Azure Active Directory B2C'de özel ilkelerCustom policies in Azure Active Directory B2C

Not

Azure Etkin Dizin B2C'de, özel ilkeler öncelikle karmaşık senaryoları ele alacak şekilde tasarlanmıştır.In Azure Active Directory B2C, custom policies are designed primarily to address complex scenarios. Çoğu senaryoda yerleşik kullanıcı akışlarınıkullanmanızı öneririz.For most scenarios, we recommend that you use built-in user flows.

Özel ilkeler, Azure Etkin Dizin B2C (Azure AD B2C) kiracınızın davranışını tanımlayan yapılandırma dosyalarıdır.Custom policies are configuration files that define the behavior of your Azure Active Directory B2C (Azure AD B2C) tenant. Kullanıcı akışları, en yaygın kimlik görevleri için Azure AD B2C portalında önceden tanımlanır.User flows are predefined in the Azure AD B2C portal for the most common identity tasks. Özel ilkeler, birçok farklı görevi tamamlamak için bir kimlik geliştiricisi tarafından tam olarak düzenlenebilir.Custom policies can be fully edited by an identity developer to complete many different tasks.

Kullanıcı akışlarını ve özel ilkeleri karşılaştırmaComparing user flows and custom policies

Kullanıcı akışlarıUser flows Özel ilkelerCustom policies
Hedef kullanıcılarTarget users Kimlik uzmanlığı olan veya olmayan tüm uygulama geliştiricileri.All application developers with or without identity expertise. Kimlik uzmanları, sistem entegratörleri, danışmanlar ve şirket içi kimlik ekipleri.Identity pros, systems integrators, consultants, and in-house identity teams. OpenID Connect akışları ile rahatlar ve kimlik sağlayıcılarını ve talep tabanlı kimlik doğrulamayı anlarlar.They are comfortable with OpenID Connect flows and understand identity providers and claims-based authentication.
Yapılandırma yöntemiConfiguration method Kullanıcı dostu kullanıcı arabirimine (UI) sahip Azure portalı.Azure portal with a user-friendly user-interface (UI). Doğrudan XML dosyalarını düzenleyip Azure portalına yükleyin.Directly editing XML files and then uploading to the Azure portal.
UI özelleştirmeUI customization HTML, CSS ve JavaScript dahil olmak üzere tam kullanıcı bir iki arama birimi özelleştirme.Full UI customization including HTML, CSS and JavaScript.

Özel dizeleri ile çok dilli destek.Multilanguage support with Custom strings.
AynıSame
Öznitelik özelleştirmeAttribute customization Standart ve özel öznitelikler.Standard and custom attributes. AynıSame
Belirteç ve oturum yönetimiToken and session management Özel belirteç ve birden çok oturum seçeneği.Custom token and multiple session options. AynıSame
Kimlik SağlayıcılarıIdentity Providers Azure Active Directory kiracılarıyla federasyon gibi önceden tanımlanmış yerel veya sosyal sağlayıcı lar ve çoğu OIDC kimlik sağlayıcısı.Predefined local or social provider and most OIDC identity providers, such as federation with Azure Active Directory tenants. Standartlara dayalı OIDC, OAUTH ve SAML.Standards-based OIDC, OAUTH, and SAML. Kimlik doğrulama, REST API'leri ile tümleştirme kullanılarak da mümkündür.Authentication is also possible by using integration with REST APIs.
Kimlik GörevleriIdentity Tasks Yerel veya birçok sosyal hesapla kaydolma veya kaydolma.Sign-up or sign-in with local or many social accounts.

Self servis parola sıfırlama.Self-service password reset.

Profil editi.Profile edit.

Çok Faktörlü Kimlik Doğrulama.Multi-Factor Authentication.

Belirteçleri ve oturumları özelleştirin.Customize tokens and sessions.

Erişim belirteç akışları.Access token flows.
Özel kimlik sağlayıcılarını kullanarak kullanıcı akışlarıyla aynı görevleri tamamlayın veya özel kapsamlar kullanın.Complete the same tasks as user flows using custom identity providers or use custom scopes.

Kayıt sırasında başka bir sistemde bir kullanıcı hesabı sağlama.Provision a user account in another system at the time of registration.

Kendi e-posta servis sağlayıcınızı kullanarak hoş geldiniz e-postası gönderin.Send a welcome email using your own email service provider.

Azure AD B2C dışında bir kullanıcı mağazası kullanın.Use a user store outside Azure AD B2C.

Bir API kullanarak güvenilir bir sistemle kullanıcı sağlanan bilgileri doğrulayın.Validate user provided information with a trusted system by using an API.

İlke dosyalarıPolicy files

Bu üç tür ilke dosyası kullanılır:These three types of policy files are used:

  • Temel dosya - tanımların çoğunu içerir.Base file - contains most of the definitions. Sorun giderme ve ilkelerinizin uzun süreli bakımına yardımcı olmak için bu dosyada en az sayıda değişiklik yapmanız önerilir.It is recommended that you make a minimum number of changes to this file to help with troubleshooting, and long-term maintenance of your policies.
  • Uzantılar dosyası - kiracınız için benzersiz yapılandırma değişikliklerini tutar.Extensions file - holds the unique configuration changes for your tenant.
  • Güvenerek Taraf (RP) dosyası - Doğrudan uygulama veya hizmet tarafından çağrılan tek görev odaklı dosya (Ayrıca, Güvenen Taraf olarak da bilinir).Relying Party (RP) file - The single task-focused file that is invoked directly by the application or service (also, known as a Relying Party). Her benzersiz görev kendi RP gerektirir ve marka gereksinimlerine bağlı olarak, sayı "uygulama toplamı x toplam kullanım örnekleri sayısı" olabilir.Each unique task requires its own RP and depending on branding requirements, the number might be "total of applications x total number of use cases."

Azure AD B2C'deki kullanıcı akışları yukarıda gösterilen üç dosya desenini izler, ancak geliştirici yalnızca RP dosyasını görürken, Azure portalı uzantılar dosyasının arka planında değişiklikler yapar.User flows in Azure AD B2C follow the three-file pattern depicted above, but the developer only sees the RP file, while the Azure portal makes changes in the background to the extensions file.

Özel ilke temel kavramlarıCustom policy core concepts

Azure'daki müşteri kimliği ve erişim yönetimi (CIAM) hizmeti şunları içerir:The customer identity and access management (CIAM) service in Azure includes:

  • Microsoft Graph kullanılarak erişilebilen ve hem yerel hesaplar hem de federe hesaplar için kullanıcı verilerini tutan bir kullanıcı dizini.A user directory that is accessible by using Microsoft Graph and which holds user data for both local accounts and federated accounts.
  • Kullanıcılar ve varlıklar arasında güveni düzenleyen ve bir kimlik veya erişim yönetimi görevini tamamlamak için aralarındaki talepleri aktaran Kimlik Deneyimi Çerçevesine erişim.Access to the Identity Experience Framework that orchestrates trust between users and entities and passes claims between them to complete an identity or access management task.
  • Kimlik belirteçleri, yenileme belirteçleri ve erişim belirteçleri (ve eşdeğer SAML iddiaları) veren ve kaynakları korumak için bunları doğrulayan bir güvenlik belirteci hizmeti (STS).A security token service (STS) that issues ID tokens, refresh tokens, and access tokens (and equivalent SAML assertions) and validates them to protect resources.

Azure AD B2C, kimlik görevi elde etmek için kimlik sağlayıcıları, kullanıcılar, diğer sistemler ve sırayla yerel kullanıcı dizini ile etkileşim kurar.Azure AD B2C interacts with identity providers, users, other systems, and with the local user directory in sequence to achieve an identity task. Örneğin, bir kullanıcıoturum açın, yeni bir kullanıcı kaydedin veya bir parolayı sıfırlayın.For example, sign in a user, register a new user, or reset a password. Kimlik Deneyimi Çerçevesi ve bir ilke (kullanıcı yolculuğu veya güven çerçevesi ilkesi olarak da adlandırılır) çok partili güven belirler ve aktörleri, eylemleri, protokolleri ve tamamlanması gereken adımların sırasını açıkça tanımlar.The Identity Experience Framework and a policy (also called a user journey or a trust framework policy) establishes multi-party trust and explicitly defines the actors, the actions, the protocols, and the sequence of steps to complete.

Kimlik Deneyimi Çerçevesi, OpenID Connect, OAuth, SAML ve rest gibi standart protokol biçimlerindeki varlıklar arasında güven düzenleyen tamamen yapılandırılabilir, ilke tabanlı, bulut tabanlı bir Azure platformudur API tabanlı sistemden sisteme talep değişimleri.The Identity Experience Framework is a fully configurable, policy-driven, cloud-based Azure platform that orchestrates trust between entities in standard protocol formats such as OpenID Connect, OAuth, SAML, and a few non-standard ones, for example REST API-based system-to-system claims exchanges. Çerçeve, HTML ve CSS'yi destekleyen kullanıcı dostu, beyaz etiketli deneyimler oluşturur.The framework creates user-friendly, white-labeled experiences that support HTML and CSS.

Özel ilke bir veya hiyerarşi zincirinde birbirine başvuran daha fazla XML biçimindeki dosyadan oluşabilir.A custom policy is represented as one or several XML-formatted files that refer to each other in a hierarchical chain. XML öğeleri, diğer öğelerin yanı sıra, talep şema, talep dönüşümleri, içerik tanımları, talep sağlayıcılar, teknik profiller ve kullanıcı yolculuğu düzenleme adımlarını tanımlar.The XML elements define the claims schema, claims transformations, content definitions, claims providers, technical profiles, and user journey orchestration steps, among other elements. Özel bir ilke, güvenen bir taraf tarafından çağrıldığızaman Kimlik Deneyimi Çerçevesi tarafından yürütülen bir veya birkaç XML dosyası olarak erişilebilir.A custom policy is accessible as one or several XML files that are executed by the Identity Experience Framework when invoked by a relying party. Özel ilkeleri yapılandıran geliştiriciler, güvenilir ilişkileri meta veri uç noktalarını, tam talep değişimi tanımlarını içerecek şekilde dikkatli bir şekilde tanımlamalı ve her kimlik sağlayıcısının gerektirdiği sırları, anahtarları ve sertifikaları yapılandırmalıdır.Developers configuring custom policies must define the trusted relationships in careful detail to include metadata endpoints, exact claims exchange definitions, and configure secrets, keys, and certificates as needed by each identity provider.

Kalıtım modeliInheritance model

Bir uygulama RP ilke dosyasını aradığında, Azure AD B2C'deki Kimlik Deneyimi Çerçevesi, geçerli ilkeyi birleştirmek için temel dosyadaki tüm öğeleri, uzantılar dosyasından ve ardından RP ilkesi dosyasından ekler.When an application calls the RP policy file, the Identity Experience Framework in Azure AD B2C adds all of the elements from base file, from the extensions file, and then from the RP policy file to assemble the current policy in effect. RP dosyasındaki aynı tür ve addaki öğeler uzantıdakiöğeleri geçersiz kılar ve uzantılar tabanı geçersiz kılar.Elements of the same type and name in the RP file will override those in the extensions, and extensions overrides base.

Sonraki adımlarNext steps