Anpassade principer i Azure Active Directory B2CCustom policies in Azure Active Directory B2C

Anteckning

I Azure Active Directory B2C är anpassade principer utformade främst för att hantera komplexa scenarier.In Azure Active Directory B2C, custom policies are designed primarily to address complex scenarios. I de flesta fall rekommenderar vi att du använder inbyggda användar flöden.For most scenarios, we recommend that you use built-in user flows.

Anpassade principer är konfigurationsfiler som definierar beteendet för din Azure Active Directory B2C (Azure AD B2C)-klient.Custom policies are configuration files that define the behavior of your Azure Active Directory B2C (Azure AD B2C) tenant. Användar flöden är fördefinierade i Azure AD B2C Portal för de vanligaste identitets uppgifterna.User flows are predefined in the Azure AD B2C portal for the most common identity tasks. Anpassade principer kan redige ras fullständigt av en identitets utvecklare för att utföra många olika uppgifter.Custom policies can be fully edited by an identity developer to complete many different tasks.

Jämföra användar flöden och anpassade principerComparing user flows and custom policies

AnvändarflödenUser flows Anpassade principerCustom policies
Mål användareTarget users Alla program utvecklare med eller utan identitets kunskaper.All application developers with or without identity expertise. Identitets tekniker, system integrerare, konsulter och interna identitets team.Identity pros, systems integrators, consultants, and in-house identity teams. De är bekvämt med OpenID Connect-flöden och förstå identitets leverantörer och anspråksbaserad autentisering.They are comfortable with OpenID Connect flows and understand identity providers and claims-based authentication.
Konfigurations metodConfiguration method Azure Portal med ett användarvänligt användar gränssnitt (UI).Azure portal with a user-friendly user-interface (UI). Redigera XML-filer direkt och ladda upp till Azure Portal.Directly editing XML files and then uploading to the Azure portal.
UI-anpassningUI customization Fullständig anpassning av gränssnittet, inklusive HTML, CSS och Java Script.Full UI customization including HTML, CSS and JavaScript.

Stöd för flera språk med anpassade strängar.Multilanguage support with Custom strings.
DetSame
Attribut anpassningAttribute customization Standard-och anpassade attribut.Standard and custom attributes. DetSame
Hantering av token och sessionerToken and session management Alternativ för anpassad token och flera sessioner.Custom token and multiple session options. DetSame
IdentitetsprovidrarIdentity Providers Fördefinierad lokal eller social Provider och de flesta OIDC-identitets leverantörer, till exempel Federation med Azure Active Directory klienter.Predefined local or social provider and most OIDC identity providers, such as federation with Azure Active Directory tenants. Standardbaserad OIDC, OAUTH och SAML.Standards-based OIDC, OAUTH, and SAML. Autentisering är också möjligt med hjälp av integrering med REST API: er.Authentication is also possible by using integration with REST APIs.
Identitets uppgifterIdentity Tasks Registrera dig eller logga in med lokala eller många sociala konton.Sign-up or sign-in with local or many social accounts.

Lösen ords återställning via självbetjäning.Self-service password reset.

Redigera profil.Profile edit.

Multi-Factor Authentication.Multi-Factor Authentication.

Anpassa token och sessioner.Customize tokens and sessions.

Flöden för åtkomsttoken.Access token flows.
Slutför samma uppgifter som användar flöden med anpassade identitets leverantörer eller Använd anpassade omfattningar.Complete the same tasks as user flows using custom identity providers or use custom scopes.

Etablera ett användar konto i ett annat system vid tidpunkten för registreringen.Provision a user account in another system at the time of registration.

Skicka ett välkomst meddelande med din egen e-posttjänstprovider.Send a welcome email using your own email service provider.

Använd ett användar Arkiv utanför Azure AD B2C.Use a user store outside Azure AD B2C.

Verifiera användarens angivna information med ett betrott system med hjälp av ett API.Validate user provided information with a trusted system by using an API.

PrincipfilerPolicy files

Dessa tre typer av principfiler används:These three types of policy files are used:

  • Bas fil – innehåller de flesta av definitionerna.Base file - contains most of the definitions. Vi rekommenderar att du gör ett minsta antal ändringar i den här filen för att felsöka och långsiktigt underhåll av dina principer.It is recommended that you make a minimum number of changes to this file to help with troubleshooting, and long-term maintenance of your policies.
  • Fil tillägg – innehåller de unika konfigurations ändringarna för din klient.Extensions file - holds the unique configuration changes for your tenant.
  • Förlitande part (RP)-fil – den enda Task-fokuserade filen som anropas direkt av programmet eller tjänsten (kallas även förlitande part).Relying Party (RP) file - The single task-focused file that is invoked directly by the application or service (also, known as a Relying Party). Varje unik aktivitet kräver sin egen RP och, beroende på varumärkes krav, antalet kan vara "totalt antal program x totalt antal användnings fall".Each unique task requires its own RP and depending on branding requirements, the number might be "total of applications x total number of use cases."

Användar flöden i Azure AD B2C följer mönstret med tre filer som illustreras ovan, men utvecklaren ser bara RP-filen, medan Azure Portal gör ändringar i bakgrunden till tilläggs filen.User flows in Azure AD B2C follow the three-file pattern depicted above, but the developer only sees the RP file, while the Azure portal makes changes in the background to the extensions file.

Grundläggande begrepp för anpassad principCustom policy core concepts

Tjänsten för kund identitets-och åtkomst hantering (CIAM) i Azure innehåller:The customer identity and access management (CIAM) service in Azure includes:

  • En användar katalog som är tillgänglig med hjälp av Microsoft Graph och som innehåller användar data för både lokala konton och federerade konton.A user directory that is accessible by using Microsoft Graph and which holds user data for both local accounts and federated accounts.
  • Åtkomst till det identitets miljö ramverk som dirigerar förtroende mellan användare och entiteter och skickar anspråk mellan dem för att slutföra en identitets-eller åtkomst hanterings uppgift.Access to the Identity Experience Framework that orchestrates trust between users and entities and passes claims between them to complete an identity or access management task.
  • En säkerhetstokentjänst (STS) som utfärdar ID-token, uppdaterar tokens och åtkomsttoken (och motsvarande SAML-kontroller) och validerar dem för att skydda resurser.A security token service (STS) that issues ID tokens, refresh tokens, and access tokens (and equivalent SAML assertions) and validates them to protect resources.

Azure AD B2C interagerar med identitets leverantörer, användare, andra system och med den lokala användar katalogen i turordning för att få en identitets uppgift.Azure AD B2C interacts with identity providers, users, other systems, and with the local user directory in sequence to achieve an identity task. Du kan till exempel Logga in en användare, registrera en ny användare eller återställa ett lösen ord.For example, sign in a user, register a new user, or reset a password. I ramverket med identitets upplevelsen och en princip (kallas även för en användar resa eller en princip för förtroende ramverk) fastställs flera parter och det uttryckligen definierar aktörerna, åtgärderna, protokollen och hur många steg som ska utföras.The Identity Experience Framework and a policy (also called a user journey or a trust framework policy) establishes multi-party trust and explicitly defines the actors, the actions, the protocols, and the sequence of steps to complete.

Identitets Miljös ramverket är en helt konfigurerbar, molnbaserad, molnbaserad, molnbaserad Azure-plattform som dirigerar förtroende mellan entiteter i standard protokoll format, till exempel OpenID Connect, OAuth, SAML och några icke-standarder, till exempel REST API-baserade system-till-system-anspråk.The Identity Experience Framework is a fully configurable, policy-driven, cloud-based Azure platform that orchestrates trust between entities in standard protocol formats such as OpenID Connect, OAuth, SAML, and a few non-standard ones, for example REST API-based system-to-system claims exchanges. Ramverket skapar användarvänliga, vita och märkta upplevelser som stöder HTML och CSS.The framework creates user-friendly, white-labeled experiences that support HTML and CSS.

En anpassad princip representeras som en eller flera XML-formaterade filer som refererar till varandra i en hierarkisk kedja.A custom policy is represented as one or several XML-formatted files that refer to each other in a hierarchical chain. XML-elementen definierar anspråks schema, anspråks omvandlingar, innehålls definitioner, anspråks leverantörer, tekniska profiler och användnings steg för användar resan bland andra element.The XML elements define the claims schema, claims transformations, content definitions, claims providers, technical profiles, and user journey orchestration steps, among other elements. En anpassad princip är tillgänglig som en eller flera XML-filer som körs av identitets miljö ramverket när den anropas av en förlitande part.A custom policy is accessible as one or several XML files that are executed by the Identity Experience Framework when invoked by a relying party. Utvecklare som konfigurerar anpassade principer måste definiera de betrodda relationerna i noggrann detalj för att inkludera slut punkter för metadata, exakta definitioner för anspråk och konfigurera hemligheter, nycklar och certifikat efter behov av varje identitets leverantör.Developers configuring custom policies must define the trusted relationships in careful detail to include metadata endpoints, exact claims exchange definitions, and configure secrets, keys, and certificates as needed by each identity provider.

Arvs modellInheritance model

När ett program anropar RP-principagenten, lägger identitets miljö ramverket i Azure AD B2C till alla element från bas filen, från tilläggs filen och sedan från RP-princip filen för att sammanställa den aktuella principen.When an application calls the RP policy file, the Identity Experience Framework in Azure AD B2C adds all of the elements from base file, from the extensions file, and then from the RP policy file to assemble the current policy in effect. Element av samma typ och namn i RP-filen åsidosätter de i tilläggen och tilläggen åsidosätter bas.Elements of the same type and name in the RP file will override those in the extensions, and extensions overrides base.

Nästa stegNext steps