你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

设置使用 Azure Active Directory B2C 通过 SwissID 帐户进行注册和登录

开始之前，可以使用“选择策略类型”选择器来选择要设置的策略类型。 Azure Active Directory B2C 提供了两种定义用户如何与应用程序交互的方法：通过预定义的用户流，或者通过可完全配置的自定义策略。 对于每种方法，本文中所需的步骤都不同。

在本文中，你会了解如何使用 Azure Active Directory B2C (Azure AD B2C) 让客户能够在你的应用程序中通过 SwissID 帐户进行注册与登录。 使用 OpenID 连接协议将 SwissID 添加到用户流或自定义策略。 有关详细信息，请参阅 SwissID 集成指南 - OpenID Connect。

先决条件

• 创建用户流，以便用户能够注册并登录应用程序。
• 注册 Web 应用程序。

• 完成 Active Directory B2C 中的自定义策略入门中的步骤
• 注册 Web 应用程序。

创建 SwissID 应用程序

若要让用户能够在 Azure AD B2C 中使用 SwissID 帐户登录，需要创建应用程序。 若要创建 SwissID 应用程序，请执行以下步骤：

1. 请联系 SwissID 业务合作伙伴支持。

2. 在注册到 SwissID 后，请提供 Azure AD B2C 租户的相关信息：

   密钥	注意
   重定向 URI	提供 https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp URI。 如果使用自定义域，请输入 https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp。 将 your-tenant-name 替换为租户的名称，将 your-domain-name 替换为你的自定义域。
   令牌终结点身份验证方法	client_secret_post

3. 在注册应用后，由 SwissID 提供以下信息。 使用此信息来配置用户流或自定义策略。

   密钥	注意
   环境	SwissID OpenId 的已知配置终结点。 例如，https://login.sandbox.pre.swissid.ch/idp/oauth2/.well-known/openid-configuration。
   客户端 ID	SwissID 客户端 ID。 例如，11111111-2222-3333-4444-555555555555。
   密码	SwissID 客户端机密。

将 SwissID 配置为标识提供者

1. 如果有权访问多个租户，请选择顶部菜单中的“设置”图标，切换到“目录 + 订阅”菜单中的 Azure AD B2C 租户。

2. 选择 Azure 门户左上角的“所有服务”，然后搜索并选择“Azure AD B2C” 。

3. 选择“标识提供程序”，然后选择“新建 OpenID Connect 提供程序” 。

4. 输入“名称”。 例如，输入“SwissID”。

5. 对于“元数据 URL”，请输入 URL SwissID OpenId 的已知配置终结点。 例如：

   https://login.sandbox.pre.swissid.ch/idp/oauth2/.well-known/openid-configuration
   

6. 对于“客户端 ID”，请输入 SwissID 客户端 ID。

7. 对于“客户端机密”，请输入 SwissID 客户端机密。

8. 对于“范围”，请输入 openid profile email。

9. 对于“响应类型”和“响应模式” ，请保留默认值。

10. （可选）对于“域提示”，请输入 swissid.com。 有关详细信息，请参阅使用 Azure Active Directory B2C 设置直接登录。

11. 在“标识提供者声明映射”下，选择以下声明：

    • 用户 ID：sub
    • 给定名称：given_name
    • 姓氏：family_name
    • 电子邮件：email

12. 选择“保存”。

将 SwissID 标识提供者添加到用户流

此时，SwissID 标识提供者已经过设置，但尚未在任何登录页中提供。 若要将 SwissID 标识提供者添加到用户流，请执行以下操作：

1. 在 Azure AD B2C 租户中，选择“用户流” 。
2. 单击要添加 SwissID 标识提供者的用户流。
3. 在“社交标识提供者”下，选择“SwissID”。
4. 选择“保存”。
5. 若要测试策略，请选择“运行用户流”。
6. 对于“应用程序”，请选择前面已注册的名为“testapp1”的 Web 应用程序。 “回复 URL”应显示为 https://jwt.ms。
7. 选择“运行用户流”按钮。
8. 从注册或登录页面中选择“SwissID”，以使用 SwissID 帐户登录。

如果登录过程是成功的，则你的浏览器会被重定向到 https://jwt.ms，其中显示 Azure AD B2C 返回的令牌内容。

创建策略密钥

你需要在 Azure AD B2C 租户中存储从 SwissID 收到的客户端机密。

1. 登录 Azure 门户。
2. 请确保使用的是包含 Azure AD B2C 租户的目录。 选择顶部菜单中的“目录 + 订阅”筛选器，然后选择包含租户的目录。
3. 选择 Azure 门户左上角的“所有服务”，然后搜索并选择“Azure AD B2C” 。
4. 在“概述”页上选择“标识体验框架”。
5. 选择“策略密钥”，然后选择“添加”。
6. 对于“选项”，请选择 Manual。
7. 输入策略密钥的名称。 例如，SwissIDSecret。 前缀 B2C_1A_ 会自动添加到密钥名称。
8. 在“机密”中输入 SwissID 客户端机密。
9. 在“密钥用法”处选择 Signature。
10. 单击“创建”。

将 SwissID 配置为标识提供者

若要使用户能够使用 SwissID 帐户登录，需将该帐户定义为 Azure AD B2C 可通过终结点与之通信的声明提供程序。 该终结点将提供一组声明，Azure AD B2C 使用这些声明来验证特定的用户是否已完成身份验证。

可以通过在策略的扩展文件中将 SwissID 帐户添加到 ClaimsProviders 元素，将该帐户定义为声明提供程序。

1. 打开 TrustFrameworkExtensions.xml。

2. 找到 ClaimsProviders 元素。 如果该元素不存在，请在根元素下添加它。

3. 如下所示添加新的 ClaimsProvider：

   <ClaimsProvider>
     <Domain>SwissID.com</Domain>
     <DisplayName>SwissID</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="SwissID-OpenIdConnect">
         <DisplayName>SwissID</DisplayName>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="METADATA">https://login.sandbox.pre.swissid.ch/idp/oauth2/.well-known/openid-configuration</Item>
           <Item Key="client_id">Your Swiss client ID</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile email</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_SwissIDSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="email" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateDisplayName" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. 将“client_id”设置为 SwissID 客户端 ID。

5. 保存文件。

添加用户旅程

此时，标识提供者已设置，但还不能在任何登录页中使用。 如果你没有自己的自定义用户旅程，请创建现有模板用户旅程的副本，否则，请继续执行下一步。

1. 打开初学者包中的 TrustFrameworkBase.xml 文件。
2. 找到并复制包含 Id="SignUpOrSignIn" 的 UserJourney 元素的完整内容。
3. 打开 TrustFrameworkExtensions.xml 并找到 UserJourneys 元素。 如果该元素不存在，请添加一个。
4. 将复制的 UserJourney 元素的完整内容粘贴为 UserJourneys 元素的子级。
5. 对用户旅程的 ID 进行重命名。 例如，Id="CustomSignUpSignIn"。

将标识提供者添加到用户旅程

目前你已拥有用户旅程，请将新的标识提供者添加到用户旅程。 首先添加一个“登录”按钮，然后将该按钮链接到某个操作。 该操作是你之前创建的技术配置文件。

1. 在用户旅程中，查找包含 Type="CombinedSignInAndSignUp" 或 Type="ClaimsProviderSelection" 的业务流程步骤元素。 这通常是第一个业务流程步骤。 ClaimsProviderSelections 元素包含用户可以用来登录的标识提供者列表。 元素的顺序将决定向用户显示的登录按钮的顺序。 添加 ClaimsProviderSelection XML 元素。 将 TargetClaimsExchangeId 的值设置为易记名称。

2. 在下一个业务流程步骤中，添加 ClaimsExchange 元素。 将 ID 设置为目标声明交换 ID 的值。将 TechnicalProfileReferenceId 的值更新为之前创建的技术配置文件的 ID 。

下面的 XML 演示了使用标识提供者进行用户旅程的前两个业务流程步骤：

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="SwissIDExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="SwissIDExchange" TechnicalProfileReferenceId="SwissID-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

配置信赖方策略

信赖方策略（例如 SignUpSignIn.xml）指定 Azure AD B2C 将执行的用户旅程。 在信赖方内查找 DefaultUserJourney 元素。 更新 ReferenceId，使其与已在其中添加标识提供者的用户旅程 ID 匹配。

在以下示例中，对于 CustomSignUpSignIn 用户旅程，将 ReferenceId 设置为 CustomSignUpSignIn：

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

上传自定义策略

1. 登录 Azure 门户。
2. 在门户工具栏中选择“目录 + 订阅”图标，然后选择包含 Azure AD B2C 租户的目录。
3. 在 Azure 门户中，搜索并选择“Azure AD B2C”。
4. 在“策略”下，选择“Identity Experience Framework”。
5. 选择“上传自定义策略”，然后上传已更改的两个策略文件，其顺序为：先上传扩展策略（例如 TrustFrameworkExtensions.xml），然后上传信赖方策略（例如 SignUpSignIn.xml）。

测试自定义策略

1. 选择信赖方策略，例如 B2C_1A_signup_signin。
2. 对于“应用程序”，请选择前面注册的 Web 应用程序。 “回复 URL”应显示为 https://jwt.ms。
3. 选择“立即运行”按钮。
4. 从注册或登录页面中选择“SwissID”，以使用 SwissID 帐户登录。

如果登录过程是成功的，则你的浏览器会被重定向到 https://jwt.ms，其中显示 Azure AD B2C 返回的令牌内容。

移到生产环境

SwissID IdP 提供预生产环境和生产环境。 本文中所述的配置使用预生产环境。 若要使用生产环境，请执行以下步骤：

1. 联系 SwissId 支持人员以获取生产环境。
2. 使用已知配置终结点的 URI 更新用户流或自定义策略。

后续步骤

了解如何将 SwissID 令牌传递到应用程序。