Provider di attestazioni personalizzato

Questo articolo offre una panoramica del provider di attestazioni personalizzate di Microsoft Entra. Quando un utente esegue l'autenticazione in un'applicazione, è possibile usare un provider di attestazioni personalizzate per aggiungere attestazioni al token. Un provider di attestazioni personalizzato è costituito da un'estensione di autenticazione personalizzata che chiama un'API REST esterna per recuperare le attestazioni da sistemi esterni. Un provider di attestazioni personalizzato può essere assegnato a una o più applicazioni nella directory.

I dati chiave relativi a un utente vengono spesso archiviati in sistemi esterni all'ID Microsoft Entra. Ad esempio, posta elettronica secondaria, livello di fatturazione o informazioni riservate. Alcune applicazioni possono basarsi su questi attributi affinché l'applicazione funzioni come progettato. Ad esempio, l'applicazione può bloccare l'accesso a determinate funzionalità in base a un'attestazione nel token.

Il video seguente offre una panoramica eccellente delle estensioni di autenticazione personalizzate di Microsoft Entra e dei provider di attestazioni personalizzati:

Usare un provider di attestazioni personalizzato per gli scenari seguenti:

  • Migrazione dei sistemi legacy: è possibile che siano presenti sistemi di identità legacy, ad esempio Active Directory Federation Services (AD FS) o archivi dati (ad esempio la directory LDAP) che contengono informazioni sugli utenti. Si vuole eseguire la migrazione di queste applicazioni, ma non è possibile eseguire completamente la migrazione dei dati di identità in Microsoft Entra ID. Le app possono dipendere da determinate informazioni sul token e non possono essere riprogettate.
  • Integrazione con altri archivi dati che non possono essere sincronizzati con la directory : è possibile che siano presenti sistemi di terze parti o sistemi personalizzati che archivino i dati utente. Idealmente queste informazioni possono essere consolidate, tramite la sincronizzazione o la migrazione diretta, nella directory Microsoft Entra. Tuttavia, questo non è sempre fattibile. La restrizione può essere dovuta alla residenza dei dati, alle normative o ad altri requisiti.

Listener dell'evento di avvio del rilascio di token

Un listener di eventi è una routine che attende che si verifichi un evento. L'estensione di autenticazione personalizzata usa il listener dell'evento di avvio del rilascio del token. L'evento viene attivato quando un token sta per essere rilasciato all'applicazione. Quando l'evento viene attivato, viene chiamata l'API REST dell'estensione di autenticazione personalizzata per recuperare gli attributi dai sistemi esterni.

Per configurare un provider di attestazioni personalizzato, è necessario creare un'API REST con un evento di avvio del rilascio di token, quindi configurare un provider di attestazioni personalizzato per un evento di rilascio del token.

Suggerimento

Da provare subito

Per provare questa funzionalità, passare alla demo di Woodgrove Groceries e avviare il caso d'uso "Aggiungi attestazioni ai token di sicurezza da un'API REST".

Trigger degli eventi di autenticazione per Funzioni di Azure libreria client per .NET

Il trigger degli eventi di autenticazione per Funzioni di Azure consente di implementare un'estensione personalizzata per gestire gli eventi di autenticazione di Microsoft Entra ID. Il trigger degli eventi di autenticazione gestisce tutta l'elaborazione back-end per le richieste HTTP in ingresso per gli eventi di autenticazione.

  • Convalida dei token per la protezione della chiamata API
  • Modello a oggetti, digitazione e intellisense dell'IDE
  • Convalida in ingresso e in uscita degli schemi di richiesta e risposta dell'API

Vedi anche