Kurz: Vytváření toků uživatelů a vlastních zásad v Azure Active Directory B2C

Než začnete, použijte selektor Zvolit typ zásady a zvolte typ zásady, kterou nastavujete. Azure Active Directory B2C nabízí dvě metody, jak definovat způsob interakce uživatelů s vašimi aplikacemi: prostřednictvím předdefinovaných toků uživatelů nebo prostřednictvím plně konfigurovatelných vlastních zásad. Postup vyžadovaný v tomto článku se pro každou metodu liší.

Ve svých aplikacích můžete mít toky uživatelů, které uživatelům umožňují registraci, přihlášení nebo správu jejich profilu. V tenantovi Azure Active Directory B2C (Azure AD B2C) můžete vytvořit několik toků uživatelů různých typů a podle potřeby je používat ve svých aplikacích. Toky uživatelů je možné opakovaně používat napříč aplikacemi.

Tok uživatele umožňuje určit, jak uživatelé pracují s vaší aplikací, když dělají věci, jako je přihlášení, registrace, úprava profilu nebo resetování hesla. V tomto článku získáte informace o těchto tématech:

Vlastní zásady jsou konfigurační soubory, které definují chování tenanta Azure Active Directory B2C (Azure AD B2C). V tomto článku získáte informace o těchto tématech:

• Vytvoření toku uživatele registrace a přihlášení
• Povolení samoobslužného resetování hesel
• Vytvoření toku uživatele pro úpravy profilu

Důležité

Změnili jsme způsob, jakým označujeme verze toků uživatelů. Dříve jsme nabízeli verze v1 (připravené pro produkční prostředí) a verze v1.1 a v2 (Preview). Teď jsme toky uživatelů konsolidovali do dvou verzí: doporučené toky uživatelů s nejnovějšími funkcemi a toky uživatelů úrovně Standard (starší verze). Všechny toky uživatelů starší verze Preview (V1.1 a V2) jsou zastaralé. Podrobnosti najdete v tématu Verze toku uživatelů v Azure AD B2C. Tyto změny se týkají jenom veřejného cloudu Azure. Ostatní prostředí budou i nadále používat správu verzí toku uživatelů.

Požadavky

• Pokud ho ještě nemáte, vytvořte tenanta Azure AD B2C, který je propojený s vaším předplatným Azure.
• Zaregistrujte webovou aplikaci a povolte implicitní udělení tokenu ID.

• Pokud ho ještě nemáte, vytvořte tenanta Azure AD B2C, který je propojený s vaším předplatným Azure.
• Zaregistrujte webovou aplikaci a povolte implicitní udělení tokenu ID.

Vytvoření toku uživatele registrace a přihlášení

Tok registrace a přihlašování uživatelů zpracovává prostředí registrace i přihlašování s jedinou konfigurací. Uživatelé vaší aplikace jsou v závislosti na kontextu vedeni správnou cestou.

1. Přihlaste se k webu Azure Portal.

2. Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C. Na panelu nástrojů portálu vyberte ikonu Adresáře a předplatná .

3. Na | nastavení portálu Na stránce Adresáře a předplatná vyhledejte adresář Azure AD B2C v seznamu Název adresáře a pak vyberte Přepnout.

4. V Azure Portal vyhledejte a vyberte Azure AD B2C.

5. V části Zásady vyberte Toky uživatelů a pak vyberte Nový tok uživatele.

   

6. Na stránce Vytvořit tok uživatele vyberte tok uživatele Registrace a přihlášení .

   

7. V části Vybrat verzi vyberte Doporučeno a pak vyberte Vytvořit. (Přečtěte si další informace o verzích toku uživatelů.)

   

8. Zadejte Název toku uživatele. Například signupsignin1.

9. V části Zprostředkovatelé identity vyberte Email registrace.

10. V části Atributy uživatele a deklarace identity tokenů zvolte deklarace identity a atributy, které chcete shromažďovat a odesílat od uživatele během registrace. Vyberte například Zobrazit více a pak zvolte atributy a deklarace identity pro zemi/oblast, zobrazované jméno a PSČ. Vyberte OK.

    

11. Vyberte Vytvořit a přidejte tok uživatele. Předpona B2C_1_ je automaticky předpona názvu.

Testování toku uživatele

1. Vyberte tok uživatele, který jste vytvořili, a otevřete jeho stránku s přehledem.

2. V horní části stránky přehledu toku uživatele vyberte Spustit tok uživatele. Na pravé straně stránky se otevře podokno.

3. V části Aplikace vyberte webovou aplikaci, kterou chcete testovat, například webapp1. Adresa URL odpovědi by měla obsahovat .https://jwt.ms

4. Vyberte Spustit tok uživatele a pak vyberte Zaregistrovat se.

   

5. Zadejte platnou e-mailovou adresu, vyberte Odeslat ověřovací kód, zadejte ověřovací kód, který obdržíte, a pak vyberte Ověřit kód.

6. Zadejte nové heslo a potvrďte ho.

7. Vyberte zemi a oblast, zadejte název, který chcete zobrazit, zadejte PSČ a pak vyberte Vytvořit. Token se vrátí do https://jwt.ms a měl by se vám zobrazit.

8. Teď můžete znovu spustit tok uživatele a měli byste se přihlásit pomocí účtu, který jste vytvořili. Vrácený token zahrnuje deklarace identity, které jste vybrali pro zemi/oblast, název a PSČ.

Poznámka

Prostředí Spustit tok uživatele není v současné době kompatibilní s typem adresy URL odpovědi SPA pomocí toku autorizačního kódu. Pokud chcete s těmito typy aplikací používat prostředí Spustit tok uživatele, zaregistrujte adresu URL odpovědi typu Web a povolte implicitní tok, jak je popsáno tady.

Povolení samoobslužného resetování hesel

Povolení samoobslužného resetování hesla pro tok registrace nebo přihlášení uživatele:

1. Vyberte tok registrace nebo přihlášení uživatele, který jste vytvořili.
2. V části Nastavení v nabídce vlevo vyberte Vlastnosti.
3. V části Konfigurace hesla vyberte Samoobslužné resetování hesla.
4. Vyberte Uložit.

Testování toku uživatele

1. Výběrem toku uživatele, který jste vytvořili, otevřete jeho stránku s přehledem a pak vyberte Spustit tok uživatele.
2. V části Aplikace vyberte webovou aplikaci, kterou chcete testovat, například webapp1. Adresa URL odpovědi by měla obsahovat .https://jwt.ms
3. Vyberte Spustit tok uživatele.
4. Na registrační nebo přihlašovací stránce vyberte Zapomněli jste heslo?.
5. Ověřte e-mailovou adresu účtu, který jste předtím vytvořili, a pak vyberte Pokračovat.
6. Teď máte možnost změnit heslo pro uživatele. Změňte heslo a vyberte Pokračovat. Token se vrátí do https://jwt.ms a měl by se vám zobrazit.

Vytvoření toku uživatele pro úpravy profilu

Pokud chcete uživatelům povolit úpravu profilu ve vaší aplikaci, použijete tok uživatele pro úpravy profilu.

1. V nabídce stránky přehledu tenanta Azure AD B2C vyberte Toky uživatelů a pak vyberte Nový tok uživatele.
2. Na stránce Vytvořit tok uživatele vyberte tok uživatele pro úpravy profilu .
3. V části Vybrat verzi vyberte Doporučeno a pak vyberte Vytvořit.
4. Zadejte Název toku uživatele. Například profileediting1.
5. V části Zprostředkovatelé identit v části Místní účty vyberte Email registrace.
6. V části Atributy uživatele zvolte atributy, které má zákazník ve svém profilu upravovat. Vyberte například Zobrazit více a pak jako Zobrazované jméno a Pracovní pozice zvolte atributy i deklarace identity. Vyberte OK.
7. Vyberte Vytvořit a přidejte tok uživatele. K názvu se automaticky připojí předpona B2C_1_ .

Testování toku uživatele

1. Vyberte tok uživatele, který jste vytvořili, a otevřete jeho stránku s přehledem.
2. V horní části stránky přehledu toku uživatele vyberte Spustit tok uživatele. Na pravé straně stránky se otevře podokno.
3. V části Aplikace vyberte webovou aplikaci, kterou chcete testovat, například webapp1. Adresa URL odpovědi by měla obsahovat .https://jwt.ms
4. Vyberte Spustit tok uživatele a přihlaste se pomocí účtu, který jste předtím vytvořili.
5. Teď máte možnost změnit zobrazované jméno a pracovní pozici pro uživatele. Vyberte Pokračovat. Token se vrátí do https://jwt.ms a měl by se vám zobrazit.

Tip

Tento článek vysvětluje, jak nastavit tenanta ručně. Celý proces můžete automatizovat z tohoto článku. Automatizace nasadí úvodní balíček Azure AD B2C SocialAndLocalAccountsWithMFA, který bude poskytovat cesty k registraci a přihlášení, resetování hesla a úpravám profilu. Pokud chcete automatizovat níže uvedený návod, navštivte instalační aplikaci IEF a postupujte podle pokynů.

Přidání podpisových a šifrovacích klíčů pro aplikace identity Experience Framework

1. Přihlaste se k webu Azure Portal.
2. Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C. Na panelu nástrojů portálu vyberte ikonu Adresáře a předplatná .
3. Na | nastavení portálu Na stránce Adresáře a předplatná vyhledejte adresář Azure AD B2C v seznamu Název adresáře a pak vyberte Přepnout.
4. V Azure Portal vyhledejte a vyberte Azure AD B2C.
5. Na stránce přehledu v části Zásady vyberte Rozhraní prostředí identit.

Vytvoření podpisového klíče

1. Vyberte Klíče zásad a pak vyberte Přidat.
2. V části Možnosti zvolte Generate.
3. Do pole Název zadejte TokenSigningKeyContainer. Předpona B2C_1A_ se může přidat automaticky.
4. Jako Typ klíče vyberte RSA.
5. V části Použití klíče vyberte Podpis.
6. Vyberte Vytvořit.

Vytvoření šifrovacího klíče

1. Vyberte Klíče zásad a pak vyberte Přidat.
2. V části Možnosti zvolte Generate.
3. Do pole Název zadejte TokenEncryptionKeyContainer. Předpona B2C_1A_ může být přidána automaticky.
4. Jako Typ klíče vyberte RSA.
5. V části Použití klíče vyberte Šifrování.
6. Vyberte Vytvořit.

Registrace aplikací Identity Experience Framework

Azure AD B2C vyžaduje, abyste zaregistrovali dvě aplikace, které používá k registraci a přihlašování uživatelů pomocí místních účtů: IdentityExperienceFramework, webové rozhraní API a ProxyIdentityExperienceFramework, nativní aplikace s delegovaným oprávněním k aplikaci IdentityExperienceFramework. Vaši uživatelé se můžou zaregistrovat pomocí e-mailové adresy nebo uživatelského jména a hesla pro přístup k aplikacím registrovaným v tenantovi, což vytvoří "místní účet". Místní účty existují jenom ve vašem tenantovi Azure AD B2C.

Tyto dvě aplikace musíte v tenantovi Azure AD B2C zaregistrovat jenom jednou.

Registrace aplikace IdentityExperienceFramework

K registraci aplikace v tenantovi Azure AD B2C můžete použít Registrace aplikací prostředí.

1. Vyberte Registrace aplikací a pak vyberte Nová registrace.
2. Jako Název zadejte IdentityExperienceFramework.
3. V části Podporované typy účtů vyberte Účty pouze v tomto organizačním adresáři.
4. V části Identifikátor URI přesměrování vyberte Web a pak zadejte https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com, kde your-tenant-name je název domény tenanta Azure AD B2C.
5. V části Oprávnění zaškrtněte políčko Udělit souhlas správce s oprávněními openid a offline_access .
6. Vyberte Zaregistrovat.
7. Poznamenejte si ID aplikace (klienta) pro použití v pozdějším kroku.

Dále zpřístupňte rozhraní API přidáním oboru:

1. V nabídce vlevo v části Spravovat vyberte Zveřejnit rozhraní API.
2. Vyberte Přidat obor, pak vyberte Uložit a pokračujte a přijměte výchozí identifikátor URI ID aplikace.
3. Zadáním následujících hodnot vytvořte obor, který umožňuje spuštění vlastních zásad v tenantovi Azure AD B2C:
   • Název oboru: user_impersonation
   • Správa zobrazovaný název souhlasu:Access IdentityExperienceFramework
   • Správa popis souhlasu:Allow the application to access IdentityExperienceFramework on behalf of the signed-in user.
4. Vyberte Přidat obor.

---

Registrace aplikace ProxyIdentityExperienceFramework

1. Vyberte Registrace aplikací a pak vyberte Nová registrace.
2. Jako Název zadejte ProxyIdentityExperienceFramework.
3. V části Podporované typy účtů vyberte Účty pouze v tomto organizačním adresáři.
4. V části Identifikátor URI přesměrování pomocí rozevíracího seznamu vyberte Veřejný klient nebo nativní (mobilní & desktop).
5. Jako Identifikátor URI přesměrování zadejte myapp://auth.
6. V části Oprávnění zaškrtněte políčko Udělit souhlas správce s oprávněními openid a offline_access .
7. Vyberte Zaregistrovat.
8. Poznamenejte si ID aplikace (klienta) pro použití v pozdějším kroku.

Dále určete, že se má s aplikací zacházet jako s veřejným klientem:

1. V nabídce vlevo v části Spravovat vyberte Ověřování.
2. V části Upřesnit nastavení v části Povolit toky veřejného klienta nastavte Povolit následující mobilní a desktopové toky na Ano.
3. Vyberte Uložit.
4. Ujistěte se, že je v manifestu aplikace nastavená hodnota allowPublicClient: true :
   1. V nabídce vlevo v části Spravovat vyberte Manifest a otevřete manifest aplikace.
   2. Vyhledejte klíč allowPublicClient a ujistěte se, že je jeho hodnota nastavená na true.

Teď udělte oprávnění oboru rozhraní API, který jste zveřejnili dříve v registraci IdentityExperienceFramework :

1. V nabídce vlevo v části Spravovat vyberte Oprávnění rozhraní API.
2. V části Nakonfigurovaná oprávnění vyberte Přidat oprávnění.
3. Vyberte kartu My APIs (Moje rozhraní API ) a pak vyberte aplikaci IdentityExperienceFramework .
4. V části Oprávnění vyberte obor user_impersonation , který jste definovali dříve.
5. Vyberte Přidat oprávnění. Podle pokynů počkejte několik minut, než budete pokračovat k dalšímu kroku.
6. Vyberte Udělit souhlas správce pro <název tenanta.>
7. Vyberte Ano.
8. Vyberte Aktualizovat a pak ověřte, že "Uděleno pro ..." v oboru se zobrazí v části Stav .

---

Úvodní sada vlastních zásad

Vlastní zásady jsou sada souborů XML, které nahrajete do tenanta Azure AD B2C za účelem definování technických profilů a uživatelských cest. Poskytujeme úvodní balíčky s několika předem připravenými zásadami, které vám pomůžou rychle pracovat. Každý z těchto úvodních balíčků obsahuje nejmenší počet technických profilů a uživatelských cest potřebných k dosažení popsaných scénářů:

• LocalAccounts – povolí použití pouze místních účtů.
• SocialAccounts – umožňuje používat jenom sociální (nebo federované) účty.
• SocialAndLocalAccounts – umožňuje používat místní i sociální účty.
• SocialAndLocalAccountsWithMFA – povolí možnosti sociálního, místního a vícefaktorového ověřování.

Každé úvodní balení obsahuje:

• Základní soubor – základní soubor vyžaduje několik úprav. Příklad: TrustFrameworkBase.xml
• Lokalizační soubor – V tomto souboru se provádějí změny lokalizace. Příklad: TrustFrameworkLocalization.xml
• Soubor s příponou – v tomto souboru se provádí většina změn konfigurace. Příklad: TrustFrameworkExtensions.xml
• Soubory předávající strany – soubory specifické pro úlohy volané vaší aplikací. Příklady: SignUpOrSignin.xml, ProfileEdit.xml, PasswordReset.xml

V tomto článku upravíte soubory vlastních zásad XML v úvodním balíčku SocialAndLocalAccounts . Pokud potřebujete editor XML, vyzkoušejte Visual Studio Code, jednoduchý multiplatformní editor.

Získání úvodního balíčku

Získejte úvodní balíčky vlastních zásad z GitHubu a pak aktualizujte soubory XML v úvodním balíčku SocialAndLocalAccounts názvem tenanta Azure AD B2C.

1. Stáhněte soubor .zip nebo naklonujte úložiště:

   git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
   

2. Ve všech souborech v adresáři SocialAndLocalAccounts nahraďte řetězec yourtenant názvem vašeho tenanta Azure AD B2C.

   Pokud je například název vašeho tenanta B2C contosotenant, všechny instance yourtenant.onmicrosoft.com se stanou contosotenant.onmicrosoft.com.

Přidání ID aplikací do vlastních zásad

Přidejte ID aplikace do souboru extensions TrustFrameworkExtensions.xml.

1. Otevřete SocialAndLocalAccounts/TrustFrameworkExtensions.xml a najděte element <TechnicalProfile Id="login-NonInteractive">.
2. Nahraďte obě instance IdentityExperienceFrameworkAppId id aplikace IdentityExperienceFramework, kterou jste vytvořili dříve.
3. Nahraďte obě instance ProxyIdentityExperienceFrameworkAppId id aplikace ProxyIdentityExperienceFramework, kterou jste vytvořili dříve.
4. Soubor uložte.

Přidání Facebooku jako zprostředkovatele identity

Úvodní balíček SocialAndLocalAccounts zahrnuje přihlášení k sociální síti Facebook. Facebook není nutný pro použití vlastních zásad, ale my ho tady používáme k tomu, abychom vám ukázali, jak ve vlastních zásadách povolit federované přihlášení na sociálních sítích. Pokud nepotřebujete povolit federované přihlášení na sociální síti, použijte místo toho úvodní balíček LocalAccounts a přeskočte část Přidat Facebook jako zprostředkovatele identity .

Vytvoření facebookové aplikace

K získání ID aplikace na Facebooku a tajného kódu aplikace na Facebooku použijte postup uvedený v tématu Vytvoření aplikace na Facebooku. Přeskočte požadavky a zbývající kroky v článku Nastavení registrace a přihlášení pomocí účtu Na Facebooku .

Vytvoření klíče Facebooku

Přidejte tajný kód aplikace facebookové aplikace jako klíč zásad. Jako součást požadavků tohoto článku můžete použít tajný kód aplikace, kterou jste vytvořili.

1. Přihlaste se k webu Azure Portal.
2. Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C. Na panelu nástrojů portálu vyberte ikonu Adresáře a předplatná .
3. Na | nastavení portálu Na stránce Adresáře a předplatná vyhledejte adresář Azure AD B2C v seznamu Název adresáře a pak vyberte Přepnout.
4. V Azure Portal vyhledejte a vyberte Azure AD B2C.
5. Na stránce přehledu v části Zásady vyberte Rozhraní prostředí identit.
6. Vyberte Klíče zásad a pak vyberte Přidat.
7. V části Možnosti zvolte Manual.
8. Jako Název zadejte FacebookSecret. Předpona B2C_1A_ se může přidat automaticky.
9. V části Tajné zadejte tajný kód aplikace facebookové aplikace z developers.facebook.com. Tato hodnota je tajný klíč, nikoli ID aplikace.
10. V části Použití klíče vyberte Podpis.
11. Vyberte Vytvořit.

Aktualizace TrustFrameworkExtensions.xml v úvodním balíčku vlastních zásad

SocialAndLocalAccounts/TrustFrameworkExtensions.xml V souboru nahraďte hodnotu client_id ID aplikace Facebook a uložte změny.

<TechnicalProfile Id="Facebook-OAUTH">
  <Metadata>
  <!--Replace the value of client_id in this technical profile with the Facebook app ID"-->
    <Item Key="client_id">00000000000000</Item>

Nahrání zásad

1. V tenantovi B2C v Azure Portal vyberte položku nabídky Identity Experience Framework.
2. Vyberte Nahrát vlastní zásady.
3. V tomto pořadí nahrajte soubory zásad:
   1. TrustFrameworkBase.xml
   2. TrustFrameworkLocalization.xml
   3. TrustFrameworkExtensions.xml
   4. SignUpOrSignin.xml
   5. ProfileEdit.xml
   6. PasswordReset.xml

Při nahrávání souborů azure přidá předponu B2C_1A_ ke každému z nich.

Tip

Pokud editor XML podporuje ověření, ověřte soubory podle schématu TrustFrameworkPolicy_0.3.0.0.xsd XML, které je umístěné v kořenovém adresáři úvodní sady. Ověření schématu XML identifikuje chyby před nahráním.

Otestování vlastních zásad

1. V části Vlastní zásady vyberte B2C_1A_signup_signin.
2. V části Vybrat aplikaci na stránce přehledu vlastních zásad vyberte webovou aplikaci, kterou chcete otestovat, například webapp1.
3. Ujistěte se, že adresa URL odpovědi je https://jwt.ms.
4. Vyberte Spustit.
5. Zaregistrujte se pomocí e-mailové adresy.
6. Znovu vyberte Spustit .
7. Přihlaste se pomocí stejného účtu a ověřte, že máte správnou konfiguraci.
8. Znovu vyberte Spustit a vyberte Facebook, přihlaste se pomocí Facebooku a otestujte vlastní zásady.

Další kroky

V tomto článku jste se naučili:

• Vytvoření registrace a přihlášení toku uživatele
• Vytvoření toku uživatele pro úpravy profilu
• Vytvoření toku uživatele pro resetování hesla

Dále se dozvíte, jak používat Azure AD B2C k přihlášení a registraci uživatelů v aplikaci. Postupujte podle následujících ukázkových aplikací:

• Konfigurace ukázkové ASP.NET Core webové aplikace
• Konfigurace ukázkové ASP.NET Core webové aplikace, která volá webové rozhraní API
• Konfigurace ověřování v ukázkové webové aplikaci v Pythonu
• Konfigurace ukázkové jednostránkové aplikace (SPA)
• Konfigurace ukázkové Angular jednostránkové aplikace
• Konfigurace ukázkové mobilní aplikace pro Android
• Konfigurace ukázkové mobilní aplikace pro iOS
• Konfigurace ověřování v ukázkové desktopové aplikaci WPF
• Povolení ověřování ve webovém rozhraní API
• Konfigurace aplikace SAML

Další informace najdete také v sérii Azure AD B2C Architecture Deep Dive.