Compartilhar via


Provedor de declarações personalizadas

Este artigo fornece uma visão geral do provedor de declarações personalizadas do Microsoft Entra.

Quando um usuário se autentica em um aplicativo, um provedor de declarações personalizado pode ser usado para adicionar declarações ao token. Um provedor de declarações personalizado é composto por uma extensão de autenticação personalizada que chama uma API REST externa para buscar declarações de sistemas externos. Um provedor de declarações personalizado pode ser atribuído a um ou a vários aplicativos no seu diretório.

Os dados importantes referentes a um usuário costumam ser armazenados em sistemas externos à ID do Microsoft Entra. Por exemplo, o email secundário, o nível de cobrança ou informações confidenciais. Alguns aplicativos podem depender desses atributos para que o aplicativo funcione conforme o pretendido. Por exemplo, o aplicativo pode bloquear o acesso a determinados recursos com base em uma declaração no token.

O vídeo a seguir oferece uma excelente visão geral das extensões de autenticação personalizadas e provedores de declarações personalizadas do Microsoft Entra:

Use um provedor de declarações personalizado para os seguintes cenários:

  • Migração de sistemas herdados: você pode ter sistemas de identidade herdados, como os Serviços de Federação do Active Directory (AD FS) ou repositórios de dados (como o diretório LDAP) que contenham informações sobre os usuários. Você deseja migrar esses aplicativos, mas não consegue migrar os dados de identidade para a ID do Microsoft Entra. Seus aplicativos podem depender de determinadas informações sobre o token e não podem ser rearquitetados.
  • Integração com outros repositórios de dados que não podem ser sincronizados com o diretório: você pode ter sistemas de terceiros ou seus próprios sistemas que armazenam dados do usuário. O ideal é que essas informações sejam consolidadas no diretório do Microsoft Entra, seja por meio de sincronização ou por migração direta. No entanto, isso nem sempre é viável. A restrição pode ser devida à residência dos dados, aos regulamentos ou a outros requisitos.

Observação

Um provedor de declarações personalizadas não é a única maneira de adicionar declarações personalizadas a um token. Você também pode personalizar declarações emitidas no JWT (token Web JSON) para aplicativos empresariais.

Ouvinte de eventos de início de emissão de token

Um ouvinte de eventos é um procedimento que aguarda a ocorrência de um evento. A extensão de autenticação personalizada usa o ouvinte do evento de início de emissão de token. O evento é disparado quando um token está prestes a ser emitido para o seu aplicativo. Quando o evento é disparado, a API REST de extensão de autenticação personalizada é chamada para buscar atributos de sistemas externos.

Para configurar um provedor de declarações personalizado, você precisará criar uma API REST com um evento de início de emissão de token e, em seguida, configurar um provedor de declarações personalizado para um evento de emissão de token.

Dica

Teste agora

Para experimentar esse recurso, vá para a demonstração do Woodgrove Groceries e inicie o caso de uso “Adicionar declarações a tokens de segurança a partir de uma API REST”.

Gatilho de eventos de autenticação para a biblioteca cliente do Azure Functions para .NET

O gatilho de eventos de autenticação do Azure Functions permite que você implemente uma extensão personalizada para lidar com os eventos de autenticação do Microsoft Entra ID. O gatilho de eventos de autenticação lida com todo o processamento de back-end para solicitações HTTP de entrada de eventos de autenticação.

  • Validação do token para proteger a chamada à API
  • Modelo de objeto, digitação e intellisense do IDE
  • Validação de entrada e saída dos esquemas de solicitação e resposta da API

Confira também