你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure AD B2C 在 Python Web 应用中启用验证选项
本文介绍如何启用、自定义和增强 Python Web 应用程序的 Azure Active Directory B2C (Azure AD B2C) 身份验证体验。
在开始之前,请务必熟悉如何使用 Azure AD B2C 在示例 Python Web 应用中配置身份验证。
使用自定义域
通过使用自定义域,可以完全标记身份验证 URL。 从用户的角度来看,用户在身份验证过程中仍留在你的域中,而不是重定向到 Azure AD B2C b2clogin.com 域名。
若要删除对 URL 中“b2c”的所有引用,还可以将身份验证请求 URL 中的 B2C 租户名称 (contoso.onmicrosoft.com) 替换为你的租户 ID GUID。 例如,可以将 https://fabrikamb2c.b2clogin.com/contoso.onmicrosoft.com/ 更改为 https://account.contosobank.co.uk/<tenant ID GUID>/。
若要在身份验证 URL 中使用自定义域和租户 ID,请执行以下操作:
- 请遵循启用自定义域中的指导。
- 在“app_config.py”字段中,将
authority_template类成员更新为你的自定义域。
以下 Python 代码显示了更改前的应用设置:
authority_template = "https://{tenant}.b2clogin.com/{tenant}.onmicrosoft.com/{user_flow}"
以下 Python 代码显示了更改后的应用设置:
authority_template = "https://custom.domain.com/00000000-0000-0000-0000-000000000000/{user_flow}"
预填充登录名
在登录用户旅程中,你的应用可能会针对特定用户。 当应用针对用户时,它可以在授权请求中使用用户登录名指定 login_hint 查询参数。 Azure AD B2C 自动填充登录名,用户只需要提供密码。
若要预填充登录名,请执行下列操作:
- 如果使用的是自定义策略,请按照设置直接登录中的说明添加所需的输入声明。
- 找到
initiate_auth_code_flow方法,然后添加login_hint参数及相应的标识提供者域名(例如 facebook.com)。
def _build_auth_code_flow(authority=None, scopes=None):
return _build_msal_app(authority=authority).initiate_auth_code_flow(
scopes or [],
redirect_uri=url_for("authorized", _external=True),
login_hint="bob@contoso.com")
预先选择标识提供程序
如果已将应用程序的登录旅程配置为包括社交帐户(如 Facebook、LinkedIn 或 Google),则可以指定 domain_hint 参数。 此查询参数向 Azure AD B2C 提供有关应该用于登录的社交标识提供者的提示。 例如,如果应用程序指定 domain_hint=facebook.com,登录流会直接转到 Facebook 登录页。
要将用户重定向到外部标识提供程序,请执行以下操作:
检查外部标识提供者的域名。 有关详细信息,请参阅将登录重定向到社交服务提供商。
找到
initiate_auth_code_flow方法,然后添加domain_hint参数及相应的登录提示。def _build_auth_code_flow(authority=None, scopes=None): return _build_msal_app(authority=authority).initiate_auth_code_flow( scopes or [], redirect_uri=url_for("authorized", _external=True), domain_hint="facebook.com")
后续步骤
- 若要了解更多信息,请参阅适用于 Python 的 MSAL 配置选项。