Anpassad anspråksprovider

Den här artikeln innehåller en översikt över microsoft Entra-providern för anpassade anspråk. När en användare autentiserar till ett program kan en anpassad anspråksprovider användas för att lägga till anspråk i token. En anpassad anspråksprovider består av ett anpassat autentiseringstillägg som anropar ett externt REST API för att hämta anspråk från externa system. En anpassad anspråksprovider kan tilldelas till ett eller flera program i din katalog.

Viktiga data om en användare lagras ofta i system utanför Microsoft Entra-ID. Till exempel sekundär e-post, faktureringsnivå eller känslig information. Vissa program kan förlita sig på dessa attribut för att programmet ska fungera som det är utformat. Programmet kan till exempel blockera åtkomst till vissa funktioner baserat på ett anspråk i token.

Följande video ger en utmärkt översikt över microsoft Entra-tillägg för anpassad autentisering och anpassade anspråksproviders:

Använd en anpassad anspråksprovider för följande scenarier:

• Migrering av äldre system – Du kan ha äldre identitetssystem som Active Directory Federation Services (AD FS) (AD FS) eller datalager (till exempel LDAP-katalog) som innehåller information om användare. Du vill migrera dessa program, men kan inte helt migrera identitetsdata till Microsoft Entra-ID. Dina appar kan vara beroende av viss information om token och kan inte återskapas.
• Integrering med andra datalager som inte kan synkroniseras till katalogen – Du kan ha system från tredje part eller egna system som lagrar användardata. Helst skulle den här informationen kunna konsolideras, antingen via synkronisering eller direktmigrering, i Microsoft Entra-katalogen. Det är dock inte alltid möjligt. Begränsningen kan bero på datahemvist, föreskrifter eller andra krav.

Händelselyssnare för tokenutfärding

En händelselyssnare är en procedur som väntar på att en händelse ska inträffa. Det anpassade autentiseringstillägget använder tokenutfärdaren starthändelselyssnare . Händelsen utlöses när en token är på väg att utfärdas till ditt program. När händelsen utlöses anropas rest-API:et för anpassat autentiseringstillägg för att hämta attribut från externa system.

Om du vill konfigurera en anpassad anspråksprovider måste du skapa ett REST API med en starthändelse för tokenutfärdning och sedan konfigurera en anpassad anspråksprovider för en tokenutfärdingshändelse.

Dricks

Om du vill prova den här funktionen går du till Woodgrove Groceries-demonstrationen och startar användningsfallet "Lägg till anspråk till säkerhetstoken från ett REST API".

Utlösare för autentiseringshändelser för Azure Functions-klientbiblioteket för .NET

Med utlösaren för autentiseringshändelser för Azure Functions kan du implementera ett anpassat tillägg för att hantera autentiseringshändelser för Microsoft Entra-ID. Utlösaren för autentiseringshändelser hanterar all serverdelsbearbetning för inkommande HTTP-begäranden för autentiseringshändelser.

• Tokenverifiering för att skydda API-anropet
• Objektmodell, typning och IDE intellisense
• Inkommande och utgående validering av API-begärande- och svarsscheman

Se även

• Skapa ett REST API med en starthändelse för tokenutfärding
• Konfigurera en SAML-app för att ta emot token med anspråk från ett externt arkiv
• Referensartikel för anpassad anspråksprovider.