使用 Azure Active Directory B2C 設定 itsme OpenID 連線 (OIDC)
itsme 數位識別碼應用程式可讓您安全地登入,而不需要卡片讀取器、密碼、雙因素驗證或多個 PIN 碼。 itsme 應用程式會以已驗證的身分識別提供強大的客戶驗證。 在本文中,瞭解如何使用用戶端秘密使用者流程原則,將 Azure AD B2C 驗證與其me OpenID 連線 (OIDC) 整合。
必要條件
若要開始使用,您需要:
- Azure 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶。
- 連結至 Azure 訂用帳戶的 Azure AD B2C 租使用者 。
- 您的用戶端識別碼,也稱為合作夥伴程式碼,由itsme提供。
- 由 itsme 所提供的服務程式代碼。
- 其帳戶的客戶端密碼。
案例描述
| 步驟 | 描述 |
|---|---|
| 1 | 在您的網站或應用程式中,藉由在 Azure AD B2C 使用者流程中進行調整,以 包含 [以 itsme 登入] 按鈕。 當使用者按下此按鈕時,互動流程就會開始。 |
| 2 | Azure AD B2C 會傳送授權要求給 itsme 用戶端秘密 API,以啟動 OpenID 連線流程。 已知/OpenID 組態端點可供使用,其中包含端點的相關信息。 |
| 3 | itsme 環境會將使用者重新導向至 itsme 識別自己頁面,讓使用者填入其電話號碼。 |
| 4 | itsme 環境會接收用戶的電話號碼,並驗證正確性。 |
| 5 | 如果電話號碼屬於作用中的 itsme 使用者,則會為其me 應用程式建立動作。 |
| 6 | 用戶開啟 itsme 應用程式、檢查要求,並確認動作。 |
| 7 | 應用程式會通知其環境已確認動作。 |
| 8 | itsme 環境會將 OAuth 授權程式代碼傳回至 Azure AD B2C。 |
| 9 | 使用授權程序代碼,Azure AD B2C 會執行令牌要求。 |
| 10 | itsme 環境會檢查令牌要求,如果仍然有效,則會傳回 OAuth 存取令牌和包含所要求使用者資訊的標識符令牌。 |
| 11 | 最後,使用者會以已驗證的使用者身分重新導向至重新導向 URL。 |
使用 itsme 上線
若要使用 itsme 建立帳戶,請在 Azure Marketplace 造訪 itsme。
將電子郵件傳送至 onboarding@itsme.be來啟用您的 itsme 帳戶。 您將會收到 B2C 設定所需的合作夥伴程式代碼 和服務 程式代碼 。
啟用 itsme 合作夥伴帳戶之後,您會收到一封電子郵件,其中包含客戶端密碼的一次性連結。
請依照 itsme 上的指示來完成設定。
與 Azure AD B2C 整合
在 Azure AD B2C 中設定新的識別提供者
注意
如果您還沒有 Azure AD B2C 租使用者, 請建立連結至 Azure 訂用帳戶的 Azure AD B2C 租 使用者。
如果您有多個租使用者的存取權,請選取頂端功能表中的 [設定] 圖示,從 [目錄 + 訂用帳戶] 功能表切換至您的 Azure AD B2C 租使用者。
在 [Azure 服務] 底下,選取 [Azure AD B2C] (或選取 [更多服務],並使用 [所有服務] 搜尋方塊來搜尋 Azure AD B2C)。
選取 [識別提供者],然後選取 [新增 OpenID 連線 提供者]。
以下列資訊填入表單:
屬性 值 名稱 itsme 元數據 URL https://oidc.<environment>.itsme.services/clientsecret-oidc/csapi/v0.1/.well-known/openid-configuration
其中<environment>是e2e(測試環境) 或prd(生產環境)ClientID 您的 用戶端識別碼,也稱為 合作夥伴程序代碼 用戶端密碼 您的 client_secret 範圍 openid service:YOURSERVICECODE 配置文件電子郵件 [phone] [address] 回應類型 code 回應模式 query 網域提示 您可以將此保留空白 UserID sub 顯示名稱 NAME 指定的名稱 given_name Surname family_name 電子郵件 電子郵件 選取 [儲存]。
設定使用者流程
在您的 Azure AD B2C 租使用者中,於 [原則] 底下,選取 [使用者流程]。
選取 [新增使用者流程]。
選取 [註冊並登入],選取版本,然後選取 [ 建立]。
輸入名稱。
在 [ 識別提供者 ] 區段中,選取 itsme。
選取建立。
選取使用者流程名稱,以開啟新建立的使用者流程。
選取 [屬性 ],然後調整下列值:
- 將存取&標識元令牌存留期(分鐘)變更為 5。
- 將 [重新整理令牌滑動視窗存留期] 變更為 [無到期]。
註冊應用程式
在您的 B2C 租使用者中,於 [管理] 底下,選取 [應用程式註冊>[新增註冊]。
提供 應用程式的 [名稱 ],然後輸入您的 重新導向 URI。 針對測試目的,請輸入
https://jwt.ms。請確定多重要素驗證已 停用。
選取註冊。
a. 若要進行測試,請選取 [驗證],然後在 [隱含授與] 底下,選取 [存取令牌和標識符令牌] 複選框。
b. 選取 [儲存]。
測試使用者流程
在您的 B2C 租使用者中,於 [原則] 底下選取 [使用者流程]。
選取您先前建立的使用者流程。
選取執行使用者流程。
a. 應用程式: 選取已註冊的應用程式
b. 回復 URL: 選取重新導向 URL
[識別 自己] 頁面隨即出現。
輸入您的行動電話,然後選取 [ 傳送]。
確認 itsme 應用程式中的動作。
下一步
如需詳細資訊,請檢閱下列文章: