Regisztráció és bejelentkezés beállítása Google-fiókkal a Azure Active Directory B2C használatával

Mielőtt hozzákezdene, válassza ki a beállított szabályzattípust a Szabályzattípus kiválasztása választóval. Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre meghatározott felhasználói folyamatokon vagy teljes mértékben konfigurálható egyéni szabályzatokon keresztül. Az ebben a cikkben leírt lépések különbözőek az egyes metódusok esetében.

Fontos

2021. szeptember 30-tól a Google elavulttá tette a webes megtekintési bejelentkezési támogatást. Ha alkalmazásai beágyazott webnézettel hitelesítik a felhasználókat, és a Google összevonást Azure AD B2C-vel használják, a Google Gmail-felhasználók nem fognak tudni hitelesíteni. További információ.

Megjegyzés

A Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett forgatókönyvek kezelésére szolgálnak. A legtöbb forgatókönyv esetében javasoljuk, hogy beépített felhasználói folyamatokat használjon. Ha még nem tette meg, megismerheti az egyéni szabályzatok kezdőcsomagját Első lépések egyéni szabályzatokkal az Active Directory B2C-ben.

Előfeltételek

• Hozzon létre egy felhasználói folyamatot , hogy a felhasználók regisztrálhassák és bejelentkezhessenek az alkalmazásba.
• Webalkalmazás regisztrálása.

• Hajtsa végre a Első lépések lépéseit egyéni szabályzatokkal az Active Directory B2C-ben
• Webalkalmazás regisztrálása.

Google-alkalmazás létrehozása

Ha engedélyezni szeretné a google-fiókkal rendelkező felhasználók bejelentkezését a Azure Active Directory B2C-ben (Azure AD B2C), létre kell hoznia egy alkalmazást a Google Fejlesztői konzolon. További információ: Az OAuth 2.0 beállítása. Ha még nem rendelkezik Google-fiókkal, regisztrálhat a következő helyen https://accounts.google.com/signup: .

1. Jelentkezzen be a Google Fejlesztői konzolra Google-fiókjának hitelesítő adataival.
2. A lap bal felső sarkában válassza ki a projektlistát, majd válassza az Új Project lehetőséget.
3. Adjon meg egy Project nevet, és válassza a Létrehozás lehetőséget.
4. Győződjön meg arról, hogy az új projektet használja. Ehhez válassza ki a projekt legördülő menüt a képernyő bal felső sarkában. Válassza ki a projektet név szerint, majd válassza a Megnyitás lehetőséget.
5. A bal oldali menüben válassza az API-kat és a szolgáltatásokat , majd az OAuth hozzájárulási képernyőt. Válassza a Külső , majd a Létrehozás lehetőséget.
   1. Adja meg az alkalmazás nevét .
   2. Válasszon egy felhasználói támogatási e-mailt.
   3. Az Alkalmazástartomány szakaszban adja meg az alkalmazás kezdőlapjára mutató hivatkozást, az alkalmazás adatvédelmi szabályzatára mutató hivatkozást, valamint az alkalmazás szolgáltatási feltételeire mutató hivatkozást.
   4. Az Engedélyezett tartományok szakaszban adja meg a b2clogin.com.
   5. A Fejlesztői kapcsolattartási adatok szakaszban írjon be vesszővel tagolt e-maileket a Google-nak, hogy értesítse Önt a projekt módosításairól.
   6. Kattintson a Mentés gombra.
6. A bal oldali menüben válassza a Hitelesítő adatok lehetőséget, majd válassza a Hitelesítő adatok> létrehozásaOauth-ügyfélazonosító lehetőséget.
7. Az Alkalmazás típusa területen válassza ki a webalkalmazást.
   1. Adja meg az alkalmazás nevét .
   2. Az engedélyezett JavaScript-forrásokhoz írja be a következőt https://your-tenant-name.b2clogin.com: . Ha egyéni tartományt használ, írja be a következőt https://your-domain-name: .
   3. Az Engedélyezett átirányítási URI-k esetében adja meg a következőt https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp: . Ha egyéni tartományt használ, írja be a következőt https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp: . Cserélje le your-domain-name az egyéni tartományra és your-tenant-name a bérlő nevére. A bérlő nevének megadásakor minden kisbetűt használjon akkor is, ha a bérlő nagybetűkkel van definiálva Azure AD B2C-ben.
8. Kattintson a Létrehozás lehetőségre.
9. Másolja ki az ügyfél-azonosító és az ügyfélkulcs értékeit. Mindkettőre szüksége lesz a Google identitásszolgáltatóként való konfigurálásához a bérlőben. Az ügyfél titkos kódja fontos biztonsági hitelesítő adat.

A Google konfigurálása identitásszolgáltatóként

1. Jelentkezzen be az Azure Portalra az Azure AD B2C-bérlő globális rendszergazdájaként.
2. Győződjön meg arról, hogy a Azure AD B2C-bérlőt tartalmazó könyvtárat használja. Válassza a Címtárak és előfizetések ikont a portál eszköztárán.
3. A Portál beállításai | A Címtárak és előfizetések lapon keresse meg a Azure AD B2C-címtárat a Címtárnév listában, majd válassza a Váltás lehetőséget.
4. Válassza az Azure Portal bal felső sarkában található Minden szolgáltatás lehetőséget, majd keresse meg és válassza ki az Azure AD B2C-t.
5. Válassza ki az identitásszolgáltatókat, majd a Google-t.
6. Adjon meg egy nevet. Például a Google.
7. Az ügyfél-azonosítóhoz adja meg a korábban létrehozott Google-alkalmazás ügyfél-azonosítóját.
8. Az ügyfél titkos kódjának megadásához adja meg a rögzített titkos ügyfélkulcsot.
9. Kattintson a Mentés gombra.

Google-identitásszolgáltató hozzáadása felhasználói folyamathoz

Ezen a ponton a Google identitásszolgáltatója már be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. A Google-identitásszolgáltató hozzáadása egy felhasználói folyamathoz:

1. A Azure AD B2C-bérlőben válassza a Felhasználói folyamatok lehetőséget.
2. Kattintson arra a felhasználói folyamatra, amelyet hozzá szeretne adni a Google identitásszolgáltatóhoz.
3. A Közösségi identitásszolgáltatók területen válassza a Google lehetőséget.
4. Kattintson a Mentés gombra.
5. A szabályzat teszteléséhez válassza a Felhasználói folyamat futtatása lehetőséget.
6. Az Application esetében válassza ki a testapp1 nevű webalkalmazást, amelyet korábban regisztrált. A válasz URL-címének meg kell jelennie https://jwt.ms.
7. Válassza a Felhasználói folyamat futtatása gombot.
8. A regisztrációs vagy bejelentkezési oldalon válassza a Google-t a Google-fiókkal való bejelentkezéshez.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt a Azure AD B2C által visszaadott jogkivonat tartalmának megjelenítéséhezhttps://jwt.ms.

Szabályzatkulcs létrehozása

A korábban a Azure AD B2C-bérlőben rögzített ügyfélkulcsot kell tárolnia.

1. Jelentkezzen be az Azure Portalra.
2. Győződjön meg arról, hogy a Azure AD B2C-bérlőt tartalmazó könyvtárat használja. Válassza a Címtárak és előfizetések ikont a portál eszköztárán.
3. A Portál beállításai | A Címtárak és előfizetések lapon keresse meg a Azure AD B2C-címtárat a Címtárnév listában, majd válassza a Váltás lehetőséget.
4. A Azure Portal bal felső sarkában válassza a Minden szolgáltatás lehetőséget, majd keresse meg és válassza ki Azure AD B2C-t.
5. Az Áttekintés lapon válassza az Identity Experience Framework lehetőséget.
6. Válassza a Házirendkulcsok , majd a Hozzáadás lehetőséget.
7. A Beállítások beállításnál válassza a Manuallehetőséget.
8. Adja meg a szabályzatkulcs nevét . Például: GoogleSecret. A rendszer automatikusan hozzáadja az előtagot B2C_1A_ a kulcs nevéhez.
9. A Titkos kód mezőbe írja be a korábban rögzített titkos ügyfélkulcsot.
10. Kulcshasználat esetén válassza a Signaturelehetőséget.
11. Kattintson a Létrehozás lehetőségre.

A Google konfigurálása identitásszolgáltatóként

Ahhoz, hogy a felhasználók Google-fiókkal jelentkezzenek be, meg kell határoznia a fiókot jogcímszolgáltatóként, amellyel Azure AD B2C kommunikálhat egy végponton keresztül. A végpont olyan jogcímeket biztosít, amelyeket a Azure AD B2C használ annak ellenőrzésére, hogy egy adott felhasználó hitelesített-e.

A Google-fiók jogcímszolgáltatóként való definiálásához adja hozzá a szabályzat bővítményfájljában található ClaimsProviders elemhez.

1. Nyissa meg a TrustFrameworkExtensions.xml.

2. Keresse meg a ClaimsProviders elemet. Ha nem létezik, adja hozzá a gyökérelemhez.

3. Adjon hozzá egy új ClaimsProvidert az alábbiak szerint:

   <ClaimsProvider>
     <Domain>google.com</Domain>
     <DisplayName>Google</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="Google-OAuth2">
         <DisplayName>Google</DisplayName>
         <Protocol Name="OAuth2" />
         <Metadata>
           <Item Key="ProviderName">google</Item>
           <Item Key="authorization_endpoint">https://accounts.google.com/o/oauth2/auth</Item>
           <Item Key="AccessTokenEndpoint">https://accounts.google.com/o/oauth2/token</Item>
           <Item Key="ClaimsEndpoint">https://www.googleapis.com/oauth2/v1/userinfo</Item>
           <Item Key="scope">email profile</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="client_id">Your Google application ID</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_GoogleSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="google.com" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Állítsa client_id az alkalmazásregisztrációból származó alkalmazásazonosítóra.

5. Mentse a fájlt.

Felhasználói folyamat hozzáadása

Ezen a ponton az identitásszolgáltató be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. Ha nem rendelkezik saját egyéni felhasználói folyamatával, hozzon létre egy példányt egy meglévő sablonfelhasználói folyamatból, ellenkező esetben folytassa a következő lépéssel.

1. Nyissa meg az TrustFrameworkBase.xml fájlt a kezdőcsomagból.
2. Keresse meg és másolja ki a UserJourney elem teljes tartalmát, amely tartalmazza a következőket: Id="SignUpOrSignIn".
3. Nyissa meg a TrustFrameworkExtensions.xml , és keresse meg a UserJourneys elemet. Ha az elem nem létezik, adjon hozzá egyet.
4. Illessze be a UserJourney elem gyermekelemeként kimásolt UserJourney elem teljes tartalmát.
5. Nevezze át a felhasználói folyamat azonosítóját. Például: Id="CustomSignUpSignIn".

Az identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Most, hogy elkészült a felhasználói folyamat, adja hozzá az új identitásszolgáltatót a felhasználói folyamathoz. Először vegyen fel egy bejelentkezési gombot, majd kapcsolja a gombot egy művelethez. A művelet a korábban létrehozott technikai profil.

1. Keresse meg a vezénylési lépés azon elemét, amely tartalmazza Type="CombinedSignInAndSignUp"a felhasználói Type="ClaimsProviderSelection" folyamatot. Általában ez az első vezénylési lépés. A ClaimsProviderSelections elem azon identitásszolgáltatók listáját tartalmazza, amelyekkel a felhasználó bejelentkezhet. Az elemek sorrendje határozza meg a felhasználónak megjelenő bejelentkezési gombok sorrendjét. Adjon hozzá egy ClaimsProviderSelection XML-elemet. Állítsa a TargetClaimsExchangeId értékét egy felhasználóbarát névre.

2. A következő vezénylési lépésben adjon hozzá egy ClaimsExchange elemet. Állítsa az azonosítót a céljogcímcsere-azonosító értékére. Frissítse a TechnicalProfileReferenceId értékét a korábban létrehozott műszaki profil azonosítójára.

A következő XML a felhasználói folyamat első két vezénylési lépését mutatja be az identitásszolgáltatóval:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="GoogleExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="GoogleExchange" TechnicalProfileReferenceId="Google-OAuth2" />
  </ClaimsExchanges>
</OrchestrationStep>

A függő entitás házirendjének konfigurálása

A függő entitás szabályzata, például SignUpSignIn.xml, meghatározza a felhasználói folyamatot, amelyet a B2C Azure AD végre fog hajtani. Keresse meg a DefaultUserJourney elemet a függő entitáson belül. Frissítse a ReferenceId azonosítót úgy, hogy megegyezzon a felhasználói út azonosítójával, amelyben hozzáadta az identitásszolgáltatót.

A következő példában a CustomSignUpSignIn felhasználói folyamat esetében a ReferenceId a következőre CustomSignUpSignInvan állítva:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Az egyéni szabályzat feltöltése

1. Jelentkezzen be az Azure Portalra.
2. Válassza a Címtár és előfizetés ikont a portál eszköztárán, majd válassza ki a Azure AD B2C-bérlőt tartalmazó címtárat.
3. A Azure Portal keresse meg és válassza ki Azure AD B2C-t.
4. A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
5. Válassza az Egyéni házirend feltöltése lehetőséget, majd töltse fel a módosított két házirendfájlt a következő sorrendben: a bővítményházirend, például TrustFrameworkExtensions.xmla függő entitás házirendje, például SignUpSignIn.xml.

Az egyéni szabályzat tesztelése

1. Válassza ki például B2C_1A_signup_signina függő entitás szabályzatát.
2. Alkalmazás esetén válasszon ki egy korábban regisztrált webalkalmazást. A válasz URL-címnek meg kell jelennie https://jwt.ms.
3. Válassza a Futtatás most gombot.
4. A regisztrációs vagy bejelentkezési oldalon válassza a Google lehetőséget a Google-fiókkal való bejelentkezéshez.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőthttps://jwt.ms, amely megjeleníti Azure AD B2C által visszaadott jogkivonat tartalmát.

Következő lépések

• Megtudhatja, hogyan adhatja át a Google-jogkivonatot az alkalmazásnak.
• Tekintse meg a Google-összevonás Élő bemutatóját, valamint a Google hozzáférési jogkivonat live bemutatójának átadását