Utöka autentiseringsflöden med din egen affärslogik

Gäller för:Vit cirkel med en grå X-symbol. Personalklientorganisationer Grön cirkel med en vit bockmarkeringssymbol. Externa klienter (läs mer)

Microsoft Entras externa ID-användarflöden är utformade för flexibilitet. I ett användarflöde för registrering och inloggning finns det inbyggda autentiseringshändelser. Du kan också lägga till anpassade autentiseringstillägg på specifika platser i autentiseringsflödet. Ett anpassat autentiseringstillägg är i princip en händelselyssnare som när det aktiveras gör ett HTTP-anrop till en REST API-slutpunkt där du definierar en arbetsflödesåtgärd. Du kan till exempel lägga till ett arbetsflöde för attributsamling för att verifiera de attribut som en användare anger under registreringen, eller så kan du använda en anpassad anspråksprovider för att lägga till externa användardata i token innan token utfärdas.

Det finns två komponenter som du behöver konfigurera: ett anpassat autentiseringstillägg och ett REST-API. Det anpassade autentiseringstillägget anger din REST API-slutpunkt, när REST-API:et ska anropas och autentiseringsuppgifterna för att anropa REST-API:et. Du kan skapa anpassade autentiseringstillägg på följande punkter i autentiseringsflödet:

  • Under registreringen, före eller efter attributsamlingen:
    • Händelsen OnAttributeCollectionStart inträffar i början av attributsamlingssteget innan sidan för attributsamling återges.
    • Händelsen OnAttributeCollectionSubmit inträffar när användaren har angett och skickat attribut.
  • Vid tokenutfärding med hjälp av händelsen OnTokenIssuanceStart , som utlöses precis innan en token utfärdas till programmet.

Diagram som visar utökningspunkter i autentiseringsflödet.

Om du har ett anpassat autentiseringstillägg konfigurerat på någon av dessa punkter anropar Microsoft Entra-ID det REST-API som du definierar. Begäran till REST-API:et innehåller information om händelsen, användarprofilen, autentiseringsbegärandedata och annan kontextinformation. REST-API:et utför i sin tur arbetsflödesåtgärderna.

Den här artikeln innehåller en översikt över anpassade autentiseringstillägg i Microsoft Entra Externt ID.

Starta och skicka händelser för attributsamling

Du kan använda anpassade autentiseringstillägg för att lägga till arbetsflöden till attributsamlingen i användarflödena för självbetjäningsregistrering. Du kan till exempel fylla i attributfält med anpassade värden, verifiera en användares poster och ändra attribut och visa fel. Två händelser är aktiverade:

  • OnAttributeCollectionStart – Händelsen OnAttributeCollectionStart inträffar i början av attributinsamlingsprocessen innan attributsamlingssidan återges. Den här händelsen kan användas för scenarier som att hindra användaren från att registrera sig baserat på deras domän eller lägga till attribut som ska samlas in. Följande scenarier kan konfigureras för händelsen OnAttributeCollectionStart:

    • continueWithDefaultBehavior – Rendera attributsamlingssidan som vanligt.
    • setPreFillValues – Förfyllningsattribut i registreringsformuläret.
    • showBlockPage – Visa ett felmeddelande och blockera användaren från att registrera sig.
  • OnAttributeCollectionSubmit – Händelsen OnAttributeCollectionSubmit inträffar när användaren har angett och skickat attribut. Den här händelsen kan användas för scenarier som att verifiera eller ändra informationen som tillhandahålls av användaren. Du kan till exempel verifiera en inbjudningskod eller ett partnernummer, ändra ett adressformat eller returnera ett fel.

    • continueWithDefaultBehavior – Fortsätt med registreringsflödet.
    • modifyAttributeValues – Skriv över de värden som användaren skickade i registreringsformuläret.
    • showValidationError – Returnera ett fel baserat på de inskickade värdena.
    • showBlockPage – Visa ett felmeddelande och blockera användaren från att registrera sig.

Om du vill konfigurera attributsamlingens start- och sändningshändelser skapar du ett rest-API för anpassat autentiseringstillägg. När en händelse utlöses skickar Microsoft Entra-ID en HTTP-begäran till REST API-slutpunkten. REST-API:et kan vara en Azure-funktion, Azure Logic App eller en annan offentligt tillgänglig API-slutpunkt. Din REST API-slutpunkt ansvarar för att definiera de arbetsflödesåtgärder som ska utföras.

Mer information finns i Lägga till anpassade tillägg för attributsamling till ditt användarflöde.

Starthändelse för tokenutfärding

Starthändelsen för tokenutfärdning utlöses när en användare har slutfört alla sina autentiseringsutmaningar och en säkerhetstoken är på väg att utfärdas.

När användare autentiserar till ditt program med Microsoft Entra-ID returneras en säkerhetstoken till ditt program. Säkerhetstoken innehåller anspråk som är instruktioner om användaren, till exempel namn, unik identifierare eller programroller. Utöver standarduppsättningen med anspråk som finns i säkerhetstoken kan du definiera dina egna anpassade anspråk från externa system med hjälp av ett REST-API som du utvecklar.

I vissa fall kan nyckeldata lagras i system utanför Microsoft Entra, till exempel sekundär e-post, faktureringsnivå eller känslig information. Det är inte alltid möjligt att lagra informationen i det externa systemet i Microsoft Entra-katalogen. I dessa scenarier kan du använda ett anpassat autentiseringstillägg och en anpassad anspråksprovider för att lägga till dessa externa data i token som returneras till ditt program.

Ett händelsetillägg för tokenutfärding omfattar följande komponenter:

  • Anpassad anspråksprovider. En anpassad anspråksprovider är en typ av anpassat autentiseringstillägg som hämtar data från externa system. Providern för anpassade anspråk anger de attribut som ska läggas till i den säkerhetstoken som returneras till ditt program. Flera anspråksproviders kan dela samma anpassade tillägg, så en annan uppsättning attribut kan läggas till i säkerhetstoken för varje program.

  • REST API-slutpunkt. När en händelse utlöses skickar Microsoft Entra-ID en HTTP-begäran till REST API-slutpunkten. REST-API:et kan vara en Azure-funktion, Azure Logic App eller någon annan offentligt tillgänglig API-slutpunkt. Dina REST API-slutpunktsgränssnitt med olika datalager, inklusive underordnade databaser, befintliga API:er, LDAP-kataloger (Lightweight Directory Access Protocol) eller andra butiker som innehåller de attribut som du vill lägga till i tokenkonfigurationen.

    REST-API:et returnerar ett HTTP-svar eller en åtgärd tillbaka till Microsoft Entra-ID som innehåller attributen. Dessa attribut läggs inte automatiskt till i en token. I stället måste ett programs princip för anspråksmappning konfigureras för att alla attribut ska inkluderas i token.

Mer information finns i:

Se även