Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Authentifizierung hilft beim Überprüfen der Identität, und die Zugriffssteuerung ist ein Prozess der Autorisierung von Benutzern und Gruppen für den Zugriff auf Ressourcen.
Authentifizierungsprotokoll und Endpunkte: Kunden-Apps und -Authentifizierung
Kundenbezogene Anwendungen können sich mit microsoft Entra External ID mithilfe von Open Authorization 2.0 (OAuth 2) oder Security Assertion Markup Language 2.0 (SAML 2) authentifizieren.
In der folgenden Tabelle sind die Anwendungsintegrationsoptionen für OAuth 2 und OpendID Connect (OIDC) zusammengefasst.
| Anwendungstyp | Authentifizierungsstarter | Authentifizierungsoptionen |
|---|---|---|
| Nativer Client: Mobile- und Plattform-Apps | Benutzerinteraktion mit der App |
-
Native Authentifizierung mit Microsoft Authentication Libraries (MSAL) - Autorisierungscode - Hybrid |
| Webanwendungen, die auf einem Server ausgeführt werden | Ein Benutzer, der mit der Anwendung interagiert | Authorization code (Autorisierungscode) |
| Webanwendung, die im Browser ausgeführt wird, eine Einzelseitenanwendung (SPA) | Ein Benutzer, der mit der Anwendung interagiert |
-
Native Authentifizierung mit MSAL – Autorisierungscode - Hybrid oder implizit, mit Nachweisschlüssel für Codeaustausch (PKCE) |
| Webanwendung, die auf einem Server ausgeführt wird: Middleware | Eine Anwendung im Namen eines Benutzers | Im Auftrag von |
| Webanwendung, die auf einem Server ausgeführt wird | Headless-Dienst oder Anwendung | Clientanmeldeinformationen |
| Eingeschränktes Eingabegerät | Benutzerinteraktion mit dem Gerät | Gerätecodeflow |
Hinweis
In Bezug auf den Auftrag von, unterscheiden sich der sub (subject) Anspruch, der der Middleware und dem Back-End präsentiert wurde. Siehe Nutzlasten im Zugriffstokenanspruchsverweis. Der Betreff ist ein paarweiser Bezeichner, der für eine Anwendungs-ID eindeutig ist. Wenn sich ein Benutzer mit unterschiedlichen Client-IDs bei zwei Anwendungen anmeldet, erhalten die Anwendungen zwei Subjektansprüche. Verwenden Sie, wenn die beiden Werte von Architektur und Datenschutzanforderungen abhängen. Beachten Sie den OID-Anspruch (Object Identifier), der in Anwendungen in einem Mandanten gleich bleibt.
Das folgende Diagramm der OAuth 2- und OIDC-Flüsse zeigt OAuth-Anwendungsintegrationsoptionen.
Anwendungsintegrationsoptionen für SAML basieren auf dem vom Dienstanbieter (SP) initiierten Fluss. Der SAML-Fluss wird in der Authentifizierung mit microsoft Entra ID detailliert beschrieben.
Entwurf einer benutzerdefinierten Authentifizierungserweiterung
Verwenden Sie benutzerdefinierte Authentifizierungserweiterungen, um die Microsoft Entra-Authentifizierung durch Integration in externe Systeme anzupassen. Beachten Sie im folgenden Diagramm den Fortschritt von der Registrierung zum zurückgegebenen Token.
Siehe die Übersicht über benutzerdefinierte Authentifizierungserweiterungen.
Das folgende Diagramm zeigt einen benutzerdefinierten Authentifizierungsfluss.
Überlegungen zu API und Ereignishandlern
Implementieren Sie die API als dedizierte API oder mithilfe einer API-Fassade mithilfe einer Middleware-Lösung wie einem API-Manager. Jede benutzerdefinierte Erweiterung verfügt über einen streng typierten API-Vertrag. Achten Sie auf Definitionen.
Erfahren Sie mehr über den ressourcentyp authenticationEventListener.
Hinweis
Die Liste im vorherigen Artikel wächst, wenn weitere Ressourcentypen hinzugefügt werden.
Microsoft stellt ein NuGet-Paket für .NET-Entwickler bereit, die Azure Functions-Apps erstellen. Diese Lösung behandelt die Back-End-Verarbeitung für eingehende HTTP-Anforderungen für Microsoft Entra-Authentifizierungsereignisse. Suchen Sie die Tokenüberprüfung, um den API-Aufruf, das Objektmodell, den Typ mit IDE IntelliSense zu sichern. Hier finden Sie auch die eingehende und ausgehende Überprüfung der API-Anforderungs- und Antwortschemas.
Authentifizierungserweiterungen werden im Einklang mit Anmelde- und Registrierungsflüssen ausgeführt. Stellen Sie sicher, dass das Szenario sehr leistungsfähig, robust und sicher ist. Azure Functions bietet eine sichere Infrastruktur, einschließlich Bibliotheken, Azure Key Vault für geheime Speicherung, Zwischenspeicherung, automatisches Skalieren und Überwachung. Es gibt weitere Empfehlungen in Sicherheitsvorgängen.
Nächste Schritte
Verwenden Sie die folgenden Artikel, um Ihnen bei den ersten Schritten mit einer Externen ID-Bereitstellung von Microsoft Entra zu helfen:
- Einführung in den Bereitstellungsleitfaden für Microsoft Entra External ID
- Mieterdesign
- Kundenauthentifizierung
- Sicherheitsvorgänge
- Architektur der Authentifizierungs- und Zugriffssteuerung