你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Active Directory B2C 的开发人员说明
Azure Active Directory B2C 用户流和自定义策略已正式发布。 Azure AD B2C 功能的开发工作正在继续,因此,尽管大部分功能已正式发布,但有些功能还处于软件发布周期的不同阶段。 本文讨论了 Azure AD B2C 的累积改进,并详细说明了功能可用性。
公共预览版功能的使用条款
建议将公共预览功能仅用于评估。
服务级别协议 (SLA) 不适用于公共预览功能。
可通过普通支持渠道提出公共预览功能支持请求。
功能可用性
| 功能 | 用户流 | 自定义策略 | 中国用户流 | 中国自定义策略 | 备注 |
|---|---|---|---|---|---|
| 使用电子邮件和密码注册并登录。 | GA | GA | GA | GA | |
| 使用用户名和密码注册并登录。 | GA | GA | GA | GA | |
| 配置文件编辑流 | GA | GA | GA | GA | |
| 自助式密码重置 | GA | GA | GA | GA | |
| 强制执行密码重置 | GA | GA | NA | GA | |
| 电话注册和登录 | GA | GA | NA | GA | |
| 智能锁定 | GA | GA | NA | NA | |
| 条件访问 | GA | GA | NA | 有限的可用性 | 不适用于 SAML 应用程序。 |
| 标识保护 | GA | GA | NA | NA | |
| CAPTCHA | 预览 | 预览 | NA | NA | 可以在注册或登录本地帐户期间启用它。 |
OAuth 2.0 应用程序授权流
下表总结了可以与 Azure AD B2C 集成的 OAuth 2.0 和 OpenId Connect 应用程序身份验证流。
| Feature | 用户流 | 自定义策略 | 注释 |
|---|---|---|---|
| 授权代码 | GA | GA | 允许用户登录到 Web 应用程序。 Web 应用程序接收授权代码。 兑换该授权代码可获取用于调用 Web API 的令牌。 |
| 采用 PKCE 的授权代码 | GA | GA | 允许用户登录到移动和单页应用程序。 应用程序接收采用代码交换证明密钥 (PKCE) 的授权代码。 兑换该授权代码可获取用于调用 Web API 的令牌。 |
| 客户端凭据流 | 预览 | 预览 | 允许使用应用程序的标识访问 Web 托管的资源。 通常用于必须在后台运行的服务器间交互,不需要立即与用户交互。 |
| 设备授权授予 | NA | NA | 允许用户登录到智能电视、IoT 设备或打印机等输入受限的设备。 |
| 隐式流 | GA | GA | 允许用户登录到单页应用程序。 应用直接获取令牌,无需执行后端服务器凭据交换。 注意:支持 SPA 的建议流是 OAuth 2.0 授权代码流(使用 PKCE)。 |
| 代理 | NA | NA | 应用程序调用某个服务或 Web API,而后者又需要调用另一个服务或 Web API。 若要使中间层服务向下游服务发出经过身份验证的请求,请在授权标头中传递一个客户端凭据令牌。 可以有选择地将自定义标头包含在 Azure AD B2C 用户令牌中。 |
| OpenId Connect | GA | GA | OpenID Connect 引入了 ID 令牌的概念,这是一种安全令牌,可让客户端验证用户的标识。 |
| OpenId Connect 混合流 | GA | GA | 允许 Web 应用程序检索授权请求上的 ID 令牌以及授权代码。 |
| 资源所有者密码凭据 (ROPC) | GA | GA | 允许移动应用程序通过直接处理用户的密码让用户登录。 |
| 注销 | GA | GA | |
| 单一登录 | NA | 预览 |
OAuth 2.0 选项
| Feature | 用户流 | 自定义策略 | 备注 |
|---|---|---|---|
| 将登录重定向到社交提供者 | GA | GA | 查询字符串参数 domain_hint。 |
| 预填充登录名 | GA | GA | 查询字符串参数 login_hint。 |
通过 client_assertion 将 JSON 插入用户历程 |
NA | 已放弃 | |
| 将 JSON 作为 id_token_hint 插入到用户旅程中 | NA | GA | |
| 向应用程序传递标识提供者令牌 | 预览 | 预览 | 例如,从 Facebook 到应用。 |
| 使我保持登录状态 (KMSI) | GA | GA |
SAML2 应用程序身份验证流
下表总结了可以与 Azure AD B2C 集成的安全断言标记语言 (SAML) 应用程序身份验证流。
| Feature | 用户流 | 自定义策略 | 注释 |
|---|---|---|---|
| SP 启动的 | NA | GA | POST 和重定向绑定。 |
| IDP 启动的 | NA | GA | 其中发起的标识提供程序为 Azure AD B2C。 |
用户体验自定义
| Feature | 用户流 | 自定义策略 | 备注 |
|---|---|---|---|
| 多语言支持 | GA | GA | 在中国云中可用,但仅适用于自定义策略。 |
| 自定义域 | GA | GA | 在中国云中可用,但仅适用于自定义策略。 |
| 自定义电子邮件验证 | NA | GA | |
| 使用内置模板自定义用户界面 | GA | GA | |
| 使用自定义模板自定义用户界面 | GA | GA | 通过使用 HTML 模板。 |
| 页面布局版本 | GA | GA | 在中国云中可用,但仅适用于自定义策略。 |
| JavaScript | GA | GA | 在中国云中可用,但仅适用于自定义策略。 |
| 嵌入的登录体验 | NA | 预览 | 通过使用内联框架元素 <iframe>。 |
| 密码复杂性 | GA | GA | 在中国云中可用,但仅适用于自定义策略。 |
| 禁用电子邮件验证 | GA | GA | 不建议在生产环境中使用。 在注册过程中禁用电子邮件验证可能会导致垃圾邮件。 |
标识提供者
| Feature | 用户流 | 自定义策略 | 备注 |
|---|---|---|---|
| AD FS | NA | GA | |
| Amazon | GA | GA | |
| Apple | GA | GA | 在中国云中可用,但仅适用于自定义策略。 |
| Microsoft Entra ID(单租户) | GA | GA | |
| Microsoft Entra ID(多租户) | NA | GA | |
| Azure AD B2C | GA | GA | |
| eBay | NA | 预览 | |
| GA | GA | ||
| GitHub | 预览 | GA | |
| GA | GA | ||
| ID.me | GA | GA | |
| GA | GA | ||
| Microsoft 帐户 | GA | GA | |
| 预览 | GA | ||
| Salesforce | GA | GA | |
| Salesforce(SAML 协议) | NA | GA | |
| 微信 | 预览 | GA | 在中国云中可用,但仅适用于自定义策略。 |
| 微博 | 预览 | GA | |
| X | GA | GA |
一般标识提供者
| Feature | 用户流 | 自定义策略 | 备注 |
|---|---|---|---|
| OAuth2 | NA | GA | 例如 Google、GitHub 和 Facebook。 |
| OAuth1 | NA | GA | 例如, X。 |
| OpenID Connect | GA | GA | 例如 Microsoft Entra ID。 |
| SAML2 | NA | GA | 例如 Salesforce 和 AD-FS。 |
| WSFED | NA | NA |
API 连接器
| Feature | 用户流 | 自定义策略 | 说明 |
|---|---|---|---|
| 在注册期间与标识提供者进行联合之后 | GA | GA | |
| 创建用户之前 | GA | GA | |
| 在令牌中包括应用程序声明之前 | 预览版 | GA | |
| 通过基本身份验证进行保护 | GA | GA | |
| 通过客户端证书身份验证进行保护 | GA | GA | |
| 通过 OAuth2 持有者身份验证进行保护 | NA | GA | |
| 通过 API 密钥身份验证进行保护 | NA | GA |
自定义策略功能
会话管理
| Feature | 自定义策略 | 注释 |
|---|---|---|
| 默认 SSO 会话提供程序 | GA | 在中国云中可用,但仅适用于自定义策略。 |
| 外部登录会话提供程序 | GA | 在中国云中可用,但仅适用于自定义策略。 |
| SAML SSO 会话提供程序 | GA | 在中国云中可用,但仅适用于自定义策略。 |
| OAuth SSO 会话提供程序 | GA | 在中国云中可用,但仅适用于自定义策略。 |
组件
| Feature | 自定义策略 | 注释 |
|---|---|---|
| 通过验证器应用使用基于时间的一次性密码 (TOTP) 进行的 MFA | GA | 用户可以使用支持 TOTP 验证的任何验证器应用,例如 Microsoft Authenticator 应用。 |
| 电话因素身份验证 | GA | 在中国云中可用,但仅适用于自定义策略。 |
| Microsoft Entra 多重身份验证 | GA | |
| 一次性密码 | GA | |
| Microsoft Entra ID 作为本地目录 | GA | |
| 谓词验证 | GA | 例如,密码复杂性。 |
| 显示控件 | GA | |
| 子旅程 | GA |
开发人员接口
| Feature | 自定义策略 | 备注 |
|---|---|---|
| Azure 门户 | GA | |
| Application Insights 用户旅程日志 | 预览 | 用于在开发过程中进行故障排除。 |
| Application Insights 事件日志 | 预览 | 用于监视生产中的用户流和自定义策略。 |
其他功能
| 功能 | 状态 | 备注 |
|---|---|---|
| Go-Local 加载项 | GA | Azure AD B2C 的 Go-Local 加载项使你能够在创建 Azure AD B2C 时选择的国家/地区内创建 Azure AD B2C 租户。 |
自定义策略功能集开发人员的责任
手动策略配置授予对 Azure AD B2C 基础平台的较低访问级别,因此要求创建唯一的信任框架。 自定义标识提供者、信任关系、与外部服务的集成以及分步工作流的诸多可能组合方式要求在设计和配置方面采用有条理的方法。
使用自定义策略功能集的开发人员应遵守以下指导原则:
- 熟悉自定义策略和密钥/机密管理的配置语言。 有关详细信息,请参阅 TrustFrameworkPolicy。
- 取得方案和自定义集成的所有权。 阐述自己的工作并告知实时站点组织。
- 执行有序的方案测试。
- 遵循软件开发和暂存最佳做法。 建议至少使用一个开发和测试环境。
- 随时了解与之集成的标识提供程序和服务的新进展。 例如,跟踪机密的更改情况以及对服务的计划内和计划外更改。
- 设置主动监控,监控生产环境的响应能力。 有关与 Application Insights 集成的详细信息,请参阅 Azure Active Directory B2C:收集日志。
- 在 Azure 订阅中保留最新的联系电子邮件地址,并快速回复 Microsoft 活动站点团队的电子邮件。
- 根据 Microsoft 活动站点团队的通知及时采取措施。