自訂宣告提供者

本文提供 Microsoft Entra 自訂宣告提供者的概觀。 當使用者向應用程式進行驗證時，可以使用自訂宣告提供者將宣告新增至權杖。 自訂宣告提供者是由自訂驗證擴充功能組成，可呼叫外部 REST API 從外部系統擷取宣告。 自訂宣告提供者可以指派給目錄中的一或多個應用程式。

與使用者有關的重要資料通常會儲存在M icrosoft Entra ID 外部的系統。 例如，次要電子郵件、計費層或敏感性資訊。 某些應用程式可能會依賴這些屬性，讓應用程式依照設計運作。 例如，應用程式可能會根據權杖中的宣告封鎖對特定功能的存取。

下列影片提供 Microsoft Entra 自訂驗證擴充功能和自訂宣告提供者的絕佳概觀：

針對下列案例使用自訂宣告提供者：

• 移轉舊版系統 - 您可能有舊版身分識別系統，例如 Active Directory 同盟服務 (AD FS) 或保存使用者相關資訊的資料存放區 (例如 LDAP 目錄)。 您想要移轉這些應用程式，但無法完全將身分識別資料移轉至 Microsoft Entra ID。 您的應用程式可能取決於權杖的特定資訊，且無法重新架構。
• 與其他無法同步至目錄的資料存放區整合 - 您可能有可儲存使用者資料的第三方系統或自己的系統。 在理想的情況下，這項資訊可透過同步處理或直接移轉，合併到 Microsoft Entra 目錄中。 不過，這不一定可行。 限制的原因可能是資料落地、法規或其他需求。

權杖發行開始事件接聽程式

事件接聽程式是等候事件發生的程序。 自訂驗證擴充功能會使用權杖發行開始事件接聽程式。 當權杖即將發行至您的應用程式時，就會觸發事件。 觸發事件時，就會呼叫自訂驗證延伸模組 REST API，以從外部系統擷取屬性。

若要設定自訂宣告提供者，您必須使用權杖發行開始事件建立 REST API，然後設定權杖發行事件的自訂宣告提供者。

提示

若要試用此功能，請移至 Woodgrove Groceries 示範並啟動「從 REST API 新增對安全性權杖的宣告」使用案例。

適用於 .NET 的 Azure Functions 用戶端程式庫的驗證事件觸發程序

Azure Functions 的驗證事件觸發程序可讓您實作自訂擴充功能，以處理 Microsoft Entra ID 驗證事件。 驗證事件觸發程序會針對驗證事件的傳入 HTTP 要求，處理所有的後端處理。

• 用於保護 API 呼叫的權杖驗證
• 物件模型、輸入和 IDE Intellisense
• API 要求和回應結構描述的輸入和輸出驗證

另請參閱

• 建立權杖發行開始事件的 REST API
• 設定 SAML 應用程式以從外部存放區接收含有宣告的權杖
• 自訂宣告提供者參考文章。