Konfigurera inloggning för en specifik Microsoft Entra-organisation i Azure Active Directory B2C

Den här artikeln visar hur du aktiverar inloggning för användare från en specifik Microsoft Entra-organisation med hjälp av ett användarflöde i Azure AD B2C.

Innan du börjar använder du väljaren Välj en principtyp för att välja den typ av princip som du konfigurerar. Azure Active Directory B2C erbjuder två metoder för att definiera hur användare interagerar med dina program: via fördefinierade användarflöden eller genom fullständigt konfigurerbara anpassade principer. De steg som krävs i den här artikeln skiljer sig åt för varje metod.

Kommentar

I Azure Active Directory B2C är anpassade principer främst utformade för att hantera komplexa scenarier. I de flesta scenarier rekommenderar vi att du använder inbyggda användarflöden. Om du inte har gjort det kan du läsa mer om startpaketet för anpassad princip i Kom igång med anpassade principer i Active Directory B2C.

Förutsättningar

• Skapa ett användarflöde så att användare kan registrera sig och logga in på ditt program.
• Registrera ett webbprogram.

• Slutför stegen i Kom igång med anpassade principer i Active Directory B2C
• Registrera ett webbprogram.

Verifiera programmets utgivardomän

Från och med november 2020 visas nya programregistreringar som overifierade i uppmaningen om användarmedgivande såvida inte programmets utgivardomän verifierasoch företagets identitet har verifierats med Microsoft Partner Network och associerats med programmet. (Läs mer om den här ändringen.) Observera att för Azure AD B2C-användarflöden visas utgivarens domän endast när du använder ett Microsoft-konto eller en annan Microsoft Entra-klientorganisation som identitetsprovider. Gör följande för att uppfylla dessa nya krav:

1. Verifiera företagets identitet med hjälp av ditt MPN-konto (Microsoft Partner Network). Den här processen verifierar information om ditt företag och företagets primära kontakt.
2. Slutför verifieringsprocessen för utgivaren för att associera ditt MPN-konto med din appregistrering med något av följande alternativ:
   • Om appregistreringen för Microsoft-kontoidentitetsprovidern finns i en Microsoft Entra-klientorganisation kontrollerar du appen i appregistreringsportalen.
   • Om din appregistrering för Microsoft-kontoidentitetsprovidern finns i en Azure AD B2C-klientorganisation markerar du appen som utgivare som verifierad med hjälp av Microsoft Graph-API:er (till exempel med Graph Explorer). Användargränssnittet för att ange en apps verifierade utgivare är för närvarande inaktiverat för Azure AD B2C-klienter.

Registrera en Microsoft Entra-app

Om du vill aktivera inloggning för användare med ett Microsoft Entra-konto från en specifik Microsoft Entra-organisation i Azure Active Directory B2C (Azure AD B2C) måste du skapa ett program i Azure-portalen. Mer information finns i Registrera ett program med Microsofts identitetsplattform.

1. Logga in på Azure-portalen.

2. Om du har åtkomst till flera klienter väljer du ikonen Inställningar på den översta menyn för att växla till din Microsoft Entra-ID-klient från menyn Kataloger + prenumerationer.

3. I Azure-portalen söker du efter och väljer Microsoft Entra-ID.

4. Välj Appregistreringar i den vänstra menyn under Hantera.

5. Välj + Ny registrering.

6. Ange ett namn för ditt program. Exempel: Azure AD B2C App

7. Acceptera standardvalet konton i den här organisationskatalogen (endast standardkatalog – enskild klientorganisation) för det här programmet.

8. För omdirigerings-URI accepterar du värdet för webben och anger följande URL i alla gemener, där your-B2C-tenant-name ersätts med namnet på din Azure AD B2C-klientorganisation.

   https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
   

   Exempel: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp

   Om du använder en anpassad domän anger du https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Ersätt your-domain-name med din anpassade domän och your-tenant-name med namnet på din klientorganisation.

9. Välj Registrera. Registrera program-ID :t (klient) för användning i ett senare steg.

10. Välj Certifikathemligheter &och välj sedan Ny klienthemlighet.

11. Ange en Beskrivning för hemligheten, välj ett förfallodatum och välj sedan Lägg till. Registrera hemlighetens värde för användning i ett senare steg.

Konfigurera Microsoft Entra-ID som identitetsprovider

1. Om du har åtkomst till flera klienter väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klient från menyn Kataloger + prenumerationer.

2. Välj Alla tjänster på menyn högst upp till vänster i Azure-portalen och sök efter och välj Azure AD B2C.

3. Välj Identitetsprovidrar och välj sedan Ny OpenID-Anslut provider.

4. Ange ett Namn. Ange till exempel Contoso Microsoft Entra-ID.

5. För metadata-URL anger du följande URL som {tenant} ersätter med domännamnet för din Microsoft Entra-klientorganisation:

   https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration
   

Exempel: https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration Om du använder en anpassad domän ersätter contoso.com du med din anpassade domän i https://login.microsoftonline.com/contoso.com/v2.0/.well-known/openid-configuration.

1. För Klient-ID anger du det program-ID som du registrerade tidigare.

2. För Klienthemlighet anger du det klienthemlighetsvärde som du registrerade tidigare.

3. För Omfång anger du openid profile.

4. Lämna standardvärdena för Svarstyp och Svarsläge.

5. (Valfritt) För domäntipset anger du contoso.com. Mer information finns i Konfigurera direkt inloggning med Azure Active Directory B2C.

6. Under Identitetsproviderns anspråksmappning väljer du följande anspråk:

   • Användar-ID: oid
   • Visningsnamn: namn
   • Förnamn: given_name
   • Efternamn: family_name
   • E-post: e-post

7. Välj Spara.

Lägga till Microsoft Entra-identitetsprovider i ett användarflöde

Nu har Microsoft Entra-identitetsprovidern konfigurerats, men den är ännu inte tillgänglig på någon av inloggningssidorna. Så här lägger du till Microsoft Entra-identitetsprovidern i ett användarflöde:

1. I din Azure AD B2C-klient väljer du Användarflöden.
2. Klicka på det användarflöde som du vill lägga till Microsoft Entra-identitetsprovidern.
3. Under Inställningar väljer du Identitetsprovidrar
4. Under Anpassade identitetsprovidrar väljer du Contoso Microsoft Entra-ID.
5. Välj Spara.
6. Om du vill testa principen väljer du Kör användarflöde.
7. För Program väljer du ett webbprogram som du registrerade tidigare. Svars-URL :en ska visa https://jwt.ms.
8. Välj knappen Kör användarflöde.
9. På registrerings- eller inloggningssidan väljer du Contoso Microsoft Entra-ID för att logga in med Microsoft Entra Contoso-kontot.

Om inloggningsprocessen lyckas omdirigeras webbläsaren till https://jwt.ms, som visar innehållet i token som returneras av Azure AD B2C.

Skapa en principnyckel

Du måste lagra programnyckeln som du skapade i din Azure AD B2C-klientorganisation.

1. Om du har åtkomst till flera klienter väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klient från menyn Kataloger + prenumerationer.
2. Välj Alla tjänster på menyn högst upp till vänster i Azure-portalen och sök efter och välj Azure AD B2C.
3. Under Principer väljer du Identity Experience Framework.
4. Välj Principnycklar och välj sedan Lägg till.
5. För Alternativ väljer du Manual.
6. Ange ett Namn för principnyckeln. Exempel: ContosoAppSecret Prefixet B2C_1A_ läggs automatiskt till i namnet på din nyckel när det skapas, så dess referens i XML i följande avsnitt är att B2C_1A_ContosoAppSecret.
7. I Hemlighet anger du det klienthemlighetsvärde som du registrerade tidigare.
8. För Nyckelanvändning väljer du Signature.
9. Välj Skapa.

Konfigurera Microsoft Entra-ID som identitetsprovider

För att göra det möjligt för användare att logga in med ett Microsoft Entra-konto måste du definiera Microsoft Entra-ID som en anspråksprovider som Azure AD B2C kan kommunicera med via en slutpunkt. Slutpunkten innehåller en uppsättning anspråk som används av Azure AD B2C för att verifiera att en viss användare har autentiserats.

Du kan definiera Microsoft Entra-ID som en anspråksprovider genom att lägga till Microsoft Entra-ID i elementet ClaimsProvider i tilläggsfilen för principen.

1. Öppna filen TrustFrameworkExtensions.xml.

2. Hitta elementet ClaimsProviders . Om den inte finns lägger du till den under rotelementet.

3. Lägg till en ny ClaimsProvider på följande sätt:

   <ClaimsProvider>
     <Domain>Contoso</Domain>
     <DisplayName>Login using Contoso</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="AADContoso-OpenIdConnect">
         <DisplayName>Contoso Employee</DisplayName>
         <Description>Login with your Contoso account</Description>
         <Protocol Name="OpenIdConnect"/>
         <Metadata>
           <Item Key="METADATA">https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration</Item>
           <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_ContosoAppSecret"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid"/>
           <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Under elementet ClaimsProvider uppdaterar du värdet för Domän till ett unikt värde som kan användas för att skilja det från andra identitetsprovidrar. Till exempel Contoso. Du ställer inte in en .com i slutet av den här domäninställningen.

5. Under elementet ClaimsProvider uppdaterar du värdet för DisplayName till ett eget namn för anspråksprovidern. Det här värdet används inte för närvarande.

Uppdatera den tekniska profilen

För att få en token från Microsoft Entra-slutpunkten måste du definiera de protokoll som Azure AD B2C ska använda för att kommunicera med Microsoft Entra-ID. Detta görs i technicalprofile-elementeti ClaimsProvider.

1. Uppdatera ID:t för TechnicalProfile-elementet . Det här ID:t används för att referera till den här tekniska profilen från andra delar av principen, till exempel AADContoso-OpenIdConnect.
2. Uppdatera värdet för DisplayName. Det här värdet visas på inloggningsknappen på inloggningsskärmen.
3. Uppdatera värdet för Beskrivning.
4. Microsoft Entra ID använder OpenID Anslut-protokollet, så se till att värdet för Protocol är OpenIdConnect.
5. Ange värdet för METADATA till https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration, där tenant-name är ditt Microsoft Entra-klientnamn. Till exempel https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration
6. Ange client_id till program-ID från programregistreringen.
7. Under CryptographicKeys uppdaterar du värdet för StorageReferenceId till namnet på den principnyckel som du skapade tidigare. Exempel: B2C_1A_ContosoAppSecret

Lägga till en användarresa

I det här läget har identitetsprovidern konfigurerats, men den är ännu inte tillgänglig på någon av inloggningssidorna. Om du inte har en egen anpassad användarresa skapar du en dubblett av en befintlig mallanvändarresa, annars fortsätter du till nästa steg.

1. Öppna filen TrustFrameworkBase.xml från startpaketet.
2. Hitta och kopiera hela innehållet i elementet UserJourney som innehåller Id="SignUpOrSignIn".
3. Öppna TrustFrameworkExtensions.xml och leta upp elementet UserJourneys. Om elementet inte finns lägger du till ett.
4. Klistra in hela innehållet i elementet UserJourney som du kopierade som underordnat elementet UserJourneys .
5. Byt namn på ID:t för användarresan. Exempel: Id="CustomSignUpSignIn"

Lägga till identitetsprovidern i en användarresa

Nu när du har en användarresa lägger du till den nya identitetsprovidern i användarresan. Du lägger först till en inloggningsknapp och länkar sedan knappen till en åtgärd. Åtgärden är den tekniska profil som du skapade tidigare.

1. Leta reda på orkestreringsstegelementet som innehåller Type="CombinedSignInAndSignUp", eller Type="ClaimsProviderSelection" i användarresan. Det är vanligtvis det första orkestreringssteget. Elementet ClaimsProviderSelections innehåller en lista över identitetsprovidrar som en användare kan logga in med. Ordningen på elementen styr ordningen på de inloggningsknappar som visas för användaren. Lägg till ett ClaimsProviderSelection XML-element. Ange värdet för TargetClaimsExchangeId till ett eget namn.

2. I nästa orkestreringssteg lägger du till ett ClaimsExchange-element . Ange ID:t till värdet för målanspråkets utbytes-ID. Uppdatera värdet för TechnicalProfileReferenceId till ID:t för den tekniska profil som du skapade tidigare.

Följande XML visar de två första orkestreringsstegen för en användarresa med identitetsprovidern:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="AzureADContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="AzureADContosoExchange" TechnicalProfileReferenceId="AADContoso-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurera principen för förlitande part

Principen för förlitande part, till exempel SignUpSignIn.xml, anger den användarresa som Azure AD B2C ska köra. Hitta elementet DefaultUserJourney i den förlitande parten. Uppdatera ReferenceId så att det matchar användarens rese-ID, där du lade till identitetsprovidern.

I följande exempel CustomSignUpSignIn för användarresan är ReferenceId inställt på CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Ladda upp den anpassade principen

1. Logga in på Azure-portalen.
2. Välj ikonen Katalog + prenumeration i portalens verktygsfält och välj sedan den katalog som innehåller din Azure AD B2C-klientorganisation.
3. I Azure-portalen söker du efter och väljer Azure AD B2C.
4. Under Principer väljer du Identity Experience Framework.
5. Välj Överför anpassad princip och ladda sedan upp de två principfilerna som du ändrade i följande ordning: tilläggsprincipen, till exempel TrustFrameworkExtensions.xml, och sedan den förlitande partprincipen, till exempel SignUpSignIn.xml.

Testa din anpassade princip

1. Välj din princip för förlitande part, till exempel B2C_1A_signup_signin.
2. För Program väljer du ett webbprogram som du registrerade tidigare. Svars-URL :en ska visa https://jwt.ms.
3. Välj knappen Kör nu.
4. På registrerings- eller inloggningssidan väljer du Contoso Employee för att logga in med Microsoft Entra Contoso-kontot.

Om inloggningsprocessen lyckas omdirigeras webbläsaren till https://jwt.ms, som visar innehållet i token som returneras av Azure AD B2C.

[Valfritt] Konfigurera valfria anspråk

Om du vill hämta anspråken family_name och given_name från Microsoft Entra-ID:t kan du konfigurera valfria anspråk för ditt program i azure-portalens användargränssnitt eller programmanifest. Mer information finns i Så här tillhandahåller du valfria anspråk till din Microsoft Entra-app.

1. Logga in på Azure-portalen med din organisations Microsoft Entra-klientorganisation. Eller om du redan är inloggad kontrollerar du att du använder katalogen som innehåller din organisations Microsoft Entra-klientorganisation (till exempel Contoso):
   1. Välj ikonen Kataloger + prenumerationer i portalens verktygsfält.
   2. I portalinställningarna | Sidan Kataloger + prenumerationer, leta upp din Microsoft Entra-katalog i listan Katalognamn och välj sedan Växla.
2. I Azure-portalen söker du efter och väljer Microsoft Entra-ID.
3. Välj Appregistreringar i den vänstra menyn under Hantera.
4. Välj det program som du vill konfigurera valfria anspråk för i listan, till exempel Azure AD B2C App.
5. I avsnittet Hantera väljer du Tokenkonfiguration.
6. Välj Lägg till ytterligare anspråk.
7. Som Tokentyp väljer du ID.
8. Välj de valfria anspråk som ska läggas till family_name och given_name.
9. Markera Lägga till. Om Aktivera Microsoft Graph-profilbehörigheten (krävs för att anspråk ska visas i token) visas aktiverar du den och väljer sedan Lägg till igen.

[Valfritt] Verifiera appens äkthet

Utgivarverifiering hjälper användarna att förstå äktheten hos den app som du har registrerat. En verifierad app innebär att utgivaren av appen har verifierat sin identitet med hjälp av sitt Microsoft Partner Network (MPN). Se hr du markerar din app med verifierad utgivare.

Nästa steg

Lär dig hur du skickar Microsoft Entra-token till ditt program.