將 Azure AD B2C 租用戶新增為 OpenID Connect 身分識別提供者（預覽）

適用於：白色圓圈，內有灰色 X 符號 Workforce 租戶 外部租戶（深入瞭解）

若要將 Azure AD B2C 租使用者設定為識別提供者，您必須建立 Azure AD B2C 自定義原則，然後建立應用程式。

先決條件

• 設定為自訂政策起始套件的 Azure AD B2C 租戶。 請參閱 教學課程 - 建立使用者流程和自定義原則 - Azure Active Directory B2C |Microsoft Learn
  • 當電子郵件是 ID Token 中的必要要求時，若要接收電子郵件宣告，您可能需要在 Azure AD B2C 租戶中使用自定義原則。
  • 您可以使用 自定義原則部署工具

設定您的自定義原則

外部租戶可能需要電子郵件宣告從您的 Azure AD B2C 自訂原則的令牌中回傳，如果這項功能在使用者流程中已啟用。

在佈建自訂原則起始套件之後，請從您的 Azure AD B2C 租用戶中的 身分體驗框架 分頁下載 B2C_1A_signup_signin 檔案。

1. 登入 Azure 入口網站，然後選取 [Azure AD B2C]。
2. 在概觀頁面上，在 [原則] 底下，選取 [身分識別體驗架構]。
3. 搜尋並選取 B2C_1A_signup_signin 檔案。
4. 下載 B2C_1A_signup_signin。

在文字編輯器中開啟 B2C_1A_signup_signin.xml 檔案。 在 [<OutputClaims>] 節點底下，新增下列輸出宣告：

<OutputClaim ClaimTypeReferenceId="signInName" PartnerClaimType="email">

將檔案儲存為 B2C_1A_signup_signin.xml，然後透過 Azure AD B2C 租戶中的 身分識別體驗架構 blade 上傳它。 選擇 覆寫現有的政策。 此步驟可確保電子郵件位址會在 Azure AD B2C 驗證後發出為宣告，以宣告Microsoft Entra ID。

將 Microsoft Entra 識別元註冊為應用程式

您必須在 Azure AD B2C 租戶中將 Microsoft Entra ID 註冊為一個應用程式。 此步驟可讓 Azure AD B2C 將令牌發行給同盟Microsoft Entra ID。

若要建立應用程式：

1. 登入 Azure 入口網站，然後選取 [Azure AD B2C]。

2. 選取 [應用程式註冊]，然後選取 [[新增註冊]。

3. 在 [名稱下，輸入 “與 Microsoft Entra ID 聯合”。

4. 在 支援的帳戶類型下，選取 任何身分提供者或組織目錄中的帳戶（用於驗證具有使用者流程的使用者）。

5. 在 [重新導向 URI] 下，選取 [Web]，然後以全小寫輸入下列 URL，其中 your-B2C-tenant-name 要替換成您的 Azure AD B2C 租戶名稱（例如 Contoso）：

   https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

   https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

   例如：

   https://contoso.ciamlogin.com/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/federation/oauth2

   https://contoso.ciamlogin.com/contoso.onmicrosoft.com/federation/oauth2

   如果您使用自訂網域，請輸入：

   https://<your-domain-name>/<your-tenant-name>.onmicrosoft.com/oauth2/authresp

   將 your-domain-name 取代為您的自定義網域，並將 your-tenant-name 取代為您的租用戶名稱。

6. 在 [許可權]下，選取 [授予管理員對 openid 和 offline_access 許可權的同意] 複選框。

7. 選取 [[註冊]。

8. 在 [Azure AD B2C - 應用程式註冊] 頁面中，選取您建立的應用程式，並記錄應用程式概觀頁面上所顯示 應用程式（用戶端） 識別碼。 在下一節中設定識別提供者時，您需要此標識碼。

9. 在左側功能表中，於 [管理] 下，選取 [憑證 & 秘密]。

10. 選擇 新增客戶端密碼。

11. 在 [描述] 方塊中輸入客戶端密碼的描述。 例如：「FederationWithEntraID」。

12. 在 [到期] 下，選擇 [密鑰有效] 的持續時間，然後選取 [新增]。

13. 記錄秘密的 值。 在下一節中設定識別提供者時，您需要此值。

將 Azure AD B2C 租戶設定為身分識別提供者。

建構 OpenID Connect well-known 端點：將 <your-B2C-tenant-name> 替換為您的 Azure AD B2C 租戶名稱。

如果您使用自訂網域名稱，請將 <custom-domain-name> 取代為您的自訂網域。 以您在 B2C 租戶中設定的政策名稱取代 <policy>。 如果您使用入門套件，則會是 B2C_1A_signup_signin 檔案。

https://<your-B2C-tenant-name>.b2clogin.com/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

或

https://<custom-domain-name>/<your-B2C-tenant-name>.onmicrosoft.com/<policy>/v2.0/.well-known/openid-configuration

1. 將發行者 URI 設定為：https://<your-b2c-tenant-name>.b2clogin.com/<your-b2c-tenant-id>/v2.0/，或如果您使用自訂網域，請使用您的自訂網域取代 your-b2c-tenant-name.b2clogin.com。
2. 針對 用戶端識別碼，輸入您先前記錄的應用程式識別碼。
3. 選取 [客戶端驗證] 作為 [client_secret]。
4. 針對 客戶端密碼，輸入您先前記錄的客戶端密碼。
5. 針對 [範圍]，輸入 openid profile email offline_access
6. 選取 [code 作為回應類型。
7. 針對宣告映射設定下列項目：

• 子：子系
• 名稱：名稱
• 指定名稱： given_name
• 姓氏： family_name
• 電子郵件： 電子郵件

建立身分識別提供者，並將它附加至與您的應用程式相關聯的使用者流程，以登入和註冊。

相關內容

• 將自定義 OIDC 識別提供者新增為外部識別提供者
• 設定 OIDC 宣告對應