Definiera en teknisk OAuth1-profil i en anpassad Azure Active Directory B2C-princip
Kommentar
I Azure Active Directory B2C är anpassade principer främst utformade för att hantera komplexa scenarier. I de flesta scenarier rekommenderar vi att du använder inbyggda användarflöden. Om du inte har gjort det kan du läsa mer om startpaketet för anpassad princip i Kom igång med anpassade principer i Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) tillhandahåller stöd för OAuth 1.0-protokollidentitetsprovidern . Den här artikeln beskriver detaljerna i en teknisk profil för att interagera med en anspråksprovider som stöder det här standardiserade protokollet. Med en teknisk OAuth1-profil kan du federera med en OAuth1-baserad identitetsprovider, till exempel X. Om du federerar med identitetsprovidern kan användarna logga in med sina befintliga sociala identiteter eller företagsidentiteter.
Protokoll
Attributet Namn för protokollelementet måste anges till OAuth1. Protokollet för den tekniska profilen Twitter-OAUTH1 är OAuth1till exempel .
<TechnicalProfile Id="Twitter-OAUTH1">
<DisplayName>X</DisplayName>
<Protocol Name="OAuth1" />
...
Indataanspråk
Elementen InputClaims och InputClaimsTransformations är tomma eller frånvarande.
Utdataanspråk
OutputClaims-elementet innehåller en lista över anspråk som returneras av OAuth1-identitetsprovidern. Du kan behöva mappa namnet på anspråket som definierats i principen till det namn som definierats i identitetsprovidern. Du kan också inkludera anspråk som inte returneras av identitetsprovidern så länge du anger attributet DefaultValue .
Elementet OutputClaimsTransformations kan innehålla en samling OutputClaimsTransformation-element som används för att ändra utdataanspråken eller generera nya.
I följande exempel visas de anspråk som returneras av X-identitetsprovidern:
- Det user_id anspråk som mappas till utfärdarenUserId-anspråket.
- Det screen_name anspråk som är mappat till displayName-anspråket.
- E-postanspråket utan namnmappning.
Den tekniska profilen returnerar också anspråk som inte returneras av identitetsprovidern:
- IdentityProvider-anspråket som innehåller namnet på identitetsprovidern.
- AuthenticationSource-anspråket med standardvärdet
socialIdpAuthentication.
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="user_id" />
<OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="screen_name" />
<OutputClaim ClaimTypeReferenceId="email" />
<OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="twitter.com" />
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
</OutputClaims>
Metadata
| Attribut | Obligatoriskt | Beskrivning |
|---|---|---|
| client_id | Ja | Programidentifieraren för identitetsprovidern. |
| ProviderName | Nej | Namnet på identitetsprovidern. |
| request_token_endpoint | Ja | URL:en för slutpunkten för begärandetoken enligt RFC 5849. |
| authorization_endpoint | Ja | URL:en för auktoriseringsslutpunkten enligt RFC 5849. |
| access_token_endpoint | Ja | URL:en för tokenslutpunkten enligt RFC 5849. |
| ClaimsEndpoint | Nej | URL:en för användarinformationsslutpunkten. |
| ClaimsResponseFormat | Nej | Anspråkssvarsformatet. |
Krypteringsnycklar
CryptographicKeys-elementet innehåller följande attribut:
| Attribut | Obligatoriskt | Beskrivning |
|---|---|---|
| client_secret | Ja | Klienthemligheten för identitetsproviderprogrammet. |
Omdirigerings-URI
När du konfigurerar omdirigerings-URI:n för din identitetsprovider anger du https://{tenant-name}.b2clogin.com/{tenant-name}.onmicrosoft.com/{policy-id}/oauth1/authresp. Ersätt {tenant-name} med klientorganisationens namn (till exempel contosob2c) och {policy-id} med identifieraren för din princip (till exempel b2c_1a_policy). Omdirigerings-URI:n måste finnas i alla gemener. Lägg till en omdirigerings-URL för alla principer som använder inloggningen för identitetsprovidern.
Exempel: