Configuración de un proveedor de notificaciones personalizado para un evento de emisión de tokens

En este artículo se describe cómo configurar un proveedor de notificaciones personalizado para un evento de inicio de emisión de tokens. Con una API de REST de Azure Functions existente, registrará una extensión de autenticación personalizada y agregará atributos que espera que analice desde la API de REST. Para probar la extensión de autenticación personalizada, registrará una aplicación de OpenID Connect de ejemplo para obtener un token y ver las notificaciones.

Requisitos previos

• Una suscripción de Azure con la capacidad de crear funciones de Azure. Si no dispone de una cuenta de Azure, puede registrarse para obtener una evaluación gratuita o usar las ventajas de su Visual Studio Subscription cuando cree una cuenta.
• Una aplicación de función de Azure con una función de desencadenador HTTP configurada para un evento de inicio de emisión de tokens. Si no tiene una, siga los pasos descritos en Creación de una función de desencadenador HTTP del evento de inicio de emisión de tokens.
• Conocimientos básicos de los conceptos descritos en Introducción a las extensiones de autenticación personalizadas.
• Un inquilino de Microsoft Entra ID. Puede usar un inquilino de cliente o de personal para esta guía paso a paso.
  • Para los inquilinos de cliente, use un flujo de usuario de registro e inicio de sesión.

Paso 1: Registrar una extensión de autenticación personalizada

Ahora configurará una extensión de autenticación personalizada, que usará Microsoft Entra ID para llamar a la función de Azure. La extensión de autenticación personalizada contiene información sobre el punto de conexión de la API de REST, las notificaciones que analiza desde la API de REST y cómo autenticarse en la API de REST. Siga estos pasos para registrar una extensión de autenticación personalizada en la aplicación de funciones de Azure.

Nota:

Es posible tener un máximo de 100 directivas de extensión personalizadas.

Azure Portal

Registrar una extensión de autenticación personalizada

1. Inicie sesión en Azure Portal como al menos un Administrador de aplicaciones y un Administrador de autenticación.
2. Busque y seleccione Microsoft Entra ID y seleccione Aplicaciones empresariales.
3. Seleccione Extensiones de autenticación personalizadas y, después, seleccione Crear una extensión personalizada.
4. En Aspectos básicos, seleccione el tipo de evento TokenIssuanceStart y seleccione Siguiente.
5. En Configuración de punto de conexión, rellene las siguientes propiedades:
   • Nombre: nombre de la extensión de autenticación personalizada. Por ejemplo, Evento de emisión de tokens.
   • Dirección URL de destino: {Function_Url} de la dirección URL de la función de Azure. Vaya a la página Información general de la aplicación de funciones de Azure y seleccione la función que ha creado. En la página Información general de la función, seleccione Obtener dirección URL de la función y use el icono de copia para copiar la dirección URL.
   • Descripción: descripción de la extensión de autenticación personalizada.
6. Seleccione Next (Siguiente).
7. En Autenticación de API, seleccione la opción Crear un nuevo registro de aplicación para crear un registro de aplicación que represente a la aplicación de funciones.
8. Asigne un nombre a la aplicación; por ejemplo, API de eventos de autenticación de Azure Functions.
9. Seleccione Next (Siguiente).
10. En Notificaciones, escriba los atributos que espera que la extensión de autenticación personalizada analice desde la API de REST y que se combinarán con el token. Agregue las siguientes notificaciones:
    • dateOfBirth
    • customRoles
    • apiVersion
    • correlationId
11. Seleccione Siguiente y Crear para registrar la extensión de autenticación personalizada y el registro de aplicación asociado.
12. Anote el identificador de aplicación en Autenticación de API, que es necesario para establecer variables de entorno en la aplicación de funciones de Azure.

Microsoft Graph

Registrar una aplicación

1. Inicie sesión en el Explorador de Graph con una cuenta cuyo inquilino principal sea el inquilino en el que desea administrar la extensión de autenticación personalizada. La cuenta debe tener los privilegios para crear y administrar un registro de aplicación en el inquilino.

2. Ejecute la siguiente solicitud.

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
       "displayName": "authenticationeventsAPI"
   }
   

3. En la respuesta, registre el valor de id y appId del registro de aplicación recién creado. En este artículo haremos referencia a estos valores como {authenticationeventsAPI_ObjectId} y {authenticationeventsAPI_AppId} respectivamente.

Cree una entidad de servicio en el inquilino para el registro de la aplicación authenticationeventsAPI.

Ejecute la siguiente solicitud en el Probador de Graph. Reemplace por {authenticationeventsAPI_AppId} el valor de appId que registró en el paso anterior.

POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-type: application/json
    
{
    "appId": "{authenticationeventsAPI_AppId}"
}

Establezca el URI del id. de la aplicación, la versión del token de acceso y el acceso a los recursos necesarios.

Actualice la aplicación recién creada para establecer el valor del URI del id. de la aplicación, la versión del token de acceso y el acceso a los recursos necesarios.

Ejecute la siguiente solicitud en Graph Explorer.

• Establezca el URI del id. de la aplicación en la propiedad identifierUris. Reemplace {Function_Url_Hostname} por el nombre de host de {Function_Url} que anotó antes.
• Establezca el valor {authenticationeventsAPI_AppId} con el appId que registró anteriormente.
• Un valor de ejemplo es api://authenticationeventsAPI.azurewebsites.net/00001111-aaaa-2222-bbbb-3333cccc4444. Tome nota de este valor, ya que lo usará más adelante en este artículo en lugar de {functionApp_IdentifierUri}.

POST https://graph.microsoft.com/v1.0/applications/{authenticationeventsAPI_ObjectId}
Content-type: application/json

{
"identifierUris": [
    "api://{Function_Url_Hostname}/{authenticationeventsAPI_AppId}"
],    
"api": {
    "requestedAccessTokenVersion": 2,
    "acceptMappedClaims": null,
    "knownClientApplications": [],
    "oauth2PermissionScopes": [],
    "preAuthorizedApplications": []
},
"requiredResourceAccess": [
    {
        "resourceAppId": "00000003-0000-0000-c000-000000000000",
        "resourceAccess": [
            {
                "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                "type": "Role"
            }
        ]
    }
]
}

Registrar una extensión de autenticación personalizada

Para registrar la extensión de autenticación personalizada, asóciela con el registro de aplicación y el punto de conexión {Function_Url} de la función de Azure.

1. Ejecute la siguiente solicitud en Graph Explorer. Reemplace {Function_Url} por el nombre de host de la aplicación de funciones de Azure. Reemplace {functionApp_IdentifierUri} por el URI de identificador que usó en el paso anterior.

   • Necesita el permiso delegado CustomAuthenticationExtension.ReadWrite.All.

   POST https://graph.microsoft.com/beta/identity/customAuthenticationExtensions
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtension",
       "displayName": "onTokenIssuanceStartCustomExtension",
       "description": "Fetch additional claims from custom user store",
       "endpointConfiguration": {
           "@odata.type": "#microsoft.graph.httpRequestEndpoint",
           "targetUrl": "{Function_Url}"
       },
       "authenticationConfiguration": {
           "@odata.type": "#microsoft.graph.azureAdTokenAuthentication",
           "resourceId": "{functionApp_IdentifierUri}"
       },
       "claimsForTokenConfiguration": [
           {
               "claimIdInApiResponse": "DateOfBirth"
           },
           {
               "claimIdInApiResponse": "CustomRoles"
           }
       ]
   }
   

2. Anote el valor de id del objeto de proveedor de notificaciones personalizado que ha creado. Usará el valor más adelante en este tutorial en lugar de {customExtensionObjectId}.

1.2 Concesión del consentimiento del administrador

Una vez creada la extensión de autenticación personalizada, debe conceder permisos a la API. La extensión de autenticación personalizada usa client_credentials para autenticarse en la aplicación de funciones de Azure mediante el permiso Receive custom authentication extension HTTP requests.

1. Abra la página Información general de la nueva extensión de autenticación personalizada. Tome nota del Identificador de aplicación en Autenticación de API, ya que será necesario al agregar un proveedor de identidades.

2. En Autenticación de API, seleccione Conceder permiso.

3. Se abre una nueva ventana y, una vez iniciada, solicita permisos para recibir solicitudes HTTP de extensión de autenticación personalizadas. Esto permite que la extensión de autenticación personalizada se autentique en la API. Seleccione Aceptar.

   

Paso 2: Configurar una aplicación OpenID Connect para recibir tokens enriquecidos

Para obtener un token y probar la extensión de autenticación personalizada, puede usar la aplicación https://jwt.ms. Es una aplicación web de Microsoft que muestra el contenido descodificado de un token (el contenido del token nunca sale del explorador).

2.1 Registro de una aplicación web de prueba

Siga estos pasos para registrar la aplicación web jwt.ms:

1. En la página principal de Azure Portal, seleccione Microsoft Entra ID.

2. Seleccione Registros de aplicaciones>Nuevo registro.

3. Escriba un Nombre para la aplicación. Por ejemplo, Mi aplicación de prueba.

4. En Tipos de cuenta admitidos, seleccione Solo las cuentas de este directorio organizativo.

5. En la lista desplegable Seleccionar una plataforma, en URI de redirección, seleccione Web y escriba https://jwt.ms en el cuadro de texto Dirección URL.

6. Seleccione Registrar para completar el registro de la aplicación.

   

7. En la página Información general del registro de la aplicación, copie el Identificador de aplicación (cliente). Al id. de la aplicación se hace referencia como {App_to_enrich_ID} en pasos posteriores. En Microsoft Graph, se hace referencia a él mediante la propiedad appId.

   

2.2 Habilitación del flujo implícito

La aplicación de prueba jwt.ms usa el flujo implícito. Habilite el flujo implícito en el registro de Mi aplicación de prueba:

1. En Administrar, seleccione Autenticación.
2. En Flujos de concesión implícita e híbridos, seleccione la casilla de verificación Tokens de id. (usados para flujos híbridos e implícitos).
3. Seleccione Guardar.

2.3 Habilitación de la aplicación para una directiva de asignación de notificaciones

Una directiva de asignación de notificaciones se usa para seleccionar los atributos devueltos de la extensión de autenticación personalizada que se asignan al token. Para permitir que se aumenten los tokens, debe habilitar explícitamente el registro de la aplicación para aceptar notificaciones asignadas:

1. En el registro de Mi aplicación de prueba, en Administrar, seleccione Manifiesto.
2. En el manifiesto, busque el atributo acceptMappedClaims y establezca el valor en true.
3. Establecer accessTokenAcceptedVersion en 2.
4. Seleccione Guardar para guardar los cambios.

El siguiente fragmento de código JSON muestra cómo configurar estas propiedades.

{
	"id": "22222222-0000-0000-0000-000000000000",
	"acceptMappedClaims": true,
	"accessTokenAcceptedVersion": 2,  
    ...
}

Advertencia

No establezca la propiedad acceptMappedClaims en true para las aplicaciones multiinquilino, ya que puede permitir que actores malintencionados creen directivas de asignación de notificaciones para la aplicación. En su lugar, configure una clave de firma personalizada.

Inquilino de personal

Continúe con el paso siguiente, Asignar un proveedor de notificaciones personalizado a la aplicación.

Inquilino externo

3.4 Asociar la aplicación con un flujo de usuario

Para los inquilinos externos, debe asociar la aplicación a un flujo de usuarios. Un flujo de usuario define los métodos de autenticación que un cliente puede usar para iniciar sesión en la aplicación y la información que debe proporcionar durante el registro. Asegúrese de completar los pasos descritos en Agregar una aplicación a un flujo de usuario antes de continuar agregando Mi aplicación de prueba al flujo de usuario.

Paso 3: Asignación de un proveedor de notificaciones personalizado a la aplicación

Para que los tokens se emitan con notificaciones entrantes de la extensión de autenticación personalizada, debe asignar un proveedor de notificaciones personalizado a la aplicación. Esto se basa en la audiencia del token, por lo que el proveedor debe asignarse a la aplicación cliente para recibir reclamaciones en un token de identificación, y a la aplicación de recursos para recibir reclamaciones en un token de acceso. El proveedor de notificaciones personalizado se basa en la extensión de autenticación personalizada configurada con el agente de escucha de eventos de inicio de emisión de tokens. Puede elegir si se asignan al token todas las notificaciones del proveedor de notificaciones personalizados o un subconjunto de ellas.

Nota:

Solo es posible crear 250 asignaciones únicas entre aplicaciones y extensiones personalizadas. Si desea aplicar la misma llamada de extensión personalizada a varias aplicaciones, se recomienda usar la Microsoft Graph API authenticationEventListeners para crear clientes de escucha para varias aplicaciones. Esto no se admite en Azure Portal.

Siga estos pasos para conectar Mi aplicación de prueba con la extensión de autenticación personalizada:

Azure Portal

Para asignar la extensión de autenticación personalizada como origen del proveedor de notificaciones personalizado:

1. En la página principal de Azure Portal, seleccione Microsoft Entra ID.

2. Seleccione Aplicación empresarial y, después, en Administrar seleccione Todas las aplicaciones. Busque y seleccione Mi aplicación de prueba en la lista.

3. En la página Información general de Mi aplicación de prueba, vaya a Administrar y seleccione Inicio de sesión único.

4. En Atributos y reclamaciones, seleccione Editar.

   

5. Expanda el menú Configuración avanzada.

6. Junto a Proveedor de notificaciones personalizado, seleccione Configurar.

7. Expanda el cuadro desplegable Proveedor de notificaciones personalizado y seleccione el Evento de emisión de tokens que creó antes.

8. Seleccione Guardar.

A continuación, asigne los atributos del proveedor de notificaciones personalizado, que deben emitirse en el token como notificaciones:

1. Seleccione Agregar nueva notificación para agregar una nueva notificación. Proporcione un nombre para la notificación que desea emitir; por ejemplo dateOfBirth.

2. En Origen, seleccione Atributo y elija customClaimsProvider.dateOfBirth en el cuadro desplegable Atributo de origen.

   

3. Seleccione Guardar.

4. Repita este proceso para agregar los atributos customClaimsProvider.customRoles, customClaimsProvider.apiVersion y customClaimsProvider.correlationId, y el nombre correspondiente. Es recomendable que el nombre de la notificación coincida con el nombre del atributo.

Microsoft Graph

En primer lugar, cree un agente de escucha de eventos para desencadenar una extensión de autenticación personalizada para Mi aplicación de prueba con el evento de inicio de emisión de tokens.

1. Inicie sesión en el Explorador de Graph con una cuenta cuyo inquilino principal sea el inquilino en el que desea administrar la extensión de autenticación personalizada.

2. Ejecute la siguiente solicitud. Reemplace {App_to_enrich_ID} por el id. de aplicación de Mi aplicación de prueba que anotó antes. Reemplace {customExtensionObjectId} por el id. de la extensión de autenticación personalizada que anotó antes.

   • Necesita el permiso delegado EventListener.ReadWrite.All.

   POST https://graph.microsoft.com/beta/identity/authenticationEventListeners
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartListener",
       "conditions": {
           "applications": {
               "includeAllApplications": false,
               "includeApplications": [
                   {
                       "appId": "{App_to_enrich_ID}"
                   }
               ]
           }
       },
       "priority": 500,
       "handler": {
           "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtensionHandler",
           "customExtension": {
               "id": "{customExtensionObjectId}"
           }
       }
   }
   

A continuación, cree la directiva de asignación de notificaciones, que describe qué notificaciones se pueden emitir a una aplicación desde un proveedor de notificaciones personalizado.

1. Ejecute la siguiente solicitud en Graph Explorer. Necesitará el permiso delegado Policy.ReadWrite.ApplicationConfiguration.

   POST https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies
   Content-type: application/json
   
   {
       "definition": [
           "{\"ClaimsMappingPolicy\":{\"Version\":1,\"IncludeBasicClaimSet\":\"true\",\"ClaimsSchema\":[{\"Source\":\"CustomClaimsProvider\",\"ID\":\"DateOfBirth\",\"JwtClaimType\":\"dob\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CustomRoles\",\"JwtClaimType\":\"my_roles\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CorrelationId\",\"JwtClaimType\":\"correlationId\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"ApiVersion\",\"JwtClaimType\":\"apiVersion \"},{\"Value\":\"tokenaug_V2\",\"JwtClaimType\":\"policy_version\"}]}}"
       ],
       "displayName": "MyClaimsMappingPolicy",
       "isOrganizationDefault": false
   }
   

2. Anote el ID generado en la respuesta. Más adelante se hace referencia a él como {claims_mapping_policy_ID}.

Obtenga el identificador de objeto de la entidad de servicio:

1. Ejecute la siguiente solicitud en Graph Explorer. Reemplace {App_to_enrich_ID} con el appId de Mi aplicación de prueba.

   GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='{App_to_enrich_ID}')
   

Tome nota del valor de id.

Asigne la directiva de asignación de notificaciones al servicio principal de Mi aplicación de prueba.

1. Ejecute la siguiente solicitud en Graph Explorer. Necesitará los permisos delegados Policy.ReadWrite.ApplicationConfiguration y Application.ReadWrite.All.

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{test_App_Service_Principal_ObjectId}/claimsMappingPolicies/$ref
   Content-type: application/json
   
   {
       "@odata.id": "https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies/{claims_mapping_policy_ID}"
   }
   

Paso 4: Protección de la función de Azure

La extensión de autenticación personalizada de Microsoft Entra usa el flujo de servidor a servidor para obtener un token de acceso que se envía en el encabezado HTTP Authorization a la función de Azure. Al publicar la función en Azure, especialmente en un entorno de producción, debe validar el token enviado en el encabezado de autorización.

Para proteger la función de Azure, siga estos pasos con el fin de integrar la autenticación de Microsoft Entra, para validar los tokens entrantes con el registro de aplicación de la API de eventos de autenticación de Azure Functions.registro de aplicaciones. Elija una de las pestañas siguientes en función del tipo de inquilino.

Nota:

Si la aplicación de funciones de Azure se hospeda en un inquilino de Azure diferente del inquilino en el que está registrada la extensión de autenticación personalizada, elija la pestaña Open ID Connect.

4.1 Uso de un proveedor de identidades de Microsoft Entra

Use estos pasos para agregar Microsoft Entra como proveedor de identidades a la aplicación de funciones de Azure.

Inquilino de personal

1. En Azure Portal, busque la aplicación de funciones que publicó antes y selecciónela.

2. En Configuración, seleccione Autenticación.

3. Seleccione Agregar proveedor de identidades.

4. Seleccione Microsoft como proveedor de identidades.

5. Seleccione Personal como tipo de inquilino.

6. En Registro de aplicación, seleccione Seleccionar un registro de aplicación existente en este directorio para el Tipo de registro de la aplicación y seleccione la API de eventos de autenticación de Azure Functions que creó antes al registrar el proveedor de notificaciones personalizado.

7. Escriba la siguiente dirección URL del emisor, https://login.microsoftonline.com/{tenantId}/v2.0, donde {tenantId} es el identificador de inquilino del inquilino del personal.

8. En Solicitudes no autenticadas, seleccione HTTP 401 No autorizado como proveedor de identidades.

9. Anule la selección de la opción Almacén de tokens.

10. Seleccione Agregar para agregar autenticación a la función de Azure.

    

Inquilino externo

1. En Azure Portal, busque la aplicación de funciones que publicó antes y selecciónela.

2. En Configuración, seleccione Autenticación.

3. Seleccione Agregar proveedor de identidades.

4. Seleccione Microsoft como proveedor de identidades.

5. Seleccione Cliente como tipo de inquilino.

6. En Registro de aplicaciones, escriba el client_id del registro de la aplicación de la API de eventos de autenticación de Azure Functions que creó anteriormente al registrar el proveedor de notificaciones personalizado.

7. Para la Dirección URL del emisor, escriba la siguiente dirección URL https://{domainName}.ciamlogin.com/{tenant_id}/v2.0, donde

   • {domainName} es el nombre de dominio del inquilino externo, con el formato {domainName}.contoso.com.
   • {tenantId} es el identificador de inquilino del inquilino externo.

8. En Solicitudes no autenticadas, seleccione HTTP 401 No autorizado como proveedor de identidades.

9. Anule la selección de la opción Almacén de tokens.

10. Seleccione Agregar para agregar autenticación a la función de Azure.

    

4.2 Uso del proveedor de identidades de OpenID Connect

Si ha configurado el proveedor de identidades de Microsoft, omita este paso. De lo contrario, si la función de Azure está hospedada en un inquilino diferente al inquilino en el que está registrada la extensión de autenticación personalizada, siga estos pasos para proteger la función:

Creación de un secreto de cliente

1. En la página Principal de Azure Portal, seleccione Microsoft Entra ID>Registros de aplicaciones.
2. Seleccione el registro de aplicación de la API de eventos de autenticación de Azure Functionsque creó antes.
3. Seleccione Certificates & secrets>Client secrets>New client secret (Certificados y secretos > Secretos de cliente > Nuevo secreto de cliente).
4. Seleccione una expiración para el secreto o especifique una duración personalizada, agregue una descripción y seleccione Agregar.
5. Registre el valor del secreto para usarlo en el código de la aplicación cliente. Este valor secreto no se volverá a mostrar una vez que abandone esta página.

Agregue el proveedor de identidades de OpenID Connect a la aplicación de funciones de Azure.

1. Busque y seleccione la aplicación de funciones que publicó anteriormente.

2. En Configuración, seleccione Autenticación.

3. Seleccione Agregar proveedor de identidades.

4. Seleccione OpenID Connect como proveedor de identidades.

5. Proporcione un nombre, como Contoso Microsoft Entra ID.

6. En Entrada de metadatos, escriba la siguiente URL en el cuadro Dirección URL del documento. Reemplace por el {tenantId} identificador de inquilino de Microsoft Entra.

   https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
   

7. En Registro de aplicación, escriba el id. de la aplicación (id. de cliente) del registro de aplicación de la API de eventos de autenticación de Azure Functionsque creó antes.

8. Vuelva a la función de Azure y, en Registro de aplicación, escriba el Secreto de cliente.

9. Anule la selección de la opción Almacén de tokens.

10. Seleccione Agregar para agregar el proveedor de identidades de OpenID Connect.

Paso 5: Pruebe la aplicación

Para probar el proveedor de notificaciones personalizado, siga estos pasos:

Inquilino de personal

1. Abra un nuevo explorador privado, vaya a la siguiente dirección URL e inicie sesión.

   https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Reemplace {tenantId} por el id. del inquilino, el nombre del inquilino o uno de los nombres de dominio comprobados. Por ejemplo, contoso.onmicrosoft.com.

3. Reemplace {App_to_enrich_ID} por el identificador de cliente de Mi aplicación de prueba.

4. Después de iniciar sesión, se le muestra el token descodificado en https://jwt.ms. Compruebe que aparecen las notificaciones de la función de Azure en el token descodificado; por ejemplo, dateOfBirth.

Inquilino externo

1. Abra un nuevo explorador privado, vaya a la siguiente dirección URL e inicie sesión.

   https://{domainName}.ciamlogin.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Reemplace {domainName} por el nombre de dominio, por ejemplo, contoso.

3. Reemplace {tenantId} por el id. del inquilino, el nombre del inquilino o uno de los nombres de dominio comprobados. Por ejemplo, contoso.onmicrosoft.com.

4. Reemplace {App_to_enrich_ID} por el identificador de cliente de Mi aplicación de prueba.

5. Recorra el flujo de usuario de inicio de sesión que ha configurado y acepte los permisos solicitados.

6. Después de iniciar sesión, se le muestra el token descodificado en https://jwt.ms. Compruebe que aparecen las notificaciones de la función de Azure en el token descodificado; por ejemplo, dateOfBirth.

Consulte también

• Configuración de una aplicación SAML para recibir tokens con notificaciones de un almacén externo
• Referencia del proveedor de notificaciones personalizadas
• Solucionar problemas de la API de extensiones de autenticación personalizadas