自訂宣告提供者

本文提供 Microsoft Entra 自定義宣告提供者的概觀。當使用者向應用程式進行驗證時，可以使用自定義宣告提供者將宣告新增至令牌。自定義宣告提供者是由呼叫外部 REST API 的自定義驗證延伸模組所組成，以從外部系統擷取宣告。自訂宣告提供者可以指派給目錄中的一或多個應用程式。

關於使用者的重要數據通常會儲存在 Microsoft Entra ID 外部的系統。例如，次要電子郵件、計費層或敏感性資訊。某些應用程式可能會依賴這些屬性，讓應用程式如設計般運作。例如，應用程式可能會根據令牌中的宣告封鎖對特定功能的存取。

下列影片提供 Microsoft Entra 自定義驗證延伸模組和自定義宣告提供者的絕佳概觀：

針對下列案例使用自定義宣告提供者：

移轉舊版系統 - 您可能有舊版身分識別系統，例如 Active Directory 同盟服務（AD FS）或保存使用者相關信息的數據存放區（例如 LDAP 目錄）。您想要移轉這些應用程式，但無法完全將身分識別數據遷移至 Microsoft Entra 識別碼。您的應用程式可能取決於令牌的特定資訊，且無法重新架構。
與其他無法同步至目錄 的數據存放區整合 - 您可能有第三方系統，或您自己的系統儲存用戶數據。在理想情況下，此資訊可以透過同步處理或直接移轉合併到 Microsoft Entra 目錄中。不過，這並不總是可行的。限制可能是因為數據落地、法規或其他需求。

令牌發行啟動事件接聽程式

事件接聽程式是等候事件發生的程式。自訂驗證延伸模組會使用 令牌發行啟動 事件接聽程式。當令牌即將發行至您的應用程式時，就會觸發事件。觸發事件時，會呼叫自定義驗證延伸模組 REST API，以從外部系統擷取屬性。

若要設定自定義宣告提供者，您必須使用令牌發行開始事件建立 REST API，然後設定令牌發行事件的自定義宣告提供者。

提示

若要試用這項功能，請移至 Woodgrove Groceries 示範，然後啟動「從 REST API 將宣告新增至安全性令牌」使用案例。

Azure Functions 的驗證事件觸發程式可讓您實作自定義延伸模組來處理 Microsoft Entra ID 驗證事件。驗證事件觸發程式會處理傳入 HTTP 要求的所有後端處理，以進行驗證事件。