Azure Active Directory B2C: criteri personalizzatiAzure Active Directory B2C: Custom policies

Nota

I criteri personalizzati sono disponibili in anteprima pubblica.Custom policies are in public preview.

I criteri personalizzati sono stati progettati principalmente per fare fronte a scenari complessi.Custom policies are designed primarily to address complex scenarios. Per la maggior parte degli scenari è consigliabile usare i criteri predefiniti di Azure Active Directory B2C.For most scenarios, we recommend that you use Azure Active Directory B2C built-in policies. I criteri predefiniti sono più facili da impostare per la configurazione.Built-in policies are easier to set up for your configuration.

Definizione di criteri personalizzatiWhat are custom policies?

I criteri personalizzati sono file di configurazione che definiscono il comportamento del tenant di Azure Active Directory B2C.Custom policies are configuration files that define the behavior of your Azure AD B2C tenant. Mentre i criteri predefiniti sono predefiniti nel portale di Azure Active Directory B2C per le attività di identità più comuni, i criteri personalizzati possono essere modificati completamente dallo sviluppatore di identità per completare un numero quasi illimitato di attività.Whereas built-in policies are predefined in the Azure AD B2C portal for the most common identity tasks, custom policies can be fully edited by an identity developer to complete a near unlimited number of tasks. Continuare a leggere per determinare se i criteri personalizzati sono corretti per lo scenario di identità personale.Read on to determine if custom policies are right for you and your identity scenario.

Confronto tra criteri predefiniti e personalizzatiComparing built-in policies and custom policies

Criteri predefinitiBuilt-in policies Criteri personalizzatiCustom policies
Utenti di destinazioneTarget users Tutti gli sviluppatori di app con o senza competenze di identitàAll app developers with or without identity expertise Professionisti di identità: integratori di sistemi, consulenti e team interni per la gestione di identità.Identity pros: systems integrators, consultants, and in-house identity teams. Hanno familiarità con i flussi OpenIDConnect e comprendono i provider di identità e l'autenticazione basata sulle attestazioniThey are comfortable with OpenIDConnect flows, and understand identity providers and claims-based authentication
Metodo di configurazioneConfiguration method Portale di Azure con un'interfaccia utente intuitivaAzure portal with a user-friendly UI Modifica diretta dei file XML e caricamento nel portale di AzureDirectly editing XML files and then uploading to the Azure portal
Personalizzazione dell'interfaccia utenteUI customization Personalizzazione completa dell'interfaccia utente, che include il supporto HTML, CSS e javascript (richiede un dominio personalizzato)Full UI customization, including HTML, CSS, and javascript support(requires custom domain)

Supporto multilingue con stringhe personalizzateMultilanguage support with Custom strings
UgualeSame
Personalizzazione degli attributiAttribute customization Attributi standard e personalizzatiStandard and custom attributes UgualeSame
Gestione delle sessioni e dei tokenToken and session management Token personalizzato e opzioni di sessione multipleCustom token and multiple session options UgualeSame
Provider di identitàIdentity Providers Oggi: provider social, predefinito, localeToday: predefined local, social provider

Futuro: OIDC, SAML, OAuth basati su standardFuture: Standards-based OIDC, SAML, OAuth
Oggi: OIDC, SAML, OAuth basati su standardToday: Standards-based OIDC, OAUTH, SAML

Futuro: WsFedFuture: WsFed
Attività relative all'identità: esempiIdentity Tasks (examples) Iscrizione o accesso ad account social e locali multipliSign-up or Sign-in with local and many social accounts

Reimpostazione della password self-serviceSelf-Service Password Reset

Modifica del profiloProfile Edit

Scenari con autenticazione a più fattoriMulti-Factor Auth scenarios

Personalizzare token e sessioniCustomize Tokens and sessions

Flussi di accesso ai tokenAccess Token flows
Completare le stesse attività dei criteri predefiniti usando provider di identità personalizzati ambiti personalizzatiComplete the same tasks as built-in policies using custom identity providers or use custom scopes

Effettuare il provisioning per l'utente in un altro sistema al momento della registrazioneProvision user in another system at the time of registration

Inviare un messaggio di posta elettronica di benvenuto con il proprio provider di servizi di posta elettronicaSend a welcome email using your own email service provider

Usare un archivio utente esterno B2CUse a user store outside B2C

Convalidare le informazioni date dall'utente con un sistema attendibile tramite APIValidate user provided information with a trusted system via API

File dei criteriPolicy files

Un criterio personalizzato è rappresentato come uno o più file in formato XML che fanno riferimento l'uno all'altro in una catena gerarchica.A custom policy is represented as one or several XML-formatted files that refer to each other in a hierarchical chain. Gli elementi XML definiscono, tra gli altri elementi: schema delle attestazioni, trasformazioni delle attestazioni, definizioni di contenuto, provider di attestazioni/profili tecnici e procedure di orchestrazione per i percorsi utente.The XML elements define: Claims schema, claims transformations, content definitions, claims providers/technical profiles, and User journey orchestration steps, among other elements.

Si consiglia di usare i tre tipi di file dei criteri:We recommend the use of three types of policy files:

  • Un file di BASE, che contiene la maggior parte delle definizioni e per cui Azure offre un esempio completo.A BASE file, which contains most of the definitions and for which Azure provides a complete sample. Si consiglia di apportare un numero minimo di modifiche a questo file che contribuisce alla risoluzione dei problemi e alla manutenzione a lungo termine dei criteriWe recommend you make a minimum number of changes to this file to help with troubleshooting, and long-term maintenance of your policies
  • Un file di estensioni che contiene le modifiche di configurazione univoche per il tenantan EXTensions file that holds the unique configuration changes for your tenant
  • Un file Relying Party (RP) è l'unico file incentrato sulle attività che viene chiamato direttamente dell'applicazione o dal servizio, detto relying party.a Relying Party (RP) file that is the single task-focused file that is invoked directly by the application or service (aka Relying Party). Per altre informazioni leggere l'articolo sulle definizioni di file dei criteri.Read the article on Policy file definitions for more information. Ogni attività univoca richiede un file Relying Party associato e, a seconda dei requisiti di personalizzazione, il numero potrebbe essere il "totale delle applicazioni per il numero totale di casi di uso".Each unique task requires its own RP and depending on branding requirements the number might be "total of applications x total number of use cases."

I criteri predefiniti in Azure AD B2C seguono il modello a 3 file descritto sopra, ma lo sviluppatore visualizza solo il file Relying Party (RP), mentre il portale apporta modifiche in background al file delle estensioni.Built-in policies in Azure AD B2C follow the three-file pattern depicted above, but the developer only sees the Relying Party (RP) file, while the portal makes changes in the background to the EXTensions file.

Concetti di base che è necessario conoscere quando si usano i criteri personalizzatiCore concepts you should know when using custom policies

Azure Active Directory B2CAzure Active Directory B2C

Azure è dotato del servizio di identità del cliente e gestione dell'accesso, CIAM.Azure’s customer identity and access management (CIAM) service. Il servizio include:The service includes:

  1. Una directory utente sotto forma di Azure Active Directory con un scopo specifico accessibili tramite Microsoft Graph e che contenga i dati utente per gli account locali e gli account federatiA user directory in the form of a special-purpose Azure Active Directory accessible via Microsoft Graph and which holds user data for both local accounts and federated accounts
  2. Accesso al Framework dell'esperienza di gestione delle identità che orchestra la relazione di trust tra gli utenti e le entità e passa le attestazioni tra questi per completare un'attività di gestione di identità/accessiAccess to the Identity Experience Framework that orchestrates trust between users and entities and passes claims between them to complete an identity/access management task
  3. Un servizio token di sicurezza (STS) che emette gli ID token, i token di aggiornamento e i token di accesso (e le asserzioni SAML equivalenti), e li convalida in modo da proteggere le risorse.A security token service (STS) issuing ID tokens, refresh tokens, and access tokens (and equivalent SAML assertions) and validating them to protect resources.

Azure Active Directory B2C interagisce con i provider di identità, gli utenti, altri sistemi e le directory dell'utente locale in sequenza per eseguire un'attività di identità, ad esempio l'accesso di un utente, la registrazione di un nuovo utente, la reimpostazione della password.Azure AD B2C interacts with identity providers, users, other systems, and with the local user directory in sequence to achieve an identity task (for example login a user, register a new user, reset a password). La piattaforma sottostante, che stabilisce relazioni di trust tra più parti ed esegue questi passaggi, viene chiamata Framework dell'esperienza di gestione delle identità e un criterio, chiamato anche percorso utente o criterio del framework attendibilità, definisce in modo esplicito gli attori, le azioni, i protocolli e la sequenza di passaggi da completare.The underlying platform that establishes multi-party trust and executes these steps is called the Identity Experience Framework and a policy (also called a user journey or a Trust framework policy) explicitly defines the actors, the actions, the protocols, and the sequence of steps to complete.

Framework dell'esperienza di gestione delle identitàIdentity Experience Framework

Una piattaforma Azure completamente configurabile, basata su criteri e su cloud che orchestra le relazioni di trust tra le entità (in senso più ampio i provider di attestazioni), in formati di protocollo standard, ad esempio OpenIDConnect, OAuth, SAML, WSFed e alcuni formati non standard, ad esempio scambi di attestazioni basati su API REST da sistema a sistema.A fully configurable, policy-driven, cloud-based Azure platform that orchestrates trust between entities (broadly Claims Providers) in standard protocol formats such as OpenIDConnect, OAuth, SAML, WSFed, and a few non-standard ones (for example REST API-based system-to-system claims exchanges). I2E crea esperienze intuitive e generiche che supportano HTML, CSS e javascript.The I2E creates user-friendly, white-labeled experiences that support HTML, CSS, and javascript. Oggi, il Framework di esperienza di identità è disponibile solo nel contesto del servizio Azure AD B2C e dà priorità alle attività correlate al CIAM.Today, the Identity Experience Framework is available only in the context of the Azure AD B2C service and prioritized for tasks related to CIAM.

Criteri predefinitiBuilt-in policies

File di configurazione predefiniti che determinano il comportamento di Azure Active Directory B2C in modo da eseguire le attività di gestione delle identità più comuni, ovvero la registrazione utente, l'accesso e la reimpostazione della password, e interagire con le parti attendibili la cui relazione è anch'essa predefinita in Azure AD B2C, ad esempio il provider di identità Facebook, LinkedIn, l'account Microsoft o gli account Google.Predefined configuration files that direct the behavior of Azure AD B2C to perform the most commonly used identity tasks (that is, user registration, sign in, password reset) and interact with trusted parties whose relationship is also predefined in Azure AD B2C (for example Facebook identity provider, LinkedIn, Microsoft Account, Google accounts). In futuro, i criteri predefiniti possono anche garantire la personalizzazione dei provider di identità che sono in genere nella sfera aziendale, ad esempio Azure Active Directory Premium, Active Directory o ADFS, Salesforce ID Provider e così via.In the future, built-in policies may also provide for customization of identity providers that are typically in the enterprise realm such as Azure Active Directory Premium, Active Directory/ADFS, Salesforce ID Provider etc.

Criteri personalizzatiCustom policies

I file di configurazione definiscono il comportamento del Framework di esperienza di identità nel tenant di Azure AD B2C.Configuration files that define the behavior of Identity Experience Framework in your Azure AD B2C tenant. Un criterio personalizzato è accessibile nella forma di uno o più file XML (vedere le definizioni di file di criteri) che vengono eseguiti dal framework dell'esperienza di gestione delle identità quando vengono chiamati da una Relying Party, ad esempio da un'applicazione.A custom policy is accessible as one or several XML files (see Policy Files definitions) that are executed by the Identity Experience Framework when invoked by a relying party (for example an application). I criteri personalizzati possono essere modificati direttamente da uno sviluppatore di identità per il completamento di un numero quasi illimitato di attività.Custom policies can be directly edited by an identity developer to complete a near unlimited number of tasks. Gli sviluppatori che configurano criteri personalizzati devono definire dettagliatamente le relazioni attendibili in modo da includere gli endpoint dei metadati e le definizioni di scambio per le attestazioni esatte e configurare i segreti, le chiavi e i certificati necessari per ogni provider di identità.Developers configuring custom policies must define the trusted relationships in careful detail to include metadata endpoints, exact claims exchange definitions, and configure secrets, keys, and certificates as needed by each identity provider.

Definizione di file di criteri per i framework di attendibilità per il Framework dell'esperienza di gestione delle identitàPolicy File Definitions for Identity Experience Framework trust frameworks

File dei criteriPolicy Files

Un criterio personalizzato è rappresentato come uno o più file in formato XML che fanno riferimento l'uno all'altro in una catena gerarchica.A custom policy is represented as one or several XML-formatted files that refer to each other in a hierarchical chain. Gli elementi XML definiscono: schema di attestazioni, trasformazioni di attestazioni, definizioni di contenuto, profili tecnici o provider di attestazioni e procedure di orchestrazione Userjourney, tra gli altri elementi.The XML elements define: Claims schema, claims transformations, content definitions, claims providers/technical profiles, and user journey orchestration steps, among other elements. Si consiglia di usare i tre tipi di file dei criteri:We recommend the use of three types of policy files:

  • Un file BASE contiene la maggior parte delle definizioni e per cui Azure offre un esempio completo.A BASE file contains most of the definitions and for which Azure provides a complete sample. Si consiglia di apportare un numero minimo di modifiche a questo file che contribuisce alla risoluzione dei problemi e alla manutenzione a lungo termine dei criteriWe recommend you make a minimum number of changes to this file to help with troubleshooting, and long-term maintenance of your policies
  • Un file di estensioni che contiene le modifiche di configurazione univoche per il tenantan EXTensions file that holds the unique configuration changes for your tenant
  • Un file Relying Party (RP) è l'unico file incentrato sulle attività che viene chiamato direttamente dell'applicazione o dal servizio, detti Relying Party.a Relying Party (RP) file is the single task-focused file that is invoked directly by the application or service (aka Relying Party). Per altre informazioni leggere l'articolo sulle definizioni di file dei criteri.Read the article on Policy file definitions for more information. Ogni attività univoca richiede un proprio Relying Party e, a seconda dei requisiti di personalizzazione, il numero potrebbe essere il "totale delle applicazioni per il numero totale di casi di uso".Each unique task requires its own RP and depending on branding requirements the number might be "total of applications x total number of use cases".

Tipi di file di criteri

Tipo di file di criteriType of policy file Nome del file di esempioExamples file name Uso consigliatoRecommended use Eredito daInherits from
BASEBASE TrustFrameworkBase.xmlTrustFrameworkBase.xml

Mytenant.onmicrosoft.com-B2C-1A_BASE1.xmlMytenant.onmicrosoft.com-B2C-1A_BASE1.xml
Include lo schema di attestazioni core, le trasformazioni delle attestazioni, i provider delle attestazioni e i percorsi utente è configurati da MicrosoftIncludes the core claims schema, claims transformations, claims providers, and user journeys configured by Microsoft

Apportare modifiche minime al fileMake minimal changes to this file
NessunaNone
Estensione (RXT)Extension (EXT) TrustFrameworkExtensions.xmlTrustFrameworkExtensions.xml

Mytenant.onmicrosoft.com-B2C-1A_EXT.xmlMytenant.onmicrosoft.com-B2C-1A_EXT.xml
Consolidare le modifiche al file di BASE quiConsolidate your changes to the BASE file here

Provider di attestazioni modificatiModified claims providers

Percorsi utente modificatiModified user journeys

Definizioni dello schema personalizzatoYour own custom schema definitions
File di BASEBASE file
Relying Party (RP)Relying Party (RP) B2C_1A_sign_up_sign_in.xmlB2C_1A_sign_up_sign_in.xml Modificare la forma del token e le impostazioni della sessione quiChange token shape and session settings here File Extensions(Ext)Extensions(EXT) file

Modello di ereditarietàInheritance model

Quando un'applicazione chiama il file dei criteri di relying party, il Framework di esperienza di identità in B2C aggiungerà tutti gli elementi dal file di criteri di BASE, quindi da quello delle estensioni e infine dal relying party per assemblare i criteri correnti in vigore.When an application calls the RP Policy file, the Identity Experience Framework in B2C will add all the elements from BASE, then from EXTENSIONS, and lastly from the RP policy file to assemble the current policy in effect. Gli elementi dello stesso tipo e nome nel file relying party eseguiranno l'override nel file ESTENSIONI, ed ESTENSIONI esegue l'override nel file di BASE.Elements of the same type and name in the RP file will override those in the EXTENSIONS, and EXTENSIONS overrides BASE.

I criteri predefiniti in Azure AD B2C seguono il modello a 3 file illustrato in precedenza, ma lo sviluppatore vede solo il file Relying Party (RP), mentre il portale apporta modifiche in background al file delle estensioni.Built-in policies in Azure AD B2C follow the 3-file pattern depicted above, but the developer only sees the Relying Party (RP) file, while the portal makes changes in the background to the EXTenstions file. Tutti i componenti di Azure AD B2C condividono un file di criteri di BASE che è controllaro del team di Azure B2C e viene aggiornato di frequente.All of Azure AD B2C shares a BASE policy file that is under the control of the Azure B2C team and is updated frequently.

Passaggi successiviNext steps