Özel kimlik doğrulama uzantılarına genel bakış
Bu makalede, Microsoft Entra Id için özel kimlik doğrulama uzantılarına yönelik üst düzey, teknik bir genel bakış sağlanmaktadır. Özel kimlik doğrulama uzantıları, dış sistemlerle tümleştirerek Microsoft Entra kimlik doğrulama deneyimini özelleştirmenize olanak tanır.
Aşağıdaki diyagramda, özel kimlik doğrulama uzantısıyla tümleştirilmiş oturum açma akışı gösterilmiştir.
- Bir kullanıcı uygulamada oturum açmayı dener ve Microsoft Entra oturum açma sayfasına yönlendirilir.
- Kullanıcı kimlik doğrulamasında belirli bir adımı tamamladıktan sonra bir olay dinleyicisi tetiklenir.
- Özel kimlik doğrulama uzantınız REST API uç noktanıza bir HTTP isteği gönderir. İstek olay, kullanıcı profili, oturum verileri ve diğer bağlam bilgileri hakkında bilgi içerir.
- REST API özel bir iş akışı gerçekleştirir.
- REST API, Microsoft Entra Id'ye bir HTTP yanıtı döndürür.
- Microsoft Entra özel kimlik doğrulama uzantısı yanıtı işler ve kimlik doğrulamasını olay türüne ve HTTP yanıt yüküne göre özelleştirir.
- Uygulamaya bir belirteç döndürülür.
Özel kimlik doğrulama uzantısı REST API uç noktası
Bir olay tetiklendiğinde, Microsoft Entra Id sahip olduğunuz bir REST API uç noktasını çağırır. REST API'ye yapılan istek olay, kullanıcı profili, kimlik doğrulama isteği verileri ve diğer bağlam bilgileri hakkında bilgi içerir.
Özel kimlik doğrulama uzantıları REST API'nizi oluşturmak ve barındırmak için herhangi bir programlama dilini, çerçeveyi ve barındırma ortamını kullanabilirsiniz. Kullanmaya başlamanın hızlı bir yolu için C# Azure İşlevi'ni kullanın. Azure İşlevleri, önce bir sanal makine (VM) oluşturmak veya bir web uygulaması yayımlamak zorunda kalmadan kodunuzu sunucusuz bir ortamda çalıştırmanıza olanak tanır.
REST API'nizin şunları işlemesi gerekir:
- REST API çağrılarının güvenliğini sağlamak için belirteç doğrulaması.
- İş mantığı
- HTTP isteği ve yanıt şemalarının gelen ve giden doğrulaması.
- Denetim ve günlüğe kaydetme.
- Kullanılabilirlik, performans ve güvenlik denetimleri.
Azure İşlevleri üzerinde REST API çalıştıran geliştiriciler için Microsoft Azure'ın yerleşik kimlik doğrulama özelliklerini kullanarak belirteç doğrulama uygulamasına yardımcı olan Microsoft.Azure.WebJobs.Extensions.AuthenticationEvents NuGet kitaplığını kullanmayı göz önünde bulundurun. Farklı olay türleri için bir veri modeli sağlar, gelen ve giden istek ve yanıt işlemeyi başlatır, böylece iş mantığına daha fazla odaklanılabilir.
REST API'nizi koruma
Özel kimlik doğrulama uzantısı ile REST API'niz arasındaki iletişimlerin uygun şekilde güvenli hale getirilmesi için birden çok güvenlik denetiminin uygulanması gerekir.
- Özel kimlik doğrulama uzantısı REST API'nizi çağırdığında, Microsoft Entra Id tarafından verilen taşıyıcı belirteci içeren bir HTTP
Authorization
üst bilgisi gönderir. - Taşıyıcı belirteci bir
appid
veyaazp
talebi içerir. İlgili talebin değeri içerdiğini99045fe1-7639-4a75-9d4a-577b6ca3810f
doğrulayın. Bu değer, REST API'yi çağıran kişinin Microsoft Entra Kimliği olmasını sağlar.- V1 Uygulamaları için talebi doğrulayın
appid
. - V2 Uygulamaları için talebi doğrulayın
azp
.
- V1 Uygulamaları için talebi doğrulayın
- Taşıyıcı belirteci
aud
hedef kitle talebi, ilişkili uygulama kaydının kimliğini içerir. REST API uç noktanızın taşıyıcı belirtecin ilgili hedef kitle için verildiğini doğrulaması gerekir. - Taşıyıcı belirteci
iss
veren talebi, Microsoft Entra veren URL'sini içerir. Kiracı yapılandırmanıza bağlı olarak, veren URL aşağıdakilerden biri olur;- İş Gücü:
https://login.microsoftonline.com/{tenantId}/v2.0
. - Müşteri:
https://{domainName}.ciamlogin.com/{tenantId}/v2.0
.
- İş Gücü:
Özel talep sağlayıcısı
Özel talep sağlayıcısı, dış sistemlerden talep getirmek için REST API çağıran bir özel kimlik doğrulama uzantısı türüdür. Özel talep sağlayıcısı, dış sistemlerden gelen talepleri belirteçlerle eşler ve dizininizdeki bir veya birden çok uygulamaya atanabilir.
Özel talep sağlayıcıları hakkında daha fazla bilgi edinin.
Öznitelik koleksiyonu başlatma ve gönderme olayları
Öznitelik koleksiyonu başlatma ve gönderme olayları, bir kullanıcıdan öznitelikler toplanmadan önce ve sonra mantık eklemek için özel kimlik doğrulama uzantılarıyla kullanılabilir. Örneğin, kullanıcının kaydolma sırasında girdiği öznitelikleri doğrulamak için bir iş akışı ekleyebilirsiniz. OnAttributeCollectionStart olayı, öznitelik koleksiyonu sayfasının işlenmesinden önce öznitelik koleksiyonu adımının başında gerçekleşir. Değerleri önceden doldurma ve engelleme hatası görüntüleme gibi eylemler eklemenize olanak tanır. OnAttributeCollectionSubmit olayı, kullanıcı öznitelikleri girip gönderdikten sonra tetikler ve girişleri doğrulama veya öznitelikleri değiştirme gibi eylemler eklemenize olanak tanır.
Not
Öznitelik koleksiyonu başlatma ve gönderme olayları şu anda yalnızca dış kiracılardaki Microsoft Entra Dış Kimlik kullanıcı akışları için kullanılabilir. Ayrıntılar için bkz . Kendi iş mantığınızı ekleme.
Ayrıca bkz.
- Örnek bir OpenID Bağlan uygulamasıyla öznitelik koleksiyonu başlatma ve gönderme olayları için özel kimlik doğrulama uzantıları oluşturmayı öğrenin.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin