Konfigurace ověřování v ukázkové webové aplikaci pomocí Azure AD B2C

Důležité

Od 1. května 2025 už nebude Azure AD B2C k dispozici k nákupu pro nové zákazníky. Další informace najdete v našich nejčastějších dotazech.

Tento článek používá ukázkovou ASP.NET webovou aplikaci, která ukazuje, jak do webových aplikací přidat ověřování Azure Active Directory B2C (Azure AD B2C).

Důležité

Ukázkovou ASP.NET webovou aplikaci, na kterou odkazuje tento článek, nejde použít k volání rozhraní REST API, protože vrací token ID, nikoli přístupový token. Informace o webové aplikaci, která může volat rozhraní REST API, najdete v tématu Zabezpečení webového rozhraní API vytvořeného pomocí ASP.NET Core pomocí Azure AD B2C.

Přehled

OpenID Connect (OIDC) je ověřovací protokol založený na OAuth 2.0. Pomocí OIDC můžete bezpečně přihlásit uživatele k aplikaci. Tato ukázka webové aplikace používá web Microsoft Identity Web. Microsoft Identity Web je sada knihoven ASP.NET Core, které zjednodušují přidávání podpory ověřování a autorizace do webových aplikací.

Tok přihlášení zahrnuje následující kroky:

1. Uživatelé přejdou do webové aplikace a vyberou Přihlášení.
2. Aplikace zahájí žádost o ověření a přesměruje uživatele do Azure AD B2C.
3. Uživatelé se zaregistrují nebo přihlásí a resetují heslo. Případně se můžou přihlásit pomocí účtu sociální sítě.
4. Jakmile se uživatelé úspěšně přihlásí, Azure AD B2C vrátí do aplikace token ID.
5. Aplikace ověří token ID, přečte deklarace identity a vrátí uživatelům zabezpečenou stránku.

Když vypršela platnost tokenu ID nebo je relace aplikace neplatná, aplikace zahájí novou žádost o ověření a přesměruje uživatele do Azure AD B2C. Pokud je aktivní relace jednotného přihlašování Azure AD B2C, Azure AD B2C vydá přístupový token, aniž by uživatele znovu vyzvala k přihlášení. Pokud platnost relace Azure AD B2C vyprší nebo je neplatná, zobrazí se uživatelům výzva k opětovnému přihlášení.

Odhlásit se

Tok odhlášení zahrnuje následující kroky:

1. Z aplikace se uživatelé odhlásí.
2. Aplikace vymaže objekty relace a knihovna ověřování vymaže mezipaměť tokenů.
3. Aplikace přenese uživatele do koncového bodu pro odhlášení z Azure AD B2C, aby ukončila relaci Azure AD B2C.
4. Uživatelé se přesměrují zpět do aplikace.

Požadavky

Počítač, na kterém běží některý z následujících způsobů:

Visual Studio

• Visual Studio 2022 17.0 nebo novější s úlohou vývoje pro ASP.NET a web
• Sada .NET 6.0 SDK

Visual Studio Code

• Visual Studio Code
• Jazyk C# pro Visual Studio Code (nejnovější verze)
• Sada .NET 6.0 SDK

Krok 1: Konfigurace toku uživatele

Když se uživatelé pokusí přihlásit k vaší aplikaci, aplikace prostřednictvím toku uživatele spustí žádost o ověření ke koncovému bodu autorizace. Tok uživatele definuje a řídí uživatelské prostředí. Jakmile uživatelé dokončí tok uživatele, Azure AD B2C vygeneruje token a pak přesměruje uživatele zpět do vaší aplikace.

Pokud jste to ještě neudělali, vytvořte uživatelský tok nebo vlastní pravidlo. Opakujte kroky pro vytvoření tří samostatných toků uživatelů následujícím způsobem:

• Kombinovaný uživatelský tok přihlášení a registrace, například susi. Tento tok uživatele podporuje také proces zapomenutého hesla.
• Upravování profilu uživatelského procesu, například edit_profile.
• Tok resetování hesla uživatele, například reset_password.

Azure AD B2C přidává na začátek B2C_1_ k názvu uživatelského toku. Například susi se stane B2C_1_susi.

Krok 2: Registrace webové aplikace

Pokud chcete aplikaci povolit přihlášení pomocí Azure AD B2C, zaregistrujte aplikaci v adresáři Azure AD B2C. Registrace aplikace vytvoří vztah důvěryhodnosti mezi aplikací a Azure AD B2C.

Během registrace aplikace zadáte přesměrování URI . Identifikátor URI přesměrování je koncový bod, na který jsou uživatelé přesměrováni službou Azure AD B2C po ověření pomocí Azure AD B2C. Proces registrace aplikace vygeneruje ID aplikace označované také jako ID klienta, které jednoznačně identifikuje vaši aplikaci. Po registraci aplikace Azure AD B2C použije jak ID aplikace, tak přesměrovací URI k vytvoření žádostí o ověření.

Pokud chcete vytvořit registraci webové aplikace, postupujte následovně:

1. Přihlaste se do Azure Portalu.

2. Pokud máte přístup k více tenantům, vyberte ikonu Nastavení v horní nabídce a přepněte se do svého tenanta Azure AD B2C z nabídky Adresáře + předplatná.

3. Na webu Azure Portal vyhledejte a vyberte Azure AD B2C.

4. Vyberte Registrace aplikacía pak vyberte Nová registrace.

5. V části Název zadejte název aplikace (například webapp1).

6. V části Podporované typy účtůvyberte Účty v určitém poskytovateli identity nebo organizačním adresáři (pro ověřování uživatelů s uživatelskými procesy).

7. V sekci Identifikátor URI pro přesměrování vyberte Web a potom do textového pole pro URL zadejte https://localhost:44316/signin-oidc.

8. V části Správa zaškrtněte políčko Ověřování, přejděte na Implicitní udělení a hybridní toky, zaškrtněte políčko Tokeny ID (používané pro implicitní a hybridní toky).

9. V části Oprávnění zaškrtněte políčko Udělit správní souhlas s oprávněními openid a offline přístupu.

10. Vyberte Zaregistrovat.

11. Vyberte Přehled.

12. Poznamenejte si ID aplikace (klienta) pro pozdější použití při konfiguraci webové aplikace.

    

Krok 3: Získání ukázky webové aplikace

Stáhněte si soubor ZIP nebo naklonujte ukázkovou webovou aplikaci z GitHubu.

git clone https://github.com/Azure-Samples/active-directory-aspnetcore-webapp-openidconnect-v2

Extrahujte ukázkový soubor do složky, kde celková délka cesty je 260 nebo méně znaků.

Krok 4: Konfigurace ukázkové webové aplikace

V ukázkové složce ve složce 1-WebApp-OIDC/1-5-B2C/ otevřete projekt WebApp-OpenIDConnect-DotNet.csproj pomocí sady Visual Studio nebo Visual Studio Code.

V kořenové složce projektu otevřete soubor appsettings.json . Tento soubor obsahuje informace o vašem zprostředkovateli identity Azure AD B2C. Aktualizujte následující vlastnosti nastavení aplikace:

Oddíl	Klíč	Hodnota
AzureAdB2C	Případ	První část názvu klienta Azure AD B2C (například https://contoso.b2clogin.com).
AzureAdB2C	Domain (Doména)	Úplný název tenanta Azure AD B2C (například contoso.onmicrosoft.com).
AzureAdB2C	ClientId	ID aplikace webové aplikace (klienta) z kroku 2.
AzureAdB2C	IdentifikátorZásadyRegistracePřihlášení	Toky uživatelů nebo vlastní zásady, které jste vytvořili v kroku 1.

Konečný konfigurační soubor by měl vypadat jako následující JSON:

"AzureAdB2C": {
  "Instance": "https://contoso.b2clogin.com",
  "Domain": "contoso.onmicrosoft.com",
  "ClientId": "<web-app-application-id>",
  "SignedOutCallbackPath": "/signout/<your-sign-up-in-policy>",
  "SignUpSignInPolicyId": "<your-sign-up-in-policy>"
}

Krok 5: Spuštění ukázkové webové aplikace

1. Sestavte a spusťte projekt.

2. Přejděte na https://localhost:44316 .

3. Vyberte Zaregistrovat/in.

   

4. Dokončete proces registrace nebo přihlášení.

Po úspěšném ověření se na navigačním panelu zobrazí vaše zobrazované jméno. Pokud chcete zobrazit deklarace identity, které se token Azure AD B2C vrátí do vaší aplikace, vyberte Deklarace identity.

Nasazení aplikace

V produkční aplikaci je identifikátor URI přesměrování registrace aplikace obvykle veřejně přístupným koncovým bodem, ve kterém je vaše aplikace spuštěná, například https://contoso.com/signin-oidc.

Identifikátory URI pro přesměrování můžete v registrovaných aplikacích kdykoli přidávat a upravovat. Pro přesměrovací URI platí následující omezení:

• Adresa URL odpovědi musí začínat schématem https.
• V adrese URL odpovědi se rozlišují malá a velká písmena. Jeho případ se musí shodovat s případem cesty URL spuštěné aplikace.

Další kroky

• Přečtěte si další informace o ukázce kódu.
• Zjistěte, jak povolit ověřování ve vlastní webové aplikaci pomocí Azure AD B2C.