Partage via

Ajouter une instance Azure AD B2C en tant que fournisseur d’identité OpenID Connect (aperçu)

  • Article

S’applique à: Cercle blanc avec un symbole X gris. Locataires de main-d’œuvre Cercle vert avec un symbole de coche blanche. Locataires externes (en savoir plus)

Pour configurer votre locataire Azure AD B2C en tant que fournisseur d’identité, vous devez créer une stratégie personnalisée Azure AD B2C, puis une application.

Conditions préalables

Configurer votre stratégie personnalisée

S’il est activé dans le flux utilisateur, le locataire externe peut exiger que la revendication e-mail soit retournée dans le jeton de votre stratégie personnalisée Azure AD B2C.

Après avoir approvisionné le pack de démarrage de stratégie personnalisée, téléchargez le fichier B2C_1A_signup_signin à partir du panneau Identity Experience Framework dans votre instance Azure AD B2C.

  1. Connectez-vous au portail Azure et sélectionnez Azure AD B2C .
  2. Dans la page vue d’ensemble, sous Stratégies, sélectionnez Identity Experience Framework.
  3. Recherchez et sélectionnez le fichier B2C_1A_signup_signin.
  4. Téléchargez B2C_1A_signup_signin.

Ouvrez le fichier B2C_1A_signup_signin.xml dans un éditeur de texte. Sous le nœud <OutputClaims>, ajoutez la revendication de sortie suivante :

<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">

Enregistrez le fichier sous B2C_1A_signup_signin.xml et téléchargez le via la lame Identity Experience Framework dans votre locataire Azure AD B2C. Sélectionnez pour Remplacer la stratégie existante. Cette étape garantit que l’adresse e-mail est émise en tant que revendication auprès de Microsoft Entra ID après l’authentification auprès d’Azure AD B2C.

Inscrire l’ID Microsoft Entra en tant qu’application

Vous devez inscrire l’ID Microsoft Entra en tant qu’application dans votre locataire Azure AD B2C. Cette étape permet à Azure AD B2C d’émettre des jetons à votre ID Microsoft Entra pour la fédération.

Pour créer une application :

  1. Connectez-vous au portail Azure et sélectionnez Azure AD B2C .

  2. Sélectionnez Inscriptions d'applications, puis sélectionnez Nouvelle inscription.

  3. Sous Nom, entrez « Fédération avec Microsoft Entra ID ».

  4. Sous Types de comptes pris en charge, sélectionnez Comptes dans un fournisseur d’identité ou annuaire organisationnel (pour authentifier les utilisateurs avec des flux d’utilisateurs).

  5. Sous URI de redirection, sélectionnez Web, puis entrez l'URL suivante en minuscules, où your-B2C-tenant-name est remplacé par le nom de votre locataire Azure AD B2C (par exemple, Contoso) :

    https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

    https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

    Par exemple:

    https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2

    Si vous utilisez un domaine personnalisé, entrez :

    https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp

    Remplacez your-domain-name par votre domaine personnalisé et your-tenant-name par le nom de votre locataire.

  6. Sous Permissions, cochez la case Accorder le consentement de l’administrateur aux autorisations openid et offline_access.

  7. Sélectionnez Inscription.

  8. Dans la page Inscriptions d’applications Azure AD B2C, sélectionnez l’application que vous avez créée et enregistrez l’ID d’application (client) affiché dans la page vue d’ensemble de l’application. Vous avez besoin de cet ID lorsque vous configurez le fournisseur d’identité dans la section suivante.

  9. Dans le menu de gauche, sous Gérer, sélectionnez Certificats et secrets.

  10. Sélectionnez "Nouveau secret client".

  11. Entrez une description pour la clé secrète client dans la zone Description. Par exemple : « FederationWithEntraID ».

  12. Sous Expire, sélectionnez une durée pendant laquelle le secret est valide, puis sélectionnez Ajouter.

  13. Enregistrez la Valeur du secret. Vous avez besoin de cette valeur lorsque vous configurez le fournisseur d’identité dans la section suivante.

Configurez votre locataire Azure AD B2C en tant que fournisseur d’identité.

Construisez votre point de terminaison OpenID Connect well-known : remplacez <your-B2C-tenant-name> par le nom de votre locataire Azure AD B2C.

Si vous utilisez un nom de domaine personnalisé, remplacez <custom-domain-name> par votre domaine personnalisé. Remplacez le tag <policy> par le nom de la politique que vous avez configuré dans votre tenant B2C. Si vous utilisez le pack de démarrage, il s’agit du fichier B2C_1A_signup_signin.

https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

OR

https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

  1. Configurez l’URI de l’émetteur comme suit : https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/, ou si vous utilisez un domaine personnalisé, utilisez votre domaine personnalisé, domaine au lieu de your-b2c-tenant-name.b2clogin.com.
  2. Pour ID client, entrez l’ID d’application que vous avez enregistré précédemment.
  3. Sélectionnez Authentification client comme client_secret.
  4. Pour secret client, entrez le secret client que vous avez enregistré précédemment.
  5. Pour le Périmètre, entrez openid profile email offline_access
  6. Sélectionnez code comme type de réponse.
  7. Configurez les éléments suivants pour les mappages de revendications :
  • Sub : sub
  • Nom: nom
  • nom donné: given_name
  • nom de famille: family_name
  • e-mail: e-mail

Créez le fournisseur d’identité et attachez-le à votre flux d’utilisateur associé à votre application pour la connexion et l’inscription.

Contenu connexe