Adicionar inquilino do Azure AD B2C como um fornecedor de identidade OpenID Connect (pré-visualização)

Aplica-se a: Os locatários do Workforce Inquilinos externos (saber mais)

Para configurar seu locatário do Azure AD B2C como um provedor de identidade, você precisa criar uma política personalizada do Azure AD B2C e, em seguida, um aplicativo.

Pré-requisitos

• Seu locatário do Azure AD B2C configurado com o pacote inicial de política personalizada. Consulte Tutorial - Criar fluxos de usuário e políticas personalizadas - Azure Ative Directory B2C | Microsoft Learn
  • Quando o email é uma declaração obrigatória no Token de ID, para receber a declaração de email, poderá ser necessário usar uma política personalizada no seu locatário do Azure AD B2C.
  • Você pode usar a ferramenta personalizada de implantação de política

Configurar sua política personalizada

Se estiver habilitado no fluxo de usuário, o locatário externo pode exigir que a declaração de email seja retornada no token da sua política personalizada do Azure AD B2C.

Depois de provisionar o pacote inicial de política personalizada, baixe o arquivo de da folha do Identity Experience Framework em seu locatário do Azure AD B2C.

1. Inicie sessão no portal do Azure e selecionedo Azure AD B2C.
2. Na página de visão geral, em Políticas, selecione Identity Experience Framework.
3. Pesquise e selecione o arquivo B2C_1A_signup_signin.
4. Baixar B2C_1A_signup_signin.

Abra o arquivo B2C_1A_signup_signin.xml em um editor de texto. No nó <OutputClaims>, adicione a seguinte declaração de saída:

<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">

Salve o ficheiro como e carregue-o através do painel do Identity Experience Framework no seu tenant do Azure AD B2C. Selecione Substituir política existente. Esta etapa garantirá que o endereço de email seja emitido como uma declaração para a ID do Microsoft Entra após a autenticação no Azure AD B2C.

Registrar o Microsoft Entra ID como um aplicativo

Você deve registrar a ID do Microsoft Entra como um aplicativo em seu locatário do Azure AD B2C. Esta etapa permite que o Azure AD B2C emita tokens para sua ID do Microsoft Entra para federação.

Para criar um aplicativo:

1. Entre no portal Azure e selecione Azure AD B2C.

2. Selecione Registos de aplicaçõese, em seguida, selecione Novo registo.

3. Em , sob Nome, introduza "Federação com ID do Microsoft Entra".

4. Em Tipos de conta suportados, selecione Contas em qualquer provedor de identidade ou diretório organizacional (para autenticar usuários com fluxos de usuários).

5. Em de URI de Redirecionamento, selecione Web e insira a seguinte URL em letras minúsculas, substituindo your-B2C-tenant-name pelo nome do tenant do Entra (por exemplo, Contoso):

   https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

   https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

   Por exemplo:

   https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2

   https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2

   Se você usa um domínio personalizado, digite:

   https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp

   Substitua your-domain-name pelo seu domínio personalizado e your-tenant-name pelo nome do seu inquilino.

6. Em Permissões, marque a caixa de seleção Conceder consentimento de administrador para as permissões openid e offline_access .

7. Selecione Registo.

8. Na página Azure AD B2C - Registros de aplicativos, selecione o aplicativo criado e registre a ID do Aplicativo (cliente) mostrada na página de visão geral do aplicativo. Você precisa dessa ID ao configurar o provedor de identidade na próxima seção.

9. No menu à esquerda, em Gerenciar, selecione Certificados & segredos.

10. Selecione Novo segredo do cliente.

11. Insira uma descrição para o segredo do cliente na caixa Descrição. Por exemplo: "FederationWithEntraID".

12. Em Expira, selecione uma duração para a qual o segredo de é válidoe, em seguida, selecione Adicionar.

13. Registre o valor do segredo. Você precisa desse valor ao configurar o provedor de identidade na próxima seção.

Configure o seu inquilino do Azure AD B2C como um fornecedor de identidade.

Construa seu ponto de extremidade do OpenID Connect well-known: substitua <your-B2C-tenant-name> pelo nome do seu locatário do Azure AD B2C.

Se estiver a utilizar um nome de domínio personalizado, substitua-<custom-domain-name> pelo seu domínio personalizado. Substitua o <policy> pelo nome da política que você configurou em seu locatário B2C. Se você estiver usando o pacote inicial, é o arquivo B2C_1A_signup_signin.

https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

OU

https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

1. Configure o URI do emissor como: https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/, ou se você estiver usando um domínio personalizado, use seu domínio personalizado, domínio em vez de your-b2c-tenant-name.b2clogin.com.
2. Para ID do Cliente, insira o ID do aplicativo que você registrou anteriormente.
3. Selecione autenticação de cliente como client_secret.
4. Para segredo do cliente, insira o segredo do cliente que você gravou anteriormente.
5. Para o Escopo, insira openid profile email offline_access
6. Selecione code como o tipo de resposta.
7. Configure o seguinte para mapeamentos de declaração:

• Sub: sub
• Nome: nome
• Nome próprio: given_name
• Nome de família: family_name
• Endereço eletrónico: email

Crie o provedor de identidade e anexe-o ao seu fluxo de usuário associado ao seu aplicativo para entrar e se inscrever.

Conteúdo relacionado

• Adicione um provedor de identidade OIDC personalizado como um provedor de identidade externo
• Configurar o mapeamento de alegações OIDC