Condividi tramite


Aggiungere il tenant di Azure AD B2C come provider di identità OpenID Connect (anteprima)

Si applica a: cerchio bianco con un simbolo X grigio. tenant della forza lavoro cerchio verde con un simbolo di segno di spunta bianco. tenant esterni (altre)

Per configurare il tenant di Azure AD B2C come provider di identità, è necessario creare criteri personalizzati di Azure AD B2C e quindi un'applicazione.

Prerequisiti

Configurare i criteri personalizzati

Se è abilitato nel flusso utente, il tenant esterno potrebbe richiedere che il claim di posta elettronica venga restituito nel token dai criteri personalizzati di Azure AD B2C.

Scarica dal pannello Identity Experience Framework il file all'interno del tenant di Azure AD B2C dopo aver creato il pacchetto di avvio dei criteri personalizzati.

  1. Accedere al portale di Azure e selezionare Azure AD B2C.
  2. Nella pagina di panoramica, in Politicheselezionare Identity Experience Framework.
  3. Cercare e selezionare il file B2C_1A_signup_signin.
  4. Scarica B2C_1A_signup_signin.

Aprire il file B2C_1A_signup_signin.xml in un editor di testo. Nel nodo <OutputClaims> aggiungere l'attestazione di output seguente:

<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">

Salvare il file come e caricarlo tramite il pannello Identity Experience Framework all'interno del tenant di Azure AD B2C. Selezionare questa opzione per Sovrascrivere i criteri esistenti. Questo passaggio garantisce che l'indirizzo di posta elettronica venga emesso come attestazione all'ID Microsoft Entra dopo l'autenticazione in Azure AD B2C.

Registrare l'ID Microsoft Entra come applicazione

È necessario registrare Microsoft Entra ID come applicazione nel tenant di Azure AD B2C. Questo passaggio consente ad Azure AD B2C di rilasciare token all'ID Microsoft Entra per la federazione.

Per creare un'applicazione:

  1. Accedere al portale di Azure e selezionare Azure AD B2C.

  2. Selezionare l'opzione Registrazioni appe quindi selezionare Nuova registrazione.

  3. In Nomeinserire "Federation with Microsoft Entra ID".

  4. In Tipi di account supportatiselezionare account in qualsiasi provider di identità o directory organizzativa (per autenticare gli utenti con flussi utente).

  5. In URI di reindirizzamentoselezionare Webe quindi immettere l'URL seguente in tutte le lettere minuscole, in cui your-B2C-tenant-name viene sostituito con il nome del tenant Entra (ad esempio, Contoso):

    https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

    https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

    Per esempio:

    https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2

    https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2

    Se si usa un dominio personalizzato, immettere:

    https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp

    Sostituire your-domain-name con il dominio personalizzato e your-tenant-name con il nome del tenant.

  6. Nella sezione Autorizzazioni, selezionare la casella di controllo Concedi il consenso amministrativo per le autorizzazioni openid e offline_access.

  7. Seleziona Registra.

  8. Nella pagina Registrazioni app di Azure AD B2C selezionare l'applicazione creata e registrare l'ID applicazione (client) visualizzato nella pagina di panoramica dell'applicazione. Questo ID è necessario quando si configura il provider di identità nella sezione successiva.

  9. Nel menu a sinistra, in Gestisci, selezionare Certificati & segreti.

  10. Selezionare Nuovo segreto client.

  11. Immettere una descrizione per il segreto client nella casella Descrizione. Ad esempio: "FederationWithEntraID".

  12. In Scade, selezionare per quanto tempo la chiave segreta è valida, e quindi selezionare Aggiungi.

  13. Registrare il valore del segreto. Questo valore è necessario quando si configura il provider di identità nella sezione successiva.

Configurare il tenant di Azure AD B2C come provider di identità.

Creare l'endpoint well-known OpenID Connect: sostituire <your-B2C-tenant-name> con il nome del tenant di Azure AD B2C.

Se si usa un nome di dominio personalizzato, sostituire <custom-domain-name> con il dominio personalizzato. Sostituisci il <policy> con il nome del criterio configurato nel tenant B2C. Se si usa il pacchetto starter, si tratta del file B2C_1A_signup_signin.

https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

O

https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

  1. Configurare l'URI dell'emittente come: https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/o se si usa un dominio personalizzato, usare il proprio dominio anziché your-b2c-tenant-name.b2clogin.com.
  2. Per l'ID cliente , immettere l'ID dell'applicazione registrato in precedenza.
  3. Selezionare l'autenticazione del client comeclient_secret.
  4. Per segreto del client, inserire il segreto del client registrato in precedenza.
  5. Per l'ambito , inserire openid profile email offline_access
  6. Selezionare code come tipo di risposta.
  7. Configurare i seguenti elementi per le mappature delle attestazioni:
  • Sub: sub
  • Nome: nome
  • Nome specificato: given_name
  • nome della famiglia: family_name
  • Email: posta elettronica

Creare il provider di identità e collegarlo al flusso utente associato all'applicazione per l'accesso e l'iscrizione.