Kimlik doğrulama akışlarını kendi iş mantığınızla genişletme

Şunlar için geçerlidir: İş gücü kiracılarıDış kiracılar (daha fazla bilgi edinin)

Microsoft Entra Dış Kimlik kullanıcı akışları esneklik için tasarlanmıştır. Kaydolma ve oturum açma kullanıcı akışında yerleşik kimlik doğrulama olayları vardır. Ayrıca, kimlik doğrulama akışının belirli noktalarına özel kimlik doğrulama uzantıları da ekleyebilirsiniz. Özel kimlik doğrulama uzantısı temelde, etkinleştirildiğinde iş akışı eylemi tanımladığınız REST API uç noktasına HTTP çağrısı yapan bir olay dinleyicisidir. Örneğin, kullanıcının kaydolma sırasında girdiği öznitelikleri doğrulamak için bir öznitelik koleksiyonu iş akışı ekleyebilir veya belirteç verilmeden önce belirteci dış kullanıcı verileri eklemek için özel talep sağlayıcısı kullanabilirsiniz.

Yapılandırmanız gereken iki bileşen vardır: özel kimlik doğrulama uzantısı ve REST API. Özel kimlik doğrulama uzantısı REST API uç noktanızı, REST API'nin çağrılacağı zamanları ve REST API'yi çağırmak için kimlik bilgilerini belirtir. Kimlik doğrulama akışında aşağıdaki noktalarda özel kimlik doğrulama uzantıları oluşturabilirsiniz:

• Kaydolma sırasında, öznitelik koleksiyonundan önce veya sonra:
  • OnAttributeCollectionStart olayı, öznitelik koleksiyonu sayfasının işlenmesinden önce öznitelik koleksiyonu adımının başında gerçekleşir.
  • OnAttributeCollectionSubmit olayı, kullanıcı öznitelikleri girip gönderdikten sonra gerçekleşir.
• Belirteç verildiğinde, uygulamaya bir belirteç verilmeden hemen önce tetiklenen OnTokenIssuanceStart olayını kullanır.

Bu noktalardan birinde yapılandırılmış özel bir kimlik doğrulama uzantınız varsa, Microsoft Entra Id tanımladığınız REST API'ye bir çağrı yapar. REST API'ye yapılan istek olay, kullanıcı profili, kimlik doğrulama isteği verileri ve diğer bağlam bilgileri hakkında bilgi içerir. Buna karşılık REST API iş akışı eylemlerini gerçekleştirir.

Bu makalede, Microsoft Entra Dış Kimlik'daki özel kimlik doğrulama uzantılarına genel bir bakış sağlanır.

Öznitelik koleksiyonu başlatma ve gönderme olayları

Self servis kaydolma kullanıcı akışlarınızda öznitelik koleksiyonuna iş akışları eklemek için özel kimlik doğrulama uzantılarını kullanabilirsiniz. Örneğin, öznitelik alanlarını özel değerlerle önceden doldurabilir, kullanıcının girdilerini doğrulayabilir, öznitelikleri değiştirebilir ve hataları görüntüleyebilirsiniz. İki olay etkinleştirilir:

• OnAttributeCollectionStart - OnAttributeCollectionStart olayı, öznitelik koleksiyonu sayfası işlenmeden önce öznitelik toplama işleminin başında gerçekleşir. Bu olay, kullanıcının kendi etki alanına göre kaydolmasını engelleme veya toplanacak öznitelikler ekleme gibi senaryolar için kullanılabilir. Aşağıdaki senaryolar OnAttributeCollectionStart olayı için yapılandırılabilir:

  • continueWithDefaultBehavior - Öznitelik koleksiyonu sayfasını her zamanki gibi işleyin.
  • setPreFillValues - Kaydolma formunda öznitelikleri önceden doldurun.
  • showBlockPage - Bir hata iletisi gösterin ve kullanıcının kaydolmasını engelleyin.

• OnAttributeCollectionSubmit - Kullanıcı öznitelikleri girip gönderdikten sonra OnAttributeCollectionSubmit olayı gerçekleşir. Bu olay, kullanıcı tarafından sağlanan bilgileri doğrulama veya değiştirme gibi senaryolar için kullanılabilir. Örneğin, davet kodunu veya iş ortağı numarasını doğrulayabilir, adres biçimini değiştirebilir veya hata döndürebilirsiniz.

  • continueWithDefaultBehavior - Kaydolma akışıyla devam edin.
  • modifyAttributeValues - Kullanıcının kaydolma formunda gönderdiği değerlerin üzerine yazın.
  • showValidationError - Gönderilen değerlere göre bir hata döndürür.
  • showBlockPage - Bir hata iletisi gösterin ve kullanıcının kaydolmasını engelleyin.

Öznitelik koleksiyonu başlatma ve gönderme olaylarını yapılandırmak için özel bir kimlik doğrulama uzantısı REST API'sini oluşturursunuz. Bir olay tetiklendiğinde, Microsoft Entra Id REST API uç noktanıza bir HTTP isteği gönderir. REST API bir Azure İşlevi, Azure Logic App veya genel kullanıma açık başka bir API uç noktası olabilir. REST API uç noktanız, gerçekleştirecek iş akışı eylemlerini tanımlamakla sorumludur.

Ayrıntılar için bkz . Kullanıcı akışınıza öznitelik koleksiyonu özel uzantıları ekleme.

Belirteç verme başlangıç olayı

Belirteç verme başlatma olayı, kullanıcı tüm kimlik doğrulama sınamalarını tamamladıktan ve bir güvenlik belirteci verilmek üzere olduğunda tetikleniyor.

Kullanıcılar Microsoft Entra Id ile uygulamanızda kimlik doğrulaması yaparken, uygulamanıza bir güvenlik belirteci döndürülür. Güvenlik belirteci kullanıcı hakkında ad, benzersiz tanımlayıcı veya uygulama rolleri gibi deyimler olan talepler içerir. Güvenlik belirtecinde yer alan varsayılan talep kümesinin ötesinde, geliştirdiğiniz bir REST API kullanarak dış sistemlerden kendi özel taleplerinizi tanımlayabilirsiniz.

Bazı durumlarda, önemli veriler ikincil e-posta, faturalama katmanı veya hassas bilgiler gibi Microsoft Entra dışındaki sistemlerde depolanabilir. Dış sistemdeki bilgilerin Microsoft Entra dizininde depolanması her zaman uygun değildir. Bu senaryolarda, özel kimlik doğrulama uzantısını ve özel talep sağlayıcısını kullanarak bu dış verileri uygulamanıza döndürülen belirteçlere ekleyebilirsiniz.

Belirteç verme olayı uzantısı aşağıdaki bileşenleri içerir:

• Özel talep sağlayıcısı. Özel talep sağlayıcısı, dış sistemlerden veri getiren bir özel kimlik doğrulama uzantısı türüdür. Özel talep sağlayıcısı, uygulamanıza döndürülen güvenlik belirtecine eklenecek öznitelikleri belirtir. Birden çok talep sağlayıcısı aynı özel uzantıyı paylaşabilir, bu nedenle her uygulama için güvenlik belirtecine farklı bir öznitelik kümesi eklenebilir.

• REST API uç noktası. Bir olay tetiklendiğinde, Microsoft Entra Id REST API uç noktanıza bir HTTP isteği gönderir. REST API bir Azure İşlevi, Azure Logic App veya genel kullanıma açık başka bir API uç noktası olabilir. REST API uç noktanız aşağı akış veritabanları, mevcut API'ler, Basit Dizin Erişim Protokolü (LDAP) dizinleri veya belirteç yapılandırmasına eklemek istediğiniz öznitelikleri içeren diğer depolar gibi çeşitli veri depolarıyla arabirimler.

  REST API, öznitelikleri içeren Microsoft Entra Id'ye bir HTTP yanıtı veya eylemi döndürür. Bu öznitelikler belirteçlere otomatik olarak eklenmez. Bunun yerine, bir uygulamanın talep eşleme ilkesinin belirteci içermesi için herhangi bir özniteliğin yapılandırılması gerekir.

Ayrıntılar için bkz.

• Özel kimlik doğrulama uzantıları hakkında.
• Özel talep sağlayıcısı kullanarak belirteç verme olayı için özel talep sağlayıcısı yapılandırın.

Ayrıca bkz.

• Özel uzantıların nasıl çalıştığı hakkında daha fazla bilgi edinmek için bkz . Özel kimlik doğrulama uzantıları.
• Belirteç verme başlangıç olayıyla REST API oluşturun.
• Belirteç verme olayı için özel talep sağlayıcısı yapılandırın.
• Örnek bir OpenID Bağlan uygulamasıyla öznitelik koleksiyonu başlatma ve gönderme olayları için özel kimlik doğrulama uzantıları yapılandırın.
• En son geliştirici içeriği ve kaynakları için Microsoft Entra Dış Kimlik Geliştirici Merkezi'ne bakın.