Bejelentkezés beállítása egy adott Azure Active Directory-szervezethez az Azure Active Directory B2C-ben

Ez a cikk bemutatja, hogyan engedélyezheti a bejelentkezést egy adott Azure AD-szervezet felhasználói számára egy felhasználói folyamat használatával az Azure AD B2C-ben.

Mielőtt hozzákezdene, válassza ki a beállított szabályzattípust a Szabályzattípus kiválasztása választóval. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljes mértékben konfigurálható egyéni szabályzatokon keresztül. Az ebben a cikkben leírt lépések különbözőek az egyes metódusok esetében.

Megjegyzés

Az Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett forgatókönyvek kezelésére lettek kialakítva. A legtöbb forgatókönyv esetében javasoljuk, hogy beépített felhasználói folyamatokat használjon. Ha még nem tette meg, ismerkedjen meg az egyéni szabályzatok kezdőcsomagjával az Active Directory B2C egyéni szabályzataival kapcsolatos első lépésekben.

Előfeltételek

• Hozzon létre egy felhasználói folyamatot , hogy a felhasználók regisztrálhassák és bejelentkezhessenek az alkalmazásba.
• Webalkalmazás regisztrálása.

• Végezze el az Egyéni szabályzatok használatának első lépéseit az Active Directory B2C-ben
• Webalkalmazás regisztrálása.

Az alkalmazás közzétevő tartományának ellenőrzése

2020 novemberétől az új alkalmazásregisztrációk nem ellenőrzöttként jelennek meg a felhasználói hozzájárulási kérésben, kivéve, ha az alkalmazás közzétevői tartománya ellenőrizve van, és a vállalat identitását ellenőrizték a Microsoft Partner Networkben, és társították az alkalmazással. (További információ erről a változásról.) Vegye figyelembe, hogy az Azure AD B2C felhasználói folyamatai esetében a közzétevő tartománya csak akkor jelenik meg, ha identitásszolgáltatóként Microsoft-fiókot vagy más Azure AD-bérlőt használ. Az új követelmények teljesítéséhez tegye a következőket:

1. A microsoftos partnerhálózati (MPN-) fiók használatával ellenőrizze a vállalati identitását. Ez a folyamat ellenőrzi a vállalat és a vállalat elsődleges kapcsolattartójának adatait.
2. Hajtsa végre a közzétevő ellenőrzési folyamatát, hogy az MPN-fiókját társítsa az alkalmazásregisztrációhoz az alábbi lehetőségek egyikével:
   • Ha a Microsoft-fiók identitásszolgáltatójának alkalmazásregisztrációja egy Azure AD-bérlőben található, ellenőrizze az alkalmazást az alkalmazásregisztrációs portálon.
   • Ha a Microsoft-fiók identitásszolgáltatójához tartozó alkalmazásregisztrációja egy Azure AD B2C-bérlőben található, jelölje meg az alkalmazást a Microsoft Graph API-kkal ellenőrzött közzétevőként (például a Graph Explorer használatával). Az alkalmazás ellenőrzött közzétevőjének beállítására szolgáló felhasználói felület jelenleg le van tiltva az Azure AD B2C-bérlők esetében.

Azure AD-alkalmazás regisztrálása

Ahhoz, hogy egy adott Azure AD-szervezet Azure AD-fiókjával rendelkező felhasználók bejelentkezhessenek, az Azure Active Directory B2C-ben (Azure AD B2C) létre kell hoznia egy alkalmazást az Azure Portalon. További információ: Alkalmazás regisztrálása a Microsoft identitásplatformon.

1. Jelentkezzen be az Azure Portalra.

2. Győződjön meg arról, hogy a szervezeti Azure AD-bérlőt (például Contoso) tartalmazó címtárat használja. Válassza a Címtárak és előfizetések ikont a portál eszköztárán.

3. A Portál beállításai | A Címtárak és előfizetések lapon keresse meg az Azure AD-címtárat a Címtárnév listában, majd válassza a Váltás lehetőséget.

4. Az Azure-szolgáltatások területen válassza az Alkalmazásregisztrációk lehetőséget, vagy keresse meg és válassza ki az alkalmazásregisztrációkat.

5. Válassza az Új regisztráció lehetőséget.

6. Adja meg az alkalmazás nevét . Például: Azure AD B2C App.

7. Fogadja el a csak ebben a szervezeti címtárban lévő fiókok alapértelmezett beállítását (csak alapértelmezett címtár – egyetlen bérlő) ehhez az alkalmazáshoz.

8. Az átirányítási URI esetében fogadja el a web értékét, és írja be a következő URL-címet minden kisbetűvel, ahol your-B2C-tenant-name a rendszer az Azure AD B2C-bérlő nevére cseréli.

   https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
   

   Például: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp.

   Ha egyéni tartományt használ, írja be a következőt https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp: . Cserélje le your-domain-name az egyéni tartományra és your-tenant-name a bérlő nevére.

9. Válassza a Regisztráció lehetőséget. Jegyezze fel az alkalmazás (ügyfél) azonosítóját egy későbbi lépésben való használatra.

10. Válassza a Tanúsítványok titkos kódja &lehetőséget, majd az Új titkos ügyfélkulcs lehetőséget.

11. Adja meg a titkos kód leírását , válasszon lejáratot, majd válassza a Hozzáadás lehetőséget. Jegyezze fel a titkos kód értékét egy későbbi lépésben.

Választható jogcímek konfigurálása

Ha az Azure AD-ből szeretné lekérni a jogcímeket és given_name a family_name jogcímeket, konfigurálhatja az alkalmazás opcionális jogcímeit az Azure Portal felhasználói felületén vagy az alkalmazásjegyzékben. További információ: Opcionális jogcímek megadása az Azure AD-alkalmazáshoz.

1. Jelentkezzen be az Azure Portalra a szervezeti Azure AD-bérlővel. Keresse meg és válassza ki az Azure Active Directoryt.
2. A Kezelés szakaszban válassza az Alkalmazásregisztrációk lehetőséget.
3. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni a listában.
4. A Kezelés szakaszban válassza a Tokenkonfiguráció lehetőséget.
5. Válassza a Nem kötelező jogcím hozzáadása lehetőséget.
6. A jogkivonat típusaként válassza az Azonosító lehetőséget.
7. Válassza ki a hozzáadni kívánt opcionális jogcímeket, family_name és given_name.
8. Válassza a Hozzáadás lehetőséget. Ha be van kapcsolva a Microsoft Graph e-mail-engedélye (a jogcímek tokenben való megjelenítéséhez szükséges), engedélyezze, majd válassza ismét a Hozzáadás lehetőséget .

[Nem kötelező] Az alkalmazás hitelességének ellenőrzése

A közzétevő ellenőrzése segít a felhasználóknak megérteni a regisztrált alkalmazás hitelességét. Az ellenőrzött alkalmazás azt jelenti, hogy az alkalmazás közzétevője a Microsoft Partner Network (MPN) használatával igazolta személyazonosságát. Útmutató az alkalmazás ellenőrzött közzétevővel rendelkezőként való megjelöléséhez.

Az Azure AD konfigurálása identitásszolgáltatóként

1. Győződjön meg arról, hogy az Azure AD B2C-bérlőt tartalmazó címtárat használja. Válassza a Címtárak és előfizetések ikont a portál eszköztárán.

2. A Portál beállításai | A Címtárak és előfizetések lapon keresse meg az Azure AD B2C-címtárat a Címtárnév listában, majd válassza a Váltás lehetőséget.

3. Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza ki az Azure AD B2C-t.

4. Válassza az Identitásszolgáltatók lehetőséget, majd válassza az Új OpenID Connect-szolgáltató lehetőséget.

5. Adjon meg egy nevet. Írja be például a Contoso Azure AD-t.

6. Metaadatok URL-címeként adja meg a következő URL-címet az Azure AD-bérlő tartománynevével helyettesítve{tenant}:

   https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration
   

Például: https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration. Ha egyéni tartományt használ, cserélje le contoso.com az egyéni tartományra a következőben https://login.microsoftonline.com/contoso.com/v2.0/.well-known/openid-configuration: .

1. Ügyfél-azonosítóként adja meg a korábban rögzített alkalmazásazonosítót.

2. Az ügyfél titkos kódjaként adja meg a korábban rögzített titkos ügyfélkulcs-értéket.

3. A Hatókör mezőbe írja be a következőt openid profile:

4. Hagyja meg a Válasz típus és a Válasz mód alapértelmezett értékeit.

5. (Nem kötelező) A tartományra vonatkozó tipphez írja be a következőt contoso.com: . További információ: Közvetlen bejelentkezés beállítása az Azure Active Directory B2C használatával.

6. Az Identitásszolgáltatói jogcímek leképezése területen válassza ki a következő jogcímeket:

   • Felhasználói azonosító: oid
   • Megjelenítendő név: név
   • Utónév: given_name
   • Vezetéknév: family_name
   • E-mail:e-mail

7. Kattintson a Mentés gombra.

Azure AD-identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Ezen a ponton az Azure AD-identitásszolgáltató már be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. Az Azure AD-identitásszolgáltató hozzáadása egy felhasználói folyamathoz:

1. Az Azure AD B2C-bérlőben válassza ki a felhasználói folyamatokat.
2. Kattintson arra a felhasználói folyamatra, amelyet hozzá szeretne adni az Azure AD-identitásszolgáltatóhoz.
3. A Beállítások területen válassza az Identitásszolgáltatók lehetőséget
4. Az Egyéni identitásszolgáltatók területen válassza a Contoso Azure AD-t.
5. Kattintson a Mentés gombra.
6. A szabályzat teszteléséhez válassza a Felhasználói folyamat futtatása lehetőséget.
7. Alkalmazás esetén válasszon ki egy korábban regisztrált webalkalmazást. A válasz URL-címének meg kell jelennie https://jwt.ms.
8. Válassza a Felhasználói folyamat futtatása gombot.
9. A regisztrációs vagy bejelentkezési oldalon válassza a Contoso Azure AD-t az Azure AD Contoso-fiókkal való bejelentkezéshez.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt https://jwt.ms, amely megjeleníti az Azure AD B2C által visszaadott jogkivonat tartalmát.

Szabályzatkulcs létrehozása

Az Azure AD B2C-bérlőben létrehozott alkalmazáskulcsot kell tárolnia.

1. Győződjön meg arról, hogy az Azure AD B2C-bérlőt tartalmazó címtárat használja. Válassza a Címtárak és előfizetések ikont a portál eszköztárán.
2. A Portál beállításai | A Címtárak és előfizetések lapon keresse meg az Azure AD B2C-címtárat a Címtárnév listában, majd válassza a Váltás lehetőséget.
3. Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza ki az Azure AD B2C-t.
4. A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
5. Válassza a Szabályzatkulcsok , majd a Hozzáadás lehetőséget.
6. A Beállítások beállításnál válassza a Manuallehetőséget.
7. Adja meg a szabályzatkulcs nevét . Például: ContosoAppSecret. Az előtag létrehozásakor a rendszer automatikusan hozzáadja az előtagot B2C_1A_ a kulcs nevéhez, így a következő szakaszban az XML-ben található hivatkozás B2C_1A_ContosoAppSecret.
8. A Titkos kód mezőbe írja be a korábban rögzített titkos ügyfélkulcs-értéket.
9. Kulcshasználat esetén válassza a Signaturelehetőséget.
10. Válassza a Létrehozás lehetőséget.

Az Azure AD konfigurálása identitásszolgáltatóként

Ahhoz, hogy a felhasználók Azure AD-fiókkal jelentkezzenek be, meg kell határoznia az Azure AD-t jogcímszolgáltatóként, amellyel az Azure AD B2C egy végponton keresztül tud kommunikálni. A végpont olyan jogcímeket biztosít, amelyeket az Azure AD B2C használ annak ellenőrzésére, hogy egy adott felhasználó hitelesített-e.

Az Azure AD-t jogcímszolgáltatóként úgy határozhatja meg, hogy hozzáadja az Azure AD-t a szabályzat bővítményfájljában található ClaimsProvider elemhez.

1. Nyissa meg a TrustFrameworkExtensions.xml fájlt.

2. Keresse meg a ClaimsProviders elemet. Ha nem létezik, adja hozzá a gyökérelemhez.

3. Adjon hozzá egy új ClaimsProvidert az alábbiak szerint:

   <ClaimsProvider>
     <Domain>Contoso</Domain>
     <DisplayName>Login using Contoso</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="AADContoso-OpenIdConnect">
         <DisplayName>Contoso Employee</DisplayName>
         <Description>Login with your Contoso account</Description>
         <Protocol Name="OpenIdConnect"/>
         <Metadata>
           <Item Key="METADATA">https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration</Item>
           <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_ContosoAppSecret"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid"/>
           <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. A ClaimsProvider elem alatt frissítse a tartomány értékét egy egyedi értékre, amely megkülönböztethető más identitásszolgáltatóktól. Például: Contoso. Ezt a tartománybeállítást nem kell a végére tenni .com .

5. A ClaimsProvider elem alatt frissítse a DisplayName értékét a jogcímszolgáltató rövid nevére. Ez az érték jelenleg nincs használatban.

A műszaki profil frissítése

Ha jogkivonatot szeretne lekérni az Azure AD-végpontról, meg kell határoznia azOkat a protokollokat, amelyeket az Azure AD B2C-nek használnia kell az Azure AD-vel való kommunikációhoz. Ez a ClaimsProviderTechnicalProfile elemén belül történik.

1. Frissítse a TechnicalProfile elem azonosítóját. Ezzel az azonosítóval hivatkozhat erre a technikai profilra a szabályzat más részeiből, például AADContoso-OpenIdConnect.
2. Frissítse a DisplayName értékét. Ez az érték megjelenik a bejelentkezési képernyőn a bejelentkezési gombon.
3. Frissítse a Leírás értékét.
4. Az Azure AD az OpenID Connect protokollt használja, ezért győződjön meg arról, hogy a Protocol értéke .OpenIdConnect
5. Állítsa a METADATA értékét a következőre https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration: az tenant-name Azure AD-bérlő neve. Például: https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration
6. Állítsa client_id az alkalmazásregisztrációból származó alkalmazásazonosítóra.
7. A CryptographicKeys területen frissítse a StorageReferenceId értékét a korábban létrehozott szabályzatkulcs nevére. Például: B2C_1A_ContosoAppSecret.

Felhasználói folyamat hozzáadása

Ezen a ponton az identitásszolgáltató már be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. Ha nem rendelkezik saját egyéni felhasználói folyamatokkal, hozzon létre egy meglévő sablonfelhasználói folyamat duplikátumát, ellenkező esetben folytassa a következő lépéssel.

1. Nyissa meg a TrustFrameworkBase.xml fájlt a kezdőcsomagból.
2. Keresse meg és másolja ki a UserJourney elem teljes tartalmát, amely tartalmazza Id="SignUpOrSignIn".
3. Nyissa meg a TrustFrameworkExtensions.xml , és keresse meg a UserJourneys elemet. Ha az elem nem létezik, adjon hozzá egyet.
4. Illessze be a UserJourney elem gyermekként kimásolt UserJourney elem teljes tartalmát.
5. Nevezze át a felhasználói folyamat azonosítóját. Például: Id="CustomSignUpSignIn".

Identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Most, hogy elkészült a felhasználói folyamat, adja hozzá az új identitásszolgáltatót a felhasználói folyamathoz. Először vegyen fel egy bejelentkezési gombot, majd kapcsolja a gombot egy művelethez. A művelet a korábban létrehozott műszaki profil.

1. Keresse meg a vezénylési lépés azon elemét, amely tartalmazza Type="CombinedSignInAndSignUp"vagy Type="ClaimsProviderSelection" a felhasználói folyamat során. Általában ez az első vezénylési lépés. A ClaimsProviderSelections elem azon identitásszolgáltatók listáját tartalmazza, amelyekkel a felhasználó bejelentkezhet. Az elemek sorrendje határozza meg a felhasználónak megjelenített bejelentkezési gombok sorrendjét. Adjon hozzá egy ClaimsProviderSelection XML-elemet. Állítsa a TargetClaimsExchangeId értékét egy rövid névre.

2. A következő vezénylési lépésben adjon hozzá egy ClaimsExchange elemet. Állítsa az azonosítót a céljogcímcsere-azonosító értékére. Frissítse a TechnicalProfileReferenceId értékét a korábban létrehozott műszaki profil azonosítójára.

A következő XML a felhasználói folyamat első két vezénylési lépését mutatja be az identitásszolgáltatóval:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="AzureADContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="AzureADContosoExchange" TechnicalProfileReferenceId="AADContoso-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

A függő entitás házirendjének konfigurálása

A függő entitás szabályzata, például SignUpSignIn.xml, meghatározza az Azure AD B2C által végrehajtott felhasználói folyamatot. Keresse meg a DefaultUserJourney elemet a függő entitáson belül. Frissítse a ReferenceId azonosítót , hogy megfeleljen a felhasználói útazonosítónak, amelyben hozzáadta az identitásszolgáltatót.

A következő példában a CustomSignUpSignIn felhasználói folyamat esetében a ReferenceId értéke a következő CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Az egyéni szabályzat feltöltése

1. Jelentkezzen be az Azure Portalra.
2. Válassza a Címtár + Előfizetés ikont a portál eszköztárán, majd válassza ki az Azure AD B2C-bérlőt tartalmazó címtárat.
3. Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
4. A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
5. Válassza az Egyéni házirend feltöltése lehetőséget, majd töltse fel a módosított két házirendfájlt a következő sorrendben: a bővítményházirend, például TrustFrameworkExtensions.xmla függő entitás házirendje, például SignUpSignIn.xml.

Az egyéni szabályzat tesztelése

1. Válassza ki például B2C_1A_signup_signina függő entitás szabályzatát.
2. Alkalmazás esetén válasszon ki egy korábban regisztrált webalkalmazást. A válasz URL-címének meg kell jelennie https://jwt.ms.
3. Válassza a Futtatás most gombot.
4. A regisztrációs vagy bejelentkezési oldalon válassza a Contoso Alkalmazott lehetőséget az Azure AD Contoso-fiókkal való bejelentkezéshez.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt https://jwt.ms, amely megjeleníti az Azure AD B2C által visszaadott jogkivonat tartalmát.

Következő lépések

Megtudhatja, hogyan adhatja át az Azure AD-jogkivonatot az alkalmazásnak.