你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure Active Directory B2C 中设置登录特定 Microsoft Entra 组织

本文介绍如何使用 Azure AD B2C 中的用户流为特定 Microsoft Entra 组织中的用户启用登录。

开始之前,可以使用“选择策略类型”选择器来选择要设置的策略类型。 Azure Active Directory B2C 提供了两种定义用户如何与应用程序交互的方法:通过预定义的用户流,或者通过可完全配置的自定义策略。 对于每种方法,本文中所需的步骤都不同。

注意

在 Azure Active Directory B2C 中,自定义策略主要用于解决复杂的情况。 在大多数情况下,建议你使用内置用户流。 如果尚未这样做,请从 Active Directory B2C 中的自定义策略入门了解自定义策略新手包。

必备条件

验证应用程序的发布者域

从 2020 年 11 月开始,新的应用程序注册在用户同意提示中会显示为未验证,除非应用程序的发布者域已经过验证,并且公司标识已使用 Microsoft 合作伙伴网络进行验证并且与应用程序相关联。 (详细了解此更改。)请注意,对于 Azure AD B2C 用户流,发布者的域仅在使用 Microsoft 帐户或其他 Microsoft Entra ID 租户作为标识提供者时才会显示。 为了满足这些新要求,请执行下列操作:

  1. 使用 Microsoft 合作伙伴网络 (MPN) 帐户验证公司标识。 此过程会验证有关贵公司和贵公司主要联系人的信息。
  2. 使用以下选项之一完成发布者验证过程,以便将 MPN 帐户与应用注册相关联:

注册 Microsoft Entra 应用

若要在 Azure Active Directory B2C (Azure AD B2C) 中为特定 Microsoft Entra 组织中具有 Microsoft Entra 帐户的用户启用登录,需要在 Azure 门户中创建应用程序。 有关详细信息,请参阅将应用程序注册到 Microsoft 标识平台

  1. 登录 Azure 门户

  2. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,切换到“目录 + 订阅”菜单中的 Microsoft Entra ID 租户

  3. 在 Azure 门户中,搜索并选择“Microsoft Entra ID”。

  4. 在左侧菜单的“管理”下,选择“应用注册”。

  5. 选择“+ 新建注册”。

  6. 输入应用程序的名称。 例如,Azure AD B2C App

  7. 对于此应用程序,接受默认选择“仅此组织目录中的帐户(仅默认目录 - 单租户)”。

  8. 对于“重定向 URI”,接受值 Web,并以全小写字母输入以下 URL,其中 your-B2C-tenant-name 将替换为 Azure AD B2C 租户的名称。

    https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
    

    例如,https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp

    如果使用自定义域,请输入 https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp。 将 your-domain-name 替换为你的自定义域,将 your-tenant-name 替换为租户的名称。

  9. 选择“注册”。 记录“应用程序(客户端) ID”,以便在后续步骤中使用。

  10. 依次选择“证书和机密”、“新建客户端密码”。

  11. 为机密输入说明,选择到期时间,然后选择“添加”。 记录机密的值,以便在后续步骤中使用。

将 Microsoft Entra ID 配置为标识提供者

  1. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,切换到“目录 + 订阅”菜单中的 Azure AD B2C 租户

  2. 选择 Azure 门户左上角的“所有服务”,然后搜索并选择“Azure AD B2C” 。

  3. 选择“标识提供程序”,然后选择“新建 OpenID Connect 提供程序” 。

  4. 输入“名称”。 例如,输入 Contoso Microsoft Entra ID

  5. 对于“元数据 URL”,请输入以下 URL,将 {tenant} 替换为 Microsoft Entra 租户的域名:

    https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration
    

例如 https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration。 如果使用自定义域,请将 contoso.com 替换为 https://login.microsoftonline.com/contoso.com/v2.0/.well-known/openid-configuration 中的自定义域。

  1. 对于“客户端 ID”,输入之前记录的应用程序 ID。

  2. 对于“客户端密码”,输入之前记录的客户端密码值。

  3. 对于“作用域”,输入 openid profile

  4. 对于“响应类型”和“响应模式” ,请保留默认值。

  5. (可选)对于“域提示”,请输入 contoso.com。 有关详细信息,请参阅使用 Azure Active Directory B2C 设置直接登录

  6. 在“标识提供者声明映射”下,选择以下声明:

    • 用户 IDoid
    • 显示名称:name
    • 给定名称:given_name
    • 姓氏:family_name
    • 电子邮件email
  7. 选择“保存”。

将 Microsoft Entra 标识提供者添加到用户流

此时,Microsoft Entra 标识提供者已设置,但还不能在任何登录页中使用。 若要将 Microsoft Entra 标识提供者添加到用户流,请执行以下操作:

  1. 在 Azure AD B2C 租户中,选择“用户流” 。
  2. 单击要添加 Microsoft Entra 标识提供者的用户流。
  3. 在“设置”下,选择“标识提供者”
  4. 在“自定义标识提供者”下,选择“Contoso Microsoft Entra ID”。
  5. 选择“保存”。
  6. 若要测试策略,请选择“运行用户流”。
  7. 对于“应用程序”,请选择前面注册的 Web 应用程序。 “回复 URL”应显示为 https://jwt.ms
  8. 选择“运行用户流”按钮。
  9. 在注册或登录页面上,选择“Contoso Microsoft Entra ID”以使用 Microsoft Entra Contoso 帐户登录。

如果登录过程成功,则浏览器将重定向到 https://jwt.ms,其中显示了 Azure AD B2C 返回的令牌内容。

创建策略密钥

需将创建的应用程序密钥存储在 Azure AD B2C 租户中。

  1. 如果有权访问多个租户,请选择顶部菜单中的“设置”图标,切换到“目录 + 订阅”菜单中的 Azure AD B2C 租户
  2. 选择 Azure 门户左上角的“所有服务”,然后搜索并选择“Azure AD B2C” 。
  3. 在“策略”下,选择“Identity Experience Framework”。
  4. 选择“策略密钥”,然后选择“添加”。
  5. 对于“选项”,请选择 Manual
  6. 输入策略密钥的名称。 例如,ContosoAppSecret。 前缀 B2C_1A_ 会在创建密钥时自动添加到密钥的名称,因此它在以下部分的 XML 中的引用是 B2C_1A_ContosoAppSecret。
  7. 在“机密”中,输入你之前记录的客户端密码值。
  8. 在“密钥用法”处选择 Signature
  9. 选择“创建”。

将 Microsoft Entra ID 配置为标识提供者

若要让用户使用 Microsoft Entra 帐户登录,需要将 Microsoft Entra ID 定义为 Azure AD B2C 可通过终结点与其进行通信的声明提供程序。 该终结点将提供一组声明,Azure AD B2C 使用这些声明来验证特定的用户是否已完成身份验证。

通过在策略的扩展文件中将 Microsoft Entra ID 添加到 ClaimsProvider 元素,可以将 Microsoft Entra ID 定义为声明提供程序。

  1. 打开 TrustFrameworkExtensions.xml 文件。

  2. 找到 ClaimsProviders 元素。 如果该元素不存在,请在根元素下添加它。

  3. 如下所示添加新的 ClaimsProvider

    <ClaimsProvider>
      <Domain>Contoso</Domain>
      <DisplayName>Login using Contoso</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="AADContoso-OpenIdConnect">
          <DisplayName>Contoso Employee</DisplayName>
          <Description>Login with your Contoso account</Description>
          <Protocol Name="OpenIdConnect"/>
          <Metadata>
            <Item Key="METADATA">https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration</Item>
            <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid profile</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_ContosoAppSecret"/>
          </CryptographicKeys>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid"/>
            <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid"/>
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
            <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/>
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
    
  4. 在 ClaimsProvider 元素下,将 Domain 的值更新为可用于与其他标识提供者进行区分的唯一值。 例如,Contoso。 你没有在此域设置的末尾添加 .com

  5. 在 ClaimsProvider 元素下,将 DisplayName 的值更新为声明提供程序的友好名称。 目前不会使用此值。

更新技术配置文件

若要从 Microsoft Entra 终结点获取令牌,需要定义 Azure AD B2C 与 Microsoft Entra ID 通信时应使用的协议。 此操作在 ClaimsProvider 的 TechnicalProfile 元素内完成。

  1. 更新 TechnicalProfile 元素的 ID。 此 ID 用于从策略的其他部分引用此技术配置文件,例如 AADContoso-OpenIdConnect
  2. 更新 DisplayName 的值。 此值会显示在登录屏幕中的登录按钮上。
  3. 更新 Description 的值
  4. Microsoft Entra ID 使用 OpenID Connect 协议,因此请确保协议的值是 OpenIdConnect
  5. METADATA 的值设置为 https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration,其中 tenant-name 为你的 Microsoft Entra 租户名称。 例如: https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration
  6. client_id 设置为应用程序注册中的应用程序 ID。
  7. 在“CryptographicKeys”下,将“StorageReferenceId”的值更新为之前创建的策略密钥的名称。 例如,B2C_1A_ContosoAppSecret

添加用户旅程

此时,标识提供者已设置,但还不能在任何登录页中使用。 如果你没有自己的自定义用户旅程,请创建现有模板用户旅程的副本,否则,请继续执行下一步。

  1. 打开初学者包中的 TrustFrameworkBase.xml 文件。
  2. 找到并复制包含 Id="SignUpOrSignIn"UserJourney 元素的完整内容。
  3. 打开 TrustFrameworkExtensions.xml 并找到 UserJourneys 元素。 如果该元素不存在,请添加一个。
  4. 将复制的 UserJourney 元素的完整内容粘贴为 UserJourneys 元素的子级。
  5. 对用户旅程的 ID 进行重命名。 例如,Id="CustomSignUpSignIn"

将标识提供者添加到用户旅程

目前你已拥有用户旅程,请将新的标识提供者添加到用户旅程。 首先添加一个“登录”按钮,然后将该按钮链接到某个操作。 该操作是你之前创建的技术配置文件。

  1. 在用户旅程中,查找包含 Type="CombinedSignInAndSignUp"Type="ClaimsProviderSelection" 的业务流程步骤元素。 这通常是第一个业务流程步骤。 ClaimsProviderSelections 元素包含用户可以用来登录的标识提供者列表。 元素的顺序将决定向用户显示的登录按钮的顺序。 添加 ClaimsProviderSelection XML 元素。 将 TargetClaimsExchangeId 的值设置为易记名称。

  2. 在下一个业务流程步骤中,添加 ClaimsExchange 元素。 将 ID 设置为目标声明交换 ID 的值。将 TechnicalProfileReferenceId 的值更新为之前创建的技术配置文件的 ID 。

下面的 XML 演示了使用标识提供者进行用户旅程的前两个业务流程步骤:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="AzureADContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="AzureADContosoExchange" TechnicalProfileReferenceId="AADContoso-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

配置信赖方策略

信赖方策略(例如 SignUpSignIn.xml)指定 Azure AD B2C 将执行的用户旅程。 在信赖方内查找 DefaultUserJourney 元素。 更新 ReferenceId,使其与已在其中添加标识提供者的用户旅程 ID 匹配。

在以下示例中,对于 CustomSignUpSignIn 用户旅程,将 ReferenceId 设置为 CustomSignUpSignIn

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

上传自定义策略

  1. 登录 Azure 门户
  2. 在门户工具栏中选择“目录 + 订阅”图标,然后选择包含 Azure AD B2C 租户的目录。
  3. 在 Azure 门户中,搜索并选择“Azure AD B2C”。
  4. 在“策略”下,选择“Identity Experience Framework”。
  5. 选择“上传自定义策略”,然后上传已更改的两个策略文件,其顺序为:先上传扩展策略(例如 TrustFrameworkExtensions.xml),然后上传信赖方策略(例如 SignUpSignIn.xml)。

测试自定义策略

  1. 选择信赖方策略,例如 B2C_1A_signup_signin
  2. 对于“应用程序”,请选择前面注册的 Web 应用程序。 “回复 URL”应显示为 https://jwt.ms
  3. 选择“立即运行”按钮。
  4. 在注册或登录页面上,选择“Contoso 员工”以使用 Microsoft Entra Contoso 帐户登录。

如果登录过程是成功的,则你的浏览器会被重定向到 https://jwt.ms,其中显示 Azure AD B2C 返回的令牌内容。

[可选] 配置可选声明

如果要从 Microsoft Entra ID 获取 family_namegiven_name 声明,可以在 Azure 门户 UI 或应用程序清单中为应用程序配置可选声明。 有关详细信息,请参阅如何向 Microsoft Entra 应用提供可选声明

  1. 使用组织的 Microsoft Entra 租户登录 Azure 门户。 或者,如果你已登录,请确保使用的是包含组织 Microsoft Entra 租户的目录(例如,Contoso):
    1. 在门户工具栏中选择“目录 + 订阅”图标。
    2. 在“门户设置 | 目录 + 订阅”页上的“目录名称”列表中找到你的 Microsoft Entra 目录,然后选择“切换”。
  2. 在 Azure 门户中,搜索并选择“Microsoft Entra ID”。
  3. 在左侧菜单的“管理”下,选择“应用注册”。
  4. 在列表中选择要为其配置可选声明的应用程序(如 Azure AD B2C App
  5. 在“管理”部分中,选择“令牌配置”。
  6. 选择“添加可选声明”。
  7. 对于“令牌类型”,选择“ID”。
  8. 选择要添加的可选声明:family_namegiven_name
  9. 选择“添加” 。 如果出现“打开 Microsoft Graph 配置文件权限(在令牌中显示声明所需)”,请启用它,然后再次选择“添加”。

[可选] 验证应用真实性

发布者验证可帮助用户了解已注册应用的真实性。 已验证应用意味着应用的发布者已使用其 Microsoft 合作伙伴网络 (MPN) 验证其标识。 了解如何将应用标记为“发布者已验证”

后续步骤

了解如何将 Microsoft Entra 令牌传递给应用程序