Een technisch OAuth2-profiel definiëren in een aangepast Azure Active Directory B2C-beleid
Notitie
In Azure Active Directory B2C is een aangepast beleid voornamelijk bedoeld om complexe scenario's aan te pakken. Voor de meeste scenario's raden we u aan de ingebouwde gebruikersstromen te gebruiken. Als u dit nog niet hebt gedaan, vindt u meer informatie over aangepast beleid in het starterspakket in Aan de slag met aangepaste beleidsregels in Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) biedt ondersteuning voor de OAuth2-protocolidentiteitsprovider. OAuth2 is het primaire protocol voor autorisatie en gedelegeerde verificatie. Zie RFC 6749 The OAuth 2.0 Authorization Framework voor meer informatie. Met een technisch OAuth2-profiel kunt u federeren met een id-provider op basis van OAuth2, zoals Facebook. Door te federeren met een id-provider kunnen gebruikers zich aanmelden met hun bestaande sociale of bedrijfsidentiteiten.
Protocol
Het kenmerk Naam van het element Protocol moet worden ingesteld op OAuth2. Het protocol voor het technische profiel Facebook-OAUTH is OAuth2bijvoorbeeld :
<TechnicalProfile Id="Facebook-OAUTH">
<DisplayName>Facebook</DisplayName>
<Protocol Name="OAuth2" />
...
Invoerclaims
De elementen InputClaims en InputClaimsTransformations zijn niet vereist. Maar misschien wilt u meer parameters naar uw id-provider verzenden. In het volgende voorbeeld wordt de parameter domain_hint queryreeks met de waarde van contoso.com toegevoegd aan de autorisatieaanvraag.
<InputClaims>
<InputClaim ClaimTypeReferenceId="domain_hint" DefaultValue="contoso.com" />
</InputClaims>
Uitvoerclaims
Het element OutputClaims bevat een lijst met claims die worden geretourneerd door de OAuth2-id-provider. Mogelijk moet u de naam van de claim die in uw beleid is gedefinieerd toewijzen aan de naam gedefinieerd in de id-provider. U kunt ook de claims opnemen die niet worden geretourneerd door de id-provider zolang u het DefaultValue kenmerk instelt.
Het element OutputClaimsTransformations kan een verzameling OutputClaimsTransformation-elementen bevatten die worden gebruikt om uitvoerclaims te wijzigen of nieuwe te genereren.
In het volgende voorbeeld ziet u de claims die zijn geretourneerd door de Facebook-id-provider:
- De claim first_name wordt toegewezen aan claim givenName.
- De claim last_name wordt toegewezen aan claim surname.
- De claim displayName zonder naamtoewijzing.
- Claim email wordt niet aan een naam toegewezen.
Het technische profiel retourneert ook de claims die niet worden geretourneerd door de id-provider:
- Claim identityProvider die de naam van de id-provider bevat.
- De claim authenticationSource met standaardwaarde socialIdpAuthentication.
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" />
<OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="first_name" />
<OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="last_name" />
<OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
<OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
<OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="facebook.com" />
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
</OutputClaims>
Metagegevens van autorisatie-eindpunten
De autorisatiestroom begint wanneer Azure AD B2C de gebruiker omstuurt naar het eindpunt van de OAuth2-id-providers/authorize. De aanroep van het autorisatie-eindpunt is het interactieve deel van de stroom, waar de gebruiker actie onderneemt. Op dit moment wordt de gebruiker gevraagd om de aanmelding bij de OAuth2-id-provider te voltooien. Bijvoorbeeld door hun gebruikersnaam en wachtwoord in te voeren.
Azure AD B2C maakt een autorisatieaanvraag door de client-id, bereiken, omleidings-URI en andere parameters op te geven die nodig zijn om een toegangstoken van de id-provider te verkrijgen. In deze sectie worden de metagegevens van het autorisatie-eindpunt beschreven, waarmee de aanvraag kan worden geconfigureerd voor het /authorize eindpunt van de id-provider.
De aanvraag voor het autorisatie-eindpunt is altijd HTTP GET. In het volgende voorbeeld ziet u een aanroep naar het autorisatie-eindpunt.
GET https://login.contoso.com/oauth/v2/authorization?
client_id=12345
&response_type=code
&response_mode=query
&redirect_uri=urn%3Aietf%3Awg%3Aoauth%3A2.0%3Aoob
&scope=profile%20offline_access
&redirect_uri=https%3a%2f%2fabrikam.b2clogin.com%2fabrikam.onmicrosoft.com%2foauth2%2fauthresp
&state=...
De volgende tabel bevat de metagegevens van het autorisatie-eindpunt.
| Kenmerk | Vereist | Beschrijving |
|---|---|---|
authorization_endpoint |
Ja | De URL van het autorisatie-eindpunt volgens RFC 6749. |
client_id |
Ja | De toepassings-id van de id-provider. |
AdditionalRequestQueryParameters |
Nee | Extra queryparameters voor aanvragen. U kunt bijvoorbeeld extra parameters naar uw id-provider verzenden. U kunt meerdere parameters opnemen met behulp van een kommascheidingsteken. |
response_mode |
Nee | De methode die de id-provider gebruikt om het resultaat terug te sturen naar Azure AD B2C. Mogelijke waarden: query, form_post (standaard) of fragment. |
scope |
Nee | Het bereik van de aanvraag dat is gedefinieerd volgens de specificatie van de OAuth2-id-provider.
openidZoals , profileen email. |
UsePolicyInRedirectUri |
Nee | Geeft aan of een beleid moet worden gebruikt bij het samenstellen van de omleidings-URI. Wanneer u uw toepassing configureert in de id-provider, moet u de omleidings-URI opgeven. De omleidings-URI verwijst naar Azure AD B2C, https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp. Als u opgeeft true, moet u een omleidings-URI toevoegen voor elk beleid dat u gebruikt. Bijvoorbeeld: https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/{policy-name}/oauth2/authresp. |
Metagegevens van tokeneindpunten
Nadat de gebruiker de verificatie op het autorisatie-eindpunt van de id-provider heeft voltooid, wordt een antwoord met de autorisatie code geretourneerd naar Azure AD B2C. Azure AD B2C wisselt de autorisatiecode in voor een toegangstoken door een POST-aanvraag te verzenden naar het /token eindpunt van de id-provider. In deze sectie worden de metagegevens van het tokeneindpunt beschreven, waarmee de aanvraag kan worden geconfigureerd voor het /token eindpunt van de id-provider.
De volgende HTTP-aanvraag toont een Azure AD B2C-aanroep naar het tokeneindpunt van de id-provider.
POST https://contoso/oauth2/token
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&client_id=12345&scope=profile offline_access&code=AwABAAAAvPM1KaPlrEqdFSBzjqfTGBCmLdgfSTLEMPGYuNHSUYBrq...
De volgende tabel bevat de metagegevens van het tokeneindpunt.
| Kenmerk | Vereist | Beschrijving |
|---|---|---|
AccessTokenEndpoint |
Ja | De URL van het tokeneindpunt. Bijvoorbeeld https://www.linkedin.com/oauth/v2/accessToken. |
HttpBinding |
Nee | De verwachte HTTP-binding voor het tokeneindpunt. Mogelijke waarden: GET of POST. |
AccessTokenResponseFormat |
Nee | De indeling van de eindpuntoproep van het toegangstoken. Facebook vereist bijvoorbeeld een HTTP GET-methode, maar het antwoord op het toegangstoken heeft de JSON-indeling. Mogelijke waarden: Default, Jsonen JsonP. |
ExtraParamsInAccessTokenEndpointResponse |
Nee | Bevat de extra parameters die kunnen worden geretourneerd in het antwoord van AccessTokenEndpoint door sommige id-providers. Het antwoord van AccessTokenEndpoint bevat bijvoorbeeld een extra parameter, zoals openid, wat een verplichte parameter is naast de access_token in een queryreeks ClaimsEndpoint-aanvraag . Meerdere parameternamen moeten worden ge escaped en gescheiden door het scheidingsteken komma ','. |
token_endpoint_auth_method |
Nee | Hiermee geeft u op hoe Azure AD B2C de verificatieheader naar het tokeneindpunt verzendt. Mogelijke waarden: client_secret_post (standaard) en client_secret_basic, private_key_jwt. Zie de sectie OpenID Connect-clientverificatie voor meer informatie. |
token_signing_algorithm |
Nee | Hiermee geeft u het ondertekeningsalgoritme op dat moet worden gebruikt wanneer token_endpoint_auth_method is ingesteld op private_key_jwt. Mogelijke waarden: RS256 (standaard) of RS512. |
HTTP-bindingsmethode configureren
De aanvraag voor het tokeneindpunt maakt standaard gebruik van HTTP POST.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">POST</Item>
In de volgende HTTP-aanroep ziet u een aanroep naar het tokeneindpunt met behulp van een HTTP POST-aanvraag:
POST /oauth2/token
client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Voor id-providers waarvoor het gebruik van de HTTP GET-methode op het /token eindpunt is vereist, stelt u de HttpBinding metagegevens in op GET. In het volgende voorbeeld is de AccessTokenResponseFormat ingesteld op json, omdat het tokeneindpunt het antwoord in JSON-indeling retourneert.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="AccessTokenResponseFormat">json</Item>
GET /oauth2/token?client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
De antwoordindeling van het toegangstoken configureren
Voor id-providers die de HTTP POST-methode ondersteunen, is de AccessTokenResponseFormat standaard ingesteld op json. Als de id-provider HTTP GET-aanvragen ondersteunt, moet u de antwoordindeling van het toegangstoken expliciet instellen op json .
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="AccessTokenResponseFormat">json</Item>
In het volgende voorbeeld ziet u een antwoord van een tokeneindpunt in JSON-indeling:
{
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...",
"token_type": "Bearer",
"not_before": 1637924390,
"expires_in": 960000,
}
De verificatiemethode configureren
Voor aanvragen naar het tokeneindpunt is altijd verificatie vereist. Standaard Azure AD B2C clientreferenties aan de id-provider verstrekt. Standaard is client_secret_postde verificatiemethode , inclusief de clientreferenties (client_id en client_secret) in de aanvraagtekst.
De volgende HTTP-aanvraag voor het tokeneindpunt bevat de client_id en de client_secret in de POST-gegevens. Voor GET-aanvragen client_id en de client_secret zijn opgenomen in de queryreeksparameters.
POST /oauth2/token
client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Voor id-providers die het gebruik van HTTP-basisverificatie op hun /token eindpunt vereisen, configureert u de token_endpoint_auth_method metagegevens naar client_secret_basic. Met dit type verificatiemethode worden de clientreferenties doorgegeven aan de id-provider met behulp van het HTTP Basic-verificatieschema.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="token_endpoint_auth_method">client_secret_basic</Item>
In de volgende HTTP-aanvraag ziet u een aanroep naar het tokeneindpunt met HTTP-basisverificatie. De autorisatieheader bevat de client-id en het clientgeheim, in de indeling client_ID:client_secret, base64 gecodeerd.
POST /oauth2/token
Authorization: Basic YWJjZDoxMjM0
redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Voor id-providers die ondersteuning bieden voor JWT-verificatie met persoonlijke sleutels, configureert u de token_endpoint_auth_method metagegevens in private_key_jwt. Met dit type verificatiemethode wordt het certificaat dat is opgegeven aan Azure AD B2C gebruikt om een ondertekende assertie te genereren, die via de parameter wordt doorgegeven aan de client_assertion id-provider. De client_assertion_type ingesteld op urn:ietf:params:oauth:client-assertion-type:jwt-bearer. De token_signing_algorithm metagegevens geven het ondertekeningsalgoritme van het JWT-token aan.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="token_endpoint_auth_method">private_key_jwt</Item>
<Item Key="token_signing_algorithm">RS256</Item>
In de volgende HTTP-aanvraag ziet u een aanroep naar het tokeneindpunt met behulp van JWT-verificatie met een persoonlijke sleutel.
POST /oauth2/token
client_assertion=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsImtpZCI6IjJFRFg0dWRYeDIxbXNoaXdJVzczMUY3OUZSbFJiUDZXVXJyZmktR1RFeVkifQ.eyJpc3MiOiJhYmNkIiwiZXhwIjoxNjM3OTI5ODY0LCJuYmYiOjE2Mzc5Mjk1NjQsImF1ZCI6Imh0dHBzOi8vNWRlNC0xMDktNjQtMTI0LTUzLm5ncm9rLmlvL2FjY2Vzc190b2tlbiIsImp0aSI6IjVxQWlGV2lEODNDbU1KWWNrejBRdGc9PSIsInN1YiI6ImFiY2QiLCJpYXQiOjE2Mzc5Mjk1NjR9.C4OtRnrLaQatpT5LP45O5Nb418S4v8yZi_C42ld440w&client_id=abcd&client_assertion_type=urn%3aietf%3aparams%3aoauth%3aclient-assertion-type%3ajwt-bearer&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Metagegevens van eindpunten voor gebruikersgegevens
Nadat Azure AD B2C het toegangstoken van de OAuth2-id-provider heeft opgehaald, wordt het eindpunt voor gebruikersgegevens aangeroepen. Het eindpunt voor gebruikersgegevens, ook wel claimeindpunt genoemd, is ontworpen om claims over de geverifieerde gebruiker op te halen. Azure AD B2C gebruikt bearer-tokenverificatie om te verifiëren bij het gebruikersgegevenseindpunt van de id-providers. Het Bearer-token is het toegangstoken dat Azure AD B2C verkrijgt van het eindpunt van de id-providers/token.
De aanvraag voor het eindpunt van de gebruikersgegevens is altijd HTTP GET. Het toegangstoken wordt verzonden in een queryreeksparameter met de naam access_token. De volgende HTTP-aanvraag toont een aanroep naar het eindpunt voor gebruikersgegevens met het toegangstoken in de queryreeksparameter.
GET /oauth2/claims?access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
De volgende tabel bevat de metagegevens van het eindpunt voor gebruikersgegevens.
| Kenmerk | Vereist | Beschrijving |
|---|---|---|
ClaimsEndpoint |
Ja | De URL van het eindpunt voor gebruikersgegevens. Bijvoorbeeld https://api.linkedin.com/v2/me. |
ClaimsEndpointAccessTokenName |
Nee | De naam van de queryreeksparameter van het toegangstoken. Standaardwaarde: access_token. |
ClaimsEndpointFormatName |
Nee | De naam van de notatiequerytekenreeksparameter. U kunt bijvoorbeeld de naam instellen als format in dit Eindpunt https://api.linkedin.com/v1/people/~?format=jsonvoor LinkedIn-claims. |
ClaimsEndpointFormat |
Nee | De waarde van de notatiequeryreeksparameter. U kunt bijvoorbeeld de waarde instellen zoals json in dit Eindpunt https://api.linkedin.com/v1/people/~?format=jsonvoor LinkedIn-claims . |
BearerTokenTransmissionMethod |
Nee | Hiermee geeft u op hoe het token wordt verzonden. De standaardmethode is een querytekenreeks. Als u het token als aanvraagheader wilt verzenden, stelt u in op AuthorizationHeader. |
ExtraParamsInClaimsEndpointRequest |
Nee | Bevat de extra parameters die door sommige id-providers kunnen worden geretourneerd in de ClaimEindpunt-aanvraag . Meerdere parameternamen moeten worden ge escaped en gescheiden door het scheidingsteken komma ','. |
De querytekenreeksparameter van het toegangstoken configureren
Het eindpunt voor gebruikersgegevens kan vereisen dat het toegangstoken wordt verzonden in een bepaalde queryreeksparameter. Gebruik de metagegevens om de naam van de querytekenreeksparameter, die het toegangstoken bevat, ClaimsEndpointAccessTokenName te wijzigen. In het volgende voorbeeld is de queryreeksparameter van het toegangstoken ingesteld op token.
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="ClaimsEndpointAccessTokenName">token</Item>
De volgende HTTP-aanroep demonstreert een aanroep naar het eindpunt voor gebruikersgegevens met ClaimsEndpointAccessTokenName ingesteld op token:
GET /oauth2/claims?token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
De claimindeling configureren
Met ClaimsEndpointFormatName en ClaimsEndpointFormat kunt u een queryreeksparameter voor sleutel-waardepaar verzenden naar het eindpunt voor gebruikersgegevens. In het volgende voorbeeld wordt een queryreeksparameter met de naam formatgeconfigureerd met de waarde van json.
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="ClaimsEndpointFormatName">format</Item>
<Item Key="ClaimsEndpointFormat">json</Item>
In de volgende HTTP-aanvraag ziet u een aanroep naar het eindpunt voor gebruikersgegevens met ClaimsEndpointFormatName en ClaimsEndpointFormat geconfigureerd.
GET /oauth2/claims?format=json&access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Overdrachtsmethode van Bearer-token configureren
Het toegangstoken wordt standaard via een querytekenreeksparameter verzonden naar het gebruikersgegevenseindpunt van de id-providers. Als u het token binnen de HTTP-header Authorization wilt verzenden, stelt u metagegevens in BearerTokenTransmissionMethod op AuthorizationHeader.
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>
De volgende HTTP-aanvraag laat zien hoe het toegangstoken wordt doorgegeven wanneer BearerTokenTransmissionMethod is ingesteld op AuthorizationHeader.
GET /oauth2/claims
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Parameters doorgeven die worden geretourneerd door het tokeneindpunt
Sommige id-providers moeten extra parameters doorgeven die worden geretourneerd van het tokeneindpunt aan het eindpunt voor gebruikersgegevens. Het antwoord van het tokeneindpunt bevat bijvoorbeeld een parameter met de naam resource. Dit is een verplichte parameter van het eindpunt voor gebruikersgegevens (naast het toegangstoken). Gebruik de ExtraParamsInClaimsEndpointRequest metagegevens om extra parameters op te geven die moeten worden doorgegeven. Meerdere parameternamen moeten worden ge escaped en gescheiden door het scheidingsteken komma ','.
De volgende JSON demonstreert een JSON-nettolading die wordt geretourneerd door het tokeneindpunt met een parameter met de naam resource.
{
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...",
"token_type": "Bearer",
"not_before": 1549647431,
"expires_in": 960000,
"resource": "f2a76e08-93f2-4350-833c-965c02483b11"
}
Als u de resource parameter wilt doorgeven aan het eindpunt voor gebruikersgegevens, voegt u de volgende metagegevens toe:
<Item Key="ExtraParamsInClaimsEndpointRequest">resource</Item>
De volgende HTTP-aanvraag laat zien hoe de resource parameter wordt doorgegeven aan het eindpunt voor gebruikersgegevens.
GET /oauth2/claims?resource=f2a76e08-93f2-4350-833c-965c02483b11&access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Eindpunt van sessie beëindigen
Als u de gebruiker wilt afmelden bij de toepassing, leidt u de gebruiker om naar het Azure AD B2C-afmeldingseindpunt (voor zowel OAuth2 als OpenID Connect) of verzendt u een LogoutRequest (voor SAML). Azure AD B2C de sessie van de gebruiker uit de browser zal wissen. Bij een afmeldingsaanvraag probeert Azure AD B2C zich af te melden bij federatieve id-providers die de gebruiker mogelijk heeft aangemeld. De afmeldings-URI van de OAuth2-id-provider wordt geconfigureerd in de end_session_endpoint metagegevens. Wanneer de gebruiker zich afmeldt bij uw toepassing via Azure AD B2C, wordt er een verborgen iframe gemaakt dat de aanroept op de end_session_endpoint Azure AD B2C-afmeldingspagina.
De volgende tabel bevat de metagegevens van het eindpunt voor gebruikersgegevens.
| Kenmerk | Vereist | Beschrijving |
|---|---|---|
end_session_endpoint |
Ja | De URL van het eindpunt van de eindsessie volgens RFC 6749. |
SingleLogoutEnabled |
No | Hiermee wordt aangegeven of tijdens het aanmelden van het technische profiel wordt geprobeerd om zich af te melden bij federatieve id-providers. Raadpleeg Azure AD B2C-sessie afmelden voor meer informatie. Mogelijke waarden: true (standaard) of false. |
Algemene OAuth2-metagegevens
De volgende tabel bevat de algemene metagegevens van de OAuth2-id-provider. De metagegevens beschrijven hoe het technische OAuth2-profiel tokenvalidatie verwerkt, de claims opvragen en reageren op foutberichten.
| Kenmerk | Vereist | Beschrijving |
|---|---|---|
IdTokenAudience |
Nee | Het publiek van de id_token. Indien opgegeven, controleert Azure AD B2C of het token zich in een claim bevindt die wordt geretourneerd door de id-provider en gelijk is aan de opgegeven claim. |
ProviderName |
Nee | De naam van de id-provider. |
ResponseErrorCodeParamName |
Nee | De naam van de parameter die het foutbericht bevat dat is geretourneerd via HTTP 200 (OK). |
IncludeClaimResolvingInClaimsHandling |
No | Geeft voor de invoer- en uitvoerclaims aan of claimsoplossing is opgenomen in het technische profiel. Mogelijke waarden: true of false (standaard). Als u een claimsresolver wilt gebruiken in het technische profiel, stel dit in op true. |
ResolveJsonPathsInJsonTokens |
Nee | Hiermee wordt aangegeven of het technische profiel JSON-paden oplost. Mogelijke waarden: true of false (standaard). Gebruik deze metagegevens om gegevens te lezen uit een genest JSON-element. Stel in een OutputClaim de PartnerClaimType in op het JSON-padelement dat u wilt uitvoeren. Bijvoorbeeld: firstName.localized, of data[0].to[0].email. |
Cryptografische sleutels
Het element CryptographicKeys bevat het volgende kenmerk:
| Kenmerk | Vereist | Beschrijving |
|---|---|---|
client_secret |
Ja | Het clientgeheim van de id-providertoepassing. De cryptografische sleutel is alleen vereist als de response_types metagegevens is ingesteld op code. In dit geval voert Azure AD B2C nog een aanroep uit om de autorisatiecode uit te wisselen voor een toegangstoken. Als de metagegevens zijn ingesteld op id_token, kunt u de cryptografische sleutel weglaten. |
assertion_signing_key |
Nee | Wanneer de token_endpoint_auth_method metagegevens zijn ingesteld op private_key_jwt, geeft u een X509-certificaat op om de JWT-sleutel te ondertekenen. Deze sleutel moet aan u worden verstrekt door de OAuth2-id-provider. |
Omleidings-URI
Wanneer u de omleidings-URI van uw id-provider configureert, voert u in https://{tenant-name}.b2clogin.com/{tenant-name}.onmicrosoft.com/oauth2/authresp. Vervang door {tenant-name} de naam van uw tenant (bijvoorbeeld contosob2c). De omleidings-URI moet in kleine letters staan.
Volgende stappen
- Meer informatie over het toevoegen van een id-provider aan uw Azure Active Directory B2C-tenant