Настройка регистрации и входа с учетной записью SwissID через Azure Active Directory B2C

Для начала с помощью селектора Choose a policy type (Выбрать тип политики) выберите тип пользовательской политики. Azure Active Directory B2C предлагает два метода определения способа взаимодействия пользователей с вашими приложениями: с помощью предопределенных потоков пользователей или полностью настраиваемых пользовательских политик. Действия, которые необходимо выполнить, отличаются для каждого метода.

Из этой статьи вы узнаете, как организовать в приложениях регистрацию и вход для клиентов с учетными записями SwissID, используя Azure Active Directory B2C (Azure AD B2C). Вы добавите SwissID в пользовательские потоки или настраиваемую политику с использованием протокола OpenID Connect. Дополнительные сведения см. в документации срекомендациями по интеграции SwissID — OpenID Connect.

Необходимые компоненты

• Создайте поток пользователя, чтобы пользователи могли зарегистрироваться и входить в ваше приложение.
• Зарегистрируйте веб-приложение.

• Выполните шаги, описанные в статье Начало работы с настраиваемыми политиками в Azure Active Directory B2C.
• Зарегистрируйте веб-приложение.

Создание приложения SwissID

Чтобы настроить вход для пользователей с учетной записью SwissID в Azure AD B2C, необходимо создать приложение. Чтобы создать приложение SwissID, сделайте следующее:

1. Обратитесь в службу поддержки для бизнес-партнеров SwissID.

2. После регистрации в SwissID укажите сведения об арендаторе Azure AD B2C.

   Ключ.	Примечание.
   URI перенаправления	Укажите универсальный код ресурса (URI) https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Если используется личный домен, введите https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Замените your-tenant-name именем своего арендатора, а вместо your-domain-name укажите имя вашего личного домена.
   Способ проверки подлинности конечной точки маркера	client_secret_post

3. Когда приложение будет зарегистрировано, SwissID предоставит приведенные ниже сведения. Используйте их для настройки потока пользователя или настраиваемой политики.

   Ключ.	Примечание.
   Environment	Известная конечная точка конфигурации SwissID OpenId. Например, https://login.sandbox.pre.swissid.ch/idp/oauth2/.well-known/openid-configuration.
   ИД клиента	Идентификатор клиента SwissID. Например, 11111111-2222-3333-4444-555555555555.
   Password	Секрет клиента SwissID.

Настройка SwissID в качестве поставщика удостоверений

1. Если у вас есть доступ к нескольким клиентам, выберите значок Параметры в верхнем меню, чтобы переключиться на клиент Azure AD B2C из меню каталогов и подписок.

2. Выберите Все службы в левом верхнем углу окна портала Azure, а затем найдите и выберите Azure AD B2C.

3. Щелкните элемент Поставщики удостоверений, а затем выберите Новый поставщик OpenID Connect.

4. Введите Имя. Например, введите SwissID.

5. В поле URL-адрес метаданных введите URL-адрес известной конечной точки конфигурации SwissID OpenId. Например:

   https://login.sandbox.pre.swissid.ch/idp/oauth2/.well-known/openid-configuration
   

6. Идентификатор клиента: введите идентификатор клиента SwissID.

7. Секрет клиента: введите секрет клиента SwissID.

8. Для параметра Область введите значение openid profile email.

9. Сохраните значения по умолчанию для параметров Тип ответа и Режим ответа.

10. (Необязательно) В поле Указание домена Введите swissid.com. Дополнительные сведения см. в статье Настройка прямого входа в систему с помощью Azure Active Directory B2C.

11. В разделе Сопоставление утверждений поставщика удостоверений выберите следующие утверждения:

    • Идентификатор пользователя: sub;
    • Given name: given_name;
    • Surname: family_name;
    • Электронная почта: электронная почта.

12. Выберите Сохранить.

Добавление поставщика удостоверений SwissID в поток пользователя

На этом этапе поставщик удостоверений SwissID уже настроен, но еще не отображается на страницах входа. Чтобы добавить поставщик удостоверений SwissID в поток пользователя, сделайте следующее:

1. В клиенте Azure AD B2C выберите Потоки пользователей.
2. Выберите поток пользователя, для которого необходимо добавить поставщик удостоверений SwissID.
3. В разделе Поставщики удостоверений в социальных сетях выберите SwissID.
4. Выберите Сохранить.
5. Чтобы проверить политику, выберите Выполнить поток пользователя.
6. В разделе Приложение выберите зарегистрированное ранее веб-приложение с именем testapp1. В поле URL-адрес ответа должно содержаться значение https://jwt.ms.
7. Нажмите кнопку Выполнить поток пользователя.
8. На странице регистрации или входа выберите SwissID, чтобы выполнить вход с помощью учетной записи SwissID.

Если вход выполнен успешно, в браузере откроется страница https://jwt.ms с содержимым маркера, возвращенного Azure AD B2C.

Создание ключа политики

Вам необходимо сохранить секрет клиента, который вы получили от SwissID, в арендаторе Azure AD B2C.

1. Войдите на портал Azure.
2. Убедитесь, что вы используете каталог, содержащий клиент Azure AD B2C. Выберите фильтр Каталог и подписка в верхнем меню и выберите каталог, который содержит ваш клиент.
3. Выберите Все службы в левом верхнем углу окна портала Azure, а затем найдите и выберите Azure AD B2C.
4. На странице "Обзор" выберите Identity Experience Framework.
5. Выберите Ключи политики, а затем щелкните Добавить.
6. Для пункта Параметры выберите Manual.
7. Введите имя ключа политики. Например, SwissIDSecret. Префикс B2C_1A_ будет автоматически добавлен к имени ключа.
8. В поле Секрет введите секрет клиента SwissID.
9. Для параметра Использование ключа выберите Signature.
10. Нажмите кнопку Создать.

Настройка SwissID в качестве поставщика удостоверений

Чтобы разрешить пользователям входить в систему с помощью учетной записи SwissID, нужно определить учетную запись в качестве поставщика утверждений, с которым Azure AD B2C может взаимодействовать через конечную точку. Конечная точка предоставляет набор утверждений, используемых Azure AD B2C, чтобы проверить, была ли выполнена проверка подлинности определенного пользователя.

Для определения учетной записи SwissID в качестве поставщика утверждений добавьте ее в элемент ClaimsProviders в файле расширения политики.

1. Откройте файл TrustFrameworkExtensions.xml.

2. Найдите элемент ClaimsProviders. Если он не существует, добавьте его в корневой элемент.

3. Добавьте новый элемент ClaimsProvider следующим образом.

   <ClaimsProvider>
     <Domain>SwissID.com</Domain>
     <DisplayName>SwissID</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="SwissID-OpenIdConnect">
         <DisplayName>SwissID</DisplayName>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="METADATA">https://login.sandbox.pre.swissid.ch/idp/oauth2/.well-known/openid-configuration</Item>
           <Item Key="client_id">Your Swiss client ID</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile email</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_SwissIDSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="email" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateDisplayName" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Для client_id введите идентификатор клиента SwissID.

5. Сохраните файл.

Добавление пути взаимодействия пользователя

На этом этапе поставщик удостоверений уже настроен, но еще не отображается на страницах входа. Если у вас нет собственного пути взаимодействия пользователя, создайте дубликат существующего шаблона. В противном случае перейдите к следующему шагу.

1. Откройте файл TrustFrameworkBase.xml из начального пакета.
2. Найдите и скопируйте все содержимое элемента UserJourney, в котором присутствует запись Id="SignUpOrSignIn".
3. Откройте файл TrustFrameworkExtensions.xml и найдите элемент UserJourneys. Если элемент не существует, добавьте его.
4. Вставьте все скопированное содержимое элемента UserJourney в качестве дочернего элемента в элемент UserJourneys.
5. Переименуйте идентификатор этого пути взаимодействия пользователя. Например, Id="CustomSignUpSignIn".

Добавление поставщика удостоверений в путь взаимодействия пользователя

Теперь, когда у вас есть путь взаимодействия пользователя, добавьте в него новый поставщик удостоверений. Сначала добавьте кнопку входа, а затем свяжите кнопку с действием. Это действие является техническим профилем, который вы создали ранее.

1. В пути взаимодействия пользователя найдите элемент шага оркестрации, включающий Type="CombinedSignInAndSignUp" или Type="ClaimsProviderSelection". Обычно это первый шаг оркестрации. Элемент ClaimsProviderSelections содержит список поставщиков удостоверений, которые пользователь может использовать для входа. Порядок элементов управляет порядком кнопок входа, представленных пользователем. Добавьте XML-элемент ClaimsProviderSelection. Присвойте значению TargetClaimsExchangeId понятное имя.

2. На следующем шаге оркестрации добавьте элемент ClaimsExchange. Задайте в качестве Id значение идентификатора обмена утверждениями целевого объекта. Замените значение TechnicalProfileReferenceId идентификатором технического профиля, созданным ранее.

В следующем коде XML показаны первые два этапа оркестрации пути взаимодействия пользователя с поставщиком удостоверений:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="SwissIDExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="SwissIDExchange" TechnicalProfileReferenceId="SwissID-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Настройка политики проверяющей стороны

Политика проверяющей стороны, например SignUpSignIn.xml, указывает путь взаимодействия пользователя, который будет исполнять Azure AD B2C. Найдите элемент DefaultUserJourney в элементе проверяющей стороны. Обновите ReferenceId в соответствии с идентификатором пути взаимодействия пользователя, в который добавлен поставщик удостоверений.

В следующем примере в качестве значения параметра ReferenceId пути взаимодействия пользователя CustomSignUpSignIn задано CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Передача настраиваемой политики

1. Войдите на портал Azure.
2. Выберите значок Каталог и подписка в верхней панели инструментов портала, а затем выберите каталог, содержащий клиент Azure AD B2C.
3. В портале Azure найдите и выберите Azure AD B2C.
4. В разделе Политики выберите Identity Experience Framework.
5. Выберите Отправить пользовательскую политику, а затем отправьте два измененных файла политики в следующем порядке: политика расширения, например TrustFrameworkExtensions.xml, а затем политика проверяющей стороны, например SignUpSignIn.xml.

Тестирование настраиваемой политики

1. Выберите политику проверяющей стороны, например B2C_1A_signup_signin.
2. В разделе Приложение выберите зарегистрированное ранее веб-приложение. В поле URL-адрес ответа должно содержаться значение https://jwt.ms.
3. Нажмите кнопку Выполнить.
4. На странице регистрации или входа выберите SwissID, чтобы выполнить вход с помощью учетной записи SwissID.

Если вход выполнен успешно, в браузере откроется страница https://jwt.ms с содержимым маркера, возвращенного Azure AD B2C.

Перенос в рабочую среду

Поставщик удостоверений SwissID предоставляет подготовительные и рабочие среды. Для конфигурации, приведенной в этой статье, используется подготовительная среда. Чтобы использовать рабочую среду, сделайте следующее:

1. Обратитесь в службу поддержки SwissId по вопросам рабочей среды.
2. Обновите пользовательский поток или настраиваемую политику с использованием URI известной конечной точки конфигурации.

Следующие шаги

Узнайте, как передать токен SwissID в приложение.