Informazioni sui criteri personalizzati dello starter pack di Azure AD B2CUnderstanding the custom policies of the Azure AD B2C Custom Policy starter pack

Questa sezione elenca tutti gli elementi principali del criterio B2C_1A_base disponibile nello starter pack, che può essere sfruttato per creare i propri criteri tramite l'ereditarietà del criterio B2C_1A_base_extensions.This section lists all the core elements of the B2C_1A_base policy that comes with the Starter Pack and that is leveraged for authoring your own policies through the inheritance of the B2C_1A_base_extensions policy.

Più in particolare vengono illustrati i tipi di attestazioni già definiti, le trasformazioni delle attestazioni, le definizioni del contenuto, i provider di attestazioni con i profili tecnici e i percorsi utente principali.As such, it more particularly focusses on the already defined claim types, claims transformations, content definitions, claims providers with their technical profile(s), and the core user journeys.

Importante

Microsoft non rilascia alcuna garanzia, espressa o implicita, in merito alle informazioni fornite da questo punto in avanti.Microsoft makes no warranties, express or implied, with respect to the information provided hereafter. Potrebbero essere apportate modifiche in qualsiasi momento, prima della disponibilità a livello generale, al momento della disponibilità a livello generale o in seguito.Changes may be introduced at any time, before GA time, at GA time, or after.

Sia i criteri personalizzati che il criterio B2C_1A_base_extensions possono eseguire l'override di queste definizioni ed estendere questo criterio padre fornendone altre, se necessario.Both your own policies and the B2C_1A_base_extensions policy can override these definitions and extend this parent policy by providing additional ones as needed.

Gli elementi principali del criterio B2C_1A_base sono tipi di attestazioni, trasformazioni di attestazioni e definizioni del contenuto.The core elements of the B2C_1A_base policy are claim types, claims transformations, and content definitions. Questi elementi possono essere usati come riferimento nei criteri personalizzati e nel criterio B2C_1A_base_extensions.These elements can susceptible to be referenced in your own policies as well as in the B2C_1A_base_extensions policy.

Schema delle attestazioniClaims schemas

Questo schema delle attestazioni è diviso in tre sezioni:This claims schemas is divided into three sections:

  1. Una prima sezione che elenca le attestazioni minime necessarie per il corretto funzionamento dei percorsi utente.A first section that lists the minimum claims that are required for the user journeys to work properly.
  2. Una seconda sezione che elenca le attestazioni necessarie per i parametri della stringa di query e altri speciali parametri da passare ad altri provider di attestazioni, in particolare login.microsoftonline.com per l'autenticazione.A second section that lists the claims required for query string parameters and other special parameters to be passed to other claims providers, especially login.microsoftonline.com for authentication. Non modificare queste attestazioni.Please do not modify these claims.
  3. Infine una terza sezione che elenca altre attestazioni facoltative che possono essere raccolte dall'utente, archiviate nella directory e inviate in token durante l'accesso.And eventually a third section that lists any additional, optional claims that can be collected from the user, stored in the directory and sent in tokens during sign in. In questa sezione possono essere aggiunti nuovi tipi di attestazioni che devono essere raccolte dall'utente e/o inviate nel token.New claims type to be collected from the user and/or sent in the token can be added in this section.

Importante

Lo schema delle attestazioni contiene le limitazioni relative a determinate attestazioni, ad esempio password e nomi utente.The claims schema contains restrictions on certain claims such as passwords and usernames. Il criterio del framework attendibilità considera Azure AD come qualsiasi altro provider di attestazioni e tutte le limitazioni sono modellate nel criterio premium.The Trust Framework (TF) policy treats Azure AD as any other claims provider and all its restrictions are modelled in the premium policy. Un criterio può essere modificato per aggiungere altre limitazioni o usare un altro provider di attestazioni per la risorsa di archiviazione delle credenziali che avrà le proprie limitazioni.A policy could be modified to add more restrictions, or use another claims provider for credential storage which will have its own restrictions.

Di seguito sono elencati i tipi di attestazioni disponibili.The available claim types are listed below.

Attestazioni necessarie per i percorsi utenteClaims that are required for the user journeys

Le attestazioni seguenti sono necessarie per il corretto funzionamento dei percorsi utente:The following claims are required for user journeys to work properly:

Tipo di attestazioneClaims type DescrizioneDescription
UserIdUserId Nome utenteUsername
signInNamesignInName Nome di accessoSign in name
tenantIdtenantId Identificatore (ID) tenant dell'oggetto utente in Azure AD B2C PremiumTenant identifier (ID) of the user object in Azure AD B2C Premium
objectIdobjectId Identificatore (ID) oggetto dell'oggetto utente in Azure AD B2C PremiumObject identifier (ID) of the user object in Azure AD B2C Premium
passwordpassword PasswordPassword
newPasswordnewPassword
reenterPasswordreenterPassword
passwordPoliciespasswordPolicies Criteri password usati da Azure AD B2C Premium per determinare la complessità delle password, la scadenza e così via.Password policies used by Azure AD B2C Premium to determine password strength, expiry, etc.
subsub
alternativeSecurityIdalternativeSecurityId
identityProvideridentityProvider
displayNamedisplayName
strongAuthenticationPhoneNumberstrongAuthenticationPhoneNumber Numero di telefono dell'utenteUser's telephone number
Verified.strongAuthenticationPhoneNumberVerified.strongAuthenticationPhoneNumber
emailemail Indirizzo di posta elettronica che può essere usato per contattare l'utenteEmail address that can be used to contact the user
signInNamesInfo.emailAddresssignInNamesInfo.emailAddress Indirizzo di posta elettronica che l'utente può usare per l'accessoEmail address that the user can use to sign in
otherMailsotherMails Indirizzi di posta elettronica che possono essere usati per contattare l'utenteEmail addresses that can be used to contact the user
userPrincipalNameuserPrincipalName Nome utente archiviato in Azure AD B2C PremiumUsername as stored in the Azure AD B2C Premium
upnUserNameupnUserName Nome utente per la creazione di nome dell'entità utenteUsername for creating user principal name
mailNickNamemailNickName Nome alternativo per la posta elettronica dell'utente archiviato in Azure AD B2C PremiumUser's mail nick name as stored in the Azure AD B2C Premium
newUsernewUser
executed-SelfAsserted-Inputexecuted-SelfAsserted-Input Attestazione che specifica se gli attributi sono stati raccolti dall'utenteClaim that specifies whether attributes were collected from the user
executed-PhoneFactor-Inputexecuted-PhoneFactor-Input Attestazione che specifica se un nuovo numero di telefono è stato raccolto dall'utenteClaim that specifies whether a new phone number was collected from the user
authenticationSourceauthenticationSource Specifica se l'utente è stato autenticato con il provider di identità basato su social network, login.microsoftonline.com o l'account localeSpecifies whether the user was authenticated at Social Identity Provider, login.microsoftonline.com, or local account

Attestazioni necessarie per i parametri della stringa di query e altri parametri specialiClaims required for query string parameters and other special parameters

Le attestazioni seguenti sono necessarie per passare particolari parametri (inclusi alcuni parametri della stringa di query) ad altri provider di attestazioni:The following claims are required to pass on special parameters (including some query string parameters) to other claims providers:

Tipo di attestazioneClaims type DescrizioneDescription
nuxnux Parametro speciale passato per autenticazione dell'account locale in login.microsoftonline.comSpecial parameter passed for local account authentication to login.microsoftonline.com
ncanca Parametro speciale passato per autenticazione dell'account locale in login.microsoftonline.comSpecial parameter passed for local account authentication to login.microsoftonline.com
promptprompt Parametro speciale passato per autenticazione dell'account locale in login.microsoftonline.comSpecial parameter passed for local account authentication to login.microsoftonline.com
mktmkt Parametro speciale passato per autenticazione dell'account locale in login.microsoftonline.comSpecial parameter passed for local account authentication to login.microsoftonline.com
lclc Parametro speciale passato per autenticazione dell'account locale in login.microsoftonline.comSpecial parameter passed for local account authentication to login.microsoftonline.com
grant_typegrant_type Parametro speciale passato per autenticazione dell'account locale in login.microsoftonline.comSpecial parameter passed for local account authentication to login.microsoftonline.com
scopescope Parametro speciale passato per autenticazione dell'account locale in login.microsoftonline.comSpecial parameter passed for local account authentication to login.microsoftonline.com
client_idclient_id Parametro speciale passato per autenticazione dell'account locale in login.microsoftonline.comSpecial parameter passed for local account authentication to login.microsoftonline.com
objectIdFromSessionobjectIdFromSession Parametro fornito dal provider di gestione delle sessioni predefinite per indicare che l'oggetto è stato recuperato da una sessione SSOParameter provided by the default session management provider to indicate that the object id has been retrieved from an SSO session
isActiveMFASessionisActiveMFASession Parametro fornito dal provider di gestione delle sessioni MFA per indicare che l'utente ha una sessione MFA attivaParameter provided by the MFA session management to indicate that the user has an active MFA session

Attestazioni aggiuntive (facoltative) che possono essere raccolteAdditional (optional) claims that can be collected

Le seguenti sono attestazioni aggiuntive che possono essere raccolte dagli utenti, archiviate nella directory e inviate nel token.The following claims are additional claims that can be collected from the users, stored in the directory, and sent in the token. Come indicato prima, si possono aggiungere altre attestazioni a questo elenco.As outlined before, additional claims can be added to this list.

Tipo di attestazioneClaims type DescrizioneDescription
givenNamegivenName Nome di battesimo dell'utente (noto anche come nome)User's given name (also known as first name)
surnamesurname Cognome dell'utenteUser's surname (also known as family name or last name)
Extension_pictureExtension_picture Immagine dell'utente da social networkUser's picture from social

Trasformazioni delle attestazioniClaim transformations

Di seguito sono elencate le trasformazioni di attestazioni disponibili.The available claim transformations are listed below.

Trasformazione attestazioneClaim transformation DescrizioneDescription
CreateOtherMailsFromEmailCreateOtherMailsFromEmail
CreateRandomUPNUserNameCreateRandomUPNUserName
CreateUserPrincipalNameCreateUserPrincipalName
CreateSubjectClaimFromObjectIDCreateSubjectClaimFromObjectID
CreateSubjectClaimFromAlternativeSecurityIdCreateSubjectClaimFromAlternativeSecurityId
CreateAlternativeSecurityIdCreateAlternativeSecurityId

Definizioni del contenutoContent definitions

Questa sezione descrive le definizioni del contenuto già dichiarate nel criterio B2C_1A_base.This section describes the content definitions already declared in the B2C_1A_base policy. È possibile fare riferimento a queste definizioni del contenuto, eseguirne l'override e/o estenderle, se necessario, nei propri criteri oltre che nel criterio B2C_1A_base_extensions.These content definitions are susceptible to be referenced, overridden, and/or extended as needed in your own policies as well as in the B2C_1A_base_extensions policy.

Provider di attestazioniClaims provider DescrizioneDescription
FacebookFacebook
Accesso all'account localeLocal Account SignIn
PhoneFactorPhoneFactor
Azure Active DirectoryAzure Active Directory
AutocertificazioneSelf Asserted
Account localeLocal Account
Gestione delle sessioniSession Management
Motore di criteri TrustframeworkTrustframework Policy Engine
TechnicalProfilesTechnicalProfiles
Autorità emittente di tokenToken Issuer

Profili tecniciTechnical profiles

Questa sezione illustra i profili tecnici già dichiarati per ogni provider di attestazioni nel criterio B2C_1A_base.This section depicts the technical profiles already declared per claim provider in the B2C_1A_base policy. È possibile fare ulteriore riferimento a questi profili tecnici, eseguirne l'override e/o estenderli, se necessario, nei propri criteri oltre che nel criterio B2C_1A_base_extensions.These technical profiles are susceptible to be further referenced, overridden, and/or extended as needed in your own policies as well as in the B2C_1A_base_extensions policy.

Profili tecnici per FacebookTechnical profiles for Facebook

Profilo tecnicoTechnical profile DescrizioneDescription
Facebook-OAUTHFacebook-OAUTH

Profili tecnici per l'accesso all'account localeTechnical profiles for Local Account Signin

Profilo tecnicoTechnical profile DescrizioneDescription
Login-NonInteractiveLogin-NonInteractive

Profili tecnici per PhoneFactorTechnical profiles for Phone Factor

Profilo tecnicoTechnical profile DescrizioneDescription
PhoneFactor-InputPhoneFactor-Input
PhoneFactor-InputOrVerifyPhoneFactor-InputOrVerify
PhoneFactor-VerifyPhoneFactor-Verify

Profili tecnici per Azure Active DirectoryTechnical profiles for Azure Active Directory

Profilo tecnicoTechnical profile DescrizioneDescription
AAD-CommonAAD-Common Profilo tecnico incluso dagli altri profili tecnici AAD-xxxTechnical profile included by the other AAD-xxx technical profiles
AAD-UserWriteUsingAlternativeSecurityIdAAD-UserWriteUsingAlternativeSecurityId Profilo tecnico per gli accessi basati su social networkTechnical profile for social logins
AAD-UserReadUsingAlternativeSecurityIdAAD-UserReadUsingAlternativeSecurityId Profilo tecnico per gli accessi basati su social networkTechnical profile for social logins
AAD-UserReadUsingAlternativeSecurityId-NoErrorAAD-UserReadUsingAlternativeSecurityId-NoError Profilo tecnico per gli accessi basati su social networkTechnical profile for social logins
AAD-UserWritePasswordUsingLogonEmailAAD-UserWritePasswordUsingLogonEmail Profili tecnici per gli account localiTechnical profile for local accounts
AAD-UserReadUsingEmailAddressAAD-UserReadUsingEmailAddress Profili tecnici per gli account localiTechnical profile for local accounts
AAD-UserWriteProfileUsingObjectIdAAD-UserWriteProfileUsingObjectId Profilo tecnico per aggiornare il record utente usando objectIdTechnical profile for updating user record using objectId
AAD-UserWritePhoneNumberUsingObjectIdAAD-UserWritePhoneNumberUsingObjectId Profilo tecnico per aggiornare il record utente usando objectIdTechnical profile for updating user record using objectId
AAD-UserWritePasswordUsingObjectIdAAD-UserWritePasswordUsingObjectId Profilo tecnico per aggiornare il record utente usando objectIdTechnical profile for updating user record using objectId
AAD-UserReadUsingObjectIdAAD-UserReadUsingObjectId Il profilo tecnico viene usato per leggere i dati dopo l'autenticazione dell'utenteTechnical profile is used to read data after user authenticates

Profili tecnici per l'autocertificazioneTechnical profiles for Self Asserted

Profilo tecnicoTechnical profile DescrizioneDescription
SelfAsserted-SocialSelfAsserted-Social
SelfAsserted-ProfileUpdateSelfAsserted-ProfileUpdate

Profili tecnici per l'account localeTechnical profiles for Local Account

Profilo tecnicoTechnical profile DescrizioneDescription
LocalAccountSignUpWithLogonEmailLocalAccountSignUpWithLogonEmail

Profili tecnici per la gestione delle sessioniTechnical profiles for Session Management

Profilo tecnicoTechnical profile DescrizioneDescription
SM-NoopSM-Noop
SM-AADSM-AAD
SM-SocialSignupSM-SocialSignup Il nome del profilo viene usato per evitare ambiguità nella sessione AAD tra iscrizione e accessoProfile name is being used to disambiguate AAD session between sign up and sign in
SM-SocialLoginSM-SocialLogin
SM-MFASM-MFA

Profili tecnici per TechnicalProfiles del motore di criteri TrustframeworkTechnical profiles for Trustframework Policy Engine TechnicalProfiles

Non sono attualmente definiti profili tecnici per il provider di attestazioni TechnicalProfiles del motore di criteri Trustframework.Currently, no technical profiles are defined for the Trustframework Policy Engine TechnicalProfiles claims provider.

Profili tecnici per l'autorità emittente di tokenTechnical profiles for Token Issuer

Profilo tecnicoTechnical profile DescrizioneDescription
JwtIssuerJwtIssuer

Percorsi utenteUser journeys

Questa sezione illustra i percorsi utente già dichiarati nel criterio B2C_1A_base.This section depicts the user journeys already declared in the B2C_1A_base policy. È possibile fare ulteriore riferimento a questi percorsi utente, eseguirne l'override e/o estenderli, se necessario, nei propri criteri oltre che nel criterio B2C_1A_base_extensions.These user journeys are susceptible to be further referenced, overridden, and/or extended as needed in your own policies as well as in the B2C_1A_base_extensions policy.

Percorso utenteUser journey DescrizioneDescription
SignUpSignUp
SignInSignIn
SignUpOrSignInSignUpOrSignIn
EditProfileEditProfile
PasswordResetPasswordReset