Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Od 1. května 2025 už nebude Azure AD B2C k dispozici k nákupu pro nové zákazníky. Další informace najdete v našich nejčastějších dotazech.
Než začnete, pomocí selektoru Zvolit typ zásady v horní části této stránky zvolte typ zásady, kterou nastavujete. Azure Active Directory B2C nabízí dvě metody pro definování způsobu interakce uživatelů s vašimi aplikacemi: prostřednictvím předdefinovaných toků uživatelů nebo prostřednictvím plně konfigurovatelných vlastních zásad. Kroky vyžadované v tomto článku se pro každou metodu liší.
Důležité
Od 30. září 2021 google zastaralá podporu přihlašování k webovému zobrazení. Pokud vaše aplikace ověřují uživatele pomocí vloženého webového zobrazení a používáte federaci Google s Azure AD B2C, uživatelé Google Gmailu se nebudou moct ověřit. Další informace.
Poznámka:
V Azure Active Directory B2C jsou vlastní zásady navržené především pro řešení složitých scénářů. Ve většině scénářů doporučujeme používat integrované toky uživatelů. Pokud jste to neudělali, přečtěte si informace o úvodním balíčku vlastních zásad v tématu Začínáme s vlastními zásadami ve službě Active Directory B2C.
Požadavky
- Vytvořte tok uživatele, aby se uživatelé mohli zaregistrovat a přihlásit k vaší aplikaci.
- Zaregistrujte webovou aplikaci.
- Dokončete kroky v Začněte s vlastními zásadami ve službě Azure Active Directory B2C. V tomto kurzu se dozvíte, jak aktualizovat soubory vlastních zásad tak, aby používaly konfiguraci tenanta Azure AD B2C.
- Zaregistrujte webovou aplikaci.
Vytvoření aplikace Google
Pokud chcete uživatelům povolit přihlášení pomocí účtu Google v Azure Active Directory B2C (Azure AD B2C), musíte vytvořit aplikaci v konzole Google Developers Console. Další informace najdete v tématu Nastavení OAuth 2.0. Pokud ještě nemáte účet Google, můžete se zaregistrovat na adrese https://accounts.google.com/signup
.
- Přihlaste se ke konzole Google Developers Console pomocí svých přihlašovacích údajů k účtu Google.
- V levém horním rohu stránky vyberte seznam projektů a pak vyberte Nový projekt.
- Zadejte název projektu a vyberte Vytvořit.
- Vyberte rozevírací seznam projektu v levém horním rohu obrazovky a ujistěte se, že používáte nový projekt. Vyberte projekt podle názvu a pak vyberte Otevřít.
- V nabídce vlevo vyberte rozhraní API a služby a pak obrazovku souhlasu OAuth. Vyberte Externí a pak vyberte Vytvořit.
- Zadejte název aplikace.
- Vyberte e-mail podpory uživatele.
- V části Doména aplikace zadejte odkaz na domovskou stránku aplikace, odkaz na zásady ochrany osobních údajů aplikace a odkaz na podmínky služby.
- V části Autorizované domény zadejte b2clogin.com.
- V části Kontaktní informace pro vývojáře zadejte čárkami oddělené e-maily pro Google, které vás upozorní na všechny změny projektu.
- Vyberte Uložit.
- V nabídce vlevo vyberte Přihlašovací údaje a pak vyberte Vytvořit přihlašovací údaje>OAuth ID klienta.
- V části Typ aplikace vyberte webovou aplikaci.
- Zadejte název aplikace.
- Pro autorizované původy JavaScriptu zadejte
https://your-tenant-name.b2clogin.com
. Pokud používáte vlastní doménu, zadejtehttps://your-domain-name
. - Pro identifikátory URI autorizovaného přesměrování zadejte
https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp
. Pokud používáte vlastní doménu, zadejtehttps://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp
. Nahraďteyour-domain-name
vlastní doménou ayour-tenant-name
názvem vašeho tenanta. Při zadávání názvu tenanta používejte všechna malá písmena, i když je tenant definovaný velkými písmeny v Azure AD B2C. Ve všech případech nahraďteyour-tenant-name
subdoménou Directory (tenant). Pokud je například primární doména vašeho tenantacontoso.onmicrosoft.com
, použijtecontoso
. Pokud neznáte název svého tenanta, zjistěte, jak si přečíst podrobnosti o tenantovi.
- Vyberte Vytvořit.
- Zkopírujte hodnoty ID klienta a tajného klíče klienta. Budete je potřebovat ke konfiguraci Google jako zprostředkovatele identity ve vašem tenantovi. Tajný klíč klienta je důležitou bezpečnostní pověření.
Konfigurace Google jako zprostředkovatele identity
- Přihlaste se k webu Azure Portal pomocí účtu, který má alespoň oprávnění správce externího zprostředkovatele identity .
- Pokud máte přístup k více tenantům, vyberte ikonu Nastavení v horní nabídce a přepněte se do svého tenanta Azure AD B2C z nabídky Adresáře + předplatná.
- V levém horním rohu webu Azure Portal zvolte Všechny služby , vyhledejte a vyberte Azure AD B2C.
- Vyberte zprostředkovatele identity a pak vyberte Google.
- Zadejte Název. Například Google.
- Jako ID klienta zadejte ID klienta aplikace Google, kterou jste vytvořili dříve.
- Jako tajný klíč klienta zadejte tajný klíč klienta, který jste si poznamenali.
- Vyberte Uložit.
Přidání zprostředkovatele identity Google do toku uživatele
V tuto chvíli je zprostředkovatel identity Google nastaven, ale zatím není k dispozici na žádné z přihlašovacích stránek. Přidání zprostředkovatele identity Google do toku uživatele:
- V tenantovi Azure AD B2C vyberte Toky uživatelů.
- Vyberte tok uživatele, ke kterému chcete přidat Google jako poskytovatele identity.
- V části Zprostředkovatelé sociálních identit vyberte Google.
- Vyberte Uložit.
- Pokud chcete zásady otestovat, vyberte Spustit uživatelský průběh.
- V části Aplikace vyberte webovou aplikaci s názvem testapp1 , kterou jste předtím zaregistrovali. Adresa URL odpovědi by se měla zobrazit
https://jwt.ms
. - Vyberte tlačítko Spustit tok uživatele.
- Na registrační nebo přihlašovací stránce vyberte Google , abyste se přihlásili pomocí účtu Google.
Pokud je proces přihlášení úspěšný, prohlížeč se přesměruje na https://jwt.ms
. Na stránce se zobrazí obsah tokenu, který Azure AD B2C vrátí.
Vytvořte klíč zásad
Musíte uložit tajný klíč klienta, který jste předtím zaznamenali ve svém tenantovi Azure AD B2C.
- Přihlaste se do Azure Portalu.
- Pokud máte přístup k více tenantům, vyberte ikonu Nastavení v horní nabídce a přepněte se do svého tenanta Azure AD B2C z nabídky Adresáře + předplatná.
- V levém horním rohu webu Azure Portal zvolte Všechny služby a pak vyhledejte a vyberte Azure AD B2C.
- Na stránce Přehled vyberte Identity Experience Framework.
- Vyberte Klíče zásad a pak vyberte Přidat.
- V nabídce Možnosti zvolte
Manual
. - Zadejte název klíče pro zásady. Například:
GoogleSecret
. PředponaB2C_1A_
se automaticky přidá do názvu klíče. - V tajném kódu zadejte tajný klíč klienta, který jste předtím zaznamenali.
- V případě použití klíče vyberte
Signature
. - Vyberte Vytvořit.
Konfigurace Google jako zprostředkovatele identity
Pokud chcete uživatelům umožnit přihlášení pomocí účtu Google, musíte ho definovat jako zprostředkovatele deklarací identity, se kterým může Azure AD B2C komunikovat prostřednictvím koncového bodu. Koncový bod poskytuje sadu deklarací identity, které Azure AD B2C používá k ověření ověření konkrétního uživatele.
Účet Google můžete definovat jako zprostředkovatele deklarací tím, že ho přidáte do elementu ClaimsProviders v souboru s příponou vaší zásady.
Otevřete soubor TrustFrameworkExtensions.xml .
Vyhledejte element ClaimsProviders . Pokud neexistuje, přidejte ho pod kořenový prvek.
Přidejte nový ClaimsProvider následujícím způsobem:
<ClaimsProvider> <Domain>google.com</Domain> <DisplayName>Google</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Google-OAuth2"> <DisplayName>Google</DisplayName> <Protocol Name="OAuth2" /> <Metadata> <Item Key="ProviderName">google</Item> <Item Key="authorization_endpoint">https://accounts.google.com/o/oauth2/auth</Item> <Item Key="AccessTokenEndpoint">https://accounts.google.com/o/oauth2/token</Item> <Item Key="ClaimsEndpoint">https://www.googleapis.com/oauth2/v1/userinfo</Item> <Item Key="scope">email profile</Item> <Item Key="HttpBinding">POST</Item> <Item Key="UsePolicyInRedirectUri">false</Item> <Item Key="client_id">Your Google application ID</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_GoogleSecret" /> </CryptographicKeys> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" /> <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" /> <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" /> <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" /> <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" /> <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="google.com" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>
Nastavte client_id na ID aplikace z registrace aplikace.
Uložte soubor.
Přidat cestu uživatele
V tuto chvíli je poskytovatel identity nastaven, ale zatím není k dispozici na žádné z přihlašovacích stránek. Pokud nemáte vlastní cestu uživatele, vytvořte duplikát existující cesty uživatele šablony, jinak pokračujte dalším krokem.
- Otevřete souborTrustFrameworkBase.xml z úvodní sady.
- Najděte a zkopírujte celý obsah prvku UserJourney, který obsahuje
Id="SignUpOrSignIn"
. - Otevřete TrustFrameworkExtensions.xml a najděte element UserJourneys . Pokud prvek neexistuje, přidejte ho.
- Vložte celý obsah elementu UserJourney, který jste zkopírovali jako podřízený prvek elementu UserJourneys.
- Přejmenujte ID cesty uživatele. Například:
Id="CustomSignUpSignIn"
.
Přidání poskytovatele identity do cesty uživatele
Teď, když máte cestu uživatele, přidejte do cesty uživatele nového zprostředkovatele identity. Nejdříve přidáte tlačítko pro přihlášení, a pak tlačítko propojíte s akcí. Akce je technický profil, který jste vytvořili dříve.
Najděte prvek kroku orchestrace, který zahrnuje
Type="CombinedSignInAndSignUp"
neboType="ClaimsProviderSelection"
v uživatelské cestě. Obvykle se jedná o první krok orchestrace. Element ClaimsProviderSelections obsahuje seznam zprostředkovatelů identity, se kterými se uživatel může přihlásit. Pořadí prvků řídí pořadí tlačítek pro přihlášení, která jsou uživateli prezentována. Přidejte XML element ClaimsProviderSelection Nastavte hodnotu TargetClaimsExchangeId na snadno zapamatovatelný název.V dalším kroku orchestrace přidejte element ClaimsExchange . Nastavte ID na hodnotu ID cílové výměny deklarací identity. Aktualizujte hodnotu TechnicalProfileReferenceId na ID technického profilu, který jste vytvořili dříve.
Následující KÓD XML ukazuje první dva kroky orchestrace cesty uživatele se zprostředkovatelem identity:
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="GoogleExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="GoogleExchange" TechnicalProfileReferenceId="Google-OAuth2" />
</ClaimsExchanges>
</OrchestrationStep>
Konfigurujte zásady důvěřující strany
Zásady předávající strany, například SignUpSignIn.xml, určují cestu uživatele, kterou Azure AD B2C provede. Najděte element DefaultUserJourney ve spoléhající se straně. Aktualizujte ReferenceId tak, aby odpovídalo ID cesty uživatele, do které jste přidali zprostředkovatele identity.
V následujícím příkladu CustomSignUpSignIn
je pro cestu uživatele nastavena hodnota ReferenceId na CustomSignUpSignIn
:
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
Nahrajte vlastní zásadu
- Přihlaste se do Azure Portalu.
- Na panelu nástrojů portálu vyberte ikonu Adresář a předplatné a pak vyberte adresář, který obsahuje vašeho tenanta Azure AD B2C.
- Na webu Azure Portal vyhledejte a vyberte Azure AD B2C.
- V části Zásady vyberte Architekturu prostředí identit.
- Vyberte Nahrát vlastní zásadya potom nahrajte dva soubory zásad, které jste změnili, v následujícím pořadí: nejprve zásady rozšíření, například
TrustFrameworkExtensions.xml
, a poté zásady spoléhající strany, napříkladSignUpSignIn.xml
.
Otestujte své vlastní zásady
- Vyberte zásady důvěřující strany, například
B2C_1A_signup_signin
. - Pro aplikaci vyberte webovou aplikaci, kterou jste dříve zaregistrovali. Adresa URL odpovědi by se měla zobrazit
https://jwt.ms
. - Vyberte tlačítko Spustit nyní.
- Na registrační nebo přihlašovací stránce vyberte Google , abyste se přihlásili pomocí účtu Google.
Pokud je proces přihlášení úspěšný, prohlížeč se přesměruje na https://jwt.ms
, který zobrazí obsah tokenu vráceného službou Azure AD B2C.
Další kroky
- Naučte se, jak předat token Google vaší aplikaci.
- Podívejte se na ukázku Google Federation Live a jak předat ukázku přístupového tokenu Google Live