Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
Wenn Sie einen Identitätsanbieter für die Registrierung und Anmeldung in Ihren Azure Active Directory B2C (Azure AD B2C)-Anwendungen einrichten, müssen Sie die Endpunkte des Azure AD B2C-Identitätsanbieters angeben. Sie sollten nicht mehr auf login.microsoftonline.com in Ihren Anwendungen und APIs verweisen, um Benutzer mit Azure AD B2C zu authentifizieren. Verwenden Sie stattdessen b2clogin.com oder eine benutzerdefinierte Domäne für alle Anwendungen.
Auf welche Endpunkte treffen diese Änderungen zu?
Der Übergang zu b2clogin.com gilt nur für Authentifizierungsendpunkte, die Azure AD B2C-Richtlinien (Benutzerflüsse oder benutzerdefinierte Richtlinien) zum Authentifizieren von Benutzern verwenden. Diese Endpunkte verfügen über einen <policy-name> Parameter, der die Richtlinie angibt, die Azure AD B2C verwenden soll.
Erfahren Sie mehr über Azure AD B2C-Richtlinien.
Alte Endpunkte können wie folgt aussehen:
-
https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorizeoderhttps://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>für/authorizeEndpunkt. -
https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logoutoderhttps://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name>für/logoutEndpunkt.
Ein entsprechender aktualisierter Endpunkt würde ähnlich wie die folgenden Endpunkte aussehen:
-
https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorizeoderhttps://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>für den/authorizeEndpunkt. -
https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logoutoderhttps://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name>für den/logoutEndpunkt.
Bei der benutzerdefinierten Azure AD B2C-Domäne würde der entsprechende aktualisierte Endpunkt ähnlich wie die folgenden Endpunkte aussehen. Sie können einen der folgenden Endpunkte verwenden:
-
https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorizeoderhttps://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>für den/authorizeEndpunkt. -
https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logoutoderhttps://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name>für den/logoutEndpunkt.
Endpunkte, die nicht betroffen sind
Einige Kundinnen und Kunden verwenden die gemeinsam genutzten Funktionen von Microsoft Entra-Unternehmensmandanten. Beispiel: Abrufen eines Zugriffstokens zum Aufrufen der MS Graph-API des Azure AD B2C-Mandanten.
Diese Änderung wirkt sich nicht auf alle Endpunkte aus, die keinen Richtlinienparameter in der URL enthalten. Sie werden nur mit den login.microsoftonline.com Endpunkten der Microsoft Entra-ID aufgerufen und können nicht mit den b2clogin.com oder benutzerdefinierten Domänen verwendet werden. Das folgende Beispiel zeigt einen gültigen Tokenendpunkt der Microsoft Identity Platform:
https://login.microsoftonline.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token
Wenn Sie jedoch nur ein Token für die Authentifizierung von Benutzern abrufen möchten, können Sie die Richtlinie angeben, die Ihre Anwendung für die Authentifizierung von Benutzern verwenden möchte. In diesem Fall würden die aktualisierten /token Endpunkte ähnlich wie in den folgenden Beispielen aussehen.
https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/tokenoderhttps://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token?p=<policy-name>wenn Sie b2clogin.com verwenden.https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/tokenoderhttps://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token?p=<policy-name>wenn Sie eine benutzerdefinierte Domäne verwenden.
Übersicht über erforderliche Änderungen
Möglicherweise müssen Sie mehrere Änderungen vornehmen, um Ihre Anwendungen mithilfe von Azure AD B2C-Endpunkten von login.microsoftonline.com zu migrieren:
- Ändern Sie die Umleitungs-URL in den Anwendungen Ihres Identitätsanbieters, um auf b2clogin.com oder benutzerdefinierte Domäne zu verweisen. Weitere Informationen finden Sie in den Hinweisen zu Umleitungs-URLs für den Identitätsanbieterwechsel.
- Aktualisieren Sie Ihre Azure AD B2C-Anwendungen so, dass sie b2clogin.com oder benutzerdefinierte Domäne in ihren Benutzerablauf- und Tokenendpunktverweise verwenden. Die Änderung kann das Aktualisieren Ihrer Verwendung einer Authentifizierungsbibliothek wie Microsoft Authentication Library (MSAL) umfassen.
- Aktualisieren Sie alle zulässigen Ursprünge , die Sie in den CORS-Einstellungen für die Anpassung der Benutzeroberfläche definieren.
Ändern der Umleitungs-URL für Identitätsanbieter
Ändern Sie auf der Website jedes Identitätsanbieters, auf der Sie eine Anwendung erstellt haben, alle vertrauenswürdigen URLs so, dass sie auf your-tenant-name.b2clogin.com oder eine benutzerdefinierte Domain umleiten, anstatt zu login.microsoftonline.com.
Es gibt zwei Formate, die Sie für Ihre b2clogin.com Umleitungs-URLs verwenden können. Der erste bietet den Vorteil, dass "Microsoft" an keiner Stelle in der URL erscheint, indem die Mandanten-ID (eine GUID) anstelle Ihres Mandantendomänennamens verwendet wird. Beachten Sie, dass der authresp Endpunkt möglicherweise keinen Richtliniennamen enthält.
https://{your-tenant-name}.b2clogin.com/{your-tenant-id}/oauth2/authresp
Die zweite Option verwendet Ihren Mandantendomänennamen in Form von your-tenant-name.onmicrosoft.com. Beispiel:
https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp
Für beide Formate:
- Ersetzen Sie
{your-tenant-name}mit dem Namen Ihres Azure AD B2C-Mandanten. - Entfernen Sie
/te, wenn sie in der URL vorhanden ist.
Aktualisieren Ihrer Anwendungen und APIs
Der Code in Ihren durch Azure AD B2C aktivierten Anwendungen und APIs kann sich auf login.microsoftonline.com an mehreren Stellen beziehen. Ihr Code kann z. B. Verweise auf Benutzerflüsse und Tokenendpunkte haben. Aktualisieren Sie das Folgende, um stattdessen auf your-tenant-name.b2clogin.com zu verweisen:
- Autorisierungsendpunkt
- Token-Endpunkt
- Tokenherausgeber
Der Autoritätsendpunkt für die Registrierungs-/Anmelderichtlinie von Contoso lautet jetzt zum Beispiel:
https://contosob2c.b2clogin.com/00000000-0000-0000-0000-000000000000/B2C_1_signupsignin1
Informationen zum Migrieren von OWIN-basierten Webanwendungen zu b2clogin.com finden Sie unter Migrieren einer OWIN-basierten Web-API zu b2clogin.com.
Informationen zum Migrieren von Azure API Management-APIs, die durch Azure AD B2C geschützt sind, finden Sie im Abschnitt "Migrieren zu b2clogin.com" der Anleitung "Sichern Sie eine Azure API Management-API mit Azure AD B2C".
Microsoft Authentication Library (MSAL)
MSAL.NET: Eigenschaft „ValidateAuthority“
Wenn Sie MSAL.NET v2 oder früher verwenden, legen Sie bei der Clientinstanziierung die Eigenschaft ValidateAuthority auf false, um Umleitungen zu b2clogin.com zuzulassen. Für MSAL.NET v3 und höher ist es nicht erforderlich, diesen Wert auf false festzulegen.
ConfidentialClientApplication client = new ConfidentialClientApplication(...); // Can also be PublicClientApplication
client.ValidateAuthority = false; // MSAL.NET v2 and earlier **ONLY**
MSAL für JavaScript: Eigenschaft „validateAuthority“
Wenn Sie MSAL für JavaScript v1.2.2 oder früher verwenden, legen Sie die validateAuthority-Eigenschaft auf false.
// MSAL.js v1.2.2 and earlier
this.clientApplication = new UserAgentApplication(
env.auth.clientId,
env.auth.loginAuthority,
this.authCallback.bind(this),
{
validateAuthority: false // Required in MSAL.js v1.2.2 and earlier **ONLY**
}
);
Wenn Sie validateAuthority: true in MSAL.js 1.3.0 und höher (Standardeinstellung) festlegen, müssen Sie außerdem mit knownAuthorities einen gültigen Tokenaussteller angeben:
// MSAL.js v1.3.0+
this.clientApplication = new UserAgentApplication(
env.auth.clientId,
env.auth.loginAuthority,
this.authCallback.bind(this),
{
validateAuthority: true, // Supported in MSAL.js v1.3.0+
knownAuthorities: ['tenant-name.b2clogin.com'] // Required if validateAuthority: true
}
);
Verwandte Inhalte
Informationen zum Migrieren von OWIN-basierten Webanwendungen zu b2clogin.com finden Sie unter Migrieren einer OWIN-basierten Web-API zu b2clogin.com.
Informationen zum Migrieren von Azure API Management-APIs, die durch Azure AD B2C geschützt sind, finden Sie im Abschnitt "Migrieren zu b2clogin.com" der Anleitung "Sichern Sie eine Azure API Management-API mit Azure AD B2C".