Megosztás a következőn keresztül:


Egyéni hitelesítési bővítmények áttekintése

Ez a cikk magas szintű, technikai áttekintést nyújt a Microsoft Entra ID egyéni hitelesítési bővítményeiről . Az egyéni hitelesítési bővítmények lehetővé teszik a Microsoft Entra hitelesítési felület testreszabását külső rendszerekkel való integrációval.

Az alábbi ábra az egyéni hitelesítési bővítménybe integrált bejelentkezési folyamatot mutatja be.

Egy külső forrásból származó jogcímekkel kiegészített jogkivonatot ábrázoló ábra.

  1. A felhasználó megpróbál bejelentkezni egy alkalmazásba, és átirányítja a Microsoft Entra bejelentkezési oldalára.
  2. Ha egy felhasználó végrehajt egy bizonyos lépést a hitelesítésben, egy eseményfigyelő aktiválódik.
  3. Az egyéni hitelesítési bővítmény HTTP-kérést küld a REST API-végpontnak. A kérelem információkat tartalmaz az eseményről, a felhasználói profilról, a munkamenet adatairól és egyéb környezeti információkról.
  4. A REST API egyéni munkafolyamatot hajt végre.
  5. A REST API HTTP-választ ad vissza a Microsoft Entra-azonosítóra.
  6. A Microsoft Entra egyéni hitelesítési bővítmény feldolgozza a választ, és testre szabja a hitelesítést az esemény típusa és a HTTP-válasz hasznos adatai alapján.
  7. A jogkivonat visszakerül az alkalmazásba.

Egyéni hitelesítési bővítmény REST API-végpontja

Amikor egy esemény aktiválódik, a Microsoft Entra ID meghív egy ÖN tulajdonában lévő REST API-végpontot. A REST API-nak küldött kérés információkat tartalmaz az eseményről, a felhasználói profilról, a hitelesítési kérelem adatairól és egyéb környezeti információkról.

Bármilyen programozási nyelvet, keretrendszert és üzemeltetési környezetet használhat a REST API egyéni hitelesítési bővítményeinek létrehozásához és üzemeltetéséhez. Az első lépésekhez használjon egy C# Azure-függvényt. Az Azure Functions lehetővé teszi, hogy a kódot kiszolgáló nélküli környezetben futtassa anélkül, hogy először létre kellene hoznia egy virtuális gépet vagy közzé kellene tennie egy webalkalmazást.

A REST API-nak a következőket kell kezelnie:

  • Jogkivonat-érvényesítés a REST API-hívások biztonságossá tételéhez.
  • Üzleti logika
  • HTTP-kérés- és válaszsémák bejövő és kimenő ellenőrzése.
  • Naplózás és naplózás.
  • Rendelkezésre állási, teljesítmény- és biztonsági vezérlők.

A REST API-t az Azure Functionsben futtató fejlesztőknek érdemes lehet a Microsoft.Azure.WebJobs.Extensions.AuthenticationEvents NuGet kódtárat használni, amely a Microsoft Azure beépített hitelesítési képességeivel segíti a jogkivonatok érvényesítését. Adatmodellt biztosít a különböző eseménytípusokhoz, kezdeményezi a bejövő és kimenő kérések feldolgozását és a válaszfeldolgozást, így nagyobb hangsúlyt fektethet az üzleti logikára.

A REST API védelme

Az egyéni hitelesítési bővítmény és a REST API közötti kommunikáció megfelelő védelme érdekében több biztonsági vezérlőt kell alkalmazni.

  1. Amikor az egyéni hitelesítési bővítmény meghívja a REST API-t, egy HTTP-fejlécet Authorization küld a Microsoft Entra ID által kibocsátott tulajdonosi jogkivonattal.
  2. A tulajdonosi jogkivonat egy vagy azp több jogcímet appid tartalmaz. Ellenőrizze, hogy a megfelelő jogcím tartalmazza-e az 99045fe1-7639-4a75-9d4a-577b6ca3810f értéket. Ez az érték biztosítja, hogy a REST API-t a Microsoft Entra-azonosító hívja meg.
    1. V1-alkalmazások esetén ellenőrizze a jogcímetappid.
    2. V2-alkalmazások esetén ellenőrizze a jogcímetazp.
  3. A tulajdonosi jogkivonat aud célközönségre vonatkozó jogcíme tartalmazza a társított alkalmazásregisztráció azonosítóját. A REST API-végpontnak ellenőriznie kell, hogy a tulajdonosi jogkivonat ki van-e adva az adott célközönség számára.
  4. A tulajdonosi jogkivonat iss kiállítójának jogcíme tartalmazza a Microsoft Entra-kiállító URL-címét. A bérlő konfigurációjától függően a kiállító URL-címe az alábbiak egyike lesz;
    • Munkaerő: https://login.microsoftonline.com/{tenantId}/v2.0.
    • Ügyfél: https://{domainName}.ciamlogin.com/{tenantId}/v2.0.

Egyéni jogcímszolgáltató

Az egyéni jogcímszolgáltatók olyan egyéni hitelesítési bővítmények, amelyek REST API-t hívnak meg a jogcímek külső rendszerekből való lekéréséhez. Az egyéni jogcímszolgáltatók jogkivonatokká képezik le a külső rendszerek jogcímeit, és hozzárendelhetők a címtárban lévő egy vagy több alkalmazáshoz.

További információ az egyéni jogcímszolgáltatókról.

Az attribútumgyűjtemény eseményeket indít el és küld el

Az attribútumgyűjtés indítási és küldési eseményei egyéni hitelesítési bővítményekkel használhatók a logika hozzáadásához az attribútumok felhasználótól való begyűjtése előtt és után. Hozzáadhat például egy munkafolyamatot, amely ellenőrzi a felhasználó által a regisztráció során megadott attribútumokat. Az OnAttributeCollectionStart esemény az attribútumgyűjtési lépés elején, az attribútumgyűjtési oldal megjelenítése előtt következik be. Lehetővé teszi olyan műveletek hozzáadását, mint az értékek előzetes kitöltése és a blokkolási hiba megjelenítése. Az OnAttributeCollectionSubmit esemény eseményindítója azután aktiválódik, hogy a felhasználó beírja és elküldi az attribútumokat, így olyan műveleteket adhat hozzá, mint a bejegyzések ellenőrzése vagy az attribútumok módosítása.

Feljegyzés

Az attribútumgyűjtemény indítási és küldési eseményei jelenleg csak a külső bérlők Microsoft Entra Külső ID felhasználói folyamataiban érhetők el. További részletekért lásd : Saját üzleti logika hozzáadása.

Lásd még