Definování technického profilu samoobslužného resetování hesla Microsoft Entra ID ve vlastních zásadách Azure AD B2C
Poznámka:
V Azure Active Directory B2C jsou vlastní zásady navržené především pro řešení složitých scénářů. Ve většině scénářů doporučujeme používat integrované toky uživatelů. Pokud jste to neudělali, přečtěte si informace o úvodním balíčku vlastních zásad v tématu Začínáme s vlastními zásadami ve službě Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) poskytuje podporu pro ověření e-mailové adresy pro samoobslužné resetování hesla (SSPR). Pomocí technického profilu SSPR Microsoft Entra ID vygenerujte a odešlete kód na e-mailovou adresu a pak kód ověřte. Technický profil SSPR microsoft Entra ID může také vrátit chybovou zprávu. Technický profil ověření ověří data poskytnutá uživatelem před pokračováním cesty uživatele. Při technickém profilu ověření se na stránce s vlastním kontrolním výrazem zobrazí chybová zpráva.
Tento technický profil:
- Neposkytuje rozhraní pro interakci s uživatelem. Místo toho se uživatelské rozhraní volá z technického profilu s vlastním uplatněním nebo z ovládacího prvku zobrazení jako technického profilu ověření.
- Pomocí služby Microsoft Entra SSPR vygeneruje a odešle kód na e-mailovou adresu a pak kód ověří.
- Ověří e-mailovou adresu prostřednictvím ověřovacího kódu.
Protokol
Atribut Name elementu Protocol musí být nastaven na Proprietary. Atribut obslužné rutiny musí obsahovat plně kvalifikovaný název sestavení obslužné rutiny protokolu, které používá Azure AD B2C:
Web.TPEngine.Providers.AadSsprProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
Následující příklad ukazuje technický profil SSPR Microsoft Entra ID:
<TechnicalProfile Id="AadSspr-SendCode">
<DisplayName>Send Code</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AadSsprProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
...
Odeslat e-mail
Prvním režimem tohoto technického profilu je vygenerovat kód a odeslat ho. Pro tento režim je možné nakonfigurovat následující možnosti.
Vstupní deklarace identity
InputClaims element obsahuje seznam deklarací identity, které se mají odeslat do Microsoft Entra SSPR. Název deklarace identity můžete také namapovat na název definovaný v technickém profilu SSPR.
| ClaimReferenceId | Požadováno | Popis |
|---|---|---|
| Emailaddress | Ano | Identifikátor uživatele, který vlastní e-mailovou adresu. Vlastnost PartnerClaimType vstupní deklarace identity musí být nastavena na emailAddresshodnotu . |
InputClaimsTransformations element může obsahovat kolekci InputClaimsTransformation elementů, které se používají k úpravě vstupních deklarací identity nebo generování nových před odesláním do služby Microsoft Entra SSPR.
Výstupní deklarace identity
Zprostředkovatel protokolu Microsoft Entra SSPR nevrací žádné outputClaims, takže není nutné zadávat výstupní deklarace identity. Můžete však zahrnout deklarace identity, které nejsou vráceny poskytovatelem protokolu Microsoft Entra SSPR, pokud nastavíte DefaultValue atribut.
OutputClaimsTransformations element může obsahovat kolekci OutputClaimsTransformation elementů, které slouží k úpravě výstupních deklarací identity nebo generování nových.
Metadata
| Atribut | Požadováno | Popis |
|---|---|---|
| Operace | Ano | Musí být SendCode. |
Prvky uživatelského rozhraní
Následující metadata lze použít ke konfiguraci chybových zpráv zobrazených při odesílání selhání sms. Metadata by měla být nakonfigurovaná v technickém profilu s vlastním kontrolním výrazem . Chybové zprávy lze lokalizovat.
| Atribut | Požadováno | Popis |
|---|---|---|
| UserMessageIfInternalError | No | Chybová zpráva uživatele, pokud na serveru došlo k vnitřní chybě. |
| UserMessageIfThrottled | No | Chybová zpráva uživatele, pokud došlo k omezení požadavku. |
Příklad: Odeslání e-mailu
Následující příklad ukazuje technický profil SSPR Microsoft Entra ID, který se používá k odeslání kódu e-mailem.
<TechnicalProfile Id="AadSspr-SendCode">
<DisplayName>Send Code</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AadSsprProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="Operation">SendCode</Item>
</Metadata>
<InputClaims>
<InputClaim ClaimTypeReferenceId="email" PartnerClaimType="emailAddress"/>
</InputClaims>
</TechnicalProfile>
Ověřit kód
Druhým režimem tohoto technického profilu je ověření kódu. Pro tento režim je možné nakonfigurovat následující možnosti.
Vstupní deklarace identity
InputClaims element obsahuje seznam deklarací identity, které se mají odeslat do Microsoft Entra SSPR. Název deklarace identity můžete také namapovat na název definovaný v technickém profilu SSPR.
| ClaimReferenceId | Požadováno | Popis |
|---|---|---|
| Emailaddress | Ano | Stejná e-mailová adresa jako dříve použitá k odeslání kódu. Slouží také k vyhledání relace ověření e-mailu. Vlastnost PartnerClaimType vstupní deklarace identity musí být nastavena na emailAddresshodnotu . |
| ověřovací kód | Ano | Ověřovací kód poskytnutý uživatelem, který má být ověřen. Vlastnost PartnerClaimType vstupní deklarace identity musí být nastavena na verificationCodehodnotu . |
InputClaimsTransformations element může obsahovat kolekci InputClaimsTransformation elementů, které se používají k úpravě vstupních deklarací nebo generování nových před voláním služby Microsoft Entra SSPR.
Výstupní deklarace identity
Zprostředkovatel protokolu Microsoft Entra SSPR nevrací žádné outputClaims, takže není nutné zadávat výstupní deklarace identity. Můžete však zahrnout deklarace identity, které nejsou vráceny poskytovatelem protokolu Microsoft Entra SSPR, pokud nastavíte DefaultValue atribut.
OutputClaimsTransformations element může obsahovat kolekci OutputClaimsTransformation elementů, které slouží k úpravě výstupních deklarací identity nebo generování nových.
Metadata
| Atribut | Požadováno | Popis |
|---|---|---|
| Operace | Ano | Musí být VerifyCode. |
Prvky uživatelského rozhraní
Následující metadata lze použít ke konfiguraci chybových zpráv zobrazených při selhání ověření kódu. Metadata by měla být nakonfigurovaná v technickém profilu s vlastním kontrolním výrazem . Chybové zprávy lze lokalizovat.
| Atribut | Požadováno | Popis |
|---|---|---|
| UserMessageIfChallengeExpired | Zpráva, která se uživateli zobrazí, pokud vypršela platnost relace ověření kódu. Platnost kódu vypršela nebo se pro daný identifikátor nikdy negeneroval. | |
| UserMessageIfInternalError | Chybová zpráva uživatele, pokud na serveru došlo k vnitřní chybě. | |
| UserMessageIfThrottled | Chybová zpráva uživatele, pokud došlo k omezení požadavku. | |
| UserMessageIfVerificationFailedNoRetry | Zpráva, která se má uživateli zobrazit, pokud zadal neplatný kód, a uživatel nesmí zadat správný kód. | |
| UserMessageIfVerificationFailedRetryAllowed | Zpráva, která se uživateli zobrazí, pokud zadal neplatný kód, a uživatel může zadat správný kód. |
Příklad: Ověření kódu
Následující příklad ukazuje technický profil SSPR Microsoft Entra ID, který se používá k ověření kódu.
<TechnicalProfile Id="AadSspr-VerifyCode">
<DisplayName>Verify Code</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AadSsprProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="Operation">VerifyCode</Item>
</Metadata>
<InputClaims>
<InputClaim ClaimTypeReferenceId="verificationCode" PartnerClaimType="verificationCode" />
<InputClaim ClaimTypeReferenceId="email" PartnerClaimType="emailAddress"/>
</InputClaims>
</TechnicalProfile>