自訂宣告提供者
本文提供 Microsoft Entra 自定義宣告提供者的概觀。 當使用者向應用程式進行驗證時,可以使用自定義宣告提供者將宣告新增至令牌。 自定義宣告提供者是由呼叫外部 REST API 的自定義驗證延伸模組所組成,以從外部系統擷取宣告。 自訂宣告提供者可以指派給目錄中的一或多個應用程式。
關於使用者的重要數據通常會儲存在 Microsoft Entra ID 外部的系統。 例如,次要電子郵件、計費層或敏感性資訊。 某些應用程式可能會依賴這些屬性,讓應用程式如設計般運作。 例如,應用程式可能會根據令牌中的宣告封鎖對特定功能的存取。
下列影片提供 Microsoft Entra 自定義驗證延伸模組和自定義宣告提供者的絕佳概觀:
針對下列案例使用自定義宣告提供者:
- 移轉舊版系統 - 您可能有舊版身分識別系統,例如 Active Directory 同盟服務 (AD FS) 或保存使用者相關信息的數據存放區(例如 LDAP 目錄)。 您想要移轉這些應用程式,但無法完全將身分識別數據遷移至 Microsoft Entra 識別碼。 您的應用程式可能取決於令牌的特定資訊,且無法重新架構。
- 與其他無法同步至目錄 的數據存放區整合 - 您可能有第三方系統,或您自己的系統儲存用戶數據。 在理想情況下,此資訊可以透過 同步 處理或直接移轉合併到 Microsoft Entra 目錄中。 不過,這並不總是可行的。 限制可能是因為數據落地、法規或其他需求。
令牌發行啟動事件接聽程式
事件接聽程式是等候事件發生的程式。 自訂驗證延伸模組會使用 令牌發行啟動 事件接聽程式。 當令牌即將發行至您的應用程式時,就會觸發事件。 觸發事件時,會呼叫自定義驗證延伸模組 REST API,以從外部系統擷取屬性。
若要設定自定義宣告提供者,您必須 使用令牌發行開始事件建立 REST API,然後 設定令牌發行事件的自定義宣告提供者。
適用於 .NET 的 Azure Functions 用戶端連結庫驗證事件觸發程式
Azure Functions 的驗證事件觸發程式可讓您實作自定義延伸模組來處理 Microsoft Entra ID 驗證事件。 驗證事件觸發程式會處理傳入 HTTP 要求的所有後端處理,以進行驗證事件。
- 保護 API 呼叫的令牌驗證
- 物件模型、輸入和 IDE Intellisense
- API 要求和回應架構的輸入和輸出驗證