Tutorial: Hinzufügen von Identitätsanbietern zu Ihren Anwendungen in Azure Active Directory B2CTutorial: Add identity providers to your applications in Azure Active Directory B2C

Sie können Benutzern in Ihren Anwendungen die Anmeldung mit verschiedenen Identitätsanbietern ermöglichen.In your applications, you may want to enable users to sign in with different identity providers. Ein Identitätsanbieter erstellt und verwaltet die Identitätsinformationen und stellt gleichzeitig Authentifizierungsdienste für Anwendungen bereit.An identity provider creates, maintains, and manages identity information while providing authentication services to applications. Sie können die von Azure Active Directory B2C (Azure AD B2C) unterstützten Identitätsanbieter über das Azure-Portal Ihren Benutzerflows hinzufügen.You can add identity providers that are supported by Azure Active Directory B2C (Azure AD B2C) to your user flows using the Azure portal.

In diesem Artikel werden folgende Vorgehensweisen behandelt:In this article, you learn how to:

  • Erstellen der IdentitätsanbieteranwendungenCreate the identity provider applications
  • Hinzufügen der Identitätsanbieter zu Ihrem MandantenAdd the identity providers to your tenant
  • Hinzufügen der Identitätsanbieter zu Ihrem BenutzerflowAdd the identity providers to your user flow

In der Regel verwenden Sie nur einen Identitätsanbieter in Ihren Anwendungen, Sie haben aber die Möglichkeit, weitere hinzuzufügen.You typically use only one identity provider in your applications, but you have the option to add more. In diesem Tutorial erfahren Sie, wie Sie Ihrer Anwendung Azure AD und Facebook als Identitätsanbieter hinzufügen.This tutorial shows you how to add an Azure AD identity provider and a Facebook identity provider to your application. Das Hinzufügen dieser beiden Identitätsanbieter zu Ihrer Anwendung ist optional.Adding both of these identity providers to your application is optional. Sie können auch andere Identitätsanbieter wie etwa Amazon, GitHub, Google, LinkedIn, Microsoft oder Twitter hinzufügen.You can also add other identity providers, such as Amazon, GitHub, Google, LinkedIn, Microsoft, or Twitter.

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.If you don't have an Azure subscription, create a free account before you begin.

VoraussetzungenPrerequisites

Erstellen Sie einen Benutzerflow, damit sich Benutzer bei Ihrer Anwendung registrieren und anmelden können.Create a user flow to enable users to sign up and sign in to your application.

Erstellen von AnwendungenCreate applications

Identitätsanbieteranwendungen stellen die ID und den Schlüssel für die Kommunikation mit Ihrem Azure AD B2C-Mandanten bereit.Identity provider applications provide the identifier and key to enable communication with your Azure AD B2C tenant. In diesem Abschnitt des Tutorials erstellen Sie eine Azure AD-Anwendung und eine Facebook-Anwendung, von denen Sie IDs und Schlüssel abrufen, um Ihrem Mandanten die Identitätsanbieter hinzuzufügen.In this section of the tutorial, you create an Azure AD application and a Facebook application from which you get identifiers and keys to add the identity providers to your tenant. Wenn Sie nur einen der Identitätsanbieter hinzufügen, müssen Sie nur die Anwendung für diesen Anbieter erstellen.If you're adding just one of the identity providers, you only need to create the application for that provider.

Erstellen einer Azure Active Directory-AnwendungCreate an Azure Active Directory application

Um die Anmeldung für Benutzer von Azure AD zu aktivieren, müssen Sie eine Anwendung im Azure AD-Mandanten registrieren.To enable sign-in for users from Azure AD, you need to register an application within the Azure AD tenant. Der Azure AD-Mandant ist nicht mit Ihrem Azure AD B2C-Mandanten identisch.The Azure AD tenant is not the same as your Azure AD B2C tenant.

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.

  2. Stellen Sie sicher, dass Sie das Verzeichnis verwenden, das Ihren Azure AD-Mandanten enthält, indem Sie im oberen Menü den Verzeichnis- und Abonnementfilter und dann das Verzeichnis auswählen, das Ihren Azure AD-Mandanten enthält.Make sure you're using the directory that contains your Azure AD tenant by selecting the Directory + subscription filter in the top menu and choosing the directory that contains your Azure AD tenant.

  3. Klicken Sie links oben im Azure-Portal auf Alle Dienste, suchen Sie nach App-Registrierungen, und wählen Sie dann diese Option aus.Choose All services in the top-left corner of the Azure portal, and then search for and select App registrations.

  4. Wählen Sie Neue Registrierung aus.Select New registration.

  5. Geben Sie einen Namen für Ihre Anwendung ein.Enter a name for your application. Beispiel: Azure AD B2C App.For example, Azure AD B2C App.

  6. Übernehmen Sie die Auswahl Accounts in this organizational directory only (Nur Konten in diesem Organisationsverzeichnis) für diese Anwendung.Accept the selection of Accounts in this organizational directory only for this application.

  7. Übernehmen Sie den Wert Web als Umleitungs-URI, geben Sie die folgende URL in Kleinbuchstaben ein, und ersetzen Sie dabei your-B2C-tenant-name durch den Namen Ihres Azure AD B2C-Mandanten.For the Redirect URI, accept the value of Web and enter the following URL in all lowercase letters, replacing your-B2C-tenant-name with the name of your Azure AD B2C tenant.

    https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
    

    Beispiel: https://contoso.b2clogin.com/contoso.onmicrosoft.com/oauth2/authresp.For example, https://contoso.b2clogin.com/contoso.onmicrosoft.com/oauth2/authresp.

    Alle URLs sollten jetzt b2clogin.com verwenden.All URLs should now be using b2clogin.com.

  8. Wählen Sie Registrieren aus, und notieren Sie sich den Wert unter Anwendungs-ID (Client) für einen späteren Schritt.Select Register, then record the Application (client) ID which you use in a later step.

  9. Wählen Sie im Anwendungsmenü unter Verwalten die Option Zertifikate & Geheimnisse und anschließend Neuer geheimer Clientschlüssel aus.Under Manage in the application menu, select Certificates & secrets, then select New client secret.

  10. Geben Sie unter Beschreibung eine Beschreibung für Ihren geheimen Clientschlüssel ein.Enter a Description for the client secret. Beispiel: Azure AD B2C App Secret.For example, Azure AD B2C App Secret.

  11. Wählen Sie den Ablaufzeitraum aus.Select the expiration period. Übernehmen Sie für diese Anwendung die Auswahl In 1 Jahr aus.For this application, accept the selection of In 1 year.

  12. Wählen Sie Hinzufügen aus, und notieren Sie sich den Wert des neuen geheimen Clientschlüssels für einen späteren Schritt.Select Add, then record the value of the new client secret which you use in a later step.

Erstellen einer Facebook-AnwendungCreate a Facebook application

Um ein Facebook-Konto als Identitätsanbieter in Azure AD B2C verwenden zu können, müssen Sie eine Anwendung bei Facebook erstellen.To use a Facebook account as an identity provider in Azure AD B2C, you need to create an application at Facebook. Wenn Sie noch über kein Facebook-Konto verfügen, können Sie unter https://www.facebook.com/ eines erstellen.If you don’t already have a Facebook account, you can get it at https://www.facebook.com/.

  1. Melden Sie sich auf der Facebook-Entwickler-Website mit den Anmeldeinformationen für Ihr Facebook-Konto an.Sign in to Facebook for developers with your Facebook account credentials.
  2. Wenn Sie dies noch nicht getan haben, müssen Sie sich als Facebook-Entwickler registrieren.If you haven't already done so, you need to register as a Facebook developer. Dazu wählen Sie oben rechts auf der Seite die Option Get Started (Erste Schritte) aus, akzeptieren die Facebook-Richtlinien und führen die Registrierungsschritte aus.To do this, select Get Started on the upper-right corner of the page, accept Facebook's policies, and complete the registration steps.
  3. Wählen Sie My Apps (Meine Apps) und dann Create App (App erstellen) aus.Select My Apps and then Create App.
  4. Geben Sie unter Display Name einen Anzeigenamen und unter Contact Email (Kontakt-E-Mail) eine gültige E-Mail-Adresse ein.Enter a Display Name and a valid Contact Email.
  5. Klicken Sie auf Create App ID (App-ID erstellen).Click Create App ID. Hierzu müssen Sie möglicherweise die Richtlinien für die Facebook-Plattform akzeptieren und eine Online-Sicherheitsüberprüfung durchführen.This may require you to accept Facebook platform policies and complete an online security check.
  6. Wählen Sie Settings > Basic (Einstellungen > Allgemeines) aus.Select Settings > Basic.
  7. Wählen Sie eine Kategorie, z.B. Business and Pages.Choose a Category, for example Business and Pages. Dieser Wert ist für Facebook erforderlich, wird aber von Azure AD B2C nicht verwendet.This value is required by Facebook, but isn't used by Azure AD B2C.
  8. Wählen Sie unten auf der Seite die Option Add Platform (Plattform hinzufügen) und dann Website aus.At the bottom of the page, select Add Platform, and then select Website.
  9. Geben Sie für Website-URL https://your-tenant-name.b2clogin.com/ ein, und ersetzen Sie your-tenant-name durch Ihren Mandantennnamen.In Site URL, enter https://your-tenant-name.b2clogin.com/ replacing your-tenant-name with the name of your tenant.
  10. Geben Sie unter Privacy Policy URL (Datenrichtlinien-URL) eine URL ein, z.B. http://www.contoso.com/.Enter a URL for the Privacy Policy URL, for example http://www.contoso.com/. Die Datenschutzrichtlinien-URL ist eine von Ihnen verwaltete Seite mit Datenschutzinformationen für Ihre Anwendung.The privacy policy URL is a page you maintain to provide privacy information for your application.
  11. Klicken Sie auf Save changes (Änderungen speichern).Select Save Changes.
  12. Notieren Sie sich im oberen Bereich der Seite den Wert von App ID (App-ID).At the top of the page, record the value of App ID.
  13. Wählen Sie neben App Secret (App-Geheimnis) die Option Show (Anzeigen) aus, und notieren Sie sich den Wert.Next to App Secret, select Show and record its value. Sie benötigen sowohl die App-ID als auch das App-Geheimnis, um Facebook als Identitätsanbieter in Ihrem Mandanten konfigurieren zu können.You use both the App ID and App Secret to configure Facebook as an identity provider in your tenant. Das App-Geheimnis ist eine wichtige Sicherheitsanmeldeinformation, die sicher aufbewahrt werden muss.App Secret is an important security credential which you should store securely.
  14. Wählen Sie das Pluszeichen neben PRODUCTS (PRODUKTE) und dann unter Facebook Login (Facebook-Anmeldung) die Option Set up (Einrichten) aus.Select the plus sign next to PRODUCTS, then under Facebook Login, select Set up.
  15. Wählen Sie im linken Menü unter Facebook Login (Facebook-Anmeldung) die Option Settings (Einstellungen) aus.Under Facebook Login in the left-hand menu, select Settings.
  16. Geben Sie https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp unter Valid OAuth redirect URIs (Gültige OAuth-Umleitungs-URIs) ein.In Valid OAuth redirect URIs, enter https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Ersetzen Sie your-tenant-name durch den Namen Ihres Mandanten.Replace your-tenant-name with the name of your tenant. Wählen Sie unten auf der Seite die Option Save Changes (Änderungen speichern) aus.Select Save Changes at the bottom of the page.
  17. Klicken Sie rechts oben auf der Seite auf den Selektor Status, und legen Sie ihn auf On (Ein) fest, um die Anwendung öffentlich und Ihre Facebook-Anwendung für Azure AD B2C verfügbar zu machen. Klicken Sie anschließend auf Confirm (Bestätigen).To make your Facebook application available to Azure AD B2C, click the Status selector at the top right of the page and turn it On to make the Application public, and then click Confirm. An diesem Punkt sollte sich der Status von Entwicklung in Live ändern.At this point, the Status should change from Development to Live.

Hinzufügen der IdentitätsanbieterAdd the identity providers

Nach der Erstellung der Anwendung für den betreffenden Identitätsanbieter fügen Sie den Identitätsanbieter Ihrem Mandanten hinzu.After you create the application for the identity provider that you want to add, you add the identity provider to your tenant.

Hinzufügen von Azure Active Directory als IdentitätsanbieterAdd the Azure Active Directory identity provider

  1. Stellen Sie sicher, dass Sie das Verzeichnis verwenden, das den Azure AD B2C-Mandanten enthält.Make sure you're using the directory that contains Azure AD B2C tenant. Wählen Sie im Hauptmenü den Verzeichnis- und Abonnementfilter aus, und wählen Sie das Verzeichnis aus, das Ihren Azure AD B2C-Mandanten enthält.Select the Directory + subscription filter in the top menu and choose the directory that contains your Azure AD B2C tenant.

  2. Wählen Sie links oben im Azure-Portal die Option Alle Dienste aus, suchen Sie nach Azure AD B2C, und wählen Sie dann diese Option aus.Choose All services in the top-left corner of the Azure portal, and then search for and select Azure AD B2C.

  3. Wählen Sie Identitätsanbieter und dann Neuer OpenID Connect-Anbieter aus.Select Identity providers, and then select New OpenID Connect provider.

  4. Geben Sie einen Namen ein.Enter a Name. Geben Sie beispielsweise Contoso Azure AD ein.For example, enter Contoso Azure AD.

  5. Geben Sie für Metadaten-URL die folgende URL ein, und ersetzen Sie dabei your-AD-tenant-domain durch den Domänennamen Ihres Azure AD-Mandanten.For Metadata url, enter the following URL replacing your-AD-tenant-domain with the domain name of your Azure AD tenant:

    https://login.microsoftonline.com/your-AD-tenant-domain/.well-known/openid-configuration
    

    Beispiel: https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration.For example, https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration.

  6. Geben Sie für Client-ID die zuvor notierte Anwendungs-ID ein.For Client ID, enter the application ID that you previously recorded.

  7. Geben Sie im Feld Geheimer Clientschlüssel den zuvor notierten geheimen Clientschlüssel ein.For Client secret, enter the client secret that you previously recorded.

  8. Belassen Sie die Standardwerte für Bereich, Antworttyp und Antwortmodus.Leave the default values for Scope, Response type, and Response mode.

  9. (Optional) Geben Sie einen Wert für Domänenhinweis ein.(Optional) Enter a value for Domain_hint. Beispiel: ContosoAD.For example, ContosoAD. Domänenhinweise sind in der Authentifizierungsanforderung einer Anwendung enthaltene Anweisungen.Domain hints are directives that are included in the authentication request from an application. Sie können verwendet werden, um die beschleunigte Anmeldung des Benutzers auf der Anmeldeseite seines Verbundidentitätsanbieters zu ermöglichen.They can be used to accelerate the user to their federated IdP sign-in page. Sie können auch von einer Anwendung für mehrere Mandanten verwendet werden, um den Benutzer beschleunigt direkt zur organisationsspezifischen Azure AD-Anmeldeseite für ihren Mandanten zu leiten.Or they can be used by a multi-tenant application to accelerate the user straight to the branded Azure AD sign-in page for their tenant.

  10. Geben Sie unter Identitätsanbieter für die Anspruchszuordnung die folgenden Werte für die Anspruchszuordnung ein:Under Identity provider claims mapping, enter the following claims mapping values:

    • Benutzer-ID: oidUser ID: oid
    • Anzeigename: nameDisplay name: name
    • Vorname: given_nameGiven name: given_name
    • Nachname: family_nameSurname: family_name
    • E-Mail: unique_nameEmail: unique_name
  11. Wählen Sie Speichern aus.Select Save.

Hinzufügen von Facebook als IdentitätsanbieterAdd the Facebook identity provider

  1. Wählen Sie Identitätsanbieter und dann Facebook aus.Select Identity providers, then select Facebook.
  2. Geben Sie einen Namen ein.Enter a Name. Beispiel: Facebook.For example, Facebook.
  3. Geben Sie für die Client-ID die App-ID der Facebook-Anwendung ein, die Sie zuvor erstellt haben.For the Client ID, enter the App ID of the Facebook application that you created earlier.
  4. Geben Sie das zuvor notierte App-Geheimnis als Geheimer Clientschlüssel ein.For the Client secret, enter the App Secret that you recorded.
  5. Wählen Sie Speichern aus.Select Save.

Aktualisieren des BenutzerflowsUpdate the user flow

In dem Tutorial, das Sie im Rahmen der Voraussetzungen abgeschlossen haben, haben Sie einen Benutzerflow mit dem Namen B2C_1_signupsignin1 für die Registrierung und Anmeldung erstellt.In the tutorial that you completed as part of the prerequisites, you created a user flow for sign-up and sign-in named B2C_1_signupsignin1. In diesem Abschnitt fügen Sie die Identitätsanbieter dem Benutzerflow B2C_1_signupsignin1 hinzu.In this section, you add the identity providers to the B2C_1_signupsignin1 user flow.

  1. Wählen Sie Benutzerflows (Richtlinien) und dann den Benutzerflow B2C_1_signupsignin1 aus.Select User flows (policies), and then select the B2C_1_signupsignin1 user flow.
  2. Wählen Sie Identitätsanbieter und dann die von Ihnen hinzugefügten Identitätsanbieter Facebook und Contoso Azure AD aus.Select Identity providers, select the Facebook and Contoso Azure AD identity providers that you added.
  3. Wählen Sie Speichern aus.Select Save.

Testen des BenutzerflowsTest the user flow

  1. Wählen Sie auf der Übersichtsseite des erstellten Benutzerflows die Option Benutzerflow ausführen aus.On the Overview page of the user flow that you created, select Run user flow.
  2. Wählen Sie für Anwendung die Webanwendung webapp1 aus, die Sie zuvor registriert haben.For Application, select the web application named webapp1 that you previously registered. Als Antwort-URL sollte https://jwt.ms angezeigt werden.The Reply URL should show https://jwt.ms.
  3. Wählen Sie Benutzerflow ausführen aus, und melden Sie sich mit dem zuvor hinzugefügten Identitätsanbieter an.Select Run user flow, and then sign in with an identity provider that you previously added.
  4. Wiederholen Sie die Schritte 1 bis 3 für andere Identitätsanbieter, die Sie hinzugefügt haben.Repeat steps 1 through 3 for the other identity providers that you added.

Nach erfolgreicher Anmeldung werden Sie zu https://jwt.ms weitergeleitet, und das decodierte Token wird in etwa wie folgt angezeigt:If the sign in operation is successful, you're redirected to https://jwt.ms which displays the Decoded Token, similar to:

{
  "typ": "JWT",
  "alg": "RS256",
  "kid": "<key-ID>"
}.{
  "exp": 1562346892,
  "nbf": 1562343292,
  "ver": "1.0",
  "iss": "https://your-b2c-tenant.b2clogin.com/10000000-0000-0000-0000-000000000000/v2.0/",
  "sub": "20000000-0000-0000-0000-000000000000",
  "aud": "30000000-0000-0000-0000-000000000000",
  "nonce": "defaultNonce",
  "iat": 1562343292,
  "auth_time": 1562343292,
  "name": "User Name",
  "idp": "facebook.com",
  "postalCode": "12345",
  "tfp": "B2C_1_signupsignin1"
}.[Signature]

Nächste SchritteNext steps

In diesem Artikel haben Sie Folgendes gelernt:In this article, you learned how to:

  • Erstellen der IdentitätsanbieteranwendungenCreate the identity provider applications
  • Hinzufügen der Identitätsanbieter zu Ihrem MandantenAdd the identity providers to your tenant
  • Hinzufügen der Identitätsanbieter zu Ihrem BenutzerflowAdd the identity providers to your user flow

Im nächsten Artikel erfahren Sie, wie Sie die Benutzeroberfläche der Seiten anpassen, die Benutzern im Zusammenhang mit ihrer Identität in Ihren Anwendungen angezeigt werden:Next, learn how to customize the UI of the pages shown to users as part of their identity experience in your applications: