Referência de extensibilidade OIDC da plataforma de identidades da Microsoft

Use esta referência para encontrar todas as formas suportadas de estender o comportamento do OpenID Connect (OIDC) da plataforma de identidades da Microsoft. Cada linha está ligada ao conceito ou artigo prático neste repositório e ao recurso Microsoft Graph API que programa a superfície.

Extensibilidade refere-se a alterar a forma como a Microsoft Entra emite tokens OIDC ou processa pedidos OIDC para aplicações que possui — por exemplo, adicionar reclamações de uma loja externa, personalizar o conteúdo dos tokens por aplicação ou confiar em tokens de identidades externas de cargas de trabalho. Configurar uma aplicação OIDC existente (como GitHub, Salesforce ou outra aplicação SaaS) para usar o Microsoft Entra para iniciar sessão é integração, não extensibilidade. Para orientações sobre integração de aplicações, consulte a galeria de aplicações Microsoft Entra.

Para os contratos de endpoint subjacentes, veja OpenID Connect na plataforma de identidades da Microsoft.

Superfícies de extensibilidade num olhar

Capacidade O que te permite fazer Conceito e como fazer Microsoft Graph API
Fornecedor de reclamações personalizado Chame uma API REST externa durante a emissão de tokens para enriquecer tokens com reivindicações de uma loja remota. Visão geral do prestador de sinistros personalizados, Referência customAuthenticationExtension, onTokenIssuanceStartListener
Evento de início de emissão de token Configure o ouvinte de eventos que aciona o seu provedor de reclamações personalizadas durante a emissão do token. Configurar o evento de início da emissão do token, Configurar onTokenIssuanceStartCustomExtension, onTokenIssuanceStartHandler, onTokenIssuanceStartReturnClaim
Pedidos facultativos Adicione reivindicações provenientes da Microsoft Entra (como groups, idtyp, login_hint) aos tokens ID, Access e SAML. Forneça reivindicações opcionais à sua aplicação, Referência opcionalClaim, optionalClaims na candidatura
Apólice de sinistros personalizados (por aplicação) O diretório de mapas atribui reivindicações em tokens emitidos para uma aplicação específica, incluindo transformações. Personalização de sinistros JWT, personalização de sinistros em SAML, política de sinistros personalizados CustomClaimsPolicy, claimsMappingPolicy
Política vitalícia do token Configure a duração de acesso, atualização e ID token para uma aplicação ou inquilino. Tempos de vida dos tokens configuráveis, Configurar tokenLifetimePolicy
Política de emissão de tokens Configure o comportamento de assinatura e encriptação de tokens SAML na emissão. Personalização de reivindicações SAML TokenIssuancePolicy
Credenciais de identidade federada Confie em tokens de emissores externos (GitHub, Kubernetes, outras clouds) em vez de usar um segredo ou certificado de cliente. Federação de identidades de tarefas FederatedIdentityCredential, visão geral das credenciais de identidade federada
Manifesto de aplicação Configure declarativamente URIs de redirecionamento, audiências, tipos de concessão permitidos e definições de tokens. Referência do manifesto do aplicativo aplicação, serviçoPrincipal
Concessões de autorização delegada Autorizar os escopos delegados para um utilizador ou inquilino. Visão geral de permissões e consentimento oAuth2ConcessãoPermissão
Atribuições de funções na aplicação Atribuir papéis de aplicação a utilizadores, grupos ou principais de serviço para autorização baseada em tokens. Visão geral dos papéis da aplicação appRoleAssignment
Avaliação contínua de acesso (CAE) Ative a revogação de tokens quase em tempo real para eventos como encerramento de sessão do utilizador, alteração de palavra-passe e deteção de risco. Avaliação contínua do acesso ConditionalAccessPolicy
Contestação de reclamações (step-up) Peça autenticação mais forte ou pedidos mais recentes a meio da sessão. Desafios de sinistros, Validação de sinistros N/A (nível de protocolo; sinalizado no claims parâmetro de pedido)

Escolha de uma superfície de extensibilidade

Use as seguintes orientações para decidir qual a superfície que se adequa ao seu cenário:

Modelo de programação

A maioria das superfícies na tabela está configurada através da aplicação Microsoft Graph e dos recursos ServicePrincipal ou através do policies endpoint. As bibliotecas de autenticação não configuram estas superfícies; usar Microsoft Graph SDKs, o SDK do PowerShell nos Microsoft Graph ou chamadas REST diretas.

Para um exemplo de ponta a ponta que combine uma extensão de autenticação personalizada com um evento de início de emissão de token, veja Configurar um provedor de reivindicação personalizado com um evento de início de emissão de token.