Kurz: Vytváření toků uživatelů a vlastních zásad v Azure Active Directory B2C

Tok uživatele umožňuje určit, jak uživatelé pracují s vaší aplikací, když dělají věci, jako je přihlášení, registrace, úprava profilu nebo resetování hesla. V tomto článku získáte informace o těchto tématech:

Vlastní zásady jsou konfigurační soubory, které definují chování vašeho tenanta Azure Active Directory B2C (Azure AD B2C). V tomto článku získáte informace o těchto tématech:

• Pokud ho ještě nemáte, vytvořte tenanta Azure AD B2C, který je propojený s vaším předplatným Azure.
• Zaregistrujte webovou aplikaci a povolte implicitní udělení tokenu ID.

• Pokud ho ještě nemáte, vytvořte tenanta Azure AD B2C, který je propojený s vaším předplatným Azure.
• Zaregistrujte webovou aplikaci a povolte implicitní udělení tokenu ID.

Vytvoření toku uživatelů pro přihlášení a přihlášení

Tok uživatelů pro registrace a přihlašování se stará o možnosti registrace i přihlašování pomocí jedné konfigurace. Uživatelé vaší aplikace jsou v závislosti na kontextu ve správné cestě.

1. Přihlaste se k webu Azure Portal.

2. Ujistěte se, že používáte adresář, který obsahuje vašeho Azure AD B2C tenanta. Na panelu nástrojů portálu vyberte ikonu Adresáře a předplatná.

3. V nastavení portálu | Na stránce Adresáře a předplatná vyhledejte svůj Azure AD B2C adresář v seznamu Název adresáře a pak vyberte Přepnout.

4. V Azure Portal vyhledejte a vyberte Azure AD B2C.

5. V části Zásady vyberte Toky uživatelů a pak vyberte Nový tok uživatele.

   

6. Na stránce Vytvořit tok uživatele vyberte tok Registrace a přihlášení uživatele.

   

7. V části Vybrat verzi vyberte Doporučené a pak vyberte Vytvořit. (Další informace o verzích toků uživatelů.)

   

8. Zadejte Název toku uživatele. Například signupsignin1.

9. V seznamu Zprostředkovatelé identity vyberte Registrace e-mailu.

10. V seznamu Atributy a deklarace identity uživatele zvolte deklarace identity a atributy, které chcete shromažďovat a odesílat od uživatele během registrace. Vyberte například Zobrazit více a pak zvolte atributy a deklarace identity pro Země/oblast, Zobrazované jméno a PSČ. Klikněte na OK.

    

11. Kliknutím na Vytvořit přidejte tok uživatele. Předpona B2C_1 se automaticky před název předá.

Testování toku uživatele

1. Výběrem toku uživatele, který jste vytvořili, otevřete jeho stránku s přehledem a pak vyberte Spustit tok uživatele.

2. V části Aplikace vyberte webovou aplikaci s názvem webapp1, kterou jste předtím zaregistrovali. Adresa URL odpovědi by měla zobrazovat https://jwt.ms .

3. Klikněte na Spustit tok uživatele a pak vyberte Zaregistrovat se.

   

4. Zadejte platnou e-mailovou adresu, klikněte na Odeslat ověřovací kód, zadejte ověřovací kód, který obdržíte, a pak vyberte Ověřit kód.

5. Zadejte nové heslo a potvrďte ho.

6. Vyberte zemi a oblast, zadejte název, který chcete zobrazit, zadejte PSČ a pak klikněte na Vytvořit. Token se vrátí do a https://jwt.ms měl by se zobrazit.

7. Teď můžete tok uživatele spustit znovu a měli byste být schopni se přihlásit pomocí účtu, který jste vytvořili. Vrácený token obsahuje deklarace identity, které jste vybrali pro zemi/oblast, jméno a PSČ.

Povolení samoobslužného resetování hesel

Povolení samoobslužného resetování hesla pro tok uživatelů registrace nebo přihlašování:

1. Vyberte tok uživatele pro přihlášení nebo přihlášení, který jste vytvořili.
2. V Nastavení nabídce vyberte Vlastnosti.
3. V části Složitost hesla vyberte Samoobslužné resetování hesla.
4. Vyberte Uložit.

Testování toku uživatele

1. Výběrem toku uživatele, který jste vytvořili, otevřete jeho stránku s přehledem a pak vyberte Spustit tok uživatele.
2. V části Aplikace vyberte webovou aplikaci s názvem webapp1, kterou jste předtím zaregistrovali. Adresa URL odpovědi by měla zobrazovat https://jwt.ms .
3. Vyberte Spustit tok uživatele.
4. Na přihlašovací nebo přihlašovací stránce vyberte Zapomenuté heslo?.
5. Ověřte e-mailovou adresu účtu, který jste vytvořili dříve, a pak vyberte Pokračovat.
6. Teď máte možnost změnit heslo pro uživatele. Změňte heslo a vyberte Pokračovat. Token se vrátí do a https://jwt.ms měl by se zobrazit.

Vytvoření toku uživatele pro úpravy profilu

Pokud chcete uživatelům povolit úpravy profilu ve vaší aplikaci, použijte tok pro úpravy profilu uživatele.

1. V nabídce na stránce s Azure AD B2C tenanta vyberte Toky uživatelů a pak vyberte Nový tok uživatele.
2. Na stránce Vytvořit tok uživatele vyberte tok Profil pro úpravy uživatele.
3. V části Vybrat verzi vyberte Doporučené a pak vyberte Vytvořit.
4. Zadejte Název toku uživatele. Například profil upravování1.
5. V seznamu Zprostředkovatelé identity vyberte Přihlášení k místnímu účtu.
6. V části Atributy uživatele zvolte atributy, které má zákazník ve svém profilu upravovat. Vyberte například Zobrazit více a pak zvolte atributy i deklarace identity pro Zobrazovaný název a Název úlohy. Klikněte na OK.
7. Kliknutím na Vytvořit přidejte tok uživatele. K názvu B2C_1 předpona názvu .

Testování toku uživatele

1. Výběrem toku uživatele, který jste vytvořili, otevřete jeho stránku s přehledem a pak vyberte Spustit tok uživatele.
2. V části Aplikace vyberte webovou aplikaci s názvem webapp1, kterou jste předtím zaregistrovali. Adresa URL odpovědi by měla zobrazovat https://jwt.ms .
3. Klikněte na Spustit tok uživatele a pak se přihlaste pomocí účtu, který jste vytvořili dříve.
4. Teď máte možnost změnit zobrazovaný název a pracovní místo uživatele. Klikněte na Pokračovat. Token se vrátí do a https://jwt.ms měl by se zobrazit.

Přidání podpisových a šifrovacích klíčů pro Identity Experience Framework aplikace

1. Přihlaste se k webu Azure Portal.
2. Ujistěte se, že používáte adresář, který obsahuje vašeho Azure AD B2C tenanta. Na panelu nástrojů portálu vyberte ikonu Adresáře a předplatná.
3. V nastavení portálu | Na stránce Adresáře a předplatná vyhledejte svůj Azure AD B2C adresář v seznamu Název adresáře a pak vyberte Přepnout.
4. V Azure Portal vyhledejte a vyberte Azure AD B2C.
5. Na stránce přehledu v části Zásady vyberte Identity Experience Framework.

Vytvoření podpisového klíče

1. Vyberte Klíče zásad a pak vyberte Přidat.
2. V možnosti Možnosti zvolte Generate .
3. Do pole Název zadejte TokenSigningKeyContainer . Předpona B2C_1A_ se může přidat automaticky.
4. Jako Typ klíče vyberte RSA.
5. V případě použití klíče vyberte Podpis.
6. Vyberte Vytvořit.

Vytvoření šifrovacího klíče

1. Vyberte Klíče zásad a pak vyberte Přidat.
2. V možnosti Možnosti zvolte Generate .
3. Do pole Název zadejte TokenEncryptionKeyContainer . Předpona B2C_1A _ může být přidána automaticky.
4. Jako Typ klíče vyberte RSA.
5. Jako Použití klíče vyberte Šifrování.
6. Vyberte Vytvořit.

Registrace Identity Experience Framework aplikací

Azure AD B2C vyžaduje, abyste zaregistrovali dvě aplikace, které používá k registraci a přihlašování uživatelů pomocí místních účtů: IdentityExperienceFramework, webové rozhraní API a ProxyIdentityExperienceFramework, nativní aplikace s delegovanou oprávnění k aplikaci IdentityExperienceFramework. Uživatelé se mohou zaregistrovat pomocí e-mailové adresy nebo uživatelského jména a hesla pro přístup k aplikacím zaregistrovaných v tenantovi, které vytvoří "místní účet". Místní účty existují pouze ve vašem Azure AD B2C tenantovi.

Tyto dvě aplikace musíte zaregistrovat ve svém tenantovi Azure AD B2C jen jednou.

Registrace aplikace IdentityExperienceFramework

Pokud chcete zaregistrovat aplikaci ve Azure AD B2C tenantovi, můžete použít Registrace aplikací prostředí.

1. Vyberte Registrace aplikací a pak vyberte Nová registrace.
2. Jako Název zadejte IdentityExperienceFramework .
3. V části Podporované typy účtů vyberte Účty pouze v tomto organizačním adresáři.
4. V části Identifikátor URI pro přesměrování vyberte Web a pak zadejte , kde Azure AD B2C název https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com domény your-tenant-name tenanta.
5. V části Oprávnění zaškrtněte políčko Udělit souhlas správce s openid a offline_access oprávněními.
6. Vyberte Zaregistrovat.
7. Id aplikace (klienta) si zapište pro pozdější použití.

Dále rozhraní API zpřístupňujete přidáním oboru:

1. V nabídce vlevo v části Spravovat vyberte Expose an API (Zveřejnit rozhraní API).
2. Vyberte Přidat obor, pak vyberte Uložit a pokračujte a přijměte výchozí identifikátor URI ID aplikace.
3. Zadejte následující hodnoty a vytvořte obor, který ve vašem tenantovi Azure AD B2C zásady:
   • Název oboru:user_impersonation
   • Zobrazované jméno souhlasu správce:Access IdentityExperienceFramework
   • Popis souhlasu správce:Allow the application to access IdentityExperienceFramework on behalf of the signed-in user.
4. Vyberte Přidat obor.

---

Registrace aplikace ProxyIdentityExperienceFramework

1. Vyberte Registrace aplikací a pak vyberte Nová registrace.
2. Jako Název zadejte ProxyIdentityExperienceFramework .
3. V části Podporované typy účtů vyberte Účty pouze v tomto organizačním adresáři.
4. V části Identifikátor URI pro přesměrování pomocí rozevíracího seznamu vyberte Veřejný klient/nativní (mobilní & Desktop).
5. Jako Identifikátor URI pro přesměrování zadejte myapp://auth .
6. V části Oprávnění zaškrtněte políčko Udělit souhlas správce s openid a offline_access oprávněními.
7. Vyberte Zaregistrovat.
8. Id aplikace (klienta) si zapište pro pozdější použití.

Dále určete, že se má aplikace považovat za veřejného klienta:

1. V nabídce vlevo v části Spravovat vyberte Ověřování.
2. V části Rozšířená nastavení v části Povolit toky veřejných klientů nastavte Povolit následující mobilní a desktopové toky na Ano.
3. Vyberte Uložit.
4. Ujistěte se, že je v manifestu aplikace nastavená hodnota allowPublicClient: true:
   1. V nabídce vlevo v části Spravovat vyberte Manifest a otevřete manifest aplikace.
   2. Vyhledejte klíč allowPublicClient a ujistěte se, že je jeho hodnota nastavená na true.

Teď udělte oprávnění k oboru rozhraní API, který jste dříve odhalili v registraci identityExperienceFramework:

1. V nabídce vlevo v části Spravovat vyberte Oprávnění rozhraní API.
2. V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.
3. Vyberte kartu Moje rozhraní API a pak vyberte aplikaci IdentityExperienceFramework.
4. V části Oprávnění vyberte obor user_impersonation, který jste definovali dříve.
5. Vyberte Přidat oprávnění. Podle pokynů počkejte několik minut, než budete pokračovat k dalšímu kroku.
6. Vyberte Udělit souhlas správce pro *<název vašeho tenanta)>.
7. Vyberte Ano.
8. Vyberte Aktualizovat a potom ověřte, že má udělené oprávnění k... v části Stav pro obor.

---

Úvodní balíček pro vlastní zásady

Vlastní zásady jsou sada souborů XML, které nahrajete do vašeho tenanta Azure AD B2C pro definování technických profilů a cest uživatelů. Nabízíme úvodní balíčky s několika předem sestavených zásadami, které vám umožní rychle reagovat. Každý z těchto úvodních balíčků obsahuje nejmenší počet technických profilů a cest uživatelů potřebných k dosažení popsaných scénářů:

• LocalAccounts – Povolí jenom použití místních účtů.
• Účty sociálních sítí – Povolí jenom používání účtů sociálních sítí (nebo federovaných účtů).
• SocialAndLocalAccounts – Povolí používání místních i sociálních účtů.
• SocialAndLocalAccountsWithMFA – Povolí možnosti sociálního, místního a vícefaktorového ověřování.

Každý úvodní balíček obsahuje:

• Základní soubor – základní soubor vyžaduje několik úprav. Příklad: TrustFrameworkBase.xml
• Soubor lokalizace – v tomto souboru se provádí změny lokalizace. Příklad: TrustFrameworkLocalization.xml
• Soubor s příponou – v tomto souboru se provádí většina změn konfigurace. Příklad: TrustFrameworkExtensions.xml
• Soubory předávající strany – soubory specifické pro úlohy, které volá vaše aplikace. Příklady: SignUpOrSignin.xml, ProfileEdit.xml, PasswordReset.xml

V tomto článku upravíte soubory vlastních zásad XML v úvodním balíčku SocialAndLocalAccounts. Pokud potřebujete editor XML, zkuste Visual Studio Code, jednoduchý editor pro více platforem.

Získání počátečního balíčku

Získejte počáteční balíčky vlastních zásad GitHub pak aktualizujte soubory XML v úvodním balíčku SocialAndLocalAccounts Azure AD B2C vašeho tenanta.

1. Stáhněte .zip nebo naklonovat úložiště:

   git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
   

2. Ve všech souborech v adresáři SocialAndLocalAccounts nahraďte řetězec názvem vašeho tenanta yourtenant Azure AD B2C tenanta.

   Pokud je například název tenanta B2C contosotenant, všechny instance se yourtenant.onmicrosoft.com stanou contosotenant.onmicrosoft.com .

Přidání ID aplikací do vlastních zásad

Přidejte ID aplikací do souboru rozšíření TrustFrameworkExtensions.xml.

1. Otevřete SocialAndLocalAccounts/ TrustFrameworkExtensions.xml a vyhledejte element <TechnicalProfile Id="login-NonInteractive"> .
2. Nahraďte obě instance IdentityExperienceFrameworkAppId s ID aplikace aplikace IdentityExperienceFramework, kterou jste vytvořili dříve.
3. Nahraďte obě instance ProxyIdentityExperienceFrameworkAppId s ID aplikace aplikace ProxyIdentityExperienceFramework, kterou jste vytvořili dříve.
4. Soubor uložte.

Přidat Facebook jako zprostředkovatele identity

SocialAndLocalAccounts Starter Pack zahrnuje přihlášení do Facebooku pro sociální sítě. Facebook se nevyžaduje pro použití vlastních zásad, ale používáme ho k tomu, abychom předvedli, jak můžete povolit federované sociální přihlášení ve vlastních zásadách.

Vytvoření aplikace na Facebooku

Pomocí kroků popsaných v části Vytvoření aplikace na Facebooku získáte ID aplikace Facebook a tajný klíč aplikace. Přeskočte požadavky a zbytek kroků v článku Nastavení registrace a přihlášení pomocí účtu na Facebooku .

Vytvořit facebookový klíč

Přidejte tajný klíč aplikace vaší aplikace Facebook jako klíč zásad. Můžete použít tajný klíč aplikace, který jste vytvořili v rámci požadavků tohoto článku.

1. Přihlaste se k webu Azure Portal.
2. Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C. Na panelu nástrojů portálu vyberte ikonu adresáře a odběry .
3. Na nastavení portálu | Adresáře a odběry stránky, vyhledejte adresář Azure AD B2C v seznamu název adresáře a pak vyberte přepínač.
4. V Azure Portal vyhledejte a vyberte Azure AD B2C.
5. Na stránce Přehled v části zásady vyberte Architektura prostředí identity.
6. Vyberte klíče zásad a pak vyberte Přidat.
7. Pro Možnosti vyberte možnost Manual .
8. Jako název zadejte FacebookSecret . Předponu B2C_1A_ lze přidat automaticky.
9. V tajnosti zadejte tajný kód aplikace vaší aplikace na Facebooku z Developers.Facebook.com. Tato hodnota je tajný kód, nikoli ID aplikace.
10. V případě použití klíče vyberte možnost podpis.
11. Vyberte Vytvořit.

Aktualizace TrustFrameworkExtensions.xml v úvodní sadě vlastních zásad

V SocialAndLocalAccounts/ TrustFrameworkExtensions.xml souboru nahraďte hodnotu hodnotou client_id ID aplikace Facebook a uložte změny.

<TechnicalProfile Id="Facebook-OAUTH">
  <Metadata>
  <!--Replace the value of client_id in this technical profile with the Facebook app ID"-->
    <Item Key="client_id">00000000000000</Item>

Upload zásad

1. V Azure Portal vyberte položku nabídky rozhraní identity Experience Framework v tenantovi B2C.
2. vyberte Upload vlastní zásady.
3. V tomto pořadí nahrajte soubory zásad:
   1. TrustFrameworkBase.xml
   2. TrustFrameworkLocalization.xml
   3. TrustFrameworkExtensions.xml
   4. SignUpOrSignin.xml
   5. ProfileEdit.xml
   6. PasswordReset.xml

Při nahrávání souborů Azure přidá předponu B2C_1A_ do každého.

Testování vlastních zásad

1. V části vlastní zásady vyberte B2C_1A_signup_signin.
2. Pro možnost vybrat aplikaci na stránce Přehled v části vlastní zásady vyberte webovou aplikaci s názvem WebApp1 , kterou jste předtím zaregistrovali.
3. Ujistěte se, že Adresa URL odpovědi je https://jwt.ms .
4. Vyberte Spustit nyní.
5. Zaregistrujte se pomocí e-mailové adresy.
6. Znovu vyberte Spustit .
7. Přihlaste se pomocí stejného účtu, abyste měli jistotu, že máte správnou konfiguraci.
8. Vyberte znovu Spustit a vyberte Facebook pro přihlášení pomocí Facebooku a otestujte vlastní zásady.