Provedor de declarações personalizado

Este artigo fornece uma visão geral do provedor de declarações personalizadas do Microsoft Entra.

Quando um usuário se autentica em um aplicativo, um provedor de declarações personalizado pode ser usado para adicionar declarações ao token. Um provedor de declarações personalizado é composto por uma extensão de autenticação personalizada que chama uma API REST externa para buscar declarações de sistemas externos. Um provedor de declarações personalizado pode ser atribuído a um ou a vários aplicativos no seu diretório.

Os dados importantes referentes a um usuário costumam ser armazenados em sistemas externos à ID do Microsoft Entra. Por exemplo, o email secundário, o nível de cobrança ou informações confidenciais. Alguns aplicativos podem depender desses atributos para que o aplicativo funcione conforme o pretendido. Por exemplo, o aplicativo pode bloquear o acesso a determinados recursos com base em uma declaração no token.

O vídeo a seguir oferece uma excelente visão geral das extensões de autenticação personalizadas e provedores de declarações personalizadas do Microsoft Entra:

Use um provedor de declarações personalizado para os seguintes cenários:

• Migração de sistemas herdados: você pode ter sistemas de identidade herdados, como os Serviços de Federação do Active Directory (AD FS) ou repositórios de dados (como o diretório LDAP) que contenham informações sobre os usuários. Você deseja migrar esses aplicativos, mas não consegue migrar os dados de identidade para a ID do Microsoft Entra. Seus aplicativos podem depender de determinadas informações sobre o token e não podem ser rearquitetados.
• Integração com outros repositórios de dados que não podem ser sincronizados com o diretório: você pode ter sistemas de terceiros ou seus próprios sistemas que armazenam dados do usuário. O ideal é que essas informações sejam consolidadas no diretório do Microsoft Entra, seja por meio de sincronização ou por migração direta. No entanto, isso nem sempre é viável. A restrição pode ser devida à residência dos dados, aos regulamentos ou a outros requisitos.

Observação

Um provedor de declarações personalizadas não é a única maneira de adicionar declarações personalizadas a um token. Você também pode personalizar declarações emitidas no JWT (token Web JSON) para aplicativos empresariais.

Ouvinte de evento de início de emissão de token

Um ouvinte de eventos é um procedimento que aguarda a ocorrência de um evento. A extensão de autenticação personalizada usa o ouvinte de eventos início de emissão de token. O evento é disparado quando um token está prestes a ser emitido para o seu aplicativo. Quando o evento é disparado, a API REST de extensão de autenticação personalizada é chamada para buscar atributos de sistemas externos.

Para configurar um provedor de declarações personalizado, você precisará criar uma API REST com um evento de início de emissão de token e, em seguida, configurar um provedor de declarações personalizado para um evento de emissão de token.

Eventos de autenticação acionam a biblioteca cliente do Azure Functions para o .NET

O gatilho de eventos de autenticação do Azure Functions permite que você implemente uma extensão personalizada para lidar com os eventos de autenticação do Microsoft Entra ID. O gatilho de eventos de autenticação controla todo o processamento de backend para solicitações HTTP de entrada para eventos de autenticação.

• Validação do token para proteger a chamada à API
• Modelo de objeto, tipagem e IDE intellisense
• Validação de entrada e saída dos esquemas de solicitação e resposta da API

Confira também

• Criar uma API REST com um evento de início de emissão de token
• Artigo de referência do provedor de reivindicações personalizadas.