Menyiapkan pendaftaran dan rincian masuk dengan akun GitHub menggunakan Azure Active Directory B2C

Sebelum memulai, gunakan pemilih Pilih jenis kebijakan untuk memilih jenis kebijakan yang Anda siapkan. Azure Active Directory B2C menawarkan dua metode untuk menentukan cara pengguna berinteraksi dengan aplikasi Anda: melalui alur pengguna yang telah ditentukan sebelumnya atau melalui kebijakan kustom yang sepenuhnya dapat dikonfigurasi. Langkah yang diperlukan dalam artikel ini berbeda untuk setiap metode.

Catatan

Fitur ini berada dalam pratinjau publik.

Penting

Mulai Mei 2021, GitHub mengumumkan perubahan yang mempengaruhi federasi kebijakan kustom Azure AD B2C Anda. Karena perubahan tersebut, tambahkan metadata <Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item> ke profil teknis GitHub Anda. Untuk informasi selengkapnya, lihat Menghentikan autentikasi API melalui parameter kueri.

Prasyarat

Membuat aplikasi GitHub OAuth

Untuk mengaktifkan rincian masuk dengan akun GitHub di Azure Active Directory B2C (Azure AD B2C), Anda perlu membuat aplikasi di portal Pengembang GitHub. Untuk informasi selengkapnya, lihat Membuat Aplikasi OAuth. Jika Anda belum memiliki akun GitHub, Anda dapat mendaftar di https://www.github.com/.

  1. Masuk ke Pengembang GitHub dengan informasi masuk GitHub Anda.
  2. Pilih Aplikasi OAuth lalu pilih Aplikasi OAuth Baru.
  3. Masukkan nama Aplikasi dan URL Beranda Anda.
  4. Untuk URL panggilan balik otorisasi, masukkan https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Jika Anda menggunakan domain kustom, masukkan https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Ganti your-domain-name dengan domain kustom Anda, dan your-tenant-name dengan nama penyewa Anda. Gunakan semua huruf kecil saat memasukkan nama penyewa Anda bahkan jika penyewa ditentukan dengan huruf besar di Azure AD B2C.
  5. Klik Daftarkan aplikasi.
  6. Salin nilai ID Klien dan Rahasia Klien. Anda memerlukan keduanya untuk menambahkan IdP ke penyewa Anda.

Mengonfigurasi GitHub sebagai IdP

  1. Masuk ke portal Microsoft Azure sebagai administrator global penyewa Azure AD B2C Anda.
  2. Pastikan Anda menggunakan direktori yang berisi penyewa AAD B2C Anda. Pilih ikon Direktori + langganan di bilah alat portal.
  3. Pada Setelan portal | Direktori + langganan, temukan direktori Azure AD B2C Anda di daftar Nama direktori, lalu pilih Beralih.
  4. Pilih Semua layanan di pojok kiri atas portal Microsoft Azure, lalu cari dan pilih Azure AD B2C.
  5. Pilih IdP, lalu pilih GitHub (Pratinjau) .
  6. Masukkan Nama. Misalnya, GitHub.
  7. Untuk ID Klien, masukkan ID Klien aplikasi GitHub yang Anda buat sebelumnya.
  8. Untuk Rahasia klien, masukkan Rahasia Klien yang Anda rekam.
  9. Pilih Simpan.

Menambahkan IdP GitHub ke alur pengguna

Pada tahap ini, IdP GitHub telah disiapkan, tetapi belum tersedia di halaman masuk mana pun. Untuk menambahkan IdP GitHub ke alur pengguna:

  1. Di penyewa Azure AD B2C Anda, pilih Alur pengguna.
  2. Klik alur pengguna yang ingin Anda tambahkan IdP GitHub.
  3. Di bawah IdP sosial, pilih GitHub.
  4. Pilih Simpan.
  5. Untuk menguji kebijakan Anda, pilih Jalankan alur pengguna.
  6. Untuk Aplikasi, pilih aplikasi web bernama testapp1 yang Anda daftarkan sebelumnya. URL Balasan harus menampilkan https://jwt.ms.
  7. Pilih tombol Jalankan alur pengguna.
  8. Dari halaman masuk atau pendaftaran, pilih GitHub untuk masuk dengan akun GitHub.

Jika proses masuk berhasil, browser Anda dialihkan ke https://jwt.ms, yang menampilkan konten token yang dikembalikan oleh Azure AD B2C.

Membuat kunci kebijakan

Anda perlu menyimpan rahasia klien yang sebelumnya Anda rekam di penyewa Azure AD B2C Anda.

  1. Masuk ke portal Azure.
  2. Pastikan Anda menggunakan direktori yang berisi penyewa AAD B2C Anda. Pilih ikon Direktori + langganan di bilah alat portal.
  3. Pada Setelan portal | Direktori + langganan, temukan direktori Azure AD B2C Anda di daftar Nama direktori, lalu pilih Beralih.
  4. Pilih Semua layanan di pojok kiri atas portal Microsoft Azure, lalu cari dan pilih AAD B2C.
  5. Pada halaman Gambaran Umum, pilih Kerangka Kerja Pengalaman Identitas.
  6. Pilih Kunci Kebijakan lalu pilih Tambahkan.
  7. Untuk Opsi, pilih Manual.
  8. Masukkan Nama untuk kunci kebijakan. Contohnya:GitHubSecret Awalan B2C_1A_ ditambahkan secara otomatis ke nama kunci Anda.
  9. Di Rahasia, masukkan rahasia klien Anda yang sebelumnya Anda rekam.
  10. Untuk Penggunaan kunci, pilih Signature.
  11. Klik Buat.

Mengonfigurasi GitHub sebagai IdP

Untuk memungkinkan pengguna masuk menggunakan akun GitHub, Anda perlu menetapkan akun sebagai penyedia klaim yang dapat berkomunikasi dengan Azure AD B2C melalui titik akhir. Titik akhir menyediakan set klaim yang digunakan oleh Azure AD B2C untuk memverifikasi bahwa pengguna tertentu telah diautentikasi.

Anda dapat menentukan akun GitHub sebagai penyedia klaim dengan menambahkannya ke elemen ClaimsProviders dalam file ekstensi kebijakan Anda.

  1. Buka TrustFrameworkExtensions.xml.

  2. Temukan elemen ClaimsProviders. Jika tidak ada, tambahkan di bawah elemen akar.

  3. Tambahkan ClaimsProvider baru sebagai berikut:

    <ClaimsProvider>
      <Domain>github.com</Domain>
      <DisplayName>GitHub</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="GitHub-OAuth2">
          <DisplayName>GitHub</DisplayName>
          <Protocol Name="OAuth2" />
          <Metadata>
            <Item Key="ProviderName">github.com</Item>
            <Item Key="authorization_endpoint">https://github.com/login/oauth/authorize</Item>
            <Item Key="AccessTokenEndpoint">https://github.com/login/oauth/access_token</Item>
            <Item Key="ClaimsEndpoint">https://api.github.com/user</Item>
            <Item Key="HttpBinding">GET</Item>
            <Item Key="scope">read:user user:email</Item>
            <Item Key="UsePolicyInRedirectUri">0</Item>
            <Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>  
            <Item Key="UserAgentForClaimsExchange">CPIM-Basic/{tenant}/{policy}</Item>
            <!-- Update the Client ID below to the Application ID -->
            <Item Key="client_id">Your GitHub application ID</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_GitHubSecret"/>
          </CryptographicKeys>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
            <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
            <OutputClaim ClaimTypeReferenceId="numericUserId" PartnerClaimType="id" />
            <OutputClaim ClaimTypeReferenceId="issuerUserId" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="github.com" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateIssuerUserId" />
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
    
  4. Atur client_id ke id aplikasi dari pendaftaran aplikasi.

  5. Simpan file.

Menambahkan transformasi klaim

Profil teknis GitHub mengharuskan transformasi klaim CreateIssuerUserId ditambahkan ke daftar ClaimsTransformations. Jika Anda tidak memiliki elemen ClaimsTransformations yang ditentukan dalam file Anda, tambahkan elemen XML induk seperti yang ditunjukkan di bawah ini. Transformasi klaim juga memerlukan jenis klaim baru yang ditentukan bernama numericUserId.

  1. Cari elemen BuildingBlocks. Jika elemen tersebut tidak ada, tambahkan.
  2. Temukan elemen ClaimsSchema. Jika elemen tersebut tidak ada, tambahkan.
  3. Tambahkan klaim numericUserId ke elemen ClaimsSchema.
  4. Temukan elemen ClaimsTransformations. Jika elemen tersebut tidak ada, tambahkan.
  5. Tambahkan transformasi klaim CreateIssuerUserId ke elemen ClaimsTransformations.
<BuildingBlocks>
  <ClaimsSchema>
    <ClaimType Id="numericUserId">
      <DisplayName>Numeric user Identifier</DisplayName>
      <DataType>long</DataType>
    </ClaimType>
  </ClaimsSchema>
  <ClaimsTransformations>
    <ClaimsTransformation Id="CreateIssuerUserId" TransformationMethod="ConvertNumberToStringClaim">
      <InputClaims>
        <InputClaim ClaimTypeReferenceId="numericUserId" TransformationClaimType="inputClaim" />
      </InputClaims>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" TransformationClaimType="outputClaim" />
      </OutputClaims>
    </ClaimsTransformation>
  </ClaimsTransformations>
</BuildingBlocks>

Menambahkan perjalanan pengguna

Pada tahap ini, penyedia identitas telah disiapkan, tetapi belum tersedia di halaman masuk mana pun. Jika Anda tidak memiliki perjalanan pengguna kustom Anda sendiri, buat duplikat perjalanan pengguna template yang sudah ada, jika tidak lanjutkan ke langkah berikutnya.

  1. Buka file TrustFrameworkBase.xml dari paket pemula.
  2. Temukan dan salin seluruh konten elemen UserJourney yang menyertakan Id="SignUpOrSignIn".
  3. Buka TrustFrameworkExtensions.xml dan temukan elemen UserJourneys. Jika elemen tersebut tidak ada, tambahkan.
  4. Tempelkan seluruh konten elemen UserJourney yang Anda salin sebagai anak dari elemen UserJourneys.
  5. Ganti nama Id perjalanan pengguna. Contohnya,Id="CustomSignUpSignIn".

Tambahkan penyedia identitas ke perjalanan pengguna

Sekarang setelah Anda memiliki perjalanan pengguna, tambahkan penyedia identitas baru ke perjalanan pengguna. Anda terlebih dahulu menambahkan tombol masuk, lalu tautkan tombol tersebut ke tindakan. Tindakan ini adalah profil teknis yang Anda buat sebelumnya.

  1. Dalam perjalanan pengguna, temukan elemen langkah orkestrasi yang mencakup Type="CombinedSignInAndSignUp" atau Type="ClaimsProviderSelection". Ini biasanya merupakan langkah orkestrasi pertama. Elemen ClaimsProviderSelections berisi daftar penyedia identitas yang dapat digunakan pengguna untuk masuk. Urutan elemen mengontrol urutan tombol masuk yang disajikan kepada pengguna. Tambahkan elemen XML ClaimsProviderSelection. Tetapkan nilai TargetClaimsExchangeId ke nama yang bersahabat.

  2. Pada langkah orkestrasi berikutnya, tambahkan elemen ClaimsExchange. Set Id ke nilai pertukaran klaim target Id. Perbarui nilai TechnicalProfileReferenceId ke Id profil teknis yang Anda buat sebelumnya.

XML berikut menunjukkan dua langkah orkestrasi pertama dari perjalanan pengguna dengan penyedia identitas:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="GitHubExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="GitHubExchange" TechnicalProfileReferenceId="GitHub-OAuth2" />
  </ClaimsExchanges>
</OrchestrationStep>

Mengonfigurasi kebijakan pihak yang diandalkan

Kebijakan pihak yang diandalkan, misalnya SignUpSignIn.xml, menentukan perjalanan yang akan dijalankan Azure AD B2C. Temukan elemen DefaultUserJourney dalam pihak yang diandalkan. Perbarui ReferenceId agar sesuai dengan ID perjalanan, tempat Anda menambahkan IdP.

Dalam contoh berikut, untuk perjalanan CustomSignUpSignIn, ReferenceId diatur ke CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Mengunggah kebijakan kustom

  1. Masuk ke portal Azure.
  2. Pilih ikon Direktori + Langganan di toolbar portal, lalu pilih direktori yang berisi penyewa Azure AD B2C Anda.
  3. Di portal Microsoft Azure, cari dan pilih Azure AD B2C.
  4. Di Kebijakan, pilih IEF.
  5. Pilih Unggah Kebijakan Kustom, lalu unggah dua file kebijakan yang Anda ubah, dalam urutan berikut: kebijakan ekstensi, misalnya TrustFrameworkExtensions.xml, lalu kebijakan pihak yang diandalkan, seperti SignUpSignIn.xml.

Menguji kebijakan kustom Anda

  1. Pilih kebijakan pihak yang mengandalkan Anda, misalnya B2C_1A_signup_signin.
  2. Untuk Aplikasi, pilih aplikasi web yang Anda daftarkan sebelumnya. URL Balasan harus menampilkan https://jwt.ms.
  3. Pilih tombol Jalankan sekarang.
  4. Dari halaman masuk atau pendaftaran, pilih GitHub untuk masuk dengan akun GitHub.

Jika proses masuk berhasil, browser Anda dialihkan ke https://jwt.ms, yang menampilkan konten token yang dikembalikan oleh Azure AD B2C.

Langkah berikutnya