Definování technického profilu OAuth2 ve vlastních zásadách Azure Active Directory B2C
Poznámka
V Azure Active Directory B2C jsou vlastní zásady navržené primárně tak, aby řešily složité scénáře. Ve většině scénářů doporučujeme používat předdefinované toky uživatelů. Pokud jste to neudělali, přečtěte si informace o úvodním balíčku vlastních zásad v tématu Začínáme s vlastními zásadami v Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) poskytuje podporu pro zprostředkovatele identity protokolu OAuth2. OAuth2 je primární protokol pro autorizaci a delegování ověřování. Další informace najdete v dokumentu RFC 6749 Autorizační rozhraní OAuth 2.0. S technickým profilem OAuth2 můžete provést federaci pomocí zprostředkovatele identity založeného na OAuth2, jako je Facebook. Federování pomocí zprostředkovatele identity umožňuje uživatelům přihlašovat se pomocí jejich stávajících sociálních nebo podnikových identit.
Protokol
Atribut Name elementu Protocol musí být nastavený na OAuth2. Například protokol pro technický profil Facebook-OAUTH je OAuth2:
<TechnicalProfile Id="Facebook-OAUTH">
<DisplayName>Facebook</DisplayName>
<Protocol Name="OAuth2" />
...
Vstupní deklarace identity
Elementy InputClaims a InputClaimsTransformations nejsou povinné. Možná ale budete chtít zprostředkovateli identity odeslat další parametry. Následující příklad přidá do žádosti o autorizaci parametr řetězce dotazu domain_hint s hodnotou contoso.com .
<InputClaims>
<InputClaim ClaimTypeReferenceId="domain_hint" DefaultValue="contoso.com" />
</InputClaims>
Výstup deklarací identity
Element OutputClaims obsahuje seznam deklarací identity vrácených zprostředkovatelem identity OAuth2. Možná budete muset namapovat název deklarace identity definované ve vaší zásadě na název definovaný ve zprostředkovateli identity. Můžete také zahrnout deklarace identity, které nevrací zprostředkovatel identity, pokud nastavíte DefaultValue atribut .
OutputClaimsTransformations Element může obsahovat kolekci OutputClaimsTransformation elementů, které se používají k úpravě výstupních deklarací identity nebo generování nových.
Následující příklad ukazuje deklarace identity vrácené zprostředkovatelem identity služby Facebook:
- Deklarace identity first_name se mapuje na danou deklaraci identity givenName .
- Nárok last_name je mapován na žádost o příjmení .
- Deklarace identity displayName bez mapování názvů.
- E-mailová deklarace identity bez mapování jména.
Technický profil také vrací deklarace identity, které nevrací zprostředkovatel identity:
- IdentityProvider deklarace identity, která obsahuje název zprostředkovatele identity.
- Deklarace identity authenticationSource s výchozí hodnotou socialIdpAuthentication.
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" />
<OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="first_name" />
<OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="last_name" />
<OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
<OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
<OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="facebook.com" />
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
</OutputClaims>
Metadata koncového bodu autorizace
Autorizační tok začíná, když Azure AD B2C nasměruje uživatele na koncový bod zprostředkovatelů /authorize identity OAuth2. Volání koncového bodu autorizace je interaktivní součástí toku, kde uživatel provede akci. V tomto okamžiku se uživateli zobrazí výzva k dokončení přihlášení u zprostředkovatele identity OAuth2. Například zadáním uživatelského jména a hesla.
Azure AD B2C vytvoří žádost o autorizaci zadáním ID klienta, oborů, identifikátoru URI přesměrování a dalších parametrů, které potřebuje k získání přístupového tokenu od zprostředkovatele identity. Tato část popisuje metadata koncového bodu autorizace, která umožňují konfiguraci požadavku na /authorize koncový bod zprostředkovatele identity.
Požadavek na koncový bod autorizace je vždy HTTP GET. Následující ukázka ukazuje volání koncového bodu autorizace.
GET https://login.contoso.com/oauth/v2/authorization?
client_id=12345
&response_type=code
&response_mode=query
&redirect_uri=urn%3Aietf%3Awg%3Aoauth%3A2.0%3Aoob
&scope=profile%20offline_access
&redirect_uri=https%3a%2f%2fabrikam.b2clogin.com%2fabrikam.onmicrosoft.com%2foauth2%2fauthresp
&state=...
V následující tabulce jsou uvedena metadata koncového bodu autorizace.
| Atribut | Povinné | Popis |
|---|---|---|
authorization_endpoint |
Ano | Adresa URL koncového bodu autorizace podle RFC 6749. |
client_id |
Yes | Identifikátor aplikace zprostředkovatele identity. |
AdditionalRequestQueryParameters |
No | Další parametry dotazu požadavku. Můžete například chtít odeslat další parametry vašemu zprostředkovateli identity. Pomocí oddělovače čárkami můžete zahrnout více parametrů. |
response_mode |
No | Metoda, kterou zprostředkovatel identity používá k odeslání výsledku zpět do Azure AD B2C. Možné hodnoty: query, form_post (výchozí) nebo fragment. |
scope |
No | Rozsah požadavku, který je definovaný podle specifikace zprostředkovatele identity OAuth2.
openidNapříklad , profilea email. |
UsePolicyInRedirectUri |
No | Určuje, jestli se při vytváření identifikátoru URI přesměrování mají použít zásady. Při konfiguraci aplikace ve zprostředkovateli identity musíte zadat identifikátor URI přesměrování. Identifikátor URI přesměrování odkazuje na Azure AD B2C, https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp. Pokud zadáte true, musíte přidat identifikátor URI přesměrování pro každou zásadu, kterou používáte. Příklad: https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/{policy-name}/oauth2/authresp. |
Metadata koncového bodu tokenu
Jakmile uživatel dokončí ověřování na koncovém bodu autorizace zprostředkovatele identity, vrátí se Azure AD B2C odpověď obsahující autorizacicode. Azure AD B2C uplatní autorizační kód pro přístupový token odesláním požadavku POST koncovému /token bodu zprostředkovatele identity. Tato část popisuje metadata koncového bodu tokenu, která umožňují nakonfigurovat požadavek na /token koncový bod zprostředkovatele identity.
Následující požadavek HTTP ukazuje volání Azure AD B2C koncového bodu tokenu zprostředkovatele identity.
POST https://contoso/oauth2/token
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&client_id=12345&scope=profile offline_access&code=AwABAAAAvPM1KaPlrEqdFSBzjqfTGBCmLdgfSTLEMPGYuNHSUYBrq...
V následující tabulce jsou uvedena metadata koncového bodu tokenu.
| Atribut | Povinné | Popis |
|---|---|---|
AccessTokenEndpoint |
Ano | Adresa URL koncového bodu tokenu. Například, https://www.linkedin.com/oauth/v2/accessToken. |
HttpBinding |
No | Očekávaná vazba HTTP na koncový bod tokenu. Možné hodnoty: GET nebo POST. |
AccessTokenResponseFormat |
No | Formát volání koncového bodu přístupového tokenu Například Facebook vyžaduje metodu HTTP GET, ale odpověď přístupového tokenu je ve formátu JSON. Možné hodnoty: Default, Jsona JsonP. |
ExtraParamsInAccessTokenEndpointResponse |
No | Obsahuje dodatečné parametry, které mohou být vráceny v odpovědi z AccessTokenEndpoint některými zprostředkovateli identity. Například odpověď z AccessTokenEndpoint obsahuje další parametr, například openid, což je povinný parametr vedle access_token v řetězci dotazu ClaimsEndpoint . Více názvů parametrů by mělo být unikováno a odděleno čárkou "," oddělovačem. |
token_endpoint_auth_method |
No | Určuje, jak Azure AD B2C odešle ověřovací hlavičku koncovému bodu tokenu. Možné hodnoty: client_secret_post (výchozí) a client_secret_basic, private_key_jwt. Další informace najdete v části Ověřování klienta OpenID Connect. |
token_signing_algorithm |
No | Určuje podpisový algoritmus, který se má použít, pokud token_endpoint_auth_method je nastavená na private_key_jwthodnotu . Možné hodnoty: RS256 (výchozí) nebo RS512. |
Konfigurace metody vazby HTTP
Ve výchozím nastavení požadavek na koncový bod tokenu používá HTTP POST.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">POST</Item>
Následující volání HTTP ukazuje volání koncového bodu tokenu pomocí požadavku HTTP POST:
POST /oauth2/token
client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
U zprostředkovatelů identit, kteří vyžadují použití metody HTTP GET v koncovém /token bodu, nastavte HttpBinding metadata na GET. Všimněte si, že v následujícím příkladu AccessTokenResponseFormat je hodnota nastavená na json, protože koncový bod tokenu vrátí odpověď ve formátu JSON.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="AccessTokenResponseFormat">json</Item>
GET /oauth2/token?client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Konfigurace formátu odpovědi přístupového tokenu
U zprostředkovatelů identity, kteří podporují metodu AccessTokenResponseFormat HTTP POST, je ve výchozím nastavení nastavená hodnota na json. Pokud zprostředkovatel identity podporuje požadavek HTTP GET, musíte formát odpovědi json přístupového tokenu nastavit explicitně.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="AccessTokenResponseFormat">json</Item>
Následující příklad ukazuje odpověď koncového bodu tokenu ve formátu JSON:
{
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...",
"token_type": "Bearer",
"not_before": 1637924390,
"expires_in": 960000,
}
Konfigurace metody ověřování
Požadavky na koncový bod tokenu vždy vyžadují ověřování. Ve výchozím nastavení Azure AD B2C poskytuje zprostředkovateli identity přihlašovací údaje klienta. Ve výchozím nastavení je client_secret_postmetoda ověřování , včetně přihlašovacích údajů klienta (client_id a client_secret) v textu požadavku.
Následující požadavek HTTP na koncový bod tokenu client_id obsahuje v datech POST a client_secret . Pro požadavky client_id GET a jsou client_secret zahrnuty v parametrech řetězce dotazu.
POST /oauth2/token
client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
U zprostředkovatelů identity, kteří vyžadují použití základního ověřování HTTP na svém /token koncovém token_endpoint_auth_method bodu, nakonfigurujte metadata na client_secret_basic. U tohoto typu metody ověřování se přihlašovací údaje klienta předávají zprostředkovateli identity pomocí schématu základního ověřování HTTP.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="token_endpoint_auth_method">client_secret_basic</Item>
Následující požadavek HTTP ukazuje volání koncového bodu tokenu se základním ověřováním HTTP. Autorizační hlavička obsahuje ID klienta a tajný klíč klienta v client_ID:client_secretkódování base64.
POST /oauth2/token
Authorization: Basic YWJjZDoxMjM0
redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Pro zprostředkovatele identity, kteří podporují ověřování pomocí privátního token_endpoint_auth_method klíče JWT, nakonfigurujte metadata na private_key_jwt. U tohoto typu metody ověřování se certifikát poskytnutý Azure AD B2C používá k vygenerování podepsaného kontrolního výrazu, který se předá zprostředkovateli identity prostřednictvím parametruclient_assertion. Hodnota nastavená client_assertion_type na urn:ietf:params:oauth:client-assertion-type:jwt-bearerhodnotu . Metadata token_signing_algorithm určují podpisový algoritmus tokenu JWT.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="token_endpoint_auth_method">private_key_jwt</Item>
<Item Key="token_signing_algorithm">RS256</Item>
Následující požadavek HTTP ukazuje volání koncového bodu tokenu pomocí ověřování JWT s privátním klíčem.
POST /oauth2/token
client_assertion=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsImtpZCI6IjJFRFg0dWRYeDIxbXNoaXdJVzczMUY3OUZSbFJiUDZXVXJyZmktR1RFeVkifQ.eyJpc3MiOiJhYmNkIiwiZXhwIjoxNjM3OTI5ODY0LCJuYmYiOjE2Mzc5Mjk1NjQsImF1ZCI6Imh0dHBzOi8vNWRlNC0xMDktNjQtMTI0LTUzLm5ncm9rLmlvL2FjY2Vzc190b2tlbiIsImp0aSI6IjVxQWlGV2lEODNDbU1KWWNrejBRdGc9PSIsInN1YiI6ImFiY2QiLCJpYXQiOjE2Mzc5Mjk1NjR9.C4OtRnrLaQatpT5LP45O5Nb418S4v8yZi_C42ld440w&client_id=abcd&client_assertion_type=urn%3aietf%3aparams%3aoauth%3aclient-assertion-type%3ajwt-bearer&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Metadata koncového bodu informací o uživateli
Jakmile Azure AD B2C získá přístupový token od zprostředkovatele identity OAuth2, zavolá koncový bod s informacemi o uživateli. Koncový bod informací o uživateli, označovaný také jako koncový bod deklarací identity, je navržený tak, aby načítal deklarace identity o ověřeném uživateli. Azure AD B2C používá ověřování pomocí nosné tokeny k ověření koncového bodu uživatelských informací zprostředkovatelů identity. Nosný token je přístupový token, který Azure AD B2C získá z koncového bodu zprostředkovatelů /token identity.
Požadavek na koncový bod uživatelských informací je vždy HTTP GET. Přístupový token se odesílá v parametru řetězce dotazu s názvem access_token. Následující požadavek HTTP ukazuje volání koncového bodu informací o uživateli s přístupovým tokenem v parametru řetězce dotazu.
GET /oauth2/claims?access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
V následující tabulce jsou uvedena metadata koncového bodu informací o uživateli.
| Atribut | Povinné | Popis |
|---|---|---|
ClaimsEndpoint |
Ano | Adresa URL koncového bodu s informacemi o uživateli. Například, https://api.linkedin.com/v2/me. |
ClaimsEndpointAccessTokenName |
No | Název parametru řetězce dotazu přístupového tokenu. Výchozí hodnota: access_token. |
ClaimsEndpointFormatName |
No | Název parametru řetězce dotazu formátu. Můžete například nastavit název jako format v tomto koncovém bodu https://api.linkedin.com/v1/people/~?format=jsondeklarací identity LinkedInu . |
ClaimsEndpointFormat |
No | Hodnota parametru řetězce dotazu formátu. Můžete například nastavit hodnotu jako json v tomto koncovém bodu https://api.linkedin.com/v1/people/~?format=jsondeklarací identity LinkedInu . |
BearerTokenTransmissionMethod |
No | Určuje způsob odeslání tokenu. Výchozí metoda je řetězec dotazu. Pokud chcete token odeslat jako hlavičku požadavku, nastavte na AuthorizationHeader. |
ExtraParamsInClaimsEndpointRequest |
No | Obsahuje další parametry, které mohou být vráceny v požadavku ClaimsEndpoint některými zprostředkovateli identity. Více názvů parametrů by mělo být u řídicích znaků a odděleno oddělovačem ",". |
Konfigurace parametru řetězce dotazu přístupového tokenu
Koncový bod informací o uživateli může vyžadovat odeslání přístupového tokenu v určitém parametru řetězce dotazu. Pokud chcete změnit název parametru řetězce dotazu, který obsahuje přístupový token, použijte ClaimsEndpointAccessTokenName metadata. V následujícím příkladu je parametr řetězce dotazu přístupového tokenu nastavený na tokenhodnotu .
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="ClaimsEndpointAccessTokenName">token</Item>
Následující volání HTTP ukazuje volání koncového bodu uživatelských informací s nastaveným ClaimsEndpointAccessTokenName na token:
GET /oauth2/claims?token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Konfigurace formátu deklarací identity
ClaimsEndpointFormat Parametr ClaimsEndpointFormatName a umožňuje odeslat parametr řetězce dotazu páru klíč-hodnota do koncového bodu informací o uživateli. Následující příklad konfiguruje parametr řetězce dotazu s názvem formats hodnotou json.
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="ClaimsEndpointFormatName">format</Item>
<Item Key="ClaimsEndpointFormat">json</Item>
Následující požadavek HTTP ukazuje volání koncového bodu uživatelských informací s ClaimsEndpointFormatName nakonfigurovaným a ClaimsEndpointFormat nakonfigurovaným.
GET /oauth2/claims?format=json&access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Konfigurace metody přenosu nosné tokeny
Ve výchozím nastavení se přístupový token odesílá do koncového bodu uživatelských informací zprostředkovatelů identit prostřednictvím parametru řetězce dotazu. Pokud chcete odeslat token v hlavičce HTTP Authorization , nastavte BearerTokenTransmissionMethod metadata na AuthorizationHeader.
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>
Následující požadavek HTTP ukazuje, jak se přístupový token předává, když BearerTokenTransmissionMethod je nastavený na AuthorizationHeader.
GET /oauth2/claims
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Předávací parametry vrácené koncovým bodem tokenu
Někteří zprostředkovatelé identity vyžadují předání dalších parametrů vrácených z koncového bodu tokenu koncovému bodu informací o uživateli. Například odpověď z koncového bodu tokenu obsahuje parametr s názvem resource, což je povinný parametr koncového bodu informací o uživateli (kromě přístupového tokenu).
ExtraParamsInClaimsEndpointRequest Pomocí metadat můžete zadat další parametry, které se mají předat. Více názvů parametrů by mělo být u řídicích znaků a odděleno oddělovačem ",".
Následující kód JSON ukazuje datovou část JSON vrácenou koncovým bodem tokenu s parametrem s názvem resource.
{
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...",
"token_type": "Bearer",
"not_before": 1549647431,
"expires_in": 960000,
"resource": "f2a76e08-93f2-4350-833c-965c02483b11"
}
Pokud chcete předat resource parametr koncovému bodu s informacemi o uživateli, přidejte následující metadata:
<Item Key="ExtraParamsInClaimsEndpointRequest">resource</Item>
Následující požadavek HTTP ukazuje, jak resource se parametr předává koncovému bodu s informacemi o uživateli.
GET /oauth2/claims?resource=f2a76e08-93f2-4350-833c-965c02483b11&access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Koncový bod koncového bodu relace
Pokud chcete uživatele z aplikace odhlásit, přesměrujte ho na koncový bod pro odhlášení Azure AD B2C (pro OAuth2 i OpenID Connect) nebo odešlete LogoutRequest (pro SAML). Azure AD B2C vymaže relaci uživatele z prohlížeče. Po žádosti o odhlášení se Azure AD B2C pokusí odhlásit od všech zprostředkovatelů federované identity, přes které se uživatel přihlásil. Identifikátor URI pro odhlášení zprostředkovatele identity OAuth2 je nakonfigurovaný v metadatech end_session_endpoint . Když se uživatel odhlásí z vaší aplikace prostřednictvím Azure AD B2C, vytvoří se skrytý prvek iframe, který zavolá end_session_endpoint na jeho Azure AD stránce pro odhlášení B2C.
V následující tabulce jsou uvedena metadata koncového bodu informací o uživateli.
| Atribut | Povinné | Popis |
|---|---|---|
end_session_endpoint |
Ano | Adresa URL koncového bodu relace podle RFC 6749. |
SingleLogoutEnabled |
No | Určuje, jestli se během přihlašování technický profil pokusí odhlásit od federovaných zprostředkovatelů identity. Další informace najdete v tématu Azure AD odhlášení relace B2C. Možné hodnoty: true (výchozí) nebo false. |
Obecná metadata OAuth2
Následující tabulka uvádí obecná metadata zprostředkovatele identity OAuth2. Metadata popisují, jak technický profil OAuth2 zpracovává ověřování tokenů, získává deklarace identity a reaguje na chybové zprávy.
| Atribut | Povinné | Popis |
|---|---|---|
IdTokenAudience |
No | Cílová skupina id_token. Pokud je zadáno, Azure AD B2C zkontroluje, jestli se token nachází v deklarací identity vrácené zprostředkovatelem identity a jestli se rovná té zadané. |
ProviderName |
No | Název zprostředkovatele identity. |
ResponseErrorCodeParamName |
No | Název parametru, který obsahuje chybovou zprávu vrácenou přes HTTP 200 (OK). |
IncludeClaimResolvingInClaimsHandling |
No | U vstupních a výstupních deklarací identity určuje, jestli je překlad deklarací zahrnutý v technickém profilu. Možné hodnoty: true, nebo false (výchozí). Pokud chcete použít překladač deklarací identity v technickém profilu, nastavte ho na truehodnotu . |
ResolveJsonPathsInJsonTokens |
No | Určuje, jestli technický profil překládá cesty JSON. Možné hodnoty: true, nebo false (výchozí). Tato metadata slouží ke čtení dat z vnořeného elementu JSON. V souboru OutputClaim nastavte PartnerClaimType na element cesta JSON, který chcete zobrazit jako výstup. Příklad: firstName.localized, nebo data[0].to[0].email. |
Kryptografické klíče
Element CryptographicKeys obsahuje následující atribut:
| Atribut | Povinné | Popis |
|---|---|---|
client_secret |
Ano | Tajný klíč klienta aplikace zprostředkovatele identity. Kryptografický klíč je vyžadován pouze v případě, že je metadata response_types nastavená na codehodnotu . V tomto případě Azure AD B2C provede další volání pro výměnu autorizačního kódu za přístupový token. Pokud jsou metadata nastavená na id_token, můžete kryptografický klíč vynechat. |
assertion_signing_key |
No |
token_endpoint_auth_method Pokud jsou metadata nastavená na private_key_jwthodnotu , zadejte certifikát X509, který se použije k podepsání klíče JWT. Tento klíč by vám měl poskytnout zprostředkovatel identity OAuth2. |
Identifikátor URI pro přesměrování
Při konfiguraci identifikátoru URI přesměrování vašeho zprostředkovatele identity zadejte https://{tenant-name}.b2clogin.com/{tenant-name}.onmicrosoft.com/oauth2/authresp. Nezapomeňte nahradit {tenant-name} názvem vašeho tenanta (například contosob2c). Identifikátor URI přesměrování musí být malými písmeny.