Nastavení přihlášení pro víceklientové ID Microsoft Entra pomocí vlastních zásad v Azure Active Directory B2C

  • Článek

Než začnete, pomocí selektoru Zvolit typ zásady zvolte typ zásady, kterou nastavujete. Azure Active Directory B2C nabízí dvě metody pro definování způsobu interakce uživatelů s vašimi aplikacemi: prostřednictvím předdefinovaných toků uživatelů nebo prostřednictvím plně konfigurovatelných vlastních zásad. Kroky vyžadované v tomto článku se pro každou metodu liší.

Tato funkce je dostupná jenom pro vlastní zásady. Pro kroky nastavení vyberte v předchozím selektoru vlastní zásady .

V tomto článku se dozvíte, jak uživatelům povolit přihlášení pomocí koncového bodu s více tenanty pro ID Microsoft Entra. Povolení přihlašování uživatelů z více tenantů Microsoft Entra pomocí Azure AD B2C, aniž byste museli pro každého tenanta konfigurovat zprostředkovatele identity. Členové hosta se ale v žádném z těchto tenantů nebudou moct přihlásit. K tomu je potřeba nakonfigurovat jednotlivé tenanty.

Předpoklady

Poznámka:

V tomto článku se předpokládá, že úvodní balíček SocialAndLocalAccounts se používá v předchozích krocích uvedených v předpokladu.

Registrace aplikace Microsoft Entra

Pokud chcete uživatelům povolit přihlášení pomocí účtu Microsoft Entra v Azure Active Directory B2C (Azure AD B2C), musíte vytvořit aplikaci na webu Azure Portal. Další informace najdete v tématu Registrace aplikace na platformě Microsoft Identity Platform.

  1. Přihlaste se k portálu Azure.

  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do tenanta Microsoft Entra ID.

  3. V levém horním rohu webu Azure Portal zvolte Všechny služby a pak vyhledejte a vyberte Registrace aplikací.

  4. Vyberte Nová registrace.

  5. Zadejte název aplikace. Například, Azure AD B2C App.

  6. Pro tuto aplikaci vyberte Účty v libovolném organizačním adresáři (libovolný adresář Microsoft Entra – Víceklient).

  7. U identifikátoru URI přesměrování přijměte hodnotu webu a do všech malých písmen zadejte následující adresu URL, kde your-B2C-tenant-name se nahradí názvem vašeho tenanta Azure AD B2C.

    https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp

    Například, https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp.

    Pokud používáte vlastní doménu, zadejte https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Nahraďte your-domain-name vlastní doménou a your-tenant-name názvem vašeho tenanta.

  8. Vyberte Zaregistrovat. Poznamenejte si ID aplikace (klienta) pro použití v pozdějším kroku.

  9. Vyberte Tajné kódy certifikátů & a pak vyberte Nový tajný klíč klienta.

  10. Zadejte popis tajného kódu, vyberte vypršení platnosti a pak vyberte Přidat. Poznamenejte si hodnotu tajného kódu pro použití v pozdějším kroku.

Konfigurace volitelných deklarací identity

Pokud chcete získat family_namedeklarace identity a given_name identity z ID Microsoft Entra, můžete nakonfigurovat volitelné deklarace identity pro vaši aplikaci v uživatelském rozhraní webu Azure Portal nebo manifestu aplikace. Další informace naleznete v tématu Jak poskytnout volitelné deklarace identity do vaší aplikace Microsoft Entra.

  1. Přihlaste se k portálu Azure. Vyhledejte a vyberte Microsoft Entra ID.
  2. V části Spravovat vyberte Registrace aplikací.
  3. Vyberte aplikaci, pro kterou chcete v seznamu nakonfigurovat volitelné deklarace identity.
  4. V části Správa vyberte konfiguraci tokenu.
  5. Vyberte Přidat volitelnou deklaraci identity.
  6. Jako typ tokenu vyberte ID.
  7. Vyberte volitelné deklarace identity, které chcete přidat, family_namea given_name.
  8. Vyberte Přidat. Pokud se zobrazí povolení e-mailového oprávnění Microsoft Graphu (požadované pro zobrazení deklarací identity v tokenu), povolte ho a pak znovu vyberte Přidat .

[Volitelné] Ověření pravosti aplikace

Ověření vydavatele pomáhá uživatelům pochopit pravost aplikace, kterou jste zaregistrovali. Ověřená aplikace znamená, že vydavatel aplikace ověřil svou identitu pomocí programu Microsoft Partner Network (MPN). Zjistěte, jak označit aplikaci jako ověřenou vydavatelem.

Vytvoření klíče zásad

Musíte uložit klíč aplikace, který jste vytvořili v tenantovi Azure AD B2C.

  1. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.
  2. V levém horním rohu webu Azure Portal zvolte Všechny služby a pak vyhledejte a vyberte Azure AD B2C.
  3. V části Zásady vyberte Architekturu prostředí identit.
  4. Vyberte Klíče zásad a pak vyberte Přidat.
  5. V nabídce Možnosti zvolte Manual.
  6. Zadejte název klíče zásady. Například, AADAppSecret. Předpona B2C_1A_ se automaticky přidá k názvu klíče při jeho vytvoření, takže jeho odkaz v kódu XML v následující části je B2C_1A_AADAppSecret.
  7. V části Tajný kód zadejte tajný klíč klienta, který jste si poznamenali dříve.
  8. V případě použití klíče vyberte Signature.
  9. Vyberte Vytvořit.

Konfigurace ID Microsoft Entra jako zprostředkovatele identity

Pokud chcete uživatelům umožnit přihlášení pomocí účtu Microsoft Entra, musíte definovat ID Microsoft Entra jako zprostředkovatele deklarací identity, se kterým může Azure AD B2C komunikovat prostřednictvím koncového bodu. Koncový bod poskytuje sadu deklarací identity, které Azure AD B2C používá k ověření ověření konkrétního uživatele.

Microsoft Entra ID můžete definovat jako zprostředkovatele deklarací identity přidáním Microsoft Entra ID do elementu ClaimsProvider v souboru s příponou vaší zásady.

  1. Otevřete soubor SocialAndLocalAccounts/TrustFrameworkExtensions.xml (viz soubory, které jste použili v požadavcích).

  2. Vyhledejte element ClaimsProviders . Pokud neexistuje, přidejte ho pod kořenový prvek.

  3. Přidejte nový ClaimsProvider následujícím způsobem:

    <ClaimsProvider>
  <Domain>commonaad</Domain>
  <DisplayName>Common AAD</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="AADCommon-OpenIdConnect">
      <DisplayName>Multi-Tenant AAD</DisplayName>
      <Description>Login with your Contoso account</Description>
      <Protocol Name="OpenIdConnect"/>
      <Metadata>
        <Item Key="METADATA">https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration</Item>
        <!-- Update the Client ID below to the Application ID -->
        <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
        <Item Key="response_types">code</Item>
        <Item Key="scope">openid profile</Item>
        <Item Key="response_mode">form_post</Item>
        <Item Key="HttpBinding">POST</Item>
        <Item Key="UsePolicyInRedirectUri">false</Item>
        <Item Key="DiscoverMetadataByTokenIssuer">true</Item>
        <!-- The key below allows you to specify each of the Azure AD tenants that can be used to sign in. Update the GUIDs below for each tenant. -->
        <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000,https://login.microsoftonline.com/11111111-1111-1111-1111-111111111111</Item>
        <!-- The commented key below specifies that users from any tenant can sign-in. Uncomment if you would like anyone with an Azure AD account to be able to sign in. -->
        <!-- <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/</Item> -->
      </Metadata>
      <CryptographicKeys>
        <Key Id="client_secret" StorageReferenceId="B2C_1A_AADAppSecret"/>
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid"/>
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
        <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
        <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/>
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

  4. V části ClaimsProvider elementu aktualizujte hodnotu domain na jedinečnou hodnotu, kterou lze použít k odlišení od jiných zprostředkovatelů identity.

  5. V části TechnicalProfile element aktualizujte hodnotu DisplayName, Multi-Tenant AADnapříklad . Tato hodnota se zobrazí na přihlašovacím tlačítku na přihlašovací stránce.

  6. Nastavte client_id na ID aplikace Microsoft Entra s více tenanty, kterou jste zaregistrovali dříve.

  7. V části CryptographicKeys aktualizujte hodnotu StorageReferenceId na název klíče zásady, který jste vytvořili dříve. Například, B2C_1A_AADAppSecret.

Omezení přístupu

Použití https://login.microsoftonline.com/ jako hodnoty pro ValidTokenIssuerPrefixes umožňuje všem uživatelům Microsoft Entra přihlásit se k vaší aplikaci. Aktualizujte seznam platných vystavitelů tokenů a omezte přístup na konkrétní seznam uživatelů tenanta Microsoft Entra, kteří se můžou přihlásit.

Pokud chcete získat hodnoty, podívejte se na openID Připojení metadata zjišťování pro každého tenanta Microsoft Entra, ze kterého se mají uživatelé přihlásit. Formát adresy URL metadat je podobný https://login.microsoftonline.com/your-tenant/v2.0/.well-known/openid-configurationformátu , kde your-tenant je název vašeho tenanta Microsoft Entra. Příklad:

https://login.microsoftonline.com/fabrikam.onmicrosoft.com/v2.0/.well-known/openid-configuration

Proveďte tyto kroky pro každého tenanta Microsoft Entra, který by se měl použít k přihlášení:

  1. Otevřete prohlížeč a přejděte na adresu URL metadat OpenID Připojení tenanta. Vyhledejte issuer objekt a poznamenejte si jeho hodnotu. Měl by vypadat podobně jako https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000/v2.0.
  2. Zkopírujte a vložte hodnotu do klíče ValidTokenIssuerPrefixes . Oddělte více vystavitelů čárkou. Příklad se dvěma vystaviteli se zobrazí v předchozí ClaimsProvider ukázce XML.

Přidání cesty uživatele

V tuto chvíli je zprostředkovatele identity nastavený, ale zatím není k dispozici na žádné přihlašovací stránce. Pokud nemáte vlastní cestu uživatele, vytvořte duplikát existující cesty uživatele šablony, jinak pokračujte dalším krokem.

  1. Otevřete soubor TrustFrameworkBase.xml z úvodní sady.
  2. Najděte a zkopírujte celý obsah prvku UserJourney , který obsahuje Id="SignUpOrSignIn".
  3. Otevřete TrustFrameworkExtensions.xml a najděte element UserJourneys. Pokud prvek neexistuje, přidejte ho.
  4. Vložte celý obsah elementu UserJourney , který jste zkopírovali jako podřízený prvek UserJourneys .
  5. Přejmenujte ID cesty uživatele. Například, Id="CustomSignUpSignIn".

Přidání zprostředkovatele identity do cesty uživatele

Teď, když máte cestu uživatele, přidejte do cesty uživatele nového zprostředkovatele identity. Nejdřív přidáte tlačítko pro přihlášení a pak tlačítko propočítáte s akcí. Akce je technický profil, který jste vytvořili dříve.

  1. Najděte prvek kroku orchestrace, který zahrnuje Type="CombinedSignInAndSignUp"nebo Type="ClaimsProviderSelection" na cestě uživatelem. Obvykle se jedná o první krok orchestrace. Element ClaimsProviderSelections obsahuje seznam zprostředkovatelů identity, se kterými se uživatel může přihlásit. Pořadí prvků řídí pořadí tlačítek pro přihlášení, která jsou uživateli prezentována. Přidejte element XML ClaimsProviderSelection. Nastavte hodnotu TargetClaimsExchangeId na popisný název.

  2. V dalším kroku orchestrace přidejte element ClaimsExchange . Nastavte ID na hodnotu ID cílové výměny deklarací identity. Aktualizujte hodnotu TechnicalProfileReferenceId na ID technického profilu, který jste vytvořili dříve.

Následující KÓD XML ukazuje první dva kroky orchestrace cesty uživatele se zprostředkovatelem identity:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="AzureADCommonExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="AzureADCommonExchange" TechnicalProfileReferenceId="AADCommon-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurace zásad předávající strany

Zásady předávající strany, například SignUpSignIn.xml, určují cestu uživatele, kterou azure AD B2C spustí. Najděte element DefaultUserJourney v rámci předávající strany. Aktualizujte ID reference tak, aby odpovídalo ID cesty uživatele, do kterého jste přidali zprostředkovatele identity.

V následujícím příkladu CustomSignUpSignIn je pro cestu uživatele nastavena hodnota ReferenceId na CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Nahrání vlastních zásad

  1. Přihlaste se k portálu Azure.
  2. Na panelu nástrojů portálu vyberte ikonu Adresář a předplatné a pak vyberte adresář, který obsahuje vašeho tenanta Azure AD B2C.
  3. Na webu Azure Portal vyhledejte a vyberte Azure AD B2C.
  4. V části Zásady vyberte Architekturu prostředí identit.
  5. Vyberte Nahrát vlastní zásady a potom nahrajte dva soubory zásad, které jste změnili, v následujícím pořadí: zásady rozšíření, například TrustFrameworkExtensions.xml, pak zásady předávající strany, například SignUpSignIn.xml.

Testování vlastních zásad

  1. Vyberte například zásadu B2C_1A_signup_signinpředávající strany.
  2. V části Aplikace vyberte webovou aplikaci, kterou jste předtím zaregistrovali. Adresa URL odpovědi by se měla zobrazit https://jwt.ms.
  3. Vyberte tlačítko Spustit hned.
  4. Na registrační nebo přihlašovací stránce vyberte Společné ID Microsoft Entra a přihlaste se pomocí účtu Microsoft Entra.

Pokud chcete otestovat funkci přihlašování s více tenanty, proveďte poslední dva kroky pomocí přihlašovacích údajů pro uživatele, který existuje jiný tenant Microsoft Entra. Zkopírujte koncový bod Spustit a otevřete ho v privátním okně prohlížeče, například anonymní režim v Prohlížeči Google Chrome nebo v okně InPrivate v Microsoft Edgi. Otevření v okně privátního prohlížeče umožňuje otestovat celou cestu uživatele tím, že nepoužíváte žádné aktuálně uložené přihlašovací údaje Microsoft Entra uložené v mezipaměti.

Pokud je proces přihlášení úspěšný, prohlížeč se přesměruje na https://jwt.msobsah tokenu vráceného službou Azure AD B2C.

Další kroky