إعداد تسجيل الدخول لمؤسسة Microsoft Entra معينة في Azure Active Directory B2C

هام

اعتبارا من 1 مايو 2025، لن يكون Azure AD B2C متوفرا للشراء للعملاء الجدد. تعرف على المزيد في الأسئلة المتداولة.

توضح هذه المقالة كيفية تمكين تسجيل الدخول للمستخدمين من مؤسسة Microsoft Entra معينة باستخدام تدفق مستخدم في Azure AD B2C.

قبل البدء، استخدم محدد اختيار نوع نهج في أعلى هذه الصفحة لاختيار نوع النهج الذي تقوم بإعداده. يوفر Azure Active Directory B2C طريقتين لتحديد كيفية تفاعل المستخدمين مع تطبيقاتك: من خلال تدفقات محددة مسبقا للمستخدمين أو من خلال سياسات مخصصة قابلة للتكوين بشكل كامل. تختلف الخطوات المطلوبة في هذه المقالة لكل أسلوب.

إشعار

في Azure Active Directory B2C، تم تصميم النُهج المخصصة بشكل أساسي لمعالجة السيناريوهات المعقدة. بالنسبة إلى معظم السيناريوهات، نوصي باستخدام تدفقات المستخدم المضمنة. إذا لم تقم بذلك، تعرف على حزمة بادئ النهج المخصصة في البدء باستخدام النهج المخصصة في Active Directory B2C.

المتطلبات الأساسية

• إنشاء تدفق مستخدم حتى يتمكن المستخدمون من التسجيل وتسجيل الدخول إلى التطبيق الخاص بك.
• تسجيل تطبيق ويب.

• أكمل الخطوات الواردة في بدء استخدام النهج المخصصة في Active Directory B2C. يرشدك هذا البرنامج التعليمي إلى كيفية تحديث ملفات النهج المخصصة لاستخدام تكوين مستأجر Azure AD B2C.
• تسجيل تطبيق ويب.

التحقق من مجال ناشر التطبيق

اعتبارا من نوفمبر 2020، تظهر تسجيلات التطبيق الجديدة على أنها لم يتم التحقق منها في مطالبة موافقة المستخدم ما لم يتم التحقق من مجال ناشر التطبيقوتم التحقق من هوية الشركة باستخدام شبكة شركاء Microsoft وربطها بالتطبيق. (تعرف على المزيد حول هذا التغيير.) لاحظ أنه بالنسبة لتدفقات مستخدم Azure AD B2C، يظهر مجال الناشر فقط عند استخدام حساب Microsoft أو مستأجر Microsoft Entra آخر كموفر الهوية. لتلبية هذه المتطلبات الجديدة، قم بما يلي:

1. تحقق من هوية شركتك باستخدام حساب شبكة شركاء Microsoft (MPN). تتحقق هذه العملية من معلومات حول شركتك والاتصال الأساسي لشركتك.
2. أكمل عملية التحقق من الناشر لربط حساب MPN الخاص بك بتسجيل التطبيق باستخدام أحد الخيارات التالية:
   • إذا كان تسجيل التطبيق لموفر هوية حساب Microsoft في مستأجر Microsoft Entra، فتحقق من تطبيقك في مدخل تسجيل التطبيق.
   • إذا كان تسجيل تطبيقك لموفر هوية حساب Microsoft في مستأجر Azure AD B2C، فميز تطبيقك كناشر تم التحقق منه باستخدام واجهات برمجة تطبيقات Microsoft Graph (على سبيل المثال، باستخدام مستكشف Graph). تم تعطيل واجهة المستخدم لإعداد ناشر التطبيق الذي تم التحقق منه حاليا لمستأجري Azure AD B2C.

تسجيل تطبيق Microsoft Entra

لتمكين تسجيل الدخول للمستخدمين الذين لديهم حساب Microsoft Entra من مؤسسة Microsoft Entra معينة، في Azure Active Directory B2C (Azure AD B2C)، تحتاج إلى إنشاء تطبيق في مدخل Microsoft Azure. لمزيد من المعلومات، راجع تسجيل تطبيق مع النظام الأساسي للهويات في Microsoft.

1. قم بتسجيل الدخول إلى بوابة Azure.

2. إذا كان لديك حق الوصول إلى عدة مستأجرين، فحدد أيقونة الإعدادات في القائمة العلوية للتبديل إلى مستأجر معرف Microsoft Entra من قائمة الدلائل + الاشتراكات .

3. في مدخل Microsoft Azure، ابحث عن Microsoft Entra ID وحدده.

4. في القائمة اليسرى، ضمن Manage، حدد App registrations.

5. حدد + New registration.

6. أدخل اسماً لتطبيقك. على سبيل المثال، Azure AD B2C App

7. اقبل التحديد الافتراضي للحسابات في هذا الدليل التنظيمي فقط (الدليل الافتراضي فقط - مستأجر واحد) لهذا التطبيق.

8. بالنسبة إلى Redirect URI، اقبل قيمة Web، وأدخل عنوان URL التالي بجميع الأحرف الصغيرة، حيث your-B2C-tenant-name يتم استبداله باسم مستأجر Azure AD B2C.

   https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
   

   على سبيل المثال، https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp

   إذا كنت تستخدم مجالا مخصصا، أدخل https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. استبدل your-domain-name بمجالك المخصص، وباسم your-tenant-name المستأجر الخاص بك.

9. حدد Register. سجل معرف التطبيق (العميل) للاستخدام في خطوة لاحقة.

10. حدد Certificates and secrets، ثم حدد New client secret.

11. أدخل وصفا للبيانات السرية، وحدد انتهاء صلاحية، ثم حدد إضافة. سجل قيمة السر لاستخدامها في خطوة لاحقة.

تكوين معرف Microsoft Entra كموفر هوية

1. إذا كان لديك حق الوصول إلى عدة مستأجرين، فحدد أيقونة الإعدادات في القائمة العلوية للتبديل إلى مستأجر Azure AD B2C من قائمة الدلائل + الاشتراكات .

2. اختر جميع الخدمات في الزاوية العلوية اليمنى من مدخل Microsoft Azure، ثم ابحث عن Azure AD B2C وحدده.

3. حدد موفري الهوية، ثم حدد موفر اتصال OpenID جديد.

4. أدخل اسمًا. على سبيل المثال، أدخل معرف Contoso Microsoft Entra.

5. بالنسبة إلى عنوان URL لبيانات التعريف، أدخل عنوان URL التالي مع {tenant} استبدال باسم مجال مستأجر Microsoft Entra الخاص بك:

   https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration
   

على سبيل المثال، https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration إذا كنت تستخدم مجالا مخصصا، فاستبدل contoso.com بالمجال المخصص في https://login.microsoftonline.com/contoso.com/v2.0/.well-known/openid-configuration.

1. بالنسبة إلى معرف العميل، أدخل معرف التطبيق الذي سجلته مسبقا.

2. بالنسبة إلى سر العميل، أدخل قيمة سر العميل التي قمت بتسجيلها مسبقا.

3. بالنسبة إلى النطاق، أدخل openid profile.

4. اترك القيم الافتراضية لنوع الاستجابةووضع الاستجابة.

5. (اختياري) للحصول على تلميح المجال، أدخل contoso.com. للمزيد من المعلومات، راجع إعداد تسجيل الدخول المباشر باستخدام Azure Active Directory B2C.

6. ضمن تعيين مطالبات موفر الهوية، حدد المطالبات التالية:

   • معرف المستخدم: oid
   • اسم العرض: الاسم
   • الاسم المحدد: given_name
   • اللقب: family_name
   • البريد الإلكتروني: البريد الإلكتروني

7. حدد Save.

إضافة موفر هوية Microsoft Entra إلى تدفق المستخدم

في هذه المرحلة، تم إعداد موفر هوية Microsoft Entra، ولكنه غير متوفر بعد في أي من صفحات تسجيل الدخول. لإضافة موفر هوية Microsoft Entra إلى تدفق المستخدم:

1. في مستأجر Azure AD B2C، حدد تدفقات المستخدم.
2. انقر فوق تدفق المستخدم الذي تريد إضافة موفر هوية Microsoft Entra.
3. ضمن Settings، حدد Identity providers
4. ضمن Custom identity providers، حدد Contoso Microsoft Entra ID.
5. حدد Save.
6. لاختبار النهج الخاص بك، حدد تشغيل تدفق المستخدم.
7. بالنسبة للتطبيق، حدد تطبيق ويب قمت بتسجيله مسبقا. يجب أن يظهر https://jwt.ms .
8. حدد الزر Run user flow .
9. من صفحة التسجيل أو تسجيل الدخول، حدد Contoso Microsoft Entra ID لتسجيل الدخول باستخدام حساب Microsoft Entra Contoso.

إذا نجحت عملية تسجيل الدخول، تتم إعادة توجيه المستعرض إلى https://jwt.ms، والذي يعرض محتويات الرمز المميز الذي تم إرجاعه بواسطة Azure AD B2C.

إنشاء مفتاح نهج

تحتاج إلى تخزين مفتاح التطبيق الذي قمت بإنشائه في مستأجر Azure AD B2C.

1. إذا كان لديك حق الوصول إلى عدة مستأجرين، فحدد أيقونة الإعدادات في القائمة العلوية للتبديل إلى مستأجر Azure AD B2C من قائمة الدلائل + الاشتراكات .
2. اختر جميع الخدمات في الزاوية العلوية اليمنى من مدخل Microsoft Azure، ثم ابحث عن Azure AD B2C وحدده.
3. ضمن Policies، حدد Identity Experience Framework.
4. حدد Policy keys ثم حدد Add.
5. بالنسبة إلى خيارات، اختر Manual.
6. أدخل اسما لمفتاح النهج. على سبيل المثال، ContosoAppSecret تتم إضافة البادئة B2C_1A_ تلقائيا إلى اسم المفتاح عند إنشائه، لذا فإن مرجعها في XML في القسم التالي هو B2C_1A_ContosoAppSecret.
7. في Secret، أدخل قيمة سر العميل التي سجلتها سابقا.
8. بالنسبة لاستخدام المفتاح، حدد Signature.
9. حدد إنشاء.

تكوين معرف Microsoft Entra كموفر هوية

لتمكين المستخدمين من تسجيل الدخول باستخدام حساب Microsoft Entra، تحتاج إلى تعريف معرف Microsoft Entra كموفر مطالبات يمكن ل Azure AD B2C الاتصال به من خلال نقطة نهاية. توفر نقطة النهاية مجموعة من المطالبات التي يستخدمها Azure AD B2C للتحقق من مصادقة مستخدم معين.

يمكنك تعريف معرف Microsoft Entra كموفر مطالبات عن طريق إضافة معرف Microsoft Entra إلى عنصر ClaimsProvider في ملف ملحق النهج الخاص بك.

1. افتح ملف TrustFrameworkExtensions.xml .

2. ابحث عن عنصر ClaimsProviders . إذا لم يكن موجودا، أضفه ضمن العنصر الجذر.

3. إضافة ClaimsProvider جديد كما يلي:

   <ClaimsProvider>
     <Domain>Contoso</Domain>
     <DisplayName>Login using Contoso</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="AADContoso-OpenIdConnect">
         <DisplayName>Contoso Employee</DisplayName>
         <Description>Login with your Contoso account</Description>
         <Protocol Name="OpenIdConnect"/>
         <Metadata>
           <Item Key="METADATA">https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration</Item>
           <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_ContosoAppSecret"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid"/>
           <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. ضمن عنصر ClaimsProvider ، قم بتحديث قيمة Domain إلى قيمة فريدة يمكن استخدامها لتمييزها عن موفري الهوية الآخرين. على سبيل المثالContoso. لا تضع .com في نهاية إعداد المجال هذا.

5. ضمن عنصر ClaimsProvider ، قم بتحديث قيمة DisplayName إلى اسم مألوف لموفر المطالبات. هذه القيمة غير مستخدمة حاليا.

تحديث ملف التعريف الفني

للحصول على رمز مميز من نقطة نهاية Microsoft Entra، تحتاج إلى تعريف البروتوكولات التي يجب أن يستخدمها Azure AD B2C للاتصال بمعرف Microsoft Entra. يتم ذلك داخل عنصر TechnicalProfile في ClaimsProvider.

1. تحديث معرف عنصر TechnicalProfile . يستخدم هذا المعرف للإشارة إلى ملف التعريف التقني هذا من أجزاء أخرى من النهج، على سبيل المثال AADContoso-OpenIdConnect.
2. تحديث قيمة DisplayName. سيتم عرض هذه القيمة على زر تسجيل الدخول على شاشة تسجيل الدخول.
3. تحديث قيمة الوصف.
4. يستخدم معرف Microsoft Entra بروتوكول OpenID Connect، لذا تأكد من أن قيمة البروتوكول هي OpenIdConnect.
5. قم بتعيين قيمة METADATA إلى https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration، حيث tenant-name هو اسم مستأجر Microsoft Entra. على سبيل المثال، https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration
6. تعيين client_id إلى معرف التطبيق من تسجيل التطبيق.
7. ضمن CryptographicKeys، قم بتحديث قيمة StorageReferenceId إلى اسم مفتاح النهج الذي قمت بإنشائه سابقا. على سبيل المثال، B2C_1A_ContosoAppSecret

إضافة رحلة مستخدم

في هذه المرحلة، تم إعداد موفر الهوية، ولكنه غير متوفر بعد في أي من صفحات تسجيل الدخول. إذا لم يكن لديك رحلة مستخدم مخصصة خاصة بك، فبادر بإنشاء نسخة مكررة من رحلة مستخدم قالب موجودة، وإلا تابع إلى الخطوة التالية.

1. افتح ملف TrustFrameworkBase.xml من حزمة البداية.
2. ابحث عن المحتويات الكاملة لعنصر UserJourney الذي يتضمن Id="SignUpOrSignIn"وانسخها.
3. افتح TrustFrameworkExtensions.xml وابحث عن عنصر UserJourneys . إذا لم يكن العنصر موجودا، أضف واحدا.
4. الصق المحتوى الكامل لعنصر UserJourney الذي نسخته كعنصر تابع لعنصر UserJourneys .
5. أعد تسمية معرف رحلة المستخدم. على سبيل المثال، Id="CustomSignUpSignIn"

إضافة موفر الهوية إلى رحلة مستخدم

الآن بعد أن أصبح لديك رحلة مستخدم، أضف موفر الهوية الجديد إلى رحلة المستخدم. يمكنك أولا إضافة زر تسجيل الدخول، ثم ربط الزر بإجراء. الإجراء هو ملف التعريف الفني الذي أنشأته سابقا.

1. ابحث عن عنصر خطوة التزامن الذي يتضمن Type="CombinedSignInAndSignUp"، أو Type="ClaimsProviderSelection" في رحلة المستخدم. عادة ما تكون خطوة التنسيق الأولى. يحتوي عنصر ClaimsProviderSelections على قائمة بموفري الهوية التي يمكن للمستخدم تسجيل الدخول باستخدامها. يتحكم ترتيب العناصر في ترتيب أزرار تسجيل الدخول المقدمة للمستخدم. إضافة عنصر ClaimsProviderSelection XML. تعيين قيمة TargetClaimsExchangeId إلى اسم مألوف.

2. في خطوة التنسيق التالية، أضف عنصر ClaimsExchange . تعيين المعرف إلى قيمة معرف تبادل المطالبات الهدف. قم بتحديث قيمة TechnicalProfileReferenceId إلى معرف ملف التعريف الفني الذي أنشأته سابقا.

يوضح XML التالي أول خطوتين للتنسيق لرحلة المستخدم مع موفر الهوية:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="AzureADContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="AzureADContosoExchange" TechnicalProfileReferenceId="AADContoso-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

تكوين نهج جهة الاعتماد

يحدد نهج الطرف المعتمد، على سبيل المثال SignUpSignIn.xml، رحلة المستخدم التي سينفذها Azure AD B2C. ابحث عن عنصر DefaultUserJourney داخل جهة الاعتماد. قم بتحديث ReferenceId لمطابقة معرف رحلة المستخدم، الذي أضفت فيه موفر الهوية.

في المثال التالي، بالنسبة لرحلة CustomSignUpSignIn المستخدم، يتم تعيين ReferenceId إلى CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

تحميل النهج المخصص

1. قم بتسجيل الدخول إلى بوابة Azure.
2. حدد أيقونة الدليل + الاشتراك في شريط أدوات المدخل، ثم حدد الدليل الذي يحتوي على مستأجر Azure AD B2C.
3. في مدخل Microsoft Azure، ابحث عن Azure AD B2C وحددها.
4. ضمن Policies، حدد Identity Experience Framework.
5. حدد Upload Custom Policy، ثم قم بتحميل ملفي النهج اللذين قمت بتغييرهما، بالترتيب التالي: نهج الملحق، على سبيل المثال TrustFrameworkExtensions.xml، ثم نهج الطرف المعتمد، مثل SignUpSignIn.xml.

اختبار النهج المخصص

1. حدد نهج جهة الاعتماد، على سبيل المثال B2C_1A_signup_signin.
2. بالنسبة للتطبيق، حدد تطبيق ويب قمت بتسجيله مسبقا. يجب أن يظهر https://jwt.ms .
3. حدد الزر تشغيل الآن .
4. من صفحة التسجيل أو تسجيل الدخول، حدد Contoso Employee لتسجيل الدخول باستخدام حساب Microsoft Entra Contoso.

إذا نجحت عملية تسجيل الدخول، تتم إعادة توجيه المستعرض إلى https://jwt.ms، والذي يعرض محتويات الرمز المميز الذي تم إرجاعه بواسطة Azure AD B2C.

[اختياري] تكوين المطالبات الاختيارية

إذا كنت ترغب في الحصول على family_name المطالبات و given_name من معرف Microsoft Entra، يمكنك تكوين مطالبات اختيارية لتطبيقك في واجهة مستخدم مدخل Microsoft Azure أو بيان التطبيق. لمزيد من المعلومات، راجع كيفية تقديم مطالبات اختيارية لتطبيق Microsoft Entra.

1. سجل الدخول إلى مدخل Microsoft Azure باستخدام مستأجر Microsoft Entra التنظيمي. أو إذا كنت قد سجلت الدخول بالفعل، فتأكد من أنك تستخدم الدليل الذي يحتوي على مستأجر Microsoft Entra التنظيمي (على سبيل المثال، Contoso):
   1. حدّد أيقونة الدلائل + الاشتراكات في شريط أدوات المدخل.
   2. في إعدادات المدخل | صفحة الدلائل + الاشتراكات ، وابحث عن دليل Microsoft Entra في قائمة اسم الدليل ، ثم حدد تبديل.
2. في مدخل Microsoft Azure، ابحث عن Microsoft Entra ID وحدده.
3. في القائمة اليسرى، ضمن Manage، حدد App registrations.
4. حدد التطبيق الذي تريد تكوين المطالبات الاختيارية له في القائمة، مثل Azure AD B2C App.
5. من قسم Manage ، حدد Token configuration.
6. حدد إضافة مطالبة اختيارية.
7. بالنسبة لنوع الرمز المميز، حدد ID.
8. حدد المطالبات الاختيارية لإضافتها، وfamily_name. given_name
9. حدد إضافة. إذا ظهر إذن تشغيل ملف تعريف Microsoft Graph (مطلوب لكي تظهر المطالبات في الرمز المميز)، فقم بتمكينه، ثم حدد إضافة مرة أخرى.

[اختياري] التحقق من صحة التطبيق

يساعد التحقق من الناشر المستخدمين على فهم أصالة التطبيق الذي سجلته. يعني التطبيق الذي تم التحقق منه أن ناشر التطبيق قد تحقق من هويته باستخدام شبكة شركاء Microsoft (MPN). تعرف على كيفية وضع علامة على تطبيقك كناشر تم التحقق منه.

الخطوات التالية

تعرف على كيفية تمرير رمز Microsoft Entra المميز إلى التطبيق الخاص بك.