Compartir a través de

Incorporación de un inquilino de Azure AD B2C como proveedor de identidades de OpenID Connect (versión preliminar)

  • Artículo

Se aplica a: círculo blanco con un símbolo de X gris. inquilinos de la fuerza laboral círculo verde con un símbolo de verificación blanco. inquilinos externos (más información)

Para configurar su instancia de Azure AD B2C como proveedor de identidades, debe crear una directiva personalizada de Azure AD B2C y luego una aplicación.

Prerrequisitos

Configura tu política personalizada

Si está habilitado en el flujo de usuario, el inquilino externo puede exigir que la notificación por correo electrónico se devuelva en el token de la directiva personalizada de Azure AD B2C.

Después de aprovisionar el paquete de inicio de directivas personalizado, descargue el archivo B2C_1A_signup_signin del panel Identity Experience Framework dentro del inquilino de Azure AD B2C.

  1. Inicie sesión en el portal de Azure y seleccione Azure AD B2C.
  2. En la página de información general, en Directivas, seleccione Identity Experience Framework.
  3. Busque y seleccione el archivo B2C_1A_signup_signin.
  4. Descargue B2C_1A_signup_signin.

Abra el archivo B2C_1A_signup_signin.xml en un editor de texto. En el nodo <OutputClaims>, agregue la siguiente notificación de salida:

<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">

Guarde el archivo como B2C_1A_signup_signin.xml y cárguelo a través de la hoja Identity Experience Framework en el inquilino de Azure AD B2C. Seleccione Sobrescribir la directiva existente. Este paso garantizará que la dirección de correo electrónico se emita como una notificación a Microsoft Entra ID después de la autenticación en Azure AD B2C.

Registrar el identificador de Microsoft Entra como una aplicación

Debe registrar el identificador de Microsoft Entra como una aplicación en el inquilino de Azure AD B2C. Este paso permite que Azure AD B2C emita tokens para tu ID de Microsoft Entra en federación.

Para crear una aplicación:

  1. Inicie sesión en el portal de Azure y seleccione Azure AD B2C .

  2. Seleccione Registros de aplicaciones y luego Nuevo registro.

  3. En Nombre, escriba "Federación con Microsoft Entra ID".

  4. En Tipos de cuenta compatibles, seleccione Cuentas en cualquier proveedor de identidades o directorio de la organización (para autenticar usuarios con flujos de usuario).

  5. En URI de redireccionamiento, seleccione Web y, después, escriba la siguiente dirección URL en letras minúsculas, donde your-B2C-tenant-name se reemplaza por el nombre del inquilino de Entra (por ejemplo, Contoso):

    https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

    https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

    Por ejemplo:

    https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2

    Si usa un dominio personalizado, escriba:

    https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp

    Reemplace your-domain-name por el dominio personalizado y your-tenant-name por el nombre del inquilino.

  6. En Permisos, active la casilla Conceder consentimiento del administrador a los permisos openid y offline_access.

  7. Seleccione Registrar.

  8. En la página Azure AD B2C - Registros de aplicaciones, seleccione la aplicación que creó y registre el identificador de aplicación (cliente) de que se muestra en la página de información general de la aplicación. Necesita este identificador al configurar el proveedor de identidades en la sección siguiente.

  9. En el menú de la izquierda, en Administrar, seleccione Certificados y secretos.

  10. Seleccione Nuevo secreto de cliente.

  11. Escriba una descripción para el secreto de cliente en el cuadro Descripción. Por ejemplo: "FederationWithEntraID".

  12. En la sección Expira, seleccione una duración durante la cual la clave secreta es váliday, a continuación, seleccione Agregar.

  13. Registre el Valor del secreto. Necesita este valor al configurar el proveedor de identidades en la sección siguiente.

Configura tu tenant de Azure AD B2C como proveedor de identidades.

Construya el punto de conexión de OpenID Connect well-known: sustituya <your-B2C-tenant-name> por el nombre del cliente de Azure AD B2C.

Si usa un nombre de dominio personalizado, reemplace <custom-domain-name> por el dominio personalizado. Reemplace el <policy> por el nombre de directiva que ha configurado en el inquilino de B2C. Si usas el paquete de inicio, es el archivo B2C_1A_signup_signin.

https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

O BIEN

https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

  1. Configure el URI del emisor como: https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/, o si usa un dominio personalizado, utilice su dominio personalizado en lugar de your-b2c-tenant-name.b2clogin.com.
  2. En Id. de cliente, escriba el identificador de aplicación que ha anotado anteriormente.
  3. Seleccione Autenticación del cliente como client_secret.
  4. En Secreto de cliente, escriba el secreto de cliente que ha anotado anteriormente.
  5. En Ámbito , escriba openid profile email offline_access
  6. Seleccione code como tipo de respuesta.
  7. Configure lo siguiente para las asignaciones de notificaciones:
  • Sub: sub
  • Nombre: nombre
  • nombre dado: given_name
  • nombre de familia: family_name
  • correo electrónico: correo electrónico

Cree el proveedor de identidades y adjúntelo al flujo de usuario asociado con su aplicación para registrarse e iniciar sesión.

Contenido relacionado