Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
Bevor Sie beginnen, verwenden Sie die Auswahl eines Richtlinientyps oben auf dieser Seite, um den Typ der Richtlinie auszuwählen, die Sie einrichten. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.
Hinweis
In Azure Active Directory B2C sind benutzerdefinierte Richtlinien in erster Linie für komplexe Szenarien konzipiert. Für die meisten Szenarien empfehlen wir die Verwendung von integrierten Benutzerflows. Informieren Sie sich, sofern noch nicht geschehen, unter Tutorial: Erstellen von Benutzerflows und benutzerdefinierten Richtlinien in Azure Active Directory B2C über das Starter Pack für benutzerdefinierte Richtlinien.
Voraussetzungen
- Erstellen Sie einen Benutzerflow, damit sich Benutzer bei Ihrer Anwendung registrieren und anmelden können.
- Registrieren Sie eine Webanwendung.
- Führen Sie die Schritte in "Erste Schritte mit benutzerdefinierten Richtlinien in Active Directory B2C" aus. In diesem Lernprogramm erfahren Sie, wie Sie benutzerdefinierte Richtliniendateien für die Verwendung Ihrer Azure AD B2C-Mandantenkonfiguration aktualisieren.
- Registrieren Sie eine Webanwendung.
Erstellen einer Anwendung
Um die Anmeldung für Benutzer mit einem X-Konto in Azure AD B2C zu aktivieren, müssen Sie eine X-Anwendung erstellen. Wenn Sie noch nicht über ein X-Konto verfügen, können Sie sich unter https://x.com/signup
registrieren. Sie müssen sich auch für ein Entwicklerkonto bewerben. Weitere Informationen finden Sie unter "Zugriff beantragen".
- Melden Sie sich mit Ihren X-Kontoanmeldeinformationen beim X-Entwicklerportal an.
- Wählen Sie die Schaltfläche "Projekt erstellen " aus.
- Geben Sie auf der Registerkarte "Projektname " einen bevorzugten Namen Ihres Projekts ein, und wählen Sie dann die Schaltfläche " Weiter " aus.
- Wählen Sie auf der Registerkarte " Anwendungsfall " Ihren bevorzugten Anwendungsfall und dann "Weiter" aus.
- Geben Sie auf der Registerkarte "Projektbeschreibung " Ihre Projektbeschreibung ein, und wählen Sie dann die Schaltfläche " Weiter " aus.
- Geben Sie auf der Registerkarte " App-Name " einen Namen für Ihre App ein, z. B. azureadb2c, und wählen Sie die Schaltfläche " Weiter " aus.
- Kopieren Sie auf der Registerkarte "Schlüssel und Token " den Wert des API-Schlüssels und des geheimen API-Schlüssels. Sie werden diese später für die Konfiguration verwenden.
- Wählen Sie "App-Einstellungen" aus, um die App-Einstellungen zu öffnen.
- Wählen Sie unten auf der Seite unter "Benutzerauthentifizierungseinstellungen" die Option "Einrichten" aus.
- Wählen Sie unter "App-Typ" den entsprechenden App-Typ aus, z. B. Web App.
- Unter App-Informationen:
- Geben Sie für die
https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/your-policy-id/oauth1/authresp
ein. Wenn Sie eine benutzerdefinierte Domäne verwenden, geben Sie die Zeichenfolgehttps://your-domain-name/your-tenant-name.onmicrosoft.com/your-user-flow-Id/oauth1/authresp
ein. Verwenden Sie beim Eingeben Ihres Mandantennamens und der Benutzerfluss-ID alle Kleinbuchstaben, auch wenn sie in Azure AD B2C mit Großbuchstaben definiert sind. Ersetzen:-
your-tenant-name
durch den Namen Ihres Mandanten -
your-domain-name
durch Ihre benutzerdefinierte Domäne -
your-policy-id
durch den Bezeichner Ihres Benutzerflows Beispiel:b2c_1a_signup_signin_x
.
-
- Geben Sie für die
https://your-tenant.b2clogin.com
ein. Ersetzen Sie durchyour-tenant
den Namen Ihres Mandanten. Beispiel:https://contosob2c.b2clogin.com
. Wenn Sie eine benutzerdefinierte Domäne verwenden, geben Sie die Zeichenfolgehttps://your-domain-name
ein. - (Optional) Geben Sie eine URL für die Nutzungsbedingungen ein, z. B.
http://www.contoso.com/tos
. Die Richtlinien-URL ist eine von Ihnen verwaltete Seite, die Nutzungsbedingungen Ihrer Anwendung enthält. - (Optional) Geben Sie eine URL für die Datenschutzrichtlinie ein, z. B
http://www.contoso.com/privacy
. . Die Richtlinien-URL ist eine von Ihnen verwaltete Seite, die Datenschutzinformationen zu Ihrer Anwendung enthält.
- Geben Sie für die
- Wählen Sie Speichern aus.
- Melden Sie sich mit Ihren X-Kontoanmeldeinformationen beim X-Entwicklerportal an.
- Wählen Sie die Schaltfläche "Projekt erstellen " aus.
- Geben Sie auf der Registerkarte "Projektname " einen bevorzugten Namen Ihres Projekts ein, und wählen Sie dann die Schaltfläche " Weiter " aus.
- Wählen Sie auf der Registerkarte " Anwendungsfall " Ihren bevorzugten Anwendungsfall und dann "Weiter" aus.
- Geben Sie auf der Registerkarte "Projektbeschreibung " Ihre Projektbeschreibung ein, und wählen Sie dann die Schaltfläche " Weiter " aus.
- Geben Sie auf der Registerkarte " App-Name " einen Namen für Ihre App ein, z. B. azureadb2c, und wählen Sie die Schaltfläche " Weiter " aus.
- Kopieren Sie auf der Registerkarte "Schlüssel und Token " den Wert des API-Schlüssels und des API-Schlüsselschlüssels für später. Sie verwenden beide, um X als Identitätsanbieter in Ihrem Azure AD B2C-Mandanten zu konfigurieren.
- Wählen Sie "App-Einstellungen" aus, um die App-Einstellungen zu öffnen.
- Wählen Sie unten auf der Seite unter "Benutzerauthentifizierungseinstellungen" die Option "Einrichten" aus.
- Wählen Sie unter "App-Typ" den entsprechenden App-Typ aus, z. B. Web App.
- Unter App-Informationen:
- Geben Sie für die
https://your-tenant.b2clogin.com/your-tenant-name.onmicrosoft.com/your-user-flow-name/oauth1/authresp
ein. Wenn Sie eine benutzerdefinierte Domäne verwenden, geben Sie die Zeichenfolgehttps://your-domain-name/your-tenant-name.onmicrosoft.com/your-user-flow-Id/oauth1/authresp
ein. Verwenden Sie beim Eingeben Ihres Mandantennamens und der Benutzerfluss-ID alle Kleinbuchstaben, auch wenn sie in Azure AD B2C mit Großbuchstaben definiert sind. Ersetzen:-
your-tenant-name
durch den Namen Ihres Mandanten -
your-domain-name
durch Ihre benutzerdefinierte Domäne -
your-user-flow-name
durch den Bezeichner Ihres Benutzerflows Beispiel:b2c_1_signup_signin_x
.
-
- Geben Sie für die
https://your-tenant.b2clogin.com
ein. Ersetzen Sie durchyour-tenant
den Namen Ihres Mandanten. Beispiel:https://contosob2c.b2clogin.com
. Wenn Sie eine benutzerdefinierte Domäne verwenden, geben Sie die Zeichenfolgehttps://your-domain-name
ein. - Geben Sie eine URL für die Nutzungsbedingungen ein, zum Beispiel
http://www.contoso.com/tos
. Die Richtlinien-URL ist eine von Ihnen verwaltete Seite, die Nutzungsbedingungen Ihrer Anwendung enthält. - Geben Sie eine URL für die Datenschutzrichtlinie ein, z. B
http://www.contoso.com/privacy
. . Die Richtlinien-URL ist eine von Ihnen verwaltete Seite, die Datenschutzinformationen zu Ihrer Anwendung enthält.
- Geben Sie für die
- Wählen Sie Speichern aus.
Konfigurieren von X als Identitätsanbieter
- Melden Sie sich beim Azure-Portal mit einem Konto an, das mindestens über Administratorrechte des externen Identitätsanbieters verfügt.
- Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
- Wählen Sie "Alle Dienste " in der oberen linken Ecke des Azure-Portals aus, suchen Und wählen Sie Azure AD B2C aus.
- Wählen Sie Identitätsanbieter und dann Twitter aus.
- Geben Sie einen Namen ein. Zum Beispiel X.
- Geben Sie für die Client-ID den API-Schlüssel der X-Anwendung ein, die Sie zuvor erstellt haben.
- Geben Sie für den geheimen Clientschlüssel den geheimen API-Schlüssel ein , den Sie aufgezeichnet haben.
- Wählen Sie Speichern aus.
Hinzufügen eines X-Identitätsanbieters zu einem Benutzerablauf
Zu diesem Zeitpunkt wurde der X-Identitätsanbieter eingerichtet, ist aber noch nicht auf einer der Anmeldeseiten verfügbar. So fügen Sie den X-Identitätsanbieter zu einem Benutzerablauf hinzu:
- Wählen Sie in Ihrem Azure AD B2C-Mandanten Benutzerflüsse aus.
- Wählen Sie den Benutzerfluss aus, dem Sie den X-Identitätsanbieter hinzufügen möchten.
- Wählen Sie unter den sozialen IdentitätsanbieternTwitter aus.
- Wählen Sie Speichern aus.
Testen des Benutzerablaufs
- Um Ihre Richtlinie zu testen, wählen Sie "Benutzerablauf ausführen" aus.
- Wählen Sie für "Anwendung" die Webanwendung mit dem Namen "testapp1" aus, die Sie zuvor registriert haben. Als Antwort-URL sollte
https://jwt.ms
angezeigt werden. - Wählen Sie die Schaltfläche " Benutzerfluss ausführen " aus.
- Wählen Sie auf der Anmelde- oder Anmeldeseite Twitter aus, um sich mit X-Konto anzumelden.
Richtlinienschlüssel erstellen
Sie müssen den geheimen Schlüssel speichern, den Sie zuvor für X-App in Ihrem Azure AD B2C-Mandanten aufgezeichnet haben.
- Melden Sie sich beim Azure-Portal an.
- Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
- Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
- Wählen Sie im linken Menü unter "Richtlinien" die Option "Identity Experience Framework" aus.
- Wählen Sie "Richtlinienschlüssel" und dann "Hinzufügen" aus.
- Wählen Sie unter "Optionen" die Option
Manual
aus. - Geben Sie einen Namen für den Richtlinienschlüssel ein. Beispiel:
XSecret
. Das PräfixB2C_1A_
wird automatisch dem Namen Des Schlüssels hinzugefügt. - Geben Sie für "Geheim" Ihren geheimen API-Schlüsselwert ein, den Sie zuvor aufgezeichnet haben.
- Wählen Sie für die Schlüsselverwendung die Option
Signature
aus. - Klicken Sie auf "Erstellen".
Konfigurieren von X als Identitätsanbieter
Damit sich Benutzer mit einem X-Konto anmelden können, müssen Sie das Konto als Anspruchsanbieter definieren, mit dem Azure AD B2C über einen Endpunkt kommunizieren kann. Der Endpunkt stellt eine Reihe von Ansprüchen bereit, die von Azure AD B2C verwendet werden, um zu überprüfen, ob ein bestimmter Benutzer authentifiziert wurde.
Sie können ein X-Konto als Anspruchsanbieter definieren, indem Sie es dem ClaimsProviders-Element in der Erweiterungsdatei Ihrer Richtlinie hinzufügen. Verweisen Sie auf das benutzerdefinierte Richtlinienstartpaket, das Sie im Abschnitt „Voraussetzungen“ dieses Artikels heruntergeladen haben.
Öffnen Sie die Datei TrustFrameworkExtensions.xml.
Suchen Sie das ClaimsProviders-Element . Wenn sie nicht vorhanden ist, fügen Sie es unter dem Stammelement hinzu.
Fügen Sie einen neuen ClaimsProvider wie folgt hinzu:
<ClaimsProvider> <Domain>x.com</Domain> <DisplayName>X</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Twitter-OAuth1"> <DisplayName>X</DisplayName> <Protocol Name="OAuth1" /> <Metadata> <Item Key="ProviderName">Twitter</Item> <Item Key="authorization_endpoint">https://api.twitter.com/oauth/authenticate</Item> <Item Key="access_token_endpoint">https://api.twitter.com/oauth/access_token</Item> <Item Key="request_token_endpoint">https://api.twitter.com/oauth/request_token</Item> <Item Key="ClaimsEndpoint">https://api.twitter.com/1.1/account/verify_credentials.json?include_email=true</Item> <Item Key="ClaimsResponseFormat">json</Item> <Item Key="client_id">Your X application API key</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_TwitterSecret" /> </CryptographicKeys> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="user_id" /> <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="screen_name" /> <OutputClaim ClaimTypeReferenceId="email" /> <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="twitter.com" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>
Ersetzen Sie den Wert von client_id durch den API-Schlüssel , den Sie zuvor aufgezeichnet haben.
Speichern Sie die Datei.
Hinzufügen einer Benutzerreise
Zum jetzigen Zeitpunkt wurde der Identitätsanbieter eingerichtet, ist aber noch nicht auf einer der Anmeldeseiten verfügbar. Wenn Sie nicht über eine eigene benutzerdefinierte Benutzerreise verfügen, erstellen Sie ein Duplikat einer vorhandenen Benutzerreise für Vorlagen, andernfalls fahren Sie mit dem nächsten Schritt fort.
- Öffnen Sie die TrustFrameworkBase.xml Datei aus dem Startpaket.
- Suchen und kopieren Sie den gesamten Inhalt des UserJourney-Elements, das
Id="SignUpOrSignIn"
enthält. - Öffnen Sie TrustFrameworkExtensions.xml und finden Sie das UserJourneys-Element. Wenn das Element nicht vorhanden ist, fügen Sie eins hinzu.
- Fügen Sie den gesamten Inhalt des UserJourney-Elements ein, das Sie als untergeordnetes Element des UserJourneys-Elements kopiert haben .
- Benennen Sie die ID der User Journey um. Beispiel:
Id="CustomSignUpSignIn"
.
Fügen Sie den Identitätsanbieter zu einem Benutzerablauf hinzu
Nachdem Sie nun über eine Benutzerreise verfügen, fügen Sie den neuen Identitätsanbieter zur Benutzerreise hinzu. Sie fügen zuerst eine Anmeldeschaltfläche hinzu und verknüpfen dann die Schaltfläche mit einer Aktion. Die Aktion ist das technische Profil, das Sie zuvor erstellt haben.
Suchen Sie nach dem Orchestrierungsschrittelement, das
Type="CombinedSignInAndSignUp"
enthält, oderType="ClaimsProviderSelection"
in der User Journey. Es ist in der Regel der erste Orchestrierungsschritt. Das ClaimsProviderSelections-Element enthält eine Liste von Identitätsanbietern, mit denen sich ein Benutzer anmelden kann. Die Reihenfolge der Elemente steuert die Reihenfolge der Anmeldeschaltflächen, die dem Benutzer angezeigt werden. Fügen Sie ein ClaimsProviderSelection-XML-Element hinzu. Legen Sie den Wert von TargetClaimsExchangeId auf einen benutzerfreundlichen Namen fest.Fügen Sie im nächsten Orchestrierungsschritt ein ClaimsExchange-Element hinzu. Legen Sie die ID auf den Wert der Zielansprücheaustausch-ID fest. Aktualisieren Sie den Wert von TechnicalProfileReferenceId auf die ID des zuvor erstellten technischen Profils.
Der folgende XML-Code veranschaulicht die ersten beiden Orchestrierungsschritte einer Benutzerreise mit dem Identitätsanbieter:
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="TwitterExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="TwitterExchange" TechnicalProfileReferenceId="Twitter-OAuth1" />
</ClaimsExchanges>
</OrchestrationStep>
Konfigurieren einer Richtlinie für die vertrauende Seite
Die Richtlinie der vertrauenden Seite, z. B. SignUpSignIn.xml, gibt die Benutzerreise an, die Azure AD B2C ausführt. Suchen Sie das DefaultUserJourney-Element in Vertrauende Seite. Aktualisieren Sie die ReferenceId so, dass sie mit der Benutzerreise-ID übereinstimmt, in der Sie den Identitätsanbieter hinzugefügt haben.
Im folgenden Beispiel wird für den CustomSignUpSignIn
Benutzerablauf die ReferenceId auf CustomSignUpSignIn
festgelegt.
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
Hochladen der benutzerdefinierten Richtlinie
- Melden Sie sich beim Azure-Portal an.
- Wählen Sie auf der Portalsymbolleiste das Symbol "Verzeichnis + Abonnement " und dann das Verzeichnis aus, das Ihren Azure AD B2C-Mandanten enthält.
- Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.
- Wählen Sie unter "Richtlinien" die Option "Identity Experience Framework" aus.
- Wählen Sie "Benutzerdefinierte Richtlinie hochladen" aus, und laden Sie dann die beiden geänderten Richtliniendateien in der folgenden Reihenfolge hoch: die Erweiterungsrichtlinie, z.B.
TrustFrameworkExtensions.xml
, dann die Richtlinie der vertrauenden Seite, z.B.SignUpSignIn.xml
.
Testen der benutzerdefinierten Richtlinie
- Wählen Sie die Richtliniendatei für die vertrauende Seite aus, z. B.
B2C_1A_signup_signin
. - Wählen Sie für "Anwendung" eine Webanwendung aus, die Sie zuvor registriert haben. Als Antwort-URL sollte
https://jwt.ms
angezeigt werden. - Wählen Sie die Schaltfläche " Jetzt ausführen " aus.
- Wählen Sie auf der Anmelde- oder Anmeldeseite Twitter aus, um sich mit X-Konto anzumelden.
Wenn der Anmeldevorgang erfolgreich ist, wird Ihr Browser zu https://jwt.ms
umgeleitet, wo der Inhalt des von Azure AD B2C zurückgegebenen Tokens angezeigt wird.
Tipp
Wenn beim Testen dieses Identitätsanbieters Fehler unauthorized
auftreten, stellen Sie sicher, dass Sie den richtigen X-API-Schlüssel und den geheimen API-Schlüssel verwenden oder versuchen Sie, einen erhöhten Zugriff zu beantragen. Außerdem wird empfohlen, sich die Projektstruktur von X anzusehen, wenn Sie Ihre App registriert haben, bevor das Feature verfügbar war.