Aggiungere il tenant di Azure AD B2C come provider di identità OpenID Connect (anteprima)
Si applica a: cerchio bianco tenant della forza lavoro
tenant esterni (altre)
Per configurare il tenant di Azure AD B2C come provider di identità, è necessario creare criteri personalizzati di Azure AD B2C e quindi un'applicazione.
Prerequisiti
- Il tenant di Azure AD B2C configurato con il pacchetto di avvio dei criteri personalizzato. Vedere Esercitazione - Creare flussi utente e criteri personalizzati - Azure Active Directory B2C | Microsoft Learn
Configurare i criteri personalizzati
Se è abilitato nel flusso utente, il tenant esterno potrebbe richiedere che il claim di posta elettronica venga restituito nel token dai criteri personalizzati di Azure AD B2C.
Scarica dal pannello
- Accedere al portale di Azure e selezionare Azure AD B2C.
- Nella pagina di panoramica, in Politicheselezionare Identity Experience Framework.
- Cercare e selezionare il file
B2C_1A_signup_signin
. - Scarica
B2C_1A_signup_signin
.
Aprire il file B2C_1A_signup_signin.xml
in un editor di testo. Nel nodo <OutputClaims>
aggiungere l'attestazione di output seguente:
<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">
Salvare il file come
Registrare l'ID Microsoft Entra come applicazione
È necessario registrare Microsoft Entra ID come applicazione nel tenant di Azure AD B2C. Questo passaggio consente ad Azure AD B2C di rilasciare token all'ID Microsoft Entra per la federazione.
Per creare un'applicazione:
Selezionare l'opzione Registrazioni appe quindi selezionare Nuova registrazione.
In Nomeinserire "Federation with Microsoft Entra ID".
In Tipi di account supportatiselezionare account in qualsiasi provider di identità o directory organizzativa (per autenticare gli utenti con flussi utente).
In URI di reindirizzamentoselezionare Webe quindi immettere l'URL seguente in tutte le lettere minuscole, in cui
your-B2C-tenant-name
viene sostituito con il nome del tenant Entra (ad esempio, Contoso):https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2
https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2
Per esempio:
https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2
https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2
Se si usa un dominio personalizzato, immettere:
https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp
Sostituire
your-domain-name
con il dominio personalizzato eyour-tenant-name
con il nome del tenant.Nella sezione Autorizzazioni, selezionare la casella di controllo Concedi il consenso amministrativo per le autorizzazioni openid e offline_access.
Seleziona Registra.
Nella pagina Registrazioni app di Azure AD B2C selezionare l'applicazione creata e registrare l'ID applicazione (client) visualizzato nella pagina di panoramica dell'applicazione. Questo ID è necessario quando si configura il provider di identità nella sezione successiva.
Nel menu a sinistra, in Gestisci, selezionare Certificati & segreti.
Selezionare Nuovo segreto client.
Immettere una descrizione per il segreto client nella casella Descrizione. Ad esempio: "FederationWithEntraID".
In Scade, selezionare per quanto tempo la chiave segreta è valida, e quindi selezionare Aggiungi.
Registrare il valore del segreto. Questo valore è necessario quando si configura il provider di identità nella sezione successiva.
Configurare il tenant di Azure AD B2C come provider di identità.
Creare l'endpoint well-known
OpenID Connect: sostituire <your-B2C-tenant-name>
con il nome del tenant di Azure AD B2C.
Se si usa un nome di dominio personalizzato, sostituire <custom-domain-name>
con il dominio personalizzato. Sostituisci il <policy>
con il nome del criterio configurato nel tenant B2C. Se si usa il pacchetto starter, si tratta del file B2C_1A_signup_signin
.
https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration
O
https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration
- Configurare l'URI dell'emittente come:
https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/
o se si usa un dominio personalizzato, usare il proprio dominio anzichéyour-b2c-tenant-name.b2clogin.com
. - Per l'ID cliente , immettere l'ID dell'applicazione registrato in precedenza.
- Selezionare l'autenticazione del client come
client_secret
. - Per segreto del client, inserire il segreto del client registrato in precedenza.
- Per l'ambito , inserire
openid profile email offline_access
- Selezionare
code
come tipo di risposta. - Configurare i seguenti elementi per le mappature delle attestazioni:
- Sub: sub
- Nome: nome
- Nome specificato: given_name
- nome della famiglia: family_name
- Email: posta elettronica
Creare il provider di identità e collegarlo al flusso utente associato all'applicazione per l'accesso e l'iscrizione.