Создание настраиваемого расширения проверки подлинности для запуска коллекции атрибутов и отправки событий (предварительная версия)

Область применения: клиенты рабочей силы внешниеклиенты (дополнительные сведения)

В этой статье описывается, как расширить возможности регистрации пользователей в Внешняя идентификация Microsoft Entra для клиентов. В потоках пользователей регистрации клиента прослушиватели событий можно использовать для расширения процесса сбора атрибутов до сбора атрибутов и во время отправки атрибутов:

• Событие OnAttributeCollectionStart происходит в начале шага коллекции атрибутов перед отображением страницы сбора атрибутов. Можно добавить такие действия, как предварительное заполнение значений и отображение ошибки блокировки.

  Совет

  

  Чтобы попробовать эту функцию, перейдите на демонстрацию Woodgrove Продуктовые продукты и запустите вариант использования "Предварительно заполненные атрибуты регистрации".

• Событие OnAttributeCollectionSubmit возникает после ввода и отправки атрибутов пользователем. Можно добавить такие действия, как проверка или изменение записей пользователя.

  Совет

  

  Чтобы попробовать эту функцию, перейдите в демонстрационную версию Woodgrove Groceries и запустите вариант использования "Проверить атрибуты регистрации" или "Запретить пользователю продолжить процесс регистрации".

Помимо создания настраиваемого расширения проверки подлинности для запуска и отправки событий коллекции атрибутов, необходимо создать REST API, определяющий действия рабочего процесса для каждого события. Вы можете использовать любой язык программирования, платформу и среду размещения для создания и размещения REST API. В этой статье показано, как быстро приступить к работе с функцией Azure C#. При использовании Функции Azure вы запускаете код в бессерверной среде, не создавая виртуальную машину или публикуя веб-приложение.

Необходимые компоненты

• Чтобы использовать службы Azure, включая Функции Azure, требуется подписка Azure. Если у вас нет существующей учетной записи Azure, вы можете зарегистрироваться для бесплатной пробной версии или воспользоваться преимуществами подписки Visual Studio при создании учетной записи.
• Поток регистрации и входа.

Шаг 1. Создание пользовательских расширений проверки подлинности REST API (приложение-функция Azure)

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

На этом шаге вы создадите API функции триггера HTTP с помощью Функции Azure. API-интерфейс функции — это источник бизнес-логики для потоков пользователей. После создания функции триггера ее можно настроить для любого из следующих событий:

• OnAttributeCollectionStart
• OnAttributeCollectionSubmit

1. Войдите в портал Azure с учетной записью администратора.

2. На домашней странице или в меню портала Azure выберите Создать ресурс.

3. Найдите и выберите приложение-функцию и нажмите кнопку "Создать".

4. На странице Основные сведения используйте параметры приложения-функции как указано в таблице ниже:

   Параметр	Предлагаемое значение	Description
   Подписка	Ваша подписка	Подписка, в которой будет создано новое приложение-функция.
   Группа ресурсов	myResourceGroup	Выберите и существующую группу ресурсов или имя новой, в которой вы создадите приложение-функцию.
   Имя приложения-функции	Глобально уникальное имя	Имя, определяющее новое приложение-функцию. Допустимые символы: a-z (без учета регистра), 0-9 и -.
   Опубликовать	Код	Параметр для публикации файлов кода или контейнера Docker. В этом руководстве выберите "Код".
   Стек среды выполнения	.NET	Предпочитаемый язык программирования. В этом руководстве выберите .NET.
   Версия	6 (LTS) in-process	Версия среды выполнения .NET. В процессе вы можете создавать и изменять функции на портале, которые рекомендуется использовать для этого руководства.
   Регион	Предпочтительный регион	Выберите регион, ближайший к вам или к другим службам, к которым могут обращаться функции.
   Операционная система	Windows	Операционная система предварительно выбирается на основе выбора стека среды выполнения.
   Тип плана	Потребление (бессерверный)	План размещения, который определяет выделение ресурсов в приложении-функции.

5. Выберите "Проверка и создание ", чтобы просмотреть выбранные параметры конфигурации приложения, а затем нажмите кнопку "Создать". Развертывание займет несколько минут.

6. После развертывания выберите "Перейти к ресурсу ", чтобы просмотреть новое приложение-функцию.

1.1 Создание функций триггера HTTP

Теперь, когда вы создали приложение-функцию Azure, вы создадите функции триггера HTTP для действий, которые необходимо вызвать с помощью HTTP-запроса. На триггеры HTTP ссылаются и вызываются пользовательским расширением проверки подлинности Microsoft Entra.

1. На странице обзора приложения-функции выберите область "Функции" и выберите "Создать функцию" в разделе "Создать" в портал Azure.
2. В окне "Создание функции" оставьте свойство среды разработки как "Разработка" на портале. В разделе "Шаблон" выберите триггер HTTP.
3. В разделе "Сведения о шаблоне" введите CustomAuthenticationExtensionsAPI для свойства New Function .
4. Для уровня авторизации выберите "Функция".
5. Нажмите кнопку создания.

1.2. Настройка триггера HTTP для OnAttributeCollectionStart

1. В меню выберите "Код и тест".
2. Перейдите на вкладку ниже для сценария, который вы хотите реализовать: "Продолжить", "Блокировать" или "ЗадатьPrefillValues". Замените код указанным фрагментом кода.
3. После замены кода в верхнем меню выберите "Получить URL-адрес функции" и скопируйте URL-адрес. Этот URL-адрес используется на шаге 2. Создание и регистрация настраиваемого расширения проверки подлинности для целевого URL-адреса.

Продолжить

Используйте этот триггер HTTP, чтобы разрешить пользователю продолжать работу с потоком регистрации, если дальнейшие действия не требуются.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);


    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionStart.continueWithDefaultBehavior"}
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
}

Block

Используйте этот триггер HTTP, чтобы запретить пользователю продолжить процесс регистрации. Например, можно использовать службу проверки подлинности или источник данных внешнего удостоверения для проверки адреса электронной почты пользователя.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    
    dynamic request = JsonConvert.DeserializeObject(requestBody);       

    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionStart.showBlockPage", 
            message = "AttributeCollectionStart Custom Extension message: Sorry, your access request has been blocked. Try reaching an admin at admin@contoso.com."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Значения перед заполнением

Используйте этот триггер HTTP для предварительного заполнения значений, связанных с потоком пользователя, например из внешней системы управления персоналом или другого источника данных. Можно предварительно заполнить значения для встроенных атрибутов (например, адрес), пользовательские атрибуты пользователя (например, номер лояльности).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // The form fields will load with these default values
    var inputs = new Dictionary<string, object>()
    {
        { "postalCode", "<your-prefill-value>" },
        { "streetAddress", "<your-prefill-value>" },
        { "city", "<your-prefill-value>" },
        { "extension_appId_mailingList", false },
        { "extension_appId_memberSince", 2023 }      
    };

    var actions = new List<SetPrefillValuesAction>{
        new SetPrefillValuesAction { 
            type = "microsoft.graph.attributeCollectionStart.setPrefillValues", 
            inputs = inputs }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<SetPrefillValuesAction> actions { get; set; }
}

[JsonObject]
public class SetPrefillValuesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> inputs { get; set; }
}

1.3. Настройка триггера HTTP для OnAttributeCollectionSubmit

1. В меню выберите "Код и тест".
2. Перейдите на вкладку ниже для сценария, который вы хотите реализовать: "Продолжить", "Блокировать", "Изменить значения" или "Ошибка проверки". Замените код указанным фрагментом кода.
3. После замены кода в верхнем меню выберите "Получить URL-адрес функции" и скопируйте URL-адрес. Этот URL-адрес используется на шаге 2. Создание и регистрация настраиваемого расширения проверки подлинности для целевого URL-адреса.

Продолжить

Используйте этот триггер HTTP, чтобы разрешить пользователю продолжать работу с потоком регистрации, если дальнейшие действия не требуются.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.continueWithDefaultBehavior"}
    };
						
    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };
	    
	dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Block

Используйте этот триггер HTTP, чтобы запретить пользователю продолжить процесс регистрации на основе введенных значений атрибутов. Например, вы можете заблокировать регистрацию на основе опасного номера телефона. Вы также можете завершить процесс регистрации и отправить пользователя в пользовательскую систему утверждения для создания учетной записи.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionSubmit.showBlockPage", 
            message = "AttributeCollectionSubmit Custom Extension Message: Thank you for your response. Your access request is processing. You'll be notified when your request has been approved."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Изменение значений

Используйте этот триггер HTTP для изменения коллекции атрибутов от пользователя. Например, можно изменить формат предоставленного пользователем атрибута. После изменения атрибутов регистрация продолжается без уведомления пользователя. Если требуется уведомление, используйте действие проверки.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    // User attributes will be saved with these override values
    var attributes = new Dictionary<string, object>()
    {
        { "postalCode", "<your-override-value>" },
        { "streetAddress", "<your-override-value>" },
        { "city", "<your-override-value>" },
        { "extension_appId_mailingList", false }
        { "extension_appId_memberSince", 2010 }
    };

    var actions = new List<ModifiedAttributesAction>{
        new ModifiedAttributesAction { 
            type = "microsoft.graph.attributeCollectionSubmit.modifyAttributeValues", 
            attributes = attributes 
        }
    };

    log.LogInformation("actions: " + actions);

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };


    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ModifiedAttributesAction> actions { get; set; }
}

[JsonObject]
public class ModifiedAttributesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> attributes { get; set; }
}

Ошибка проверки

Используйте этот триггер HTTP для проверки атрибутов, введенных пользователем. Например, можно проверить атрибуты для внешнего хранилища данных. Встроенные атрибуты (например, страна), пользовательские атрибуты пользователя (например, номер лояльности).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation($"C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // Parse specified attributes
    string cityValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.city?.value)).ToString();

    string postalCodeValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.postalCode?.value)).ToString();

    string streetAddressValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.streetAddress?.value)).ToString();

    // JSON convert makes the length different, so we put 7 here
    if(cityValue.Length < 7 || postalCodeValue.Length < 7 || streetAddressValue.Length < 7){
        var inputs = new Dictionary<string, string>();

        if(cityValue.Length < 7){
            inputs.Add("city", "Length of city string should be of at 5 characters at least");
        }

        if(postalCodeValue.Length < 7){
            inputs.Add("postalCode", "Length of postalCodeValue string should be of at 5 characters at least");
        }

        if(streetAddressValue.Length < 7){
            inputs.Add("streetAddress", "Length of streetAddress string should be of at 5 characters at least");
        }

        string pageMessage = "Please fix below errors to proceed";

        var actions = new List<ValidationErrorActions>{
            new ValidationErrorActions { type = "microsoft.graph.attributeCollectionSubmit.ShowValidationError", message = pageMessage, attributeErrors = inputs }
        };

        
        var dataObject = new Data {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
        };

        dynamic response = new ResponseObject {
            data = dataObject
        };

        log.LogInformation($"Returning validation error");

        // Send the validation error response
        return response;

    }else{
        var actions = new List<ContinueWithDefaultBehavior>{
            new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.ContinueWithDefaultBehavior"}
            };

        
        var dataObject = new DataContinue {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
            };

        dynamic response = new ResponseObjectContinue {
            data = dataObject
        };

        log.LogInformation($"Returning continue");
        
        // Send the continue response
        return response;
    }
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ValidationErrorActions> actions { get; set; }
}

[JsonObject]
public class ValidationErrorActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
    public Dictionary<string, string> attributeErrors {get; set;}
}


public class ResponseObjectContinue
{
    public DataContinue data { get; set; }
}

[JsonObject]
public class DataContinue {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Шаг 2. Создание и регистрация настраиваемого расширения проверки подлинности

На этом шаге вы регистрируете пользовательское расширение проверки подлинности, которое используется идентификатором Microsoft Entra для вызова функции Azure. Расширение пользовательской проверки подлинности содержит сведения о конечной точке REST API, начале сбора атрибутов и отправке действий, которые он анализирует из REST API, и способах проверки подлинности в REST API.

1. Войдите в Центр администрирования Microsoft Entra как минимум приложение Администратор istrator и authentication Администратор istrator.

2. Перейдите к расширениям пользовательской проверки подлинности для внешних> удостоверений удостоверений.>

3. Выберите " Создать пользовательское расширение".

4. В разделе "Основы" выберите событие AttributeCollectionStart или событие AttributeCollectionSubmit , а затем нажмите кнопку "Далее". Убедитесь, что это соответствует конфигурации на предыдущем шаге.

5. В конфигурации конечной точки заполните следующие свойства:

   • Имя — имя настраиваемого расширения проверки подлинности. Например, событие коллекции атрибутов.
   • Целевой URL-адрес — {Function_Url} URL-адрес функции Azure.
   • Описание — описание пользовательских расширений проверки подлинности.

6. Выберите Далее.

7. В разделе "Проверка подлинности API" выберите параметр "Создать новое приложение", чтобы создать регистрацию приложения, представляющего приложение-функцию.

8. Присвойте приложению имя, например Функции Azure API событий проверки подлинности.

9. Выберите Далее.

10. Выберите "Создать", который создает настраиваемое расширение проверки подлинности и связанную регистрацию приложения.

2.2 Предоставление согласия администратора

После создания расширения пользовательской проверки подлинности предоставьте приложению согласие на зарегистрированное приложение, которое позволяет пользовательскому расширению проверки подлинности пройти проверку подлинности в API.

1. Перейдите к расширениям пользовательской проверки подлинности для внешних>удостоверений удостоверений>(предварительная версия).
2. Выберите расширение пользовательской проверки подлинности из списка.
3. На вкладке "Обзор" нажмите кнопку "Предоставить разрешение" , чтобы предоставить администратору согласие зарегистрированного приложения. Пользовательское расширение проверки подлинности используется client_credentials для проверки подлинности в приложении-функции Azure с помощью Receive custom authentication extension HTTP requests разрешения. Выберите Принять.

Шаг 3. Добавление настраиваемого расширения проверки подлинности в поток пользователя

Теперь можно связать пользовательское расширение проверки подлинности с одним или несколькими потоками пользователей.

Примечание.

Если вам нужно создать поток пользователя, выполните действия, описанные в разделе "Создание потока регистрации и входа для клиентов".

3.1 Добавление настраиваемого расширения проверки подлинности в существующий поток пользователя

1. Войдите в Центр администрирования Microsoft Entra как минимум приложение Администратор istrator и authentication Администратор istrator

2. Если у вас есть доступ к нескольким клиентам, используйте значок Параметры в верхнем меню, чтобы переключиться на внешний клиент.

3. Перейдите к потокам пользователей внешних>удостоверений удостоверений>.

4. Выберите поток из списка.

5. Выберите расширения пользовательской проверки подлинности.

6. На странице расширений пользовательской проверки подлинности можно связать расширение пользовательской проверки подлинности с двумя различными шагами в потоке пользователя:

   • Перед сбором сведений от пользователя связан с событием OnAttributeCollectionStart . Выберите карандаш редактирования. Будут отображаться только пользовательские расширения, настроенные для события OnAttributeCollectionStart . Выберите приложение, настроенное для события запуска коллекции атрибутов, и нажмите кнопку "Выбрать".
   • Когда пользователь отправляет свои сведения , связан с событием OnAttributeCollectionSubmit . Будут отображаться только пользовательские расширения, настроенные для события OnAttributeCollectionSubmit . Выберите приложение, настроенное для отправки события отправки коллекции атрибутов, и нажмите кнопку "Выбрать".

7. Убедитесь, что приложения, перечисленные рядом с обоими шагами сбора атрибутов, верны.

8. Выберите значок Сохранить.

Шаг 4. Тестирование приложения

Чтобы получить маркер и проверить пользовательское расширение проверки подлинности, можно использовать https://jwt.ms приложение. Это веб-приложение, принадлежащее Майкрософт, которое отображает декодированные содержимое токена (содержимое маркера никогда не покидает браузер).

Выполните следующие действия, чтобы зарегистрировать веб-приложение jwt.ms :

4.1 Регистрация веб-приложения jwt.ms

1. Войдите в Центр администрирования Microsoft Entra как минимум приложение Администратор istrator.
2. Перейдите к регистрации приложений>удостоверений>.
3. Выберите Создать регистрацию.
4. Введите имя приложения. Например, мое тестовое приложение.
5. В разделе Поддерживаемые типы учетных записей выберите Учетные записи только в этом каталоге организации.
6. В раскрывающемся списке "Выбор платформы " в URI перенаправления выберите веб-сайт и введите https://jwt.ms в текстовое поле URL-адреса.
7. Нажмите кнопку "Регистрация", чтобы завершить регистрацию приложения.

4.2 Получение идентификатора приложения

В разделе "Обзор" в разделе "Обзор" скопируйте идентификатор приложения (клиента). Идентификатор приложения называется приведенным <client_id> ниже. В Microsoft Graph он ссылается на свойство appId .

4.3 Включение неявного потока

Тестовое приложение jwt.ms использует неявный поток. Включите неявный поток в регистрации приложения My Test:

1. В разделе Управление выберите Проверка подлинности.
2. В разделе Неявное предоставление разрешения и гибридные потоки установите флажок Токены ИД (используются для неявных и гибридных потоков).
3. Выберите Сохранить.

Шаг 5. Защита функции Azure

Расширение пользовательской проверки подлинности Microsoft Entra использует серверный поток для получения маркера доступа, который отправляется в заголовке HTTP Authorization в функцию Azure. При публикации функции в Azure, особенно в рабочей среде, необходимо проверить маркер, отправленный в заголовке авторизации.

Чтобы защитить функцию Azure, выполните следующие действия, чтобы интегрировать проверку подлинности Microsoft Entra для проверки входящих маркеров с регистрацией приложения API событий проверки подлинности Функции Azure.

Примечание.

Если приложение-функция Azure размещается в другом клиенте Azure, отличном от клиента, в котором зарегистрировано пользовательское расширение проверки подлинности, перейдите к шагу 5.1 с помощью OpenID Подключение поставщика удостоверений.

5.1 Добавление поставщика удостоверений в функцию Azure

1. Войдите на портал Azure.

2. Перейдите и выберите приложение-функцию, которое вы ранее опубликовали.

3. В меню слева выберите пункт Проверка подлинности.

4. Выберите " Добавить поставщик удостоверений".

5. Выберите Корпорацию Майкрософт в качестве поставщика удостоверений.

6. Выберите "Клиент" в качестве типа клиента.

7. В разделе "Регистрация приложений" введите client_idрегистрацию приложения API событий проверки подлинности Функции Azure, которую вы ранее создали при регистрации пользовательского поставщика утверждений.

8. Для URL-адреса издателя введите следующий URL-адресhttps://{domainName}.ciamlogin.com/{tenant_id}/v2.0, где

   • {domainName} — это доменное имя внешнего клиента.
   • {tenantId} — это идентификатор клиента внешнего клиента. Пользовательский модуль проверки подлинности должен быть зарегистрирован здесь.

9. В разделе "Неавторизованные запросы" выберите HTTP 401 Unauthorizeded в качестве поставщика удостоверений.

10. Отмените выбор параметра хранилища токенов.

11. Выберите "Добавить ", чтобы добавить проверку подлинности в функцию Azure.

    

5.2 Использование поставщика удостоверений OpenID Подключение

Если вы настроили шаг 5. Защита функции Azure, пропустите этот шаг. В противном случае, если функция Azure размещена в другом клиенте, отличном от клиента, в котором зарегистрировано пользовательское расширение проверки подлинности, выполните следующие действия, чтобы защитить функцию:

1. Войдите в портал Azure, а затем перейдите и выберите приложение-функцию, опубликованное ранее.

2. В меню слева выберите пункт Проверка подлинности.

3. Выберите " Добавить поставщик удостоверений".

4. Выберите OpenID Подключение в качестве поставщика удостоверений.

5. Укажите имя, например идентификатор Microsoft Entra Contoso.

6. В разделе записи метаданных введите следующий URL-адрес в URL-адрес документа. Замените {tenantId} идентификатор клиента Microsoft Entra.

   https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
   

7. В разделе регистрации приложения введите идентификатор приложения (идентификатор клиента) созданного вами приложения APIсобытий проверки подлинности Функции Azure.

8. В Центре администрирования Microsoft Entra:

   1. Выберите ранее созданную регистрацию приложения API событий проверки подлинности Функции Azure.
   2. Выберите Сертификаты и секреты>Секреты клиента>Создать секрет клиента.
   3. Добавьте описание секрета клиента.
   4. Выберите срок действия секрета или укажите настраиваемое время существования.
   5. Выберите Добавить.
   6. Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы.

9. Вернитесь в функцию Azure под регистрацией приложения, введите секрет клиента.

10. Отмените выбор параметра хранилища токенов.

11. Нажмите кнопку "Добавить", чтобы добавить поставщик удостоверений OpenID Подключение.

Шаг 6. Тестирование приложения

Чтобы проверить расширение пользовательской проверки подлинности, выполните следующие действия.

1. Откройте новый частный браузер и перейдите по следующему URL-адресу:

   https://<domainName>.ciamlogin.com/<tenant_id>/oauth2/v2.0/authorize?client_id=<client_id>&response_type=code+id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

   • Замените <domainName> своим именем внешнего клиента и замените <tenant-id> его идентификатором внешнего клиента.
   • Замените <client_id> идентификатором приложения, добавленного в поток пользователя.

2. После входа вы увидите декодированные маркеры https://jwt.msпо адресу.

Следующие шаги

• Справочник по OnAttributeCollectionStart
• Справочник по OnAttributeCollectionSubmit