Freigeben über


Benutzerdefinierter Anspruchsanbieter

Dieser Artikel bietet eine Übersicht über den benutzerdefinierten Anspruchsanbieter von Microsoft Entra. Wenn sich ein Benutzer bei einer Anwendung authentifiziert, kann ein benutzerdefinierter Anspruchsanbieter verwendet werden, um dem Token Ansprüche hinzuzufügen. Ein benutzerdefinierter Anspruchsanbieter besteht aus einer benutzerdefinierten Authentifizierungserweiterung, die eine externe REST-API aufruft, um Ansprüche von externen Systemen abzurufen. Ein benutzerdefinierter Anspruchsanbieter kann einer oder mehreren Anwendungen in Ihrem Verzeichnis zugewiesen werden.

Schlüsseldaten zu einem Benutzer oder einer Benutzerin werden häufig in Systemen außerhalb von Microsoft Entra ID gespeichert. Beispiel: sekundäre E-Mail, Abrechnungsebene oder vertrauliche Informationen. Einige Anwendungen verwenden möglicherweise diese Attribute, damit die Anwendung wie vorgesehen funktioniert. Beispielsweise kann die Anwendung den Zugriff auf bestimmte Features basierend auf einem Anspruch im Token blockieren.

Das folgende Video bietet eine hervorragende Übersicht über die benutzerdefinierten Microsoft Entra-Authentifizierungserweiterungen und Anspruchsanbieter:

Verwenden Sie einen benutzerdefinierten Anspruchsanbieter für die folgenden Szenarien:

  • Migration von Legacy-Systemen – Möglicherweise verfügen Sie über Legacy-Identitätssysteme wie Active Directory-Verbunddienste (AD FS) oder Datenspeicher (z. B. LDAP-Verzeichnis), die Benutzerinformationen enthalten. Sie möchten diese Anwendungen migrieren, können die Identitätsdaten jedoch nicht vollständig zu Microsoft Entra ID migrieren. Ihre Apps sind möglicherweise von bestimmten Informationen zum Token abhängig und können nicht umstrukturiert werden.
  • Integration in andere Datenspeicher, die nicht mit dem Verzeichnis synchronisiert werden können – Möglicherweise verfügen Sie über Drittanbietersysteme oder über eigene Systeme, die Benutzerdaten speichern. Im Idealfall könnten diese Informationen entweder durch Synchronisierung oder direkte Migration im Microsoft Entra-Verzeichnis konsolidiert werden. Dies ist jedoch nicht immer möglich. Die Einschränkung kann auf Datenresidenz, Vorschriften oder andere Anforderungen zurückzuführen sein.

Ereignis-Listener für den Start der Token-Ausstellung

Ein Ereignis-Listener ist eine Prozedur, die auf das Auftreten eines Ereignisses wartet. Die benutzerdefinierte Authentifizierungserweiterung verwendet den Ereignis-Listener für den Start der Token-Ausstellung. Das Ereignis wird ausgelöst, wenn ein Token für Ihre Anwendung ausgestellt werden soll. Wenn das Ereignis ausgelöst wird, wird die benutzerdefinierte Authentifizierungserweiterungs-REST-API aufgerufen, um Attribute von externen Systemen abzurufen.

Zum Einrichten eines benutzerdefinierten Anspruchsanbieters müssen Sie eine REST-API mit einem Startereignis für die Tokenausstellung erstellen und dann einen benutzerdefinierten Anspruchsanbieter für ein Tokenausstellungsereignis konfigurieren.

Tipp

Jetzt testen

Um dieses Feature auszuprobieren, wechseln Sie zur Woodgrove Groceries-Demo, und starten Sie den Anwendungsfall „Ansprüche zu Sicherheitstoken aus einer REST-API hinzufügen“.

Trigger für Authentifizierungsereignisse für die Azure Functions-Clientbibliothek für .NET

Mit dem Trigger für Authentifizierungsereignisse für Azure Functions können Sie eine benutzerdefinierte Erweiterung implementieren, um Microsoft Entra ID-Authentifizierungsereignisse zu verarbeiten. Der Trigger für Authentifizierungsereignisse führt die gesamte Verarbeitung am Back-End für eingehende HTTP-Anforderungen für Authentifizierungsereignisse durch.

  • Tokenvalidierung zum Schützen des API-Aufrufs
  • Objektmodell, Eingabe und IntelliSense der IDE
  • Validierung von ein- und ausgehenden API-Anforderungen und Antwortschemas

Weitere Informationen