Freigeben über


Einrichten der Registrierung und Anmeldung mit Mobile ID mithilfe von Azure Active Directory B2C

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Bevor Sie beginnen, verwenden Sie die Auswahl eines Richtlinientyps oben auf dieser Seite, um den Typ der Richtlinie auszuwählen, die Sie einrichten. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.

In diesem Artikel erfahren Sie, wie Sie Kunden mit Mobile ID in Ihren Anwendungen mithilfe von Azure Active Directory B2C (Azure AD B2C) die Registrierung und Anmeldung ermöglichen. Die Mobile ID-Lösung schützt den Zugriff auf Ihre Unternehmensdaten und -anwendungen mit einer umfassenden End-to-End-Lösung für eine starke Multi-Faktor-Authentifizierung (MFA). Sie fügen die Mobile ID mithilfe des OpenID Connect-Protokolls zu Ihren Benutzerflows oder benutzerdefinierten Richtlinien hinzu.

Voraussetzungen

Erstellen einer Mobile ID-Anwendung

Um die Anmeldung für Benutzer mit Mobile ID in Azure AD B2C zu aktivieren, müssen Sie eine Anwendung erstellen. Gehen Sie folgendermaßen vor, um eine Mobile ID-Anwendung zu erstellen:

  1. Wenden Sie sich an den Mobile ID-Support.

  2. Geben Sie für die Mobile ID die Informationen zu Ihrem Azure AD B2C-Mandanten an:

    Schlüssel Hinweis
    Umleitungs-URI Geben Sie den https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp URI an. Wenn Sie eine benutzerdefinierte Domäne verwenden, geben Sie die Zeichenfolge https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authrespein. Ersetzen Sie sie your-tenant-name durch den Namen Ihres Mandanten und your-domain-name durch Ihre benutzerdefinierte Domäne.
    Tokenendpunktauthentifizierungsmethode client_secret_post
  3. Nach der Registrierung der App werden die folgenden Informationen von der Mobile ID bereitgestellt. Verwenden Sie diese Informationen, um Ihren Benutzerablauf oder eine benutzerdefinierte Richtlinie zu konfigurieren.

    Schlüssel Hinweis
    Kunden-ID Die Client-ID von Mobile ID. Beispiel: 00001111-aaaa-2222-bbbb-3333cccc4444.
    Geheimer Clientschlüssel Der geheime Mobile ID-Clientschlüssel.

Konfigurieren von Mobile ID als Identitätsanbieter

  1. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.

  2. Wählen Sie "Alle Dienste " in der oberen linken Ecke des Azure-Portals aus, und suchen Sie dann nach Azure AD B2C, und wählen Sie sie aus.

  3. Wählen Sie "Identitätsanbieter" und dann " Neuer OpenID Connect-Anbieter" aus.

  4. Geben Sie einen Namen ein. Geben Sie z. B. Mobile ID ein.

  5. Geben Sie als Metadaten-URL die URL des bekannten OpenId-Konfigurationsendpunkt von Mobile ID ein. Beispiel:

    https://openid.mobileid.ch/.well-known/openid-configuration
    
  6. Geben Sie als Client-ID die Mobile ID-Client-ID ein.

  7. Geben Sie als Client secret (Geheimer Clientschlüssel) den Mobile ID-Clientschlüssel ein.

  8. Geben Sie für den Bereich die Zeichenfolge openid, profile, phone, mid_profile ein.

  9. Behalten Sie die Standardwerte für Antworttyp (code) und Antwortmodus (form_post) bei.

  10. (Optional) Geben Sie für den Domänenhinweis die Zeichenfolge mobileid.chein. Weitere Informationen finden Sie unter Einrichten einer direkten Anmeldung mit Azure Active Directory B2C.

  11. Wählen Sie unter "Anspruchszuordnung des Identitätsanbieters" die folgenden Ansprüche aus:

    • Benutzer-ID: sub
    • Anzeigename: Name
  12. Wählen Sie Speichern aus.

Einen Mobile ID-Identitätsanbieter zu einem Nutzerfluss hinzufügen

Zu diesem Zeitpunkt wurde der Mobile ID-Identitätsanbieter eingerichtet, ist aber noch auf keiner der Anmeldeseiten verfügbar. So fügen Sie den Mobile ID-Identitätsanbieter zu einem Benutzerflow hinzu:

  1. Wählen Sie in Ihrem Azure AD B2C-Mandanten Benutzerflüsse aus.
  2. Wählen Sie den Benutzerfluss aus, dem Sie den Mobile-ID-Identitätsanbieter hinzufügen möchten.
  3. Wählen Sie unter den Identitätsanbietern für soziale Netzwerkedie Option Mobile ID aus.
  4. Wählen Sie Speichern aus.
  5. Um Ihre Richtlinie zu testen, wählen Sie "Benutzerablauf ausführen" aus.
  6. Wählen Sie für "Anwendung" die Webanwendung mit dem Namen "testapp1" aus, die Sie zuvor registriert haben. Als Antwort-URL sollte https://jwt.ms angezeigt werden.
  7. Wählen Sie die Schaltfläche " Benutzerfluss ausführen " aus.
  8. Wählen Sie auf der Registrierungs- oder Anmeldeseite Mobile ID aus, um sich mit Mobile ID anzumelden.

Wenn der Anmeldevorgang erfolgreich ist, wird Ihr Browser zu https://jwt.ms umgeleitet, wo der Inhalt des von Azure AD B2C zurückgegebenen Tokens angezeigt wird.

Richtlinienschlüssel erstellen

Sie müssen den geheimen Clientschlüssel, den Sie von Mobile ID erhalten haben, in Ihrem Azure AD B2C-Mandanten speichern.

  1. Melden Sie sich beim Azure-Portal an.
  2. Stellen Sie sicher, dass Sie das Verzeichnis verwenden, das Ihren Azure AD B2C-Mandanten enthält. Wählen Sie im oberen Menü den Verzeichnis- und Abonnementfilter aus, und wählen Sie das Verzeichnis aus, das Ihren Mandanten enthält.
  3. Wählen Sie "Alle Dienste " in der oberen linken Ecke des Azure-Portals aus, und suchen Sie dann nach Azure AD B2C, und wählen Sie sie aus.
  4. Wählen Sie auf der Seite "Übersicht" die Option "Identity Experience Framework" aus.
  5. Wählen Sie "Richtlinienschlüssel" und dann "Hinzufügen" aus.
  6. Wählen Sie unter "Optionen" die Option Manualaus.
  7. Geben Sie einen Namen für den Richtlinienschlüssel ein. Beispiel: Mobile IDSecret. Das Präfix B2C_1A_ wird automatisch dem Namen Des Schlüssels hinzugefügt.
  8. Geben Sie unter Secret (Geheimnis) den geheimen Schlüssel Ihres Mobile ID-Clients ein.
  9. Wählen Sie für die Schlüsselverwendung die Option Signatureaus.
  10. Wählen Sie "Erstellen" aus.

Konfigurieren von Mobile ID als Identitätsanbieter

Damit sich Benutzer mit einer Mobile ID anmelden können, müssen Sie die Mobile ID als Anspruchsanbieter definieren, mit dem Azure AD B2C über einen Endpunkt kommunizieren kann. Der Endpunkt stellt eine Reihe von Ansprüchen bereit, die von Azure AD B2C verwendet werden, um zu überprüfen, ob ein bestimmter Benutzer authentifiziert wurde.

Sie können eine Mobile ID als Anspruchsanbieter definieren, indem Sie sie dem ClaimsProviders-Element in der Erweiterungsdatei Ihrer Richtlinie hinzufügen.

  1. Öffnen Sie die Datei TrustFrameworkExtensions.xml.

  2. Suchen Sie das ClaimsProviders-Element . Wenn sie nicht vorhanden ist, fügen Sie es unter dem Stammelement hinzu.

  3. Fügen Sie einen neuen ClaimsProvider wie folgt hinzu:

    <ClaimsProvider>
    <Domain>mobileid.ch</Domain>
    <DisplayName>Mobile-ID</DisplayName>
    <TechnicalProfiles>
      <TechnicalProfile Id="MobileID-OAuth2">
      <DisplayName>Mobile-ID</DisplayName>
      <Protocol Name="OAuth2" />
      <Metadata>
        <Item Key="ProviderName">Mobile-ID</Item>
         <Item Key="authorization_endpoint">https://m.mobileid.ch/oidc/authorize</Item>
          <Item Key="AccessTokenEndpoint">https://openid.mobileid.ch/token</Item>
          <Item Key="ClaimsEndpoint">https://openid.mobileid.ch/userinfo</Item>
          <Item Key="scope">openid, profile, phone, mid_profile</Item>
          <Item Key="HttpBinding">POST</Item>
          <Item Key="UsePolicyInRedirectUri">false</Item>
          <Item Key="token_endpoint_auth_method">client_secret_post</Item>
          <Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>
          <Item Key="client_id">Your application ID</Item>
        </Metadata>
        <CryptographicKeys>
          <Key Id="client_secret" StorageReferenceId="B2C_1A_MobileIdSecret" />
        </CryptographicKeys>
        <OutputClaims>
          <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub"/>
          <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name"/>
          <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="mobileid.ch" />
          <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
        </OutputClaims>
        <OutputClaimsTransformations>
          <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
          <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
          <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
          <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
        </OutputClaimsTransformations>
        <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
    
  4. Legen Sie client_id auf die Client-ID von Mobile ID fest.

  5. Speichern Sie die Datei.

Hinzufügen einer Benutzerreise

Zum jetzigen Zeitpunkt wurde der Identitätsanbieter eingerichtet, ist aber noch nicht auf einer der Anmeldeseiten verfügbar. Wenn Sie nicht über eine eigene benutzerdefinierte Benutzerreise verfügen, erstellen Sie ein Duplikat einer vorhandenen Benutzerreise für Vorlagen, andernfalls fahren Sie mit dem nächsten Schritt fort.

  1. Öffnen Sie die TrustFrameworkBase.xml Datei aus dem Startpaket.
  2. Suchen und kopieren Sie den gesamten Inhalt des UserJourney-Elements, das Id="SignUpOrSignIn" enthält.
  3. Öffnen Sie TrustFrameworkExtensions.xml und finden Sie das UserJourneys-Element. Wenn das Element nicht vorhanden ist, fügen Sie eins hinzu.
  4. Fügen Sie den gesamten Inhalt des UserJourney-Elements ein, das Sie als untergeordnetes Element des UserJourneys-Elements kopiert haben .
  5. Benennen Sie die ID der User Journey um. Beispiel: Id="CustomSignUpSignIn".

Fügen Sie den Identitätsanbieter zu einem Benutzerablauf hinzu

Nachdem Sie nun über eine Benutzerreise verfügen, fügen Sie den neuen Identitätsanbieter zur Benutzerreise hinzu. Sie fügen zuerst eine Anmeldeschaltfläche hinzu und verknüpfen dann die Schaltfläche mit einer Aktion. Die Aktion ist das technische Profil, das Sie zuvor erstellt haben.

  1. Suchen Sie nach dem Orchestrierungsschrittelement, das Type="CombinedSignInAndSignUp" enthält, oder Type="ClaimsProviderSelection" in der User Journey. Es ist in der Regel der erste Orchestrierungsschritt. Das ClaimsProviderSelections-Element enthält eine Liste von Identitätsanbietern, mit denen sich ein Benutzer anmelden kann. Die Reihenfolge der Elemente steuert die Reihenfolge der Anmeldeschaltflächen, die dem Benutzer angezeigt werden. Fügen Sie ein ClaimsProviderSelection-XML-Element hinzu. Legen Sie den Wert von TargetClaimsExchangeId auf einen benutzerfreundlichen Namen fest.

  2. Fügen Sie im nächsten Orchestrierungsschritt ein ClaimsExchange-Element hinzu. Legen Sie die ID auf den Wert der Zielansprücheaustausch-ID fest. Aktualisieren Sie den Wert von TechnicalProfileReferenceId auf die ID des zuvor erstellten technischen Profils.

Der folgende XML-Code veranschaulicht die ersten beiden Orchestrierungsschritte einer Benutzerreise mit dem Identitätsanbieter:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="MobileIDExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="MobileIDExchange" TechnicalProfileReferenceId="MobileID-OAuth2" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurieren einer Richtlinie für die vertrauende Seite

Die Richtlinie der vertrauenden Seite, z. B. SignUpSignIn.xml, gibt die Benutzerreise an, die Azure AD B2C ausführt. Suchen Sie das DefaultUserJourney-Element in Vertrauende Seite. Aktualisieren Sie die ReferenceId so, dass sie mit der Benutzerreise-ID übereinstimmt, in der Sie den Identitätsanbieter hinzugefügt haben.

Im folgenden Beispiel wird für den CustomSignUpSignIn Benutzerablauf die ReferenceId auf CustomSignUpSignIn festgelegt.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Hochladen der benutzerdefinierten Richtlinie

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie auf der Portalsymbolleiste das Symbol "Verzeichnis + Abonnement " und dann das Verzeichnis aus, das Ihren Azure AD B2C-Mandanten enthält.
  3. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
  4. Wählen Sie unter "Richtlinien" die Option "Identity Experience Framework" aus.
  5. Wählen Sie "Benutzerdefinierte Richtlinie hochladen" aus, und laden Sie dann die beiden geänderten Richtliniendateien in der folgenden Reihenfolge hoch: die Erweiterungsrichtlinie, z.B. TrustFrameworkExtensions.xml, dann die Richtlinie der vertrauenden Seite, z.B. SignUpSignIn.xml.

Testen der benutzerdefinierten Richtlinie

  1. Wählen Sie die Richtliniendatei für die vertrauende Seite aus, z. B. B2C_1A_signup_signin.
  2. Wählen Sie für "Anwendung" eine Webanwendung aus, die Sie zuvor registriert haben. Als Antwort-URL sollte https://jwt.ms angezeigt werden.
  3. Wählen Sie die Schaltfläche " Jetzt ausführen " aus.
  4. Wählen Sie auf der Registrierungs- oder Anmeldeseite Mobile ID aus, um sich mit Mobile ID anzumelden.

Wenn der Anmeldevorgang erfolgreich ist, wird Ihr Browser zu https://jwt.ms umgeleitet, wo der Inhalt des von Azure AD B2C zurückgegebenen Tokens angezeigt wird.

Nächste Schritte

Erfahren Sie, wie Sie Mobile ID-Token an Ihre Anwendung übergeben.