Autorisieren von Entwicklerkonten mithilfe von Azure Active Directory B2C in Azure API Management
GILT FÜR: Developer | Basic v2 | Standard | Standard v2 | Premium | Premium v2
Bei Azure Active Directory B2C handelt es sich um eine Lösung zur Cloudidentitätsverwaltung für kundenorientierte Web- und Mobilanwendungen. Sie können damit den Zugriff auf Ihr API Management-Entwicklerportal verwalten.
In diesem Tutorial lernen Sie die in Ihrem API Management-Dienst für die Integration von Azure Active Directory B2C erforderliche Konfiguration kennen.
Eine Übersicht über die Optionen zum Schützen des Entwicklerportals finden Sie unter Sicherer Zugriff auf das API Management Entwicklerportal.
Wichtig
- Dieser Artikel wurde mit Schritten zum Konfigurieren einer Azure AD B2C-App mithilfe der Microsoft Authentication Library (MSAL) aktualisiert.
- Wenn Sie zuvor eine Azure AD B2C-App für die Benutzeranmeldung mit der Azure AD-Authentifizierungsbibliothek (ADAL) konfiguriert haben, empfehlen wir, zu MSAL zu migrieren.
Voraussetzungen
- Ein Azure Active Directory B2C-Mandant, auf dem eine Anwendung erstellt werden kann. Weitere Informationen finden Sie unter Azure Active Directory B2C – Übersicht.
- Eine API Management-Instanz. Sollten Sie noch über keine verfügen, erstellen Sie eine neue Azure API Management-Instanz.
- Wenn Sie Ihre Instanz auf einer v2-Dienstebene erstellt haben, aktivieren Sie das Entwicklerportal. Weitere Informationen finden Sie im Tutorial: Zugreifen auf das Entwicklerportal und Anpassen des Entwicklerportals.
Konfigurieren des Benutzerflows für die Registrierung und Anmeldung
In diesem Abschnitt konfigurieren Sie einen Benutzerflow auf Ihrem Azure Active Directory B2C-Mandanten, mit dem Benutzende sich beim Entwicklerportal registrieren oder anmelden können. Die Benutzer werden je nach Kontext auf den jeweils entsprechenden Pfad geleitet. Eine ausführliche Beschreibung der Schritte finden Sie unter Erstellen von Benutzerflows und benutzerdefinierten Richtlinien in Azure Active Directory B2C.
- Greifen Sie im Azure-Portal auf Ihren Azure Active Directory B2C-Mandanten zu.
- Wählen Sie unter Richtlinien die Option Benutzerflows>+ Neuer Benutzerflow aus.
- Wählen Sie auf der Seite Benutzerflow erstellen den Benutzerflow Registrierung und Anmeldung aus. Wählen Sie die Empfohlene Version und dann Erstellen aus.
- Geben Sie auf der Seite Erstellen die folgenden Informationen ein:
- Geben Sie einen eindeutigen Namen für den Benutzerflow ein.
- Wählen Sie unter Identitätsanbieter die Option E-Mail-Registrierung aus.
- Aktivieren Sie optional eine Multi-Faktor-Authentifizierung oder Richtlinien für bedingten Zugriff.
- Wählen Sie in Benutzerattribute und Tokenansprüche die folgenden Ansprüche und Attribute aus, die Sie bei der Benutzerregistrierung sammeln und senden möchten. Wählen Sie Mehr anzeigen aus, um alle Attribute und Ansprüche anzuzeigen.
Attribute sammeln: Vorname, Nachname
Ansprüche zurückgeben: Vorname, Nachname, E-Mail-Adressen, Objekt-ID des Benutzers
- Klicken Sie auf Erstellen.
Konfigurieren des Identitätsanbieters für das Entwicklerportal
Öffnen Sie einen separaten Tab mit dem Azure-Portal, und navigieren Sie zu Ihrer API Management-Instanz.
Wählen Sie unter Entwicklerportal die Option Identitäten>+ Hinzufügen aus.
Wählen Sie auf der Seite Identitätsanbieter hinzufügen die Option Azure Active Directory B2C aus. Nach der Auswahl können Sie weitere erforderliche Informationen eingeben.
- Wählen Sie in der Dropdownliste ClientbibliothekMSAL aus.
- Informationen zum Hinzufügen weiterer Einstellungen finden Sie weiter unten im Artikel.
Kopieren Sie im Fenster Identitätsanbieter hinzufügen die Umleitungs-URL.
Wechseln Sie im Azure-Portal zurück zum Browsertab für Ihren Azure Active Directory B2C-Mandanten. Wählen Sie App-Registrierungen>+ Neue Registrierung aus.
Geben Sie auf der Seite Anwendung registrieren die Registrierungsinformationen Ihrer Anwendung ein.
- Geben Sie im Abschnitt Name einen Anwendungsnamen Ihrer Wahl ein.
- Wählen Sie im Abschnitt Unterstützte Kontotypen die Option Konten in einem beliebigen Organisationsverzeichnis (zum Authentifizieren von Benutzern mit Benutzerflows) aus. Weitere Informationen finden Sie unter Registrieren einer Client-App.
- Wählen Sie unter Umleitungs-URIdie Option Single-Page-Webanwendung (SPA) aus, und fügen Sie die Umleitungs-URL ein, die Sie in einem vorherigen Schritt gespeichert haben.
- Wählen Sie unter Berechtigungen die Option Administratoreinwilligung für openid- und offline_access-Berechtigungen erteilen aus.
- Wählen Sie Registrieren aus, um die Anwendung zu erstellen.
Suchen Sie auf der App-Seite Übersicht nach der Option Anwendungs-ID (Client) , und kopieren Sie den darin enthaltenen Wert in die Zwischenablage.
Wechseln Sie zurück zum API Management-Bereich Identitätsanbieter hinzufügen, und fügen Sie die ID in das Textfeld Client-ID ein.
Wechseln Sie zurück zur B2C-App-Registrierung. Wählen Sie Zertifikate und Geheimnisse>+ Neuer geheimer Clientschlüssel aus.
- Geben Sie auf der Seite Geheimen Clientschlüssel hinzufügen eine Beschreibung ein, und wählen Sie Hinzufügen aus.
- Notieren Sie den Wert an einem sicheren Ort. Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden.
Wechseln Sie zurück zum API Management-Bereich Identitätsanbieter hinzufügen, und fügen Sie den Schlüssel in das Textfeld Geheimer Clientschlüssel ein.
Fahren Sie auf der Seite Identitätsanbieter hinzufügen fort:
Geben Sie unter Anmeldemandant den Domänennamen des Azure Active Directory B2C-Mandanten an.
Über das Feld Autorität können Sie steuern, welche Azure Active Directory B2C-Anmelde-URL verwendet wird. Legen Sie den Wert auf <your_b2c_tenant_name>.b2clogin.com fest.
Geben Sie die Registrierungsrichtlinie und die Anmelderichtlinie unter Verwendung des Namens des Benutzerflows an, den Sie in einem vorherigen Schritt erstellt haben.
Optional können Sie die Richtlinien für die Profilbearbeitung und die Kennwortzurücksetzung angeben.
Wählen Sie die Option Speichern aus, nachdem Sie die gewünschte Konfiguration angegeben haben.
Veröffentlichen Sie das Entwicklerportal neu, damit die Azure AD B2C-Konfiguration wirksam wird. Wählen Sie im Menü auf der linken Seite unter Entwicklerportal die Option Portalübersicht>Veröffentlichen aus.
Nach dem Speichern der Änderungen können Entwickelnde neue Konten durch Registrieren erstellen und sich am Entwicklerportal anmelden, indem sie Azure Active Directory B2C verwenden.
Migrieren zu MSAL
Wenn Sie zuvor eine Azure AD B2C-App für die Benutzeranmeldung mithilfe der ADAL konfiguriert haben, können Sie das Portal verwenden, um die App zu MSAL zu migrieren und den Identitätsanbieter in API Management zu aktualisieren.
Aktualisieren der Azure AD B2C-App für MSAL-Kompatibilität
Schritte zum Aktualisieren der Azure AD B2C-App finden Sie unter Wechseln von Umleitungs-URIs zum Single-Page-Webanwendungstyp.
Aktualisieren der Identitätsanbieterkonfiguration
- Wählen Sie im linken Menü Ihrer API Management-Instanz unter Entwicklerportal die Option Identitäten aus.
- Wählen Sie in der Liste Azure Active Directory B2C aus.
- Wählen Sie in der Dropdownliste ClientbibliothekMSAL aus.
- Wählen Sie Aktualisieren aus.
- Veröffentlichen Sie Ihr Entwicklerportal erneut.
Entwicklerportal – Hinzufügen der Azure Active Directory B2C-Kontoauthentifizierung
Wichtig
Beim Erstellen oder Aktualisieren der Einstellungen für die Azure Active Directory B2C-Konfiguration müssen Sie das Entwicklerportal erneut veröffentlichen, damit die Änderungen wirksam werden.
Im Entwicklerportal können Sie sich über das Widget Schaltfläche „Anmelden“: OAuth bei Azure Active Directory B2C anmelden. Das Widget ist auf der Anmeldeseite des standardmäßigen Entwicklerportals bereits integriert.
Für die Registrierung über Azure Active Directory B2C öffnen Sie ein neues Browserfenster und navigieren zum Entwicklerportal. Wählen Sie Anmelden.
Wählen Sie auf der Seite Anmelden die Option Azure Active Directory B2C aus.
Sie werden zu der Registrierungsrichtlinie weitergeleitet, die Sie im vorherigen Abschnitt konfiguriert haben. Auswählen der Registrierung mit Ihrer E-Mail-Adresse auf dem Active Directory B2C-Mandanten.
Wenn die Registrierung abgeschlossen ist, werden Sie zurück zum Entwicklerportal geleitet. Sie sind jetzt am Entwicklerportal für Ihre API Management-Dienstinstanz angemeldet.
Es wird zwar automatisch ein neues Konto erstellt, wenn sich ein neuer Benutzer bei Azure Active Directory B2C anmeldet, aber Sie können trotzdem erwägen, das Widget auch auf der Registrierungsseite hinzuzufügen.
Das Widget Registrierungsformular: OAuth stellt ein Formular dar, das zum Registrieren bei OAuth verwendet wird.
Zugehöriger Inhalt
- Azure Active Directory B2C – Übersicht
- Azure Active Directory B2C: Erweiterbares Richtlinienframework
- Erfahren Sie mehr über MSAL und die Migration zu MSAL v2.
- Verwenden eines Microsoft-Kontos als Identitätsanbieter in Azure Active Directory B2C
- Verwenden eines Google-Kontos als Identitätsanbieter in Azure Active Directory B2C
- Verwenden eines LinkedIn-Kontos als Identitätsanbieter in Azure Active Directory B2C
- Verwenden eines Facebook-Kontos als Identitätsanbieter in Azure Active Directory B2C