你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

教程：为 Azure Active Directory B2C 配置 Keyless

了解如何使用 Sift Keyless 无密码解决方案配置 Azure Active Directory B2C (Azure AD B2C)。 使用 Azure AD B2C 作为标识提供者 (IdP)，你可以将 Keyless 与客户应用程序集成，以提供无密码身份验证。 Keyless 零知识生物识别 (ZKB) 是一种无密码多重身份验证，可以防止欺诈、钓鱼和凭据重复使用，同时增强客户体验并保护其隐私。

转到 keyless.io，了解以下信息：

• Sift Keyless
• Keyless 如何使用零知识证明来保护生物识别数据

先决条件

若要开始，需要：

• Azure 订阅
  • 如果没有，获取一个 Azure 免费帐户
• 一个关联到 Azure 订阅的 Azure AD B2C 租户
• Keyless 云租户
  • 转到 keyless.io 以请求演示
• 用户设备上安装的 Keyless Authenticator 应用

方案描述

Keyless 集成包括以下组件：

• Azure AD B2C - 验证用户凭据的授权服务器。 也称为 IdP。
• Web 和移动应用程序 - 要用 Keyless 和 Azure AD B2C 保护的移动或 Web 应用程序
• Keyless Authenticator 移动应用 - 用于对已启用 Azure AD B2C 的应用程序进行身份验证的 Sift 移动应用

以下体系结构图演示了实现方式。

1. 用户进入登录页面。 用户选择登录/注册并输入用户名。
2. 应用程序将用户特性发送到 Azure AD B2C，以便进行标识验证。
3. Azure AD B2C 将用户特性发送到 Keyless 进行身份验证。
4. Keyless 向用户注册的移动设备发送推送通知以供身份验证、面部生物识别扫描。
5. 用户响应推送通知，然后系统授予或拒绝其访问权限。

添加 IdP、配置 IdP 并创建用户流策略

使用以下部分添加 IdP、配置 IdP 和创建用户流策略。

添加新的标识提供者

若要添加新标识提供者，请执行以下操作：

1. 以 Azure AD B2C 租户的全局管理员身份登录到 Azure 门户。
2. 选择“目录 + 订阅”。
3. 在“门户设置，目录 + 订阅”页上的“目录名称”列表中，找到你的 Azure AD B2C 目录。
4. 选择“切换”。
5. 在 Azure 门户左上角，选择“所有服务”。
6. 搜索并选择“Azure AD B2C”。
7. 导航到“仪表板”>“Azure Active Directory B2C”>“标识提供者”。
8. 选择“标识提供者”。
9. 选择 添加 。

配置标识提供者

若要配置 IdP，请执行以下操作：

1. 选择“标识提供者类型”>“OpenID Connect (预览版)”。
2. 对于“名称”，选择“Keyless”。
3. 对于“元数据 URL”，请插入托管的 Keyless Authentication 应用 URI，后跟路径，例如 https://keyless.auth/.well-known/openid-configuration。
4. 对于“客户端密码”，请选择与 Keyless Authentication 实例关联的机密。 机密稍后会在 Keyless Container 配置中使用。
5. 对于“客户端 ID”，请选择客户端 ID。 客户端 ID 稍后在 Keyless Container 配置中使用。
6. 对于“范围”，请选择“openid”。
7. 对于“响应类型”，请选择“id_token” 。
8. 对于“响应模式”，请选择“form_post”。
9. 选择“确定”。
10. 选择“映射此标识提供者的声明”。
11. 对于“UserID”，选择“从订阅”。
12. 对于“显示名称”，选择“从订阅”。
13. 对于“响应模式”，选择“从订阅”。
14. 选择“保存” 。

创建用户流策略

Keyless 显示为具有 B2C 标识提供者的新 OpenID Connect (OIDC) IdP。

1. 打开 Azure AD B2C 租户。
2. 在“策略”下，选择“用户流” 。
3. 选择“新建”用户流。
4. 选择“注册和登录”。
5. 选择“版本”。
6. 选择“创建”。
7. 为策略输入一个“名称”。
8. 在“标识提供者”部分，选择创建的 Keyless 标识提供者。
9. 输入名称。
10. 选择创建的 IdP。
11. 添加电子邮件地址。 Azure 不会将登录重定向到 Keyless；此时将显示提供用户选项的屏幕。
12. 保留“多重身份验证”字段。
13. 选择“强制实施条件访问策略”。
14. 在“用户特性和令牌声明”下的“收集特性”选项中，选择“电子邮件地址”。
15. 添加 Microsoft Entra 收集的用户特性以及 Azure AD B2C 返回给客户端应用程序的声明。
16. 选择“创建”。
17. 选择新用户流。
18. 在左侧面板中，选择“应用程序声明”。
19. 在选项下，选中“电子邮件”复选框。
20. 选择“保存”。

测试用户流

1. 打开 Azure AD B2C 租户。
2. 在“策略”下，选择“Identity Experience Framework”。
3. 选择创建的 SignUpSignIn。
4. 选择“运行用户流”。
5. 对于“应用程序”，请选择已注册的应用（示例为 JWT）。
6. 对于“回复 URL”，请选择重定向 URL。
7. 选择“运行用户流”。
8. 完成注册流并创建帐户。
9. 创建用户特性后，在流中会调用 Keyless。

如果流未完成，请确认用户是否保存在目录中。

后续步骤

• Azure AD B2C 自定义策略概述
• 教程：在 Azure AD B2C 中创建用户流和自定义策略