądarkę i przejdź do następującego adresu URL:

   https://<domainName>.ciamlogin.com/<tenant_id>/oauth2/v2.0/authorize?client_id=<client_id>&response_type=code+id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

   • Zastąp <domainName> ciąg nazwą dzierżawy zewnętrznej i zastąp <tenant-id> element identyfikatorem dzierżawy zewnętrznej.
   • Zastąp <client_id> ciąg identyfikatorem aplikacji dodanej do przepływu użytkownika.

2. Po zalogowaniu zostanie wyświetlony dekodowany token pod adresem https://jwt.ms.

Następne kroki

• OnAttributeCollectionStart referencja
• Odwołanie do onAttributeCollectionSubmit