自訂宣告提供者

本文提供 Microsoft Entra 自訂宣告提供者的概觀。

當使用者向應用程式進行驗證時，可以使用自訂宣告提供者將宣告新增至權杖。 自訂宣告提供者是由自訂驗證擴充功能組成，可呼叫外部 REST API 從外部系統擷取宣告。 自訂宣告提供者可以指派給目錄中的一或多個應用程式。

與使用者有關的重要資料通常會儲存在M icrosoft Entra ID 外部的系統。 例如，次要電子郵件、計費層或敏感性資訊。 某些應用程式可能會依賴這些屬性，讓應用程式依照設計運作。 例如，應用程式可能會根據權杖中的宣告封鎖對特定功能的存取。

下列影片提供 Microsoft Entra 自訂驗證擴充功能和自訂宣告提供者的絕佳概觀：

針對下列案例使用自訂宣告提供者：

• 移轉舊版系統 - 您可能有舊版身分識別系統，例如 Active Directory 同盟服務 (AD FS) 或保存使用者相關資訊的資料存放區 (例如 LDAP 目錄)。 您想要移轉這些應用程式，但無法完全將身分識別資料移轉至 Microsoft Entra ID。 您的應用程式可能取決於權杖的特定資訊，且無法重新架構。
• 與其他無法同步至目錄的資料存放區整合 - 您可能有可儲存使用者資料的第三方系統或自己的系統。 在理想的情況下，這項資訊可透過同步處理或直接移轉，合併到 Microsoft Entra 目錄中。 不過，這不一定可行。 限制的原因可能是資料落地、法規或其他需求。

注意

自訂宣告提供者不是將自定義宣告新增至令牌的唯一方法。 您也可以 針對企業應用程式自定義 JSON Web 令牌 （JWT） 中發出的宣告。

權杖發行開始事件接聽程式

事件接聽程式是等候事件發生的程序。 自訂驗證擴充功能會使用權杖發行開始事件接聽程式。 當權杖即將發行至您的應用程式時，就會觸發事件。 觸發事件時，就會呼叫自訂驗證延伸模組 REST API，以從外部系統擷取屬性。

若要設定自訂宣告提供者，您必須使用權杖發行開始事件建立 REST API，然後設定權杖發行事件的自訂宣告提供者。

提示

若要試用此功能，請移至 Woodgrove Groceries 示範並啟動「從 REST API 新增對安全性權杖的宣告」使用案例。

適用於 .NET 的 Azure Functions 用戶端程式庫的驗證事件觸發程序

Azure Functions 的驗證事件觸發程序可讓您實作自訂擴充功能，以處理 Microsoft Entra ID 驗證事件。 驗證事件觸發程序會針對驗證事件的傳入 HTTP 要求，處理所有的後端處理。

• 用於保護 API 呼叫的權杖驗證
• 物件模型、輸入和 IDE Intellisense
• API 要求和回應結構描述的輸入和輸出驗證

另請參閱

• 建立權杖發行開始事件的 REST API
• 設定 SAML 應用程式以從外部存放區接收含有宣告的權杖
• 自訂宣告提供者參考文章。