Nastavení adres URL pro přesměrování na b2clogin.com pro Azure Active Directory B2C

  • Článek

Když nastavíte zprostředkovatele identity pro registraci a přihlášení v aplikacích Azure Active Directory B2C (Azure AD B2C), musíte zadat koncové body zprostředkovatele identity Azure AD B2C. Už byste neměli odkazovat na login.microsoftonline.com v aplikacích a rozhraních API pro ověřování uživatelů pomocí Azure AD B2C. Místo toho použijte b2clogin.com nebo vlastní doménu pro všechny aplikace.

Na jaké koncové body se tyto změny vztahují.

Přechod na b2clogin.com platí jenom pro koncové body ověřování, které používají zásady Azure AD B2C (toky uživatelů nebo vlastní zásady) k ověřování uživatelů. Tyto koncové body mají <policy-name> parametr, který určuje zásadu, kterou má Azure AD B2C použít. Přečtěte si další informace o zásadách Azure AD B2C.

Staré koncové body můžou vypadat takto:

  • https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize
  • https://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>

Odpovídající aktualizovaný koncový bod by vypadal takto:

  • https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize
  • https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>

S vlastní doménou Azure AD B2C by odpovídající aktualizovaný koncový bod vypadal takto:

  • https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize
  • https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>

Koncové body, které nejsou ovlivněné

Někteří zákazníci používají sdílené možnosti tenantů Microsoft Entra Enterprise. Například získání přístupového tokenu pro volání rozhraní MS Graph API tenanta Azure AD B2C.

Tato změna nemá vliv na všechny koncové body, které neobsahují parametr zásad v adrese URL. K nim se přistupuje jenom s koncovými body login.microsoftonline.com ID Microsoft Entra a nejde je použít s b2clogin.com ani vlastními doménami. Následující příklad ukazuje platný koncový bod tokenu platformy Microsoft Identity Platform:

https://login.microsoftonline.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token

Přehled požadovaných změn

Při migraci aplikací z login.microsoftonline.com pomocí koncových bodů Azure AD B2C může být potřeba provést několik úprav:

  • Změňte adresu URL přesměrování v aplikacích zprostředkovatele identity tak, aby odkazovat na b2clogin.com nebo vlastní doménu. Další informace najdete v pokynech k přesměrování adres URL zprostředkovatele změn zprostředkovatele identity.
  • Aktualizujte aplikace Azure AD B2C tak, aby používaly b2clogin.com nebo vlastní doménu v odkazech na koncové body toku uživatele a tokenu. Tato změna může zahrnovat aktualizaci použití ověřovací knihovny, jako je Knihovna MSAL (Microsoft Authentication Library).
  • Aktualizujte všechny povolené zdroje , které definujete v nastavení CORS pro přizpůsobení uživatelského rozhraní.

Změna adres URL pro přesměrování zprostředkovatele identity

Na webu zprostředkovatele identity, na kterém jste vytvořili aplikaci, změňte všechny důvěryhodné adresy URL tak, aby se místo login.microsoftonline.com přesměrovály na vlastní doménu nebo na your-tenant-name.b2clogin.comvlastní doménu.

Pro adresy URL pro přesměrování b2clogin.com můžete použít dva formáty. První nabízí výhodu, že se v adrese URL nezobrazí "Microsoft" pomocí ID tenanta (GUID) místo názvu vaší domény tenanta. Poznámka: authresp Koncový bod nemusí obsahovat název zásady.

https://{your-tenant-name}.b2clogin.com/{your-tenant-id}/oauth2/authresp

Druhá možnost používá název domény tenanta ve formě your-tenant-name.onmicrosoft.com. Příklad:

https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp

Pro oba formáty:

  • Nahraďte {your-tenant-name} názvem vašeho tenanta Azure AD B2C.
  • Odeberte /te , pokud existuje v adrese URL.

Aktualizace aplikací a rozhraní API

Kód v aplikacích a rozhraních API s podporou Azure AD B2C může na několika místech odkazovat login.microsoftonline.com . Váš kód může mít například odkazy na toky uživatelů a koncové body tokenů. Aktualizujte místo toho následující odkaz your-tenant-name.b2clogin.com:

  • Koncový bod autorizace
  • Koncový bod tokenu
  • Vystavitel tokenů

Například koncový bod autority pro zásady registrace a přihlašování společnosti Contoso by teď byl:

https://contosob2c.b2clogin.com/00000000-0000-0000-0000-000000000000/B2C_1_signupsignin1

Informace o migraci webových aplikací založených na OWIN na b2clogin.com najdete v tématu Migrace webového rozhraní API založeného na OWIN do b2clogin.com.

Informace o migraci rozhraní API služby Azure API Management chráněných službou Azure AD B2C najdete v části Migrace na b2clogin.com části Zabezpečení rozhraní API služby Azure API Management pomocí Azure AD B2C.

Microsoft Authentication Library (MSAL)

vlastnost MSAL.NET ValidateAuthority

Pokud používáte MSAL.NET v2 nebo starší, nastavte vlastnost ValidateAuthority na false instanci klienta tak, aby umožňovala přesměrování na b2clogin.com. Nastavení této hodnoty na false MSAL.NET verze 3 a novější není povinné.

ConfidentialClientApplication client = new ConfidentialClientApplication(...); // Can also be PublicClientApplication
client.ValidateAuthority = false; // MSAL.NET v2 and earlier **ONLY**

MSAL pro vlastnost validateAuthority v JavaScriptu

Pokud používáte MSAL pro JavaScript verze 1.2.2 nebo starší, nastavte vlastnost validateAuthority na falsehodnotu .

// MSAL.js v1.2.2 and earlier
this.clientApplication = new UserAgentApplication(
  env.auth.clientId,
  env.auth.loginAuthority,
  this.authCallback.bind(this),
  {
    validateAuthority: false // Required in MSAL.js v1.2.2 and earlier **ONLY**
  }
);

Pokud jste nastavili validateAuthority: true msAL.js 1.3.0+ (výchozí), musíte také zadat platný vystavitel tokenu s knownAuthorities:

// MSAL.js v1.3.0+
this.clientApplication = new UserAgentApplication(
  env.auth.clientId,
  env.auth.loginAuthority,
  this.authCallback.bind(this),
  {
    validateAuthority: true, // Supported in MSAL.js v1.3.0+
    knownAuthorities: ['tenant-name.b2clogin.com'] // Required if validateAuthority: true
  }
);

Další kroky

Informace o migraci webových aplikací založených na OWIN na b2clogin.com najdete v tématu Migrace webového rozhraní API založeného na OWIN do b2clogin.com.

Informace o migraci rozhraní API služby Azure API Management chráněných službou Azure AD B2C najdete v části Migrace na b2clogin.com části Zabezpečení rozhraní API služby Azure API Management pomocí Azure AD B2C.