nastavení toku přihlašování v Azure Active Directory B2C

*Než začnete s _, pomocí selektoru _ Zvolte typ zásady * zvolte typ zásady, kterou nastavujete. Azure Active Directory B2C nabízí dvě metody, jak definovat způsob interakce uživatelů s vašimi aplikacemi: prostřednictvím předdefinovaných toků uživatelů nebo prostřednictvím plně konfigurovatelných vlastních zásad. Kroky vyžadované v tomto článku se u jednotlivých metod liší.

Přehled toku přihlášení

Zásady přihlašování umožňují uživatelům:

  • Přihlaste se pomocí Azure AD B2C místního účtu.
  • Uživatelé se můžou přihlásit pomocí účtu sociální sítě.
  • Resetování hesla
  • Uživatelé se nemohou zaregistrovat k Azure AD B2C místní účet. k vytvoření účtu může správce použít Azure Portalnebo MS Graph API.

Tok úprav profilu

Požadavky

Vytvoření toku uživatele pro přihlašování

Přidání zásady přihlašování:

  1. Přihlaste se k webu Azure Portal.

  2. Na panelu nástrojů portálu vyberte ikonu adresáře a odběry .

  3. Na nastavení portálu | Adresáře a odběry stránky, vyhledejte adresář Azure AD B2C v seznamu název adresáře a pak vyberte přepínač.

  4. V Azure Portal vyhledejte a vyberte Azure AD B2C.

  5. V části zásady vyberte toky uživatelů a pak vyberte Nový tok uživatele.

  6. Na stránce vytvořit tok uživatele vyberte tok uživatele přihlášení .

  7. V části vybrat verzi vyberte doporučeno a pak vyberte vytvořit. (Dalšíinformace o verzích toku uživatele)

  8. Zadejte název toku uživatele. Například signupsignin1.

  9. V části Zprostředkovatelé identity vyberte aspoň jednoho zprostředkovatele identity:

    • v části místní účty vyberte jednu z následujících možností: přihlášení k e-mailu, přihlášení ID uživatele, Telefon přihlášení, Telefon/Email přihlášení, id uživatele/přihlášení k e-mailu nebo žádné. Přečtěte si další informace.
    • V části Zprostředkovatelé sociální identity vyberte některé z externích poskytovatelů sociálních sítí nebo podnikových identit, které jste nastavili. Přečtěte si další informace.
  10. V části vícefaktorové ověřování, pokud chcete vyžadovat, aby uživatelé ověřili svoji identitu s druhou metodou ověřování, vyberte typ metody a kdy se má vynutit vícefaktorové ověřování (MFA). Přečtěte si další informace.

  11. Pokud jste v části podmíněný přístup nakonfigurovali zásady podmíněného přístupu pro vašeho tenanta Azure AD B2C a chcete je pro tento tok uživatelů povolit, zaškrtněte políčko vyhovět zásadám podmíněného přístupu . Nemusíte zadávat název zásady. Přečtěte si další informace.

  12. V části deklarace identity aplikace vyberte deklarace identity, které se mají vrátit do aplikace v tokenu. Úplný seznam hodnot vyberte Zobrazit další, zvolte hodnoty a pak vyberte OK.

    Poznámka

    Můžete také vytvořit vlastní atributy pro použití ve vašem tenantovi Azure AD B2C.

  13. Kliknutím na vytvořit přidejte tok uživatele. Předpona B2C_1 je automaticky Předpona názvu.

Testování toku uživatele

  1. Vyberte tok uživatele, který jste vytvořili, a otevřete jeho stránku Přehled a pak vyberte Spustit tok uživatele.
  2. V poli aplikace vyberte webovou aplikaci s názvem WebApp1 , kterou jste předtím zaregistrovali. Měla by se zobrazit Adresa URL odpovědi https://jwt.ms .
  3. Klikněte na Spustit tok uživatele.
  4. měli byste být schopni se přihlásit pomocí účtu, který jste vytvořili (pomocí programu MS Graph API), bez odkazu na registraci. Vrácený token zahrnuje deklarace, které jste vybrali.

Technický profil SelfAsserted-LocalAccountSignin-email je samostatněvyvolaný, který je vyvolán během registrace nebo přihlašování. Chcete-li odebrat odkaz pro registraci, nastavte setting.showSignupLink metadata na hodnotu false . V souboru rozšíření přepište technické profily SelfAsserted-LocalAccountSignin-email.

  1. Otevřete soubor rozšíření vaší zásady. Například SocialAndLocalAccounts/TrustFrameworkExtensions.xml .

  2. Vyhledejte ClaimsProviders element. Pokud element neexistuje, přidejte jej.

  3. Do elementu přidejte následující zprostředkovatele deklarací ClaimsProviders :

    <!--
    <ClaimsProviders> -->
      <ClaimsProvider>
        <DisplayName>Local Account</DisplayName>
        <TechnicalProfiles>
          <TechnicalProfile Id="SelfAsserted-LocalAccountSignin-Email">
            <Metadata>
              <Item Key="setting.showSignupLink">false</Item>
            </Metadata>
          </TechnicalProfile>
        </TechnicalProfiles>
      </ClaimsProvider>
    <!--
    </ClaimsProviders> -->
    
  4. V rámci <BuildingBlocks> elementu přidejte následující ContentDefinition , které odkazují na verzi 1.2.0, nebo na novější identifikátor URI dat:

    <!-- 
    <BuildingBlocks> 
      <ContentDefinitions>-->
        <ContentDefinition Id="api.localaccountsignup">
          <DataUri>urn:com:microsoft:aad:b2c:elements:contract:unifiedssp:1.2.0</DataUri>
        </ContentDefinition>
      <!--
      </ContentDefinitions>
    </BuildingBlocks> -->
    

Aktualizace a testování zásad

  1. Přihlaste se k webu Azure Portal.
  2. Ujistěte se, že používáte adresář, který obsahuje tenanta Azure AD, a to tak, že na panelu nástrojů na portálu vyberete ikonu adresáře a předplatná .
  3. Na nastavení portálu | Adresáře a stránky předplatných , najděte adresář služby Azure AD v seznamu název adresáře a pak vyberte přepínač.
  4. V levém horním rohu Azure Portal vyberte všechny služby a pak vyhledejte a vyberte Registrace aplikací.
  5. Vyberte architekturu prostředí identity.
  6. vyberte Upload vlastní zásady a pak nahrajte soubor zásad, který jste změnili, TrustFrameworkExtensions.xml.
  7. Vyberte zásadu přihlášení, kterou jste nahráli, a klikněte na tlačítko Spustit .
  8. měli byste být schopni se přihlásit pomocí účtu, který jste vytvořili (pomocí programu MS Graph API), bez odkazu na registraci.

Další kroky