Einrichten eines Kennwortzurücksetzungsablaufs in Azure Active Directory B2C

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Bevor Sie beginnen, verwenden Sie die Auswahl eines Richtlinientyps oben auf dieser Seite, um den Typ der Richtlinie auszuwählen, die Sie einrichten. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.

Bei einem Registrierungs- und Anmeldevorgang kann ein Benutzer sein eigenes Kennwort mithilfe des Links "Kennwort vergessen?" zurücksetzen. Dieser Self-Service-Ablauf zur Kennwortzurücksetzung gilt für lokale Konten in Azure Active Directory B2C (Azure AD B2C), die eine E-Mail-Adresse oder einen Benutzernamen mit einem Kennwort für die Anmeldung verwenden.

Tipp

Ein Benutzer kann sein Kennwort mithilfe des Selbstbedienungs-Kennwortrücksetzungsprozesses ändern. Dies ist möglich, wenn er sein Kennwort vergessen hat und es zurücksetzen möchte. Sie können auch eine der folgenden Benutzerflussoptionen auswählen, um das Kennwort eines Benutzers zu ändern:

• Wenn ein Benutzer sein Kennwort kennt und es ändern möchte, verwenden Sie einen Kennwortänderungsfluss.
• Wenn Sie einen Benutzer zwingen möchten, sein Kennwort zurückzusetzen (z. B. wenn er sich zum ersten Mal anmeldet, wenn seine Kennwörter von einem Administrator zurückgesetzt wurden oder nachdem er mit zufälligen Kennwörtern zu Azure AD B2C migriert wurde), verwenden Sie einen Erzwingungsfluss für die Kennwortzurücksetzung .

Der Ablauf der Kennwortzurücksetzung umfasst die folgenden Schritte:

1. Auf der Anmelde- und Anmeldeseite wählt der Benutzer den Link "Kennwort vergessen" aus. Daraufhin wird von Azure AD B2C der Kennwortzurücksetzungsflow initiiert.
2. Im nächsten angezeigten Dialogfeld gibt der Benutzer seine E-Mail-Adresse ein und wählt dann den Überprüfungscode senden aus. Azure AD B2C sendet einen Überprüfungscode an das E-Mail-Konto des Benutzers. Der Benutzer kopiert den Überprüfungscode aus der E-Mail, gibt den Code im Dialogfeld "Kennwortzurücksetzung in Azure AD B2C" ein und wählt dann " Code überprüfen" aus.
3. Der Benutzer kann dann ein neues Kennwort eingeben. (Nachdem die E-Mail überprüft wurde, kann der Benutzer weiterhin die Schaltfläche " E-Mail ändern " auswählen. Weitere Informationen finden Sie unter "Ausblenden der Schaltfläche "E-Mail ändern" , wenn Sie sie entfernen möchten.)

Der Standardname der Schaltfläche " E-Mail ändern " in selfAsserted.html ist "Changeclaims". Um den Namen der Schaltfläche zu finden, prüfen Sie auf der Anmeldeseite die Seitenquelle mithilfe eines Browsertools wie "Inspect".

Voraussetzungen

• Erstellen Sie einen Benutzerflow, damit sich Benutzer bei Ihrer Anwendung registrieren und anmelden können.
• Registrieren Sie eine Webanwendung.

• Führen Sie die Schritte in "Erste Schritte mit benutzerdefinierten Richtlinien in Active Directory B2C" aus. In diesem Lernprogramm erfahren Sie, wie Sie benutzerdefinierte Richtliniendateien für die Verwendung Ihrer Azure AD B2C-Mandantenkonfiguration aktualisieren.
• Registrieren Sie eine Webanwendung.

• Die B2C-Benutzer müssen über eine Authentifizierungsmethode verfügen, die für die Self-Service-Kennwortzurücksetzung angegeben ist. Wählen Sie den B2C-Benutzer im linken Menü unter "Verwalten" die Option "Authentifizierungsmethoden" aus. Stellen Sie sicher, dass die Kontaktinformationen für die Authentifizierung festgelegt sind. B2C-Benutzer, die über einen Registrierungsablauf erstellt wurden, haben diese Einstellung standardmäßig. Für Benutzer, die über das Azure-Portal oder über die Graph-API erstellt wurden, müssen Sie die Kontaktinformationen für die Authentifizierung festlegen, damit SSPR funktioniert.

Self-Service-Kennwortzurücksetzung (empfohlen)

Die neue Kennwortzurücksetzung ist nun Teil der Registrierungs- oder Anmelderichtlinie. Wenn der Benutzer den Link "Kennwort vergessen " auswählt, wird er sofort an die Erfahrung "Kennwort vergessen" gesendet. Ihre Anwendung muss den AADB2C90118 Fehlercode nicht mehr behandeln, und Sie benötigen keine separate Richtlinie für die Kennwortzurücksetzung.

Die Self-Service-Kennwortzurücksetzung kann für die Benutzerabläufe Anmeldung (empfohlen) oder Registrierung und Anmeldung (empfohlen) konfiguriert werden. Wenn Sie keinen dieser Benutzerflüsse eingerichtet haben, erstellen Sie einen Registrierungs- oder Anmeldebenutzerablauf .

So aktivieren Sie die Self-Service-Kennwortzurücksetzung für den Benutzerablauf für Registrierung oder Anmeldung:

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
4. Wählen Sie Benutzerflüsse aus.
5. Wählen Sie einen Registrierungs- oder Anmeldebenutzerablauf (vom Typ "Empfohlen") aus, den Sie anpassen möchten.
6. Wählen Sie im Menü unter "Einstellungen" die Option "Eigenschaften" aus.
7. Wählen Sie unter Kennwortkonfiguration die Option Self-Service-Kennwortzurücksetzung aus.
8. Wählen Sie Speichern aus.
9. Wählen Sie im linken Menü unter "Anpassen" die Option "Seitenlayouts" aus.
10. Wählen Sie in der Seitenlayoutversion2.1.3 oder höher aus.
11. Wählen Sie Speichern aus.

In den folgenden Abschnitten erfahren Sie, wie Sie einer benutzerdefinierten Richtlinie eine Self-Service-Kennwortfunktion hinzufügen. Das Beispiel basiert auf den Richtliniendateien, die im benutzerdefinierten Richtlinienstartpaket enthalten sind.

Tipp

Sie finden ein vollständiges Beispiel der Richtlinie zum Registrieren und Anmelden mit Kennwortzurücksetzung auf GitHub.

Geben Sie an, dass ein Benutzer den "Passwort vergessen?"-Link ausgewählt hat.

Um anzugeben, dass ein Benutzer den Link " Kennwort vergessen" ausgewählt hat, definieren Sie einen booleschen Anspruch. Verwenden Sie diesen Anspruch, um die User Journey zum technischen Profil Passwort vergessen weiterzuleiten. Der Anspruch kann auch an das Token ausgegeben werden, sodass die Anwendung erkennt, dass der Benutzer sich mit dem Benutzerablauf "Kennwort vergessen" angemeldet hat.

Deklarieren Sie Ihre Ansprüche im Anspruchsschema. Öffnen Sie die Erweiterungsdatei Ihrer Richtlinie, z. B. in SocialAndLocalAccounts/TrustFrameworkExtensions.xml.

1. Suchen Sie nach dem BuildingBlocks-Element . Wenn das Element nicht vorhanden ist, fügen Sie es hinzu.

2. Suchen Sie das ClaimsSchema-Element . Wenn das Element nicht vorhanden ist, fügen Sie es hinzu.

3. Fügen Sie dem ClaimsSchema-Element den folgenden Anspruch hinzu.

   <!-- 
   <BuildingBlocks>
     <ClaimsSchema> -->
       <ClaimType Id="isForgotPassword">
         <DisplayName>isForgotPassword</DisplayName>
         <DataType>boolean</DataType>
         <AdminHelpText>Whether the user has selected Forgot your Password</AdminHelpText>
       </ClaimType>
     <!--
     </ClaimsSchema>
   </BuildingBlocks> -->
   

Aktualisieren Sie die Seitenlayoutversion

Sie benötigenSeitenlayout Version 2.1.2, um den Flow zur Self-Service-Kennwortzurücksetzung für Registrierung oder Anmeldung zu aktivieren. So aktualisieren Sie die Seitenlayoutversion:

1. Öffnen Sie die Basisdatei Ihrer Richtlinie, z. B. SocialAndLocalAccounts/TrustFrameworkBase.xml.

2. Suchen Sie nach dem BuildingBlocks-Element . Wenn das Element nicht vorhanden ist, fügen Sie es hinzu.

3. Suchen Sie das ContentDefinitions-Element . Wenn das Element nicht vorhanden ist, fügen Sie es hinzu.

4. Ändern Sie das DataURI-Element innerhalb des ContentDefinition-Elements so, dass die ID vorhanden api.signuporsigninist:

   <!-- 
   <BuildingBlocks>
     <ContentDefinitions> -->
       <ContentDefinition Id="api.signuporsignin">
         <DataUri>urn:com:microsoft:aad:b2c:elements:contract:unifiedssp:2.1.2</DataUri>
       </ContentDefinition>
     <!-- 
     </ContentDefinitions>
   </BuildingBlocks> -->
   

Hinzufügen der technischen Profile

Ein technisches Profil zur Anspruchsumwandlung greift auf den isForgotPassword Anspruch zu. Auf das technische Profil wird später verwiesen. Wenn er aufgerufen wird, legt er den Wert des isForgotPassword Anspruchs auf true.

1. Öffnen Sie die Erweiterungsdatei Ihrer Richtlinie, z. B. in SocialAndLocalAccounts/TrustFrameworkExtensions.xml.
2. Suchen Sie das ClaimsProviders-Element (wenn das Element nicht vorhanden ist, erstellen Sie es), und fügen Sie dann den folgenden Anspruchsanbieter hinzu:

<!-- 
<ClaimsProviders> -->
  <ClaimsProvider>
    <DisplayName>Local Account</DisplayName>
    <TechnicalProfiles>
      <TechnicalProfile Id="ForgotPassword">
        <DisplayName>Forgot your password?</DisplayName>
        <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ClaimsTransformationProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
        <OutputClaims>
          <OutputClaim ClaimTypeReferenceId="isForgotPassword" DefaultValue="true" AlwaysUseDefaultValue="true"/>
        </OutputClaims>
        <UseTechnicalProfileForSessionManagement ReferenceId="SM-Noop" />
      </TechnicalProfile>
      <TechnicalProfile Id="SelfAsserted-LocalAccountSignin-Email">
        <Metadata>
          <Item Key="setting.forgotPasswordLinkOverride">ForgotPasswordExchange</Item>
        </Metadata>
      </TechnicalProfile>
      <TechnicalProfile Id="LocalAccountWritePasswordUsingObjectId">
        <UseTechnicalProfileForSessionManagement ReferenceId="SM-AAD" />
      </TechnicalProfile>
    </TechnicalProfiles>
  </ClaimsProvider>
<!-- 
</ClaimsProviders> -->

Das technische SelfAsserted-LocalAccountSignin-Email-Profil setting.forgotPasswordLinkOverride definiert den Austausch von Ansprüchen für die Kennwortzurücksetzung, der in Ihrer User Journey stattfindet.

Das technische Profil LocalAccountWritePasswordUsingObjectId und der Sitzungsmanager UseTechnicalProfileForSessionManagementSM-AAD sind erforderlich, damit der Benutzer anschließend Anmeldungen unter SSO-Bedingungen erfolgreich durchführen kann.

Hinzufügen der untergeordneten Journey für die Kennwortzurücksetzung

Der Benutzer kann sich jetzt anmelden, registrieren und das Passwort zurücksetzen, um seinen Nutzerablauf abzuschließen. Zur besseren Strukturierung der User Journey kann für die Behandlung des Kennwortzurücksetzungsflows eine untergeordnete Journey verwendet werden.

Die Sub Journey wird von der User Journey aus aufgerufen und führt die speziellen Schritte aus, damit der Benutzer sein Passwort zurücksetzen kann. Verwenden Sie die untergeordnete Journey vom Typ Call, damit nach Abschluss der dieser Journey die Steuerung an den Orchestrierungsschritt zurückgegeben wird, durch den die untergeordnete Journey initiiert wurde.

1. Öffnen Sie die Erweiterungsdatei Ihrer Richtlinie, z. B. SocialAndLocalAccounts/TrustFrameworkExtensions.xml.
2. Suchen Sie das SubJourneys-Element . Wenn das Element nicht vorhanden ist, fügen Sie es nach dem User Journeys-Element hinzu. Fügen Sie dann die folgende Unterreise hinzu:

<!--
<SubJourneys>-->
  <SubJourney Id="PasswordReset" Type="Call">
    <OrchestrationSteps>
      <!-- Validate user's email address. -->
      <OrchestrationStep Order="1" Type="ClaimsExchange">
        <ClaimsExchanges>
          <ClaimsExchange Id="PasswordResetUsingEmailAddressExchange" TechnicalProfileReferenceId="LocalAccountDiscoveryUsingEmailAddress" />
        </ClaimsExchanges>
      </OrchestrationStep>

      <!-- Collect and persist a new password. -->
      <OrchestrationStep Order="2" Type="ClaimsExchange">
        <ClaimsExchanges>
          <ClaimsExchange Id="NewCredentials" TechnicalProfileReferenceId="LocalAccountWritePasswordUsingObjectId" />
        </ClaimsExchanges>
      </OrchestrationStep>
    </OrchestrationSteps>
  </SubJourney>
<!--
</SubJourneys>-->

Vorbereiten der Benutzerreise

Um als Nächstes den Link Kennwort vergessen? mit der untergeordneten Journey Kennwort vergessen zu verknüpfen, müssen Sie im ClaimsProviderSelection-Element des Schritts CombinedSignInAndSignUp auf die ID der untergeordneten Journey Kennwort vergessen verweisen.

Wenn Sie nicht über eine eigene benutzerdefinierte Benutzerreise verfügen, die über einen CombinedSignInAndSignUp-Schritt verfügt, führen Sie die folgenden Schritte aus, um eine vorhandene Anmelde- oder Anmeldebenutzerreise zu duplizieren. Fahren Sie andernfalls mit dem nächsten Abschnitt fort.

1. Öffnen Sie im Startpaket die TrustFrameworkBase.xml Datei wie SocialAndLocalAccounts/TrustFrameworkBase.xml.
2. Suchen und kopieren Sie den gesamten Inhalt des UserJourney-Elements, das Id="SignUpOrSignIn" enthält.
3. Öffnen Sie TrustFrameworkExtensions.xml Datei, z. B. SocialAndLocalAccounts/TrustFrameworkExtensions.xml, und suchen Sie das UserJourneys-Element . Wenn das Element nicht vorhanden ist, erstellen Sie es.
4. Erstellen Sie ein untergeordnetes Element des UserJourneys-Elements , indem Sie den gesamten Inhalt des In Schritt 2 kopierten UserJourney-Elements einfügen.
5. Benennen Sie die ID der User Journey um. Beispiel: Id="CustomSignUpSignIn".

Verbinden des Links „Kennwort vergessen?“ mit der Sub Journey „Kennwort vergessen“

In Ihrer User Journey können Sie die untergeordnete Journey vom Typ „Kennwort vergessen“ als ClaimsProviderSelection darstellen. Durch Hinzufügen dieses Elements verbinden Sie den Link Kennwort vergessen? mit der untergeordneten Journey „Kennwort vergessen“.

1. Öffnen Sie die TrustFrameworkExtensions.xml Datei, z. B. SocialAndLocalAccounts/TrustFrameworkExtensions.xml.

2. Suchen Sie in der User Journey nach dem Orchestrierungsschrittelement, das Type="CombinedSignInAndSignUp" oder Type="ClaimsProviderSelection" enthält. Es ist in der Regel der erste Orchestrierungsschritt. Das ClaimsProviderSelections-Element enthält eine Liste von Identitätsanbietern, die ein Benutzer zum Anmelden verwenden kann. Fügen Sie die folgende Zeile hinzu:

   <ClaimsProviderSelection TargetClaimsExchangeId="ForgotPasswordExchange" />
   

3. Fügen Sie im nächsten Orchestrierungsschritt ein ClaimsExchange-Element hinzu, indem Sie die folgende Zeile hinzufügen:

   <ClaimsExchange Id="ForgotPasswordExchange" TechnicalProfileReferenceId="ForgotPassword" />
   

4. Fügen Sie den folgenden Orchestrierungsschritt zwischen dem aktuellen Und dem nächsten Schritt hinzu. Der neue Orchestrierungsschritt, den Sie hinzufügen, überprüft, ob der isForgotPassword-Anspruch vorhanden ist. Ist der Anspruch vorhanden, wird die Sub Journey für die Kennwortzurücksetzung aufgerufen.

   <OrchestrationStep Order="3" Type="InvokeSubJourney">
     <Preconditions>
       <Precondition Type="ClaimsExist" ExecuteActionsIf="false">
         <Value>isForgotPassword</Value>
         <Action>SkipThisOrchestrationStep</Action>
       </Precondition>
     </Preconditions>
     <JourneyList>
       <Candidate SubJourneyReferenceId="PasswordReset" />
     </JourneyList>
   </OrchestrationStep>
   

5. Nachdem Sie den neuen Orchestrierungsschritt hinzugefügt haben, berechnen Sie die Schritte sequenziell neu, ohne ganze Zahlen von 1 bis N zu überspringen.

Festlegen der auszuführenden User Journey

Nachdem Sie nun einen Benutzerablauf geändert oder erstellt haben, geben Sie im Abschnitt Vertrauende Partei die Abläufe an, die Azure AD B2C für diese benutzerdefinierte Richtlinie ausführt.

1. Öffnen Sie die Datei mit dem Element "Vertrauende Seite ", z. B. SocialAndLocalAccounts/SignUpOrSignin.xml.

2. Suchen Sie im RelyingParty-Element nach dem DefaultUserJourney-Element.

3. Aktualisieren Sie die DefaultUserJourney ReferenceId so, dass sie mit der ID der Benutzerreise übereinstimmt, in der Sie die ClaimsProviderSelections hinzugefügt haben.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Geben Sie den Ablauf "Passwort vergessen" für Ihre App an.

Ihre Anwendung muss möglicherweise erkennen, ob sich der Benutzer mit dem Benutzerablauf "Kennwort vergessen" angemeldet hat. Der IsForgotPassword-Anspruch enthält einen booleschen Wert, der angibt, die benutzenden Person dies getan hat. Der Anspruch kann in dem Token ausgegeben werden, der an Ihre Anwendung gesendet wird. Fügen Sie bei Bedarf isForgotPassword zu den Ausgabeansprüchen im Abschnitt Relying Party hinzu. Ihre Anwendung kann den isForgotPassword-Anspruch überprüfen, um festzustellen, ob der Benutzer sein Kennwort zurücksetzt.

<RelyingParty>
  <OutputClaims>
    ...
    <OutputClaim ClaimTypeReferenceId="isForgotPassword" DefaultValue="false" />
  </OutputClaims>
</RelyingParty>

Hochladen der benutzerdefinierten Richtlinie

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie im oberen Menü das Symbol "Einstellungen " aus, um im Menü "Verzeichnisse + Abonnements " zum Azure AD B2C-Mandanten zu wechseln.
3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
4. Wählen Sie im Menü unter "Richtlinien" die Option "Identity Experience Framework" aus.
5. Wählen Sie "Benutzerdefinierte Richtlinie hochladen" aus. Laden Sie in der folgenden Reihenfolge die geänderten Richtliniendateien hoch:
   1. Die Basisdatei Ihrer Richtlinie, z. B. TrustFrameworkBase.xml.
   2. Die Erweiterungsrichtlinie, z. B. TrustFrameworkExtensions.xml.
   3. Die Richtlinie für die vertrauende Seite, beispielsweiseSignUpSignIn.xml.

Ausblenden der Schaltfläche "E-Mail ändern" (Optional)

Nachdem die E-Mail überprüft wurde, kann der Benutzer weiterhin " E-Mail ändern", eine andere E-Mail-Adresse eingeben und dann die E-Mail-Überprüfung wiederholen. Wenn Sie die Schaltfläche " E-Mail ändern " lieber ausblenden möchten, können Sie das CSS ändern, um die zugehörigen HTML-Elemente im Dialogfeld auszublenden. Sie können beispielsweise den folgenden CSS-Eintrag zu selfAsserted.html hinzufügen und die Benutzeroberfläche mithilfe von HTML-Vorlagen anpassen:

<style type="text/css">
   .changeClaims
   {
     visibility: hidden;
   }
</style>

Testen des Kennwortzurücksetzungsflows

1. Wählen Sie einen Registrierungs- oder Anmeldebenutzerablauf (empfohlener Typ) aus, den Sie testen möchten.
2. Wählen Sie Benutzerflow ausführen aus.
3. Wählen Sie für "Anwendung" die Webanwendung mit dem Namen "webapp1" aus, die Sie zuvor registriert haben. Als Antwort-URL sollte https://jwt.ms angezeigt werden.
4. Wählen Sie Benutzerflow ausführen aus.
5. Wählen Sie auf der Anmelde- oder Anmeldeseite die Option "Kennwort vergessen" aus.
6. Überprüfen Sie die E-Mail-Adresse des Kontos, das Sie zuvor erstellt haben, und wählen Sie dann "Weiter" aus.
7. Ändern Sie im angezeigten Dialogfeld das Kennwort für den Benutzer, und wählen Sie dann "Weiter" aus. Das Token wird an https://jwt.ms zurückgegeben und im Browser angezeigt.
8. Überprüfen Sie den IsForgotPassword-Anspruchswert des Rückgabetokens. Wenn sie vorhanden ist und auf true festgelegt ist, hat der Benutzer das Kennwort zurückgesetzt.

Kennwortzurücksetzungsrichtlinie (Legacy)

Wenn die Self-Service-Kennwortzurücksetzung nicht aktiviert ist, löst das Klicken auf diesen Link nicht automatisch einen Benutzerflow zur Kennwortzurücksetzung aus. Stattdessen wird der Fehlercode AADB2C90118 an Ihre Anwendung zurückgegeben. Ihre Anwendung muss diesen Fehlercode behandeln, indem die Authentifizierungsbibliothek erneut initialisiert wird, um einen Benutzerfluss zum Zurücksetzen von Kennwörtern in Azure AD B2C zu authentifizieren.

Das folgende Diagramm zeigt den Prozess:

1. In der Anwendung wählt der Benutzer "Anmelden" aus. Die App initiiert eine Autorisierungsanforderung und leitet zu Azure AD B2C um, damit der Benutzer die Anmeldung abschließen kann. Die Autorisierungsanforderung gibt einen Registrierungs- oder Anmelderichtliniennamen an, z. B. B2C_1_signup_signin.
2. Der Benutzer wählt den Link "Kennwort vergessen" aus. Azure AD B2C gibt den AADB2C90118 Fehlercode an die Anwendung zurück.
3. Die Anwendung behandelt den Fehlercode und initiiert eine neue Autorisierungsanforderung. Die Autorisierungsanforderung gibt den Richtliniennamen für die Kennwortzurücksetzung an, z. B. B2C_1_pwd_reset.

In unserem ASP.NET-Beispiel sehen Sie eine grundlegende Demonstration, wie Benutzerabläufe miteinander verbunden sind.

Erstellen eines Benutzerflows zur Kennwortzurücksetzung

Damit Ihre Anwendungsbenutzer ihre Kennwörter zurücksetzen können, erstellen Sie einen Benutzerablauf für die Kennwortzurücksetzung:

1. Wechseln Sie im Azure-Portal zur Azure AD B2C-Mandantenübersicht.
2. Wählen Sie im linken Menü unter "Richtlinien" die Option "Benutzerflüsse" und dann " Neuer Benutzerfluss" aus.
3. Wählen Sie in "Benutzerablauf erstellen" den Benutzerablauf für die Kennwortzurücksetzung aus.
4. Wählen Sie unter "Version auswählen" die Option "Empfohlen" und dann "Erstellen" aus.
5. Geben Sie für "Name" einen Namen für den Benutzerablauf ein. Beispiel: passwordreset1.
6. Aktivieren Sie für Identitätsanbieter das Zurücksetzen des Kennworts mithilfe des Benutzernamens oder des Kennworts mithilfe der E-Mail-Adresse.
7. Wenn Sie unter der mehrstufigen Authentifizierung festlegen möchten, dass Benutzer ihre Identitäten mithilfe einer zweiten Authentifizierungsmethode überprüfen müssen, wählen Sie den Methodentyp und wann die mehrstufige Authentifizierung erzwungen werden soll. Erfahren Sie mehr.
8. Wenn Sie unter "Bedingter Zugriff" Richtlinien für den bedingten Zugriff für Ihren Azure AD B2C-Mandanten konfiguriert haben und diese in diesem Benutzerablauf verwenden möchten, aktivieren Sie das Kontrollkästchen "Richtlinien für bedingten Zugriff erzwingen ". Sie müssen keinen Richtliniennamen angeben. Erfahren Sie mehr.
9. Wählen Sie unter Anwendungsansprüchen die Option "Mehr anzeigen" aus. Wählen Sie die Ansprüche aus, die in den Autorisierungstoken zurückgegeben werden sollen, die an Ihre Anwendung zurückgesendet werden. Wählen Sie beispielsweise die Objekt-ID des Benutzers aus.
10. Wählen Sie OK aus.
11. Wählen Sie "Erstellen" aus, um den Benutzerfluss hinzuzufügen. Dem Namen wird automatisch das Präfix B2C_1 vorangestellt.

Testen des Benutzerflows

So testen Sie den Benutzerablauf:

1. Wählen Sie den von Ihnen erstellten Benutzerfluss aus. Wählen Sie auf der Seite "Benutzerablaufübersicht" die Option "Benutzerablauf ausführen" aus.
2. Wählen Sie für "Anwendung" die Webanwendung aus, die Sie testen möchten, z. B. die Webanwendung mit dem Namen "webapp1 ", wenn Sie dies zuvor registriert haben. Die Antwort-URL sollte sein https://jwt.ms.
3. Wählen Sie "Benutzerablauf ausführen" aus, überprüfen Sie die E-Mail-Adresse des Kontos, für das Sie das Kennwort zurücksetzen möchten, und wählen Sie dann "Weiter" aus.
4. Ändern Sie das Kennwort, und wählen Sie dann "Weiter" aus. Das Token wird an https://jwt.ms zurückgegeben und im Browser angezeigt.

Richtlinie zum Zurücksetzen des Passworts erstellen

Benutzerdefinierte Richtlinien sind eine Reihe von XML-Dateien, die Sie in Ihren Azure AD B2C-Mandanten hochladen, um Benutzerreisen zu definieren. Wir stellen Starterpakete bereit, die über mehrere vordefinierte Richtlinien verfügen, einschließlich Registrierung und Anmeldung, Kennwortzurücksetzung und Profilbearbeitungsrichtlinien. Weitere Informationen finden Sie unter "Erste Schritte mit benutzerdefinierten Richtlinien" in Azure AD B2C.

Behandeln von Problemen mit Azure AD B2C-Benutzerflüssen und benutzerdefinierten Richtlinien

Ihre Anwendung muss bestimmte Fehler behandeln, die vom Azure B2C-Dienst stammen. Erfahren Sie , wie Sie Probleme mit den Benutzerflüssen und benutzerdefinierten Richtlinien von Azure AD B2C beheben.

Verwandte Inhalte

Richten Sie eine erzwungene Kennwortzurücksetzung ein.

Registrieren und Anmelden mit eingebetteter Kennwortzurücksetzung.