Создание настраиваемого расширения проверки подлинности для запуска и отправки событий коллекции атрибутов

Применяется: зеленый круг с символом белой галочки, указывающим, что следующее содержимое применяется к внешним клиентам. Внешние клиенты (дополнительные сведения)

В этой статье описывается расширение возможностей регистрации пользователей в Microsoft Entra External ID для клиентов. В пользовательских потоках регистрации клиентов прослушиватели событий можно использовать для расширения процесса сбора атрибутов на этапе их сбора и во время отправки.

Событие OnAttributeCollectionStart происходит в начале шага коллекции атрибутов перед отображением страницы сбора атрибутов. Можно добавить такие действия, как предварительное заполнение значений и отображение ошибки блокировки.
Событие OnAttributeCollectionSubmit возникает после ввода и отправки атрибутов пользователем. Можно добавить такие действия, как проверка или изменение записей пользователя.

Помимо создания настраиваемого расширения проверки подлинности для запуска и отправки событий коллекции атрибутов, необходимо создать REST API, определяющий действия рабочего процесса для каждого события. Вы можете использовать любой язык программирования, платформу и среду размещения для создания и размещения REST API. В этой статье показано краткое руководство по началу работы с функцией Azure C#. При использовании Azure Functions вы запускаете код в бессерверной среде, не создавая виртуальную машину или публикуя веб-приложение.

Предварительные условия

Чтобы использовать службы Azure, включая Azure Functions, требуется подписка Azure. Если у вас нет существующей учетной записи Azure, вы можете зарегистрироваться на бесплатную пробную версию или использовать параметры подписки Visual Studio при создании учетной записи.
Поток регистрации и входа.

Шаг 1. Создание настраиваемых расширений для проверки подлинности REST API (функция Azure)

На этом шаге вы создадите API функции триггера HTTP с помощью Azure Functions. API-интерфейс функции — это источник бизнес-логики для потоков пользователей. После создания функции триггера ее можно настроить для любого из следующих событий:

ПриНачалеСбораАтрибутов
OnAttributeCollectionSubmit (При отправке коллекции атрибутов)

Войдите на портал Azure с учетной записью администратора.
В меню портала Azure или на странице Home выберите Создать ресурс.
Найдите и выберите приложение-функцию и нажмите кнопку "Создать".

На странице "Основы" используйте параметры приложения-функции, как указано в следующей таблице:

Настройка	Предлагаемое значение	Описание
Подписка	Ваша подписка	Подписка, в которой будет создано новое функциональное приложение.
Группа ресурсов	Группа компаний myResourceGroup	Выберите и существующую группу ресурсов или имя новой, в которой вы создадите приложение-функцию.
Имя приложения-функции	Глобально уникальное имя	Имя, определяющее новое приложение-функцию. Допустимые символы: `a-z` (без учета регистра), `0-9` и `-`.
Издавать	Код	Параметр для публикации файлов кода или контейнера Docker. В этом руководстве выберите Код.
Стек среды выполнения	.NET	Предпочитаемый язык программирования. В этом руководстве выберите .NET.
Версия	6 (LTS) изолировано (вне процесса)	Версия среды выполнения .NET. Изолированная (внепроцессная) означает, что можно создавать и запускать функции с помощью поддерживаемой модели размещения.
Область	Предпочтительный регион	Выберите регион , расположенный рядом с вами или рядом с другими службами, к которым могут обращаться ваши функции.
Операционная система	Windows	Операционная система для вас выбирается заранее на основе выбранного стека среды выполнения.
Тип плана	Потребление (бессерверное)	План размещения, который определяет распределение ресурсов для вашего функционального приложения.

Выберите "Проверка и создание ", чтобы просмотреть выбранные параметры конфигурации приложения, а затем нажмите кнопку "Создать". Развертывание займет несколько минут.
После развертывания выберите "Перейти к ресурсу" , чтобы просмотреть новое приложение-функцию.

1.1 Создание функций триггера HTTP

Теперь, когда вы создали приложение-функцию Azure, вы создадите функции триггера HTTP для действий, которые необходимо вызвать с помощью HTTP-запроса. Триггеры HTTP используются и вызываются пользовательским расширением проверки подлинности Microsoft Entra.

На странице Overview функции приложения выберите панель Functions и выберите Создать функцию в разделе Создать на портале Azure.
В окне "Создание функции " оставьте свойство среды разработки как "Разработка" на портале. В разделе "Шаблон" выберите триггер HTTP.
В разделе "Сведения о шаблоне" введите CustomAuthenticationExtensionsAPI для свойства New Function .
Для уровня авторизации выберите "Функция".
Нажмите кнопку "Создать".

1.2. Настройка триггера HTTP для OnAttributeCollectionStart

В меню выберите "Код и тест".
Выберите вкладку ниже для сценария, который вы хотите реализовать: Продолжить, Блокировать или Установить значения по умолчанию. Замените код указанным фрагментом кода.
После замены кода в верхнем меню выберите "Получить URL-адрес функции" и скопируйте URL-адрес. Этот URL-адрес используется в шаге 2: создайте и зарегистрируйте настраиваемое расширение проверки подлинности для целевого URL-адреса.

Используйте этот триггер HTTP, чтобы разрешить пользователю продолжать работу с потоком регистрации, если дальнейшие действия не требуются.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);


    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionStart.continueWithDefaultBehavior"}
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
}

Используйте этот триггер HTTP, чтобы запретить пользователю продолжить процесс регистрации. Например, можно использовать службу проверки подлинности или внешний источник идентификации для проверки адреса электронной почты пользователя.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    
    dynamic request = JsonConvert.DeserializeObject(requestBody);       

    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionStart.showBlockPage", 
            message = "AttributeCollectionStart Custom Extension message: Sorry, your access request has been blocked. Try reaching an admin at admin@contoso.com."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Используйте этот триггер HTTP для предварительного заполнения значений, связанных с потоком пользователя, например из внешней системы управления персоналом или другого источника данных. Можно предварительно заполнить значения для встроенных атрибутов (например, адрес), пользовательские атрибуты пользователя (например, номер лояльности).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // The form fields will load with these default values
    var inputs = new Dictionary<string, object>()
    {
        { "postalCode", "<your-prefill-value>" },
        { "streetAddress", "<your-prefill-value>" },
        { "city", "<your-prefill-value>" },
        { "extension_appId_mailingList", false },
        { "extension_appId_memberSince", 2023 }      
    };

    var actions = new List<SetPrefillValuesAction>{
        new SetPrefillValuesAction { 
            type = "microsoft.graph.attributeCollectionStart.setPrefillValues", 
            inputs = inputs }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionStartResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<SetPrefillValuesAction> actions { get; set; }
}

[JsonObject]
public class SetPrefillValuesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> inputs { get; set; }
}

1.3. Настройка триггера HTTP для OnAttributeCollectionSubmit

В меню выберите "Код и тест".
Перейдите на вкладку ниже для сценария, который вы хотите реализовать: "Продолжить", " Блокировать", "Изменить значения" или "Ошибка проверки". Замените код указанным фрагментом кода.
После замены кода в верхнем меню выберите "Получить URL-адрес функции" и скопируйте URL-адрес. Этот URL-адрес используется в шаге 2: создайте и зарегистрируйте настраиваемое расширение проверки подлинности для целевого URL-адреса.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<ContinueWithDefaultBehavior>{
        new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.continueWithDefaultBehavior"}
    };
						
    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };
	    
	dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Используйте этот триггер HTTP, чтобы запретить пользователю продолжить процесс регистрации на основе введенных значений атрибутов. Например, вы можете заблокировать регистрацию на основе опасного номера телефона. Вы также можете завершить процесс регистрации и отправить пользователя в пользовательскую систему утверждения для создания учетной записи.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);
    
    var actions = new List<BlockedActions>{
        new BlockedActions { 
            type = "microsoft.graph.attributeCollectionSubmit.showBlockPage", 
            message = "AttributeCollectionSubmit Custom Extension Message: Thank you for your response. Your access request is processing. You'll be notified when your request has been approved."
        }
    };

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };

    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<BlockedActions> actions { get; set; }
}

[JsonObject]
public class BlockedActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
}

Используйте этот триггер HTTP для изменения коллекции атрибутов от пользователя. Например, можно изменить формат предоставленного пользователем атрибута. После изменения атрибутов регистрация продолжается без уведомления пользователя. Если требуется уведомление, используйте действие проверки.

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation("C# HTTP trigger function processed a request.");

    // User attributes will be saved with these override values
    var attributes = new Dictionary<string, object>()
    {
        { "postalCode", "<your-override-value>" },
        { "streetAddress", "<your-override-value>" },
        { "city", "<your-override-value>" },
        { "extension_appId_mailingList", false }
        { "extension_appId_memberSince", 2010 }
    };

    var actions = new List<ModifiedAttributesAction>{
        new ModifiedAttributesAction { 
            type = "microsoft.graph.attributeCollectionSubmit.modifyAttributeValues", 
            attributes = attributes 
        }
    };

    log.LogInformation("actions: " + actions);

    var dataObject = new Data {
        type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
        actions= actions
    };


    dynamic response = new ResponseObject {
        data = dataObject
    };

    // Send the response
    return response;
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ModifiedAttributesAction> actions { get; set; }
}

[JsonObject]
public class ModifiedAttributesAction {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public Dictionary<string, object> attributes { get; set; }
}

Используйте этот триггер HTTP для проверки атрибутов, введенных пользователем. Например, можно проверить атрибуты для внешнего хранилища данных. Вы можете проверять встроенные атрибуты (например, страна), пользовательские атрибуты (например, номер лояльности).

#r "Newtonsoft.Json"

using System.Net;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using Newtonsoft.Json.Linq;
using System.Text;

public static async Task<object> Run(HttpRequest req, ILogger log)
{
    log.LogInformation($"C# HTTP trigger function processed a request.");

    string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
    dynamic request = JsonConvert.DeserializeObject(requestBody);

    // Parse specified attributes
    string cityValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.city?.value)).ToString();

    string postalCodeValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.postalCode?.value)).ToString();

    string streetAddressValue = (JsonConvert.SerializeObject(request?.data?.userSignUpInfo?.attributes?.streetAddress?.value)).ToString();

    // JSON convert makes the length different, so we put 7 here
    if(cityValue.Length < 7 || postalCodeValue.Length < 7 || streetAddressValue.Length < 7){
        var inputs = new Dictionary<string, string>();

        if(cityValue.Length < 7){
            inputs.Add("city", "Length of city string should be of at 5 characters at least");
        }

        if(postalCodeValue.Length < 7){
            inputs.Add("postalCode", "Length of postalCodeValue string should be of at 5 characters at least");
        }

        if(streetAddressValue.Length < 7){
            inputs.Add("streetAddress", "Length of streetAddress string should be of at 5 characters at least");
        }

        string pageMessage = "Please fix below errors to proceed";

        var actions = new List<ValidationErrorActions>{
            new ValidationErrorActions { type = "microsoft.graph.attributeCollectionSubmit.ShowValidationError", message = pageMessage, attributeErrors = inputs }
        };

        
        var dataObject = new Data {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
        };

        dynamic response = new ResponseObject {
            data = dataObject
        };

        log.LogInformation($"Returning validation error");

        // Send the validation error response
        return response;

    }else{
        var actions = new List<ContinueWithDefaultBehavior>{
            new ContinueWithDefaultBehavior { type = "microsoft.graph.attributeCollectionSubmit.ContinueWithDefaultBehavior"}
            };

        
        var dataObject = new DataContinue {
            type = "microsoft.graph.onAttributeCollectionSubmitResponseData",
            actions= actions
            };

        dynamic response = new ResponseObjectContinue {
            data = dataObject
        };

        log.LogInformation($"Returning continue");
        
        // Send the continue response
        return response;
    }
}

public class ResponseObject
{
    public Data data { get; set; }
}

[JsonObject]
public class Data {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ValidationErrorActions> actions { get; set; }
}

[JsonObject]
public class ValidationErrorActions {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public string message { get; set; }
    public Dictionary<string, string> attributeErrors {get; set;}
}


public class ResponseObjectContinue
{
    public DataContinue data { get; set; }
}

[JsonObject]
public class DataContinue {
    [JsonProperty("@odata.type")]
    public string type { get; set; }
    public List<ContinueWithDefaultBehavior> actions { get; set; }
}

[JsonObject]
public class ContinueWithDefaultBehavior {
    [JsonProperty("@odata.type")]
	public string type { get; set; }
}

Шаг 2. Создание и регистрация настраиваемого расширения проверки подлинности

На этом шаге вы регистрируете настраиваемое расширение для проверки подлинности, которое Microsoft Entra ID использует для вызова функции Azure. Расширение пользовательской аутентификации содержит информацию о вашей конечной точке REST API, действиях начала и отправки сбора атрибутов, которые оно обрабатывает из вашего REST API, и о том, как выполнить аутентификацию в REST API.

Войдите в центр администрирования Microsoft Entra как минимум администратор Application Admin и Authentication Admin.
Перейдите к Entra ID>External Identities>расширениям пользовательской проверки подлинности.
Выберите "Создать пользовательское расширение".
В разделе "Основы" выберите событие AttributeCollectionStart или событие AttributeCollectionSubmit, а затем нажмите кнопку "Далее". Убедитесь, что это соответствует конфигурации на предыдущем шаге.
В конфигурации конечной точки заполните следующие свойства:
- Имя — название для вашего пользовательского расширения проверки подлинности. Например, событие «Сбор атрибутов».
- Target Url — {Function_Url} URL-адреса вашей функции Azure.
- Описание — описание пользовательских расширений проверки подлинности.
Нажмите кнопку "Далее".
В разделе "Проверка подлинности API" выберите параметр "Создать новое приложение" , чтобы создать регистрацию приложения, представляющего приложение-функцию.
Присвойте приложению имя, например Azure Functions API событий проверки подлинности.
Нажмите кнопку "Далее".
Выберите Создать, что создаёт настраиваемое расширение проверки подлинности и связанную регистрацию приложения.

После создания расширения пользовательской проверки подлинности предоставьте согласие на использование зарегистрированного приложения, чтобы пользовательское расширение аутентификации могло аутентифицироваться в вашем API.

Перейдите к Entra ID>External Identities>расширениям пользовательской проверки подлинности.
Выберите расширение пользовательской проверки подлинности из списка.
На вкладке "Обзор" нажмите кнопку "Предоставить разрешение" , чтобы предоставить администратору согласие зарегистрированного приложения. Расширение настраиваемой проверки подлинности использует client_credentials для аутентификации в функциональном приложении Azure с помощью разрешения Receive custom authentication extension HTTP requests. Нажмите кнопку "Принять".

Шаг 3. Добавление настраиваемого расширения проверки подлинности в поток пользователя

Теперь можно связать пользовательское расширение проверки подлинности с одним или несколькими потоками пользователей.

Примечание.

Если вам нужно создать поток пользователя, выполните действия, описанные в разделе "Создание потока регистрации и входа для клиентов".

3.1 Добавление настраиваемого расширения проверки подлинности в существующий поток пользователя

Войдите в центр администрирования Microsoft Entra как минимум в качестве Администратора приложения и Администратора аутентификации
Если у вас есть доступ к нескольким клиентам, используйте значок "Параметры" в верхнем меню, чтобы переключиться на внешний клиент.
Перейдите к Entra ID>External Identities>User flows.
Выберите пользовательский поток из списка.
Выберите пользовательские расширения проверки подлинности.
На странице расширений пользовательской проверки подлинности можно связать расширение пользовательской проверки подлинности с двумя различными шагами в потоке пользователя:
- Перед сбором сведений от пользователя связан с событием OnAttributeCollectionStart . Выберите карандаш редактирования. Будут отображаться только пользовательские расширения, настроенные для события OnAttributeCollectionStart . Выберите приложение, настроенное для события запуска коллекции атрибутов, и нажмите кнопку "Выбрать".
- Когда пользователь отправляет свои сведения, это связано с событием OnAttributeCollectionSubmit. Будут отображаться только пользовательские расширения, настроенные для события OnAttributeCollectionSubmit . Выберите приложение, которое вы настроили для события отправки коллекции атрибутов, и затем нажмите Выбрать.
Убедитесь, что приложения, перечисленные рядом с обоими шагами сбора атрибутов, верны.
Щелкните значок "Сохранить ".

Шаг 4. Тестирование приложения

Чтобы получить маркер и проверить пользовательское расширение проверки подлинности, можно использовать https://jwt.ms приложение. Это веб-приложение, принадлежащее компании Microsoft, которое отображает декодированное содержимое токена (содержимое токена никогда не покидает ваш браузер).

Выполните следующие действия, чтобы зарегистрировать веб-приложение jwt.ms :

4.1 Регистрация веб-приложения jwt.ms

Войдите в центр администрирования Microsoft Entra как минимум как Администратор приложений.
Перейдите к Entra ID>Регистрации приложений.
Выберите "Создать регистрацию".
Введите имя приложения. Например, мое тестовое приложение.
В разделе "Поддерживаемые типы учетных записей" выберите только учетные записи в этом каталоге организации.
В раскрывающемся списке "Выбор платформы" в URI перенаправления выберите веб-сайт и введите https://jwt.ms в текстовое поле URL-адреса.
Нажмите кнопку "Регистрация", чтобы завершить регистрацию приложения.

4.2 Получение идентификатора приложения

В разделе "Обзор скопируйте идентификатор приложения (клиента). Идентификатор приложения упоминается как <client_id> на следующих этапах. В Microsoft Graph это свойство называется appId.

4.3 Включение неявного потока

Тестовое приложение jwt.ms использует неявный поток. Включите неявный поток в регистрации приложения My Test , выполнив следующие действия.

Внимание

Корпорация Майкрософт рекомендует использовать самый безопасный поток проверки подлинности. Поток проверки подлинности, используемый для тестирования в этой процедуре, требует очень высокого уровня доверия к приложению и несет риски, которые отсутствуют в других потоках. Этот подход не следует использовать для проверки подлинности пользователей в рабочих приложениях (дополнительные сведения).

В разделе "Управление" выберите "Проверка подлинности".
В разделе "Неявное предоставление" и "Гибридные потоки" выберите флажок "Токены ID (используются для неявных и гибридных потоков)".
Нажмите кнопку "Сохранить".

Шаг 5. Защита функции Azure

Microsoft Entra пользовательское расширение проверки подлинности использует серверный поток для получения маркера доступа, который отправляется в заголовке HTTP Authorization в вашу функцию Azure. При публикации функции в Azure, особенно в рабочей среде, необходимо проверить маркер, отправленный в заголовке авторизации.

Чтобы защитить функцию Azure, выполните следующие действия для интеграции аутентификации Microsoft Entra. Это позволит проверять входящие токены с использованием API событий аутентификации Azure Functions регистрации приложения.

Примечание.

Если приложение-функция Azure размещается в другом клиенте Azure, отличном от клиента, в котором зарегистрировано пользовательское расширение проверки подлинности, пропустите к шагу 5.1 Использование поставщика идентификации OpenID Connect.

5.1 Добавление поставщика удостоверений в функцию Azure

Войдите на портал Azure.
Перейдите и выберите приложение-функцию, которое вы ранее опубликовали.
Выберите проверку подлинности в меню слева.
Выберите Добавить поставщика удостоверений.
Выберите Корпорацию Майкрософт в качестве поставщика удостоверений.
Выберите "Клиент" в качестве типа клиента.
В разделе регистрация приложений введите client_id регистрации приложения API событий аутентификации Azure Functions, которую вы создали ранее, при регистрации пользовательского поставщика утверждений.
Для URL-адреса издателя введите следующий URL-адресhttps://{domainName}.ciamlogin.com/{tenant_id}/v2.0, где
- {domainName} — это доменное имя внешнего клиента.
- {tenantId} — это идентификатор внешнего арендатора. Пользовательский модуль проверки подлинности должен быть зарегистрирован здесь.
В разделе "Неавторизованные запросы" выберите HTTP 401 Unauthorized как поставщика удостоверений.
Отмените выбор параметра хранилища токенов .
Выберите Add, чтобы добавить проверку подлинности в функцию Azure.

5.2 Использование поставщика удостоверений OpenID Connect

Если вы настроили Step 5: защитите функцию Azure, пропустите этот шаг. В противном случае, если функция Azure размещена в другом клиенте, отличном от клиента, в котором зарегистрировано пользовательское расширение проверки подлинности, выполните следующие действия, чтобы защитить функцию:

Войдите на портал Azure, затем перейдите к и выберите ранее опубликованное функциональное приложение.
Выберите проверку подлинности в меню слева.
Выберите Добавить поставщика удостоверений.
Выберите OpenID Connect в качестве поставщика удостоверений.
Укажите имя, например Contoso Microsoft Entra ID.
В разделе записи метаданных введите следующий URL-адрес в URL-адрес документа. Замените {tenantId} идентификатором клиента Microsoft Entra.
```
https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration
```
В разделе Регистрация приложений введите идентификатор приложения (идентификатор клиента) регистрации приложения Azure Functions API событий аутентификации, которое вы ранее создали.
В центре администрирования Microsoft Entra:
1. Выберите регистрацию приложения для API событий аутентификации Azure Functions, которую вы создали ранее.
2. Выберите сертификаты и секреты>секреты клиента>Новый секрет клиента.
3. Добавьте описание секрета клиента.
4. Выберите срок действия секрета или укажите настраиваемое время существования.
5. Нажмите кнопку "Добавить".
6. Запишите значение секрета для использования в коде клиентского приложения. Это значение секрета больше нигде не отображается после закрытия страницы.
Вернитесь к функции Azure и в разделе Регистрация приложений введите секрет клиента.
Отмените выбор параметра хранилища токенов .
Выберите "Добавить ", чтобы добавить поставщика удостоверений OpenID Connect.

Шаг 6. Тестирование приложения

Чтобы проверить расширение пользовательской проверки подлинности, выполните следующие действия.

Откройте новый частный браузер и перейдите по следующему URL-адресу:
```
https://<domainName>.ciamlogin.com/<tenant_id>/oauth2/v2.0/authorize?client_id=<client_id>&response_type=code+id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
```
- Замените <domainName> своим именем внешнего клиента и замените <tenant-id> его идентификатором внешнего клиента.
- Замените <client_id> идентификатором приложения, добавленного в поток пользователя.
После входа вы увидите декодированный токен в https://jwt.ms.

Следующие шаги

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-09-16