Megosztás a következőn keresztül:

Egyéni hitelesítési bővítmények áttekintése

  • Cikk

Ez a cikk magas szintű, technikai áttekintést nyújt a Microsoft Entra ID egyéni hitelesítési bővítményeiről . Az egyéni hitelesítési bővítmények lehetővé teszik a Microsoft Entra hitelesítési felület testreszabását külső rendszerekkel való integrációval.

Az alábbi ábra az egyéni hitelesítési bővítménybe integrált bejelentkezési folyamatot mutatja be.

Egy külső forrásból származó állításokkal kiegészített tokent ábrázoló diagram.

  1. A felhasználó megpróbál bejelentkezni egy alkalmazásba, és átirányítja a Microsoft Entra bejelentkezési oldalára.
  2. Ha egy felhasználó végrehajt egy bizonyos lépést a hitelesítésben, egy eseményfigyelő aktiválódik.
  3. Az egyéni hitelesítési bővítmény HTTP-kérést küld a REST API-végpontnak. A kérelem információkat tartalmaz az eseményről, a felhasználói profilról, a munkamenet adatairól és egyéb környezeti információkról.
  4. A REST API egyéni munkafolyamatot hajt végre.
  5. A REST API HTTP-választ küld a Microsoft Entra ID-nek.
  6. A Microsoft Entra egyéni hitelesítési bővítmény feldolgozza a választ, és testre szabja a hitelesítést az esemény típusa és a HTTP-válasz hasznos adatai alapján.
  7. A token visszakerül az alkalmazásba.

Egyéni hitelesítési bővítmény REST API-végpontja

Amikor egy esemény aktiválódik, a Microsoft Entra ID meghív egy ÖN tulajdonában lévő REST API-végpontot. A REST API-nak küldött kérés információkat tartalmaz az eseményről, a felhasználói profilról, a hitelesítési kérelem adatairól és egyéb környezeti információkról.

Bármilyen programozási nyelvet, keretrendszert és üzemeltetési környezetet használhat a REST API egyéni hitelesítési bővítményeinek létrehozásához és üzemeltetéséhez. Az első lépésekhez használjon egy C# Azure-függvényt. Az Azure Functions lehetővé teszi, hogy a kódot kiszolgáló nélküli környezetben futtassa anélkül, hogy először létre kellene hoznia egy virtuális gépet vagy közzé kellene tennie egy webalkalmazást.

A REST API-nak a következőket kell kezelnie:

  • Jogkivonat-érvényesítés a REST API-hívások biztonságossá tételéhez.
  • Üzleti logika
  • HTTP-kérés- és válaszsémák bejövő és kimenő ellenőrzése.
  • Auditálás és naplózás.
  • Rendelkezésre állási, teljesítmény- és biztonsági vezérlők.

A REST API-t az Azure Functionsben futtató fejlesztőknek érdemes lehet a Microsoft.Azure.WebJobs.Extensions.AuthenticationEvents NuGet kódtárat használni, amely a Microsoft Azure beépített hitelesítési képességeivel segíti a jogkivonatok érvényesítését. Adatmodellt biztosít a különböző eseménytípusokhoz, kezdeményezi a bejövő és kimenő kérések feldolgozását és a válaszfeldolgozást, így nagyobb hangsúlyt fektethet az üzleti logikára.

A REST API védelme

Az egyéni hitelesítési bővítmény és a REST API közötti kommunikáció megfelelő védelme érdekében több biztonsági vezérlőt kell alkalmazni.

  1. Amikor az egyéni hitelesítési bővítmény meghívja a REST API-t, egy HTTP-fejlécet küld hozzáférési tokennel Authorization, amelyet a Microsoft Entra ID bocsátott ki.
  2. A hozzáférési token egy appid vagy azp jogcímet tartalmaz. Ellenőrizze, hogy a megfelelő jogcím tartalmazza-e az 99045fe1-7639-4a75-9d4a-577b6ca3810f értéket. Ez az érték biztosítja, hogy a REST API-t a Microsoft Entra-azonosító hívja meg.
    1. V1-alkalmazások esetén ellenőrizze a appid jogcímet.
    2. V2-alkalmazások esetén ellenőrizze a jogcímetazp.
  3. A tulajdonosi jogkivonat aud célközönségre vonatkozó jogcíme tartalmazza a társított alkalmazásregisztráció azonosítóját. A REST API-végpontnak ellenőriznie kell, hogy a tulajdonosi jogkivonat ki van-e adva az adott célközönség számára.
  4. A tulajdonosi jogkivonat iss kiállítójának jogcíme tartalmazza a Microsoft Entra-kiállító URL-címét. A bérlő konfigurációjától függően a kiállító URL-címe az alábbiak egyike lesz;
    • Munkaerő: https://login.microsoftonline.com/{tenantId}/v2.0.
    • Ügyfél: https://{domainName}.ciamlogin.com/{tenantId}/v2.0.

Egyéni hitelesítési eseménytípusok

A regisztrációs és bejelentkezési felhasználói folyamaton belül beépített hitelesítési események is vannak. A hitelesítési folyamat adott pontjain egyéni hitelesítési bővítményeket is hozzáadhat. Az egyéni hitelesítési bővítmény lényegében egy eseményfigyelő, amely aktiváláskor HTTP-hívást indít egy REST API-végpontra, ahol munkafolyamat-műveletet határoz meg. Ez a szakasz a Microsoft Entra-azonosítóban elérhető egyéni hitelesítési eseményeket sorolja fel.

Token kibocsátásának kezdete

A jogkivonat kiállításának kezdő eseménye, OnTokenIssuanceStart akkor aktiválódik, amikor egy jogkivonatot ki szeretne adni egy alkalmazásnak. Ez egy egyéni jogcímszolgáltatón belül beállított eseménytípus. Az egyéni jogcímszolgáltató egy egyéni hitelesítési bővítmény, amely rest API-t hív meg a jogcímek külső rendszerekből való lekéréséhez. Egy egyéni igénykezelő szolgáltató a külső rendszerek igényeit jogkivonatokként térképezi fel, és hozzárendelhető a címtárban található egy vagy több alkalmazáshoz.

Részletekért lásd az egyéni jogcímszolgáltató .

Attribútumgyűjtemény indítása

Az attribútumgyűjtemény indítási eseményei egyéni hitelesítési bővítményekkel használhatók a logika hozzáadásához, mielőtt attribútumokat gyűjtenek egy felhasználótól. Az OnAttributeCollectionStart esemény az attribútumgyűjtési lépés elején, az attribútumgyűjtési oldal megjelenítése előtt következik be. Lehetővé teszi olyan műveletek hozzáadását, mint az értékek előzetes kitöltése és a blokkolási hiba megjelenítése.

Feljegyzés

Az attribútum-gyűjtemény indításának eseménye csak a Microsoft Entra Külső ID felhasználói folyamataihoz érhető el külső bérlők esetén. További részletekért lásd : Saját üzleti logika hozzáadása.

Attribútumgyűjtemény elküldése

Az attribútumgyűjtemény küldési eseményei egyéni hitelesítési bővítményekkel használhatók a logika hozzáadásához, miután az attribútumokat a felhasználótól gyűjtötték össze. Az OnAttributeCollectionSubmit esemény eseményindítója azután aktiválódik, hogy a felhasználó beírja és elküldi az attribútumokat, így olyan műveleteket adhat hozzá, mint a bejegyzések ellenőrzése vagy az attribútumok módosítása.

Feljegyzés

Az attribútumgyűjtemény eseménye csak a Microsoft Entra Külső ID-ben lévő felhasználói folyamatokhoz érhető el külső bérlők esetén. További részletekért lásd : Saját üzleti logika hozzáadása.

Egyszeri pin-kódküldési esemény

Az OnOtpSend esemény akkor lép működésbe, ha egy egyszeri jelszót tartalmazó e-mail aktiválódik. Ez lehetővé teszi, hogy meghívjon egy REST API-t, hogy saját e-mail-szolgáltatót használjon. Ez az esemény testre szabott e-mailek küldésére használható azoknak a felhasználóknak, akik regisztrálnak, jelszó visszaállítást végeznek, e-maillel és egyszer használatos jelszóval jelentkeznek be, vagy e-mailes többtényezős hitelesítést (MFA) alkalmaznak.

Az OnOtpSend esemény aktiválása után a Microsoft Entra egy egyszeri jelszót küld a megadott REST API-nak. A REST API ezt követően a választott e-mail-szolgáltatót, például az Azure Communication Service-t vagy a SendGridet használja az egyszeri pin-kód elküldéséhez az egyéni e-mail-sablonnal, a címről és az e-mail tárgyáról, miközben támogatja a honosítást is.

Feljegyzés

Az egyszeri hozzáférési kódküldési esemény jelenleg csak a Microsoft Entra External ID felhasználói folyamataihoz érhető el külső bérlők számára. További részletekért lásd: Egyéni e-mail-szolgáltató konfigurálása egyszeri pin-kódküldési eseményekhez

Kapcsolódó tartalom