Regisztráció és bejelentkezés beállítása mobilazonosítóval az Azure Active Directory B2C használatával
Mielőtt hozzákezdene, a Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.
Ebből a cikkből megtudhatja, hogyan adhat meg mobilazonosítóval rendelkező ügyfeleknek való regisztrációt és bejelentkezést az alkalmazásokban az Azure Active Directory B2C (Azure AD B2C) használatával. A Mobile ID megoldás átfogó teljes körű megoldással védi a vállalati adatokhoz és alkalmazásokhoz való hozzáférést egy erős többtényezős hitelesítéshez (MFA). Az OpenID Csatlakozás protokoll használatával adja hozzá a mobilazonosítót a felhasználói folyamatokhoz vagy az egyéni szabályzathoz.
Előfeltételek
- Hozzon létre egy felhasználói folyamatot , hogy a felhasználók regisztrálhassák és bejelentkezhessenek az alkalmazásba.
- Webalkalmazás regisztrálása.
- Az Egyéni szabályzatok használatának első lépései az Active Directory B2C-ben
- Webalkalmazás regisztrálása.
Mobilazonosító-alkalmazás létrehozása
Az Azure AD B2C-ben mobilazonosítóval rendelkező felhasználók bejelentkezésének engedélyezéséhez létre kell hoznia egy alkalmazást. Mobilazonosító-alkalmazás létrehozásához kövesse az alábbi lépéseket:
Lépjen kapcsolatba a Mobilazonosító ügyfélszolgálatával.
Adja meg a mobilazonosítónak az Azure AD B2C-bérlővel kapcsolatos információkat:
Key Megjegyzés: Átirányítási URI Adja meg az https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp
URI-t. Ha egyéni tartományt használ, írja be a következőt:https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp
Cserélje leyour-tenant-name
a bérlő nevére ésyour-domain-name
az egyéni tartományára.Jogkivonatvégpont-hitelesítési módszer client_secret_post
Az alkalmazás regisztrálása után a mobilazonosító a következő adatokat adja meg. Ezen információk segítségével konfigurálhatja a felhasználói folyamatot vagy az egyéni szabályzatot.
Key Megjegyzés: Ügyfél azonosítója A mobilazonosító ügyfélazonosítója. Például: 11111111-2222-3333-4444-555555555. Titkos ügyfélkulcs A Mobilazonosító ügyfélkódja.
Mobilazonosító konfigurálása identitásszolgáltatóként
Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza az Azure AD B2C-t.
Válassza az Identitásszolgáltatók lehetőséget, majd válassza az Új OpenID Csatlakozás szolgáltatót.
Adjon meg egy nevet. Adja meg például a mobilazonosítót.
Metaadatok URL-címeként adja meg az OpenId nevű, jól ismert url-cím mobilazonosítóját. Például:
https://openid.mobileid.ch/.well-known/openid-configuration
Ügyfélazonosító esetén adja meg a mobilazonosító ügyfél-azonosítóját.
Az ügyfél titkos kódjának megadásához adja meg a Mobilazonosító ügyfél titkos kódját.
A Hatókör mezőben adja meg a
openid, profile, phone, mid_profile
.Hagyja meg a Válasz típus (
code
) és a Válasz mód (form_post
) alapértelmezett értékeit.(Nem kötelező) A Tartomány tipp mezőbe írja be a következőt
mobileid.ch
: További információ: Közvetlen bejelentkezés beállítása az Azure Active Directory B2C használatával.Az Identitásszolgáltató jogcímleképezés területén válassza ki a következő jogcímeket:
- Felhasználói azonosító: sub
- Megjelenítendő név: név
Válassza a Mentés parancsot.
Mobilazonosító-identitásszolgáltató hozzáadása egy felhasználói folyamathoz
Ezen a ponton a mobilazonosító-identitásszolgáltató be van állítva, de még nem érhető el egyik bejelentkezési lapon sem. A mobilazonosító-identitásszolgáltató hozzáadása egy felhasználói folyamathoz:
- Az Azure AD B2C-bérlőben válassza a Felhasználói folyamatok lehetőséget.
- Válassza ki azt a felhasználói folyamatot, amelyet hozzá szeretne adni a mobilazonosító-identitásszolgáltatóhoz.
- A Közösségi identitásszolgáltatók területen válassza a Mobilazonosító lehetőséget.
- Válassza a Mentés parancsot.
- A szabályzat teszteléséhez válassza a Felhasználói folyamat futtatása lehetőséget.
- Alkalmazás esetén válassza ki a korábban regisztrált testapp1 nevű webalkalmazást. A Válasz URL-címnek meg kell jelennie
https://jwt.ms
. - Válassza a Felhasználói folyamat futtatása gombot.
- A regisztrációs vagy bejelentkezési lapon válassza a Mobilazonosító lehetőséget a mobilazonosítóval való bejelentkezéshez.
Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt, amely megjeleníti az Azure AD B2C által visszaadott https://jwt.ms
jogkivonat tartalmát.
Szabályzatkulcs létrehozása
Az Azure AD B2C-bérlőben kell tárolnia a Mobile ID-tól kapott ügyfélkulcsot.
- Jelentkezzen be az Azure Portalra.
- Győződjön meg arról, hogy az Azure AD B2C-bérlőt tartalmazó könyvtárat használja. Válassza ki a Címtár + előfizetés szűrőt a felső menüben, és válassza ki a bérlőt tartalmazó könyvtárat.
- Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza az Azure AD B2C-t.
- Az Áttekintés lapon válassza az Identity Experience Framework lehetőséget.
- Válassza a Házirendkulcsok lehetőséget, majd válassza a Hozzáadás lehetőséget.
- A Beállítások beállításnál válassza a
Manual
lehetőséget. - Adja meg a szabályzatkulcs nevét. For example,
Mobile IDSecret
. A rendszer automatikusan hozzáadja az előtagotB2C_1A_
a kulcs nevéhez. - A Titkos kód mezőbe írja be a mobilazonosító ügyfél titkos kódját.
- Kulcshasználat esetén válassza a
Signature
lehetőséget. - Select Create.
Mobilazonosító konfigurálása identitásszolgáltatóként
Ahhoz, hogy a felhasználók mobilazonosítóval jelentkezzenek be, meg kell határoznia a mobilazonosítót jogcímszolgáltatóként, amellyel az Azure AD B2C képes kommunikálni egy végponton keresztül. A végpont olyan jogcímeket biztosít, amelyeket az Azure AD B2C használ annak ellenőrzésére, hogy egy adott felhasználó hitelesített-e.
A mobilazonosítókat jogcímszolgáltatóként úgy határozhatja meg, hogy hozzáadja azt a szabályzat bővítményfájljában lévő ClaimsProviders elemhez.
Nyissa meg az TrustFrameworkExtensions.xml fájlt.
Keresse meg a ClaimsProviders elemet. Ha nem létezik, vegye fel a gyökérelem alá.
Adjon hozzá egy új ClaimsProvidert az alábbiak szerint:
<ClaimsProvider> <Domain>mobileid.ch</Domain> <DisplayName>Mobile-ID</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="MobileID-OAuth2"> <DisplayName>Mobile-ID</DisplayName> <Protocol Name="OAuth2" /> <Metadata> <Item Key="ProviderName">Mobile-ID</Item> <Item Key="authorization_endpoint">https://m.mobileid.ch/oidc/authorize</Item> <Item Key="AccessTokenEndpoint">https://openid.mobileid.ch/token</Item> <Item Key="ClaimsEndpoint">https://openid.mobileid.ch/userinfo</Item> <Item Key="scope">openid, profile, phone, mid_profile</Item> <Item Key="HttpBinding">POST</Item> <Item Key="UsePolicyInRedirectUri">false</Item> <Item Key="token_endpoint_auth_method">client_secret_post</Item> <Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item> <Item Key="client_id">Your application ID</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_MobileIdSecret" /> </CryptographicKeys> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub"/> <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name"/> <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="mobileid.ch" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>
Állítsa client_id a Mobilazonosító ügyfélazonosítóra.
Mentse a fájlt.
Felhasználói folyamat hozzáadása
Ezen a ponton az identitásszolgáltató be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. Ha nem rendelkezik saját egyéni felhasználói folyamatokkal, hozzon létre egy meglévő sablonfelhasználói folyamat másolatát, ellenkező esetben folytassa a következő lépéssel.
- Nyissa meg az TrustFrameworkBase.xml fájlt a kezdőcsomagból.
- Keresse meg és másolja ki a UserJourney elem teljes tartalmát, amely tartalmazza
Id="SignUpOrSignIn"
a elemet. - Nyissa meg az TrustFrameworkExtensions.xml fájlt , és keresse meg a UserJourneys elemet. Ha az elem nem létezik, adjon hozzá egyet.
- Illessze be a UserJourney elem gyermekként másolt UserJourney elem teljes tartalmát.
- Nevezze át a felhasználói folyamat azonosítóját. For example,
Id="CustomSignUpSignIn"
.
Identitásszolgáltató hozzáadása egy felhasználói folyamathoz
Most, hogy már rendelkezik felhasználói folyamatokkal, adja hozzá az új identitásszolgáltatót a felhasználói folyamathoz. Először hozzáad egy bejelentkezési gombot, majd csatolja a gombot egy művelethez. A művelet a korábban létrehozott technikai profil.
Keresse meg a vezénylési lépés azon elemét, amely tartalmazza
Type="CombinedSignInAndSignUp"
vagyType="ClaimsProviderSelection"
a felhasználói folyamat során. Általában ez az első vezénylési lépés. A ClaimsProviderSelections elem azon identitásszolgáltatók listáját tartalmazza, amelyekkel a felhasználó bejelentkezhet. Az elemek sorrendje szabályozza a felhasználónak megjelenített bejelentkezési gombok sorrendjét. Adjon hozzá egy ClaimsProviderSelection XML-elemet. Állítsa be a TargetClaimsExchangeId értékét egy rövid névre.A következő vezénylési lépésben adjon hozzá egy ClaimsExchange elemet. Állítsa az azonosítót a cél jogcímcsere-azonosító értékére. Frissítse a TechnicalProfileReferenceId értékét a korábban létrehozott műszaki profil azonosítójára.
Az alábbi XML a felhasználói folyamat első két vezénylési lépését mutatja be az identitásszolgáltatóval:
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="MobileIDExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="MobileIDExchange" TechnicalProfileReferenceId="MobileID-OAuth2" />
</ClaimsExchanges>
</OrchestrationStep>
A függő entitás házirendjének konfigurálása
A függő entitás házirendje( például SignUpSignIn.xml) meghatározza az Azure AD B2C által végrehajtandó felhasználói folyamatot. Keresse meg a DefaultUserJourney elemet a függő entitáson belül. Frissítse a referenciaazonosítót a felhasználói útazonosítónak megfelelően, amelyben hozzáadta az identitásszolgáltatót.
A következő példában a CustomSignUpSignIn
felhasználói folyamat referenciaazonosítója a következőre CustomSignUpSignIn
van állítva:
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
Az egyéni szabályzat feltöltése
- Jelentkezzen be az Azure Portalra.
- Válassza a Címtár + Előfizetés ikont a portál eszköztárán, majd válassza ki az Azure AD B2C-bérlőt tartalmazó könyvtárat.
- Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
- A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
- Válassza az Egyéni házirend feltöltése lehetőséget, majd töltse fel a módosított két házirendfájlt a következő sorrendben: a bővítményházirend, például
TrustFrameworkExtensions.xml
a függő entitás házirendje, példáulSignUpSignIn.xml
.
Egyéni szabályzat tesztelése
- Válassza ki például
B2C_1A_signup_signin
a függő entitás szabályzatát. - Alkalmazás esetén válasszon ki egy korábban regisztrált webalkalmazást. A Válasz URL-címnek meg kell jelennie
https://jwt.ms
. - Válassza a Futtatás most gombot.
- A regisztrációs vagy bejelentkezési lapon válassza a Mobilazonosító lehetőséget a mobilazonosítóval való bejelentkezéshez.
Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt, amely megjeleníti az Azure AD B2C által visszaadott https://jwt.ms
jogkivonat tartalmát.
Következő lépések
Megtudhatja, hogyan adhatja át a mobilazonosító-jogkivonatot az alkalmazásnak.