Udostępnij za pośrednictwem

Konfigurowanie przepływu logowania w usłudze Azure Active Directory B2C

  • Artykuł

Przed rozpoczęciem użyj selektora Wybierz typ zasad, aby wybrać typ konfigurowanych zasad. Usługa Azure Active Directory B2C oferuje dwie metody definiowania sposobu interakcji użytkowników z aplikacjami: za pomocą wstępnie zdefiniowanych przepływów użytkowników lub w pełni konfigurowalnych zasad niestandardowych. Kroki wymagane w tym artykule są różne dla każdej metody.

Omówienie przepływu logowania

Zasady logowania umożliwiają użytkownikom:

  • Logowanie się przy użyciu konta lokalnego usługi Azure AD B2C
  • Użytkownicy mogą logować się przy użyciu konta społecznościowego
  • Resetowanie hasła
  • Użytkownicy nie mogą zarejestrować się w celu uzyskania konta lokalnego usługi Azure AD B2C. Aby utworzyć konto, administrator może użyć witryny Azure Portal lub interfejsu API programu Microsoft Graph.

Profile editing flow

Wymagania wstępne

Tworzenie przepływu użytkownika logowania

Aby dodać zasady logowania:

  1. Zaloguj się w witrynie Azure Portal.

  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.

  3. W witrynie Azure Portal wyszukaj i wybierz pozycję Azure AD B2C.

  4. W obszarze Zasady wybierz pozycję Przepływy użytkownika, a następnie wybierz pozycję Nowy przepływ użytkownika.

  5. Na stronie Tworzenie przepływu użytkownika wybierz przepływ Logowania użytkownika.

  6. W obszarze Wybierz wersję wybierz pozycję Zalecane, a następnie wybierz pozycję Utwórz. (Dowiedz się więcej o wersjach przepływu użytkownika).

  7. Wprowadź nazwę przepływu użytkownika. Na przykład signupsignin1.

  8. W obszarze Dostawcy tożsamości wybierz co najmniej jednego dostawcę tożsamości:

    • W obszarze Konta lokalne wybierz jedną z następujących pozycji: Logowanie e-mail, Logowanie za pomocą identyfikatora użytkownika, Telefon logowanie, Telefon/Logowanie e-mail, Identyfikator użytkownika/Logowanie e-mail lub Brak. Dowiedz się więcej.
    • W obszarze Dostawcy tożsamości społecznościowych wybierz dowolnego z zewnętrznych dostawców tożsamości społecznościowych lub przedsiębiorstwa skonfigurowanych. Dowiedz się więcej.

  9. W obszarze Uwierzytelnianie wieloskładnikowe, jeśli chcesz, aby użytkownicy musieli zweryfikować swoją tożsamość przy użyciu drugiej metody uwierzytelniania, wybierz typ metody i czas wymuszania uwierzytelniania wieloskładnikowego (MFA). Dowiedz się więcej.

  10. W obszarze Dostęp warunkowy, jeśli skonfigurowano zasady dostępu warunkowego dla dzierżawy usługi Azure AD B2C i chcesz je włączyć dla tego przepływu użytkownika, zaznacz pole wyboru Wymuszaj zasady dostępu warunkowego. Nie musisz określać nazwy zasad. Dowiedz się więcej.

  11. W obszarze Oświadczenia aplikacji wybierz oświadczenia, które mają zostać zwrócone do aplikacji w tokenie. Aby uzyskać pełną listę wartości, wybierz pozycję Pokaż więcej, wybierz wartości, a następnie wybierz przycisk OK.

    Uwaga

    Możesz również utworzyć atrybuty niestandardowe do użycia w dzierżawie usługi Azure AD B2C.

  12. Kliknij przycisk Utwórz , aby dodać przepływ użytkownika. Prefiks B2C_1 jest automatycznie poprzedzony nazwą.

Testowanie przepływu użytkownika

  1. Wybierz utworzony przepływ użytkownika, aby otworzyć jego stronę przeglądu, a następnie wybierz pozycję Uruchom przepływ użytkownika.
  2. W polu Aplikacja wybierz aplikację internetową o nazwie webapp1 , która została wcześniej zarejestrowana. Adres URL odpowiedzi powinien zawierać wartość https://jwt.ms.
  3. Kliknij pozycję Uruchom przepływ użytkownika.
  4. Powinno być możliwe zalogowanie się przy użyciu utworzonego konta (przy użyciu interfejsu API programu MS Graph) bez linku rejestracji. Zwrócony token zawiera wybrane oświadczenia.

Profil techniczny SelfAsserted-LocalAccountSignin-Email jest self-asserted, który jest wywoływany podczas przepływu rejestracji lub logowania. Aby usunąć link rejestracji, ustaw setting.showSignupLink metadane na false. Zastąp profile techniczne SelfAsserted-LocalAccountSignin-Email w pliku rozszerzenia.

  1. Otwórz plik rozszerzeń zasad. Na przykład SocialAndLocalAccounts/TrustFrameworkExtensions.xml.

  2. ClaimsProviders Znajdź element . Jeśli element nie istnieje, dodaj go.

  3. Dodaj następującego dostawcę oświadczeń do ClaimsProviders elementu:

    <!--
<ClaimsProviders> -->
  <ClaimsProvider>
    <DisplayName>Local Account</DisplayName>
    <TechnicalProfiles>
      <TechnicalProfile Id="SelfAsserted-LocalAccountSignin-Email">
        <Metadata>
          <Item Key="setting.showSignupLink">false</Item>
        </Metadata>
      </TechnicalProfile>
    </TechnicalProfiles>
  </ClaimsProvider>
<!--
</ClaimsProviders> -->

  4. W elemencie <BuildingBlocks> dodaj następujący element ContentDefinition , aby odwołać się do wersji 1.2.0 lub nowszego identyfikatora URI danych:

    <!-- 
<BuildingBlocks> 
  <ContentDefinitions>-->
    <ContentDefinition Id="api.localaccountsignup">
      <DataUri>urn:com:microsoft:aad:b2c:elements:contract:unifiedssp:1.2.0</DataUri>
    </ContentDefinition>
  <!--
  </ContentDefinitions>
</BuildingBlocks> -->

Aktualizowanie i testowanie zasad

  1. Zaloguj się w witrynie Azure Portal.
  2. Jeśli masz dostęp do wielu dzierżaw, wybierz ikonę Ustawienia w górnym menu, aby przełączyć się do dzierżawy usługi Azure AD B2C z menu Katalogi i subskrypcje.
  3. Wybierz pozycję Wszystkie usługi w lewym górnym rogu witryny Azure Portal, a następnie wyszukaj i wybierz pozycję Rejestracje aplikacji.
  4. Wybierz pozycję Identity Experience Framework(Struktura obsługi tożsamości).
  5. Wybierz pozycję Przekaż zasady niestandardowe, a następnie przekaż zmieniony plik zasad TrustFrameworkExtensions.xml.
  6. Wybierz przekazane zasady logowania, a następnie kliknij przycisk Uruchom teraz .
  7. Powinno być możliwe zalogowanie się przy użyciu utworzonego konta (przy użyciu interfejsu API programu MS Graph) bez linku rejestracji.

Następne kroki