Niestandardowy dostawca oświadczeń
Ten artykuł zawiera omówienie niestandardowego dostawcy oświadczeń firmy Microsoft.
Gdy użytkownik uwierzytelnia się w aplikacji, niestandardowy dostawca oświadczeń może służyć do dodawania oświadczeń do tokenu. Niestandardowy dostawca oświadczeń składa się z niestandardowego rozszerzenia uwierzytelniania, które wywołuje zewnętrzny interfejs API REST w celu pobrania oświadczeń z systemów zewnętrznych. Niestandardowy dostawca oświadczeń można przypisać do jednej lub wielu aplikacji w katalogu.
Kluczowe dane dotyczące użytkownika są często przechowywane w systemach zewnętrznych dla identyfikatora Entra firmy Microsoft. Na przykład pomocnicza poczta e-mail, warstwa rozliczeń lub informacje poufne. Niektóre aplikacje mogą polegać na tych atrybutach, aby aplikacja działała zgodnie z projektem. Na przykład aplikacja może zablokować dostęp do niektórych funkcji na podstawie oświadczenia w tokenie.
Poniższy film wideo zawiera doskonałe omówienie niestandardowych rozszerzeń uwierzytelniania firmy Microsoft i niestandardowych dostawców oświadczeń:
W następujących scenariuszach użyj niestandardowego dostawcy oświadczeń:
- Migracja starszych systemów — mogą istnieć starsze systemy tożsamości, takie jak usługi Active Directory Federation Services (AD FS) lub magazyny danych (takie jak katalog LDAP), które zawierają informacje o użytkownikach. Chcesz przeprowadzić migrację tych aplikacji, ale nie możesz w pełni migrować danych tożsamości do identyfikatora Entra firmy Microsoft. Aplikacje mogą zależeć od pewnych informacji na temat tokenu i nie można ich zmienić.
- Integracja z innymi magazynami danych, których nie można zsynchronizować z katalogiem — być może masz systemy innych firm lub własne systemy przechowujące dane użytkownika. W idealnym przypadku te informacje można skonsolidować za pośrednictwem synchronizacji lub migracji bezpośredniej w katalogu Microsoft Entra. Jednak nie zawsze jest to możliwe. Ograniczenie może wynikać z rezydencji danych, przepisów lub innych wymagań.
Uwaga
Niestandardowy dostawca oświadczeń nie jest jedynym sposobem dodawania oświadczeń niestandardowych do tokenu. Możesz również dostosować oświadczenia wystawione w tokenie internetowym JSON (JWT) dla aplikacji dla przedsiębiorstw.
Odbiornik zdarzeń uruchamiania wystawiania tokenu
Odbiornik zdarzeń to procedura, która czeka na wystąpienie zdarzenia. Rozszerzenie niestandardowego uwierzytelniania używa odbiornika zdarzeń uruchamiania wystawiania tokenu. Zdarzenie jest wyzwalane, gdy token ma zostać wystawiony dla aplikacji. Gdy zdarzenie zostanie wyzwolone, interfejs API REST rozszerzenia uwierzytelniania niestandardowego jest wywoływany w celu pobrania atrybutów z systemów zewnętrznych.
Aby skonfigurować niestandardowego dostawcę oświadczeń, należy utworzyć interfejs API REST z zdarzeniem rozpoczęcia wystawiania tokenu, a następnie skonfigurować niestandardowego dostawcę oświadczeń dla zdarzenia wystawiania tokenu.
Napiwek
Aby wypróbować tę funkcję, przejdź do pokazu Woodgrove Groceries i uruchom przypadek użycia "Dodawanie oświadczeń do tokenów zabezpieczających z interfejsu API REST".
Wyzwalacz zdarzeń uwierzytelniania dla biblioteki klienta usługi Azure Functions dla platformy .NET
Wyzwalacz zdarzeń uwierzytelniania dla usługi Azure Functions umożliwia zaimplementowanie niestandardowego rozszerzenia do obsługi zdarzeń uwierzytelniania identyfikatora Entra firmy Microsoft. Wyzwalacz zdarzeń uwierzytelniania obsługuje wszystkie przetwarzanie zaplecza dla przychodzących żądań HTTP dla zdarzeń uwierzytelniania.
- Walidacja tokenu na potrzeby zabezpieczania wywołania interfejsu API
- Model obiektów, wpisywanie i intellisense środowiska IDE
- Weryfikacja przychodzących i wychodzących schematów żądań i odpowiedzi interfejsu API