Sdílet prostřednictvím


Vlastní zprostředkovatel deklarací identity

Tento článek obsahuje přehled vlastního zprostředkovatele deklarací identity Microsoft Entra.

Když se uživatel ověří v aplikaci, můžete k přidání deklarací identity do tokenu použít vlastního zprostředkovatele deklarací identity. Vlastní zprostředkovatel deklarací identity se skládá z rozšíření vlastního ověřování, které volá externí rozhraní REST API pro načtení deklarací z externích systémů. Vlastního zprostředkovatele deklarací identity je možné přiřadit k jedné nebo mnoha aplikacím ve vašem adresáři.

Klíčová data o uživateli se často ukládají v systémech externích pro Microsoft Entra ID. Například sekundární e-mail, fakturační úroveň nebo citlivé informace. Některé aplikace můžou spoléhat na tyto atributy, aby aplikace fungovala tak, jak je navržena. Aplikace může například blokovat přístup k určitým funkcím na základě deklarace identity v tokenu.

Následující video poskytuje vynikající přehled vlastních rozšíření ověřování Microsoft Entra a vlastních zprostředkovatelů deklarací identity:

Pro následující scénáře použijte vlastního zprostředkovatele deklarací identity:

  • Migrace starších systémů – Můžete mít starší systémy identit, jako jsou Active Directory Federation Services (AD FS) (AD FS) nebo úložiště dat (například adresář LDAP), které obsahují informace o uživatelích. Chcete migrovat tyto aplikace, ale nemůžete plně migrovat data identity do Microsoft Entra ID. Vaše aplikace můžou záviset na určitých informacích o tokenu a nemůžou se měnit.
  • Integrace s jinými úložišti dat, která se nedají synchronizovat s adresářem – Můžete mít systémy třetích stran nebo vlastní systémy, které ukládají uživatelská data. V ideálním případě je možné tyto informace konsolidovat prostřednictvím synchronizace nebo přímé migrace v adresáři Microsoft Entra. To ale není vždy možné. Toto omezení může být způsobeno rezidencí dat, předpisy nebo jinými požadavky.

Poznámka:

Vlastní zprostředkovatel deklarací identity není jediným způsobem, jak k tokenu přidat vlastní deklarace identity. Můžete také přizpůsobit deklarace identity vydané ve webovém tokenu JSON (JWT) pro podnikové aplikace.

Naslouchací proces spuštění události vystavení tokenu

Naslouchací proces události je procedura, která čeká na výskyt události. Rozšíření vlastního ověřování používá naslouchací proces spuštění události vystavení tokenu. Událost se aktivuje, když se pro vaši aplikaci chystá vydat token. Při aktivaci události se volá rozhraní REST API rozšíření vlastního ověřování, které načte atributy z externích systémů.

Pokud chcete nastavit vlastního zprostředkovatele deklarací identity, budete muset vytvořit rozhraní REST API s počáteční událostí vystavení tokenu a pak nakonfigurovat vlastního zprostředkovatele deklarací identity pro událost vystavení tokenu.

Tip

Vyzkoušet

Pokud si chcete tuto funkci vyzkoušet, přejděte do ukázky potravin Woodgrove a spusťte případ použití "Přidání deklarací identity do tokenů zabezpečení z rozhraní REST API".

Trigger událostí ověřování pro klientskou knihovnu Azure Functions pro .NET

Trigger událostí ověřování pro Azure Functions umožňuje implementovat vlastní rozšíření pro zpracování událostí ověřování Microsoft Entra ID. Trigger událostí ověřování zpracovává veškeré zpracování back-endu pro příchozí požadavky HTTP pro události ověřování.

  • Ověření tokenu pro zabezpečení volání rozhraní API
  • Objektový model, psaní a intellisense ide
  • Příchozí a odchozí ověřování schémat požadavků a odpovědí rozhraní API

Viz také