Teilen über

Hinzufügen eines Azure AD B2C-Mandanten als OpenID Connect-Identitätsanbieter (Vorschau)

  • Artikel

Gilt für: Weißer Kreis mit grauem X. Mitarbeitermandanten Grüner Kreis mit einem weißen Häkchen. Externe Mandanten (weitere Informationen)

Um Ihren Azure AD B2C-Mandanten als Identitätsanbieter zu konfigurieren, müssen Sie eine benutzerdefinierte Azure AD B2C-Richtlinie und dann eine Anwendung erstellen.

Voraussetzungen

Konfigurieren Sie Ihre benutzerdefinierte Richtlinie

Wenn der Benutzerfluss dies ermöglicht, kann der externe Mandant möglicherweise verlangen, dass der E-Mail-Anspruch im Token aus Ihrer benutzerdefinierten Azure AD B2C-Richtlinie zurückgegeben wird.

Laden Sie nach der Bereitstellung des benutzerdefinierten Richtlinienstartpakets die Datei B2C_1A_signup_signin aus der Registerkarte Identity Experience Framework in Ihrem Azure AD B2C-Mandanten herunter.

  1. Melden Sie sich beim Azure-Portal an, und wählen Sie Azure AD B2Caus.
  2. Wählen Sie auf der Übersichtsseite unter Richtliniendie Option Identity Experience Frameworkaus.
  3. Suchen und wählen Sie die Datei B2C_1A_signup_signin aus.
  4. Laden Sie B2C_1A_signup_signin herunter.

Öffnen Sie die B2C_1A_signup_signin.xml Datei in einem Text-Editor. Fügen Sie unter dem -<OutputClaims>Knoten den folgenden Ausgabeanspruch hinzu:

<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">

Speichern Sie die Datei als B2C_1A_signup_signin.xml, und laden Sie sie über den Bereich Identity Experience Framework in Ihrem Azure AD B2C-Mandanten hoch. Wählen Sie , um vorhandene Richtlinienzu überschreiben. In diesem Schritt wird sichergestellt, dass die E-Mail-Adresse nach der Authentifizierung bei Azure AD B2C als Anspruch auf Microsoft Entra-ID ausgegeben wird.

Registrieren von Microsoft Entra ID als Anwendung

Sie müssen Microsoft Entra ID als Anwendung in Ihrem Azure AD B2C-Mandanten registrieren. In diesem Schritt kann Azure AD B2C Token für Ihre Microsoft Entra-ID für den Partnerverbund ausstellen.

So erstellen Sie eine Anwendung:

  1. Melden Sie sich beim Azure-Portal an, und wählen Sie Azure AD B2Caus.

  2. Wählen Sie App-Registrierungen aus, und wählen Sie dann Registrierung einer neuen Anwendung aus.

  3. Geben Sie unter Name"Verbund mit Microsoft Entra ID" ein.

  4. Wählen Sie unter Unterstützte Kontotypen die Option Konten in einem beliebigen Identitätsanbieter oder Organisationsverzeichnis (zum Authentifizieren von Benutzenden mit Benutzerflows) aus.

  5. Wählen Sie unter Umleitungs-URI die Option Web aus, und geben Sie dann die folgende URL in Kleinbuchstaben ein, und ersetzen Sie dabei your-B2C-tenant-name durch den Namen Ihres Entra-Mandanten (z. B. Contoso).

    https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

    https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

    Beispiel:

    https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2

    Wenn Sie eine benutzerdefinierte Domäne verwenden, geben Sie Folgendes ein:

    https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp

    Ersetzen Sie your-domain-name durch Ihre benutzerdefinierte Domäne, und your-tenant-name mit dem Namen Ihres Mandanten.

  6. Aktivieren Sie unter Berechtigungen das Kontrollkästchen Administratoreinwilligung für openid- und offline_access-Berechtigungen erteilen.

  7. Wählen Sie Registrieren.

  8. Wählen Sie auf der Seite "Azure AD B2C – App-Registrierungen" die Anwendung aus, die Sie erstellt haben, und notieren Sie sich die Anwendungs-ID (Client-ID), die auf der Seite "Anwendungsübersicht" angezeigt wird. Sie benötigen diese ID, wenn Sie den Identitätsanbieter im nächsten Abschnitt konfigurieren.

  9. Wählen Sie im linken Menü unter Verwalten die Option Zertifikate und Geheimnisse aus.

  10. Wählen Sie Neuer geheimer Clientschlüssel.

  11. Geben Sie im Feld Beschreibung eine Beschreibung für das Clientgeheimnis ein. Zum Beispiel: "FederationWithEntraID".

  12. Wählen Sie unter Läuft abeine Dauer aus, für die das Geheimnis gültig ist, und wählen Sie dann Hinzufügenaus.

  13. Notieren Sie den Wert des Geheimnisses. Sie benötigen diesen Wert, wenn Sie den Identitätsanbieter im nächsten Abschnitt konfigurieren.

Konfigurieren Sie Ihren Azure AD B2C-Mandanten als Identitätsanbieter.

Erstellen Sie Ihren OpenID Connect well-known-Endpunkt. Ersetzen Sie <your-B2C-tenant-name> durch den Namen Ihres Azure AD B2C-Mandanten.

Wenn Sie einen benutzerdefinierten Domänennamen verwenden, ersetzen Sie <custom-domain-name> durch Ihre benutzerdefinierte Domäne. Ersetzen Sie die <policy> durch den Richtliniennamen, den Sie in Ihrem B2C-Mandanten konfiguriert haben. Wenn Sie das Startpaket verwenden, ist es die B2C_1A_signup_signin Datei.

https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

ODER

https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

  1. Konfigurieren Sie den Aussteller-URI wie: https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/, oder wenn Sie eine benutzerdefinierte Domäne verwenden, verwenden Sie stattdessen Ihre benutzerdefinierte Domäne anstelle von your-b2c-tenant-name.b2clogin.com.
  2. Geben Sie für Client-ID die zuvor notierte Anwendungs-ID ein.
  3. Wählen Sie Clientauthentifizierung als client_secretaus.
  4. Geben Sie im Feld Geheimer Clientschlüssel den zuvor notierten geheimen Clientschlüssel ein.
  5. Geben Sie für den Bereich einopenid profile email offline_access
  6. Wählen Sie code als Antworttyp aus.
  7. Konfigurieren Sie Folgendes für Anspruchszuordnungen:
  • Sub-- sub
  • Name: Name
  • Vorname: given_name
  • Familienname: family_name
  • E-Mail-: email

Erstellen Sie den Identitätsanbieter und hängen Sie ihn an den Benutzerfluss an, der Ihrer Anwendung für die Anmeldung und Registrierung zugeordnet ist.

Verwandte Inhalte