Configurer un fournisseur de revendication personnalisé pour un événement d’émission de jeton

Cet article décrit comment configurer un fournisseur de réclamations personnalisées pour un événement de démarrage d’émission de jeton. À l’aide d’une API REST Azure Functions existante, vous allez inscrire une extension d’authentification personnalisée et ajouter des attributs que vous prévoyez d’analyser à partir de votre API REST. Pour tester l’extension d’authentification personnalisée, vous allez enregistrer un exemple d’application OpenID Connect afin d’obtenir un jeton et d’afficher les réclamations.

Prérequis

• Un abonnement Azure avec la possibilité de créer Azure Functions. Si vous n’avez pas de compte Azure, inscrivez-vous à un essai gratuit ou utilisez les avantages de Visual Studio Subscription quand vous créez un compte.
• Une application de fonction Azure avec une fonction de déclencheur HTTP configurée pour un événement de démarrage d’émission de jeton. Si vous n’en avez pas, suivez les étapes de création d’une fonction de déclencheur HTTP d’événement de démarrage d’émission de jeton.
• Une compréhension de base des concepts abordés dans vue d’ensemble des extensions d’authentification personnalisées.
• Un locataire Microsoft Entra ID. Vous pouvez utiliser un client ou un locataire de main-d’œuvre pour ce guide pratique.
  • Pour les tenants externes, utilisez un flux d’utilisateur d’inscription et de connexion.

Étape 1 : inscrire une extension d’authentification personnalisée

Vous configurez désormais une extension d’authentification personnalisée, qui sera utilisée par Microsoft Entra ID pour appeler votre fonction Azure. L’extension d’authentification personnalisée contient des informations sur votre point de terminaison d’API REST, les revendications qu’elle analyse à partir de votre API REST et la façon de s’authentifier auprès de votre API REST. Suivez ces étapes pour inscrire une extension d’authentification personnalisée dans votre application de fonction Azure.

Remarque

Vous pouvez avoir un maximum de 100 stratégies d’extension personnalisées.

Azure portal

Inscrire une extension d’authentification personnalisée

1. Connectez-vous au Portail Microsoft Azure en tant qu’administrateur(-trice) d’application et administrateur(-trice) d’authentification.
2. Recherchez et sélectionnez Microsoft Entra ID, puis Applications d’entreprise.
3. Sélectionnez Extensions d’authentification personnalisées, puis Créer une extension personnalisée.
4. Dans Informations de base, sélectionnez le type d’événement tokenIssuanceStart, puis sélectionnez Suivant.
5. Dans Configuration du point de terminaison, renseignez les propriétés suivantes :
   • Nom : spécifiez un nom pour votre extension d’authentification personnalisée. Par exemple, Événement d’émission de jeton.
   • URL cible : {Function_Url} de l’URL de votre fonction Azure. Accédez à la page Vue d’ensemble de votre application de fonction Azure, puis sélectionnez la fonction que vous avez créée. Dans la page Vue d’ensemble de la fonction, sélectionnez Obtenir l’URL de la fonction et utilisez l’icône de copie pour copier l’URL.
   • Description : description de vos extensions d’authentification personnalisées.
6. Sélectionnez Suivant.
7. Dans Authentification d’API, sélectionnez l’option Créer une inscription d’application pour créer une inscription d’application qui représente votre application de fonction.
8. Donnez un nom à l’application, par exemple API d’événements d’authentification de fonctions Azure.
9. Sélectionnez Suivant.
10. Dans Revendications, entrez les attributs que vous attendez que votre extension d’authentification personnalisée analyse à partir de votre API REST et qui seront fusionnés dans le jeton. Ajoutez les revendications suivantes :
    • dateOfBirth
    • customRoles
    • apiVersion
    • correlationId
11. Sélectionnez Suivant puis Créer, qui inscrit l’extension d’authentification personnalisée et l’inscription d’application associée.
12. Notez l’ID d’application sous Authentification d’API, qui est nécessaire pour définir des variables d’environnement dans votre application de fonction Azure.

Microsoft Graph

Inscrire une application

1. Connectez-vous à Graph Explorer à l’aide d’un compte dont le locataire de base est celui dans lequel vous souhaitez gérer votre extension d’authentification personnalisée. Ce compte doit disposer des privilèges nécessaires pour créer et gérer une inscription d’application dans le locataire.

2. Exécutez la requête suivante.

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
       "displayName": "authenticationeventsAPI"
   }
   

3. Depuis la réponse, enregistrez les valeurs id et appId de l’inscription d’application nouvellement créée. Ces valeurs sont référencées dans cet article en tant que {authenticationeventsAPI_ObjectId} et {authenticationeventsAPI_AppId}, respectivement.

Créez un principal de service dans le locataire pour l’inscription de l’application authenticationeventsAPI.

Lorsque dans Graph Explorer, exécutez la requête suivante. Remplacez {authenticationeventsAPI_AppId} par la valeur de appId que vous avez enregistrée à l’étape précédente.

POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-type: application/json
    
{
    "appId": "{authenticationeventsAPI_AppId}"
}

Définir l’URI de l’ID d’application, la version du jeton d’accès et l’accès aux ressources requis

Mettez à jour l’application qui vient d’être créée pour définir la valeur de l’URI de l’ID d’application, la version du jeton d’accès et l’accès aux ressources requis.

Dans Graph Explorer, exécutez la requête suivante.

• Définissez la valeur de l’URI d’ID d’application dans la propriété identifierUris. Remplacez {Function_Url_Hostname} par le nom d’hôte de {Function_Url} que vous avez enregistré précédemment.
• Définissez la valeur {authenticationeventsAPI_AppId} avec l’appId que vous avez enregistré précédemment.
• Exemple de valeur : api://authenticationeventsAPI.azurewebsites.net/00001111-aaaa-2222-bbbb-3333cccc4444. Notez cette valeur, car vous l’utiliserez plus loin dans cet article à la place de {functionApp_IdentifierUri}.

POST https://graph.microsoft.com/v1.0/applications/{authenticationeventsAPI_ObjectId}
Content-type: application/json

{
"identifierUris": [
    "api://{Function_Url_Hostname}/{authenticationeventsAPI_AppId}"
],    
"api": {
    "requestedAccessTokenVersion": 2,
    "acceptMappedClaims": null,
    "knownClientApplications": [],
    "oauth2PermissionScopes": [],
    "preAuthorizedApplications": []
},
"requiredResourceAccess": [
    {
        "resourceAppId": "00000003-0000-0000-c000-000000000000",
        "resourceAccess": [
            {
                "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                "type": "Role"
            }
        ]
    }
]
}

Inscrire une extension d’authentification personnalisée

Pour inscrire l’extension d’authentification personnalisée, vous l’associez à l’inscription d’application pour la fonction Azure et à votre point de terminaison de fonction Azure {Function_Url}.

1. Dans Graph Explorer, exécutez la requête suivante. Remplacez {Function_Url} par le nom d'hôte de votre application de fonction Azure. Remplacez {functionApp_IdentifierUri} par l’identifierUri utilisé à l’étape précédente.

   • Vous avez besoin de la permission déléguée CustomAuthenticationExtension.ReadWrite.All.

   POST https://graph.microsoft.com/beta/identity/customAuthenticationExtensions
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtension",
       "displayName": "onTokenIssuanceStartCustomExtension",
       "description": "Fetch additional claims from custom user store",
       "endpointConfiguration": {
           "@odata.type": "#microsoft.graph.httpRequestEndpoint",
           "targetUrl": "{Function_Url}"
       },
       "authenticationConfiguration": {
           "@odata.type": "#microsoft.graph.azureAdTokenAuthentication",
           "resourceId": "{functionApp_IdentifierUri}"
       },
       "claimsForTokenConfiguration": [
           {
               "claimIdInApiResponse": "DateOfBirth"
           },
           {
               "claimIdInApiResponse": "CustomRoles"
           }
       ]
   }
   

2. Enregistrez la valeur id de l’objet fournisseur de revendications personnalisées créé. Vous utiliserez la valeur plus loin dans ce tutoriel à la place de {customExtensionObjectId}.

1.2 Accorder un consentement administrateur

Une fois l’extension d’authentification personnalisée créée, vous devez accorder des autorisations à l’API. L’extension d’authentification personnalisée utilise client_credentials pour s’authentifier auprès de l’application de fonction Azure à l’aide de l’autorisation Receive custom authentication extension HTTP requests.

1. Ouvrez la page vue d’ensemble de vue d’ensemble de votre nouvelle extension d’authentification personnalisée. Notez l’ID d’application sous l’authentification API, car il sera nécessaire lors de l’ajout d’un fournisseur d’identité.

2. Sous Authentification d’API, sélectionnez Accorder l’autorisation.

3. Une nouvelle fenêtre s’ouvre et, une fois la connexion établie, elle demande l’autorisation de recevoir des requêtes HTTP d’extension d’authentification personnalisée. Cela permet à l’extension d’authentification personnalisée de s’authentifier auprès de votre API. Sélectionnez Accepter.

   

Étape 2 : configurer une application OpenID Connect pour recevoir des jetons enrichis

Pour obtenir un jeton et tester l’extension d’authentification personnalisée, vous pouvez utiliser l’application https://jwt.ms. Il s’agit d’une application Web Microsoft qui affiche le contenu décodé d’un jeton (le contenu du jeton ne quitte jamais votre navigateur).

2.1. Inscrire une application web test

Procédez comme suit pour inscrire l’application web jwt.ms :

1. Sur la page Accueil du Portail Azure, sélectionnez Microsoft Entra ID.

2. Sélectionnez Inscription d’applications>Nouvelle inscription.

3. Entrez un Nom pour l’application. Par exemple, Mon application de test.

4. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.

5. Dans la liste déroulante Sélectionner une plateforme dans URI de redirection, sélectionnez Web, puis entrez https://jwt.ms dans la zone de texte URL.

6. Sélectionnez Inscrire pour procéder à l’inscription d’application.

   

7. Dans la page de présentation de l’enregistrement de votre application, copiez l’ID de l’application (client). L’ID d’application est appelé {App_to_enrich_ID} dans les étapes ultérieures. Dans Microsoft Graph, il est référencé par la propriété appId.

   

2.2 Activer le flux implicite

L’application de test jwt.ms utilise le flux implicite. Activez le flux implicite dans votre inscription Mon application de test :

1. Sous Gérer, sélectionnez Authentification.
2. Sous Flux d’octroi implicite et flux hybride, cochez la case Jetons d’ID (utilisés pour les flux implicites et hybrides).
3. Sélectionnez Enregistrer.

2.3 Activer votre application pour une stratégie de mappage des revendications

Une stratégie de mappage des revendications est utilisée pour sélectionner les attributs renvoyés par l’extension d’authentification personnalisée qui sont mappés au jeton. Pour permettre l’augmentation des jetons, vous devez explicitement activer l’inscription de l’application pour accepter les revendications mappées :

1. Dans votre inscription Mon application de test, sous Gérer, sélectionnez Manifeste.
2. Dans le manifeste, recherchez l’attribut acceptMappedClaims et définissez la valeur sur true.
3. Définissez accessTokenAcceptedVersion sur 2.
4. Sélectionnez Enregistrer pour enregistrer les modifications.

L’extrait de code JSON suivant montre comment configurer ces propriétés.

{
	"id": "22222222-0000-0000-0000-000000000000",
	"acceptMappedClaims": true,
	"accessTokenAcceptedVersion": 2,  
    ...
}

Avertissement

Ne définissez pas la propriété acceptMappedClaims sur true pour les applications multi-locataire, ce qui peut permettre à des acteurs malveillants de créer des stratégies de mappage des revendications pour votre application. À la place, configurer une clé de signature personnalisée.

Locataire de main-d’œuvre

Passez à l’étape suivante, Attribuer un fournisseur de revendications personnalisé à votre application.

Tenant externe

3.4 Associer votre application à un flux utilisateur

Pour les tenants externes, vous devez associer votre application à un flux d’utilisateurs. Un flux utilisateur définit les méthodes d’authentification qu’un client peut utiliser pour se connecter à votre application et les informations qu’il doit fournir lors de l’inscription. Veillez à effectuer les étapes décrites dans Ajouter une application à un flux utilisateur avant de continuer à ajouter mon application de test au flux utilisateur.

Étape 3 : attribuer un fournisseur de revendications personnalisées à votre application

Pour que les jetons soient émis avec des revendications entrantes à partir de l’extension d’authentification personnalisée, vous devez attribuer un fournisseur de revendications personnalisées à votre application. En fonction de l’audience du jeton, le fournisseur doit donc être affecté à l’application cliente pour recevoir des revendications dans un jeton d’ID et à l’application de ressource pour recevoir des revendications dans un jeton d’accès. Le fournisseur de revendications personnalisées s’appuie sur l’extension d’authentification personnalisée configurée avec l’écouteur d’événement de début d’émission de jeton. Vous pouvez choisir si l’ensemble ou un sous-ensemble de revendications du fournisseur de revendications personnalisées sont mappés au jeton.

Remarque

Vous pouvez créer seulement 250 affectations uniques entre des applications et des extensions personnalisées. Si vous souhaitez appliquer le même appel d’extension personnalisée à plusieurs applications, nous vous recommandons d’utiliser l’API Microsoft Graph authenticationEventListeners afin de créer des écouteurs pour plusieurs applications. Ceci n’est pas pris en charge dans le portail Azure.

Procédez comme suit pour connecter Mon application test à votre extension d’authentification personnalisée :

Azure portal

Pour attribuer d’abord l’extension d’authentification personnalisée en tant que source de fournisseur de revendications personnalisées;

1. Sur la page Accueil du Portail Azure, sélectionnez Microsoft Entra ID.

2. SélectionnezApplications d’entreprise, puis, sous Gérer, sélectionnez Toutes les applications. Recherchez et sélectionnez Mon application de test dans la liste.

3. Dans la page Vue d’ensemble de Mon application Test, accédez à Gérer, puis sélectionnez d’authentification unique.

4. Sous Attributs et revendications, sélectionnez Modifier.

   

5. Développez le menu Paramètres avancés.

6. À côté de Personnaliser le fournisseur de revendications, sélectionnez Configurer.

7. Développez la zone de liste déroulante Fournisseur de revendications personnalisées, puis sélectionnezÉvénement d’émission de jeton que vous avez créé précédemment.

8. Sélectionnez Enregistrer.

Ensuite, affectez les attributs du fournisseur de revendications personnalisées, qui doivent être émis dans le jeton en tant que revendications :

1. Sélectionnez Ajouter une nouvelle revendication pour ajouter une nouvelle revendication. Indiquez un nom pour la revendication à émettre, par exemple dateOfBirth.

2. Sous Source, sélectionnez Attribut, puis choisissez customClaimsProvider.dateOfBirth dans la zone de liste déroulante Attribut de source.

   

3. Sélectionnez Enregistrer.

4. Répétez ce processus pour ajouter les customClaimsProvider.customRoles, customClaimsProvider.apiVersion et customClaimsProvider.correlationId attributs et le nom correspondant. Il est judicieux de faire correspondre le nom de la revendication au nom de l’attribut.

Microsoft Graph

Commencez par créer un écouteur d’événements pour déclencher une extension d’authentification personnalisée pour Mon application de test à l’aide de l’évènement de début d’émission de jeton.

1. Connectez-vous à Graph Explorer à l’aide d’un compte dont le locataire de base est le locataire dans lequel vous souhaitez gérer votre extension d’authentification personnalisée.

2. Exécutez la requête suivante. Remplacez {App_to_enrich_ID} par l’ID de Mon application de test enregistré précédemment. Remplacez {customExtensionObjectId} par l’ID d’extension d’authentification personnalisée enregistré précédemment.

   • Vous avez besoin de la permission déléguée EventListener.ReadWrite.All.

   POST https://graph.microsoft.com/beta/identity/authenticationEventListeners
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartListener",
       "conditions": {
           "applications": {
               "includeAllApplications": false,
               "includeApplications": [
                   {
                       "appId": "{App_to_enrich_ID}"
                   }
               ]
           }
       },
       "priority": 500,
       "handler": {
           "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtensionHandler",
           "customExtension": {
               "id": "{customExtensionObjectId}"
           }
       }
   }
   

Ensuite, créez la stratégie de mappage de revendications, qui décrit les revendications qui peuvent être émises à une application à partir d’un fournisseur de revendications personnalisé.

1. Toujours dans Graph Explorer, exécutez la requête suivante. Vous aurez besoin de l’autorisation déléguée Policy.ReadWrite.ApplicationConfiguration.

   POST https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies
   Content-type: application/json
   
   {
       "definition": [
           "{\"ClaimsMappingPolicy\":{\"Version\":1,\"IncludeBasicClaimSet\":\"true\",\"ClaimsSchema\":[{\"Source\":\"CustomClaimsProvider\",\"ID\":\"DateOfBirth\",\"JwtClaimType\":\"dob\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CustomRoles\",\"JwtClaimType\":\"my_roles\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CorrelationId\",\"JwtClaimType\":\"correlationId\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"ApiVersion\",\"JwtClaimType\":\"apiVersion \"},{\"Value\":\"tokenaug_V2\",\"JwtClaimType\":\"policy_version\"}]}}"
       ],
       "displayName": "MyClaimsMappingPolicy",
       "isOrganizationDefault": false
   }
   

2. Enregistrez le ID généré dans la réponse ; ceci est appelé {claims_mapping_policy_ID} ultérieurement.

Obtenir l’ID d’objet du principal de service :

1. Exécutez la requête suivante dans Graph Explorer. Remplacez {App_to_enrich_ID} par l’appId de Mon application de test.

   GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='{App_to_enrich_ID}')
   

Enregistrez la valeur de id.

Affecter la stratégie de mappage de revendications au principal du service de Mon application de test.

1. Exécuter la requête suivante dans Graph Explorer. Vous aurez besoin des autorisations déléguées Policy.ReadWrite.ApplicationConfiguration et Application.ReadWrite.All.

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{test_App_Service_Principal_ObjectId}/claimsMappingPolicies/$ref
   Content-type: application/json
   
   {
       "@odata.id": "https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies/{claims_mapping_policy_ID}"
   }
   

Étape 4 : protéger votre fonction Azure

L’extension d’authentification personnalisée Microsoft Entra utilise le flux de serveur à serveur pour obtenir un jeton d’accès envoyé dans l’en-tête HTTP Authorization à votre fonction Azure. Lorsque vous publiez votre fonction sur Azure, en particulier dans un environnement de production, vous devez valider le jeton envoyé dans l’en-tête d’autorisation.

Pour protéger votre fonction Azure, suivez ces étapes pour intégrer l’authentification Microsoft Entra, afin de valider les jetons entrants avec votre inscription d’application API d’événements d’authentification Azure Functions. Choisissez l’un des onglets suivants en fonction de votre type de locataire.

Remarque

Si l’application de fonction Azure est hébergée dans un autre locataire Azure que celui dans lequel votre extension d’authentification personnalisée est enregistrée, cliquez sur l’onglet Open ID Connect.

4.1 Utilisation du fournisseur d’identité Microsoft Entra

Suivez les étapes suivantes pour ajouter Microsoft Entra en tant que fournisseur d’identité à votre application de fonction Azure.

Locataire de main-d’œuvre

1. Dans le Portail Azure, recherchez et sélectionnez l’application de fonction que vous avez publiée précédemment.

2. Sous Paramètres, sélectionnez Authentication.

3. Sélectionnez Ajouter un fournisseur d'identité.

4. Sélectionnez Microsoft en tant que fournisseur d'identité.

5. Sélectionnez Workforce comme type de locataire.

6. Sous Inscription d’application, sélectionnez Choisir une inscription d’application existante dans ce répertoire, pour le type d’inscription d’application API, puis choisissez l’inscription d’application API des événements d’authentification Azure Functionsque vous avez créée précédemment lors de l’inscription du fournisseur de revendications personnalisées.

7. Entrez l’URL de l’émetteur suivante, https://login.microsoftonline.com/{tenantId}/v2.0, où {tenantId} est l’ID de locataire de votre locataire de personnel.

8. Sous Requêtes non authentifiées, sélectionnez HTTP 401 Non autorisé comme fournisseur d’identité.

9. Désélectionnez l’option Magasin de jetons.

10. Sélectionnez Ajouter pour ajouter l’authentification à votre fonction Azure.

    

Tenant externe

1. Dans le Portail Azure, recherchez et sélectionnez l’application de fonction que vous avez publiée précédemment.

2. Sous Paramètres, sélectionnez Authentication.

3. Sélectionnez Ajouter un fournisseur d'identité.

4. Sélectionnez Microsoft en tant que fournisseur d'identité.

5. Sélectionnez Client comme type de locataire.

6. Sous Inscription d’applications, entrez le client_id de l’inscription d’applications API des événements d’authentification Azure Functions que vous avez créée précédemment.

7. Pour l’URL de l’émetteur, entrez l’URL suivante, https://{domainName}.ciamlogin.com/{tenant_id}/v2.0, où

   • {domainName} est le nom de domaine de votre tenant externe, dans le formulaire {domainName}.contoso.com.
   • {tenantId} est l’ID de tenant de votre tenant externe.

8. Sous Requêtes non authentifiées, sélectionnez HTTP 401 Non autorisé comme fournisseur d’identité.

9. Désélectionnez l’option Magasin de jetons.

10. Sélectionnez Ajouter pour ajouter l’authentification à votre fonction Azure.

    

4.2 Utilisation du fournisseur d’identité OpenID Connect

Si vous avez configuré le fournisseur d’identité Microsoft, ignorez cette étape. Sinon, si la fonction Azure est hébergée sous un locataire différent du locataire dans lequel votre extension d’authentification personnalisée est inscrite, procédez comme suit pour protéger votre fonction :

Créer une clé secrète client

1. Sur la page Accueil du Portail Azure, sélectionnez Microsoft Entra ID>Inscriptions d'applications.
2. Sélectionnez l’inscription d’applicationAPI des événements d’authentification Azure Functions que vous avez créée précédemment.
3. Sélectionnez Certificats et secrets>Clés secrètes client>Nouvelle clé secrète client.
4. Sélectionnez une date d’expiration pour le secret ou spécifiez une durée de vie personnalisée, ajoutez une description et sélectionnez Ajouter.
5. Enregistrez la valeur du secret en prévision d’une utilisation dans le code de votre application cliente. Cette valeur secrète ne sera plus jamais affichée lorsque vous aurez quitté cette page.

Ajoutez le fournisseur d’identité OpenID Connect à votre application de fonction Azure.

1. Recherchez et sélectionnez l’application de fonction que vous avez publiée précédemment.

2. Sous Paramètres, sélectionnez Authentication.

3. Sélectionnez Ajouter un fournisseur d'identité.

4. Sélectionnez OpenID Connect en tant que fournisseur d'identité.

5. Fournissez un nom, tel que Contoso Microsoft Entra ID.

6. Sous l’entrée Métadonnées, entrez l’URL suivante pour l’URL du document. Remplacez {tenantId} par votre ID de locataire Microsoft Entra.

   https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
   

7. Sous Inscription de l’application, entrez l’ID d’application (ID client) de l’inscription de l’application API des événements d’authentificationd’Azure Functions que vous avez créée précédemment.

8. Retourner à la fonction Azure, sous l’inscription de l’application, entrez le secret du client.

9. Désélectionnez l’option Magasin de jetons.

10. Sélectionnez Ajouter pour ajouter le fournisseur d’identité OpenID Connect.

Étape 5 : test de l’application

Pour tester votre fournisseur de revendications personnalisées, procédez comme suit :

Locataire de main-d’œuvre

1. Ouvrez un nouveau navigateur privé et naviguez et connectez-vous à l’URL suivante.

   https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Remplacez {tenantId} votre ID de locataire, votre nom de locataire ou l’un de vos noms de domaine vérifiés. Par exemple : contoso.onmicrosoft.com.

3. Remplacer {App_to_enrich_ID} par l’ID du client de l’application My Test.

4. Une fois connecté, votre jeton décodé vous sera présenté à https://jwt.ms. Validez le fait que les revendications de la fonction Azure sont présentées dans le jeton décodé, par exemple, dateOfBirth.

Tenant externe

1. Ouvrez un nouveau navigateur privé et naviguez et connectez-vous à l’URL suivante.

   https://{domainName}.ciamlogin.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Remplacez {domainName} par votre nom de domaine, par exemple, contoso.

3. Remplacez {tenantId} votre ID de locataire, votre nom de locataire ou l’un de vos noms de domaine vérifiés. Par exemple : contoso.onmicrosoft.com.

4. Remplacer {App_to_enrich_ID} par l’ID du client de l’application My Test.

5. Passez par le flux d’utilisateurs que vous avez configuré et acceptez les autorisations demandées.

6. Une fois connecté, votre jeton décodé vous sera présenté à https://jwt.ms. Validez le fait que les revendications de la fonction Azure sont présentées dans le jeton décodé, par exemple, dateOfBirth.

Voir aussi

• Configurer une application SAML pour recevoir des jetons avec des revendications d’un magasin externe
• Informations de référence sur les fournisseurs de revendications personnalisées
• Résoudre les problèmes de votre API d’extensions d’authentification personnalisées