Utöka autentiseringsflöden med din egen affärslogik

Microsoft Entra Externt ID är utformat för flexibilitet. Förutom de inbyggda autentiseringshändelserna i ett användarflöde för registrering och inloggning kan du lägga till anpassade autentiseringstillägg på specifika platser i autentiseringsflödet. Ett anpassat autentiseringstillägg är i huvudsak en händelselyssnare som när det aktiveras gör ett HTTP-anrop till en REST API-slutpunkt där du har definierat en arbetsflödesåtgärd. Du kan till exempel lägga till ett arbetsflöde för attributsamling för att verifiera de attribut som en användare anger under registreringen, eller så kan du använda en anpassad anspråksprovider för att lägga till externa användardata i token innan den utfärdas.

Det finns två komponenter som du behöver konfigurera: ett anpassat autentiseringstillägg och ett REST-API. Det anpassade autentiseringstillägget anger din REST API-slutpunkt, när REST-API:et ska anropas och autentiseringsuppgifterna för att anropa REST-API:et. Du kan skapa anpassade autentiseringstillägg på följande punkter i autentiseringsflödet:

• Under registreringen, före eller efter attributsamlingen:
  • Händelsen OnAttributeCollectionStart inträffar i början av attributsamlingssteget innan sidan för attributsamling återges.
  • Händelsen OnAttributeCollectionSubmit inträffar när användaren har angett och skickat attribut.
• Vid tokenutfärding med hjälp av händelsen OnTokenIssuanceStart , som utlöses precis innan en token utfärdas till programmet.

Om du har ett anpassat autentiseringstillägg konfigurerat på någon av dessa punkter gör Microsoft Entra ID ett anrop till rest-API:et som du har definierat. Begäran till REST-API:et innehåller information om händelsen, användarprofilen, autentiseringsbegärandedata och annan kontextinformation. REST-API:et utför i sin tur arbetsflödesåtgärderna.

Den här artikeln innehåller en översikt över anpassade autentiseringstillägg i Microsoft Entra Externt ID.

Starta och skicka händelser för attributsamling

Du kan använda anpassade autentiseringstillägg för att lägga till arbetsflöden till attributsamlingen i användarflödena för självbetjäningsregistrering. Du kan till exempel fylla i attributfält med anpassade värden, verifiera en användares poster och ändra attribut och visa fel. Två händelser är aktiverade:

• OnAttributeCollectionStart – Händelsen OnAttributeCollectionStart inträffar i början av attributinsamlingsprocessen innan attributsamlingssidan återges. Den här händelsen kan användas för scenarier som att hindra användaren från att registrera sig baserat på deras domän eller lägga till attribut som ska samlas in. Följande scenarier kan konfigureras för händelsen OnAttributeCollectionStart:

  • continueWithDefaultBehavior – Rendera attributsamlingssidan som vanligt.
  • setPreFillValues – Förfyllningsattribut i registreringsformuläret.
  • showBlockPage – Visa ett felmeddelande och blockera användaren från att registrera sig.

• OnAttributeCollectionSubmit – Händelsen OnAttributeCollectionSubmit inträffar när användaren har angett och skickat attribut. Den här händelsen kan användas för scenarier som att verifiera eller ändra informationen som tillhandahålls av användaren. Du kan till exempel verifiera en inbjudningskod eller ett partnernummer, ändra ett adressformat eller returnera ett fel.

  • continueWithDefaultBehavior – Fortsätt med registreringsflödet.
  • modifyAttributeValues – Skriv över de värden som användaren skickade i registreringsformuläret.
  • showValidationError – Returnera ett fel baserat på de inskickade värdena.
  • showBlockPage – Visa ett felmeddelande och blockera användaren från att registrera sig.

Om du vill konfigurera attributsamlingens start- och sändningshändelser skapar du ett rest-API för anpassat autentiseringstillägg. När en händelse utlöses skickar Microsoft Entra-ID en HTTP-begäran till REST API-slutpunkten. REST-API:et kan vara en Azure-funktion, Azure Logic App eller en annan offentligt tillgänglig API-slutpunkt. Din REST API-slutpunkt ansvarar för att definiera de arbetsflödesåtgärder som ska utföras.

Mer information finns i Lägga till anpassade tillägg för attributsamling till ditt användarflöde.

Starthändelse för tokenutfärding

Starthändelsen för tokenutfärdning utlöses när en användare har slutfört alla sina autentiseringsutmaningar och en säkerhetstoken är på väg att utfärdas.

När användare autentiserar till ditt program med Microsoft Entra-ID returneras en säkerhetstoken till ditt program. Säkerhetstoken innehåller anspråk som är instruktioner om användaren, till exempel namn, unik identifierare eller programroller. Utöver standarduppsättningen med anspråk som finns i säkerhetstoken kan du definiera dina egna anpassade anspråk från externa system med hjälp av ett REST-API som du utvecklar.

I vissa fall kan nyckeldata lagras i system utanför Microsoft Entra, till exempel sekundär e-post, faktureringsnivå eller känslig information. Det är inte alltid möjligt att lagra informationen i det externa systemet i Microsoft Entra-katalogen. I dessa scenarier kan du använda ett anpassat autentiseringstillägg och en anpassad anspråksprovider för att lägga till dessa externa data i token som returneras till ditt program.

Ett händelsetillägg för tokenutfärding omfattar följande komponenter:

• Anpassad anspråksprovider. En anpassad anspråksprovider är en typ av anpassat autentiseringstillägg som hämtar data från externa system. Providern för anpassade anspråk anger de attribut som ska läggas till i den säkerhetstoken som returneras till ditt program. Flera anspråksproviders kan dela samma anpassade tillägg, så en annan uppsättning attribut kan läggas till i säkerhetstoken för varje program.

• REST API-slutpunkt. När en händelse utlöses skickar Microsoft Entra-ID en HTTP-begäran till REST API-slutpunkten. REST-API:et kan vara en Azure-funktion, Azure Logic App eller någon annan offentligt tillgänglig API-slutpunkt. REST API-slutpunkten ansvarar för att samverka med underordnade databaser, befintliga API:er, LDAP-kataloger eller andra lager som innehåller de attribut som du vill lägga till i tokenkonfigurationen.

  REST-API:et returnerar ett HTTP-svar eller en åtgärd tillbaka till Microsoft Entra-ID som innehåller attributen. Attribut som returneras av rest-API:et läggs inte automatiskt till i en token. I stället måste ett programs princip för anspråksmappning konfigureras för att alla attribut ska inkluderas i token.

Mer information finns i:

• Om anpassade autentiseringstillägg
• Konfigurera en anpassad anspråksprovider för en tokenutfärdarhändelse med hjälp av en anpassad anspråksprovider.

Se även

• Mer information om hur anpassade tillägg fungerar finns i Tillägg för anpassad autentisering.
• Skapa ett REST API med en starthändelse för tokenutfärdning.
• Konfigurera en anpassad anspråksprovider för en tokenutfärdingshändelse.
• Konfigurera anpassade autentiseringstillägg för att starta och skicka händelser för attributsamlingen med ett OpenID-exempelprogram Anslut.
• Se Microsoft Entra External ID Developer Center för det senaste utvecklarinnehållet och resurserna.