Regisztráció és bejelentkezés beállítása Microsoft-fiókkal a Azure Active Directory B2C használatával

  • Cikk
  • 8 perc alatt elolvasható

Mielőtt hozzákezdene, válassza ki a beállított szabályzattípust a Szabályzattípus kiválasztása választóval. Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre meghatározott felhasználói folyamatokon vagy teljes mértékben konfigurálható egyéni szabályzatokon keresztül. Az ebben a cikkben leírt lépések különbözőek az egyes metódusok esetében.

Megjegyzés

A Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett forgatókönyvek kezelésére szolgálnak. A legtöbb forgatókönyv esetében javasoljuk, hogy beépített felhasználói folyamatokat használjon. Ha még nem tette meg, megismerheti az egyéni szabályzatok kezdőcsomagját Első lépések egyéni szabályzatokkal az Active Directory B2C-ben.

Előfeltételek

Az alkalmazás közzétevő tartományának ellenőrzése

2020 novemberétől az új alkalmazásregisztrációk nem ellenőrzöttként jelennek meg a felhasználói hozzájárulási kérésben, kivéve, ha az alkalmazás közzétevő tartománya ellenőrizve van, és a vállalat identitását ellenőrizték a Microsoft Partner Networkben, és társították az alkalmazással. (További információ erről a változásról.) Vegye figyelembe, hogy az Azure AD B2C felhasználói folyamatai esetében a közzétevő tartománya csak akkor jelenik meg, ha identitásszolgáltatóként Microsoft-fiókot vagy más Azure AD-bérlőt használ. Az új követelmények teljesítéséhez tegye a következőket:

  1. A microsoftos partnerhálózati (MPN-) fiók használatával ellenőrizze a vállalati identitását. Ez a folyamat ellenőrzi a vállalat és a vállalat elsődleges kapcsolattartójának adatait.
  2. Hajtsa végre a közzétevő ellenőrzési folyamatát, hogy az MPN-fiókját társítsa az alkalmazásregisztrációhoz az alábbi lehetőségek egyikével:

Microsoft-fiókalkalmazás létrehozása

Ha microsoftos fiókkal szeretne bejelentkezni Azure Active Directory B2C-ben (Azure AD B2C), létre kell hoznia egy alkalmazást Azure Portal. További információ: Alkalmazás regisztrálása a Microsoft Identitásplatform. Ha még nem rendelkezik Microsoft-fiókkal, beszerezhet egyet a webhelyen https://www.live.com/.

  1. Jelentkezzen be az Azure Portalra.

  2. Győződjön meg arról, hogy az Azure AD-bérlőt tartalmazó címtárat használja. Válassza a Címtárak és előfizetések ikont a portál eszköztárán.

  3. A Portál beállításai | A Címtárak és előfizetések lapon keresse meg az Azure AD-címtárat a Címtárnév listában, majd válassza a Váltás lehetőséget.

  4. A Azure Portal bal felső sarkában válassza a Minden szolgáltatás lehetőséget, majd keresse meg és válassza ki a Alkalmazásregisztrációk.

  5. Válassza az Új regisztráció lehetőséget.

  6. Adja meg az alkalmazás nevét . Például : MSAapp1.

  7. A Támogatott fióktípusok területen válassza a Bármely szervezeti címtárban (Bármely Azure AD-címtár – Több-bérlős) és a személyes Microsoft-fiókok (például Skype, Xbox) lévő Fiókok lehetőséget.

    A különböző fióktípusok kiválasztásával kapcsolatos további információkért lásd: Rövid útmutató: Alkalmazás regisztrálása a Microsoft Identitásplatform.

  8. Az Átirányítási URI (nem kötelező) területen válassza a Web lehetőséget, és írja be a kívánt értéket https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Ha egyéni tartományt használ, írja be a következőt https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp: . Cserélje le your-tenant-name a bérlő nevére és your-domain-name az egyéni tartományára.

  9. Válassza a Regisztráció lehetőséget

  10. Jegyezze fel az alkalmazás (ügyfél) azonosítóját az Alkalmazás áttekintése lapon. A következő szakaszban az identitásszolgáltató konfigurálásakor szüksége lesz az ügyfél-azonosítóra.

  11. Tanúsítványok titkos kulcsainak & kiválasztása

  12. Kattintson az Új titkos ügyfélkód elemre.

  13. Adja meg a titkos kód leírását , például az 1. alkalmazásjelszót, majd kattintson a Hozzáadás gombra.

  14. Jegyezze fel az Érték oszlopban látható alkalmazásjelszót. A következő szakaszban az identitásszolgáltató konfigurálásakor szükség van az ügyfél titkos kódjára.

A Microsoft konfigurálása identitásszolgáltatóként

  1. Jelentkezzen be az Azure Portalra az Azure AD B2C-bérlő globális rendszergazdájaként.
  2. Győződjön meg arról, hogy az Azure AD B2C-bérlőt tartalmazó címtárat használja. Válassza a Címtárak és előfizetések ikont a portál eszköztárán.
  3. A Portál beállításai | A Címtárak és előfizetések lapon keresse meg az Azure AD B2C-címtárat a Címtárnév listában, majd válassza a Váltás lehetőséget.
  4. Válassza az Azure Portal bal felső sarkában található Minden szolgáltatás lehetőséget, majd keresse meg és válassza ki az Azure AD B2C-t.
  5. Válassza az Identitásszolgáltatók lehetőséget, majd válassza a Microsoft-fiók lehetőséget.
  6. Adjon meg egy nevet. Például MSA.
  7. Az ügyfélazonosítóhoz adja meg a korábban létrehozott Azure AD-alkalmazás (ügyfél) azonosítóját.
  8. Az ügyfél titkos kódjának megadásához adja meg a rögzített titkos ügyfélkulcsot.
  9. Kattintson a Mentés gombra.

Microsoft-identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Ezen a ponton a Microsoft identitásszolgáltatója már be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. A Microsoft identitásszolgáltatójának hozzáadása egy felhasználói folyamathoz:

  1. Az Azure AD B2C-bérlőben válassza ki a felhasználói folyamatokat.
  2. Kattintson arra a felhasználói folyamatra, amelyet hozzá szeretne adni a Microsoft identitásszolgáltatóhoz.
  3. A Közösségi identitásszolgáltatók területen válassza a Microsoft-fiók lehetőséget.
  4. Kattintson a Mentés gombra.
  5. A szabályzat teszteléséhez válassza a Felhasználói folyamat futtatása lehetőséget.
  6. Az Application esetében válassza ki a testapp1 nevű webalkalmazást, amelyet korábban regisztrált. A válasz URL-címének meg kell jelennie https://jwt.ms.
  7. Válassza a Felhasználói folyamat futtatása gombot.
  8. A regisztrációs vagy bejelentkezési lapon válassza a Microsoftot a Microsoft-fiókkal való bejelentkezéshez.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt https://jwt.ms, amely megjeleníti az Azure AD B2C által visszaadott jogkivonat tartalmát.

Választható jogcímek konfigurálása

Ha az Azure AD-ből szeretné lekérni a jogcímeket és given_name a family_name jogcímeket, konfigurálhatja az alkalmazás opcionális jogcímeit a Azure Portal felhasználói felületen vagy az alkalmazásjegyzékben. További információ: Opcionális jogcímek megadása az Azure AD-alkalmazáshoz.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki az Azure Active Directoryt.
  2. A Kezelés szakaszban válassza a Alkalmazásregisztrációk lehetőséget.
  3. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni a listában.
  4. A Kezelés szakaszban válassza a Jogkivonat-konfiguráció (előzetes verzió) lehetőséget.
  5. Válassza a Nem kötelező jogcím hozzáadása lehetőséget.
  6. Válassza ki a konfigurálni kívánt jogkivonattípust.
  7. Válassza ki a hozzáadni kívánt opcionális jogcímeket.
  8. Kattintson a Hozzáadás parancsra.

Szabályzatkulcs létrehozása

Most, hogy létrehozta az alkalmazást az Azure AD-bérlőben, az alkalmazás titkos ügyfélkulcsát az Azure AD B2C-bérlőben kell tárolnia.

  1. Jelentkezzen be az Azure Portalra.
  2. Győződjön meg arról, hogy az Azure AD B2C-bérlőt tartalmazó címtárat használja. Válassza a Címtárak és előfizetések ikont a portál eszköztárán.
  3. A Portál beállításai | A Címtárak és előfizetések lapon keresse meg az Azure AD B2C-címtárat a Címtárnév listában, majd válassza a Váltás lehetőséget.
  4. Válassza az Összes szolgáltatást a Azure Portal bal felső sarkában, majd keresse meg és válassza ki az Azure AD B2C-t.
  5. Az Áttekintés lapon válassza az Identity Experience Framework lehetőséget.
  6. Válassza a Házirendkulcsok , majd a Hozzáadás lehetőséget.
  7. A Beállítások beállításnál válassza a Manuallehetőséget.
  8. Adja meg a szabályzatkulcs nevét . Például: MSASecret. A rendszer automatikusan hozzáadja az előtagot B2C_1A_ a kulcs nevéhez.
  9. A Titkos kód mezőbe írja be az előző szakaszban rögzített titkos ügyfélkulcsot.
  10. Kulcshasználat esetén válassza a Signaturelehetőséget.
  11. Kattintson a Létrehozás lehetőségre.

A Microsoft konfigurálása identitásszolgáltatóként

Ahhoz, hogy a felhasználók Microsoft-fiókkal jelentkezzenek be, meg kell határoznia a fiókot jogcímszolgáltatóként, amellyel az Azure AD B2C egy végponton keresztül kommunikálhat. A végpont olyan jogcímeket biztosít, amelyeket az Azure AD B2C használ annak ellenőrzésére, hogy egy adott felhasználó hitelesített-e.

Az Azure AD-t jogcímszolgáltatóként definiálhatja, ha hozzáadja a ClaimsProvider elemet a szabályzat bővítményfájljához.

  1. Nyissa meg a TrustFrameworkExtensions.xml házirendfájlt.

  2. Keresse meg a ClaimsProviders elemet. Ha nem létezik, adja hozzá a gyökérelemhez.

  3. Adjon hozzá egy új ClaimsProvidert az alábbiak szerint:

    <ClaimsProvider>
  <Domain>live.com</Domain>
  <DisplayName>Microsoft Account</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="MSA-MicrosoftAccount-OpenIdConnect">
      <DisplayName>Microsoft Account</DisplayName>
      <Protocol Name="OpenIdConnect" />
      <Metadata>
        <Item Key="ProviderName">https://login.live.com</Item>
        <Item Key="METADATA">https://login.live.com/.well-known/openid-configuration</Item>
        <Item Key="response_types">code</Item>
        <Item Key="response_mode">form_post</Item>
        <Item Key="scope">openid profile email</Item>
        <Item Key="HttpBinding">POST</Item>
        <Item Key="UsePolicyInRedirectUri">false</Item>
        <Item Key="client_id">Your Microsoft application client ID</Item>
      </Metadata>
      <CryptographicKeys>
        <Key Id="client_secret" StorageReferenceId="B2C_1A_MSASecret" />
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid" />
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
        <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
        <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
        <OutputClaim ClaimTypeReferenceId="email" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

  4. Cserélje le a client_id értékét az Azure AD-alkalmazás korábban rögzített alkalmazás-(ügyfél-) azonosítójára .

  5. Mentse a fájlt.

Ezzel konfigurálta a szabályzatot, hogy az Azure AD B2C tudja, hogyan kommunikáljon a Microsoft-fiókalkalmazással az Azure AD-ben.

Felhasználói folyamat hozzáadása

Ezen a ponton az identitásszolgáltató be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. Ha nem rendelkezik saját egyéni felhasználói folyamatával, hozzon létre egy példányt egy meglévő sablonfelhasználói folyamatból, ellenkező esetben folytassa a következő lépéssel.

  1. Nyissa meg az TrustFrameworkBase.xml fájlt a kezdőcsomagból.
  2. Keresse meg és másolja ki a UserJourney elem teljes tartalmát, amely tartalmazza a következőket: Id="SignUpOrSignIn".
  3. Nyissa meg a TrustFrameworkExtensions.xml , és keresse meg a UserJourneys elemet. Ha az elem nem létezik, adjon hozzá egyet.
  4. Illessze be a UserJourney elem gyermekelemeként kimásolt UserJourney elem teljes tartalmát.
  5. Nevezze át a felhasználói folyamat azonosítóját. Például: Id="CustomSignUpSignIn".

Az identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Most, hogy elkészült a felhasználói folyamat, adja hozzá az új identitásszolgáltatót a felhasználói folyamathoz. Először vegyen fel egy bejelentkezési gombot, majd kapcsolja a gombot egy művelethez. A művelet a korábban létrehozott technikai profil.

  1. Keresse meg a vezénylési lépés azon elemét, amely tartalmazza Type="CombinedSignInAndSignUp"a felhasználói Type="ClaimsProviderSelection" folyamatot. Általában ez az első vezénylési lépés. A ClaimsProviderSelections elem azon identitásszolgáltatók listáját tartalmazza, amelyekkel a felhasználó bejelentkezhet. Az elemek sorrendje határozza meg a felhasználónak megjelenő bejelentkezési gombok sorrendjét. Adjon hozzá egy ClaimsProviderSelection XML-elemet. Állítsa a TargetClaimsExchangeId értékét egy felhasználóbarát névre.

  2. A következő vezénylési lépésben adjon hozzá egy ClaimsExchange elemet. Állítsa az azonosítót a céljogcímcsere-azonosító értékére. Frissítse a TechnicalProfileReferenceId értékét a korábban létrehozott műszaki profil azonosítójára.

A következő XML a felhasználói folyamat első két vezénylési lépését mutatja be az identitásszolgáltatóval:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="MicrosoftAccountExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="MicrosoftAccountExchange" TechnicalProfileReferenceId="MSA-MicrosoftAccount-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

A függő entitás házirendjének konfigurálása

A függő entitás szabályzata, például SignUpSignIn.xml, meghatározza a felhasználói folyamatot, amelyet az Azure AD B2C végre fog hajtani. Keresse meg a DefaultUserJourney elemet a függő entitáson belül. Frissítse a ReferenceId azonosítót úgy, hogy megegyezzon a felhasználói út azonosítójával, amelyben hozzáadta az identitásszolgáltatót.

A következő példában a CustomSignUpSignIn felhasználói folyamat esetében a ReferenceId a következőre CustomSignUpSignInvan állítva:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Az egyéni szabályzat feltöltése

  1. Jelentkezzen be az Azure Portalra.
  2. Válassza a Címtár és előfizetés ikont a portál eszköztárán, majd válassza ki az Azure AD B2C-bérlőt tartalmazó címtárat.
  3. A Azure Portal keresse meg és válassza ki az Azure AD B2C-t.
  4. A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
  5. Válassza az Egyéni házirend feltöltése lehetőséget, majd töltse fel a módosított két házirendfájlt a következő sorrendben: a bővítményházirend, például TrustFrameworkExtensions.xmla függő entitás házirendje, például SignUpSignIn.xml.

Az egyéni szabályzat tesztelése

  1. Válassza ki például B2C_1A_signup_signina függő entitás szabályzatát.
  2. Alkalmazás esetén válasszon ki egy korábban regisztrált webalkalmazást. A válasz URL-címnek meg kell jelennie https://jwt.ms.
  3. Válassza a Futtatás most gombot.
  4. A regisztrációs vagy bejelentkezési oldalon válassza a Microsoft lehetőséget a Microsoft-fiókkal való bejelentkezéshez.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt https://jwt.ms, amely megjeleníti az Azure AD B2C által visszaadott jogkivonat tartalmát.