Aggiungere il tenant di Azure AD B2C come provider di identità OpenID Connect

Si applica a: tenant aziendali tenant esterni (ulteriori informazioni)

Per configurare il tenant di Azure AD B2C come provider di identità, è necessario creare criteri personalizzati di Azure AD B2C e quindi un'applicazione.

Prerequisiti

• Il tenant di Azure AD B2C configurato con il pacchetto iniziale per criteri personalizzati. Vedere Esercitazione - Creare flussi utente e criteri personalizzati - Azure Active Directory B2C | Microsoft Learn
  • Quando il messaggio di posta elettronica è un'attestazione obbligatoria nel token ID, per ricevere l'attestazione di posta elettronica, potrebbe essere necessario usare un criterio personalizzato nel tenant di Azure AD B2C.
  • È possibile usare lo strumento di distribuzione dei criteri personalizzati

Configurare i criteri personalizzati

Se è abilitato nel flusso utente, il tenant esterno potrebbe richiedere che il claim di posta elettronica venga restituito nel token dai criteri personalizzati di Azure AD B2C.

Scarica dal pannello Identity Experience Framework il file all'interno del tenant di Azure AD B2C dopo aver creato il pacchetto di avvio dei criteri personalizzati.

1. Accedere al portale di Azure e selezionare Azure AD B2C.
2. Nella pagina di panoramica, in Politicheselezionare Identity Experience Framework.
3. Cercare e selezionare il file B2C_1A_signup_signin.
4. Scarica B2C_1A_signup_signin.

Aprire il file B2C_1A_signup_signin.xml in un editor di testo. Nel nodo <OutputClaims> aggiungere l'attestazione di output seguente:

<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">

Salvare il file come e caricarlo tramite il pannello Identity Experience Framework all'interno del tenant di Azure AD B2C. Selezionare questa opzione per Sovrascrivere i criteri esistenti. Questo passaggio garantisce che l'indirizzo di posta elettronica venga emesso come attestazione all'ID Microsoft Entra dopo l'autenticazione in Azure AD B2C.

Registrare l'ID Microsoft Entra come applicazione

È necessario registrare Microsoft Entra ID come applicazione nel tenant di Azure AD B2C. Questo passaggio consente ad Azure AD B2C di rilasciare token all'ID Microsoft Entra per la federazione.

Per creare un'applicazione:

1. Accedere al portale di Azure e selezionare Azure AD B2C.

2. Selezionare l'opzione Registrazioni appe quindi selezionare Nuova registrazione.

3. In Nomeinserire "Federation with Microsoft Entra ID".

4. In Tipi di account supportati, selezionare Account in qualsiasi provider di identità o directory organizzativa (per autenticare gli utenti con flussi utente).

5. In URI di reindirizzamentoselezionare Webe quindi immettere l'URL seguente in tutte le lettere minuscole, in cui your-B2C-tenant-name viene sostituito con il nome del tenant Entra (ad esempio, Contoso):

   https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

   https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

   Per esempio:

   https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2

   https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2

   Se si usa un dominio personalizzato, immettere:

   https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp

   Sostituire your-domain-name con il dominio personalizzato e your-tenant-name con il nome del tenant.

6. Nella sezione Autorizzazioni, selezionare la casella di controllo Concedi il consenso amministrativo per le autorizzazioni openid e offline_access.

7. Seleziona Registra.

8. Nella pagina Registrazioni app di Azure AD B2C selezionare l'applicazione creata e registrare l'ID applicazione (client) visualizzato nella pagina di panoramica dell'applicazione. Questo ID è necessario quando si configura il provider di identità nella sezione successiva.

9. Nel menu a sinistra, in Gestisci, selezionare Certificati & segreti.

10. Selezionare Nuova chiave segreta del client.

11. Immettere una descrizione per il segreto client nella casella Descrizione. Ad esempio: "FederationWithEntraID".

12. In Scade, selezionare per quanto tempo la chiave segreta è valida, e quindi selezionare Aggiungi.

13. Registrare il valore del segreto. Questo valore è necessario quando si configura il provider di identità nella sezione successiva.

Configurare il tenant di Azure AD B2C come provider di identità.

Creare l'endpoint well-known OpenID Connect: sostituire <your-B2C-tenant-name> con il nome del tenant di Azure AD B2C.

Se si usa un nome di dominio personalizzato, sostituire <custom-domain-name> con il dominio personalizzato. Sostituisci il <policy> con il nome del criterio configurato nel tenant B2C. Se si usa il pacchetto starter, si tratta del file B2C_1A_signup_signin.

https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

O

https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

1. Configurare l'URI dell'emittente come: https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/o se si usa un dominio personalizzato, usare il proprio dominio anziché your-b2c-tenant-name.b2clogin.com.
2. Per l'ID cliente , immettere l'ID dell'applicazione registrato in precedenza.
3. Selezionare l'autenticazione del client comeclient_secret.
4. Per segreto del client, inserire il segreto del client registrato in precedenza.
5. Per l'ambito , inserire openid profile email offline_access
6. Selezionare code come tipo di risposta.
7. Configurare i seguenti elementi per le mappature delle attestazioni:

• Sub: sub
• Nome: nome
• Nome specificato: given_name
• nome della famiglia: family_name
• Email (obbligatorio): email

Creare il provider di identità e collegarlo al flusso utente associato all'applicazione per l'accesso e l'iscrizione.

Contenuto correlato

• Aggiungere un provider personalizzato di identità OIDC come provider di identità esterno
• Configurare il mapping delle dichiarazioni OIDC