Azure Active Directory B2C: criteri predefiniti

Il framework di criteri estendibile di Azure Active Directory (Azure AD) B2C è il punto di forza del servizio. I criteri descrivono le esperienze di identità, ad esempio iscrizione, accesso o modifica del profilo. Ad esempio, i criteri di iscrizione consentono di controllare i comportamenti configurando le impostazioni seguenti:

  • Tipi di account (account di social network come Facebook o account locali come un indirizzo di posta elettronica) che gli utenti possono usare per effettuare l'iscrizione all'applicazione
  • Attributi (ad esempio nome, codice postale, numero di scarpe) da raccogliere dall'utente durante la procedura di iscrizione
  • Uso di Azure Multi-Factor Authentication
  • Aspetto di tutte le pagine di iscrizione
  • Informazioni (visualizzate come attestazioni in un token) che l'applicazione riceve al termine dell'esecuzione dei criteri

È possibile creare più criteri di tipi diversi nel proprio tenant e usarli nelle applicazioni in base alle esigenze. I criteri possono essere usati per più applicazioni. Gli sviluppatori possono in questo modo definire e modificare le esperienze delle identità degli utenti con modifiche minime al codice o anche senza alcuna modifica al codice.

Per usare i criteri, è disponibile una semplice interfaccia per sviluppatori. L'applicazione attiva i criteri tramite una richiesta di autenticazione HTTP standard (passando un parametro criteri nella richiesta) e riceve un token personalizzato come risposta. L'unica differenza tra le richieste che richiamano i criteri di iscrizione e le richieste che richiamano i criteri di accesso risiede nel nome del criterio usato nel parametro della stringa di query "p":


https://login.microsoftonline.com/contosob2c.onmicrosoft.com/oauth2/v2.0/authorize?
client_id=2d4d11a2-f814-46a7-890a-274a72a7309e      // Your registered Application ID
&redirect_uri=https%3A%2F%2Flocalhost%3A44321%2F    // Your registered Reply URL, url encoded
&response_mode=form_post                            // 'query', 'form_post' or 'fragment'
&response_type=id_token
&scope=openid
&nonce=dummy
&state=12345                                        // Any value provided by your application
&p=b2c_1_siup                                       // Your sign-up policy

https://login.microsoftonline.com/contosob2c.onmicrosoft.com/oauth2/v2.0/authorize?
client_id=2d4d11a2-f814-46a7-890a-274a72a7309e      // Your registered Application ID
&redirect_uri=https%3A%2F%2Flocalhost%3A44321%2F    // Your registered Reply URL, url encoded
&response_mode=form_post                            // 'query', 'form_post' or 'fragment'
&response_type=id_token
&scope=openid
&nonce=dummy
&state=12345                                        // Any value provided by your application
&p=b2c_1_siin                                       // Your sign-in policy

Per altre informazioni sul framework criteri, vedere questo post di blog su Azure AD B2C sul blog relativo a Enterprise Mobility and Security.

Creare un criterio di iscrizione o accesso

Questo criterio consente di gestire le esperienze di iscrizione e accesso dei consumatori tramite una singola configurazione. I consumatori vengono indirizzati sul percorso corretto (iscrizione o accesso) a seconda del contesto. Vengono inoltre descritti i contenuti dei token che l'applicazione riceverà al completamento dell'iscrizione o dell'accesso. Un esempio di codice per i criteri di iscrizione o di accesso è disponibile qui. È consigliabile usare questo criterio invece di criteri di iscrizione e di accesso.

Per abilitare l'accesso nell'applicazione, è necessario creare i criteri di accesso. I criteri descrivono l'esperienza utente durante la procedura di accesso e il contenuto dei token che l'applicazione riceverà al completamento dell'accesso.

Selezionare Azure AD B2C dall'elenco di servizi nel portale di Azure.

Selezionare il servizio B2C

Nella sezione delle impostazioni relativa ai criteri selezionare Criteri di iscrizione o di accesso e fare clic su + Aggiungi.

Selezionare i criteri di iscrizione o di accesso e fare clic sul pulsante Aggiungi

Immettere un Nome di criterio a cui l'applicazione può fare riferimento. Ad esempio, immettere SiUpIn.

Selezionare Provider di identità e quindi selezionare Iscrizione posta elettronica. Facoltativamente, è anche possibile selezionare i provider di identità tramite social network, se già configurati. Fare clic su OK.

Selezionare Iscrizione posta elettronica come provider di identità e quindi fare clic sul pulsante OK

Selezionare Attributi di iscrizione. Scegliere gli attributi da raccogliere dall'utente durante l'iscrizione. Selezionare ad esempio Paese/area geografica, Nome visualizzato e Codice postale. Fare clic su OK.

Selezionare alcuni attributi e fare clic sul pulsante OK

Selezionare Attestazioni dell'applicazione. Scegliere le attestazioni che devono essere restituite nei token di autorizzazione inviati all'applicazione dopo un'esperienza di iscrizione o accesso riuscita. Selezionare ad esempio Nome visualizzato, Provider di identità, Codice postale, Nuovo utente e ID oggetto dell'utente.

Selezionare alcune attestazioni dell'applicazione e fare clic sul pulsante OK

Fare clic su Crea per aggiungere il criterio. Il criterio viene elencato come B2C_1_SiUpIn. Il prefisso B2C_1_ viene aggiunto al nome.

Aprire i criteri facendo clic su B2C_1_SiUpIn. Verificare le impostazioni specificate nella tabella e quindi fare clic su Esegui adesso.

Selezionare un criterio ed eseguirlo

Impostazione Valore
Applicazioni App Contoso B2C
Selezionare l'URL di risposta https://localhost:44316/

Viene visualizzata una nuova scheda del browser ed è possibile verificare l'esperienza di iscrizione o di accesso dell'utente in base alla configurazione specificata.

Nota

La creazione e gli aggiornamenti dei criteri avranno effetto dopo circa un minuto.

Creare un criterio di iscrizione

Per abilitare l'iscrizione nell'applicazione, è necessario creare i criteri di iscrizione. I criteri descrivono l'esperienza utente durante la procedura di iscrizione e il contenuto dei token che l'applicazione riceverà al completamento dell'iscrizione.

Selezionare Azure AD B2C dall'elenco di servizi nel portale di Azure.

Selezionare il servizio B2C

Fare clic su Criteri di iscrizione.

Fare clic su +Aggiungi nella parte superiore del pannello.

Il Nome determina il nome dei criteri di iscrizione usati dall'applicazione. Immettere ad esempio SiUp.

Fare clic su Provider di identità e selezionare Iscrizione posta elettronica. Facoltativamente, è anche possibile selezionare i provider di identità tramite social network, se già configurati. Fare clic su OK.

Fare clic su Attributi iscrizione. Qui è possibile scegliere gli attributi che si desidera raccogliere dall'utente durante l'iscrizione. Selezionare ad esempio Paese/Area, Nome visualizzato e Codice postale. Fare clic su OK.

Fare clic su Attestazioni applicazione. Qui si scelgono le attestazioni che verranno restituite all'applicazione nei token inviati al termine di una corretta esperienza di iscrizione. Selezionare ad esempio Nome visualizzato, Provider di identità, Codice postale, L'utente è nuovo e l'ID oggetto dell'utente.

Fare clic su Crea. Il criterio creato viene visualizzato come B2C_1_SiUp (il frammento B2C_1_ viene aggiunto automaticamente) nel pannello Criteri di iscrizione.

Aprire il criterio facendo clic su B2C_1_SiUp.

Selezionare Contoso B2C app nel menu a discesa Applicazioni e https://localhost:44321/ nel menu a discesa URL di risposta/URI di reindirizzamento.

Fare clic su Esegui adesso. Verrà visualizzata una nuova scheda del browser in cui è possibile eseguire l'esperienza utente di iscrizione per l'applicazione.

Nota

La creazione e gli aggiornamenti dei criteri avranno effetto dopo circa un minuto.

Creare un criterio di accesso

Per abilitare l'accesso nell'applicazione, è necessario creare i criteri di accesso. I criteri descrivono l'esperienza utente durante la procedura di accesso e il contenuto dei token che l'applicazione riceverà al completamento dell'accesso.

Selezionare Azure AD B2C dall'elenco di servizi nel portale di Azure. Selezionare il servizio B2C Fare clic su Criteri di accesso.

Fare clic su +Aggiungi nella parte superiore del pannello.

Il Nome determina il nome dei criteri di accesso usati dall'applicazione. Immettere ad esempio SiIn.

Fare clic su Provider di identità e selezionare Accesso all'account locale. Facoltativamente, è anche possibile selezionare i provider di identità tramite social network, se già configurati. Fare clic su OK.

Fare clic su Attestazioni applicazione. Qui è possibile scegliere le attestazioni che verranno restituite all'applicazione nei token inviati al termine di una corretta esperienza di accesso. Selezionare ad esempio Nome visualizzato, Provider di identità, Codice postale e ID oggetto dell'utente. Fare clic su OK.

Fare clic su Crea. Si noti che il criterio appena creato è visualizzato come B2C_1_SiIn (il frammento B2C_1_ viene aggiunto automaticamente come prefisso) nel pannello Criteri di accesso.

Aprire i criteri facendo clic su B2C_1_SiIn.

Selezionare Contoso B2C app nel menu a discesa Applicazioni e https://localhost:44321/ nel menu a discesa URL di risposta/URI di reindirizzamento.

Fare clic su Esegui adesso. Verrà visualizzata una nuova scheda del browser in cui è possibile eseguire l'esperienza utente di accesso all'applicazione.

Nota

La creazione e gli aggiornamenti dei criteri avranno effetto dopo circa un minuto.

Creare i criteri di modifica del profilo

Per abilitare la modifica del profilo nell'applicazione, è necessario creare i criteri di modifica del profilo. Questi criteri descrivono l'esperienza utente durante la procedura di modifica del profilo e il contenuto dei token che l'applicazione riceverà al completamento della procedura.

Selezionare Azure AD B2C dall'elenco di servizi nel portale di Azure.

Selezionare il servizio B2C

Nella sezione delle impostazioni relativa ai criteri selezionare Criteri di modifica del profilo e fare clic su + Aggiungi.

Selezionare Criteri di modifica del profilo e fare clic sul pulsante Aggiungi

Immettere un Nome di criterio a cui l'applicazione può fare riferimento. Ad esempio, immettere SiPe.

Selezionare Provider di identità e quindi selezionareAccesso all'account locale. Facoltativamente, è anche possibile selezionare i provider di identità tramite social network, se già configurati. Fare clic su OK.

Selezionare Accesso all'account locale come provider di identità e quindi fare clic sul pulsante OK

Selezionare Attributi del profilo. Scegliere gli attributi che l'utente può visualizzare e modificare nel profilo. Selezionare ad esempio Paese/area geografica, Nome visualizzato e Codice postale. Fare clic su OK.

Selezionare alcuni attributi e fare clic sul pulsante OK

Selezionare Attestazioni dell'applicazione. Scegliere le attestazioni che devono essere restituite nei token di autorizzazione inviati all'applicazione dopo un'esperienza di modifica del profilo riuscita. Selezionare ad esempio Nome visualizzato e Codice postale.

Selezionare alcune attestazioni dell'applicazione e fare clic sul pulsante OK

Fare clic su Crea per aggiungere il criterio. Il criterio viene elencato come B2C_1_SiPe. Il prefisso B2C_1_ viene aggiunto al nome.

Aprire i criteri selezionando B2C_1_SiPe. Verificare le impostazioni specificate nella tabella e quindi fare clic su Esegui adesso.

Selezionare un criterio ed eseguirlo

Impostazione Valore
Applicazioni App Contoso B2C
Selezionare l'URL di risposta https://localhost:44316/

Viene visualizzata una nuova scheda del browser ed è possibile verificare l'esperienza di modifica del profilo dell'utente in base alla configurazione specificata.

Nota

La creazione e gli aggiornamenti dei criteri avranno effetto dopo circa un minuto.

Creare i criteri di reimpostazione delle password

Per abilitare una reimpostazione dettagliata delle password nell'applicazione, è necessario creare criteri di reimpostazione delle password. Annotare l'opzione di reimpostazione delle password a livello di tenant specificata qui. Questi criteri descrivono l'esperienza utente durante la procedura di reimpostazione delle password e il contenuto dei token che l'applicazione riceverà al completamento della procedura.

Selezionare Azure AD B2C dall'elenco di servizi nel portale di Azure.

Selezionare il servizio B2C

Nella sezione delle impostazioni relativa ai criteri selezionare Criteri di reimpostazione password e fare clic su + Aggiungi.

Selezionare i criteri di iscrizione o di accesso e fare clic sul pulsante Aggiungi

Immettere un Nome di criterio a cui l'applicazione può fare riferimento. Ad esempio, immettere SSPR.

Selezionare Provider di identità e quindi selezionare Reimposta la password usando l'indirizzo di posta elettronica. Fare clic su OK.

Selezionare Reimposta la password usando l'indirizzo di posta elettronica come provider di identità e fare clic sul pulsante OK

Selezionare Attestazioni dell'applicazione. Scegliere le attestazioni che devono essere restituite nei token di autorizzazione inviati all'applicazione dopo un'esperienza di reimpostazione della password riuscita. Selezionare ad esempio ID oggetto dell'utente.

Selezionare alcune attestazioni dell'applicazione e fare clic sul pulsante OK

Fare clic su Crea per aggiungere il criterio. Il criterio viene elencato come B2C_1_SSPR. Il prefisso B2C_1_ viene aggiunto al nome.

Aprire i criteri selezionando B2C_1_SSPR. Verificare le impostazioni specificate nella tabella e quindi fare clic su Esegui adesso.

Selezionare un criterio ed eseguirlo

Impostazione Valore
Applicazioni App Contoso B2C
Selezionare l'URL di risposta https://localhost:44316/

Viene visualizzata una nuova scheda del browser ed è possibile verificare l'esperienza di reimpostazione della password dell'utente nell'applicazione.

Nota

La creazione e gli aggiornamenti dei criteri avranno effetto dopo circa un minuto.

Domande frequenti

Quando si creano i criteri di iscrizione o accesso (con gli account locali), l'utente visualizza un collegamento Password dimenticata? nella prima pagina. Se si fa clic su questo collegamento non si attivano automaticamente i criteri di reimpostazione delle password.

Viene invece restituito il codice di errore AADB2C90118 all'app. L'applicazione deve gestire questo codice di errore e richiamare criteri di reimpostazione delle password specifici. Per altre informazioni, vedere un esempio che illustra come collegare i criteri.

È consigliabile usare criteri di iscrizione o accesso o criteri di iscrizione e criteri di accesso?

È consigliabile usare criteri di iscrizione o accesso al posto di criteri di iscrizione e criteri di accesso.

I criteri di iscrizione o accesso dispongono di più funzionalità rispetto ai criteri di accesso. Consentono anche di usare la personalizzazione dell'interfaccia utente di pagina e sono meglio supportati nella localizzazione.

I criteri di accesso sono consigliati se non si desidera localizzare i criteri, servono solo funzionalità di personalizzazione secondarie per la personalizzazione e si desidera disporre della funzionalità di reimpostazione delle password integrata.

Passaggi successivi