Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется: 
Внешние клиенты (дополнительные сведения)
Потоки пользователей внешнего удостоверения Microsoft Entra предназначены для гибкости. В потоке регистрации и входа есть встроенные события проверки подлинности. Кроме того, можно добавлять пользовательские расширения проверки подлинности в определенных точках в потоке проверки подлинности. Расширение пользовательской проверки подлинности по сути является прослушивателем событий, который при активации выполняет http-вызов к конечной точке REST API, в которой определяется действие рабочего процесса. Например, можно добавить рабочий процесс сбора атрибутов для проверки атрибутов, вводимых пользователем во время регистрации, или можно использовать настраиваемый поставщик утверждений для добавления внешних пользовательских данных в маркер до выдачи маркера.
Необходимо настроить два компонента: пользовательское расширение проверки подлинности и REST API. Пользовательское расширение проверки подлинности указывает конечную точку REST API, время вызова REST API и учетные данные, необходимые для его вызова. Пользовательские расширения проверки подлинности можно создать в следующих точках потока проверки подлинности:
- Во время регистрации до или после сбора атрибутов:
- Событие OnAttributeCollectionStart происходит в начале шага коллекции атрибутов перед отображением страницы сбора атрибутов.
- Событие OnAttributeCollectionSubmit возникает после ввода и отправки атрибутов пользователем.
- При выдаче токена с использованием события OnTokenIssuanceStart, которое срабатывает непосредственно перед выдачей токена приложению.
Если у вас есть настраиваемое расширение проверки подлинности, настроенное в одной из этих точек, идентификатор Microsoft Entra выполняет вызов к определяемой ВАМИ REST API. Запрос к REST API содержит сведения о событии, профиле пользователя, данных запроса проверки подлинности и других контекстных данных. В свою очередь REST API выполняет действия рабочего процесса.
В этой статье представлен обзор пользовательских расширений проверки подлинности во внешней идентификации Microsoft Entra.
Запуск и отправка событий коллекции атрибутов
Расширения пользовательской проверки подлинности можно использовать для добавления рабочих процессов в коллекцию атрибутов в потоках пользователей самостоятельной регистрации. Например, можно предварительно заполнить поля атрибутов пользовательскими значениями, проверить записи пользователя, изменить атрибуты и отобразить ошибки. Включены два события:
OnAttributeCollectionStart — событие OnAttributeCollectionStart происходит в начале процесса сбора атрибутов перед отображением страницы сбора атрибутов. Это событие можно использовать в сценариях, таких как предотвращение регистрации пользователя по их домену или добавление атрибутов для их последующего сбора. Следующие сценарии можно настроить для события OnAttributeCollectionStart:
- continueWithDefaultBehavior — отображение страницы коллекции атрибутов как обычно.
- setPreFillValues — предварительная установка значений в форме регистрации.
- showBlockPage — отображение сообщения об ошибке и блокировка регистрации пользователя.
OnAttributeCollectionSubmit — событие OnAttributeCollectionSubmit происходит после ввода и отправки атрибутов пользователем. Это событие можно использовать для таких сценариев, как проверка или изменение сведений, предоставленных пользователем. Например, можно проверить код приглашения или номер партнера, изменить формат адреса или вернуть ошибку.
- continueWithDefaultBehavior — продолжить с процессом регистрации.
- modifyAttributeValues — перезапись значений, отправленных пользователем в форме регистрации.
- showValidationError — возвращает ошибку на основе отправленных значений.
- showBlockPage — отображение сообщения об ошибке и блокировка регистрации пользователя.
Чтобы настроить начало и отправку событий сбора атрибутов, создайте пользовательское расширение проверки подлинности REST API. При срабатывании события идентификатор Microsoft Entra отправляет HTTP-запрос в конечную точку REST API. REST API может быть функцией Azure, приложением логики Azure или другой общедоступной конечной точкой API. Конечная точка REST API отвечает за определение выполняемых действий рабочего процесса.
Дополнительные сведения см. в разделе "Добавление настраиваемых расширений коллекции атрибутов" в поток пользователя.
Событие начала эмиссии токена
Событие запуска выдачи токена активируется после того, как пользователь завершит все свои аутентификационные запросы, и токен безопасности должен быть выдан.
Когда пользователи проходят проверку подлинности в приложении с помощью идентификатора Microsoft Entra, маркер безопасности возвращается в приложение. Маркер безопасности содержит утверждения, которые представляют собой инструкции о пользователе, такие как имя, уникальный идентификатор или роли приложения. Помимо набора утверждений по умолчанию, содержащихся в маркере безопасности, можно определить собственные пользовательские утверждения из внешних систем с помощью разрабатываемого REST API.
В некоторых случаях ключевые данные могут храниться в системах, внешних для Microsoft Entra, таких как вторичная электронная почта, уровень выставления счетов или конфиденциальная информация. Часто невозможно, чтобы информация во внешней системе хранилась в каталоге Microsoft Entra. В этих сценариях можно использовать пользовательское расширение проверки подлинности и настраиваемого поставщика утверждений, чтобы добавить эти внешние данные в токены, возвращаемые в ваше приложение.
Расширение события выдачи токена включает следующие компоненты:
Поставщик пользовательских требований. Настраиваемый поставщик утверждений — это тип настраиваемого расширения проверки подлинности, которое извлекает данные из внешних систем. Настраиваемый поставщик утверждений указывает атрибуты, добавляемые в токен безопасности, который возвращается вашему приложению. Несколько поставщиков утверждений могут использовать одно и то же настраиваемое расширение, так что для каждого приложения к токену безопасности можно добавлять различный набор атрибутов.
REST API (конечная точка). При срабатывании события идентификатор Microsoft Entra отправляет HTTP-запрос в конечную точку REST API. REST API может быть функцией Azure, приложением логики Azure или другой общедоступной конечной точкой API. Интерфейсы конечных точек REST API работают с различными хранилищами данных, включая подчиненные базы данных, существующие API, каталоги Протокола легкого доступа к каталогам (LDAP) или другие хранилища, содержащие атрибуты, которые нужно добавить в конфигурацию токена.
REST API возвращает http-ответ или действие обратно в идентификатор Microsoft Entra, содержащий атрибуты. Эти атрибуты не добавляются в токен автоматически. Вместо этого необходимо настроить политику сопоставления утверждений приложения, чтобы какой-либо атрибут был включен в токен.
Подробная информация доступна в следующих статьях:
- Сведения о пользовательских расширениях проверки подлинности.
- Настройте настраиваемый поставщик утверждений для события выдачи маркера с помощью настраиваемого поставщика утверждений.
Связанный контент
Дополнительные сведения о пользовательских расширениях проверки подлинности см. в следующих статьях документации по платформе удостоверений Майкрософт:
- Пользовательские расширения для проверки подлинности.
- Создайте REST API с событием начала выдачи токенов.
- Настройте пользовательского поставщика утверждений для события выдачи маркера.
- Настройте пользовательские расширения проверки подлинности для запуска коллекции атрибутов и отправки событий с помощью примера приложения OpenID Connect.
Посмотрите центр разработчиков Microsoft Entra Внешний ID для получения самой новой информации и ресурсов для разработчиков.