Jak autoryzować konta deweloperów przy użyciu usługi Azure Active Directory B2C w usłudze Azure API Management
DOTYCZY: Developer | Podstawowa wersja 2 | Standardowa | Standardowa, wersja 2 | Premium | Premium, wersja 2
Azure Active Directory B2C to rozwiązanie do zarządzania tożsamościami w chmurze dla aplikacji sieci Web i mobilnych przeznaczonych dla konsumentów. Służy do zarządzania dostępem do portalu deweloperów usługi API Management.
W tym samouczku poznasz konfigurację wymaganą w usłudze API Management do integracji z usługą Azure Active Directory B2C.
Aby zapoznać się z omówieniem opcji zabezpieczania portalu deweloperów, zobacz Bezpieczny dostęp do portalu deweloperów usługi API Management.
Ważne
- Ten artykuł został zaktualizowany o kroki konfigurowania aplikacji usługi Azure AD B2C przy użyciu biblioteki Microsoft Authentication Library (MSAL).
- Jeśli wcześniej skonfigurowano aplikację usługi Azure AD B2C na potrzeby logowania użytkownika przy użyciu biblioteki Azure AD Authentication Library (ADAL), zalecamy przeprowadzenie migracji do biblioteki MSAL.
Wymagania wstępne
- Dzierżawa usługi Azure Active Directory B2C, w której ma zostać utworzona aplikacja. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Active Directory B2C.
- Wystąpienie usługi API Management. Jeśli jeszcze go nie masz, utwórz wystąpienie usługi Azure API Management.
Konfigurowanie przepływu rejestracji i logowania użytkownika
W tej sekcji utworzysz przepływ użytkownika w dzierżawie usługi Azure Active Directory B2C zawierającej zasady rejestracji i logowania. Aby uzyskać szczegółowe instrukcje, zobacz Tworzenie przepływów użytkownika i zasad niestandardowych w usłudze Azure Active Directory B2C.
- W witrynie Azure Portal uzyskaj dostęp do dzierżawy usługi Azure Active Directory B2C.
- W obszarze Zasady wybierz pozycję Przepływy> użytkownika+ Nowy przepływ użytkownika.
- Na stronie Tworzenie przepływu użytkownika wybierz przepływ Rejestracja i logowanie użytkownika. Wybierz zalecaną wersję, a następnie wybierz pozycję Utwórz.
- Na stronie Tworzenie podaj następujące informacje:
- Wprowadź unikatową nazwę przepływu użytkownika.
- W obszarze Dostawcy tożsamości wybierz pozycję Rejestracja pocztą e-mail.
- W obszarze Atrybuty użytkownika i oświadczenia tokenu wybierz następujące atrybuty i oświadczenia, które są wymagane dla portalu deweloperów usługi API Management.
Zbieranie atrybutów: imię, nazwisko
Oświadczenia zwrotne: imię, nazwisko, adresy e-mail, identyfikator ObjectID użytkownika
- Wybierz pozycję Utwórz.
Konfigurowanie dostawcy tożsamości dla portalu dla deweloperów
Na osobnej karcie witryny Azure Portal przejdź do wystąpienia usługi API Management.
W obszarze Portal deweloperów wybierz pozycję Tożsamości>+ Dodaj.
Na stronie Dodawanie dostawcy tożsamości wybierz pozycję Azure Active Directory B2C. Po wybraniu tej opcji będzie można wprowadzić inne niezbędne informacje.
- Z listy rozwijanej Biblioteka klienta wybierz pozycję MSAL.
- Aby dodać inne ustawienia, zobacz kroki opisane w dalszej części artykułu.
W oknie Dodawanie dostawcy tożsamości skopiuj adres URL przekierowania.
Wróć do karty przeglądarki dla dzierżawy usługi Azure Active Directory B2C w witrynie Azure Portal. Wybierz pozycję Rejestracje aplikacji>+ Nowa rejestracja.
Na stronie Rejestrowanie aplikacji wprowadź informacje o rejestracji aplikacji.
- W sekcji Nazwa wprowadź wybraną nazwę aplikacji.
- W sekcji Obsługiwane typy kont wybierz pozycję Konta w dowolnym katalogu organizacyjnym (na potrzeby uwierzytelniania użytkowników za pomocą przepływów użytkownika). Aby uzyskać więcej informacji, zobacz Rejestrowanie aplikacji.
- W polu Identyfikator URI przekierowania wybierz pozycję Aplikacja jednostronicowa (SPA) i wklej adres URL przekierowania zapisany w poprzednim kroku.
- W obszarze Uprawnienia wybierz pozycję Udziel zgody administratora, aby otworzyć i offline_access uprawnienia.
- Wybierz pozycję Zarejestruj, aby utworzyć aplikację.
Na stronie Przegląd aplikacji znajdź identyfikator aplikacji (klienta) i skopiuj wartość do schowka.
Wróć do strony Dodawanie dostawcy tożsamości usługi API Management i wklej identyfikator w polu tekstowym Identyfikator klienta.
Wróć do rejestracji aplikacji B2C. Wybierz pozycję Certyfikaty i wpisy tajne>+ Nowy klucz tajny klienta.
- Na stronie Dodawanie wpisu tajnego klienta wprowadź opis i wybierz pozycję Dodaj.
- Zapisz wartość w bezpiecznej lokalizacji. Po opuszczeniu tej strony wartość klucza tajnego nie jest nigdy wyświetlana ponowna.
Wróć do strony Api Management Dodaj dostawcę tożsamości i wklej klucz w polu tekstowym Klucz tajny klienta.
Kontynuuj na stronie Dodawanie dostawcy tożsamości:
W polu Dzierżawa logowania określ nazwę domeny dzierżawy usługi Azure Active Directory B2C.
Pole Urząd umożliwia kontrolowanie adresu URL logowania usługi Azure Active Directory B2C do użycia. Ustaw wartość na your_b2c_tenant_name.b2clogin.com>.<
Określ zasady rejestracji i zasady logowania przy użyciu nazwy przepływu użytkownika utworzonego w poprzednim kroku.
Opcjonalnie podaj zasady edytowania profilu i zasady resetowania hasła.
Po określeniu żądanej konfiguracji wybierz pozycję Dodaj.
Opublikuj ponownie portal dla deweloperów, aby konfiguracja usługi Azure AD B2C weszła w życie. W menu po lewej stronie w obszarze Portal deweloperów wybierz pozycję Przegląd>portalu Publikuj.
Po zapisaniu zmian deweloperzy będą mogli tworzyć nowe konta i logować się do portalu deweloperów przy użyciu usługi Azure Active Directory B2C.
Migrowanie do biblioteki MSAL
Jeśli wcześniej skonfigurowano aplikację usługi Azure AD B2C na potrzeby logowania użytkownika przy użyciu biblioteki ADAL, możesz użyć portalu, aby przeprowadzić migrację aplikacji do biblioteki MSAL i zaktualizować dostawcę tożsamości w usłudze API Management.
Aktualizowanie aplikacji usługi Azure AD B2C pod kątem zgodności biblioteki MSAL
Aby uzyskać instrukcje aktualizacji aplikacji usługi Azure AD B2C, zobacz Przełączanie identyfikatorów URI przekierowania do typu aplikacji jednostronicowej.
Aktualizowanie konfiguracji dostawcy tożsamości
- W menu po lewej stronie wystąpienia usługi API Management w obszarze Portal deweloperów wybierz pozycję Tożsamości.
- Z listy wybierz pozycję Azure Active Directory B2C .
- Z listy rozwijanej Biblioteka klienta wybierz pozycję MSAL.
- Wybierz Aktualizuj.
- Opublikuj ponownie portal deweloperów.
Portal dla deweloperów — dodawanie uwierzytelniania konta usługi Azure Active Directory B2C
Ważne
Należy ponownie opublikować portal dla deweloperów podczas tworzenia lub aktualizowania ustawień konfiguracji usługi Azure Active Directory B2C, aby zmiany zaczęły obowiązywać.
W portalu dla deweloperów logowanie się za pomocą usługi Azure Active Directory B2C jest możliwe za pomocą przycisku Logowanie: widżet OAuth . Widżet jest już dołączony na stronie logowania domyślnej zawartości portalu deweloperów.
Aby zalogować się przy użyciu usługi Azure Active Directory B2C, otwórz nowe okno przeglądarki i przejdź do portalu deweloperów. Wybierz Zaloguj.
Na stronie Logowanie wybierz pozycję Azure Active Directory B2C.
Nastąpi przekierowanie do zasad rejestracji skonfigurowanych w poprzedniej sekcji. Wybierz rejestrację przy użyciu adresu e-mail w dzierżawie usługi Active Directory B2C.
Po zakończeniu rejestracji nastąpi przekierowanie z powrotem do portalu deweloperów. Zalogowaliśmy się do portalu dla deweloperów dla wystąpienia usługi API Management.
Mimo że nowe konto jest tworzone automatycznie za każdym razem, gdy nowy użytkownik zaloguje się za pomocą usługi Azure Active Directory B2C, możesz rozważyć dodanie tego samego widżetu do strony rejestracji.
Formularz rejestracji: widżet OAuth reprezentuje formularz używany do rejestrowania się w usłudze OAuth.
Następne kroki
- Omówienie usługi Azure Active Directory B2C
- Azure Active Directory B2C: rozszerzalna struktura zasad
- Dowiedz się więcej na temat biblioteki MSAL i migrowania do biblioteki MSAL w wersji 2
- Używanie konta Microsoft jako dostawcy tożsamości w usłudze Azure Active Directory B2C
- Używanie konta Google jako dostawcy tożsamości w usłudze Azure Active Directory B2C
- Używanie konta LinkedIn jako dostawcy tożsamości w usłudze Azure Active Directory B2C
- Używanie konta facebook jako dostawcy tożsamości w usłudze Azure Active Directory B2C