Estendere i flussi di autenticazione con la propria logica di business
Si applica a: Tenant della forza lavoro Tenant esterni (altre informazioni)
Microsoft Entra per ID esterno flussi utente sono progettati per la flessibilità. All'interno di un flusso utente di iscrizione e accesso sono disponibili eventi di autenticazione predefiniti. È anche possibile aggiungere estensioni di autenticazione personalizzate in punti specifici all'interno del flusso di autenticazione. Un'estensione di autenticazione personalizzata è essenzialmente un listener di eventi che, quando attivato, effettua una chiamata HTTP a un endpoint DELL'API REST in cui si definisce un'azione del flusso di lavoro. Ad esempio, è possibile aggiungere un flusso di lavoro di raccolta di attributi per convalidare gli attributi immessi da un utente durante l'iscrizione oppure è possibile usare un provider di attestazioni personalizzato per aggiungere dati utente esterni al token prima dell'emissione del token.
Sono necessari due componenti: un'estensione di autenticazione personalizzata e un'API REST. L'estensione di autenticazione personalizzata specifica l'endpoint dell'API REST, quando l'API REST deve essere chiamata e le credenziali per chiamare l'API REST. È possibile creare estensioni di autenticazione personalizzate nei punti seguenti nel flusso di autenticazione:
- Durante l'iscrizione, prima o dopo la raccolta di attributi:
- L’evento OnAttributeCollectionStart si verifica all'inizio del passaggio della raccolta di attributi, prima del rendering della pagina della raccolta di attributi.
- L'evento OnAttributeCollectionSubmit si verifica dopo che l'utente immette e invia gli attributi.
- Al rilascio di token usando l'evento OnTokenIssuanceStart , che si attiva subito prima che venga rilasciato un token all'applicazione.
Se si dispone di un'estensione di autenticazione personalizzata configurata in uno di questi punti, Microsoft Entra ID effettua una chiamata all'API REST definita. La richiesta all'API REST contiene informazioni sull'evento, il profilo utente, i dati della richiesta di autenticazione e altre informazioni di contesto. A sua volta, l'API REST esegue le azioni del flusso di lavoro.
Questo articolo offre una panoramica delle estensioni di autenticazione personalizzate in Microsoft Entra per ID esterno.
Inizio e invio di eventi della raccolta di attributi
È possibile usare estensioni di autenticazione personalizzate per aggiungere flussi di lavoro alla raccolta di attributi nei flussi utente di iscrizione self-service. Ad esempio, è possibile precompilare i campi dell'attributo con valori personalizzati, convalidare le voci di un utente e modificare gli attributi e visualizzare gli errori. Sono abilitati due eventi:
OnAttributeCollectionStart : l'evento OnAttributeCollectionStart si verifica all'inizio del processo di raccolta di attributi prima del rendering della pagina della raccolta di attributi. Questo evento può essere usato per scenari come impedire all'utente di iscriversi in base al dominio o aggiungere attributi da raccogliere. Gli scenari seguenti sono configurabili per l'evento OnAttributeCollectionStart:
- continueWithDefaultBehavior : eseguire il rendering della pagina della raccolta di attributi come di consueto.
- setPreFillValues : precompilare gli attributi nel modulo di iscrizione.
- showBlockPage : mostra un messaggio di errore e impedisce all'utente di iscriversi.
OnAttributeCollectionSubmit : l'evento OnAttributeCollectionSubmit si verifica dopo che l'utente immette e invia gli attributi. Questo evento può essere usato per scenari come la convalida o la modifica delle informazioni fornite dall'utente. Ad esempio, è possibile convalidare un codice di invito o un numero di partner, modificare un formato di indirizzo o restituire un errore.
- continueWithDefaultBehavior : continuare con il flusso di iscrizione.
- modifyAttributeValues : sovrascrivere i valori inviati dall'utente nel modulo di iscrizione.
- showValidationError : restituisce un errore in base ai valori inviati.
- showBlockPage : mostra un messaggio di errore e impedisce all'utente di iscriversi.
Per configurare la raccolta di attributi per avviare e inviare eventi, creare un'API REST dell'estensione di autenticazione personalizzata. Quando viene generato un evento, Microsoft Entra ID invia una richiesta HTTP all'endpoint dell'API REST. L'API REST può essere una funzione di Azure, un'app per la logica di Azure o un altro endpoint API disponibile pubblicamente. L'endpoint dell'API REST è responsabile della definizione delle azioni del flusso di lavoro da eseguire.
Per informazioni dettagliate, vedere Aggiungere estensioni personalizzate della raccolta di attributi al flusso utente.
Evento di avvio del rilascio di token
L'evento di avvio del rilascio del token viene attivato dopo che un utente completa tutte le sfide di autenticazione e un token di sicurezza sta per essere rilasciato.
Quando gli utenti eseguono l'autenticazione all'applicazione con Microsoft Entra ID, viene restituito un token di sicurezza all'applicazione. Il token di sicurezza contiene attestazioni che sono istruzioni sull'utente, ad esempio nome, identificatore univoco o ruoli applicazione. Oltre al set predefinito di attestazioni contenute nel token di sicurezza, è possibile definire attestazioni personalizzate da sistemi esterni usando un'API REST sviluppata.
In alcuni casi, i dati chiave potrebbero essere archiviati in sistemi esterni a Microsoft Entra, ad esempio un messaggio di posta elettronica secondario, un livello di fatturazione o informazioni riservate. Non è sempre possibile archiviare le informazioni nel sistema esterno nella directory Microsoft Entra. Per questi scenari, è possibile usare un'estensione di autenticazione personalizzata e un provider di attestazioni personalizzato per aggiungere questi dati esterni ai token restituiti all'applicazione.
Un'estensione dell'evento di rilascio di token include i componenti seguenti:
Provider di attestazioni personalizzato. Un provider di attestazioni personalizzato è un tipo di estensione di autenticazione personalizzata che recupera i dati dai sistemi esterni. Il provider di attestazioni personalizzate specifica gli attributi da aggiungere al token di sicurezza restituito all'applicazione. Più provider di attestazioni possono condividere la stessa estensione personalizzata, quindi è possibile aggiungere un set diverso di attributi al token di sicurezza per ogni applicazione.
Endpoint DELL'API REST. Quando viene generato un evento, Microsoft Entra ID invia una richiesta HTTP all'endpoint dell'API REST. L'API REST può essere una funzione di Azure, un'app per la logica di Azure o un altro endpoint API disponibile pubblicamente. Le interfacce dell'endpoint DELL'API REST con vari archivi dati, tra cui database downstream, API esistenti, directory LDAP (Lightweight Directory Access Protocol) o altri archivi che contengono gli attributi da aggiungere alla configurazione del token.
L'API REST restituisce una risposta HTTP o un'azione in Microsoft Entra ID contenente gli attributi. Questi attributi non vengono aggiunti automaticamente a un token. Al contrario, i criteri di mapping delle attestazioni di un'applicazione devono essere configurati per includere qualsiasi attributo nel token.
Per informazioni dettagliate, vedere:
- Informazioni sulle estensioni di autenticazione personalizzate.
- Configurare un provider di attestazioni personalizzato per un evento di rilascio di token usando un provider di attestazioni personalizzato.
Vedi anche
- Per altre informazioni sul funzionamento delle estensioni personalizzate, vedere Estensioni di autenticazione personalizzate.
- Creare un'API REST con un evento di avvio del rilascio di token.
- Configurare un provider di attestazioni personalizzato per un evento di rilascio di token.
- Configurare estensioni di autenticazione personalizzate per l'avvio della raccolta di attributi e inviare eventi con un'applicazione OpenID Connect di esempio.
- Per i contenuti e le risorse più recenti per sviluppatori, vedere il Centro per sviluppatori Microsoft Entra per ID esterno.