Azure Active Directory B2C: criteri predefinitiAzure Active Directory B2C: Built-in policies

Il framework di criteri estendibile di Azure Active Directory (Azure AD) B2C è il punto di forza del servizio.The extensible policy framework of Azure Active Directory (Azure AD) B2C is the core strength of the service. I criteri descrivono le esperienze di identità, ad esempio iscrizione, accesso o modifica del profilo.Policies fully describe consumer identity experiences such as sign-up, sign-in, or profile editing. Ad esempio, i criteri di iscrizione consentono di controllare i comportamenti configurando le impostazioni seguenti:For instance, a sign-up policy allows you to control behaviors by configuring the following settings:

  • Tipi di account (account di social network come Facebook o account locali come un indirizzo di posta elettronica) che gli utenti possono usare per effettuare l'iscrizione all'applicazioneAccount types (social accounts such as Facebook or local accounts such as email addresses) that consumers can use to sign up for the application
  • Attributi (ad esempio nome, codice postale, numero di scarpe) da raccogliere dall'utente durante la procedura di iscrizioneAttributes (for example, first name, postal code, and shoe size) to be collected from the consumer during sign-up
  • Uso di Azure Multi-Factor AuthenticationUse of Azure Multi-Factor Authentication
  • Aspetto di tutte le pagine di iscrizioneThe look and feel of all sign-up pages
  • Informazioni (visualizzate come attestazioni in un token) che l'applicazione riceve al termine dell'esecuzione dei criteriInformation (which manifests as claims in a token) that the application receives when the policy run finishes

È possibile creare più criteri di tipi diversi nel proprio tenant e usarli nelle applicazioni in base alle esigenze.You can create multiple policies of different types in your tenant and use them in your applications as needed. I criteri possono essere usati per più applicazioni.Policies can be reused across applications. Gli sviluppatori possono in questo modo definire e modificare le esperienze delle identità degli utenti con modifiche minime al codice o anche senza alcuna modifica al codice.This flexibility enables developers to define and modify consumer identity experiences with minimal or no changes to their code.

Per usare i criteri, è disponibile una semplice interfaccia per sviluppatori.Policies are available for use via a simple developer interface. L'applicazione attiva i criteri tramite una richiesta di autenticazione HTTP standard (passando un parametro criteri nella richiesta) e riceve un token personalizzato come risposta.Your application triggers a policy by using a standard HTTP authentication request (passing a policy parameter in the request) and receives a customized token as response. L'unica differenza tra le richieste che richiamano i criteri di iscrizione e le richieste che richiamano i criteri di accesso risiede nel nome del criterio usato nel parametro della stringa di query "p":For example, the only difference between requests that invoke a sign-up policy and requests that invoke a sign-in policy is the policy name that's used in the "p" query string parameter:


https://login.microsoftonline.com/contosob2c.onmicrosoft.com/oauth2/v2.0/authorize?
client_id=2d4d11a2-f814-46a7-890a-274a72a7309e      // Your registered Application ID
&redirect_uri=https%3A%2F%2Flocalhost%3A44321%2F    // Your registered Reply URL, url encoded
&response_mode=form_post                            // 'query', 'form_post' or 'fragment'
&response_type=id_token
&scope=openid
&nonce=dummy
&state=12345                                        // Any value provided by your application
&p=b2c_1_siup                                       // Your sign-up policy

https://login.microsoftonline.com/contosob2c.onmicrosoft.com/oauth2/v2.0/authorize?
client_id=2d4d11a2-f814-46a7-890a-274a72a7309e      // Your registered Application ID
&redirect_uri=https%3A%2F%2Flocalhost%3A44321%2F    // Your registered Reply URL, url encoded
&response_mode=form_post                            // 'query', 'form_post' or 'fragment'
&response_type=id_token
&scope=openid
&nonce=dummy
&state=12345                                        // Any value provided by your application
&p=b2c_1_siin                                       // Your sign-in policy

Per altre informazioni sul framework criteri, vedere questo post di blog su Azure AD B2C sul blog relativo a Enterprise Mobility and Security.For more information about the policy framework, see this blog post about Azure AD B2C on the Enterprise Mobility and Security Blog.

Creare un criterio di iscrizione o accessoCreate a sign-up or sign-in policy

Questo criterio consente di gestire le esperienze di iscrizione e accesso dei consumatori tramite una singola configurazione.This policy handles both consumer sign-up & sign-in experiences with a single configuration. I consumatori vengono indirizzati sul percorso corretto (iscrizione o accesso) a seconda del contesto.Consumers are led down the right path (sign-up or sign-in) depending on the context. Vengono inoltre descritti i contenuti dei token che l'applicazione riceverà al completamento dell'iscrizione o dell'accesso. Un esempio di codice per i criteri di iscrizione o di accesso è disponibile qui.It also describes the contents of tokens that the application will receive upon successful sign-ups or sign-ins. A code sample for the sign-up or sign-in policy is available here. È consigliabile usare questo criterio invece di criteri di iscrizione e di accesso.It is recommened that you use this policy over a sign-up policy and sign-in policy.

Per abilitare l'accesso nell'applicazione, è necessario creare i criteri di accesso.To enable sign-in on your application, you will need to create a sign-in policy. I criteri descrivono l'esperienza utente durante la procedura di accesso e il contenuto dei token che l'applicazione riceverà al completamento dell'accesso.This policy describes the experiences that consumers will go through during sign-in and the contents of tokens that the application will receive on successful sign-ins.

Selezionare Azure AD B2C dall'elenco di servizi nel portale di Azure.Select Azure AD B2C from the services list in the Azure portal.

Selezionare il servizio B2C

Nella sezione delle impostazioni relativa ai criteri selezionare Criteri di iscrizione o di accesso e fare clic su + Aggiungi.In the policies section of settings, select Sign-up or sign-in policies and click + Add.

Selezionare i criteri di iscrizione o di accesso e fare clic sul pulsante Aggiungi

Immettere un Nome di criterio a cui l'applicazione può fare riferimento.Enter a policy Name for your application to reference. Ad esempio, immettere SiUpIn.For example, enter SiUpIn.

Selezionare Provider di identità e quindi selezionare Iscrizione posta elettronica.Select Identity providers and check Email signup. Facoltativamente, è anche possibile selezionare i provider di identità tramite social network, se già configurati.Optionally, you can also select social identity providers, if already configured. Fare clic su OK.Click OK.

Selezionare Iscrizione posta elettronica come provider di identità e quindi fare clic sul pulsante OK

Selezionare Attributi di iscrizione.Select Sign-up attributes. Scegliere gli attributi da raccogliere dall'utente durante l'iscrizione.Choose attributes you want to collect from the consumer during sign-up. Selezionare ad esempio Paese/area geografica, Nome visualizzato e Codice postale.For example, check Country/Region, Display Name, and Postal Code. Fare clic su OK.Click OK.

Selezionare alcuni attributi e fare clic sul pulsante OK

Selezionare Attestazioni dell'applicazione.Select Application claims. Scegliere le attestazioni che devono essere restituite nei token di autorizzazione inviati all'applicazione dopo un'esperienza di iscrizione o accesso riuscita.Choose claims you want returned in the authorization tokens sent back to your application after a successful sign-up or sign-in experience. Selezionare ad esempio Nome visualizzato, Provider di identità, Codice postale, Nuovo utente e ID oggetto dell'utente.For example, select Display Name, Identity Provider, Postal Code, User is new and User's Object ID.

Selezionare alcune attestazioni dell'applicazione e fare clic sul pulsante OK

Fare clic su Crea per aggiungere il criterio.Click Create to add the policy. Il criterio viene elencato come B2C_1_SiUpIn.The policy is listed as B2C_1_SiUpIn. Il prefisso B2C_1_ viene aggiunto al nome.The B2C_1_ prefix is appended to the name.

Aprire i criteri facendo clic su B2C_1_SiUpIn.Open the policy by selecting B2C_1_SiUpIn. Verificare le impostazioni specificate nella tabella e quindi fare clic su Esegui adesso.Verify the settings specified in the table then click Run now.

Selezionare un criterio ed eseguirlo

ImpostazioneSetting ValoreValue
ApplicazioniApplications App Contoso B2CContoso B2C app
Selezionare l'URL di rispostaSelect reply url https://localhost:44316/

Viene visualizzata una nuova scheda del browser ed è possibile verificare l'esperienza di iscrizione o di accesso dell'utente in base alla configurazione specificata.A new browser tab opens, and you can verify the sign-up or sign-in consumer experience as configured.

Nota

La creazione e gli aggiornamenti dei criteri avranno effetto dopo circa un minuto.It takes up to a minute for policy creation and updates to take effect.

Creare un criterio di iscrizioneCreate a sign-up policy

Per abilitare l'iscrizione nell'applicazione, è necessario creare i criteri di iscrizione.To enable sign-up on your application, you need to create a sign-up policy. I criteri descrivono l'esperienza utente durante la procedura di iscrizione e il contenuto dei token che l'applicazione riceverà al completamento dell'iscrizione.This policy describes the experiences that consumers go through during sign-up and the contents of tokens that the application receives on successful sign-ups.

Selezionare Azure AD B2C dall'elenco di servizi nel portale di Azure.Select Azure AD B2C from the services list in the Azure portal.

Selezionare il servizio B2C

Fare clic su Criteri di iscrizione.Click Sign-up policies.

Fare clic su +Aggiungi nella parte superiore del pannello.Click +Add at the top of the blade.

Il Nome determina il nome dei criteri di iscrizione usati dall'applicazione.The Name determines the sign-up policy name used by your application. Immettere ad esempio SiUp.For example, enter SiUp.

Fare clic su Provider di identità e selezionare Iscrizione posta elettronica.Click Identity providers and select Email signup. Facoltativamente, è anche possibile selezionare i provider di identità tramite social network, se già configurati.Optionally, you can also select social identity providers, if already configured. Fare clic su OK.Click OK.

Fare clic su Attributi iscrizione.Click Sign-up attributes. Qui è possibile scegliere gli attributi che si desidera raccogliere dall'utente durante l'iscrizione.Here you choose attributes that you want to collect from the consumer during sign-up. Selezionare ad esempio Paese/Area, Nome visualizzato e Codice postale.For example, select Country/Region, Display Name, and Postal Code. Fare clic su OK.Click OK.

Fare clic su Attestazioni applicazione.Click Application claims. Qui si scelgono le attestazioni che verranno restituite all'applicazione nei token inviati al termine di una corretta esperienza di iscrizione.Here you choose claims that you want returned in the tokens sent back to your application after a successful sign-up experience. Selezionare ad esempio Nome visualizzato, Provider di identità, Codice postale, L'utente è nuovo e l'ID oggetto dell'utente.For example, select Display Name, Identity Provider, Postal Code, User is new, and User's Object ID.

Fare clic su Crea.Click Create. Il criterio creato viene visualizzato come B2C_1_SiUp (il frammento B2C_1_ viene aggiunto automaticamente) nel pannello Criteri di iscrizione.The policy created appears as B2C_1_SiUp (the B2C_1_ fragment is automatically added) in the Sign-up policies blade.

Aprire il criterio facendo clic su B2C_1_SiUp.Open the policy by clicking B2C_1_SiUp.

Selezionare Contoso B2C app nel menu a discesa Applicazioni e https://localhost:44321/ nel menu a discesa URL di risposta/URI di reindirizzamento.Select Contoso B2C app in the Applications drop-down and https://localhost:44321/ in the Reply URL / Redirect URI drop-down.

Fare clic su Esegui adesso.Click Run now. Verrà visualizzata una nuova scheda del browser in cui è possibile eseguire l'esperienza utente di iscrizione per l'applicazione.A new browser tab opens, and you can run through the consumer experience of signing up for your application.

Nota

La creazione e gli aggiornamenti dei criteri avranno effetto dopo circa un minuto.It takes up to a minute for policy creation and updates to take effect.

Creare un criterio di accessoCreate a sign-in policy

Per abilitare l'accesso nell'applicazione, è necessario creare i criteri di accesso.To enable sign-in on your application, you will need to create a sign-in policy. I criteri descrivono l'esperienza utente durante la procedura di accesso e il contenuto dei token che l'applicazione riceverà al completamento dell'accesso.This policy describes the experiences that consumers will go through during sign-in and the contents of tokens that the application will receive on successful sign-ins.

Selezionare Azure AD B2C dall'elenco di servizi nel portale di Azure.Select Azure AD B2C from the services list in the Azure portal. Selezionare il servizio B2C Fare clic su Criteri di accesso.Selezionare Azure AD B2C dall'elenco di servizi nel portale di Azure.Select Azure AD B2C from the services list in the Azure portal. Selezionare il servizio B2C Click Sign-in policies.

Fare clic su +Aggiungi nella parte superiore del pannello.Click +Add at the top of the blade.

Il Nome determina il nome dei criteri di accesso usati dall'applicazione.The Name determines the sign-in policy name used by your application. Immettere ad esempio SiIn.For example, enter SiIn.

Fare clic su Provider di identità e selezionare Accesso all'account locale.Click Identity providers and select Local Account SignIn. Facoltativamente, è anche possibile selezionare i provider di identità tramite social network, se già configurati.Optionally, you can also select social identity providers, if already configured. Fare clic su OK.Click OK.

Fare clic su Attestazioni applicazione.Click Application claims. Qui è possibile scegliere le attestazioni che verranno restituite all'applicazione nei token inviati al termine di una corretta esperienza di accesso.Here you choose claims that you want returned in the tokens sent back to your application after a successful sign-in experience. Selezionare ad esempio Nome visualizzato, Provider di identità, Codice postale e ID oggetto dell'utente.For example, select Display Name, Identity Provider, Postal Code and User's Object ID. Fare clic su OK.Click OK.

Fare clic su Crea.Click Create. Si noti che il criterio appena creato è visualizzato come B2C_1_SiIn (il frammento B2C_1_ viene aggiunto automaticamente come prefisso) nel pannello Criteri di accesso.Note that the policy just created appears as B2C_1_SiIn (the B2C_1_ fragment is automatically added) in the Sign-in policies blade.

Aprire i criteri facendo clic su B2C_1_SiIn.Open the policy by clicking B2C_1_SiIn.

Selezionare Contoso B2C app nel menu a discesa Applicazioni e https://localhost:44321/ nel menu a discesa URL di risposta/URI di reindirizzamento.Select Contoso B2C app in the Applications drop-down and https://localhost:44321/ in the Reply URL / Redirect URI drop-down.

Fare clic su Esegui adesso.Click Run now. Verrà visualizzata una nuova scheda del browser in cui è possibile eseguire l'esperienza utente di accesso all'applicazione.A new browser tab opens, and you can run through the consumer experience of signing into your application.

Nota

La creazione e gli aggiornamenti dei criteri avranno effetto dopo circa un minuto.It takes up to a minute for policy creation and updates to take effect.

Creare i criteri di modifica del profiloCreate a profile editing policy

Per abilitare la modifica del profilo nell'applicazione, è necessario creare i criteri di modifica del profilo.To enable profile editing on your application, you will need to create a profile editing policy. Questi criteri descrivono l'esperienza utente durante la procedura di modifica del profilo e il contenuto dei token che l'applicazione riceverà al completamento della procedura.This policy describes the experiences that consumers will go through during profile editing and the contents of tokens that the application will receive on successful completion.

Selezionare Azure AD B2C dall'elenco di servizi nel portale di Azure.Select Azure AD B2C from the services list in the Azure portal.

Selezionare il servizio B2C

Nella sezione delle impostazioni relativa ai criteri selezionare Criteri di modifica del profilo e fare clic su + Aggiungi.In the policies section of settings, select Profile editing policies and click + Add.

Selezionare Criteri di modifica del profilo e fare clic sul pulsante Aggiungi

Immettere un Nome di criterio a cui l'applicazione può fare riferimento.Enter a policy Name for your application to reference. Ad esempio, immettere SiPe.For example, enter SiPe.

Selezionare Provider di identità e quindi selezionareAccesso all'account locale.Select Identity providers and check Local Account Signin. Facoltativamente, è anche possibile selezionare i provider di identità tramite social network, se già configurati.Optionally, you can also select social identity providers, if already configured. Fare clic su OK.Click OK.

Selezionare Accesso all'account locale come provider di identità e quindi fare clic sul pulsante OK

Selezionare Attributi del profilo.Select Profile attributes. Scegliere gli attributi che l'utente può visualizzare e modificare nel profilo.Choose attributes the consumer can view and edit in their profile. Selezionare ad esempio Paese/area geografica, Nome visualizzato e Codice postale.For example, check Country/Region, Display Name, and Postal Code. Fare clic su OK.Click OK.

Selezionare alcuni attributi e fare clic sul pulsante OK

Selezionare Attestazioni dell'applicazione.Select Application claims. Scegliere le attestazioni che devono essere restituite nei token di autorizzazione inviati all'applicazione dopo un'esperienza di modifica del profilo riuscita.Choose claims you want returned in the authorization tokens sent back to your application after a successful profile editing experience. Selezionare ad esempio Nome visualizzato e Codice postale.For example, select Display Name, Postal Code.

Selezionare alcune attestazioni dell'applicazione e fare clic sul pulsante OK

Fare clic su Crea per aggiungere il criterio.Click Create to add the policy. Il criterio viene elencato come B2C_1_SiPe.The policy is listed as B2C_1_SiPe. Il prefisso B2C_1_ viene aggiunto al nome.The B2C_1_ prefix is appended to the name.

Aprire i criteri selezionando B2C_1_SiPe.Open the policy by selecting B2C_1_SiPe. Verificare le impostazioni specificate nella tabella e quindi fare clic su Esegui adesso.Verify the settings specified in the table then click Run now.

Selezionare un criterio ed eseguirlo

ImpostazioneSetting ValoreValue
ApplicazioniApplications App Contoso B2CContoso B2C app
Selezionare l'URL di rispostaSelect reply url https://localhost:44316/

Viene visualizzata una nuova scheda del browser ed è possibile verificare l'esperienza di modifica del profilo dell'utente in base alla configurazione specificata.A new browser tab opens, and you can verify the profile editing consumer experience as configured.

Nota

La creazione e gli aggiornamenti dei criteri avranno effetto dopo circa un minuto.It takes up to a minute for policy creation and updates to take effect.

Creare i criteri di reimpostazione delle passwordCreate a password reset policy

Per abilitare una reimpostazione dettagliata delle password nell'applicazione, è necessario creare criteri di reimpostazione delle password.To enable fine-grained password reset on your application, you will need to create a password reset policy. Annotare l'opzione di reimpostazione delle password a livello di tenant specificata qui.Note that the tenant-wide password reset option specified here. Questi criteri descrivono l'esperienza utente durante la procedura di reimpostazione delle password e il contenuto dei token che l'applicazione riceverà al completamento della procedura.This policy describes the experiences that the consumers will go through during password reset and the contents of tokens that the application will receive on successful completion.

Selezionare Azure AD B2C dall'elenco di servizi nel portale di Azure.Select Azure AD B2C from the services list in the Azure portal.

Selezionare il servizio B2C

Nella sezione delle impostazioni relativa ai criteri selezionare Criteri di reimpostazione password e fare clic su + Aggiungi.In the policies section of settings, select Password reset policies and click + Add.

Selezionare i criteri di iscrizione o di accesso e fare clic sul pulsante Aggiungi

Immettere un Nome di criterio a cui l'applicazione può fare riferimento.Enter a policy Name for your application to reference. Ad esempio, immettere SSPR.For example, enter SSPR.

Selezionare Provider di identità e quindi selezionare Reimposta la password usando l'indirizzo di posta elettronica.Select Identity providers and check Reset password using email address. Fare clic su OK.Click OK.

Selezionare Reimposta la password usando l'indirizzo di posta elettronica come provider di identità e fare clic sul pulsante OK

Selezionare Attestazioni dell'applicazione.Select Application claims. Scegliere le attestazioni che devono essere restituite nei token di autorizzazione inviati all'applicazione dopo un'esperienza di reimpostazione della password riuscita.Choose claims you want returned in the authorization tokens sent back to your application after a successful password reset experience. Selezionare ad esempio ID oggetto dell'utente.For example, select User's Object ID.

Selezionare alcune attestazioni dell'applicazione e fare clic sul pulsante OK

Fare clic su Crea per aggiungere il criterio.Click Create to add the policy. Il criterio viene elencato come B2C_1_SSPR.The policy is listed as B2C_1_SSPR. Il prefisso B2C_1_ viene aggiunto al nome.The B2C_1_ prefix is appended to the name.

Aprire i criteri selezionando B2C_1_SSPR.Open the policy by selecting B2C_1_SSPR. Verificare le impostazioni specificate nella tabella e quindi fare clic su Esegui adesso.Verify the settings specified in the table then click Run now.

Selezionare un criterio ed eseguirlo

ImpostazioneSetting ValoreValue
ApplicazioniApplications App Contoso B2CContoso B2C app
Selezionare l'URL di rispostaSelect reply url https://localhost:44316/

Viene visualizzata una nuova scheda del browser ed è possibile verificare l'esperienza di reimpostazione della password dell'utente nell'applicazione.A new browser tab opens, and you can verify the password reset consumer experience in your application.

Nota

La creazione e gli aggiornamenti dei criteri avranno effetto dopo circa un minuto.It takes up to a minute for policy creation and updates to take effect.

Domande frequentiFrequently asked questions

Quando si creano i criteri di iscrizione o accesso (con gli account locali), l'utente visualizza un collegamento Password dimenticata? nella prima pagina.When you create a sign-up or sign-in policy (with local accounts), you see a Forgot password? link on the first page of the experience. Se si fa clic su questo collegamento non si attivano automaticamente i criteri di reimpostazione delle password.Clicking this link doesn't automatically trigger a password reset policy.

Viene invece restituito il codice di errore AADB2C90118 all'app.Instead, the error code AADB2C90118 is returned to your app. L'applicazione deve gestire questo codice di errore e richiamare criteri di reimpostazione delle password specifici.Your app needs to handle this error code by invoking a specific password reset policy. Per altre informazioni, vedere un esempio che illustra come collegare i criteri.For more information, see a sample that demonstrates the approach of linking policies.

È consigliabile usare criteri di iscrizione o accesso o criteri di iscrizione e criteri di accesso?Should I use a sign-up or sign-in policy or a sign-up policy and a sign-in policy?

È consigliabile usare criteri di iscrizione o accesso al posto di criteri di iscrizione e criteri di accesso.We recommend that you use a sign-up or sign-in policy over a sign-up policy and a sign-in policy.

I criteri di iscrizione o accesso dispongono di più funzionalità rispetto ai criteri di accesso.The sign-up or sign-in policy has more capabilities than the sign-in policy. Consentono anche di usare la personalizzazione dell'interfaccia utente di pagina e sono meglio supportati nella localizzazione.It also enables you to use page UI customization and has better support for localization.

I criteri di accesso sono consigliati se non si desidera localizzare i criteri, servono solo funzionalità di personalizzazione secondarie per la personalizzazione e si desidera disporre della funzionalità di reimpostazione delle password integrata.The sign-in policy is recommended if you don't need to localize your policies, only need minor customization capabilities for branding, and want password reset built into it.

Passaggi successiviNext steps