Configuración de un flujo de inicio de sesión en Azure Active Directory B2C

Antes de comenzar, use el selector Elección de un tipo de directiva para elegir el tipo de directiva que va a configurar. Azure Active Directory B2C ofrece dos métodos para definir el modo en que los usuarios interactúan con las aplicaciones: por medio de flujos de usuario predefinidos o de directivas personalizadas totalmente configurables. Los pasos necesarios en este artículo son diferentes para cada método.

Introducción al flujo de inicio de sesión

La directiva de inicio de sesión contiene las siguientes directrices:

  • Los usuarios pueden iniciar sesión con una cuenta local de Azure AD B2C
  • Registrarse o iniciar sesión con una cuenta de redes sociales
  • Restablecimiento de contraseña
  • Los usuarios no pueden suscribirse a una cuenta local de Azure AD B2C. Para crear una cuenta, un administrador puede usar Azure Portal o MS Graph API.

Flujo de edición de perfiles

Prerrequisitos

Creación de un flujo de usuario de inicio de sesión

Para agregar la directiva de inicio de sesión:

  1. Inicie sesión en Azure Portal.

  2. Seleccione el icono Directorios y suscripciones en la barra de herramientas del portal.

  3. En la página Configuración del portal | Directorios y suscripciones, busque el directorio de Azure AD B2C en la lista Nombre de directorio y seleccione Cambiar.

  4. En Azure Portal, busque y seleccione Azure AD B2C.

  5. En Directivas, seleccione Flujos de usuario y Nuevo flujo de usuario.

  6. En la página Crear un flujo de usuario, seleccione el flujo de usuario Iniciar sesión.

  7. En Seleccione una versión, elija Recomendada y, luego, seleccione Crear. Más información sobre las versiones del flujo de usuario.

  8. Escriba un nombre para el flujo de usuario. Por ejemplo, signupsignin1.

  9. En Proveedores de identidades, seleccione al menos un proveedor de identidades:

    • En Cuentas locales, seleccione una de las opciones siguientes: Email signin (Inicio de sesión de correo electrónico), User ID signin (Inicio de sesión de usuario), Phone signin (Inicio de sesión de teléfono), Phone/Email signin (Inicio de sesión de teléfono o correo electrónico), User ID/Email signin (Inicio de sesión de id. de usuario o correo electrónico) o None (Ninguno). Más información.
    • En Proveedores de identidades sociales, seleccione cualquiera de los proveedores de identidades sociales o empresariales externos que haya configurado. Más información.
  10. En Autenticación multifactor, si quiere exigir a los usuarios que comprueben su identidad con un segundo método de autenticación, elija el tipo de método y cuándo aplicar la autenticación multifactor (MFA). Más información.

  11. En Acceso condicional, si ha configurado directivas de acceso condicional para el inquilino de Azure AD B2C y quiere habilitarlas para este flujo de usuario, active la casilla Aplicar directivas de acceso condicional. No es necesario especificar un nombre de directiva. Más información.

  12. En Notificaciones de la aplicación, elija las notificaciones que quiere que se devuelvan a la aplicación en el token. Para obtener la lista completa de valores, seleccione Mostrar más, elija los valores y, después, seleccione Aceptar.

    Nota

    También puede crear atributos personalizados para usarlos en el inquilino de Azure AD B2C.

  13. Haga clic en Crear para agregar el flujo de usuario. El prefijo B2C_1 se anexa automáticamente al nombre.

Prueba del flujo de usuario

  1. Seleccione el flujo de usuario que ha creado para abrir su página de información general y, luego, Ejecutar flujo de usuario.
  2. En Aplicación, seleccione la aplicación web denominada webapp1 que registró anteriormente. La dirección URL de respuesta debe mostrar https://jwt.ms.
  3. Haga clic en Ejecutar flujo de usuario.
  4. Debería poder iniciar sesión con la cuenta que ha creado (mediante MS Graph API), sin el vínculo de registro. El token devuelto incluye las notificaciones que ha seleccionado.

El perfil técnico SelfAsserted-LocalAccountSignin-Email es autoafirmado, y se invoca durante el flujo de registro o de inicio de sesión. Para quitar el vínculo de registro, establezca los metadatos de setting.showSignupLink en false. Invalide los perfiles técnicos de SelfAsserted-LocalAccountSignin-Email en el archivo de extensión.

  1. Abra el archivo de extensiones de la directiva. Por ejemplo, SocialAndLocalAccounts/ TrustFrameworkExtensions.xml.

  2. Busque el elemento ClaimsProviders. Si el elemento no existe, agréguelo.

  3. Agregue el siguiente proveedor de notificaciones al elemento ClaimsProviders:

    <!--
    <ClaimsProviders> -->
      <ClaimsProvider>
        <DisplayName>Local Account</DisplayName>
        <TechnicalProfiles>
          <TechnicalProfile Id="SelfAsserted-LocalAccountSignin-Email">
            <Metadata>
              <Item Key="setting.showSignupLink">false</Item>
            </Metadata>
          </TechnicalProfile>
        </TechnicalProfiles>
      </ClaimsProvider>
    <!--
    </ClaimsProviders> -->
    
  4. Dentro del elemento <BuildingBlocks>, agregue el siguiente valor de ContentDefinition para hacer referencia a la versión 1.2.0 o un URI de datos más reciente:

    <!-- 
    <BuildingBlocks> 
      <ContentDefinitions>-->
        <ContentDefinition Id="api.localaccountsignup">
          <DataUri>urn:com:microsoft:aad:b2c:elements:contract:unifiedssp:1.2.0</DataUri>
        </ContentDefinition>
      <!--
      </ContentDefinitions>
    </BuildingBlocks> -->
    

Carga y prueba de la directiva

  1. Inicie sesión en Azure Portal.
  2. Asegúrese de que usa el directorio que contiene el inquilino de Azure AD. Para ello, seleccione el icono Directorios y suscripciones en la barra de herramientas del portal.
  3. En la página Configuración del portal | Directorios y suscripciones, busque el directorio de Azure AD en la lista Nombre de directorio y, después, seleccione Cambiar.
  4. Elija Todos los servicios en la esquina superior izquierda de Azure Portal, y busque y seleccione Registros de aplicaciones.
  5. Seleccione Marco de experiencia de identidad.
  6. Seleccione Cargar directiva personalizada y cargue el archivo de la directiva que ha modificado, TrustFrameworkExtensions.xml.
  7. Seleccione la directiva de inicio de sesión que cargó y haga clic en el botón Ejecutar ahora.
  8. Debería poder iniciar sesión con la cuenta que ha creado (mediante MS Graph API), sin el vínculo de registro.

Pasos siguientes