Notes à destination des développeurs pour Azure Active Directory B2C
Les flux d’utilisateurs et stratégies personnalisées Azure Active Directory B2C sont en disponibilité générale. Les fonctionnalités Azure AD B2C sont continuellement cours de développement. Dès lors, bien que la plupart des fonctionnalités soient en disponibilité générale, certaines fonctionnalités se trouvent à différents stades du cycle de publication logicielle. Cet article traite des améliorations cumulatives apportées à Azure AD B2C et spécifie la disponibilité des fonctionnalités.
Conditions d’utilisation des fonctionnalités de la préversion publique
Nous vous encourageons à utiliser les fonctionnalités de la préversion publique à des fins d’évaluation uniquement.
Les contrats de niveau de service (SLA) ne s’appliquent pas aux fonctionnalités de la préversion publique.
Les demandes de support pour les fonctionnalités de la préversion publique peuvent être soumises par le biais des canaux de support habituels.
Disponibilité des fonctionnalités
| Fonctionnalité | Flux utilisateur | Stratégie personnalisée | Flux utilisateur en Chine | Stratégie personnalisée en Chine | Notes |
|---|---|---|---|---|---|
| Inscription et connexion avec un e-mail et un mot de passe. | GA | Disponibilité générale | Disponibilité générale | GA | |
| Inscription et connexion avec un nom d’utilisateur et un mot de passe. | GA | Disponibilité générale | Disponibilité générale | GA | |
| Flux de modification du profil | GA | Disponibilité générale | Disponibilité générale | GA | |
| Réinitialisation de mots de passe en libre service. | GA | Disponibilité générale | Disponibilité générale | GA | |
| Forcer la réinitialisation du mot de passe | GA | GA | N/D | GA | |
| Inscription et connexion par téléphone | GA | GA | N/D | GA | |
| Verrouillage intelligent | GA | GA | N/D | NA | |
| Accès conditionnel | GA | GA | NA | Disponibilité limitée | Non disponible pour les applications SAML. |
| Identity Protection | GA | GA | N/D | NA | |
| CAPTCHA | Aperçu | Aperçu | N/D | NA | Vous pouvez l’activer lors de l’inscription ou de la connexion pour les comptes locaux. |
Flux d’autorisation d’application OAuth 2.0
Le tableau suivant récapitule les flux d’authentification des applications OAuth 2.0 et OpenId Connect qui peuvent être intégrés à Azure AD B2C.
| Fonctionnalité | Flux utilisateur | Stratégie personnalisée | Notes |
|---|---|---|---|
| Code d’autorisation | GA | GA | Permet aux utilisateurs de se connecter aux applications web. L’application web reçoit un code d’autorisation. Ce code d’autorisation est utilisé pour acquérir un jeton servant à appeler les API web. |
| Code d’autorisation avec PKCE | GA | GA | Permet aux utilisateurs de se connecter à des applications mobiles et à une seule page. L’application reçoit un code d’autorisation à l’aide de la clé de preuve pour l’échange de code (PKCE). Ce code d’autorisation est utilisé pour acquérir un jeton servant à appeler les API web. |
| Flux des informations d’identification du client | PRÉVERSION | PRÉVERSION | Permet d’accéder aux ressources hébergées sur le web à l’aide de l’identité d’une application. Couramment utilisé pour les interactions de serveur à serveur qui doivent s’exécuter en arrière-plan sans l’interaction immédiate d’un utilisateur. |
| Octroi d’autorisation pour l’appareil | N/D | N/D | Permet aux utilisateurs de se connecter à des appareils à entrée limitée comme une télévision connectée, un appareil IoT ou une imprimante. |
| Flux implicite | GA | GA | Autorise les utilisateurs à se connecter à des applications à une seule page. L’application obtient des jetons directement, sans échange d’informations d’identification avec le serveur principal. Remarque : Le flux recommandé pour la prise en charge des spAs est le flux de code d’autorisation OAuth 2.0 (avec PKCE). |
| On-behalf-of | N/D | N/D | Une application appelle un service ou une API web, qui à son tour doit appeler un autre service ou une autre API web. Pour que le service de niveau intermédiaire effectue des demandes authentifiées auprès du service en aval, transmettez un jeton d’informations d’identification du client dans l’en-tête d’autorisation. Si vous le souhaitez, vous pouvez inclure un en-tête personnalisé avec le jeton de l’utilisateur Azure AD B2C. |
| OpenID Connect | GA | GA | OpenID Connect introduit le concept de jeton d'ID, qui est un jeton de sécurité permettant au client de vérifier l’identité de l’utilisateur. |
| Flux hybride OpenId Connect | GA | GA | Permet à une application web de récupérer le jeton d’ID sur la demande d’autorisation, ainsi qu’un code d’autorisation. |
| Informations d’identification de mot de passe du propriétaire de ressource (ROPC) | GA | GA | Permet à une application mobile de connecter l’utilisateur en gérant directement son mot de passe. |
| Déconnexion | GA | GA | |
| Authentification unique | N/D | PRÉVERSION |
Options OAuth 2.0
| Fonctionnalité | Flux utilisateur | Stratégie personnalisée | Notes |
|---|---|---|---|
| Rediriger la connexion vers un fournisseur social | GA | GA | Paramètre de chaîne de requête domain_hint. |
| Préremplir le nom de connexion | GA | GA | Paramètre de chaîne de requête login_hint. |
Insérer du code JSON dans le parcours utilisateur via client_assertion |
N/D | Déprécié | |
| Insérer du code JSON dans le parcours utilisateur en tant que id_token_hint | N/D | GA | |
| Transmettre le jeton du fournisseur d’identité à l’application | PRÉVERSION | PRÉVERSION | Par exemple, de Facebook à l’application. |
| Maintenir la connexion (KMSI) | GA | GA |
Flux d’authentification d’application SAML2
Le tableau suivant récapitule les flux d’authentification d’application Security Assertion Markup Language (SAML) qui peuvent être intégrés à Azure AD B2C.
| Fonctionnalité | Flux utilisateur | Stratégie personnalisée | Notes |
|---|---|---|---|
| Lancée par le fournisseur de services | N/D | GA | Liaisons POST et de redirection. |
| Lancée par le fournisseur d’identité | N/D | GA | Où le fournisseur d’identité à l’origine de l’initialisation est Azure AD B2C. |
Personnalisation de l’expérience utilisateur
| Fonctionnalité | Flux utilisateur | Stratégie personnalisée | Notes |
|---|---|---|---|
| Prise en charge multilingue | GA | GA | Disponible dans le cloud en Chine, mais uniquement pour les stratégies personnalisées. |
| Domaines personnalisés | GA | GA | Disponible dans le cloud en Chine, mais uniquement pour les stratégies personnalisées. |
| Vérification d’e-mail personnalisée | N/D | GA | |
| Personnaliser l’interface utilisateur avec des modèles intégrés | GA | GA | |
| Personnaliser l’interface utilisateur avec des modèles personnalisés | GA | GA | À l’aide de modèles HTML. |
| Version de mise en page | GA | GA | Disponible dans le cloud en Chine, mais uniquement pour les stratégies personnalisées. |
| JavaScript | GA | GA | Disponible dans le cloud en Chine, mais uniquement pour les stratégies personnalisées. |
| Expérience de connexion incorporée | N/D | PRÉVERSION | À l’aide de l’élément de cadre en ligne <iframe>. |
| Complexité du mot de passe | GA | GA | Disponible dans le cloud en Chine, mais uniquement pour les stratégies personnalisées. |
| Désactiver la vérification e-mail | GA | GA | Non recommandé dans les environnements de production. La désactivation de la vérification par e-mail dans le processus d’inscription peut entraîner la réception de courrier indésirable. |
Fournisseurs d’identité
| Fonctionnalité | Flux utilisateur | Stratégie personnalisée | Notes |
|---|---|---|---|
| AD FS | N/D | GA | |
| Amazon | GA | GA | |
| Apple | GA | GA | Disponible dans le cloud en Chine, mais uniquement pour les stratégies personnalisées. |
| Microsoft Entra ID (locataire unique) | GA | GA | |
| ID Microsoft Entra (multilocataire) | N/D | GA | |
| Azure AD B2C | GA | GA | |
| Ebay | N/D | PRÉVERSION | |
| GA | GA | ||
| GitHub | PRÉVERSION | GA | |
| GA | GA | ||
| ID.me | GA | GA | |
| GA | GA | ||
| Compte Microsoft | GA | GA | |
| PRÉVERSION | GA | ||
| Salesforce | GA | GA | |
| Salesforce (protocole SAML) | N/D | GA | |
| PRÉVERSION | GA | Disponible dans le cloud en Chine, mais uniquement pour les stratégies personnalisées. | |
| PRÉVERSION | GA | ||
| X | GA | GA |
Fournisseurs d’identité générique
| Fonctionnalité | Flux utilisateur | Stratégie personnalisée | Notes |
|---|---|---|---|
| OAuth2 | N/D | GA | Par exemple, Google, GitHub et Facebook. |
| OAuth1 | N/D | GA | Par exemple, X. |
| OpenID Connect | GA | GA | Par exemple, Microsoft Entra ID. |
| SAML2 | N/D | GA | Par exemple, Salesforce et AD-FS. |
| WSFED | N/D | N/D |
Connecteurs d’API
| Fonctionnalité | Flux utilisateur | Stratégie personnalisée | Notes |
|---|---|---|---|
| Après la fédération avec un fournisseur d’identité lors de l’inscription | GA | GA | |
| Avant de créer l’utilisateur | GA | GA | |
| Avant d'inclure des revendications d'application dans un jeton | Aperçu | GA | |
| Sécuriser avec l'authentification de base | GA | GA | |
| Sécuriser avec l’authentification par certificat client | GA | GA | |
| Sécuriser avec l’authentification du porteur OAuth2 | N/D | GA | |
| Sécuriser avec l’authentification par clé API | N/D | GA |
Caractéristiques de la stratégie de personnalisée
Gestion des sessions
| Fonctionnalité | Stratégie personnalisée | Notes |
|---|---|---|
| Fournisseur de session SSO par défaut | GA | Disponible dans le cloud en Chine, mais uniquement pour les stratégies personnalisées. |
| Fournisseur de session de connexion externe | GA | Disponible dans le cloud en Chine, mais uniquement pour les stratégies personnalisées. |
| Fournisseur de session par authentification unique SAML | GA | Disponible dans le cloud en Chine, mais uniquement pour les stratégies personnalisées. |
| Fournisseur de session par authentification unique OAuth | GA | Disponible dans le cloud en Chine, mais uniquement pour les stratégies personnalisées. |
Composants
| Fonctionnalité | Stratégie personnalisée | Notes |
|---|---|---|
| MFA utilisant un mot de passe à usage unique et durée définie (TOTP) avec des applications d’authentificateur | GA | Les utilisateurs peuvent utiliser n’importe quelle application d’authentificateur prenant en charge la vérification de TOTP, telle que l’application Microsoft Authenticator. |
| Authentification par facteur téléphonique | GA | Disponible dans le cloud en Chine, mais uniquement pour les stratégies personnalisées. |
| Authentification de l’authentification multifacteur Microsoft Entra | GA | |
| Mot de passe à usage unique | GA | |
| Microsoft Entra ID en tant que répertoire local | GA | |
| Validations de prédicats | GA | Par exemple, la complexité des mots de passe. |
| Contrôles d’affichage | GA | |
| Sous-parcours | GA |
Interface de développeur
| Fonctionnalité | Stratégie personnalisée | Notes |
|---|---|---|
| Dans le portail Azure | GA | |
| Journaux de parcours utilisateur Application Insights | PRÉVERSION | Utilisés pour la résolution des problèmes pendant le développement. |
| Journaux d’événements Application Insights | Aperçu | Permet de surveiller les flux utilisateur et les stratégies personnalisées en production. |
Autres fonctionnalités
| Fonctionnalité | Statut | Notes |
|---|---|---|
| Module complémentaire Go-Local | GA | Le module complémentaire Go-Local d’Azure AD B2C vous permet de créer un locataire Azure AD B2C dans le pays/la région que vous choisissez lors de la création d’Azure AD B2C. |
Responsabilités des développeurs de l’ensemble de fonctionnalités de stratégie personnalisée
La configuration manuelle de stratégie accorde le niveau d’accès minimal à la plateforme sous-jacente d’Azure AD B2C et se traduit par la création d’un framework de confiance unique. Les nombreuses permutations possibles de fournisseurs d’identité personnalisés, les relations de confiance, les intégrations avec des services externes et les workflows étape par étape exigent une approche de conception et de configuration méthodique.
Les développeurs qui utilisent les fonctionnalités de stratégie personnalisée doivent respecter les recommandations suivantes :
- Se familiariser avec le langage de configuration des stratégies personnalisées et la gestion des clés/secrets. Pour plus d’informations, consultez TrustFrameworkPolicy.
- S’approprier les scénarios et les intégrations personnalisées. Documenter votre travail et informer l’organisation de votre site actif.
- Effectuer un test de scénario méthodique.
- Suivre les meilleures pratiques en matière de développement de logiciels et de mise en lots. Au moins un environnement de développement et de test est recommandé.
- Suivre les nouveaux développements des services et fournisseurs d’identité que vous intégrez. Par exemple, suivre les modifications apportées aux secrets, ainsi que les modifications planifiées et non planifiées du service.
- Configurer la surveillance active et surveiller la réactivité des environnements de production. Pour plus d’informations sur l’intégration avec Application Insights, consultez Azure Active Directory B2C : collecte des journaux.
- Garder les adresses e-mail de contact à jour dans l’abonnement Azure et rester attentif aux e-mails de l’équipe de site en ligne Microsoft.
- Prendre les mesures adéquates lorsque cela est recommandé par l’équipe de site en ligne Microsoft.