Share via

Regisztráció és bejelentkezés beállítása PingOne-fiókkal az Azure Active Directory B2C használatával

  • Cikk

Mielőtt hozzákezdene, a Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.

Előfeltételek

PingOne-alkalmazás létrehozása

PingOne (Ping Identity) fiókkal rendelkező felhasználók bejelentkezésének engedélyezéséhez az Azure Active Directory B2C-ben (Azure AD B2C) létre kell hoznia egy alkalmazást a Ping Identity Rendszergazda istrator konzolon. További információ: OIDC-alkalmazás hozzáadása vagy frissítése a Ping Identity dokumentációjában. Ha még nem rendelkezik PingOne-fiókkal, regisztrálhat a webhelyen https://admin.pingone.com/web-portal/register.

  1. Jelentkezzen be a Ping Identity Rendszergazda istrator konzolra a PingOne-fiók hitelesítő adataival.
  2. A lap bal oldali menüjében válassza a Csatlakozás ions elemet, majd az Alkalmazások elem mellett válassza a lehetőséget+.
  3. Az Új alkalmazás lapon válassza a webalkalmazást, majd az OIDC alatt válassza a Konfigurálás lehetőséget.
  4. Adjon meg egy alkalmazásnevet, és válassza a Tovább gombot.
  5. Az átirányítási URL-címekhez írja be a következőt https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp: . Ha egyéni tartományt használ, írja be a következőt:https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp Cserélje le your-domain-name az egyéni tartományra és your-tenant-name a bérlő nevére. A bérlő nevének megadásakor használja az összes kisbetűt, még akkor is, ha a bérlő nagybetűkkel van definiálva az Azure AD B2C-ben.
  6. Válassza a Mentés és a Folytatás lehetőséget.
  7. A HATÓKÖRÖK területen válassza ki az e-maileket és a profilt, majd válassza a Mentés és a Folytatás lehetőséget.
  8. Az OIDC-attribútumok lapon válassza a Mentés és bezárás lehetőséget.
  9. Az alkalmazások listájában válassza ki a létrehozott alkalmazást.
  10. Az alkalmazásprofil lapon tegye a következőket:
    1. Az alkalmazás neve mellett engedélyezze az alkalmazást a kapcsológombbal.
    2. Másolja ki az ügyfélazonosító értékeit.
  11. Válassza a Konfiguráció lapot, és tegye a következőket:
    1. Másolja ki az OIDC felderítési végpontját.
    2. Az ügyfél titkos kódjának megjelenítése és másolása.
    3. Módosítsa a szerkesztési módot. Ezután a Token végpont hitelesítési módszere alatt módosítsa az értéket az Ügyfél titkos üzenete értékre, és válassza a Mentés lehetőséget

PingOne konfigurálása identitásszolgáltatóként

  1. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.

  2. Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza az Azure AD B2C-t.

  3. Válassza az Identitásszolgáltatók lehetőséget, majd válassza az Új OpenID Csatlakozás szolgáltatót.

  4. Adjon meg egy nevet. Írja be például a PingOne nevet.

  5. Metaadatok URL-címeként adja meg a korábban rögzített OIDC DISCOVERY VÉGPONTot. Például:

    https://auth.pingone.eu/00000000-0000-0000-0000-000000000000/as/.well-known/openid-configuration

  6. Ügyfélazonosítóként adja meg a korábban rögzített ügyfél-azonosítót.

  7. Az ügyfél titkos kódjának megadásához adja meg a korábban rögzített ügyfélkulcsot.

  8. A Hatókör mezőbe írja be a következőtopenid email profile:

  9. Hagyja meg a Válasz típus és a Válasz mód alapértelmezett értékeit.

  10. (Nem kötelező) A Tartomány tipp mezőbe írja be a következőt pingone.com: További információ: Közvetlen bejelentkezés beállítása az Azure Active Directory B2C használatával.

  11. Az Identitásszolgáltató jogcímleképezés területén válassza ki a következő jogcímeket:

    • Felhasználói azonosító: sub
    • Megjelenítendő név: név
    • Utónév: given_name
    • Vezetéknév: family_name
    • E-mail: e-mail

  12. Válassza a Mentés parancsot.

PingOne-identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Ezen a ponton a PingOne identitásszolgáltató be van állítva, de még nem érhető el egyik bejelentkezési lapon sem. PingOne identitásszolgáltató hozzáadása egy felhasználói folyamathoz:

  1. Az Azure AD B2C-bérlőben válassza a Felhasználói folyamatok lehetőséget.
  2. Kattintson arra a felhasználói folyamatra, amelyet hozzá szeretne adni a PingOne identitásszolgáltatóhoz.
  3. A Közösségi identitásszolgáltatók területen válassza a PingOne lehetőséget.
  4. Válassza a Mentés parancsot.
  5. A szabályzat teszteléséhez válassza a Felhasználói folyamat futtatása lehetőséget.
  6. Alkalmazás esetén válassza ki a korábban regisztrált testapp1 nevű webalkalmazást. A Válasz URL-címnek meg kell jelennie https://jwt.ms.
  7. Válassza a Felhasználói folyamat futtatása gombot.
  8. A bejelentkezési vagy bejelentkezési oldalon válassza a PingOne lehetőséget a PingOne-fiókkal való bejelentkezéshez.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt, amely megjeleníti az Azure AD B2C által visszaadott https://jwt.msjogkivonat tartalmát.

Szabályzatkulcs létrehozása

Az Azure AD B2C-bérlőben korábban rögzített ügyfélkulcsot kell tárolnia.

  1. Jelentkezzen be az Azure Portalra.
  2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
  3. Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza az Azure AD B2C-t.
  4. Az Áttekintés lapon válassza az Identity Experience Framework lehetőséget.
  5. Válassza a Házirendkulcsok lehetőséget, majd válassza a Hozzáadás lehetőséget.
  6. A Beállítások beállításnál válassza a Manuallehetőséget.
  7. Adja meg a szabályzatkulcs nevét. For example, PingOneSecret. A rendszer automatikusan hozzáadja az előtagot B2C_1A_ a kulcs nevéhez.
  8. A Titkos kód mezőbe írja be a korábban rögzített ügyfélkulcsot.
  9. Kulcshasználat esetén válassza a Signaturelehetőséget.
  10. Click Create.

PingOne konfigurálása identitásszolgáltatóként

Ahhoz, hogy a felhasználók PingOne-fiókkal jelentkezzenek be, meg kell határoznia a fiókot jogcímszolgáltatóként, amellyel az Azure AD B2C egy végponton keresztül tud kommunikálni. A végpont olyan jogcímeket biztosít, amelyeket az Azure AD B2C használ annak ellenőrzésére, hogy egy adott felhasználó hitelesített-e.

A PingOne-fiókot jogcímszolgáltatóként úgy határozhatja meg, hogy hozzáadja azt a szabályzat bővítményfájljában lévő ClaimsProviders elemhez.

  1. Nyissa meg az TrustFrameworkExtensions.xml fájlt.

  2. Keresse meg a ClaimsProviders elemet. Ha nem létezik, adja hozzá a gyökérelemhez.

  3. Adjon hozzá egy új ClaimsProvidert az alábbiak szerint:

    <ClaimsProvider>
  <Domain>pingone.com</Domain>
  <DisplayName>PingOne</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="PingOne-OpenIdConnect">
      <DisplayName>Ping Identity</DisplayName>
      <Protocol Name="OpenIdConnect" />
      <Metadata>
        <Item Key="METADATA">Your PingOne OIDC discovery endpoint</Item>
        <Item Key="client_id">Your PingOne client ID</Item>
        <Item Key="response_types">code</Item>
        <Item Key="scope">openid email profile</Item>
        <Item Key="HttpBinding">POST</Item>
        <Item Key="UsePolicyInRedirectUri">0</Item>
      </Metadata>
      <CryptographicKeys>
        <Key Id="client_secret" StorageReferenceId="B2C_1A_PingOneSecret" />
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
        <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
        <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
        <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

  4. Állítsa be a METADATA metaadatokat a PingOne OIDC felderítési végpontra.

  5. Állítsa be client_id a metaadatokat a PingOne-ügyfélazonosítóra.

  6. Mentse a fájlt.

Felhasználói folyamat hozzáadása

Ezen a ponton az identitásszolgáltató be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. Ha nem rendelkezik saját egyéni felhasználói folyamatokkal, hozzon létre egy meglévő sablonfelhasználói folyamat másolatát, ellenkező esetben folytassa a következő lépéssel.

  1. Nyissa meg az TrustFrameworkBase.xml fájlt a kezdőcsomagból.
  2. Keresse meg és másolja ki a UserJourney elem teljes tartalmát, amely tartalmazza Id="SignUpOrSignIn"a elemet.
  3. Nyissa meg az TrustFrameworkExtensions.xml fájlt , és keresse meg a UserJourneys elemet. Ha az elem nem létezik, adjon hozzá egyet.
  4. Illessze be a UserJourney elem gyermekként másolt UserJourney elem teljes tartalmát.
  5. Nevezze át a felhasználói folyamat azonosítóját. For example, Id="CustomSignUpSignIn".

Identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Most, hogy már rendelkezik felhasználói folyamatokkal, adja hozzá az új identitásszolgáltatót a felhasználói folyamathoz. Először hozzáad egy bejelentkezési gombot, majd csatolja a gombot egy művelethez. A művelet a korábban létrehozott technikai profil.

  1. Keresse meg a vezénylési lépés azon elemét, amely tartalmazza Type="CombinedSignInAndSignUp"vagy Type="ClaimsProviderSelection" a felhasználói folyamat során. Általában ez az első vezénylési lépés. A ClaimsProviderSelections elem azon identitásszolgáltatók listáját tartalmazza, amelyekkel a felhasználó bejelentkezhet. Az elemek sorrendje szabályozza a felhasználónak megjelenített bejelentkezési gombok sorrendjét. Adjon hozzá egy ClaimsProviderSelection XML-elemet. Állítsa be a TargetClaimsExchangeId értékét egy rövid névre.

  2. A következő vezénylési lépésben adjon hozzá egy ClaimsExchange elemet. Állítsa az azonosítót a cél jogcímcsere-azonosító értékére. Frissítse a TechnicalProfileReferenceId értékét a korábban létrehozott műszaki profil azonosítójára.

Az alábbi XML a felhasználói folyamat első két vezénylési lépését mutatja be az identitásszolgáltatóval:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="PingOneExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="PingOneExchange" TechnicalProfileReferenceId="PingOne-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

A függő entitás házirendjének konfigurálása

A függő entitás házirendje( például SignUpSignIn.xml) meghatározza az Azure AD B2C által végrehajtandó felhasználói folyamatot. Keresse meg a DefaultUserJourney elemet a függő entitáson belül. Frissítse a referenciaazonosítót a felhasználói útazonosítónak megfelelően, amelyben hozzáadta az identitásszolgáltatót.

A következő példában a CustomSignUpSignIn felhasználói folyamat referenciaazonosítója a következőre CustomSignUpSignInvan állítva:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Az egyéni szabályzat feltöltése

  1. Jelentkezzen be az Azure Portalra.
  2. Válassza a Címtár + Előfizetés ikont a portál eszköztárán, majd válassza ki az Azure AD B2C-bérlőt tartalmazó könyvtárat.
  3. Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
  4. A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
  5. Válassza az Egyéni házirend feltöltése lehetőséget, majd töltse fel a módosított két házirendfájlt a következő sorrendben: a bővítményházirend, például TrustFrameworkExtensions.xmla függő entitás házirendje, például SignUpSignIn.xml.

Egyéni szabályzat tesztelése

  1. Válassza ki például B2C_1A_signup_signina függő entitás szabályzatát.
  2. Alkalmazás esetén válasszon ki egy korábban regisztrált webalkalmazást. A Válasz URL-címnek meg kell jelennie https://jwt.ms.
  3. Válassza a Futtatás most gombot.
  4. A bejelentkezési vagy bejelentkezési oldalon válassza a PingOne lehetőséget a PingOne-fiókkal való bejelentkezéshez.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt, amely megjeleníti az Azure AD B2C által visszaadott https://jwt.msjogkivonat tartalmát.

Következő lépések

Megtudhatja, hogyan adhat át PingOne-jogkivonatot az alkalmazásnak.