Regisztráció és bejelentkezés beállítása azure AD B2C-fiókkal egy másik Azure AD B2C-bérlőből
Mielőtt hozzákezdene, a Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.
Megjegyzés:
Az Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett helyzetek kezelésére szolgálnak. A legtöbb forgatókönyv esetében javasoljuk, hogy beépített felhasználói folyamatokat használjon. Ha még nem tette meg, ismerkedjen meg az egyéni szabályzatok kezdőcsomagjával az Egyéni szabályzatok használatának első lépései az Active Directory B2C-ben.
Áttekintés
Ez a cikk azt ismerteti, hogyan állíthat be összevonást egy másik Azure AD B2C-bérlővel. Ha az alkalmazások az Azure AD B2C-vel vannak védve, ez lehetővé teszi, hogy más Azure AD B2C-k felhasználói bejelentkezhessenek a meglévő fiókjukkal. Az alábbi ábrán a felhasználók bejelentkezhetnek a Contoso Azure AD B2C által védett alkalmazásba a Fabrikam Azure AD B2C-bérlője által felügyelt fiókkal. Ebben az esetben a felhasználói fióknak jelen kell lennie a Fabrikam bérlőjében, mielőtt a Contoso Azure AD B2C által védett alkalmazás megpróbálhat bejelentkezni.
Előfeltételek
- Hozzon létre egy felhasználói folyamatot , hogy a felhasználók regisztrálhassák és bejelentkezhessenek az alkalmazásba.
- Webalkalmazás regisztrálása.
- Az Egyéni szabályzatok használatának első lépései az Active Directory B2C-ben
- Webalkalmazás regisztrálása.
Az alkalmazás közzétevői tartományának ellenőrzése
2020 novemberétől az új alkalmazásregisztrációk nem ellenőrzöttként jelennek meg a felhasználói hozzájárulási kérésben, kivéve, ha az alkalmazás közzétevői tartományát ellenőrzik, és a vállalat identitását a Microsoft Partner Network ellenőrzi, és az alkalmazáshoz van társítva. (További információ erről a változásról.) Vegye figyelembe, hogy az Azure AD B2C felhasználói folyamatai esetében a közzétevő tartománya csak akkor jelenik meg, ha egy Microsoft-fiókot vagy más Microsoft Entra-bérlőt használ identitásszolgáltatóként. Az új követelmények teljesítéséhez tegye a következőket:
- Ellenőrizze a vállalati identitását a Microsoft Partner Network (MPN) fiókjával. Ez a folyamat ellenőrzi a vállalat és a vállalat elsődleges kapcsolattartójának adatait.
- Végezze el a közzétevő ellenőrzési folyamatát, hogy az MPN-fiókját társítsa az alkalmazásregisztrációhoz az alábbi lehetőségek egyikével:
- Ha a Microsoft-fiók identitásszolgáltatójának alkalmazásregisztrációja Egy Microsoft Entra-bérlőben található, ellenőrizze az alkalmazást az alkalmazásregisztrációs portálon.
- Ha a Microsoft-fiók identitásszolgáltatójának alkalmazásregisztrációja egy Azure AD B2C-bérlőben található, jelölje meg az alkalmazást a Microsoft Graph API-kkal ellenőrzött közzétevőként (például a Graph Explorer használatával). Az alkalmazás ellenőrzött közzétevőjének beállítására szolgáló felhasználói felület jelenleg le van tiltva az Azure AD B2C-bérlők esetében.
Azure AD B2C-alkalmazás létrehozása
Ha engedélyezni szeretné a bejelentkezést egy másik Azure AD B2C-bérlőből (például Fabrikam) származó fiókkal rendelkező felhasználók számára az Azure AD B2C-ben (például Contoso):
- Felhasználói folyamat vagy egyéni szabályzat létrehozása.
- Ezután hozzon létre egy alkalmazást az Azure AD B2C-ben, az ebben a szakaszban leírtak szerint.
Alkalmazás létrehozása.
Jelentkezzen be az Azure Portalra.
Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
Válassza a Alkalmazásregisztrációk, majd az Új regisztráció lehetőséget.
Adja meg az alkalmazás nevét. Például a ContosoApp.
A Támogatott fióktípusok területen válassza a Fiókok lehetőséget bármely identitásszolgáltatóban vagy szervezeti címtárban (a felhasználók felhasználói folyamatokkal való hitelesítéséhez).
Az Átirányítási URI területen válassza a Web lehetőséget, majd írja be a következő URL-címet minden kisbetűvel, ahol
your-B2C-tenant-namea rendszer az Azure AD B2C-bérlő nevére cseréli (például Contoso).https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authrespFor example,
https://contoso.b2clogin.com/contoso.onmicrosoft.com/oauth2/authresp.Ha egyéni tartományt használ, írja be a következőt:
https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authrespCserélje leyour-domain-nameaz egyéni tartományra ésyour-tenant-namea bérlő nevére.Az Engedélyek csoportban jelölje be a Rendszergazdai hozzájárulás megadása a megnyitáshoz és az engedélyek offline_access jelölőnégyzetet.
Válassza a Regisztrálás lehetőséget.
Az Azure AD B2C – Alkalmazásregisztrációk lapon válassza ki a létrehozott alkalmazást, például a ContosoAppot.
Rögzítse az alkalmazás (ügyfél) azonosítóját az alkalmazás áttekintési oldalán. Erre akkor van szükség, ha a következő szakaszban konfigurálja az identitásszolgáltatót.
A bal oldali menü Kezelés területén válassza a Tanúsítványok titkos kulcsok& lehetőséget.
Válassza az Új titkos ügyfélkód lehetőséget.
Írja be az ügyfél titkos kódjának leírását a Leírás mezőbe. Például: clientsecret1.
A Lejáratok csoportban válassza ki azt az időtartamot, amelyre érvényes a titkos kód, majd válassza a Hozzáadás lehetőséget.
Jegyezze fel a titkos kód értékét. Erre akkor van szükség, ha a következő szakaszban konfigurálja az identitásszolgáltatót.
Az Azure AD B2C konfigurálása identitásszolgáltatóként
Jelentkezzen be az Azure Portalra.
Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza az Azure AD B2C-t.
Válassza az Identitásszolgáltatók lehetőséget, majd válassza az Új OpenID Csatlakozás szolgáltatót.
Adjon meg egy nevet. Írja be például a Fabrikam nevet.
Metaadat-URL-cím esetén adja meg a következő URL-címet, amely az Azure AD B2C-bérlő tartománynevével vált
{tenant}fel (például Fabrikam). Cserélje le a{policy}másik bérlőben konfigurált házirendnévre:https://{tenant}.b2clogin.com/{tenant}.onmicrosoft.com/{policy}/v2.0/.well-known/openid-configurationFor example,
https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/B2C_1_susi/v2.0/.well-known/openid-configuration.Ügyfélazonosítóként adja meg a korábban rögzített alkalmazásazonosítót.
Az ügyfél titkos kódjának megadásához adja meg a korábban rögzített ügyfélkulcsot.
A Hatókör mezőben adja meg a
openid.Hagyja meg a Válasz típus és a Válasz mód alapértelmezett értékeit.
(Nem kötelező) A Domain hint mezőben adja meg a közvetlen bejelentkezéshez használni kívánt tartománynevet. Például fabrikam.com.
Az Identitásszolgáltató jogcímleképezés területén válassza ki a következő jogcímeket:
- Felhasználói azonosító: sub
- Megjelenítendő név: név
- Utónév: given_name
- Vezetéknév: family_name
- E-mail: e-mail
Válassza a Mentés parancsot.
Azure AD B2C-identitásszolgáltató hozzáadása egy felhasználói folyamathoz
- Az Azure AD B2C-bérlőben válassza a Felhasználói folyamatok lehetőséget.
- Kattintson arra a felhasználói folyamatra, amelyet hozzá szeretne adni az Azure AD B2C-identitásszolgáltatóhoz.
- A Közösségi identitásszolgáltatók területen válassza a Fabrikam lehetőséget.
- Válassza a Mentés parancsot.
- A szabályzat teszteléséhez válassza a Felhasználói folyamat futtatása lehetőséget.
- Alkalmazás esetén válassza ki a korábban regisztrált testapp1 nevű webalkalmazást. A Válasz URL-címnek meg kell jelennie
https://jwt.ms. - Válassza a Felhasználói folyamat futtatása gombot.
- A regisztrációs vagy bejelentkezési oldalon válassza a Fabrikam lehetőséget a másik Azure AD B2C-bérlővel való bejelentkezéshez.
Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt, amely megjeleníti az Azure AD B2C által visszaadott https://jwt.msjogkivonat tartalmát.
Szabályzatkulcs létrehozása
A korábban létrehozott alkalmazáskulcsot az Azure AD B2C-bérlőben kell tárolnia.
- Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
- Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza az Azure AD B2C-t.
- A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
- Válassza a Házirendkulcsok lehetőséget, majd válassza a Hozzáadás lehetőséget.
- A Beállítások beállításnál válassza a
Manuallehetőséget. - Adja meg a szabályzatkulcs nevét. For example,
FabrikamAppSecret. Az előtag létrehozásakor a rendszer automatikusan hozzáadja az előtagotB2C_1A_a kulcs nevéhez, ezért a következő szakaszban szereplő XML-hivatkozás B2C_1A_FabrikamAppSecret. - A Titkos kód mezőbe írja be a korábban rögzített ügyfélkulcsot.
- Kulcshasználat esetén válassza a
Signaturelehetőséget. - Select Create.
Az Azure AD B2C konfigurálása identitásszolgáltatóként
Ahhoz, hogy a felhasználók egy másik Azure AD B2C-bérlőből (Fabrikam) származó fiókkal jelentkezzenek be, meg kell határoznia a másik Azure AD B2C-t jogcímszolgáltatóként, amellyel az Azure AD B2C egy végponton keresztül tud kommunikálni. A végpont olyan jogcímeket biztosít, amelyeket az Azure AD B2C használ annak ellenőrzésére, hogy egy adott felhasználó hitelesített-e.
Az Azure AD B2C-t jogcímszolgáltatóként úgy határozhatja meg, hogy hozzáadja az Azure AD B2C-t a szabályzat bővítményfájljának ClaimsProvider eleméhez.
Nyissa meg az TrustFrameworkExtensions.xml fájlt.
Keresse meg a ClaimsProviders elemet. Ha nem létezik, adja hozzá a gyökérelemhez.
Adjon hozzá egy új ClaimsProvidert az alábbiak szerint:
<ClaimsProvider> <Domain>fabrikam.com</Domain> <DisplayName>Federation with Fabrikam tenant</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="AzureADB2CFabrikam-OpenIdConnect"> <DisplayName>Fabrikam</DisplayName> <Protocol Name="OpenIdConnect"/> <Metadata> <!-- Update the Client ID below to the Application ID --> <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item> <!-- Update the metadata URL with the other Azure AD B2C tenant name and policy name --> <Item Key="METADATA">https://{tenant}.b2clogin.com/{tenant}.onmicrosoft.com/{policy}/v2.0/.well-known/openid-configuration</Item> <Item Key="UsePolicyInRedirectUri">false</Item> <Item Key="response_types">code</Item> <Item Key="scope">openid</Item> <Item Key="response_mode">form_post</Item> <Item Key="HttpBinding">POST</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_FabrikamAppSecret"/> </CryptographicKeys> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" /> <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" /> <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" /> <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" /> <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" /> <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" /> <OutputClaim ClaimTypeReferenceId="otherMails" PartnerClaimType="emails"/> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>Frissítse a következő XML-elemeket a megfelelő értékkel:
Felhasználói folyamat hozzáadása
Ezen a ponton az identitásszolgáltató be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. Ha nem rendelkezik saját egyéni felhasználói folyamatokkal, hozzon létre egy meglévő sablonfelhasználói folyamat másolatát, ellenkező esetben folytassa a következő lépéssel.
- Nyissa meg az TrustFrameworkBase.xml fájlt a kezdőcsomagból.
- Keresse meg és másolja ki a UserJourney elem teljes tartalmát, amely tartalmazza
Id="SignUpOrSignIn"a elemet. - Nyissa meg az TrustFrameworkExtensions.xml fájlt , és keresse meg a UserJourneys elemet. Ha az elem nem létezik, adjon hozzá egyet.
- Illessze be a UserJourney elem gyermekként másolt UserJourney elem teljes tartalmát.
- Nevezze át a felhasználói folyamat azonosítóját. For example,
Id="CustomSignUpSignIn".
Identitásszolgáltató hozzáadása egy felhasználói folyamathoz
Most, hogy már rendelkezik felhasználói folyamatokkal, adja hozzá az új identitásszolgáltatót a felhasználói folyamathoz. Először hozzáad egy bejelentkezési gombot, majd csatolja a gombot egy művelethez. A művelet a korábban létrehozott technikai profil.
Keresse meg a vezénylési lépés azon elemét, amely tartalmazza
Type="CombinedSignInAndSignUp"vagyType="ClaimsProviderSelection"a felhasználói folyamat során. Általában ez az első vezénylési lépés. A ClaimsProviderSelections elem azon identitásszolgáltatók listáját tartalmazza, amelyekkel a felhasználó bejelentkezhet. Az elemek sorrendje szabályozza a felhasználónak megjelenített bejelentkezési gombok sorrendjét. Adjon hozzá egy ClaimsProviderSelection XML-elemet. Állítsa be a TargetClaimsExchangeId értékét egy rövid névre.A következő vezénylési lépésben adjon hozzá egy ClaimsExchange elemet. Állítsa az azonosítót a cél jogcímcsere-azonosító értékére. Frissítse a TechnicalProfileReferenceId értékét a korábban létrehozott műszaki profil azonosítójára.
Az alábbi XML a felhasználói folyamat első két vezénylési lépését mutatja be az identitásszolgáltatóval:
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="AzureADB2CFabrikamExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="AzureADB2CFabrikamExchange" TechnicalProfileReferenceId="AzureADB2CFabrikam-OpenIdConnect" />
</ClaimsExchanges>
</OrchestrationStep>
A függő entitás házirendjének konfigurálása
A függő entitás házirendje( például SignUpSignIn.xml) meghatározza az Azure AD B2C által végrehajtandó felhasználói folyamatot. Keresse meg a DefaultUserJourney elemet a függő entitáson belül. Frissítse a referenciaazonosítót a felhasználói útazonosítónak megfelelően, amelyben hozzáadta az identitásszolgáltatót.
A következő példában a CustomSignUpSignIn felhasználói folyamat referenciaazonosítója a következőre CustomSignUpSignInvan állítva:
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
Az egyéni szabályzat feltöltése
- Jelentkezzen be az Azure Portalra.
- Válassza a Címtár + Előfizetés ikont a portál eszköztárán, majd válassza ki az Azure AD B2C-bérlőt tartalmazó könyvtárat.
- Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
- A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
- Válassza az Egyéni házirend feltöltése lehetőséget, majd töltse fel a módosított két házirendfájlt a következő sorrendben: a bővítményházirend, például
TrustFrameworkExtensions.xmla függő entitás házirendje, példáulSignUpSignIn.xml.
Egyéni szabályzat tesztelése
- Válassza ki például
B2C_1A_signup_signina függő entitás szabályzatát. - Alkalmazás esetén válasszon ki egy korábban regisztrált webalkalmazást. A Válasz URL-címnek meg kell jelennie
https://jwt.ms. - Válassza a Futtatás most gombot.
- A regisztrációs vagy bejelentkezési oldalon válassza a Fabrikam lehetőséget a másik Azure AD B2C-bérlővel való bejelentkezéshez.
Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt, amely megjeleníti az Azure AD B2C által visszaadott https://jwt.msjogkivonat tartalmát.
Következő lépések
Megtudhatja, hogyan adhatja át a másik Azure AD B2C-jogkivonatot az alkalmazásnak.