Lägg till Azure AD B2C-tenant som en OpenID Connect-identitetsleverantör

Gäller för: medarbetarkunder externa klienter (läs mer)

För att konfigurera din Azure AD B2C-klientorganisation som identitetsleverantör måste du skapa en anpassad princip i Azure AD B2C och sedan ett program.

Förutsättningar

• Din Azure AD B2C-katalog som har konfigurerats med startpaketet för anpassad policy. Se Självstudie – Skapa användarflöden och anpassade principer – Azure Active Directory B2C | Microsoft Learn
  • När e-postmeddelandet är ett obligatoriskt anspråk i ID-token kan du behöva använda en anpassad princip i din Azure AD B2C-klient för att ta emot e-postanspråket.
  • Du kan använda verktyget för distribution av anpassad policy

Konfigurera din anpassade princip

Om det är aktiverat i användarflödet kan den externa klientorganisationen kräva att e-postpåståendet returneras i token från din anpassade Azure AD B2C-policy.

När du har konfigurerat startpaketet för anpassade principer laddar du ner filen B2C_1A_signup_signin från bladet Identity Experience Framework i din Azure AD B2C-klient.

1. Logga in på Azure-portalen och välj Azure AD B2C.
2. På översiktssidan går du till Principeroch väljer Identity Experience Framework.
3. Sök och välj filen B2C_1A_signup_signin.
4. Ladda ned B2C_1A_signup_signin.

Öppna filen B2C_1A_signup_signin.xml i en textredigerare. Lägg till följande utdataledtext under noden <OutputClaims>:

<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">

Spara filen som B2C_1A_signup_signin.xml och ladda upp den via bladet Identity Experience Framework i din Azure AD B2C-klientorganisation. Välj att skriva över befintlig policy. Det här steget säkerställer att e-postadressen utfärdas som ett anspråk på Microsoft Entra-ID efter autentisering i Azure AD B2C.

Registrera Microsoft Entra-ID som ett program

Du måste registrera Microsoft Entra-ID som ett program i din Azure AD B2C-klientorganisation. Med det här steget kan Azure AD B2C utfärda token till ditt Microsoft Entra-ID för federation.

Så här skapar du ett program:

1. Logga in på Azure-portalen och välj Azure AD B2C.

2. Välj Appregistreringaroch välj sedan Ny registrering.

3. Under Namnskriver du in "Federation with Microsoft Entra ID".

4. Under rubriken Kontotyper som stödsväljer du Konton i valfri identitetsleverantör eller organisationskatalog (för autentisering av användare med hjälp av användarflöden).

5. Under Omdirigerings-URIväljer du Web, och anger sedan följande URL i alla gemener där your-B2C-tenant-name ersätts med namnet på din Entra-hyresgäst (till exempel Contoso):

   https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

   https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

   Till exempel:

   https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2

   https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2

   Om du använder en anpassad domän anger du:

   https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp

   Ersätt your-domain-name med din anpassade domän och your-tenant-name med namnet på din klientorganisation.

6. Under Behörighetermarkerar du kryssrutan Bevilja administratörsmedgivande till openid och offline_access behörigheter.

7. Välj Registrera.

8. På sidan Azure AD B2C – Appregistreringar väljer du det program som du skapade och registrerar program-ID (klient) som visas på programöversiktssidan. Du behöver det här ID:t när du konfigurerar identitetsprovidern i nästa avsnitt.

9. I den vänstra menyn går du till Hanteraoch väljer Certifikat & hemligheter.

10. Välj Ny klienthemlighet.

11. Ange en beskrivning av klienthemligheten i rutan Beskrivning. Exempel: "FederationWithEntraID".

12. Under Upphörväljer du en varaktighet under vilken hemligheten är giltigoch välj sedan Lägg till.

13. Registrera hemlighetens Värde. Du behöver det här värdet när du konfigurerar identitetsprovidern i nästa avsnitt.

Konfigurera din Azure AD B2C-klientorganisation som en identitetsleverantör.

Skapa din OpenID Connect well-known-slutpunkt: ersätt <your-B2C-tenant-name> med namnet på din Azure AD B2C-klientorganisation.

Om du använder ett anpassat domännamn ersätter du <custom-domain-name> med din anpassade domän. Ersätt <policy> med namnet på policyn som du konfigurerade i din B2C-klientorganisation. Om du använder startpaketet är det filen B2C_1A_signup_signin.

https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

ELLER

https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

1. Konfigurera utfärdarens URI som: https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/, eller om du använder en anpassad domän, använd din anpassade domän i stället för your-b2c-tenant-name.b2clogin.com.
2. För klient-IDanger du det program-ID som du registrerade tidigare.
3. Välj Klientautentisering som client_secret.
4. För Klienthemlighetanger du den klienthemlighet som du registrerade tidigare.
5. För Omfånganger du openid profile email offline_access
6. Välj code som svarstyp.
7. Konfigurera följande för anspråksmappningar:

• underkategori: underkategori
• Namn: namn
• Förnamn: förnamn
• Efternamn: family_name
• E-post (obligatoriskt): e-post

Skapa identitetsprovidern och koppla den till ditt användarflöde som är associerat med ditt program för inloggning och registrering.

Relaterat innehåll

• Lägg till en anpassad OIDC-identitetsleverantör som extern identitetsleverantör
• Ställ in OIDC-anspråksmappning