Definování technického profilu OAuth1 ve vlastních zásadách Azure Active Directory B2C
Poznámka:
V Azure Active Directory B2C jsou vlastní zásady navržené především pro řešení složitých scénářů. Ve většině scénářů doporučujeme používat integrované toky uživatelů. Pokud jste to neudělali, přečtěte si informace o úvodním balíčku vlastních zásad v tématu Začínáme s vlastními zásadami ve službě Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) poskytuje podporu pro zprostředkovatele identity protokolu OAuth 1.0. Tento článek popisuje specifika technického profilu pro interakci se zprostředkovatelem deklarací identity, který podporuje tento standardizovaný protokol. S technickým profilem OAuth1 můžete federovat pomocí zprostředkovatele identity založeného na OAuth1, jako je X. Federování s zprostředkovatelem identity umožňuje uživatelům přihlásit se pomocí stávajících sociálních nebo podnikových identit.
Protokol
Atribut Name elementu Protocol musí být nastaven na OAuth1. Například protokol pro technický profil Twitter-OAUTH1 je OAuth1.
<TechnicalProfile Id="Twitter-OAUTH1">
<DisplayName>X</DisplayName>
<Protocol Name="OAuth1" />
...
Vstupní deklarace identity
Elementy InputClaims a InputClaimsTransformations jsou prázdné nebo chybí.
Výstupní deklarace identity
OutputClaims element obsahuje seznam deklarací identity vrácených zprostředkovatelem identity OAuth1. Možná budete muset namapovat název deklarace identity definované ve vaší zásadě na název definovaný ve zprostředkovateli identity. Můžete také zahrnout deklarace identity, které nevrací zprostředkovatel identity, pokud nastavíte atribut DefaultValue .
OutputClaimsTransformations element může obsahovat kolekci OutputClaimsTransformation elementů, které slouží k úpravě výstupních deklarací identity nebo generování nových.
Následující příklad ukazuje deklarace identity vrácené zprostředkovatelem identity X:
- Deklarace identity user_id , která je namapovaná na deklaraci identity issuerUserId .
- Deklarace identity screen_name , která je namapovaná na deklaraci identity displayName .
- Deklarace identity e-mailu bez mapování jmen
Technický profil také vrací deklarace identity, které nevrací zprostředkovatel identity:
- Deklarace identityProvider , která obsahuje název zprostředkovatele identity.
- Deklarace identity authenticationSource s výchozí hodnotou
socialIdpAuthentication.
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="user_id" />
<OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="screen_name" />
<OutputClaim ClaimTypeReferenceId="email" />
<OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="twitter.com" />
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
</OutputClaims>
Metadata
| Atribut | Požadováno | Popis |
|---|---|---|
| client_id | Ano | Identifikátor aplikace zprostředkovatele identity. |
| ProviderName | No | Název zprostředkovatele identity. |
| request_token_endpoint | Ano | Adresa URL koncového bodu tokenu požadavku podle dokumentu RFC 5849. |
| authorization_endpoint | Ano | Adresa URL koncového bodu autorizace podle dokumentu RFC 5849. |
| access_token_endpoint | Ano | Adresa URL koncového bodu tokenu podle dokumentu RFC 5849. |
| ClaimsEndpoint | No | Adresa URL koncového bodu informací o uživateli. |
| ClaimsResponseFormat | No | Formát odpovědi deklarací identity. |
Kryptografické klíče
Element CryptographicKeys obsahuje následující atribut:
| Atribut | Požadováno | Popis |
|---|---|---|
| tajný klíč klienta | Ano | Tajný klíč klienta aplikace zprostředkovatele identity. |
URI pro přesměrování
Při konfiguraci identifikátoru URI přesměrování vašeho zprostředkovatele identity zadejte https://{tenant-name}.b2clogin.com/{tenant-name}.onmicrosoft.com/{policy-id}/oauth1/authresp. Nezapomeňte nahradit {tenant-name} názvem vašeho tenanta (například contosob2c) a {policy-id} identifikátorem zásad (například b2c_1a_policy). Identifikátor URI přesměrování musí být malými písmeny. Přidejte adresu URL pro přesměrování pro všechny zásady, které používají přihlášení zprostředkovatele identity.
Příklady: