Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
Bevor Sie beginnen, verwenden Sie die Auswahl eines Richtlinientyps oben auf dieser Seite, um den Typ der Richtlinie auszuwählen, die Sie einrichten. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.
Ein Benutzerflow in Azure Active Directory B2C (Azure AD B2C) bietet Benutzern Ihrer Anwendung die Möglichkeit, sich bei einem Identitätsanbieter zu registrieren oder anzumelden. Wenn die Journey beginnt, erhält Azure AD B2C ein Zugriffstoken vom Identitätsanbieter. Azure AD B2C verwendet dieses Token, um Informationen über den Benutzer abzurufen. Sie aktivieren einen Anspruch in Ihrem Benutzerflow, um das Token an die Anwendungen zu übergeben, die Sie in Azure AD B2C registrieren.
Azure AD B2C unterstützt die Übergabe des Zugriffstokens von OAuth 2.0-Identitätsanbietern , zu denen Facebook und Google gehören. Für alle anderen Identitätsanbieter wird der Anspruch leer zurückgegeben.
Azure AD B2C unterstützt die Übergabe des Zugriffstokens von OAuth 2.0 - und OpenID Connect-Identitätsanbietern . Für alle anderen Identitätsanbieter wird der Anspruch leer zurückgegeben. Weitere Informationen finden Sie in der Live-Demo des Verbunds von Identitätsanbietern.
Das folgende Diagramm zeigt, wie ein Identitätsanbietertoken an Ihre App zurückgegeben wird:
Voraussetzungen
- Erstellen Sie einen Benutzerflow, damit sich Benutzer bei Ihrer Anwendung registrieren und anmelden können.
- Registrieren Sie eine Webanwendung.
- Führen Sie die Schritte in "Erste Schritte mit benutzerdefinierten Richtlinien in Active Directory B2C" aus. In diesem Lernprogramm erfahren Sie, wie Sie benutzerdefinierte Richtliniendateien für die Verwendung Ihrer Azure AD B2C-Mandantenkonfiguration aktualisieren.
- Registrieren Sie eine Webanwendung.
Aktivieren des Anspruchs
Melden Sie sich beim Azure-Portal als globale administrierende Person Ihres Azure AD B2C-Mandanten an.
Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
Wählen Sie "Alle Dienste " in der oberen linken Ecke des Azure-Portals aus, suchen Und wählen Sie Azure AD B2C aus.
Wählen Sie Benutzerflüsse (Richtlinien) aus und anschließend Ihren Benutzerfluss. Beispiel: B2C_1_signupsignin1.
Wählen Sie "Anwendungsansprüche" aus.
Aktivieren Sie die Anforderung Identity Provider Access Token.
Klicken Sie auf Speichern , um den Benutzerflow zu speichern.
Testen des Benutzerflows
Beim Testen Ihrer Anwendungen in Azure AD B2C kann es hilfreich sein, das Azure AD B2C-Token an https://jwt.ms zurückzugeben, um die darin enthaltenen Ansprüche zu überprüfen.
Wählen Sie auf der Seite Übersicht des Benutzerflows die Option Benutzerflow ausführen aus.
Wählen Sie für "Anwendung" Ihre Anwendung aus, die Sie zuvor registriert haben. Um das Token im folgenden Beispiel zu sehen, sollte die Antwort-URL
https://jwt.mszeigen.Klicken Sie auf Benutzerflow ausführen, und melden Sie sich dann mit Ihren Kontoanmeldeinformationen an. Das Zugriffstoken des Identitätsanbieters sollte im Anspruch idp_access_token angezeigt werden.
Es sollte etwas Ähnliches wie im folgenden Beispiel angezeigt werden:
Hinzufügen der Anspruchselemente
Öffnen Sie Ihre TrustframeworkExtensions.xml Datei, und fügen Sie das folgende ClaimType-Element mit einem Bezeichner
identityProviderAccessTokenzum ClaimsSchema-Element hinzu.<BuildingBlocks> <ClaimsSchema> <ClaimType Id="identityProviderAccessToken"> <DisplayName>Identity Provider Access Token</DisplayName> <DataType>string</DataType> <AdminHelpText>Stores the access token of the identity provider.</AdminHelpText> </ClaimType> ... </ClaimsSchema> </BuildingBlocks>Fügen Sie das OutputClaim-Element dem TechnicalProfile-Element für jeden OAuth 2.0-Identitätsanbieter hinzu, für den Sie das Zugriffstoken verwenden möchten. Das folgende Beispiel zeigt das Element, das dem technischen Facebook-Profil hinzugefügt wurde:
<ClaimsProvider> <DisplayName>Facebook</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Facebook-OAUTH"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderAccessToken" PartnerClaimType="{oauth2:access_token}" /> </OutputClaims> ... </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>Speichern Sie die TrustframeworkExtensions.xml Datei.
Öffnen Sie Ihre Richtliniendatei der vertrauenden Seite, z. B. SignUpOrSignIn.xml, und fügen Sie das OutputClaim-Element zum TechnicalProfile-Element hinzu:
<RelyingParty> <DefaultUserJourney ReferenceId="SignUpOrSignIn" /> <TechnicalProfile Id="PolicyProfile"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderAccessToken" PartnerClaimType="idp_access_token"/> </OutputClaims> ... </TechnicalProfile> </RelyingParty>Speichern Sie die Richtliniendatei.
Testen Ihrer Richtlinie
Beim Testen Ihrer Anwendungen in Azure AD B2C kann es hilfreich sein, das Token von Azure AD B2C zurück an https://jwt.ms zu geben, um die darin enthaltenen Ansprüche überprüfen zu können.
Hochladen der Dateien
- Melden Sie sich beim Azure-Portal an.
- Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
- Wählen Sie "Alle Dienste " in der oberen linken Ecke des Azure-Portals aus, und suchen Sie dann nach Azure AD B2C, und wählen Sie sie aus.
- Wählen Sie "Identity Experience Framework" aus.
- Klicken Sie auf der Seite Benutzerdefinierte Richtlinien auf Richtlinie hochladen.
- Wählen Sie "Richtlinie überschreiben" aus, falls sie vorhanden ist, und suchen Sie dann nach der TrustframeworkExtensions.xml Datei.
- Wählen Sie die Option Hochladen.
- Wiederholen Sie die Schritte 5 bis 7 für die Datei der vertrauenden Seite, z. B. SignUpOrSignIn.xml.
Ausführen der Richtlinie
Öffnen Sie die Richtlinie, die Sie geändert haben. Beispiel: B2C_1A_signup_signin.
Wählen Sie für "Anwendung" Ihre Anwendung aus, die Sie zuvor registriert haben. Um das Token im folgenden Beispiel zu sehen, sollte die Antwort-URL
https://jwt.mszeigen.Wählen Sie Jetzt ausführen aus.
Es sollte etwas Ähnliches wie im folgenden Beispiel angezeigt werden:
Übergeben des IDP-Aktualisierungstokens (optional)
Das Zugriffstoken, das der Identitätsanbieter zurückgibt, ist für einen kurzen Zeitraum gültig. Einige Identitätsanbieter stellen auch ein Aktualisierungstoken zusammen mit dem Zugriffstoken aus. Ihre Clientanwendung kann dann bei Bedarf das Aktualisierungstoken des Identitätsanbieters gegen ein neues Zugriffstoken austauschen.
Die benutzerdefinierte Azure AD B2C-Richtlinie unterstützt die Übergabe des Aktualisierungstokens von OAuth 2.0-Identitätsanbietern, zu denen Facebook, Google und GitHub gehören.
Gehen Sie folgendermaßen vor, um das Aktualisierungstoken des Identitätsanbieters zu übergeben:
Öffnen Sie Ihre TrustframeworkExtensions.xml Datei und fügen Sie das folgende ClaimType-Element mit einem Bezeichner
identityProviderRefreshTokenzu dem ClaimsSchema-Element hinzu.<ClaimType Id="identityProviderRefreshToken"> <DisplayName>Identity provider refresh token</DisplayName> <DataType>string</DataType> </ClaimType>Fügen Sie das OutputClaim-Element dem TechnicalProfile-Element für jeden OAuth 2.0-Identitätsanbieter hinzu, für den Sie das Aktualisierungstoken verwenden möchten. Das folgende Beispiel zeigt das Element, das dem technischen Facebook-Profil hinzugefügt wurde:
<ClaimsProvider> <DisplayName>Facebook</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Facebook-OAUTH"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderRefreshToken" PartnerClaimType="{oauth2:refresh_token}" /> </OutputClaims> ... </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>Bei einigen Identitätsanbietern müssen Sie Metadaten oder Bereiche in das technische Profil des Identitätsanbieters aufnehmen.
Fügen Sie für den Google-Identitätsanbieter zwei Anspruchstypen
access_typeundprompthinzu. Fügen Sie dann dem technischen Profil des Identitätsanbieters die folgenden Eingabeansprüche hinzu:<InputClaims> <InputClaim ClaimTypeReferenceId="access_type" PartnerClaimType="access_type" DefaultValue="offline" AlwaysUseDefaultValue="true" /> <!-- The refresh_token is return only on the first authorization for a given user. Subsequent authorization request doesn't return the refresh_token. To fix this issue we add the prompt=consent query string parameter to the authorization request--> <InputClaim ClaimTypeReferenceId="prompt" PartnerClaimType="prompt" DefaultValue="consent" AlwaysUseDefaultValue="true" /> </InputClaims>Andere Identitätsanbieter verfügen möglicherweise über andere Methoden zum Ausstellen eines Aktualisierungstokens. Folgen Sie der Zielgruppe des Identitätsanbieters und fügen Sie die erforderlichen Elemente zum technischen Profil Ihres Identitätsanbieters hinzu.
Speichern Sie die änderungen, die Sie in Ihrer TrustframeworkExtensions.xml Datei vorgenommen haben.
Öffnen Sie Ihre Richtliniendatei der vertrauenden Seite, z. B. SignUpOrSignIn.xml, und fügen Sie das OutputClaim-Element zum TechnicalProfile-Element hinzu:
<RelyingParty> <DefaultUserJourney ReferenceId="SignUpOrSignIn" /> <TechnicalProfile Id="PolicyProfile"> <OutputClaims> <OutputClaim ClaimTypeReferenceId="identityProviderRefreshToken" PartnerClaimType="idp_refresh_token"/> </OutputClaims> ... </TechnicalProfile> </RelyingParty>Speichern Sie die Änderungen, die Sie in der Richtliniendatei Ihrer Richtlinie für die vertrauende Seite vorgenommen haben.
Laden Sie die TrustframeworkExtensions.xml-Datei und dann die Richtliniendatei der vertrauenden Seite hoch.
Nächste Schritte
Weitere Informationen finden Sie in der Übersicht über Azure AD B2C-Token.