Dodaj dzierżawę Azure AD B2C jako dostawcę tożsamości OpenID Connect (wersja próbna)

Dotyczy: Najemcy Workforce Najemcy zewnętrzni (dowiedz się więcej)

Aby skonfigurować dzierżawę usługi Azure AD B2C jako dostawcę tożsamości, należy utworzyć niestandardowe zasady dla usługi Azure AD B2C, a następnie utworzyć aplikację.

Warunki wstępne

• Instancja usługi Azure AD B2C skonfigurowana z niestandardowym pakietem startowym zasad. Zobacz samouczek — tworzenie przepływów użytkownika i zasad niestandardowych — Azure Active Directory B2C | Microsoft Learn
  • Jeśli e-mail jest wymaganym żądaniem w tokenie ID, aby je otrzymać, może być konieczne użycie zasad niestandardowych w dzierżawie usługi Azure AD B2C.
  • Możesz użyć narzędzia wdrażania zasad niestandardowych

Skonfiguruj zasady niestandardowe

Jeśli jest to włączone w przepływie użytkownika, zewnętrzny klient może wymagać zwrócenia roszczenia dotyczącego adresu e-mail w tokenie z niestandardowej polityki usługi Azure AD B2C.

Po aprowizacji niestandardowego pakietu startowego zasad pobierz plik B2C_1A_signup_signin z bloku Identity Experience Framework w dzierżawie usługi Azure AD B2C.

1. Zaloguj się do portalu Azure i wybierz pozycję Azure AD B2C.
2. Na stronie przeglądu, w sekcji "Zasady" , wybierz pozycję „Identity Experience Framework”.
3. Wyszukaj i wybierz plik B2C_1A_signup_signin.
4. Pobierz B2C_1A_signup_signin.

Otwórz plik B2C_1A_signup_signin.xml w edytorze tekstów. W węźle <OutputClaims> dodaj następujące oświadczenie wyjściowe:

<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">

Zapisz plik jako B2C_1A_signup_signin.xml i przekaż go za pomocą bloku Identity Experience Framework w dzierżawie usługi Azure AD B2C. Wybierz , aby zastąpić istniejącą politykę. Ten krok zapewni, że adres e-mail zostanie wystawiony jako żądanie dla identyfikatora Microsoft Entra po uwierzytelnieniu w usłudze Azure AD B2C.

Zarejestrować Microsoft Entra ID jako aplikację

Musisz zarejestrować Microsoft Entra ID jako aplikację w ramach dzierżawy Azure AD B2C. Ten krok umożliwia usłudze Azure AD B2C wystawianie tokenów do Microsoft Entra ID na potrzeby federacji.

Aby utworzyć aplikację:

1. Zaloguj się do witryny Azure Portal i wybierz pozycję Azure AD B2C.

2. Wybierz pozycję Rejestracje aplikacji, a następnie wybierz pozycję Nowa rejestracja.

3. W obszarze Nazwawprowadź wartość "Federacja z identyfikatorem Entra firmy Microsoft".

4. W obszarze Obsługiwane typy kontwybierz Konta w dowolnym dostawcy tożsamości lub katalogu organizacyjnym, aby uwierzytelniać użytkowników za pomocą przepływów użytkowników.

5. Pod Identyfikator URI przekierowaniawybierz pozycję Web, a następnie wprowadź następujący adres URL we wszystkich małych literach, gdzie your-B2C-tenant-name jest zastępowany nazwą dzierżawy Entra (na przykład Contoso):

   https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

   https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

   Na przykład:

   https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2

   https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2

   Jeśli używasz domeny niestandardowej, wprowadź:

   https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp

   Zastąp your-domain-name własną domeną i your-tenant-name nazwą najemcy.

6. W obszarze Uprawnieniazaznacz pole wyboru Udziel zgody administratora na uprawnienia openid i offline_access.

7. Wybierz pozycję Zarejestruj.

8. Na stronie Azure AD B2C — rejestracje aplikacji wybierz utworzoną aplikację i zapisz identyfikator aplikacji (klienta) wyświetlany na stronie przeglądu aplikacji. Ten identyfikator jest potrzebny podczas konfigurowania dostawcy tożsamości w następnej sekcji.

9. W menu po lewej stronie w obszarze Zarządzajwybierz pozycję Certyfikaty & tajne informacje.

10. Wybierz pozycję Nowy klucz tajny klienta.

11. Wprowadź opis tajnego klucza klienta w polu Opis . Na przykład: "FederationWithEntraID".

12. W obszarze Wygasawybierz czas trwania, przez który wpis tajny jest prawidłowy, a następnie wybierz pozycję Dodaj.

13. Zanotuj wartość sekretu. Ta wartość jest potrzebna podczas konfigurowania dostawcy tożsamości w następnej sekcji.

Skonfiguruj dzierżawę usługi Azure AD B2C jako dostawcę tożsamości.

Skonstruuj punkt końcowy well-known OpenID Connect: zastąp <your-B2C-tenant-name> nazwą dzierżawy usługi Azure AD B2C.

Jeśli używasz niestandardowej nazwy domeny, zastąp <custom-domain-name> domeną niestandardową. Zamień <policy> na nazwę zasady, którą skonfigurowałeś w swojej dzierżawie B2C. Jeśli używasz pakietu startowego, jest to plik B2C_1A_signup_signin.

https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

LUB

https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

1. Skonfiguruj identyfikator URI wystawcy jako: https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/, lub jeśli używasz domeny niestandardowej, użyj swojej domeny niestandardowej zamiast your-b2c-tenant-name.b2clogin.com.
2. Dla identyfikatora klienta , wprowadź wcześniej zarejestrowany identyfikator aplikacji.
3. Wybierz Uwierzytelnianie klienta jako client_secret.
4. Dla sekretu klientawprowadź wcześniej zapisany sekret klienta.
5. W przypadku zakresuwprowadź openid profile email offline_access
6. Wybierz code jako typ odpowiedzi.
7. Skonfiguruj następujące ustawienia dla mapowań oświadczeń:

• sub: sub
• Nazwa: nazwa
• Nazwa podana: given_name
• nazwa rodziny: family_name
• Email: e-mail

Utwórz dostawcę tożsamości i dołącz go do przepływu użytkownika skojarzonego z aplikacją na potrzeby logowania i rejestracji.

Powiązana zawartość

• Dodawanie niestandardowego dostawcy tożsamości OIDC jako zewnętrznego dostawcy tożsamości
• Konfigurowanie mapowania oświadczeń OIDC