Memperluas alur autentikasi dengan logika bisnis Anda sendiri

MICROSOFT Entra External ID dirancang untuk fleksibilitas. Selain peristiwa autentikasi bawaan dalam alur pengguna pendaftaran dan masuk, Anda dapat menambahkan ekstensi autentikasi kustom di titik tertentu dalam alur autentikasi. Ekstensi autentikasi kustom pada dasarnya adalah pendengar peristiwa yang, saat diaktifkan, melakukan panggilan HTTP ke titik akhir REST API tempat Anda telah menentukan tindakan alur kerja. Misalnya, Anda dapat menambahkan alur kerja pengumpulan atribut untuk memvalidasi atribut yang dimasukkan pengguna selama pendaftaran, atau Anda dapat menggunakan penyedia klaim kustom untuk menambahkan data pengguna eksternal ke token sebelum dikeluarkan.

Ada dua komponen yang perlu Anda konfigurasi: ekstensi autentikasi kustom dan REST API. Ekstensi autentikasi kustom menentukan titik akhir REST API Anda, kapan REST API harus dipanggil, dan kredensial untuk memanggil REST API. Anda dapat membuat ekstensi autentikasi kustom di titik-titik berikut dalam alur autentikasi:

• Selama pendaftaran, sebelum atau sesudah pengumpulan atribut:
  • Peristiwa OnAttributeCollectionStart terjadi di awal langkah pengumpulan atribut, sebelum halaman pengumpulan atribut dirender.
  • Peristiwa OnAttributeCollectionSubmit terjadi setelah pengguna memasukkan dan mengirimkan atribut.
• Setelah penerbitan token menggunakan peristiwa OnTokenIssuanceStart , yang memicu tepat sebelum token dikeluarkan untuk aplikasi.

Jika Anda memiliki ekstensi autentikasi kustom yang dikonfigurasi di salah satu titik ini, ID Microsoft Entra melakukan panggilan ke REST API yang telah Anda tentukan. Permintaan ke REST API berisi informasi tentang peristiwa, profil pengguna, data permintaan autentikasi, dan informasi konteks lainnya. Pada gilirannya, REST API melakukan tindakan alur kerja.

Artikel ini menyediakan gambaran umum ekstensi autentikasi kustom di MICROSOFT Entra External ID.

Pengumpulan atribut memulai dan mengirimkan peristiwa

Anda dapat menggunakan ekstensi autentikasi kustom untuk menambahkan alur kerja ke pengumpulan atribut dalam alur pengguna pendaftaran layanan mandiri Anda. Misalnya, Anda dapat mengisi bidang atribut dengan nilai kustom, memvalidasi entri pengguna, dan memodifikasi atribut, dan menampilkan kesalahan. Dua peristiwa diaktifkan:

• OnAttributeCollectionStart - Peristiwa OnAttributeCollectionStart terjadi di awal proses pengumpulan atribut sebelum halaman pengumpulan atribut dirender. Kejadian ini dapat digunakan untuk skenario seperti mencegah pengguna mendaftar berdasarkan domain mereka atau menambahkan atribut yang akan dikumpulkan. Skenario berikut dapat dikonfigurasi untuk peristiwa OnAttributeCollectionStart:

  • continueWithDefaultBehavior - Render halaman pengumpulan atribut seperti biasa.
  • setPreFillValues - Atribut awalan dalam formulir pendaftaran.
  • showBlockPage - Tampilkan pesan kesalahan dan blokir pengguna untuk mendaftar.

• OnAttributeCollectionSubmit - Peristiwa OnAttributeCollectionSubmit terjadi setelah pengguna memasukkan dan mengirimkan atribut. Kejadian ini dapat digunakan untuk skenario seperti memvalidasi atau memodifikasi informasi yang disediakan oleh pengguna. Misalnya, Anda dapat memvalidasi kode undangan atau nomor mitra, mengubah format alamat, atau mengembalikan kesalahan.

  • continueWithDefaultBehavior - Lanjutkan dengan alur pendaftaran.
  • modifyAttributeValues - Timpa nilai yang dikirimkan pengguna dalam formulir pendaftaran.
  • showValidationError - Mengembalikan kesalahan berdasarkan nilai yang dikirimkan.
  • showBlockPage - Tampilkan pesan kesalahan dan blokir pengguna untuk mendaftar.

Untuk mengonfigurasi pengumpulan atribut memulai dan mengirimkan peristiwa, Anda membuat REST API ekstensi autentikasi kustom. Saat peristiwa terjadi, ID Microsoft Entra mengirimkan permintaan HTTP ke titik akhir REST API Anda. REST API dapat berupa Azure Function, Azure Logic App, atau titik akhir API lain yang tersedia untuk umum. Titik akhir REST API Anda bertanggung jawab untuk menentukan tindakan alur kerja yang harus diambil.

Untuk detailnya, lihat Menambahkan ekstensi kustom koleksi atribut ke alur pengguna Anda.

Peristiwa mulai penerbitan token

Peristiwa mulai penerbitan token dipicu setelah pengguna menyelesaikan semua tantangan autentikasi mereka dan token keamanan akan dikeluarkan.

Saat pengguna mengautentikasi ke aplikasi Anda dengan ID Microsoft Entra, token keamanan dikembalikan ke aplikasi Anda. Token keamanan berisi klaim yang merupakan pernyataan tentang pengguna, seperti nama, pengidentifikasi unik, atau peran aplikasi. Di luar kumpulan klaim default yang terkandung dalam token keamanan, Anda dapat menentukan klaim kustom Anda sendiri dari sistem eksternal menggunakan REST API yang Anda kembangkan.

Dalam beberapa kasus, data kunci mungkin disimpan dalam sistem di luar Microsoft Entra, seperti email sekunder, tingkat penagihan, atau informasi sensitif. Informasi dalam sistem eksternal tidak selalu layak disimpan di direktori Microsoft Entra. Untuk skenario ini, Anda dapat menggunakan ekstensi autentikasi kustom dan penyedia klaim kustom untuk menambahkan data eksternal ini ke dalam token yang dikembalikan ke aplikasi Anda.

Ekstensi peristiwa penerbitan token melibatkan komponen berikut:

• Penyedia klaim kustom. Penyedia klaim kustom adalah jenis ekstensi autentikasi kustom yang mengambil data dari sistem eksternal. Penyedia klaim kustom menentukan atribut yang akan ditambahkan ke token keamanan yang dikembalikan ke aplikasi Anda. Beberapa penyedia klaim dapat berbagi ekstensi kustom yang sama, sehingga sekumpulan atribut yang berbeda dapat ditambahkan ke token keamanan untuk setiap aplikasi.

• Titik akhir REST API. Saat peristiwa terjadi, ID Microsoft Entra mengirimkan permintaan HTTP ke titik akhir REST API Anda. REST API dapat berupa Azure Function, Azure Logic App, atau beberapa titik akhir API lain yang tersedia untuk umum. Titik akhir REST API Anda bertanggung jawab untuk berinteraksi dengan database hilir, API yang ada, direktori LDAP, atau penyimpanan lain yang berisi atribut yang ingin Anda tambahkan ke konfigurasi token.

  REST API mengembalikan respons HTTP, atau tindakan, kembali ke ID Microsoft Entra yang berisi atribut . Atribut yang dikembalikan oleh REST API Anda tidak secara otomatis ditambahkan ke token. Sebagai gantinya, kebijakan pemetaan klaim aplikasi harus dikonfigurasi agar atribut apa pun disertakan dalam token.

Untuk detailnya, lihat:

• Tentang ekstensi autentikasi kustom
• Konfigurasikan penyedia klaim kustomuntuk peristiwa penerbitan token menggunakan penyedia klaim kustom.

Lihat juga

• Untuk mempelajari selengkapnya tentang cara kerja ekstensi kustom, lihat Ekstensi autentikasi kustom.
• Buat REST API dengan peristiwa mulai penerbitan token.
• Mengonfigurasi penyedia klaim kustom untuk peristiwa penerbitan token.
• Konfigurasikan ekstensi autentikasi kustom untuk pengumpulan atribut memulai dan mengirimkan peristiwa dengan sampel aplikasi Koneksi OpenID.
• Lihat Pusat Pengembang ID Eksternal Microsoft Entra untuk konten dan sumber daya pengembang terbaru.