Настройте пользовательского провайдера утверждений для события выдачи токена

Регистрация пользовательского расширения для аутентификации

1. Войдите в портал Azure в качестве как минимум администратором приложений и администратором проверки подлинности.
2. Найдите и выберите идентификатор Microsoft Entra и выберите корпоративные приложения.
3. Выберите пользовательские расширения проверки подлинности и затем выберите Создать пользовательское расширение.
4. В разделе "Основы" выберите тип события TokenIssuanceStart и нажмите кнопку "Далее".
5. В конфигурации конечной точки заполните следующие свойства:
   • Имя — название для настраиваемого расширения проверки подлинности. Например, событие выпуска токена.
   • Целевой URL - {Function_Url} URL вашей функции Azure. Перейдите на страницу обзора приложения-функции Azure, а затем выберите созданную функцию. На странице функции Обзор выберите Получить URL-адрес функции и используйте значок копирования, чтобы скопировать URL-адрес customauthenticationextension_extension (системный ключ).
   • Описание — описание пользовательских расширений проверки подлинности.
6. Выберите Далее.
7. В разделе "Проверка подлинности API" выберите параметр "Создать новое приложение", чтобы создать регистрацию приложения, представляющего приложение-функцию.
8. Присвойте приложению имя, например API событий проверки подлинности в Azure Functions.
9. Выберите Далее.
10. В разделе "Утверждения" введите атрибуты, которые, как вы ожидаете, пользовательское расширение проверки подлинности извлечет из REST API и объединит в маркер. Добавьте следующие утверждения:
    • Дата рождения
    • НастраиваемыеРоли
    • ApiVersion
    • CorrelationId
11. Нажмите кнопку "Далее" и "Создать", которая регистрирует пользовательское расширение проверки подлинности и связанную регистрацию приложения.
12. Обратите внимание на идентификатор приложения в разделе "Проверка подлинности API", который необходим для настройки проверки подлинности для функции Azure в приложении-функции Azure.

Регистрация приложения

1. Войдите в Graph Explorer с помощью учетной записи, домашний клиент которой является клиентом, в котором вы хотите управлять пользовательским расширением проверки подлинности. Эта учетная запись должна иметь привилегии для создания регистрации приложения и управления им в клиенте.

2. Выполните следующий запрос.

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
       "displayName": "authenticationeventsAPI"
   }
   

3. В ответе запишите значение id и appId только что созданной регистрации приложения. Эти значения ссылаются в этой статье как {authenticationeventsAPI_ObjectId} и {authenticationeventsAPI_AppId} соответственно.

Создайте субъект-службу в клиенте для регистрации приложения authenticationeventsAPI.

Во время работы в обозревателе Graph выполните следующий запрос. Замените {authenticationeventsAPI_AppId} значением appId , записанным на предыдущем шаге.

POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-type: application/json
    
{
    "appId": "{authenticationeventsAPI_AppId}"
}

Задайте URI идентификатора приложения, версию маркера доступа и необходимый доступ к ресурсам

Обновите только что созданное приложение, чтобы задать значение URI идентификатора приложения, версию маркера доступа и необходимый доступ к ресурсам.

В обозревателе Graph выполните следующий запрос.

• Задайте значение URI идентификатора приложения в свойстве identifierUris . Замените {Function_Url_Hostname} на имя узла {Function_Url}, записанного ранее.
• Установите значение {authenticationeventsAPI_AppId} используя appId, записанный ранее.
• Например, api://authenticationeventsAPI.azurewebsites.net/00001111-aaaa-2222-bbbb-3333cccc4444. Запишите это значение, так как вы будете использовать его позже в этой статье вместо {functionApp_IdentifierUri}.

POST https://graph.microsoft.com/v1.0/applications/{authenticationeventsAPI_ObjectId}
Content-type: application/json

{
"identifierUris": [
    "api://{Function_Url_Hostname}/{authenticationeventsAPI_AppId}"
],    
"api": {
    "requestedAccessTokenVersion": 2,
    "acceptMappedClaims": null,
    "knownClientApplications": [],
    "oauth2PermissionScopes": [],
    "preAuthorizedApplications": []
},
"requiredResourceAccess": [
    {
        "resourceAppId": "00000003-0000-0000-c000-000000000000",
        "resourceAccess": [
            {
                "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                "type": "Role"
            }
        ]
    }
]
}

Регистрация пользовательского расширения проверки подлинности

Чтобы зарегистрировать пользовательское расширение проверки подлинности, необходимо связать его с регистрацией приложения для функции Azure и конечной точкой функции Azure {Function_Url}.

1. В обозревателе Graph выполните следующий запрос. Замените {Function_Url} на имя узла приложения-функции Azure. Замените {functionApp_IdentifierUri} идентификатором Uri, который использовался на предыдущем шаге.

   • Требуется делегированное разрешение CustomAuthenticationExtension.ReadWrite.All .

   POST https://graph.microsoft.com/beta/identity/customAuthenticationExtensions
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtension",
       "displayName": "onTokenIssuanceStartCustomExtension",
       "description": "Fetch additional claims from custom user store",
       "endpointConfiguration": {
           "@odata.type": "#microsoft.graph.httpRequestEndpoint",
           "targetUrl": "{Function_Url}"
       },
       "authenticationConfiguration": {
           "@odata.type": "#microsoft.graph.azureAdTokenAuthentication",
           "resourceId": "{functionApp_IdentifierUri}"
       },
       "claimsForTokenConfiguration": [
           {
               "claimIdInApiResponse": "DateOfBirth"
           },
           {
               "claimIdInApiResponse": "CustomRoles"
           }
       ]
   }
   

2. id Запишите значение созданного объекта поставщика пользовательских утверждений. В дальнейшем в этом руководстве вы будете использовать это значение вместо {customExtensionObjectId}.

Перейдите к следующему шагу, назначьте приложению пользовательского поставщика утверждений.

3.4. Связывание приложения с потоком пользователя

Для внешних клиентов необходимо связать приложение с потоком пользователя. Поток пользователя определяет методы проверки подлинности, которые клиент может использовать для входа в приложение, и сведения, необходимые им во время регистрации. Убедитесь, что вы выполните действия, описанные в разделе "Добавление приложения в поток пользователя", прежде чем продолжить добавление приложения "Мой тест" в поток пользователя.

Назначение настраиваемого расширения проверки подлинности в качестве источника пользовательского поставщика утверждений;

1. На странице Home в портале Azure выберите Microsoft Entra ID.

2. Выберитекорпоративные приложения, а затем в разделе "Управление" выберите "Все приложения". Найдите и выберите приложение "Мой тест" в списке.

3. На странице "Обзор" приложения "Мой тест" перейдите в раздел "Управление" и выберите единый вход.

4. В разделе "Атрибуты и утверждения" выберите "Изменить".

   

5. Разверните меню "Дополнительные параметры".

6. Рядом с поставщиком пользовательских утверждений выберите Настроить.

7. Раскройте раскрывающийся список Поставщик пользовательских утверждений и выберите событие эмиссии токена, созданное ранее.

8. Выберите Сохранить.

Затем назначьте атрибуты от пользовательского поставщика утверждений, который должен быть выдан токену в виде утверждений.

1. Нажмите кнопку "Добавить новое утверждение", чтобы добавить новое утверждение. Назовите утверждение, которое вы хотите выдать, например DateOfBirth.

2. В разделе "Источник" выберите атрибут и выберите customClaimsProvider.DateOfBirth в раскрывающемся списке "Исходный атрибут".

   

3. Выберите Сохранить.

4. Повторите этот процесс, чтобы добавить атрибуты customClaimsProvider.customRoles, customClaimsProvider.apiVersion и customClaimsProvider.correlationId и соответствующее имя. Рекомендуется сопоставить имя утверждения с именем атрибута.

Сначала создайте прослушиватель событий для запуска пользовательского расширения аутентификации для приложения My Test с помощью события начала выдачи токенов.

1. Войдите в Graph Explorer с помощью учетной записи, в которой домашний клиент является клиентом, в котором вы хотите управлять пользовательским расширением проверки подлинности.

2. Выполните следующий запрос. Замените {App_to_enrich_ID} идентификатором приложения My Test , записанным ранее. Замените {customExtensionObjectId} пользовательским идентификатором расширения проверки подлинности, записанным ранее.

   • Требуется разрешение EventListener.ReadWrite.All , делегированное.

   POST https://graph.microsoft.com/beta/identity/authenticationEventListeners
   Content-type: application/json
   
   {
       "@odata.type": "#microsoft.graph.onTokenIssuanceStartListener",
       "conditions": {
           "applications": {
               "includeAllApplications": false,
               "includeApplications": [
                   {
                       "appId": "{App_to_enrich_ID}"
                   }
               ]
           }
       },
       "priority": 500,
       "handler": {
           "@odata.type": "#microsoft.graph.onTokenIssuanceStartCustomExtensionHandler",
           "customExtension": {
               "id": "{customExtensionObjectId}"
           }
       }
   }
   

Затем создайте политику сопоставления утверждений, которая описывает, какие утверждения можно выдавать приложению от пользовательского поставщика утверждений.

1. Оставаясь в обозревателе Graph, выполните следующий запрос. Вам потребуется делегированное разрешение Policy.ReadWrite.ApplicationConfiguration .

   POST https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies
   Content-type: application/json
   
   {
       "definition": [
           "{\"ClaimsMappingPolicy\":{\"Version\":1,\"IncludeBasicClaimSet\":\"true\",\"ClaimsSchema\":[{\"Source\":\"CustomClaimsProvider\",\"ID\":\"DateOfBirth\",\"JwtClaimType\":\"dob\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CustomRoles\",\"JwtClaimType\":\"my_roles\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"CorrelationId\",\"JwtClaimType\":\"correlationId\"},{\"Source\":\"CustomClaimsProvider\",\"ID\":\"ApiVersion\",\"JwtClaimType\":\"apiVersion \"},{\"Value\":\"tokenaug_V2\",\"JwtClaimType\":\"policy_version\"}]}}"
       ],
       "displayName": "MyClaimsMappingPolicy",
       "isOrganizationDefault": false
   }
   

2. Запишите созданный в ответе ID, позже он будет называться {claims_mapping_policy_ID}.

Получите идентификатор объекта субъекта-службы:

1. Выполните следующий запрос в обозревателе Graph. ** Замените {App_to_enrich_ID} на appId из My Test Application.

   GET https://graph.microsoft.com/v1.0/servicePrincipals(appId='{App_to_enrich_ID}')
   

Запишите значение идентификатора.

Назначьте политику сопоставления утверждений сервисному принципалу My Test Application.

1. Выполните следующий запрос в обозревателе Graph. Вам потребуется делегированное разрешение Policy.ReadWrite.ApplicationConfiguration и Application.ReadWrite.All.

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{test_App_Service_Principal_ObjectId}/claimsMappingPolicies/$ref
   Content-type: application/json
   
   {
       "@odata.id": "https://graph.microsoft.com/v1.0/policies/claimsMappingPolicies/{claims_mapping_policy_ID}"
   }
   

1. На портале Azure найдите и выберите ранее опубликованное функциональное приложение.

2. В разделе Параметры выберите Проверка подлинности.

3. Выберите Добавить поставщик идентификаций.

4. Выберите Корпорацию Майкрософт в качестве поставщика удостоверений.

5. Выберите "Сотрудники" в качестве типа клиента.

6. В разделе Регистрация приложений выберите выберите существующую регистрацию приложения в этом каталоге для типа регистрации приложения, и выберите регистрацию приложения API событий проверки подлинности Azure Function, которую вы ранее создали при регистрации пользовательского поставщика утверждений.

7. Введите следующий URL-адрес издателя, https://login.microsoftonline.com/{tenantId}/v2.0, где {tenantId} является идентификатором вашего рабочего арендатора.

8. В разделе "Требование к клиентскому приложению" выберите "Разрешить запросы из определенных клиентских приложений " и введите 99045fe1-7639-4a75-9d4a-577b6ca3810f.

9. В разделе "Требование арендатора" выберите "Разрешить запросы от определенных арендаторов" и введите идентификатор арендатора вашей рабочей группы.

10. В разделе "Неавторизованные запросы" выберите HTTP 401 Unauthorized в качестве поставщика удостоверений.

11. Отмените выбор параметра хранилища токенов.

12. Выберите "Добавить ", чтобы добавить проверку подлинности в функцию Azure.

    

1. На портале Azure найдите и выберите ранее опубликованное функциональное приложение.

2. В разделе Параметры выберите Проверка подлинности.

3. Выберите Добавить поставщик идентификаций.

4. Выберите Корпорацию Майкрософт в качестве поставщика удостоверений.

5. Выберите внешнюю конфигурацию в качестве типа клиента.

6. В разделе Регистрация приложений выберите Указать сведения о существующей регистрации приложения для типа регистрации приложения и введите client_idрегистрацию приложения API событий проверки подлинности Azure Functions, которую вы ранее создали при регистрации пользовательского поставщика утверждений.

7. Для URL-адреса издателя введите следующий URL-адресhttps://{domainName}.ciamlogin.com/{tenant_id}/v2.0, где

   • {domainName} — это доменное имя внешнего клиента в форме {domainName}.contoso.com.
   • {tenantId} — это идентификатор внешнего арендатора.

8. В разделе "Требование к клиентскому приложению" выберите "Разрешить запросы из определенных клиентских приложений " и введите 99045fe1-7639-4a75-9d4a-577b6ca3810f.

9. В разделе "Требование клиента" выберите "Разрешить запросы из определенных клиентов" и введите идентификатор внешнего клиента.

10. В разделе "Неавторизованные запросы" выберите HTTP 401 Unauthorized в качестве поставщика удостоверений.

11. Отмените выбор параметра хранилища токенов.

12. Выберите "Добавить ", чтобы добавить проверку подлинности в функцию Azure.

    

1. Откройте новый частный браузер, перейдите по следующему URL-адресу и выполните вход.

   https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Замените {tenantId} на идентификатор клиента, имя клиента или одно из ваших проверенных доменных имен. Например, contoso.onmicrosoft.com.

3. Замените {App_to_enrich_ID} идентификатором клиента приложения "Мой тест".

4. После входа в систему вы увидите декодированный токен https://jwt.ms. Убедитесь, что утверждения из функции Azure представлены в декодированных маркерах, например DateOfBirth.

1. Откройте новый частный браузер, перейдите по следующему URL-адресу и выполните вход.

   https://{domainName}.ciamlogin.com/{tenantId}/oauth2/v2.0/authorize?client_id={App_to_enrich_ID}&response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345
   

2. Замените {domainName} на вашим доменным именем, например, contoso.

3. Замените {tenantId} на идентификатор клиента, имя клиента или одно из ваших проверенных доменных имен. Например, contoso.onmicrosoft.com.

4. Замените {App_to_enrich_ID} идентификатором клиента приложения "Мой тест".

5. Проследуйте через процесс входа пользователя, который вы настроили, и примите запрошенные разрешения.

6. После входа в систему вы увидите декодированный токен https://jwt.ms. Убедитесь, что утверждения из функции Azure представлены в декодированных маркерах, например DateOfBirth.