Einrichten der Registrierung und Anmeldung mit einem Microsoft-Konto mit Azure Active Directory B2C

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Bevor Sie beginnen, verwenden Sie die Auswahl eines Richtlinientyps oben auf dieser Seite, um den Typ der Richtlinie auszuwählen, die Sie einrichten. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.

Hinweis

In Azure Active Directory B2C sind benutzerdefinierte Richtlinien in erster Linie für komplexe Szenarien konzipiert. Für die meisten Szenarien empfehlen wir die Verwendung von integrierten Benutzerflows. Informieren Sie sich, sofern noch nicht geschehen, unter Tutorial: Erstellen von Benutzerflows und benutzerdefinierten Richtlinien in Azure Active Directory B2C über das Starter Pack für benutzerdefinierte Richtlinien.

Voraussetzungen

• Erstellen Sie einen Benutzerflow, damit sich Benutzer bei Ihrer Anwendung registrieren und anmelden können.
• Registrieren Sie eine Webanwendung.

• Führen Sie die Schritte in "Erste Schritte mit benutzerdefinierten Richtlinien in Active Directory B2C" aus. In diesem Lernprogramm erfahren Sie, wie Sie benutzerdefinierte Richtliniendateien für die Verwendung Ihrer Azure AD B2C-Mandantenkonfiguration aktualisieren.
• Registrieren Sie eine Webanwendung.

Erstellen einer Microsoft-Kontoanwendung

Um die Anmeldung für Benutzer mit einem Microsoft-Konto in Azure Active Directory B2C (Azure AD B2C) zu aktivieren, müssen Sie eine Anwendung im Azure-Portal erstellen. Weitere Informationen finden Sie unter Registrieren einer Anwendung bei Microsoft Identity Platform. Wenn Sie noch nicht über ein Microsoft-Konto verfügen, können Sie eins unter https://www.live.com/erhalten.

1. Melden Sie sich beim Azure-Portal an.

2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie im oberen Menü das Symbol "Einstellungen " aus, um im Menü "Verzeichnisse + Abonnements " zu Ihrem Microsoft Entra ID-Mandanten zu wechseln.

3. Wählen Sie "Alle Dienste " in der oberen linken Ecke des Azure-Portals aus, und suchen Sie dann nach App-Registrierungen, und wählen Sie sie aus.

4. Wählen Sie Neue Registrierung aus.

5. Geben Sie einen Namen für Ihre Anwendung ein. Beispiel: MSAapp1.

6. Wählen Sie unter "Unterstützte Kontotypen" persönliche Microsoft-Konten (z. B. Skype, Xbox) aus.

   Weitere Informationen zu den verschiedenen Kontotypen finden Sie in der Schnellstartanleitung: Registrieren einer Anwendung bei der Microsoft Identity Platform.

7. Wählen Sie unter Umleitungs-URI (optional)web aus, und geben Sie ein https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Wenn Sie eine benutzerdefinierte Domäne verwenden, geben Sie die Zeichenfolge https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authrespein. Ersetzen Sie den your-tenant-name Namen Ihres Azure AD B2C-Mandanten und your-domain-name durch Ihre benutzerdefinierte Domäne.

8. Wählen Sie Registrieren aus.

9. Notieren Sie die Anwendungs-ID (Client-ID), die auf der Seite "Anwendungsübersicht" angezeigt wird. Sie benötigen die Client-ID, wenn Sie den Identitätsanbieter im nächsten Abschnitt konfigurieren.

10. Zertifikate und geheime Schlüssel auswählen

11. Klicken Sie auf "Neuer geheimer Clientschlüssel".

12. Geben Sie eine Beschreibung für den geheimen Schlüssel ein, z. B. Anwendungskennwort 1, und klicken Sie dann auf "Hinzufügen".

13. Notieren Sie das anwendungskennwort, das in der Spalte "Wert " angezeigt wird. Sie benötigen den geheimen Clientschlüssel, wenn Sie den Identitätsanbieter im nächsten Abschnitt konfigurieren.

Konfigurieren von Microsoft als Identitätsanbieter

1. Melden Sie sich beim Azure-Portal mit einem Konto an, das mindestens über Administratorrechte des externen Identitätsanbieters verfügt.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Wählen Sie "Alle Dienste " in der oberen linken Ecke des Azure-Portals aus, suchen Und wählen Sie Azure AD B2C aus.
4. Wählen Sie Identitätsanbieter und dann Microsoft-Konto aus.
5. Geben Sie einen Namen ein. Beispiel: MSA.
6. Geben Sie für die Client-ID die Anwendungs-ID (Client-ID) der Zuvor erstellten Microsoft Entra-Anwendung ein.
7. Geben Sie für Geheimer Clientschlüssel den zuvor notierten geheimen Clientschlüssel ein.
8. Wählen Sie Speichern aus.

Hinzufügen eines Microsoft Identity-Anbieters zu einem Benutzerablauf

Zu diesem Zeitpunkt wurde der Microsoft-Identitätsanbieter eingerichtet, ist aber noch nicht auf einer der Anmeldeseiten verfügbar. So fügen Sie den Microsoft Identity-Anbieter zu einem Benutzerablauf hinzu:

1. Wählen Sie in Ihrem Azure AD B2C-Mandanten Benutzerflüsse aus.
2. Klicken Sie auf den Benutzerablauf, den Sie dem Microsoft Identity-Anbieter hinzufügen möchten.
3. Wählen Sie unter den Identitätsanbietern für soziale NetzwerkeMicrosoft-Konto aus.
4. Wählen Sie Speichern aus.
5. Um Ihre Richtlinie zu testen, wählen Sie "Benutzerablauf ausführen" aus.
6. Wählen Sie für "Anwendung" die Webanwendung mit dem Namen "testapp1" aus, die Sie zuvor registriert haben. Als Antwort-URL sollte https://jwt.ms angezeigt werden.
7. Wählen Sie die Schaltfläche " Benutzerfluss ausführen " aus.
8. Wählen Sie auf der Anmelde- oder Anmeldeseite Microsoft aus, um sich mit dem Microsoft-Konto anzumelden.

Wenn der Anmeldevorgang erfolgreich ist, wird Ihr Browser zu https://jwt.ms umgeleitet, wo der Inhalt des von Azure AD B2C zurückgegebenen Tokens angezeigt wird.

Konfigurieren optionaler Ansprüche

Wenn Sie die family_name-Ansprüche und given_name-Ansprüche von Microsoft Entra ID abrufen möchten, können Sie optionale Ansprüche für Ihre Anwendung in der Azure portal-Benutzeroberfläche oder im Anwendungsmanifest konfigurieren. Weitere Informationen finden Sie unter Bereitstellen optionaler Ansprüche für Ihre Microsoft Entra-App.

1. Melden Sie sich beim Azure-Portal an. Suchen Sie nach Microsoft Entra ID, und wählen Sie es aus.
2. Wählen Sie im Abschnitt "Verwalten " die Option "App-Registrierungen" aus.
3. Wählen Sie die Anwendung aus, für die Sie optionale Ansprüche in der Liste konfigurieren möchten.
4. Wählen Sie im Abschnitt "Verwalten " die Option Tokenkonfiguration (Vorschau) aus.
5. Wählen Sie "Optionalen Anspruch hinzufügen" aus.
6. Wählen Sie den Tokentyp aus, den Sie konfigurieren möchten.
7. Wählen Sie die hinzuzufügenden optionalen Ansprüche aus.
8. Klicken Sie auf Hinzufügen.

Erstellen eines Richtlinienschlüssels

Nachdem Sie die Anwendung in Ihrem Microsoft Entra-Mandanten erstellt haben, müssen Sie den geheimen Clientschlüssel dieser Anwendung in Ihrem Azure AD B2C-Mandanten speichern.

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Wählen Sie "Alle Dienste " in der oberen linken Ecke des Azure-Portals aus, und suchen Sie dann nach Azure AD B2C, und wählen Sie sie aus.
4. Wählen Sie auf der Seite "Übersicht" die Option "Identity Experience Framework" aus.
5. Wählen Sie "Richtlinienschlüssel" und dann "Hinzufügen" aus.
6. Wählen Sie unter "Optionen" die Option Manualaus.
7. Geben Sie einen Namen für den Richtlinienschlüssel ein. Beispiel: MSASecret. Das Präfix B2C_1A_ wird automatisch dem Namen Des Schlüssels hinzugefügt.
8. Geben Sie im geheimen Bereich den geheimen Clientschlüssel ein, den Sie im vorherigen Abschnitt aufgezeichnet haben.
9. Wählen Sie für die Schlüsselverwendung die Option Signatureaus.
10. Klicken Sie auf "Erstellen".

Konfigurieren von Microsoft als Identitätsanbieter

Damit sich Benutzer mit einem Microsoft-Konto anmelden können, müssen Sie das Konto als Anspruchsanbieter definieren, mit dem Azure AD B2C über einen Endpunkt kommunizieren kann. Der Endpunkt stellt eine Reihe von Ansprüchen bereit, die von Azure AD B2C verwendet werden, um zu überprüfen, ob ein bestimmter Benutzer authentifiziert wurde.

Sie können Microsoft Entra-ID als Anspruchsanbieter definieren, indem Sie das ClaimsProvider-Element in der Erweiterungsdatei Ihrer Richtlinie hinzufügen.

1. Öffnen Sie die Richtliniendatei TrustFrameworkExtensions.xml.

2. Suchen Sie das ClaimsProviders-Element . Wenn sie nicht vorhanden ist, fügen Sie es unter dem Stammelement hinzu.

3. Fügen Sie einen neuen ClaimsProvider wie folgt hinzu:

   <ClaimsProvider>
     <Domain>live.com</Domain>
     <DisplayName>Microsoft Account</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="MSA-MicrosoftAccount-OpenIdConnect">
         <DisplayName>Microsoft Account</DisplayName>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="ProviderName">https://login.live.com</Item>
           <Item Key="METADATA">https://login.live.com/.well-known/openid-configuration</Item>
           <Item Key="response_types">code</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="scope">openid profile email</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="client_id">Your Microsoft application client ID</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_MSASecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
           <OutputClaim ClaimTypeReferenceId="email" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Ersetzen Sie den Wert von client_id durch die Zuvor aufgezeichnete Anwendungs-ID (Client-ID) der Microsoft Entra-Anwendung.

5. Speichern Sie die Datei.

Sie haben jetzt Ihre Richtlinie so konfiguriert, dass Azure AD B2C weiß, wie Sie mit Ihrer Microsoft-Kontoanwendung in Microsoft Entra ID kommunizieren können.

Hinzufügen einer Benutzerreise

Der Identitätsanbieter wurde nun eingerichtet, aber er ist noch auf keiner der Anmeldeseiten verfügbar. Wenn Sie nicht über eine eigene benutzerdefinierte Benutzerreise verfügen, erstellen Sie ein Duplikat einer vorhandenen Benutzerreise für Vorlagen, andernfalls fahren Sie mit dem nächsten Schritt fort.

1. Öffnen Sie die TrustFrameworkBase.xml Datei aus dem Startpaket.
2. Suchen und kopieren Sie den gesamten Inhalt des UserJourney-Elements, das Id="SignUpOrSignIn" enthält.
3. Öffnen Sie die TrustFrameworkExtensions.xml und suchen Sie das UserJourneys-Element. Wenn das Element nicht vorhanden ist, fügen Sie eins hinzu.
4. Fügen Sie den gesamten Inhalt des UserJourney-Elements ein, das Sie als untergeordnetes Element des UserJourneys-Elements kopiert haben .
5. Benennen Sie die ID der User Journey um. Beispiel: Id="CustomSignUpSignIn".

Fügen Sie den Identitätsanbieter zu einem Benutzerablauf hinzu

Nachdem Sie nun über eine Benutzerreise verfügen, fügen Sie den neuen Identitätsanbieter zur Benutzerreise hinzu. Sie fügen zuerst eine Anmeldeschaltfläche hinzu und verknüpfen dann die Schaltfläche mit einer Aktion. Die Aktion ist das technische Profil, das Sie zuvor erstellt haben.

1. Suchen Sie nach dem Orchestrierungsschrittelement, das Type="CombinedSignInAndSignUp" enthält, oder Type="ClaimsProviderSelection" in der User Journey. Es ist in der Regel der erste Orchestrierungsschritt. Das ClaimsProviderSelections-Element enthält eine Liste von Identitätsanbietern, mit denen sich ein Benutzer anmelden kann. Die Reihenfolge der Elemente steuert die Reihenfolge der Anmeldeschaltflächen, die dem Benutzer angezeigt werden. Fügen Sie ein ClaimsProviderSelection-XML-Element hinzu. Setzen Sie den Wert von TargetClaimsExchangeId auf einen freundlichen Namen.

2. Fügen Sie im nächsten Orchestrierungsschritt ein ClaimsExchange-Element hinzu. Legen Sie die ID auf den Wert der Zielansprücheaustausch-ID fest. Aktualisieren Sie den Wert von TechnicalProfileReferenceId auf die ID des zuvor erstellten technischen Profils.

Der folgende XML-Code veranschaulicht die ersten beiden Orchestrierungsschritte einer Benutzerreise mit dem Identitätsanbieter:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="MicrosoftAccountExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="MicrosoftAccountExchange" TechnicalProfileReferenceId="MSA-MicrosoftAccount-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurieren einer Richtlinie für die vertrauende Seite

Die Richtlinie der vertrauenden Seite, z. B. SignUpSignIn.xml, gibt die Benutzerreise an, die Azure AD B2C ausführt. Suchen Sie das DefaultUserJourney-Element in Vertrauende Seite. Aktualisieren Sie die ReferenceId so, dass sie mit der Benutzerreise-ID übereinstimmt, in der Sie den Identitätsanbieter hinzugefügt haben.

Im folgenden Beispiel wird die CustomSignUpSignIn für die User Journey auf CustomSignUpSignIn festgelegt:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Hochladen der benutzerdefinierten Richtlinie

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie auf der Portalsymbolleiste das Symbol "Verzeichnis + Abonnement " und dann das Verzeichnis aus, das Ihren Azure AD B2C-Mandanten enthält.
3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
4. Wählen Sie unter "Richtlinien" die Option "Identity Experience Framework" aus.
5. Wählen Sie Benutzerdefinierte Richtlinie hochladen aus, und laden Sie dann die beiden geänderten Richtliniendateien in der folgenden Reihenfolge hoch: zuerst die Erweiterungsrichtlinie, zum Beispiel TrustFrameworkExtensions.xml, und dann die Richtlinie der vertrauenden Seite, zum Beispiel SignUpSignIn.xml.

Testen der benutzerdefinierten Richtlinie

1. Wählen Sie die Richtliniendatei für die vertrauende Seite aus, z. B. B2C_1A_signup_signin.
2. Wählen Sie für "Anwendung" eine Webanwendung aus, die Sie zuvor registriert haben. Als Antwort-URL sollte https://jwt.ms angezeigt werden.
3. Wählen Sie die Schaltfläche " Jetzt ausführen " aus.
4. Wählen Sie auf der Anmelde- oder Anmeldeseite Microsoft aus, um sich mit dem Microsoft-Konto anzumelden.

Wenn der Anmeldevorgang erfolgreich ist, wird Ihr Browser zu https://jwt.ms umgeleitet, wo der Inhalt des von Azure AD B2C zurückgegebenen Tokens angezeigt wird.