Mengonfigurasi eID-Me dengan Azure Active Directory B2C untuk verifikasi identitas

Sebelum memulai, gunakan pemilih Pilih jenis kebijakan untuk memilih jenis kebijakan yang Anda siapkan. Azure Active Directory B2C menawarkan dua metode untuk menentukan cara pengguna berinteraksi dengan aplikasi Anda: melalui alur pengguna yang telah ditentukan sebelumnya atau melalui kebijakan kustom yang sepenuhnya dapat dikonfigurasi. Langkah yang diperlukan dalam artikel ini berbeda untuk setiap metode.

Dalam artikel sampel ini, kami menyediakan panduan tentang cara mengintegrasikan autentikasi Azure Active Directory B2C (Azure AD B2C) dengan eID-Me. eID-Me adalah solusi identitas digital terdesentralisasi dan verifikasi identitas untuk warga negara Kanada. Dengan eID-Me, penyewa Azure AD B2C dapat dengan kuat memverifikasi identitas pengguna mereka, mendapatkan klaim identitas terverifikasi saat pendaftaran dan masuk, dan mendukung autentikasi multifaktor (MFA) dan kredensial masuk bebas kata sandi menggunakan identitas digital yang aman. Tindakan ini memungkinkan organisasi untuk memenuhi persyaratan Identity Assurance Level (IAL) 2 dan Know Your Customer (KYC). Solusi ini memberi pengguna pengalaman pendaftaran dan masuk yang aman sekaligus mengurangi penipuan.

Prasyarat

Untuk memulai, Anda akan memerlukan:

• Akun Pihak yang Mengandalkan dengan eID-Me.

• Langganan Azure. Jika Anda tidak memilikinya, dapatkan akun gratis.

• Satu Penyewa Azure Active Directory B2C yang ditautkan ke langganan Azure Anda.

• Versi uji coba atau produksi aplikasi smartphone eID-Me untuk pengguna.

• Selesaikan langkah-langkah dalam artikel Memulai dengan kebijakan kustom di Azure Active Directory B2C.

Deskripsi skenario

eID-Me terintegrasi dengan Azure AD B2C sebagai penyedia identitas OpenID Connect (OIDC). Komponen berikut merupakan bagian dari solusi eID-Me dengan Azure AD B2C:

• Penyewa Azure AD B2C: Penyewa Azure AD B2C Anda perlu dikonfigurasi sebagai Pihak yang Mengandalkan di eID-Me. Hal ini memungkinkan penyedia identitas eID-Me untuk mempercayai penyewa Azure AD B2C Anda untuk mendaftar dan masuk.

• Aplikasi penyewa Azure AD B2C: Meskipun tidak diwajibkan secara ketat, diasumsikan bahwa penyewa harus memiliki aplikasi penyewa Azure AD B2C. Aplikasi dapat menerima klaim identitas yang diterima oleh Azure AD B2C selama transaksi eID-Me.

• Aplikasi smartphone eID-Me: Pengguna penyewa Azure AD B2C Anda harus memiliki aplikasi smartphone eID-Me untuk iOS atau Android.

• Identitas digital eID-Me yang diterbitkan: Sebelum menggunakan eID-Me, pengguna harus berhasil melalui proses pemeriksaan identitas eID-Me. Mereka memiliki identitas digital yang diterbitkan ke dompet digital di dalam aplikasi. Proses ini dilakukan dari rumah dan biasanya memakan waktu beberapa menit jika pengguna memiliki dokumen identitas yang valid.

Aplikasi eID-Me juga menyediakan autentikasi pengguna yang kuat pada semua transaksi. Autentikasi kunci umum X509 menggunakan kunci penandatanganan privat yang berada dalam identitas digital eID-Me menyediakan MFA tanpa kata sandi.

Diagram berikut menunjukkan proses pemeriksaan identitas, yang terjadi di luar alur Azure AD B2C.

Langkah-langkah	Deskripsi
1.	Pengguna mengunggah swafoto ke aplikasi smartphone eID-Me.
2.	Pengguna memindai dan mengunggah dokumen identifikasi yang diterbitkan pemerintah seperti Paspor atau SIM ke dalam aplikasi smartphone eID-Me.
3.	Aplikasi smartphone eID-Me mengirimkan data ini ke layanan identitas eID-Me untuk verifikasi.
4.	Identitas digital diterbitkan untuk pengguna dan disimpan dalam aplikasi.

Diagram arsitektur berikut menunjukkan pelaksanaannya.

Langkah-langkah	Deskripsi
1.	Pengguna membuka halaman masuk Azure AD B2C, lalu masuk atau mendaftar dengan memasukkan nama pengguna mereka.
2.	Pengguna diteruskan ke kebijakan gabungan pendaftaran dan kredensial masuk Azure AD B2C.
3.	Azure AD B2C mengarahkan pengguna ke router identitas eID-Me menggunakan alur kode otorisasi OIDC.
4.	Router eID-Me mengirimkan pemberitahuan push ke aplikasi seluler pengguna termasuk semua detail konteks permintaan otorisasi dan autentikasi.
5.	Pengguna meninjau tantangan autentikasi; jika diterima pengguna akan dimintai klaim identitas untuk membuktikan identitas pengguna.
6.	Tanggapan tantangan dikembalikan ke router eID-Me.
7.	Kemudian router eID-Me membalas ke Azure AD B2C dengan hasil autentikasi.
8.	Tanggapan dari Azure AD B2C dikirim sebagai token ID ke aplikasi.
9.	Berdasarkan hasil autentikasi, pengguna diberikan atau ditolak aksesnya.

Onboard dengan eID-Me

Hubungi eID-Me dan konfigurasikan lingkungan pengujian atau produksi untuk menyiapkan penyewa Azure AD B2C sebagai Pihak yang Mengandalkan. Penyewa harus menentukan klaim identitas apa yang mereka perlukan dari konsumen mereka saat mereka mendaftar menggunakan eID-Me.

Langkah 1: Mengonfigurasi aplikasi di eID-Me

Untuk mengonfigurasi aplikasi penyewa Anda sebagai Pihak yang Mengandalkan di eID-Me, informasi berikut harus diberikan ke eID-Me:

Properti	Deskripsi
Nama	Azure AD B2C/nama aplikasi yang Anda inginkan
Domain	name.onmicrosoft.com
URI Pengalihan	https://jwt.ms
URL pengalihan	https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp Sebagai contoh: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp Jika Anda menggunakan domain kustom, masukkan https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Ganti nama-domain-Anda dengan domain kustom Anda, dan nama-penyewa-Anda dengan nama penyewa Anda.
URL untuk halaman beranda aplikasi	Akan ditampilkan kepada pengguna akhir
URL untuk kebijakan privasi aplikasi	Akan ditampilkan kepada pengguna akhir

eID-Me akan memberikan ID Klien dan Rahasia Klien setelah Pihak yang Mengandalkan dikonfigurasi dengan eID-Me.

Catatan

Anda memerlukan ID klien dan Rahasia klien nanti untuk mengonfigurasi IdP di Azure AD B2C.

Langkah 2 - Menambahkan IdP baru di Azure AD B2C

1. Masuk ke portal Microsoft Azure sebagai administrator global penyewa Azure AD B2C Anda.

2. Pastikan Anda menggunakan direktori yang berisi penyewa Azure AD B2C dengan memilih filter Direktori + langganan di menu atas dan memilih direktori yang berisi penyewa Anda.

3. Pilih Semua layanan di pojok kiri atas portal Microsoft Azure, lalu cari dan pilih AAD B2C.

4. Navigasikan ke Dasbor>Azure Active Directory B2C>IdP.

5. Pilih Penyedia OpenID Connect baru.

6. Pilih Tambahkan.

Langkah 3 - Mengonfigurasi IdP

Untuk mengonfigurasi IdP, ikuti langkah-langkah berikut:

1. Pilih Jenis IdP>OpenID Connect (Pratinjau)

2. Isi formulir untuk menyiapkan IdP:

   Properti	Nilai
   Nama	Masukkan eID-Me Tanpa kata sandi/nama pilihan Anda
   ID Klien	Disediakan oleh eID-Me
   Rahasia klien	Disediakan oleh eID-Me
   Lingkup	Profil email openID
   Jenis respons	kode
   Mode respons	posting formulir

3. PilihOK.

4. Pilih Petakan klaim IdP ini.

5. Isi formulir untuk memetakan IdP:

   Properti	Nilai
   ID Pengguna	sub
   Nama tampilan	nama
   Nama depan	given_name
   Nama Belakang	family_name
   Email	email

6. Pilih Simpan untuk menyelesaikan penyiapan untuk IdP OIDC baru Anda.

Langkah 4: Mengonfigurasi autentikasi multifaktor

eID-Me adalah identitas digital terdesentralisasi dengan bawaan autentikasi pengguna dua faktor yang kuat. Karena eID-Me sudah menjadi pengautentikasi multifaktor, Anda tidak perlu mengonfigurasi pengaturan autentikasi multifaktor apa pun di alur pengguna Anda saat menggunakan eID-Me. eID-Me menawarkan pengalaman pengguna yang cepat dan sederhana, yang juga menghilangkan kebutuhan akan kata sandi tambahan.

Langkah 5 - Membuat kebijakan alur pengguna

Anda sekarang akan melihat eID-Me sebagai IdP OIDC baru yang tercantum dalam IdP B2C Anda.

1. Di penyewa AAD B2C Anda, di bawah Kebijakan, pilih Alur pengguna.

2. Pilih Alur pengguna baru

3. Pilih Daftar dan masuk di>Versi>Buat.

4. Masukkan Nama untuk kebijakan Anda.

5. Di bagian Penyedia identitas, pilih IdP eID-Me yang baru Anda buat.

6. Pilih Tidak ada untuk Akun Lokal untuk menonaktifkan autentikasi berbasis email dan kata sandi.

7. Pilih Jalankan alur pengguna

8. Dalam formulir, masukkan URL Balasan, seperti https://jwt.ms.

9. Browser akan dialihkan ke halaman masuk eID-Me. Masukkan nama akun yang terdaftar selama pendaftaran Pengguna. Pengguna akan menerima pemberitahuan push ke perangkat seluler yang telah menginstal aplikasi eID-Me; setelah membuka pemberitahuan, pengguna akan mendapatkan tantangan autentikasi

10. Setelah tantangan autentikasi diterima, browser akan mengarahkan pengguna ke URL balasan.

Langkah berikutnya

Untuk informasi tambahan, ulas artikel berikut ini:

• Panduan integrasi EID-Me dan Azure AD B2C

• Kebijakan kustom di AAD B2C

• Mulai kebijakan kustom di Azure AD B2C

Catatan

Di Azure AD B2C, kebijakan kustom didesain khusus untuk menangani skenario yang rumit. Untuk skenario umum, sebaiknya gunakan alur pengguna bawaan.

Bagian 2 - Membuat kunci kebijakan

Simpan rahasia klien yang sebelumnya Anda rekam di penyewa Azure AD B2C Anda.

1. Masuk ke portal Microsoft Azure.

2. Pastikan Anda menggunakan direktori yang berisi penyewa AAD B2C Anda. Pilih ikon Direktori + langganan di bilah alat portal.

3. Pada Setelan portal | Direktori + langganan, temukan direktori Azure AD B2C Anda di daftar Nama direktori, lalu pilih Beralih.

4. Pilih Semua layanan di pojok kiri atas portal Microsoft Azure, lalu cari dan pilih AAD B2C.

5. Pada halaman Gambaran Umum, pilih Kerangka Kerja Pengalaman Identitas.

6. Pilih Kunci Kebijakan lalu pilih Tambahkan.

7. Untuk Opsi, pilih Manual.

8. Masukkan Nama untuk kunci kebijakan. Contohnya:eIDMeClientSecret Awalan B2C_1A_ ditambahkan secara otomatis ke nama kunci Anda.

9. Di Rahasia, masukkan rahasia klien Anda yang sebelumnya Anda rekam.

10. Untuk Penggunaan kunci, pilih Signature.

11. Pilih Buat.

Langkah 3: Mengonfigurasi eID-Me sebagai IdP

Untuk memungkinkan pegguna menggunakan identitas terdesentralisasi eID-Me, Anda harus menentukan eID-Me sebagai penyedia klaim yang dapat berkomunikasi dengan Azure AD B2C melalui titik akhir. Titik akhir menyediakan set klaim yang digunakan oleh Azure AD B2C untuk memverifikasi bahwa pengguna tertentu telah diautentikasi menggunakan ID digital yang tersedia di perangkat mereka untuk membuktikan identitas pengguna.

Anda dapat menentukan eID-Me sebagai penyedia klaim dengan menambahkannya ke elemen ClaimsProvider di file ekstensi kebijakan Anda

1. Buka TrustFrameworkExtensions.xml.

2. Temukan elemen ClaimsProviders. Jika tidak ada, tambahkan di bawah elemen akar.

3. Tambahkan ClaimsProvider baru sebagai berikut:

      <ClaimsProvider>
      <Domain>eID-Me</Domain>
      <DisplayName>eID-Me</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="eID-Me-OIDC">
          <!-- The text in the following DisplayName element is shown to the user on the claims provider 
   selection screen. -->
          <DisplayName>eID-Me for Sign In</DisplayName>
          <Protocol Name="OpenIdConnect" />
          <Metadata>
            <Item Key="ProviderName">https://eid-me.bluink.ca</Item>
            <Item Key="METADATA">https://demoeid.bluink.ca/.well-known/openid-configuration</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid email profile</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="token_endpoint_auth_method">client_secret_post</Item>
            <Item Key="client_id">eid_me_rp_client_id</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_eIDMeClientSecret" />
          </CryptographicKeys>
          <InputClaims />
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
            <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
            <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
            <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
            <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
            <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
   

4. Atur eid_me_rp_client_id dengan ID Klien Pihak yang Mengandalkan eID-Me Anda.

5. Simpan file.

Ada beberapa klaim identitas tambahan yang didukung eID-Me dan dapat ditambahkan.

1. Buka TrustFrameworksExtension.xml

2. Temukan elemen BuildingBlocks. Di sinilah klaim identitas tambahan yang didukung eID-Me dapat ditambahkan. Daftar lengkap klaim identitas eID-Me yang didukung dengan deskripsi disebutkan di http://www.oid-info.com/get/1.3.6.1.4.1.50715 dengan pengidentifikasi OIDC yang digunakan di sini https://eid-me.bluink.ca/.well-known/openid-configuration.

   <BuildingBlocks>
   <ClaimsSchema>
    <ClaimType Id="IAL">
        <DisplayName>Identity Assurance Level</DisplayName>
        <DataType>string</DataType>
        <DefaultPartnerClaimTypes>
          <Protocol Name="OpenIdConnect" PartnerClaimType="identity_assurance_level_achieved" />
        </DefaultPartnerClaimTypes>
        <AdminHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</AdminHelpText>
        <UserHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</UserHelpText>
        <UserInputType>Readonly</UserInputType>
      </ClaimType>
   
   <ClaimType Id="picture">
        <DisplayName>Portrait Photo</DisplayName>
        <DataType>string</DataType>
        <DefaultPartnerClaimTypes>
          <Protocol Name="OpenIdConnect" PartnerClaimType="thumbnail_portrait" />
        </DefaultPartnerClaimTypes>
        <AdminHelpText>The portrait photo of the user.</AdminHelpText>
        <UserHelpText>Your portrait photo.</UserHelpText>
        <UserInputType>Readonly</UserInputType>
      </ClaimType>
   
    <ClaimType Id="middle_name">
        <DisplayName>Portrait Photo</DisplayName>
        <DataType>string</DataType>
        <DefaultPartnerClaimTypes>
          <Protocol Name="OpenIdConnect" PartnerClaimType="middle_name" />
        </DefaultPartnerClaimTypes>
        <UserHelpText>Your middle name.</UserHelpText>
        <UserInputType>TextBox</UserInputType>
      </ClaimType>
   
   <ClaimType Id="birthdate">
        <DisplayName>Date of Birth</DisplayName>
        <DataType>string</DataType>
        <DefaultPartnerClaimTypes>
          <Protocol Name="OpenIdConnect" PartnerClaimType="birthdate" />
        </DefaultPartnerClaimTypes>
        <AdminHelpText>The user's date of birth.</AdminHelpText>
        <UserHelpText>Your date of birth.</UserHelpText>
        <UserInputType>TextBox</UserInputType>
      </ClaimType>
   
    <ClaimType Id="gender">
        <DisplayName>Gender</DisplayName>
        <DataType>string</DataType>
        <DefaultPartnerClaimTypes>
          <Protocol Name="OpenIdConnect" PartnerClaimType="gender" />
        </DefaultPartnerClaimTypes>
        <AdminHelpText>The user's gender.</AdminHelpText>
        <UserHelpText>Your gender.</UserHelpText>
        <UserInputType>TextBox</UserInputType>
      </ClaimType>
   
    <ClaimType Id="street_address">
        <DisplayName>Locality/City</DisplayName>
        <DataType>string</DataType>
        <DefaultPartnerClaimTypes>
          <Protocol Name="OpenIdConnect" PartnerClaimType="street_address" />
        </DefaultPartnerClaimTypes>
        <AdminHelpText>The user's full street address, which MAY include house number, street name, post office box.</AdminHelpText>
        <UserHelpText>Your street address of residence.</UserHelpText>
        <UserInputType>TextBox</UserInputType>
      </ClaimType>
   
   <ClaimType Id="locality">
        <DisplayName>Locality/City</DisplayName>
        <DataType>string</DataType>
        <DefaultPartnerClaimTypes>
          <Protocol Name="OpenIdConnect" PartnerClaimType="locality" />
        </DefaultPartnerClaimTypes>
        <AdminHelpText>The user's current city or locality of residence.</AdminHelpText>
        <UserHelpText>Your current city or locality of residence.</UserHelpText>
        <UserInputType>TextBox</UserInputType>
      </ClaimType>
   
      <ClaimType Id="region">
        <DisplayName>Province or Territory</DisplayName>
        <DataType>string</DataType>
        <DefaultPartnerClaimTypes>
          <Protocol Name="OpenIdConnect" PartnerClaimType="region" />
        </DefaultPartnerClaimTypes>
        <AdminHelpText>The user's current province or territory of residence.</AdminHelpText>
        <UserHelpText>Your current province or territory of residence.</UserHelpText>
        <UserInputType>TextBox</UserInputType>
      </ClaimType>
   
      <ClaimType Id="country">
        <DisplayName>Country</DisplayName>
        <DataType>string</DataType>
        <DefaultPartnerClaimTypes>
          <Protocol Name="OpenIdConnect" PartnerClaimType="country" />
        </DefaultPartnerClaimTypes>
        <AdminHelpText>The user's current country of residence.</AdminHelpText>
        <UserHelpText>Your current country of residence.</UserHelpText>
        <UserInputType>TextBox</UserInputType>
      </ClaimType>
   
      <ClaimType Id="dl_number">
        <DisplayName>Driver's Licence Number</DisplayName>
        <DataType>string</DataType>
        <DefaultPartnerClaimTypes>
          <Protocol Name="OpenIdConnect" PartnerClaimType="dl_number" />
        </DefaultPartnerClaimTypes>
        <AdminHelpText>The user's driver's licence number.</AdminHelpText>
        <UserHelpText>Your driver's licence number.</UserHelpText>
        <UserInputType>TextBox</UserInputType>
      </ClaimType>
   
      <ClaimType Id="dl_class">
        <DisplayName>Driver's Licence Class</DisplayName>
        <DataType>string</DataType>
        <DefaultPartnerClaimTypes>
          <Protocol Name="OpenIdConnect" PartnerClaimType="dl_class" />
        </DefaultPartnerClaimTypes>
        <AdminHelpText>The user's driver's licence class.</AdminHelpText>
        <UserHelpText>Your driver's licence class.</UserHelpText>
        <UserInputType>TextBox</UserInputType>
      </ClaimType>
    </ClaimsSchema>
   
   

Langkah 4: Menambahkan perjalanan

Pada tahap ini, penyedia identitas telah disiapkan, tetapi belum tersedia di halaman masuk mana pun. Jika Anda tidak memiliki perjalanan pengguna kustom Anda sendiri, buat duplikat perjalanan pengguna template yang sudah ada, jika tidak lanjutkan ke langkah berikutnya.

1. Buka file TrustFrameworkBase.xml dari paket pemula.

2. Temukan dan salin seluruh konten elemen UserJourney yang menyertakan ID=SignUpOrSignIn.

3. Buka TrustFrameworkExtensions.xml dan cari elemen UserJourneys. Jika elemen tersebut tidak ada, tambahkan.

4. Tempelkan seluruh konten elemen UserJourney yang Anda salin sebagai anak dari elemen UserJourneys.

5. Ganti nama ID perjalanan pengguna. Misalnya, ID=CustomSignUpSignIn

Langkah 5: Menambahkan IdP ke perjalanan

Sekarang setelah Anda memiliki perjalanan pengguna, tambahkan penyedia identitas baru ke perjalanan pengguna.

1. Dalam perjalanan pengguna, cari elemen langkah orkestrasi yang mencakup Type=CombinedSignInAndSignUp atau Type=ClaimsProviderSelection. Ini biasanya merupakan langkah orkestrasi pertama. Elemen ClaimsProviderSelections berisi daftar penyedia identitas yang dapat digunakan pengguna untuk masuk. Urutan elemen mengontrol urutan tombol masuk yang disajikan kepada pengguna. Tambahkan elemen XML ClaimsProviderSelection. Tetapkan nilai TargetClaimsExchangeId ke nama yang bersahabat.

2. Pada langkah orkestrasi berikutnya, tambahkan elemen ClaimsExchange. Atur Id ke ID penukaran nilai target. Perbarui nilai TechnicalProfileReferenceId menjadi ID profil teknis yang Anda buat sebelumnya.

   XML berikut menunjukkan 7 langkah orkestrasi perjalanan dengan IdP:

    <UserJourney Id="eIDME-SignUpOrSignIn">
      <OrchestrationSteps>
        <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
          <ClaimsProviderSelections>
            <ClaimsProviderSelection TargetClaimsExchangeId="eIDMeExchange" />
           </ClaimsProviderSelections>
      </OrchestrationStep>
        <!-- Check if the user has selected to sign in using one of the social providers -->
        <OrchestrationStep Order="2" Type="ClaimsExchange">
          <Preconditions>
            <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
              <Value>objectId</Value>
              <Action>SkipThisOrchestrationStep</Action>
            </Precondition>
          </Preconditions>
          <ClaimsExchanges>
            <ClaimsExchange Id="eIDMeExchange" TechnicalProfileReferenceId="eID-Me-OIDC" />
          </ClaimsExchanges>
        </OrchestrationStep>
        <!-- For social IDP authentication, attempt to find the user account in the directory. -->
        <OrchestrationStep Order="3" Type="ClaimsExchange">
          <Preconditions>
            <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
              <Value>authenticationSource</Value>
              <Value>localAccountAuthentication</Value>
              <Action>SkipThisOrchestrationStep</Action>
            </Precondition>
          </Preconditions>
          <ClaimsExchanges>
            <ClaimsExchange Id="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId="AAD-UserReadUsingAlternativeSecurityId-NoError" />
          </ClaimsExchanges>
        </OrchestrationStep>
        <!-- Show self-asserted page only if the directory does not have the user account already (i.e. we do not have an objectId).  -->
        <OrchestrationStep Order="4" Type="ClaimsExchange">
          <Preconditions>
            <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
              <Value>objectId</Value>
              <Action>SkipThisOrchestrationStep</Action>
            </Precondition>
          </Preconditions>
          <ClaimsExchanges>
            <ClaimsExchange Id="SelfAsserted-Social" TechnicalProfileReferenceId="SelfAsserted-Social" />
          </ClaimsExchanges>
        </OrchestrationStep>
        <!-- This step reads any user attributes that we may not have received when authenticating using ESTS so they can be sent in the token. -->
        <OrchestrationStep Order="5" Type="ClaimsExchange">
          <Preconditions>
            <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
              <Value>authenticationSource</Value>
              <Value>socialIdpAuthentication</Value>
              <Action>SkipThisOrchestrationStep</Action>
            </Precondition>
          </Preconditions>
          <ClaimsExchanges>
            <ClaimsExchange Id="AADUserReadWithObjectId" TechnicalProfileReferenceId="AAD-UserReadUsingObjectId" />
          </ClaimsExchanges>
        </OrchestrationStep>
        <!-- The previous step (SelfAsserted-Social) could have been skipped if there were no attributes to collect 
             from the user. So, in that case, create the user in the directory if one does not already exist 
             (verified using objectId which would be set from the last step if account was created in the directory. -->
        <OrchestrationStep Order="6" Type="ClaimsExchange">
          <Preconditions>
            <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
              <Value>objectId</Value>
              <Action>SkipThisOrchestrationStep</Action>
            </Precondition>
          </Preconditions>
          <ClaimsExchanges>
            <ClaimsExchange Id="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId" />
          </ClaimsExchanges>
        </OrchestrationStep>
        <OrchestrationStep Order="7" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
      </OrchestrationSteps>
      <ClientDefinition ReferenceId="DefaultWeb" />
    </UserJourney>
   
   

Langkah 6: Mengonfigurasi kebijakan pihak yang mengandalkan

Kebijakan pihak yang mengandalkan menentukan perjalanan yang akan dijalankan Azure AD B2C. Anda juga dapat mengontrol klaim apa yang diteruskan ke aplikasi Anda dengan menyesuaikan elemen OutputClaims dari elemen TechnicalProfile eID-Me-OIDC-Signup. Dalam sampel ini, aplikasi akan menerima kode pos, lokalitas, wilayah, IAL, potret, nama tengah, dan tanggal lahir pengguna. Aplikasi juga menerima klaim signupConditionsSatisfied boolean, yang menunjukkan apakah akun telah dibuat atau belum:

 <RelyingParty>
     <DefaultUserJourney ReferenceId="eIDMe-SignUpOrSignIn" />
     <TechnicalProfile Id="PolicyProfile">
       <DisplayName>PolicyProfile</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="displayName" />
         <OutputClaim ClaimTypeReferenceId="givenName" />
         <OutputClaim ClaimTypeReferenceId="surname" />
         <OutputClaim ClaimTypeReferenceId="email" />
         <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
         <OutputClaim ClaimTypeReferenceId="identityProvider" />
         <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
         <OutputClaim ClaimTypeReferenceId="postalCode" PartnerClaimType="postal_code" DefaultValue="unknown postal_code" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="picture" PartnerClaimType="thumbnail_portrait" DefaultValue="unknown portrait" />
         <OutputClaim ClaimTypeReferenceId="middle_name" PartnerClaimType="middle_name" DefaultValue="unknown middle name" />
         <OutputClaim ClaimTypeReferenceId="birthdate" PartnerClaimType="birthdate" DefaultValue="unknown DOB" />
         <OutputClaim ClaimTypeReferenceId="newUser" PartnerClaimType="signupConditionsSatisfied" DefaultValue="false" />
       </OutputClaims>
       <SubjectNamingInfo ClaimType="sub" />
     </TechnicalProfile>
   </RelyingParty>

Langkah 7: Mengunggah kebijakan kustom

1. Masuk ke portal Microsoft Azure.

2. Pastikan Anda menggunakan direktori yang berisi penyewa AAD B2C Anda. Pilih ikon Direktori + langganan di bilah alat portal.

3. Pada Setelan portal | Direktori + langganan, temukan direktori Azure AD B2C Anda di daftar Nama direktori, lalu pilih Beralih.

4. Di portal Microsoft Azure, cari dan pilih Azure AD B2C.

5. Di bawah Kebijakan, pilih IEF. Pilih Unggah Kebijakan Kustom, lalu unggah dua file kebijakan yang Anda ubah, dalam urutan berikut: kebijakan ekstensi, misalnya TrustFrameworkBase.xml, lalu kebijakan pihak yang diandalkan, seperti SignUp.xml.

Langkah 8: Menguji kebijakan kustom Anda

1. Pilih kebijakan pihak yang mengandalkan Anda, misalnya B2C_1A_signup.

2. Untuk Aplikasi, pilih aplikasi web yang Anda daftarkan sebelumnya. URL Balasan harus menampilkan https://jwt.ms.

3. Pilih tombol Jalankan sekarang.

4. Kebijakan pendaftaran harus segera meminta eID-Me. Jika kredensial masuk digunakan, pilih eID-Me untuk masuk dengan eID-Me.

Jika proses rincian masuk berhasil, browser Anda dialihkan ke https://jwt.ms, yang menampilkan konten token yang dikembalikan oleh Azure AD B2C.

Langkah berikutnya

Untuk informasi tambahan, ulas artikel berikut ini:

• Kebijakan kustom di AAD B2C

• Mulai kebijakan kustom di Azure AD B2C

• Kode sampel untuk mengintegrasikan Azure AD B2C dengan eID-Me

• Panduan integrasi EID-Me dan Azure AD B2C