Erste Schritte für benutzerdefinierte Richtlinien in Azure Active Directory B2CGet started with custom policies in Azure Active Directory B2C

Hinweis

In Azure Active Directory B2C sind benutzerdefinierte Richtlinien in erster Linie für komplexe Szenarien konzipiert.In Azure Active Directory B2C, custom policies are designed primarily to address complex scenarios. Für die meisten Szenarien empfehlen wir die Verwendung von integrierten Benutzerflows.For most scenarios, we recommend that you use built-in user flows.

Benutzerdefinierte Richtlinien sind Konfigurationsdateien, die das Verhalten Ihres Azure AD B2C-Mandanten (Azure Active Directory B2C) definieren.Custom policies are configuration files that define the behavior of your Azure Active Directory B2C (Azure AD B2C) tenant. In diesem Artikel erfahren Sie, wie Sie eine benutzerdefinierte Richtlinie erstellen, die die Registrierung oder Anmeldung mit einem lokalen Konto über eine E-Mail-Adresse und ein Kennwort unterstützt.In this article, you create a custom policy that supports local account sign-up or sign-in by using an email address and password. Außerdem bereiten Sie Ihre Umgebung für das Hinzufügen von Identitätsanbietern vor.You also prepare your environment for adding identity providers.

VoraussetzungenPrerequisites

Hinzufügen von Signatur- und VerschlüsselungsschlüsselnAdd signing and encryption keys

  1. Melden Sie sich beim Azure-PortalSign in to the Azure portal
  2. Wählen Sie im Hauptmenü über den Filter Verzeichnis + Abonnement das Verzeichnis aus, das Ihren Azure AD B2C-Mandanten enthält.Use the Directory + subscription filter in the top menu to select the directory that contains your Azure AD B2C tenant.
  3. Wählen Sie im linken Menü die Option Azure AD B2C aus.In the left menu, select Azure AD B2C. Oder wählen Sie Alle Dienste aus, suchen Sie nach dem Eintrag Azure AD B2C, und wählen Sie ihn aus.Or, select All services and search for and select Azure AD B2C.
  4. Wählen Sie auf der Seite „Übersicht“ die Option Framework für die Identitätsfunktion aus.On the Overview page, select Identity Experience Framework.

Erstellen des SignaturschlüsselsCreate the signing key

  1. Klicken Sie erst auf Richtlinienschlüssel und anschließend auf Hinzufügen.Select Policy Keys and then select Add.
  2. Klicken Sie unter Optionen auf Generate.For Options, choose Generate.
  3. Geben Sie unter Name TokenSigningKeyContainer ein.In Name, enter TokenSigningKeyContainer. Das Präfix B2C_1A_ wird möglicherweise automatisch hinzugefügt.The prefix B2C_1A_ might be added automatically.
  4. Wählen Sie RSA als Schlüsseltyp aus.For Key type, select RSA.
  5. Wählen Sie unter Schlüsselverwendung Signatur aus.For Key usage, select Signature.
  6. Klicken Sie auf Erstellen.Select Create.

Erstellen des VerschlüsselungsschlüsselsCreate the encryption key

  1. Klicken Sie erst auf Richtlinienschlüssel und anschließend auf Hinzufügen.Select Policy Keys and then select Add.
  2. Klicken Sie unter Optionen auf Generate.For Options, choose Generate.
  3. Geben Sie unter Name TokenEncryptionKeyContainer ein.In Name, enter TokenEncryptionKeyContainer. Das Präfix B2C_1A_ wird möglicherweise automatisch hinzugefügt.The prefix B2C_1A_ might be added automatically.
  4. Wählen Sie RSA als Schlüsseltyp aus.For Key type, select RSA.
  5. Wählen Sie für Schlüsselverwendung die Option Verschlüsselung aus.For Key usage, select Encryption.
  6. Klicken Sie auf Erstellen.Select Create.

Erstellen des Facebook-SchlüsselsCreate the Facebook key

Fügen Sie das App-Geheimnis der Facebook-Anwendung als Richtlinienschlüssel hinzu.Add your Facebook application's App Secret as a policy key. Sie können das App-Geheimnis der Anwendung verwenden, das Sie unter „Voraussetzungen“ in diesem Artikel erstellt haben.You can use the App Secret of the application you created as part of this article's prerequisites.

  1. Klicken Sie erst auf Richtlinienschlüssel und anschließend auf Hinzufügen.Select Policy Keys and then select Add.
  2. Klicken Sie unter Optionen auf Manual.For Options, choose Manual.
  3. Geben Sie unter Name FacebookSecret ein.For Name, enter FacebookSecret. Das Präfix B2C_1A_ wird möglicherweise automatisch hinzugefügt.The prefix B2C_1A_ might be added automatically.
  4. Geben Sie unter Geheimnis das App-Geheimnis der Facebook-Anwendung aus developers.facebook.com ein.In Secret, enter your Facebook application's App Secret from developers.facebook.com. Bei diesem Wert handelt sich um das Geheimnis und nicht um die Anwendungs-ID.This value is the secret, not the application ID.
  5. Wählen Sie unter Schlüsselverwendung Signatur aus.For Key usage, select Signature.
  6. Klicken Sie auf Erstellen.Select Create.

Registrieren von Identity Experience Framework-AnwendungenRegister Identity Experience Framework applications

Azure AD B2C erfordert, dass Sie zwei Anwendungen registrieren, die zur Registrierung und Anmeldung von Benutzern mit lokalen Konten verwendet werden: IdentityExperienceFramework (eine Web-API) und ProxyIdentityExperienceFramework (eine native App) mit delegierter Berechtigung für die IdentityExperienceFramework-App.Azure AD B2C requires you to register two applications that it uses to sign up and sign in users with local accounts: IdentityExperienceFramework, a web API, and ProxyIdentityExperienceFramework, a native app with delegated permission to the IdentityExperienceFramework app. Ihre Benutzer können sich mit einer E-Mail-Adresse oder einem Benutzernamen und einem Kennwort für den Zugriff auf Ihre mandantenregistrierten Anwendungen anmelden, wodurch ein „lokales Konto“ erstellt wird.Your users can sign up with an email address or username and a password to access your tenant-registered applications, which creates a "local account." Lokale Konten sind nur in Ihrem Azure AD B2C-Mandanten vorhanden.Local accounts exist only in your Azure AD B2C tenant.

Sie müssen diese beiden Anwendungen nur ein Mal in Ihrem Azure AD B2C-Mandanten registrieren.You need to register these two applications in your Azure AD B2C tenant only once.

Registrieren der IdentityExperienceFramework-AnwendungRegister the IdentityExperienceFramework application

Zum Registrieren einer Anwendung in Ihrem Azure AD B2C-Mandanten können Sie die aktuelle Benutzeroberfläche für Anwendungen oder unsere neue einheitliche Benutzeroberfläche App-Registrierungen (Vorschau) verwenden.To register an application in your Azure AD B2C tenant, you can use the current Applications experience, or our new unified App registrations (Preview) experience. Erfahren Sie mehr über die Vorschaubenutzeroberfläche.Learn more about the preview experience.

  1. Wählen Sie links oben im Azure-Portal die Option Alle Dienste aus.Select All services in the top-left corner of the Azure portal.
  2. Geben Sie im Suchfeld Azure Active Directoryein.In the search box, enter Azure Active Directory.
  3. Wählen Sie in den Suchergebnissen Azure Active Directory aus.Select Azure Active Directory in the search results.
  4. Wählen Sie unter Verwalten im linken Menü App-Registrierungen (Legacy) aus.Under Manage in the left-hand menu, select App registrations (Legacy).
  5. Wählen Sie Registrierung einer neuen Anwendung aus.Select New application registration.
  6. Geben Sie unter Name IdentityExperienceFramework ein.For Name, enter IdentityExperienceFramework.
  7. Wählen Sie unter Anwendungstyp die Option Web-App/API aus.For Application type, choose Web app/API.
  8. Geben Sie https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com als Anmelde-URL ein, wobei your-tenant-name für den Domänennamen Ihres Azure AD B2C-Mandanten steht.For Sign-on URL, enter https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com, where your-tenant-name is your Azure AD B2C tenant domain name. Alle URLs sollten jetzt b2clogin.com verwenden.All URLs should now be using b2clogin.com.
  9. Klicken Sie auf Erstellen.Select Create. Wenn der Bestellvorgang abgeschlossen ist, kopieren Sie die Anwendungs-ID und speichern Sie sie zur späteren Verwendung.After it's created, copy the application ID and save it to use later.

Registrieren der ProxyIdentityExperienceFramework-AnwendungRegister the ProxyIdentityExperienceFramework application

  1. Wählen Sie unter App-Registrierungen (Legacy) die Option Registrierung einer neuen Anwendung aus.In App registrations (Legacy), select New application registration.
  2. Geben Sie unter Name ProxyIdentityExperienceFramework ein.For Name, enter ProxyIdentityExperienceFramework.
  3. Wählen Sie Nativ als Anwendungstyp aus.For Application type, choose Native.
  4. Geben Sie https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com als Umleitungs-URI ein, wobei your-tenant-name für Ihren Azure AD B2C-Mandanten steht.For Redirect URI, enter https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com, where your-tenant-name is your Azure AD B2C tenant.
  5. Klicken Sie auf Erstellen.Select Create. Wenn der Bestellvorgang abgeschlossen ist, kopieren Sie die Anwendungs-ID und speichern Sie sie zur späteren Verwendung.After it's created, copy the application ID and save it to use later.
  6. Wählen Sie Einstellungen, anschließend Erforderliche Berechtigungen und dann Hinzufügen aus.Select Settings, then select Required permissions, and then select Add.
  7. Wählen Sie API auswählen aus, suchen Sie nach IdentityExperienceFramework, wählen Sie diese API aus, und klicken Sie anschließend auf Auswählen.Choose Select an API, search for and select IdentityExperienceFramework, and then click Select.
  8. Aktivieren Sie das Kontrollkästchen neben Access IdentityExperienceFramework (Auf IdentityExperienceFramework zugreifen), und klicken Sie erst auf Auswählen und dann auf Done (Fertig).Select the check box next to Access IdentityExperienceFramework, click Select, and then click Done.
  9. Wählen Sie Berechtigungen erteilen aus, und bestätigen Sie dies anschließend durch Auswahl von Ja.Select Grant permissions, and then confirm by selecting Yes.

Starter Pack für benutzerdefinierte RichtlinienCustom policy starter pack

Benutzerdefinierte Richtlinien sind ein Satz von XML-Dateien, die Sie in den Azure AD B2C-Mandanten hochladen, um technische Profile und User Journeys zu definieren.Custom policies are a set of XML files you upload to your Azure AD B2C tenant to define technical profiles and user journeys. Wir stellen Starter Packs mit mehreren vordefinierten Richtlinien bereit, damit Sie schnell loslegen können.We provide starter packs with several pre-built policies to get you going quickly. Jedes dieser Starter Packs enthält die kleinste Anzahl von technischen Profilen sowie die zum Erreichen der beschriebenen Szenarien benötigten User Journeys:Each of these starter packs contains the smallest number of technical profiles and user journeys needed to achieve the scenarios described:

  • LocalAccounts ermöglicht die ausschließliche Nutzung von lokalen Konten.LocalAccounts - Enables the use of local accounts only.
  • SocialAccounts ermöglicht die ausschließliche Nutzung von Konten sozialer Netzwerke (oder Verbundkonten).SocialAccounts - Enables the use of social (or federated) accounts only.
  • SocialAndLocalAccounts ermöglicht sowohl die Verwendung von lokalen Konten als auch von Konten für soziale Netzwerke.SocialAndLocalAccounts - Enables the use of both local and social accounts.
  • SocialAndLocalAccountsWithMFA ermöglicht lokale Optionen und Optionen für soziale Netzwerke sowie zur Multi-Factor Authentication.SocialAndLocalAccountsWithMFA - Enables social, local, and multi-factor authentication options.

Die einzelnen Starter Packs enthalten Folgendes:Each starter pack contains:

  • Basisdatei: Es sind einige Änderungen an der Basisdatei erforderlich.Base file - Few modifications are required to the base. Beispiel: TrustFrameworkBase.xmlExample: TrustFrameworkBase.xml
  • Erweiterungsdatei: In dieser Datei werden die meisten Konfigurationsänderungen vorgenommen.Extension file - This file is where most configuration changes are made. Beispiel: TrustFrameworkExtensions.xmlExample: TrustFrameworkExtensions.xml
  • Dateien der vertrauenden Seite: aufgabenspezifische Dateien, die von Ihrer Anwendung aufgerufen werden.Relying party files - Task-specific files called by your application. Beispiele: SignUpOrSignin.xml, ProfileEdit.xml, PasswordReset.xmlExamples: SignUpOrSignin.xml, ProfileEdit.xml, PasswordReset.xml

In diesem Artikel bearbeiten Sie die benutzerdefinierten XML-Richtliniendateien im Starter Pack SocialAndLocalAccounts.In this article, you edit the XML custom policy files in the SocialAndLocalAccounts starter pack. Wenn Sie einen XML-Editor benötigen, können Sie Visual Studio Code, einen einfachen plattformübergreifenden Editor, ausprobieren.If you need an XML editor, try Visual Studio Code, a lightweight cross-platform editor.

Abrufen des Starter PacksGet the starter pack

Holen Sie sich die Starter Packs für benutzerdefinierte Richtlinien-von GitHub, und aktualisieren Sie dann die XML-Dateien im Starter Pack „SocialAndLocalAccounts“ mit dem Namen Ihres Azure AD B2C-Mandanten.Get the custom policy starter packs from GitHub, then update the XML files in the SocialAndLocalAccounts starter pack with your Azure AD B2C tenant name.

  1. Laden Sie die ZIP-Datei herunter, oder klonen Sie das Repository:Download the .zip file or clone the repository:

    git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
    
  2. Ersetzen Sie in allen Dateien im Verzeichnis SocialAndLocalAccounts die Zeichenfolge yourtenant durch den Namen Ihres Azure AD B2C-Mandanten.In all of the files in the SocialAndLocalAccounts directory, replace the string yourtenant with the name of your Azure AD B2C tenant.

    Wenn z. B. der Name des B2C-Mandanten contosotenant lautet, werden alle Instanzen von yourtenant.onmicrosoft.com in contosotenant.onmicrosoft.com geändert.For example, if the name of your B2C tenant is contosotenant, all instances of yourtenant.onmicrosoft.com become contosotenant.onmicrosoft.com.

Hinzufügen der Anwendungs-IDs zur benutzerdefinierten RichtlinieAdd application IDs to the custom policy

Fügen Sie die Anwendung-ID zur Erweiterungsdatei TrustFrameworkExtensions.xml hinzu.Add the application IDs to the extensions file TrustFrameworkExtensions.xml.

  1. Öffnen Sie SocialAndLocalAccounts/ TrustFrameworkExtensions.xml , und suchen Sie das Element <TechnicalProfile Id="login-NonInteractive">.Open SocialAndLocalAccounts/TrustFrameworkExtensions.xml and find the element <TechnicalProfile Id="login-NonInteractive">.
  2. Ersetzen Sie beide Instanzen von IdentityExperienceFrameworkAppId durch die Anwendungs-ID der IdentityExperienceFramework-Anwendung, die Sie zuvor erstellt haben.Replace both instances of IdentityExperienceFrameworkAppId with the application ID of the IdentityExperienceFramework application that you created earlier.
  3. Ersetzen Sie beide Instanzen von ProxyIdentityExperienceFrameworkAppId durch die Anwendungs-ID der ProxyIdentityExperienceFramework-Anwendung, die Sie zuvor erstellt haben.Replace both instances of ProxyIdentityExperienceFrameworkAppId with the application ID of the ProxyIdentityExperienceFramework application that you created earlier.
  4. Speichern Sie die Datei .Save the file.

Hochladen der RichtlinienUpload the policies

  1. Wählen Sie in Ihrem B2C-Mandanten im Azure-Portal das Menüelement Identity Experience Framework aus.Select the Identity Experience Framework menu item in your B2C tenant in the Azure portal.
  2. Wählen Sie Benutzerdefinierte Richtlinie hochladen aus.Select Upload custom policy.
  3. Laden Sie die Richtliniendateien in dieser Reihenfolge hoch:In this order, upload the policy files:
    1. TrustFrameworkBase.xmlTrustFrameworkBase.xml
    2. TrustFrameworkExtensions.xmlTrustFrameworkExtensions.xml
    3. SignUpOrSignin.xmlSignUpOrSignin.xml
    4. ProfileEdit.xmlProfileEdit.xml
    5. PasswordReset.xmlPasswordReset.xml

Wenn Sie die Dateien hochladen, fügt Azure jeder Datei das Präfix B2C_1A_ hinzu.As you upload the files, Azure adds the prefix B2C_1A_ to each.

Tipp

Wenn Ihr XML-Editor Validierungen unterstützt, überprüfen Sie die Dateien anhand des XML-Schemas TrustFrameworkPolicy_0.3.0.0.xsd im Stammverzeichnis des Starter Packs.If your XML editor supports validation, validate the files against the TrustFrameworkPolicy_0.3.0.0.xsd XML schema that is located in the root directory of the starter pack. Durch die XML-Schemavalidierung werden vor dem Upload Fehler festgestellt.XML schema validation identifies errors before uploading.

Testen der benutzerdefinierten RichtlinieTest the custom policy

  1. Wählen Sie unter Benutzerdefinierte Richtlinien die Richtlinie B2C_1A_signup_signin aus.Under Custom policies, select B2C_1A_signup_signin.
  2. Wählen Sie auf der Übersichtsseite der benutzerdefinierten Richtlinie unter Anwendung auswählen die Webanwendung namens webapp1 aus, die Sie zuvor registriert haben.For Select application on the overview page of the custom policy, select the web application named webapp1 that you previously registered.
  3. Stellen Sie sicher, dass die Antwort-URL https://jwt.ms lautet.Make sure that the Reply URL is https://jwt.ms.
  4. Wählen Sie Jetzt ausführen aus.Select Run now.
  5. Registrieren Sie sich mit einer E-Mail-Adresse.Sign up using an email address.
  6. Wählen Sie erneut Jetzt ausführen aus.Select Run now again.
  7. Melden Sie sich zur Bestätigung der richtigen Konfiguration mit demselben Konto an.Sign in with the same account to confirm that you have the correct configuration.

Hinzufügen von Facebook als IdentitätsanbieterAdd Facebook as an identity provider

  1. Ersetzen Sie in der Datei SocialAndLocalAccounts/ TrustFrameworkExtensions.xml den Wert client_id durch die ID der Facebook-Anwendung:In the SocialAndLocalAccounts/TrustFrameworkExtensions.xml file, replace the value of client_id with the Facebook application ID:

    <TechnicalProfile Id="Facebook-OAUTH">
      <Metadata>
      <!--Replace the value of client_id in this technical profile with the Facebook app ID"-->
        <Item Key="client_id">00000000000000</Item>
    
  2. Laden Sie die Datei TrustFrameworkExtensions.xml in Ihren Mandanten hoch.Upload the TrustFrameworkExtensions.xml file to your tenant.

  3. Wählen Sie unter Benutzerdefinierte Richtlinien die Richtlinie B2C_1A_signup_signin aus.Under Custom policies, select B2C_1A_signup_signin.

  4. Wählen Sie Jetzt ausführen, und wählen Sie „Facebook“ aus, um sich bei Facebook anzumelden und die benutzerdefinierte Richtlinie zu testen.Select Run now and select Facebook to sign in with Facebook and test the custom policy.

Nächste SchritteNext steps

Fügen Sie als Nächstes Azure Active Directory (Azure AD) als Identitätsanbieter hinzu.Next, try adding Azure Active Directory (Azure AD) as an identity provider. Die in diesem Leitfaden für erste Schritte verwendete Basisdatei enthält bereits einige Inhalte, die Sie zum Hinzufügen anderer Identitätsanbieter, z. B. Azure AD, benötigen.The base file used in this getting started guide already contains some of the content that you need for adding other identity providers like Azure AD.

Weitere Informationen zur Einrichtung von Azure AD als Identitätsanbieter finden Sie unter Einrichten der Anmeldung mit einem Azure Active Directory-Konto mithilfe benutzerdefinierter Richtlinien in Azure Active Directory B2C.For information about setting up Azure AD as and identity provider, see Set up sign-up and sign-in with an Azure Active Directory account using Active Directory B2C custom policies.