Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La pipeline di autenticazione microsoft Entra ID è costituita da diversi eventi di autenticazione predefiniti, ad esempio la convalida delle credenziali utente, i criteri di accesso condizionale, l'autenticazione a più fattori, la reimpostazione della password self-service e altro ancora.
Le estensioni di autenticazione personalizzate di Microsoft Entra consentono di estendere i flussi di autenticazione con la propria logica di business in punti specifici all'interno del flusso di autenticazione. Un'estensione di autenticazione personalizzata è essenzialmente un listener di eventi che, quando attivato, effettua una chiamata HTTP a un endpoint DELL'API REST in cui si definisce un'azione del flusso di lavoro.
Ad esempio, è possibile usare un provider di attestazioni personalizzato per aggiungere dati utente esterni al token di sicurezza prima dell'emissione del token. È possibile aggiungere un flusso di lavoro della raccolta di attributi per convalidare gli attributi immessi da un utente durante l'iscrizione. Questo articolo offre una panoramica tecnica generale delle estensioni di autenticazione personalizzate di Microsoft Entra ID.
Il video Panoramica dell'estensione per l'autenticazione personalizzata di Microsoft Entra offre una panoramica completa delle funzionalità e delle funzionalità principali delle estensioni di autenticazione personalizzate.
Panoramica dei componenti
Sono necessari due componenti: un'estensione di autenticazione personalizzata in Microsoft Entra e un'API REST. L'estensione di autenticazione personalizzata specifica l'endpoint dell'API REST, quando l'API REST deve essere chiamata e le credenziali per chiamare l'API REST.
Questo video fornisce istruzioni dettagliate sulla configurazione delle estensioni di autenticazione personalizzate di Microsoft Entra e offre procedure consigliate e suggerimenti utili per un'implementazione ottimale.
Flusso di accesso
Il diagramma seguente illustra il flusso di accesso integrato con un'estensione di autenticazione personalizzata.
- Un utente tenta di accedere a un'app e viene reindirizzato alla pagina di accesso di Microsoft Entra.
- Una volta completato un determinato passaggio nell'autenticazione, viene attivato un listener di eventi.
- L'estensione di autenticazione personalizzata invia una richiesta HTTP all'endpoint dell'API REST. La richiesta contiene informazioni sull'evento, il profilo utente, i dati della sessione e altre informazioni di contesto.
- L'API REST esegue un flusso di lavoro personalizzato.
- L'API REST restituisce una risposta HTTP all'ID Microsoft Entra.
- L'estensione di autenticazione personalizzata Microsoft Entra elabora la risposta e personalizza l'autenticazione in base al tipo di evento e al payload della risposta HTTP.
- Un token viene restituito all'app.
Endpoint DELL'API REST
Quando viene attivato un evento, Microsoft Entra ID richiama un endpoint DELL'API REST di cui si è proprietari. L'API REST deve essere accessibile pubblicamente. Può essere ospitato usando Funzioni di Azure, Servizio app di Azure, App per la logica di Azure o un altro endpoint API disponibile pubblicamente.
Hai la flessibilità di usare qualsiasi linguaggio di programmazione, framework o soluzione a basso o senza codice, come Azure Logic Apps, per sviluppare e distribuire la tua API REST. Per iniziare rapidamente, considerare di utilizzare la Funzione di Azure. Consente di eseguire il codice in un ambiente serverless senza dover prima creare una macchina virtuale (VM) o pubblicare un'applicazione Web.
L'API REST deve gestire:
- Convalida dei token per la protezione delle chiamate API REST.
- Logica di business
- Restituisce dati e tipo di azione
- Convalida in ingresso e in uscita degli schemi di richiesta e risposta HTTP.
- Controllo e registrazione.
- Controlli di disponibilità, prestazioni e sicurezza.
Guarda questo video per imparare come creare un endpoint API REST per le estensioni di autenticazione con Azure Logic Apps, senza scrivere codice. App per la logica di Azure consente agli utenti di creare flussi di lavoro usando una finestra di progettazione visiva. Il video illustra la personalizzazione dei messaggi di posta elettronica di verifica e si applica a tutti i tipi di estensioni di autenticazione personalizzate, inclusi i provider di attestazioni personalizzati.
Payload della richiesta
La richiesta all'API REST include un payload JSON contenente dettagli sull'evento, il profilo utente, i dati della richiesta di autenticazione e altre informazioni di contesto. Gli attributi all'interno del payload JSON possono essere usati per eseguire la logica dall'API.
Ad esempio, nell'evento di avvio rilascio token, il payload della richiesta può includere l'identificatore univoco dell'utente, consentendo di recuperare il profilo utente dal proprio database. I dati del payload della richiesta devono seguire lo schema specificato nel documento dell'evento.
Restituire dati e tipo di azione
Dopo che l'API Web esegue il flusso di lavoro con la logica di business, deve restituire un tipo di azione che indirizza Microsoft Entra su come procedere con il processo di autenticazione.
Ad esempio, nel caso degli eventi di avvio della raccolta di attributi e dell'invio di attributi , il tipo di azione restituito dall'API Web indica se l'account può essere creato nella directory, mostrare un errore di convalida o bloccare completamente il flusso di iscrizione.
La risposta dell'API REST può includere dati. Ad esempio, l'evento di avvio dell'emissione di token può fornire un set di attributi di cui è possibile eseguire il mapping al token di sicurezza.
Proteggere l'API REST
Per garantire che le comunicazioni tra l'estensione di autenticazione personalizzata e l'API REST siano protette in modo appropriato, è necessario applicare più controlli di sicurezza.
- Quando l'estensione di autenticazione personalizzata chiama l'API REST, invia un'intestazione HTTP
Authorizationcon un token di connessione rilasciato da Microsoft Entra ID. - Il token di portatore contiene una rivendicazione
appidoazp. Verificare che la rispettiva attestazione contenga il99045fe1-7639-4a75-9d4a-577b6ca3810fvalore. Questo valore garantisce che l'ID Microsoft Entra sia quello che chiama l'API REST.- Per le applicazioni di V1, convalidare l'attestazione
appid. - Per le applicazioni V2, convalida l'attestazione
azp.
- Per le applicazioni di V1, convalidare l'attestazione
- L'attestazione dell'audience del token portatore
audcontiene l'ID della registrazione dell'applicazione associata. L'endpoint dell'API REST deve verificare che il token di connessione venga emesso per quel gruppo di destinatari specifico. - L'attestazione dell'autorità emittente del token
issdi connessione contiene l'URL dell'autorità di certificazione Microsoft Entra. A seconda della configurazione del tenant, l'URL dell'autorità emittente è uno dei seguenti:- Forza lavoro:
https://login.microsoftonline.com/{tenantId}/v2.0. - Cliente:
https://{domainName}.ciamlogin.com/{tenantId}/v2.0.
- Forza lavoro:
Tipi di evento di autenticazione personalizzati
Questa sezione elenca gli eventi disponibili per le estensioni di autenticazione personalizzate in Microsoft Entra ID per la forza lavoro e i tenant esterni. Per informazioni dettagliate sugli eventi, vedere la rispettiva documentazione.
| Evento | Tenant del personale | Tenant esterno |
|---|---|---|
| Avvio del rilascio di token | 
|
|
| Inizio raccolta attributi |
|
|
| Invio di raccolta attributi |
|
|
| Invio di passcode una tantum |
|
Avvio del rilascio di token
L'evento di avvio del rilascio del token OnTokenIssuanceStart viene attivato quando un token sta per essere rilasciato a un'applicazione. Si tratta di un tipo di evento configurato all'interno di un provider di dichiarazioni personalizzato. Il provider di attestazioni personalizzate è un'estensione di autenticazione personalizzata che chiama un'API REST per recuperare le attestazioni da sistemi esterni. Un provider di attestazioni personalizzato esegue il mapping delle attestazioni dai sistemi esterni nei token e può essere assegnato a una o più applicazioni nell'elenco.
Suggerimento
Per provare questa funzionalità, passare alla demo di Woodgrove Groceries e avviare il caso d'uso "Aggiungi attestazioni ai token di sicurezza da un'API REST".
Inizio raccolta attributi
Gli eventi di avvio della raccolta di attributi possono essere usati con estensioni di autenticazione personalizzate per aggiungere logica prima che gli attributi vengano raccolti da un utente. L’evento OnAttributeCollectionStart si verifica all'inizio del passaggio della raccolta di attributi, prima del rendering della pagina della raccolta di attributi. Consente di aggiungere azioni come la precompilazione dei valori e la visualizzazione di un messaggio di errore bloccante.
Suggerimento
Per provare questa funzionalità, passare alla demo di Woodgrove Groceries e avviare il caso d'uso "Prepopulate sign-up attributes".
Raccolta attributi invio
Gli eventi di invio della raccolta di attributi possono essere usati con estensioni di autenticazione personalizzate per aggiungere logica dopo che gli attributi vengono raccolti da un utente. L'evento OnAttributeCollectionSubmit viene attivato dopo che l'utente immette e invia attributi, consentendo di aggiungere azioni come la convalida delle voci o la modifica degli attributi.
Suggerimento
Per provare questa funzionalità, passare alla demo di Woodgrove Groceries e avviare il caso d'uso "Convalida attributi di iscrizione" o il caso d'uso "Blocca la possibilità all’utente di continuare il processo di iscrizione".
Invio di passcode una tantum
L'evento OnOtpSend viene attivato quando si attiva un'email con un passcode monouso. Consente di chiamare un'API REST per usare il proprio provider di posta elettronica. Questo evento può essere usato per inviare messaggi di posta elettronica personalizzati agli utenti che si registrano con indirizzo di posta elettronica, accedere con passcode monouso tramite posta elettronica (Email OTP), reimpostare la password usando Email OTP o usare Email OTP per l'autenticazione a più fattori (MFA).
Quando viene attivato l'evento OnOtpSend, Microsoft Entra invia un passcode monouso all'API REST specificata di vostra proprietà. L'API REST usa quindi il provider di posta elettronica scelto, ad esempio il servizio di comunicazione di Azure o SendGrid, per inviare il passcode monouso con il modello di posta elettronica personalizzato, dall'indirizzo e dall'oggetto di posta elettronica, supportando al tempo stesso la localizzazione.
Suggerimento
Per provare questa funzionalità, passare alla demo Woodgrove Groceries e avviare il caso d'uso "Usa un provider di posta elettronica personalizzato per un codice monouso".
Contenuto correlato
- Maggiori informazioni sui fornitori personalizzati di attestazioni
- Creare estensioni di autenticazione personalizzate per l'avvio della raccolta di attributi e inviare eventi con un'applicazione OpenID Connect di esempio
- Configurare un provider di posta elettronica personalizzato per l'invio di eventi con passcode monouso