Lägg till Azure AD B2C-tenant som en OpenID Connect-identitetsleverantör
Gäller för: medarbetarkunder
externa klienter (läs mer)
För att konfigurera din Azure AD B2C-klientorganisation som identitetsleverantör måste du skapa en anpassad princip i Azure AD B2C och sedan ett program.
Förutsättningar
- Din Azure AD B2C-katalog som har konfigurerats med startpaketet för anpassad policy. Se Självstudie – Skapa användarflöden och anpassade principer – Azure Active Directory B2C | Microsoft Learn
- När e-postmeddelandet är ett obligatoriskt anspråk i ID-token kan du behöva använda en anpassad princip i din Azure AD B2C-klient för att ta emot e-postanspråket.
- Du kan använda verktyget för distribution av anpassad policy
Konfigurera din anpassade princip
Om det är aktiverat i användarflödet kan den externa klientorganisationen kräva att e-postpåståendet returneras i token från din anpassade Azure AD B2C-policy.
När du har konfigurerat startpaketet för anpassade principer laddar du ner filen B2C_1A_signup_signin
från bladet Identity Experience Framework i din Azure AD B2C-klient.
- Logga in på Azure-portalen och välj Azure AD B2C.
- På översiktssidan går du till Principeroch väljer Identity Experience Framework.
- Sök och välj filen
B2C_1A_signup_signin
. - Ladda ned
B2C_1A_signup_signin
.
Öppna filen B2C_1A_signup_signin.xml
i en textredigerare. Lägg till följande utdataledtext under noden <OutputClaims>
:
<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">
Spara filen som B2C_1A_signup_signin.xml
och ladda upp den via bladet Identity Experience Framework i din Azure AD B2C-klientorganisation. Välj att skriva över befintlig policy. Det här steget säkerställer att e-postadressen utfärdas som ett anspråk på Microsoft Entra-ID efter autentisering i Azure AD B2C.
Registrera Microsoft Entra-ID som ett program
Du måste registrera Microsoft Entra-ID som ett program i din Azure AD B2C-klientorganisation. Med det här steget kan Azure AD B2C utfärda token till ditt Microsoft Entra-ID för federation.
Så här skapar du ett program:
Logga in på Azure-portalen och välj Azure AD B2C.
Välj Appregistreringaroch välj sedan Ny registrering.
Under Namnskriver du in "Federation with Microsoft Entra ID".
Under rubriken Kontotyper som stödsväljer du Konton i valfri identitetsleverantör eller organisationskatalog (för autentisering av användare med hjälp av användarflöden).
Under Omdirigerings-URIväljer du Web, och anger sedan följande URL i alla gemener där
your-B2C-tenant-name
ersätts med namnet på din Entra-hyresgäst (till exempel Contoso):https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2
https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2
Till exempel:
https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2
https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2
Om du använder en anpassad domän anger du:
https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp
Ersätt
your-domain-name
med din anpassade domän ochyour-tenant-name
med namnet på din klientorganisation.Under Behörighetermarkerar du kryssrutan Bevilja administratörsmedgivande till openid och offline_access behörigheter.
Välj Registrera.
På sidan Azure AD B2C – Appregistreringar väljer du det program som du skapade och registrerar program-ID (klient) som visas på programöversiktssidan. Du behöver det här ID:t när du konfigurerar identitetsprovidern i nästa avsnitt.
I den vänstra menyn går du till Hanteraoch väljer Certifikat & hemligheter.
Välj Ny klienthemlighet.
Ange en beskrivning av klienthemligheten i rutan Beskrivning. Exempel: "FederationWithEntraID".
Under Upphörväljer du en varaktighet under vilken hemligheten är giltigoch välj sedan Lägg till.
Registrera hemlighetens Värde. Du behöver det här värdet när du konfigurerar identitetsprovidern i nästa avsnitt.
Konfigurera din Azure AD B2C-klientorganisation som en identitetsleverantör.
Skapa din OpenID Connect well-known
-slutpunkt: ersätt <your-B2C-tenant-name>
med namnet på din Azure AD B2C-klientorganisation.
Om du använder ett anpassat domännamn ersätter du <custom-domain-name>
med din anpassade domän. Ersätt <policy>
med namnet på policyn som du konfigurerade i din B2C-klientorganisation. Om du använder startpaketet är det filen B2C_1A_signup_signin
.
https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration
ELLER
https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration
- Konfigurera utfärdarens URI som:
https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/
, eller om du använder en anpassad domän, använd din anpassade domän i stället föryour-b2c-tenant-name.b2clogin.com
. - För klient-IDanger du det program-ID som du registrerade tidigare.
- Välj Klientautentisering som
client_secret
. - För Klienthemlighetanger du den klienthemlighet som du registrerade tidigare.
- För Omfånganger du
openid profile email offline_access
- Välj
code
som svarstyp. - Konfigurera följande för anspråksmappningar:
- underkategori: underkategori
- Namn: namn
- Förnamn: förnamn
- Efternamn: family_name
- E-post (obligatoriskt): e-post
Skapa identitetsprovidern och koppla den till ditt användarflöde som är associerat med ditt program för inloggning och registrering.