Fournisseur de revendications personnalisé
Cet article fournit une vue d’ensemble du fournisseur de revendications personnalisées Microsoft Entra. Lorsqu’un utilisateur s’authentifie auprès d’une application, un fournisseur de revendications personnalisé peut être utilisé pour ajouter des revendications au jeton. Un fournisseur de revendications personnalisé est constitué d’une extension d’authentification personnalisée qui appelle une API REST externe pour extraire des revendications de systèmes externes. Un fournisseur de revendications personnalisé peut être affecté à une ou plusieurs applications dans votre annuaire.
Les données clés relatives à un utilisateur sont souvent stockées dans des systèmes externes à Microsoft Entra ID. Par exemple, l’e-mail secondaire, le niveau de facturation ou les informations sensibles. Certaines applications peuvent s’appuyer sur ces attributs pour que l’application fonctionne comme prévu. Par exemple, l’application peut bloquer l’accès à certaines fonctionnalités en fonction d’une revendication dans le jeton.
La vidéo suivante fournit une excellente vue d’ensemble des extensions d’authentification personnalisées Microsoft Entra et des fournisseurs de revendications personnalisées :
Utilisez un fournisseur de revendications personnalisé pour les scénarios suivants :
- Migration de systèmes hérités : vous pouvez avoir des systèmes d’identité hérités tels que les services de fédération Active Directory (AD FS) ou des magasins de données (tels que l’annuaire LDAP) qui contiennent des informations sur les utilisateurs. Vous souhaitez migrer ces applications, mais vous ne pouvez pas migrer entièrement les données d’identité dans Microsoft Entra ID. Vos applications peuvent dépendre de certaines informations sur le jeton et ne peuvent pas être réarchitectées.
- Intégration à d’autres magasins de données qui ne peuvent pas être synchronisés avec l’annuaire : vous pouvez avoir des systèmes tiers ou vos propres systèmes qui stockent des données utilisateur. Dans l’idéal, ces informations peuvent être consolidées, par le biais de la synchronisation ou de la migration directe, dans le répertoire Microsoft Entra. Toutefois, cela n’est pas toujours faisable. La restriction peut être due à la résidence des données, à des réglementations ou à d’autres exigences.
Écouteur d’événements de début d’émission de jeton
Un écouteur d’événements est une procédure qui attend qu’un événement se produise. L’extension d’authentification personnalisée utilise l’écouteur d’événement de début d’émission du jeton. L’événement est déclenché lorsqu’un jeton est sur le point d’être émis pour votre application. Lorsque l’événement est déclenché, l’API REST de l’extension d’authentification personnalisée est appelée pour extraire des attributs à partir de systèmes externes.
Pour configurer un fournisseur de revendications personnalisées, vous devez créer une API REST avec un événement de démarrage d’émission de jeton, puis configurer un fournisseur de revendications personnalisées pour un événement d’émission de jeton.
Conseil
Pour essayer cette fonctionnalité, accédez à la version de démonstration Woodgrove Groceries et démarrez le cas d’utilisation « Ajouter des revendications aux jetons de sécurité à partir d’une API REST ».
Déclencheur d’événements d’authentification pour la bibliothèque de client Azure Functions pour .NET
Le déclencheur d’événements d’authentification pour Azure Functions vous permet d’implémenter une extension personnalisée pour gérer les événements d’authentification Microsoft Entra ID. Le déclencheur d’événements d’authentification gère tout le traitement back-end des requêtes HTTP entrantes pour les événements d’authentification.
- Validation de jeton pour la sécurisation de l’appel d’API
- Modèle objet, saisie et IntelliSense sur IDE
- Validation entrante et sortante des schémas de requête et de réponse d’API