Partilhar via


Provedor de declarações personalizado

Este artigo fornece uma visão geral para o provedor de declarações personalizadas do Microsoft Entra.

Quando um usuário se autentica em um aplicativo, um provedor de declarações personalizado pode ser usado para adicionar declarações ao token. Um provedor de declarações personalizado é composto por uma extensão de autenticação personalizada que chama uma API REST externa para buscar declarações de sistemas externos. Um provedor de declarações personalizado pode ser atribuído a um ou vários aplicativos em seu diretório.

Os dados-chave sobre um utilizador são frequentemente armazenados em sistemas externos ao Microsoft Entra ID. Por exemplo, e-mail secundário, nível de faturamento ou informações confidenciais. Alguns aplicativos podem confiar nesses atributos para que o aplicativo funcione conforme projetado. Por exemplo, o aplicativo pode bloquear o acesso a determinados recursos com base em uma declaração no token.

O vídeo a seguir fornece uma excelente visão geral das extensões de autenticação personalizada do Microsoft Entra e dos provedores de declarações personalizadas:

Use um provedor de declarações personalizado para os seguintes cenários:

  • Migração de sistemas herdados - Você pode ter sistemas de identidade herdados, como os Serviços de Federação do Ative Directory (AD FS) ou armazenamentos de dados (como o diretório LDAP) que contêm informações sobre os usuários. Você gostaria de migrar esses aplicativos, mas não pode migrar totalmente os dados de identidade para o Microsoft Entra ID. Seus aplicativos podem depender de determinadas informações no token e não podem ser rearquitetados.
  • Integração com outros armazenamentos de dados que não podem ser sincronizados com o diretório - Você pode ter sistemas de terceiros ou seus próprios sistemas que armazenam dados do usuário. Idealmente, essas informações poderiam ser consolidadas, seja por meio de sincronização ou migração direta, no diretório Microsoft Entra. No entanto, isso nem sempre é viável. A restrição pode ser devido à residência de dados, regulamentos ou outros requisitos.

Nota

Um provedor de declarações personalizado não é a única maneira de adicionar declarações personalizadas a um token. Você também pode personalizar declarações emitidas no token da Web JSON (JWT) para aplicativos corporativos.

Ouvinte de eventos de início de emissão de token

Um ouvinte de eventos é um procedimento que aguarda a ocorrência de um evento. A extensão de autenticação personalizada usa o ouvinte de eventos de início de emissão de token. O evento é acionado quando um token está prestes a ser emitido para seu aplicativo. Quando o evento é acionado, a extensão de autenticação personalizada REST API é chamada para buscar atributos de sistemas externos.

Para configurar um provedor de declarações personalizado, você precisará criar uma API REST com um evento de início de emissão de token e, em seguida , configurar um provedor de declarações personalizado para um evento de emissão de token.

Gorjeta

Experimentar agora

Para experimentar esse recurso, vá para a demonstração do Woodgrove Groceries e inicie o caso de uso "Adicionar declarações a tokens de segurança de uma API REST".

Gatilho de eventos de autenticação para a biblioteca de cliente do Azure Functions para .NET

O gatilho de eventos de autenticação para o Azure Functions permite implementar uma extensão personalizada para manipular eventos de autenticação do Microsoft Entra ID. O gatilho de eventos de autenticação lida com todo o processamento de back-end para solicitações HTTP de entrada para eventos de autenticação.

  • Validação de token para proteger a chamada de API
  • Modelo de objeto, digitação e IDE intellisense
  • Validação de entrada e saída dos esquemas de solicitação e resposta da API

Consulte também