你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

教程：使用 Azure Active Directory B2C 配置 Grit IAM B2B2C 解决方案

本教程介绍如何将 Azure Active Directory B2C (Azure AD B2C) 身份验证与 Grit IAM B2B2C 解决方案集成。 可以使用该解决方案为客户提供安全、可靠、可自助服务和用户友好的标识和访问管理。 共享配置文件数据（如名字、姓氏、家庭地址以及 Web 和移动应用程序中使用的电子邮件）以集中方式存储，并考虑了合规性和法规需求。

将 Grit 的 B2BB2C 解决方案用于：

• 身份验证、授权、配置文件和角色管理以及委托的 B2B SaaS 应用程序管理。
• Azure AD B2C 应用程序的基于角色的访问控制。

先决条件

首先请确保满足以下先决条件：

• Grit IAM 帐户。 可以转到 Grit IAM B2B2C 解决方案获取演示。
• 一个 Microsoft Entra 订阅。 如果没有帐户，可以创建一个免费 Azure 帐户。
• 一个关联到 Azure 订阅的 Azure AD B2C 租户。 可以在教程：创建 Azure Active Directory B2C 租户中了解详情。
• 在 Azure 门户中配置应用程序。

方案描述

Contoso 与最终客户和大型企业（如 Fabrikam_big1 和 Fabrikam_big2）开展业务。 有像 Fabrikam_small1 和 Fabrikam_small2 这样的小型企业客户，直接业务是与像 Smith1 和 Smith2 这样的最终客户开展的。

Contoso 具有 Web 和移动应用程序，并开发新应用程序。 应用程序依赖于用户共享配置文件数据，例如名字、姓氏、地址和电子邮件。 他们希望集中配置文件数据，因此应用程序不会收集和存储数据。 他们希望根据某些合规性和法规存储配置文件信息。

此集成由以下组件组成：

• Azure AD B2C Identity Experience Framework (IEF)：执行用户旅程的引擎，包括验证凭据、执行 MFA、检查用户访问。 它由 Microsoft Entra 数据库和 API 层辅助，使用 XML 进行配置。

• Grit API 层：此层公开有关组织和应用程序的用户配置文件数据和元数据。 数据存储在 MICROSOFT ENTRA ID 和 Cosmos DB 中。

• Grit 加入门户：由管理员用于加入应用程序和组织。

• Grit 管理员门户：由 Contoso 管理员和 fabrikam_big1 以及 fabirkam_small1 的管理员使用。 委托的管理员可以管理用户及其访问权限。 组织的超级管理员可管理所有用户。

• Grit Visual IEF 编辑器：自定义用户旅程的低代码/无代码编辑器，由 Grit 提供。 它生成 IEF 使用的 XML。 Contoso 开发人员使用它自定义用户旅程。

• 应用程序：由 Contoso 或第三方开发。 应用程序使用 Open ID 或 SAML 连接到客户标识和访问管理 (CIAM) 系统。 它们收到的令牌包含用户配置文件信息，但可以使用令牌作为身份验证机制进行 API 调用，以执行用户配置文件数据的创建、读取、更新和删除 (CRUD) 操作。

注意

由 Grit 开发的组件（Visual IEF 编辑器除外）将部署在 Contoso Azure 环境中。

使用 Azure AD B2C 配置 Grit B2B2C

使用以下部分中提供的指南开始进行配置。

步骤 1 - 设置基础结构

若要开始设置，请执行以下步骤：

• 请联系 Grit 支持人员获取访问权限。
• 为了进行评估，Grit 支持团队将在 Grit Azure 订阅中部署基础结构，他们将为你提供管理员权限。
• 购买解决方案后，Grit 工程师将在 Azure 订阅中安装生产版本。
• 基础结构与虚拟网络 (VNet) 设置集成，支持 APIM (第三方 API 管理) 和防火墙。
• Grit 实现工程师可以根据基础结构提供自定义建议。

步骤 2 - 在管理员门户中创建管理员

使用 Grit 管理员门户为管理员分配对门户的访问权限，他们可以在其中执行以下任务 -

• 根据权限级别在层次结构中添加其他管理员，例如超级管理员、组织管理员、应用程序管理员。

• 查看/接受/拒绝用户对应用程序注册的所有请求。

• 搜索用户。

若要了解如何分配管理员角色，请查看教程。

步骤 3 - 加入组织

将加入门户用于一个或多个客户及其支持 OpenID Connect (OIDC) 和 SAML 的标识提供者 (IdP)。 加入没有 IdP 的客户，以进行本地帐户身份验证。 对于 B2C 应用程序，启用社交身份验证。

在 Grit 加入门户中，为租户创建超级管理员。 加入门户定义每个应用程序和每个组织的声明。 此后，门户将为登录和注册用户流创建终结点 URL。

若要了解如何加入组织，请查看此教程。

步骤 4 - 使用 OIDC 或 SAML 集成应用程序

加入客户后，Grit 加入门户将提供用于加入应用程序的 URL。

了解客户如何注册、登录和管理其配置文件。

测试方案

检查应用程序中的身份验证方案。 使用 Grit 管理员门户更改角色和用户属性。 通过邀请用户提供对管理员门户的委托访问权限。

后续步骤

• Azure AD B2C 自定义策略概述

• 教程：在 Azure Active Directory B2C 中创建用户流和自定义策略

• SAAS 平台 - 组织应用程序加入门户

• SAAS 平台 - 管理员门户