Zelfstudie: Gebruikersstromen en aangepast beleid maken in Azure Active Directory B2C

  • Artikel
  • 13 minuten om te lezen

*Voordat u begint _, gebruikt u de selector _ Kies een beleidstype * om het type beleid te kiezen dat u wilt instellen. Azure Active Directory B2C biedt twee methoden om te definiëren hoe gebruikers met uw toepassingen werken: via vooraf gedefinieerde gebruikersstromen of via volledig configureerbare aangepaste beleidsregels. De stappen die in dit artikel zijn vereist, verschillen per methode.

In uw toepassingen kunt u gebruikersstromen hebben waarmee gebruikers zich kunnen registreren, aanmelden of hun profiel kunnen beheren. U kunt meerdere gebruikersstromen van verschillende typen in uw Azure Active Directory B2C-tenant (Azure AD B2C) maken en deze naar behoefte gebruiken in uw toepassingen. Gebruikersstromen kunnen opnieuw worden gebruikt in verschillende toepassingen.

Met een gebruikersstroom kunt u bepalen hoe gebruikers met uw toepassing werken wanneer ze dingen doen zoals aanmelden, registreren, een profiel bewerken of een wachtwoord opnieuw instellen. In dit artikel leert u het volgende:

Aangepaste beleidsregels zijn configuratiebestanden die het gedrag van uw Azure Active Directory B2C-tenant (Azure AD B2C) definiëren. In dit artikel leert u het volgende:

  • Een gebruikersstroom voor registratie en aanmelding maken
  • Selfservice voor wachtwoordherstel inschakelen
  • Een gebruikersstroom voor profielbewerking maken

Belangrijk

We hebben de manier veranderd waarop we verwijzen naar gebruikersstroomversies. Eerder boden we V1-versies (klaar voor productie) en V1.1- en V2-versies (preview) aan. Nu hebben we gebruikersstromen geconsolideerd in twee versies: Aanbevolen gebruikersstromen met de nieuwste functies en Standaard (verouderd) gebruikersstromen. Alle verouderde preview-gebruikersstromen (V1.1 en V2) zijn afgeschaft. Raadpleeg Gebruikersstroomversies in Azure AD B2C voor meer informatie. Deze wijzigingen zijn alleen van toepassing op de openbare Azure-cloud. Andere omgevingen blijven gebruikmaken van verouderde versieversies van gebruikersstromen.

Vereisten

Een gebruikersstroom voor registratie en aanmelding maken

Met de gebruikersstroom voor registratie en aanmelding worden zowel registratie als aanmelding met een enkele configuratie afgehandeld. Gebruikers van uw toepassing worden naar het juiste pad geleid, afhankelijk van de context.

  1. Meld u aan bij de Azure-portal.

  2. Zorg ervoor dat u de map gebruikt die uw Azure AD B2C tenant. Selecteer het pictogram Directories + subscriptions op de werkbalk van de portal.

  3. Op de pagina Portalinstellingen | Ga naar de pagina Directory's en abonnementen, zoek Azure AD B2C directory in de lijst Directorynaam en selecteer vervolgens Overschakelen.

  4. Zoek en selecteer Azure AD B2C in de Azure-portal.

  5. Selecteer onder Beleid de optie Gebruikersstromen en selecteer vervolgens Nieuwe gebruikersstroom.

    De pagina Gebruikersstromen in de portal met de knop Nieuwe gebruikersstroom gemarkeerd

  6. Selecteer op de pagina Een gebruikersstroom maken de gebruikersstroom Registreren en aanmelden.

    Een gebruikersstroompagina selecteren met de stroom voor registratie en aanmelding gemarkeerd

  7. Onder Selecteer een versie selecteert u Aanbevolen en vervolgens Maken. (Meer informatie over gebruikersstroomversies.)

    De pagina Gebruikersstroom maken in de Azure-portal met eigenschappen gemarkeerd

  8. Voer een Naam in voor de gebruikersstroom. Bijvoorbeeld signupsignin1.

  9. Selecteer voor Id-providers de optie E-mailregistratie.

  10. Kies voor Gebruikerskenmerken en claims de claims en kenmerken van de gebruiker die u tijdens de registratie wilt verzamelen en verzenden. Selecteer bijvoorbeeld Meer weergeven en kies vervolgens kenmerken en claims voor Land/regio, Weergavenaam en Postcode. Klik op OK.

    Selectiepagina voor gebruikerskenmerken en claims met drie claims geselecteerd

  11. Klik op Maken om de gebruikersstroom toe te voegen. Het voorvoegsel B2C_1 wordt automatisch voor de naam geplaatst.

De gebruikersstroom testen

  1. Selecteer de gebruikersstroom die u hebt gemaakt om de overzichtspagina te openen en selecteer Gebruikersstroom uitvoeren.

  2. Selecteer voor Toepassing de webtoepassing met de naam webapp1 die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.

  3. Klik op Gebruikersstroom uitvoeren en selecteer Nu registreren.

    De pagina Gebruikersstroom uitvoeren in de portal met de knop Gebruikersstroom uitvoeren gemarkeerd

  4. Voer een geldig e-mailadres in, klik op Verificatiecode verzenden, voer de verificatiecode in die u ontvangt en selecteer Code verifiëren.

  5. Voer een nieuw wachtwoord in en bevestig het wachtwoord.

  6. Selecteer uw land en regio, voer de naam in die u wilt weergeven, voer een postcode in en klik vervolgens op Maken. Het token wordt geretourneerd aan https://jwt.ms en moet worden weergegeven.

  7. U kunt de gebruikersstroom nu opnieuw uitvoeren en u moet zich kunnen aanmelden met het account dat u hebt gemaakt. Het geretourneerde token bevat de claims die u hebt geselecteerd voor land/regio, naam en postcode.

Notitie

De 'Gebruikersstroom uitvoeren'-ervaring is momenteel niet compatibel met de SPA-antwoord-URL met autorisatiecodestroom. Als u de 'Gebruikersstroom uitvoeren'-ervaring wilt gebruiken met deze typen apps, moet u een antwoord-URL van het type 'Web' registreren en de impliciete stroom inschakelen zoals hier beschreven.

Selfservice voor wachtwoordherstel inschakelen

Self-service voor wachtwoord opnieuw instellen inschakelen voor de gebruikersstroom voor registreren of aanmelden:

  1. Selecteer de gebruikersstroom voor registreren of aanmelden die u hebt gemaakt.
  2. Selecteer Instellingen eigenschappen in het menu links.
  3. Selecteer onder Wachtwoordcomplexiteit de optie Selfservice voor wachtwoord opnieuw instellen.
  4. Selecteer Opslaan.

De gebruikersstroom testen

  1. Selecteer de gebruikersstroom die u hebt gemaakt om de overzichtspagina te openen en selecteer Gebruikersstroom uitvoeren.
  2. Selecteer voor Toepassing de webtoepassing met de naam webapp1 die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.
  3. Selecteer Gebruikersstroom uitvoeren.
  4. Selecteer op de aanmeldings- of aanmeldingspagina De optie Uw wachtwoord vergeten?.
  5. Controleer het e-mailadres van het account dat u eerder hebt gemaakt en selecteer vervolgens Doorgaan.
  6. U hebt nu de mogelijkheid om het wachtwoord voor de gebruiker te wijzigen. Wijzig het wachtwoord en selecteer Doorgaan. Het token wordt geretourneerd aan https://jwt.ms en moet worden weergegeven.

Een gebruikersstroom voor profielbewerking maken

Als u gebruikers in staat wilt stellen hun profiel te bewerken in uw toepassing, gebruikt u een gebruikersstroom voor het bewerken van profielen.

  1. Selecteer in het menu van het paginaoverzicht van de Azure AD B2C-tenant de optie Gebruikersstromen en selecteer vervolgens Nieuwe gebruikersstroom.
  2. Selecteer op de pagina Een gebruikersstroom maken de gebruikersstroom Profiel bewerken.
  3. Onder Selecteer een versie selecteert u Aanbevolen en vervolgens Maken.
  4. Voer een Naam in voor de gebruikersstroom. Bijvoorbeeld profileediting1.
  5. Klik op Id-providers en selecteer Aanmelding met lokaal account.
  6. Kies voor Gebruikerskenmerken de kenmerken waarvan u wilt dat de klant deze in zijn profiel kan bewerken. Selecteer bijvoorbeeld Meer weergeven en kies vervolgens kenmerken en claims voor Weergavenaam en Functie. Klik op OK.
  7. Klik op Maken om de gebruikersstroom toe te voegen. Het voorvoegsel B2C_1 wordt automatisch aan de naam toegevoegd.

De gebruikersstroom testen

  1. Selecteer de gebruikersstroom die u hebt gemaakt om de overzichtspagina te openen en selecteer Gebruikersstroom uitvoeren.
  2. Selecteer voor Toepassing de webtoepassing met de naam webapp1 die u eerder hebt geregistreerd. De antwoord-URL moet https://jwt.ms weergeven.
  3. Klik op Gebruikersstroom uitvoeren en meld u vervolgens aan met het account dat u eerder hebt gemaakt.
  4. U hebt nu de mogelijkheid om de weergavenaam en de functie voor de gebruiker te wijzigen. Klik op Doorgaan. Het token wordt geretourneerd aan https://jwt.ms en moet worden weergegeven.

Tip

In dit artikel wordt uitgelegd hoe u uw tenant handmatig in kunt stellen. U kunt het hele proces automatiseren vanuit dit artikel. Met automatiseren wordt het startpakket Azure AD B2C SocialAndLocalAccountsWithMFAgeïmplementeerd. Dit pakket biedt de trajecten Registreren en aanmelden, Wachtwoord opnieuw instellen en Profiel bewerken. Als u het onderstaande scenario wilt automatiseren, gaat u naar de IEF-installatie-app en volgt u de instructies.

Ondertekenings- en versleutelingssleutels voor Identity Experience Framework toevoegen

  1. Meld u aan bij de Azure-portal.
  2. Zorg ervoor dat u de map gebruikt die uw Azure AD B2C tenant. Selecteer het pictogram Directories + subscriptions op de werkbalk van de portal.
  3. Op de pagina Portalinstellingen | Ga naar de pagina Directory's en abonnementen, zoek Azure AD B2C directory in de lijst Directorynaam en selecteer vervolgens Overschakelen.
  4. Zoek en selecteer Azure AD B2C in de Azure-portal.
  5. Selecteer op de overzichtspagina onder Beleid de optie Identity Experience Framework.

De ondertekeningssleutel maken

  1. Selecteer Beleidssleutels en selecteer vervolgens Toevoegen.
  2. Kies voor Generate Opties.
  3. Voer bij Naam TokenSigningKeyContainer in. Het B2C_1A_ voorvoegsel kan automatisch worden toegevoegd.
  4. Selecteer RSA bij Sleuteltype.
  5. Bij Sleutelgebruik selecteert u Handtekening.
  6. Selecteer Maken.

De versleutelingssleutel maken

  1. Selecteer Beleidssleutels en selecteer vervolgens Toevoegen.
  2. Kies voor Generate Opties.
  3. Voer bij Naam TokenEncryptionKeyContainer in. Het B2C_1A voorvoegsel _ kan automatisch worden toegevoegd.
  4. Selecteer RSA bij Sleuteltype.
  5. Selecteer versleuteling bij Sleutelgebruik.
  6. Selecteer Maken.

Toepassingen Identity Experience Framework registreren

Azure AD B2C moet u twee toepassingen registreren die worden gebruikt voor het registreren en aanmelden van gebruikers met lokale accounts: IdentityExperienceFramework, een web-API en ProxyIdentityExperienceFramework, een systeemeigen app met gedelegeerde machtiging voor de identityExperienceFramework-app. Uw gebruikers kunnen zich registreren met een e-mailadres of gebruikersnaam en een wachtwoord voor toegang tot uw tenant-geregistreerde toepassingen, waardoor een 'lokaal account' wordt gemaakt. Lokale accounts bestaan alleen in uw Azure AD B2C tenant.

U hoeft deze twee toepassingen slechts één keer te registreren in Azure AD B2C tenant.

De toepassing IdentityExperienceFramework registreren

Als u een toepassing wilt registreren in Azure AD B2C tenant, kunt u de App-registraties gebruiken.

  1. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.
  2. Voer IdentityExperienceFramework in bij Naam.
  3. Selecteer onder Ondersteunde accounttypen alleen Accounts in deze organisatiemap.
  4. Selecteer onder Omleidings-URI de optie Web en voer in, waarbij de domeinnaam van Azure AD B2C tenant https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com your-tenant-name is.
  5. Selecteer in Machtigingen het selectievakje Beheerdersgoedkeuring verlenen aan machtigingen van OpenID en offline_access.
  6. Selecteer Registreren.
  7. Noteer de Toepassings-id (client) voor gebruik in een latere stap.

Vervolgens maakt u de API beschikbaar door een bereik toe te voegen:

  1. Selecteer in het linkermenu onder Beheren de optie Een API beschikbaar maken.
  2. Selecteer Een bereik toevoegen en selecteer vervolgens Opslaan en ga door met het accepteren van de standaardtoepassings-id-URI.
  3. Voer de volgende waarden in om een bereik te maken waarmee aangepaste beleidsuitvoering in uw Azure AD B2C tenant:
    • Naam van bereik: user_impersonation
    • Weergavenaam van beheerderstoestemming: Access IdentityExperienceFramework
    • Beschrijving van beheerderstoestemming: Allow the application to access IdentityExperienceFramework on behalf of the signed-in user.
  4. Selecteer Bereik toevoegen

De toepassing ProxyIdentityExperienceFramework registreren

  1. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.
  2. Voer ProxyIdentityExperienceFramework in bij Naam.
  3. Selecteer onder Ondersteunde accounttypen alleen Accounts in deze organisatiemap.
  4. Gebruik Omleidings-URI, gebruik het vervolgkeuzemenu om Openbare client/systeemeigen (mobiel en desktop) te selecteren.
  5. Voer in bij Omleidings-URI. myapp://auth
  6. Selecteer in Machtigingen het selectievakje Beheerdersgoedkeuring verlenen aan machtigingen van OpenID en offline_access.
  7. Selecteer Registreren.
  8. Noteer de Toepassings-id (client) voor gebruik in een latere stap.

Geef vervolgens op dat de toepassing moet worden behandeld als een openbare client:

  1. Selecteer hiervoor Verificatie in het linkermenu onder Beheren.
  2. Stel onder Geavanceerde instellingen in de sectie Openbare clientstromen toestaan de volgende mobiele stromen en desktopstromen inschakelen in op Ja.
  3. Selecteer Opslaan.
  4. Zorg ervoor dat allowPublicClient: true is ingesteld in het toepassingsmanifest:
    1. Selecteer in het menu links onder Beherenmanifest om het toepassingsmanifest te openen.
    2. Zoek de sleutel allowPublicClient en zorg ervoor dat de waarde ervan is ingesteld op true.

Verleen nu machtigingen voor het API-bereik dat u eerder in de registratie IdentityExperienceFramework hebt gemaakt:

  1. Selecteer in het linkermenu onder Beheren de optie API-machtigingen.
  2. Selecteer onder Geconfigureerde machtigingen de optie Een machtiging toevoegen.
  3. Selecteer het tabblad Mijn API's en selecteer vervolgens de toepassing IdentityExperienceFramework.
  4. Selecteer onder Machtiging het user_impersonation bereik dat u eerder hebt gedefinieerd.
  5. Selecteer Machtigingen toevoegen. Wacht, zoals aangegeven, een paar minuten voordat u verdergaat met de volgende stap.
  6. Selecteer Beheerdersmachtiging verlenen voor <naam van uw tenant)>.
  7. Selecteer Ja.
  8. Selecteer Vernieuwen en controleer vervolgens of 'Verleend voor...' wordt weergegeven onder Status voor het bereik.

Aangepast starter-pakket voor beleid

Aangepaste beleidsregels zijn een set XML-bestanden die u uploadt naar uw Azure AD B2C tenant om technische profielen en gebruikerstrajecten te definiëren. We bieden starter packs met verschillende vooraf gebouwde beleidsregels om u snel op weg te helpen. Elk van deze starter packs bevat het kleinste aantal technische profielen en gebruikerstrajecten die nodig zijn om de beschreven scenario's te bereiken:

  • LocalAccounts: hiermee schakelt u alleen het gebruik van lokale accounts in.
  • SocialAccounts: hiermee schakelt u het gebruik van sociale (of federatief) accounts alleen in.
  • SocialAndLocalAccounts: hiermee schakelt u het gebruik van lokale en sociale accounts in.
  • SocialAndLocalAccountsWithMFA: maakt sociale, lokale en meervoudige verificatieopties mogelijk.

Elk starter pack bevat:

  • Basisbestand: er zijn enkele wijzigingen vereist in de basis. Voorbeeld: TrustFrameworkBase.xml
  • Lokalisatiebestand: in dit bestand worden lokalisatiewijzigingen aangebracht. Voorbeeld: TrustFrameworkLocalization.xml
  • Extensiebestand: in dit bestand worden de meeste configuratiewijzigingen aangebracht. Voorbeeld: TrustFrameworkExtensions.xml
  • Relying party-bestanden: taakspecifieke bestanden die door uw toepassing worden aangeroepen. Voorbeelden: SignUpOrSignin.xml, ProfileEdit.xml, PasswordReset.xml

In dit artikel bewerkt u de aangepaste XML-beleidsbestanden in het starterpakket SocialAndLocalAccounts. Als u een XML-editor nodig hebt, kunt Visual Studio Codegebruiken, een lichtgewicht platformoverschrijdende editor.

Het starter-pakket op te halen

Haal de aangepaste starterpakketten voor beleid op GitHub en werk vervolgens de XML-bestanden in het starterpakket SocialAndLocalAccounts bij met de naam van Azure AD B2C tenant.

  1. Download het .zip of kloon de opslagplaats:

    git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack

  2. Vervang in alle bestanden in de map SocialAndLocalAccounts de tekenreeks door de naam van uw yourtenant Azure AD B2C tenant.

    Als de naam van uw B2C-tenant bijvoorbeeld contosotenant is, worden alle exemplaren yourtenant.onmicrosoft.com van contosotenant.onmicrosoft.com .

Toepassings-ID's toevoegen aan het aangepaste beleid

Voeg de toepassings-ID's toe aan het extensiebestand TrustFrameworkExtensions.xml.

  1. Open SocialAndLocalAccounts/ TrustFrameworkExtensions.xml en zoek het element <TechnicalProfile Id="login-NonInteractive"> .
  2. Vervang beide exemplaren van IdentityExperienceFrameworkAppId door de toepassings-id van de toepassing IdentityExperienceFramework die u eerder hebt gemaakt.
  3. Vervang beide exemplaren van ProxyIdentityExperienceFrameworkAppId door de toepassings-id van de toepassing ProxyIdentityExperienceFramework die u eerder hebt gemaakt.
  4. Sla het bestand op.

Facebook toevoegen als id-provider

Het startpakket SocialAndLocalAccounts bevat facebook-sociale aanmelding. Facebook is niet vereist voor het gebruik van aangepast beleid, maar we gebruiken het hier om te laten zien hoe u federatief sociaal aanmelden kunt inschakelen in een aangepast beleid.

Facebook-toepassing maken

Gebruik de stappen die worden beschreven in Een Facebook-toepassing maken om de Facebook-app-id en het app-geheim op te halen. Sla de vereisten en de rest van de stappen in het artikel Registreren en aanmelden met een Facebook-account instellen over.

De Facebook-sleutel maken

Voeg het app-geheim van uw Facebook-toepassing toe als beleidssleutel. U kunt het app-geheim gebruiken van de toepassing die u hebt gemaakt als onderdeel van de vereisten van dit artikel.

  1. Meld u aan bij de Azure-portal.
  2. Zorg ervoor dat u de map gebruikt die uw Azure AD B2C tenant. Selecteer het pictogram Directories + subscriptions op de werkbalk van de portal.
  3. In de portalinstellingen | Ga naar de pagina Directory's en abonnementen, zoek Azure AD B2C directory in de lijst Directorynaam en selecteer vervolgens Schakelen.
  4. Zoek en selecteer Azure AD B2C in de Azure-portal.
  5. Selecteer op de overzichtspagina onder Beleid de optie Identity Experience Framework.
  6. Selecteer Beleidssleutels en selecteer vervolgens Toevoegen.
  7. Kies voor Manual Opties.
  8. Voer FacebookSecret in bij Naam. Het B2C_1A_ voorvoegsel kan automatisch worden toegevoegd.
  9. Voer in Geheim het app-geheim van uw Facebook-toepassing in uit developers.facebook.com. Deze waarde is het geheim, niet de toepassings-id.
  10. Bij Sleutelgebruik selecteert u Handtekening.
  11. Selecteer Maken.

Werk TrustFrameworkExtensions.xml in aangepast beleidsstarterpakket bij

Vervang in SocialAndLocalAccounts/ TrustFrameworkExtensions.xml het bestand de waarde van door client_id de Facebook-toepassings-id en sla de wijzigingen op.

<TechnicalProfile Id="Facebook-OAUTH">
  <Metadata>
  <!--Replace the value of client_id in this technical profile with the Facebook app ID"-->
    <Item Key="client_id">00000000000000</Item>

Upload beleidsregels maken

  1. Selecteer de Identity Experience Framework menu-item in uw B2C-tenant in de Azure Portal.
  2. Selecteer Upload aangepast beleid.
  3. Upload in deze volgorde de beleidsbestanden:
    1. TrustFrameworkBase.xml
    2. TrustFrameworkLocalization.xml
    3. TrustFrameworkExtensions.xml
    4. SignUpOrSignin.xml
    5. ProfileEdit.xml
    6. PasswordReset.xml

Wanneer u de bestanden uploadt, voegt Azure het voorvoegsel B2C_1A_ aan elk voorvoegsel toe.

Tip

Als de XML-editor validatie ondersteunt, valideert u de bestanden op basis van het TrustFrameworkPolicy_0.3.0.0.xsd XML-schema dat zich in de hoofdmap van het starter-pakket bevindt. Xml-schemavalidatie identificeert fouten voordat u uploadt.

Het aangepaste beleid testen

  1. Selecteer onder Aangepast beleid de optie B2C_1A_signup_signin.
  2. Selecteer voor Toepassing selecteren op de overzichtspagina van het aangepaste beleid de webtoepassing met de naam webapp1 die u eerder hebt geregistreerd.
  3. Zorg ervoor dat de antwoord-URL https://jwt.ms is.
  4. Selecteer Nu uitvoeren.
  5. Meld u aan met een e-mailadres.
  6. Selecteer Nu uitvoeren opnieuw.
  7. Meld u aan met hetzelfde account om te bevestigen dat u de juiste configuratie hebt.
  8. Selecteer Nu uitvoeren en selecteer Facebook om u aan te melden met Facebook en het aangepaste beleid te testen.

Volgende stappen

In dit artikel hebt u het volgende geleerd:

  • Een gebruikersstroom voor registratie en aanmelding maken
  • Een gebruikersstroom voor profielbewerking maken
  • Een gebruikersstroom voor het opnieuw instellen van het wachtwoord maken

Hierna leert u hoe u Azure AD B2C gebruikers in een toepassing kunt aanmelden en registreren. Volg de onderstaande voorbeeld-apps:

U kunt ook meer informatie vinden in de Azure AD B2C Architecture Deep Dive Series.