Настройка потока входа в Azure Active Directory B2C

Прежде чем начать работу _, используйте селектор _ Choose a policy type (Выбрать тип политики), чтобы выбрать тип настраиваемой политики. Azure Active Directory B2C предлагает два метода определения способа взаимодействия пользователей с вашими приложениями: с помощью предопределенных потоков пользователей или полностью настраиваемых пользовательских политик. Действия, которые необходимо выполнить, отличаются для каждого метода.

Общие сведения о потоке входа

Политика входа позволяет пользователям следующее:

  • выполнять вход с локальной учетной записью Azure AD B2C;
  • регистрироваться или входить с учетными записями социальных сетей.
  • Сброс паролей
  • Пользователи не могут регистрироваться для работы с локальной учетной записью Azure AD B2C. Создает эту учетную запись администратор с помощью портала Azure или API MS Graph.

Поток изменения профиля

Предварительные требования

Создание потока пользователя входа

Чтобы добавить политику входа, сделайте следующее:

  1. Войдите на портал Azure.

  2. На панели инструментов портала выберите значок Каталоги и подписки.

  3. На странице Параметры портала | Каталоги и подписки найдите каталог Azure AD B2C в списке Имя каталога и выберите Переключить.

  4. На портале Azure найдите и выберите Azure AD B2C.

  5. В разделе Политики выберите Потоки пользователей и щелкните Создать поток пользователя.

  6. На странице Создание потока пользователя выберите поток пользователя Вход.

  7. В разделе Выбор версии, выберите элемент Рекомендуемая и нажмите кнопку Создать. (См. сведения о версиях потоков пользователей.)

  8. Введите имя потока пользователя. Например, signupsignin1.

  9. В разделе Поставщики удостоверений выберите по меньшей мере один поставщик удостоверений:

    • В разделе Локальные учетные записи выберите один из следующих элементов: Email signin (Вход через электронную почту), User ID signin (Вход через идентификатор пользователя), Phone signin (Вход через телефон), Phone/Email signin (Вход через телефон/электронную почту), User ID/Email signin (Вход через идентификатор пользователя/электронную почту) или Нет. Подробнее.
    • В разделе Поставщики удостоверений в социальных сетях выберите любой из внешних настроенных поставщиков социальных или корпоративных удостоверений. Подробнее.
  10. Если требуется, чтобы пользователи проверяли свои удостоверения с помощью второго метода проверки подлинности, в разделе Многофакторная проверка подлинности выберите тип метода и укажите, когда следует применять многофакторную проверку подлинности (MFA). Подробнее.

  11. Если вы настроили политики условного доступа для клиента Azure AD B2C и хотите включить их для этого потока пользователей, в разделе Условный доступ установите флажок Принудительное применение политик условного доступа. Указывать имя политики не требуется. Подробнее.

  12. В разделе Утверждения приложения выберите утверждения, которые следует возвратить приложению в маркере. Чтобы отобразить полный список значений, щелкните Показать еще, выберите значения и нажмите кнопку OK.

    Примечание

    Вы также можете создавать настраиваемые атрибуты для использования в клиенте Azure AD B2C.

  13. Для добавления потока пользователя щелкните Создать. Префикс B2C_1 добавляется к имени автоматически.

Тестирование потока пользователя

  1. Выберите созданный поток пользователя, чтобы открыть его страницу обзора, а затем щелкните Выполнить поток пользователя.
  2. В разделе Приложение выберите зарегистрированное ранее веб-приложение с именем webapp1. В поле URL-адрес ответа должно содержаться значение https://jwt.ms.
  3. Щелкните Выполнить поток пользователя.
  4. Если все сделано правильно, вы войдете в систему с учетной записью, которую только что создали (с помощью API MS Graph), без ссылки для регистрации. Возвращенный маркер будет содержать выбранные утверждения.

Технический профиль SelfAsserted-LocalAccountSignin-Email использует самостоятельное подтверждение в потоках регистрации и входа. Чтобы удалить ссылку для регистрации, задайте для параметра метаданных setting.showSignupLink значение false. Технические профили SelfAsserted-LocalAccountSignin-Email можно переопределить в файле расширения.

  1. Откройте файл расширения для политики, например SocialAndLocalAccounts/TrustFrameworkExtensions.xml.

  2. Найдите элемент ClaimsProviders . Если такой элемент не существует, добавьте его.

  3. Добавьте следующий поставщик утверждений в элемент ClaimsProviders.

    <!--
    <ClaimsProviders> -->
      <ClaimsProvider>
        <DisplayName>Local Account</DisplayName>
        <TechnicalProfiles>
          <TechnicalProfile Id="SelfAsserted-LocalAccountSignin-Email">
            <Metadata>
              <Item Key="setting.showSignupLink">false</Item>
            </Metadata>
          </TechnicalProfile>
        </TechnicalProfiles>
      </ClaimsProvider>
    <!--
    </ClaimsProviders> -->
    
  4. В элементе <BuildingBlocks> добавьте следующее определение ContentDefinition со ссылкой на URI данных версии 1.2.0 или более поздней:

    <!-- 
    <BuildingBlocks> 
      <ContentDefinitions>-->
        <ContentDefinition Id="api.localaccountsignup">
          <DataUri>urn:com:microsoft:aad:b2c:elements:contract:unifiedssp:1.2.0</DataUri>
        </ContentDefinition>
      <!--
      </ContentDefinitions>
    </BuildingBlocks> -->
    

Обновление и тестирование политики

  1. Войдите на портал Azure.
  2. Убедитесь, что вы используете каталог, содержащий ваш клиент Azure AD, выбрав значок Каталоги + подписки на панели инструментов портала.
  3. В настройках портала | На странице Каталоги + подписки найдите свой каталог Azure AD в списке Имя каталога и выберите Переключатель.
  4. Выберите Все службы в левом верхнем углу окна портала Azure, а затем найдите и выберите Регистрация приложений.
  5. Выберите Инфраструктура процедур идентификации.
  6. Выберите Отправить пользовательскую политику и отправьте файл политики TrustFrameworkExtensions.xml, который вы изменили.
  7. Выберите отправленную политику входа и щелкните Выполнить.
  8. Если все сделано правильно, вы войдете в систему с учетной записью, которую только что создали (с помощью API MS Graph), без ссылки для регистрации.

Дальнейшие действия