Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Entra ID kimlik doğrulama işlem hattı, kullanıcı kimlik bilgilerinin doğrulanması, Koşullu Erişim ilkeleri, çok faktörlü kimlik doğrulaması, self servis parola sıfırlama ve daha fazlası gibi çeşitli yerleşik kimlik doğrulama olaylarından oluşur.
Microsoft Entra özel kimlik doğrulama uzantıları, kimlik doğrulama akışının belirli noktalarında kendi iş mantığınızla kimlik doğrulama akışlarını genişletmenize olanak tanır. Özel kimlik doğrulama uzantısı temelde, etkinleştirildiğinde iş akışı eylemi tanımladığınız REST API uç noktasına HTTP çağrısı yapan bir olay dinleyicisidir.
Örneğin, belirteç verilmeden önce güvenlik belirtecine dış kullanıcı verileri eklemek için özel talep sağlayıcısı kullanabilirsiniz. Kullanıcının kaydolma sırasında girdiği öznitelikleri doğrulamak için bir öznitelik koleksiyonu iş akışı ekleyebilirsiniz. Bu makalede, Microsoft Entra ID özel kimlik doğrulama uzantılarına üst düzey, teknik bir genel bakış sağlanmaktadır.
Microsoft Entra Özel Kimlik Doğrulama Uzantısına Genel Bakış videosu, özel kimlik doğrulama uzantılarının temel özelliklerinin ve özelliklerinin kapsamlı bir ana hatlarını sağlar.
Bileşenlere genel bakış
Yapılandırmanız gereken iki bileşen vardır: Microsoft Entra'da özel kimlik doğrulama uzantısı ve REST API. Özel kimlik doğrulama uzantısı REST API uç noktanızı, REST API'nin çağrılacağı zamanları ve REST API'yi çağırmak için kimlik bilgilerini belirtir.
Bu video, Microsoft Entra özel kimlik doğrulama uzantılarını yapılandırma hakkında ayrıntılı yönergeler sağlar ve en iyi uygulama için en iyi yöntemleri ve değerli ipuçlarını sunar.
Oturum açma akışı
Aşağıdaki diyagramda, özel kimlik doğrulama uzantısıyla tümleştirilmiş oturum açma akışı gösterilmiştir.
- Bir kullanıcı uygulamada oturum açmayı dener ve Microsoft Entra oturum açma sayfasına yönlendirilir.
- Kullanıcı kimlik doğrulamasında belirli bir adımı tamamladıktan sonra bir olay dinleyicisi tetiklenir.
- Özel kimlik doğrulama uzantınız REST API uç noktanıza bir HTTP isteği gönderir. İstek olay, kullanıcı profili, oturum verileri ve diğer bağlam bilgileri hakkında bilgi içerir.
- REST API özel bir iş akışı gerçekleştirir.
- REST API, Microsoft Entra Id'ye bir HTTP yanıtı döndürür.
- Microsoft Entra özel kimlik doğrulama uzantısı yanıtı işler ve kimlik doğrulamasını olay türüne ve HTTP yanıt yüküne göre özelleştirir.
- Bir belirteçuygulamaya döndürülür.
REST API uç noktaları
Bir olay tetiklendiğinde, Microsoft Entra Id sahibi olduğunuz bir REST API uç noktasını çağırır. REST API'ye genel erişim sağlanmalı. Azure İşlevleri, Azure App Service, Azure Logic Apps veya genel kullanıma açık başka bir API uç noktası kullanılarak barındırılabilir.
REST API'nizi geliştirmek ve dağıtmak için Azure Logic Apps gibi herhangi bir programlama dilini, çerçeveyi veya düşük kod içermeyen çözümü kullanma esnekliğine sahipsiniz. Kullanmaya başlamanın hızlı bir yolu için Azure İşlevi'ne sahip olmayı göz önünde bulundurun. İlk olarak bir sanal makine (VM) oluşturmak veya bir web uygulaması yayımlamak zorunda kalmadan kodunuzu sunucusuz bir ortamda çalıştırmanıza olanak tanır.
REST API'nizin şunları işlemesi gerekir:
- REST API çağrılarının güvenliğini sağlamak için belirteç doğrulaması.
- İş mantığı
- Veri ve eylem türünü döndür
- HTTP isteği ve yanıt şemalarının gelen ve giden doğrulaması.
- Denetim ve kayıt.
- Kullanılabilirlik, performans ve güvenlik denetimleri.
Kod yazmadan Azure Logic Apps ile kimlik doğrulama uzantıları REST API uç noktası oluşturmayı öğrenmek için bu videoyu izleyin. Azure Logic App, kullanıcılara görsel tasarımcı kullanarak iş akışları oluşturma gücü sağlar. Video, doğrulama e-postalarını özelleştirmeyi kapsar ve özel talep sağlayıcıları dahil olmak üzere tüm özel kimlik doğrulama uzantıları için geçerlidir.
İstek veri yükü
REST API'ye yönelik istek olay, kullanıcı profili, kimlik doğrulama isteği verileri ve diğer bağlam bilgileriyle ilgili ayrıntıları içeren bir JSON yükü içerir. JSON yükündeki öznitelikler API'niz tarafından mantık gerçekleştirmek için kullanılabilir.
Örneğin, Belirteç verme başlangıç olayında istek yükü kullanıcının benzersiz tanımlayıcısını içerebilir ve kullanıcı profilini kendi veritabanınızdan almanıza olanak tanır. İstek yükü verilerinin olay belgesinde belirtilen şemayı izlemesi gerekir.
Veri ve eylem türünü döndür
Web API'niz iş mantığınızla iş akışını gerçekleştirdikten sonra, Microsoft Entra'yı kimlik doğrulama işlemine nasıl devam etmek için yönlendiren bir eylem türü döndürmelidir.
Örneğin, öznitelik koleksiyonu başlatma ve öznitelik koleksiyonu gönderme olayları söz konusu olduğunda, web API'niz tarafından döndürülen eylem türü hesabın dizinde oluşturulup oluşturulamayacağını, doğrulama hatası gösterip göstermediğini veya kaydolma akışını tamamen engelleyip engellemediğini gösterir.
REST API yanıtı veri içerebilir. Örneğin, on token verme başlangıç olayı, güvenlik belirtecine eşlenebilen bir öznitelik kümesi sağlayabilir.
REST API'nizi koruma
Özel kimlik doğrulama uzantısı ile REST API'niz arasındaki iletişimlerin uygun şekilde güvenli hale getirilmesi için birden çok güvenlik denetiminin uygulanması gerekir.
- Özel kimlik doğrulama uzantısı REST API'nizi çağırdığında, Microsoft Entra Id tarafından verilen taşıyıcı belirteci içeren bir HTTP
Authorizationüst bilgisi gönderir. - Taşıyıcı belirteci bir
appidveyaazptalebi içerir. İlgili talebin99045fe1-7639-4a75-9d4a-577b6ca3810fdeğerini içerdiğini doğrulayın. Bu değer, REST API'yi çağıran kişinin Microsoft Entra Kimliği olmasını sağlar.- V1 Başvuruları için, iddiasını doğrulayın.
- V2 Uygulamaları için taleplerini doğrulayın.
- Taşıyıcı belirteci
audhedef kitle talebi, ilişkili uygulama kaydının kimliğini içerir. REST API uç noktanızın taşıyıcı belirtecin ilgili hedef kitle için verildiğini doğrulaması gerekir. - Taşıyıcı belirteci
issveren talebi, Microsoft Entra veren URL'sini içerir. Kiracı ayarlarınıza bağlı olarak, sağlayıcı URL'si aşağıdakilerden biridir;- İş Gücü:
https://login.microsoftonline.com/{tenantId}/v2.0. - Müşteri:
https://{domainName}.ciamlogin.com/{tenantId}/v2.0.
- İş Gücü:
Özel kimlik doğrulaması olay türleri
Bu bölümde, Microsoft Entra ID iş gücünde ve dış kiracılarda kullanılabilen özel kimlik doğrulama uzantıları olayları listelenmektedir. Olaylar hakkında ayrıntılı bilgi için ilgili belgelere bakın.
| Etkinlik | İş gücü kiracısı | Dış kiracı |
|---|---|---|
| Belirteç verme başlangıcı | 
|
|
| Öznitelik koleksiyonu başlangıcı |
|
|
| Öznitelik koleksiyonu gönderme |
|
|
| Tek seferlik geçiş kodu gönderme |
|
Jeton ihraç başlangıcı
Bir uygulamaya belirteç verilmek üzereyken belirteç verme başlangıç olayı OnTokenIssuanceStart tetikleniyor. Özel talep sağlayıcısı içinde ayarlanmış bir olay türüdür. Özel talep sağlayıcısı, dış sistemlerden talep getirmek için REST API çağıran özel bir kimlik doğrulama uzantısıdır. Özel talep sağlayıcısı, dış sistemlerden gelen talepleri belirteçlerle eşler ve dizininizdeki bir veya birden çok uygulamaya atanabilir.
Tavsiye
Bu özelliği denemek için Woodgrove Groceries tanıtımına gidin ve "REST API'den güvenlik belirteçlerine talep ekleme" kullanım örneğini başlatın.
Öznitelik toplama başlangıcı
Öznitelik koleksiyonu başlangıç olayları, bir kullanıcıdan öznitelikler toplanmadan önce mantık eklemek için özel kimlik doğrulama uzantılarıyla kullanılabilir. OnAttributeCollectionStart olayı, öznitelik koleksiyonu sayfasının işlenmesinden önce öznitelik koleksiyonu adımının başında gerçekleşir. Değerleri önceden doldurma ve engelleme hatası görüntüleme gibi eylemler eklemenize olanak tanır.
Tavsiye
Bu özelliği denemek için Woodgrove Market demosuna gidin ve "Kayıt özniteliklerini önceden doldur" kullanım örneğini başlatın.
Öznitelik koleksiyonu gönderme
Öznitelik koleksiyonu gönderme olayları, bir kullanıcıdan öznitelikler toplandıktan sonra mantık eklemek için özel kimlik doğrulama uzantılarıyla kullanılabilir. OnAttributeCollectionSubmit olayı, kullanıcı öznitelikleri girip gönderdikten sonra tetikler ve girişleri doğrulama veya öznitelikleri değiştirme gibi eylemler eklemenize olanak tanır.
Tavsiye
Bu özelliği denemek için Woodgrove Groceries tanıtımına gidin ve "Kaydolma özniteliklerini doğrula" kullanım örneğini veya "Kullanıcının kaydolma işlemini sürdürmesini engelle" kullanım örneğini başlatın.
Tek seferlik geçiş kodu gönderme
OnOtpSend olayı, tek seferlik geçiş kodu e-postası etkinleştirildiğinde tetikleniyor. Kendi e-posta sağlayıcınızı kullanmak için REST API'yi çağırmanıza olanak tanır. Bu olay, e-posta adresiyle kaydolan, e-posta tek seferlik geçiş koduyla (E-posta OTP) oturum açan, E-posta OTP kullanarak parolalarını sıfırlayan veya çok faktörlü kimlik doğrulaması (MFA) için E-posta OTP kullanan kullanıcılara özelleştirilmiş e-postalar göndermek için kullanılabilir.
OnOtpSend olayı etkinleştirildiğinde, Microsoft Entra sahip olduğunuz belirtilen REST API'ye tek seferlik bir geçiş kodu gönderir. REST API daha sonra azure iletişim hizmeti veya SendGrid gibi seçtiğiniz e-posta sağlayıcısını kullanarak adres ve e-posta konularından özel e-posta şablonunuzla tek seferlik geçiş kodunu gönderir ve yerelleştirmeyi destekler.
Tavsiye
Bu özelliği denemek için Woodgrove Marketler tanıtımına gidin ve "Bir Kerelik kod için özel e-posta sağlayıcısı kullanma" kullanım örneğini başlatın.
İlgili içerik
- özel talep sağlayıcıları hakkında daha fazla bilgi edinin
- Özellik toplama başlatma ve gönderme olayları için bir örnek OpenID Connect uygulamasıyla özel kimlik doğrulama uzantıları oluşturma
- Bir kerelik geçiş kodu gönderme olayları için özel e-posta sağlayıcısı yapılandırma