你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

教程：为 Nok Nok Passport 配置 Azure Active Directory B2C 以进行无密码 FIDO2 身份验证

学习将 Nok Nok S3 身份验证套件集成到 Azure Active Directory B2C (Azure AD B2C) 租户中。 Nok Nok 解决方案为移动和 Web 应用程序启用 FIDO UAF、FIDO U2F、WebAuthn 和 FIDO2 等获得了 FIDO 认证的多重身份验证。 Nok Nok 解决方案可改善安全状况，同时平衡用户体验。

前往 noknok.com 详细了解：Nok Nok Labs, Inc.

先决条件

要开始，需要：

• Azure 订阅
  • 如果没有，请获取一个 Azure 免费帐户
• 一个关联到 Azure 订阅的 Azure AD B2C 租户
  • 教程：创建 Azure Active Directory B2C 租户
• 转到 noknok.com。 在顶部菜单中，选择“演示”。

方案描述

若要为用户启用无密码 FIDO 身份验证，请将 Nok Nok 作为 Azure AD B2C 租户中的标识提供者 (IdP) 启用。 Nok Nok 解决方案集成包括以下组件：

• Azure AD B2C - 验证用户凭据的授权服务器：
• Web 和移动应用程序 - 要使用 Nok Nok 解决方案和 Azure AD B2C 保护的移动或 Web 应用
• Nok Nok 应用 SDK 或 Passport 应用 - 对启用了 Azure AD B2C 的应用程序进行身份验证。
  • 转到 Nok Nok Passport 的 Apple App Store
  • 或者，Google Play Nok Nok Passport

下图演示了 Nok Nok 解决方案作为 Azure AD B2C 的 IdP，使用 OpenID Connect (OIDC) 进行无密码身份验证。

1. 在登录页上，用户选择“登录”或“注册”并输入用户名。
2. Azure AD B2C 将用户重定向到 Nok Nok OIDC 身份验证提供程序。
3. 若为移动身份验证，将显示 QR 码或推送通知会发送到用户设备。 若为桌面登录，用户会重定向到 Web 应用登录页面进行无密码身份验证。
4. 用户使用 Nok Nok 应用 SDK 或 Passport 应用扫描 QR 码。 或者，用户名为登录页面输入。
5. 系统会提示用户进行身份验证。 用户执行无密码身份验证：生物识别、设备 PIN 或任何漫游验证器。 Web 应用程序上会显示身份验证提示。 用户执行无密码身份验证：生物识别、设备 PIN 或任何漫游验证器。
6. Nok Nok 服务器验证 FIDO 断言，并将 OIDC 身份验证响应发送到 Azure AD B2C。
7. 授权或拒绝用户访问。

Nok Nok 入门

1. 转到 noknok.com“联系人”页面。
2. 填写 Nok Nok 租户的表单。
3. 你会收到一封电子邮件，其中包含租户访问信息和文档链接。
4. 使用 Nok Nok 集成文档完成租户 OIDC 配置。

与 Azure AD B2C 集成

使用以下说明添加和配置 IdP，然后配置用户流。

添加新的标识提供者

有关以下说明，请将目录与 Azure AD B2C 租户配合使用。 若要添加新 IdP，请执行以下操作：

1. 以 Azure AD B2C 租户的全局管理员身份登录到 Azure 门户。
2. 在门户工具栏中，选择“目录 + 订阅”。
3. 在“门户设置”>“目录 + 订阅”上的“目录名称”列表中，找到 Azure AD B2C 目录。
4. 选择“切换”。
5. 在 Azure 门户左上角，选择“所有服务”。
6. 搜索并选择“Azure AD B2C”。
7. 导航到“仪表板”>“Azure Active Directory B2C”>“标识提供者”。
8. 选择“标识提供者”。
9. 选择 添加 。

配置标识提供者

若要配置 IdP，请执行以下操作：

1. 选择“标识提供者类型”>“OpenID Connect (预览版)”。
2. 对于“名称”，请输入 Nok Nok Authentication Provider 或其他名称。
3. 对于“元数据 URL”，请输入托管的 Nok Nok Authentication 应用 URI，后跟路径，例如 https://demo.noknok.com/mytenant/oidc/.well-known/openid-configuration
4. 对于“客户端密码”，请使用 Nok Nok 中的客户端密码。
5. 对于“客户端 ID”，请使用 Nok Nok 提供的客户端 ID。
6. 对于“作用域”，请使用 OpenID 配置文件电子邮件。
7. 对于“响应类型”，请选择“代码”。
8. 对于“响应模式”，请选择“form_post”。
9. 选择“确定”。
10. 选择“映射此标识提供者的声明”。
11. 对于“UserID”，选择“从订阅”。
12. 对于“显示名称”，选择“从订阅”。
13. 对于“响应模式”，选择“从订阅”。
14. 选择“保存” 。

创建用户流策略

对于以下说明，Nok Nok 是 B2C 标识提供者列表中的新 OIDC IdP。

1. 在 Azure AD B2C 租户中的“策略”下，选择“用户流”。
2. 选择“新建”。
3. 选择“注册和登录”。
4. 选择“版本”。
5. 选择“创建”。
6. 输入策略名称。
7. 在“标识提供者”中，选择创建的 Nok Nok IdP。
8. 可以添加电子邮件地址。 Azure 不会将登录重定向到 Nok Nok；此时会显示提供用户选项的屏幕。
9. 保留“多重身份验证”字段。
10. 选择“强制实施条件访问策略”。
11. 在“用户特性和令牌声明”下的“收集特性”选项中，选择“电子邮件地址”。
12. 添加供 Microsoft Entra ID 收集的用户特性以及 Azure AD B2C 返回给客户端应用程序的声明。
13. 选择“创建”。
14. 选择新用户流。
15. 在左侧面板中，选择“应用程序声明”。
16. 在选项下，选中“电子邮件”复选框
17. 选择“保存”。

测试用户流

1. 打开 Azure AD B2C 租户，在“策略”下选择“Identity Experience Framework”。
2. 选择创建的 SignUpSignIn。
3. 选择“运行用户流”。
4. 对于“应用程序”，请选择已注册的应用。 示例为 JWT。
5. 对于“回复 URL”，请选择重定向 URL。
6. 选择“运行用户流”。
7. 执行注册流并创建帐户。
8. 创建用户属性后，将调用 Nok Nok。

如果流未完成，请确认用户是否保存在目录中。

后续步骤

• Azure AD B2C 自定义策略概述
• 教程：在 Azure Active Directory B2C 中创建用户流和自定义策略