Tutorial: Konfigurieren von IDEMIA Mobile ID mit Azure Active Directory B2C

Voraussetzungen

Azure Active Directory B2C (Azure AD B2C) bietet zwei Methoden zum Definieren von Benutzerinteraktionen bei Anwendungen: vordefinierte Benutzerflows oder konfigurierbare benutzerdefinierte Richtlinien. Lesen Sie dazu Übersicht über Benutzerflows und benutzerdefinierte Richtlinien.

Integrieren von Azure AD B2C in IDEMIA Mobile ID

IDEMIA bietet biometrische Authentifizierungsdienste wie Gesichts-ID und Fingerabdruck, wodurch Betrug und Wiederverwendung von Anmeldeinformationen reduziert werden. Mit Mobile ID profitieren Bürger von einer durch die Regierung ausgestellten vertrauenswürdigen digitalen ID als Ergänzung zu ihrer physischen ID. Mobile ID überprüft die Identität mithilfe einer selbstgewählten PIN, Touch-ID oder Gesichts-ID. Bürger steuern ihre Identitäten durch die Freigabe von Informationen, die für eine Transaktion benötigt werden. Viele staatliche Autozulassungsbehörden verwenden Mobile ID.

Weitere Informationen finden Sie unter „idemia.com“: IDEMIA.

Beschreibung des Szenarios

Die Mobile ID-Integration umfasst die folgenden Komponenten:

• Azure AD B2C – der Autorisierungsserver zum Überprüfen von Benutzeranmeldeinformationen
  • Er wird auch als Identitätsanbieter (Identity Provider, IdP) bezeichnet.
• IDEMIA Mobile ID: OpenID Connect (OIDC)-Anbieter, der als ein externer Azure AD B2C-Anbieter konfiguriert ist
  • Siehe Hinzufügen eines Identitätsanbieters zu Ihrem Azure AD B2C-Mandanten.
• Anwendung IDEMIA Mobile ID – die digitale Version eines Führerscheins oder eines vom Staat ausgestellten Ausweises in einer App auf Ihrem Smartphone
  • Siehe IDEMIA Mobile ID

Mobile ID ist ein digitalisiertes Identifikationsdokument, ein portierbares mobiles Identitätstoken, mit dem Autozulassungsbehörden einzelne Identitäten überprüfen. Die signierte digitalisierte ID wird auf Benutzerhandys als Identität im Edgebereich gespeichert. Die signierten Anmeldeinformationen erleichtern den Zugriff auf Identitätsdienste wie Altersnachweis, Finanzkenntnisse Ihres Kunden, Kontozugriff usw.

Das folgende Diagramm veranschaulicht die Benutzerflows für Registrierung und Anmeldung mit Mobile ID.

1. Der Benutzer besucht die Azure AD B2C-Anmeldeseite (die vertrauende Seite) mit seinem Gerät und Mobile ID, um eine Transaktion durchzuführen.
2. Azure AD B2C führt eine ID-Überprüfung durch. Es leitet den Benutzer mit einem OIDC-Autorisierungscodeflow an den IDEMIA-Router weiter.
3. Der Router sendet eine biometrische Abfrage mit Details zur Authentifizierungs- und Autorisierungsanforderung an die mobile App des Benutzers.
4. Je nach Sicherheit wird der Benutzer möglicherweise aufgefordert, weitere Details anzugeben: eine PIN eingeben, ein Live-Selfie machen oder beides.
5. Die Authentifizierungsantwort liefert den Eigentumsnachweis, die Präsenz und Einwilligung. Die Antwort wird an den Router zurückgesendet.
6. Der Router überprüft die Benutzerinformationen und antwortet Azure AD B2C mit dem Ergebnis.
7. Dem Benutzer wird der Zugriff gewährt oder verweigert.

Aktivieren von Mobile ID

Wechseln Sie zuerst zur Kontaktseite von „idemia.com“, um eine Demo anzufordern. Geben Sie im Textfeld für das Anforderungsformular Ihr Interesse an einer Azure AD B2C-Integration an.

Integrieren von Mobile ID in Azure AD B2C

Verwenden Sie die folgenden Abschnitte zum Vorbereiten und Ausführen von Integrationsprozessen.

Voraussetzungen

Zunächst benötigen Sie Folgendes:

• Zugriff auf Benutzer mit einer IDEMIA, vom US-Bundesstaat ausgestellte Mobile ID (mID)-Anmeldeinformationen

  • Oder während der Testphase die mID-Demoanwendung von IDEMIA

• Ein Azure-Abonnement

  • Wenn Sie kein Konto haben, können Sie ein kostenloses Azure-Konto erhalten.

• Ein Azure AD B2C-Mandant, der mit dem Azure-Abonnement verknüpft ist

• Ihre Unternehmenswebanwendung, die in einem Azure AD B2C-Mandanten registriert wurde

  • Konfigurieren Sie zum Testen https://jwt.ms, eine Microsoft-Webanwendung mit decodierten Tokeninhalten.

  Hinweis

  Die Tokeninhalte verbleiben in Ihrem Browser.

Übermitteln einer Anwendung der vertrauenden Seite für mID

Während der Integration von Mobile ID werden die folgenden Informationen bereitgestellt.

Eigenschaft	BESCHREIBUNG
Anwendungsname	Azure AD B2C oder ein anderer Anwendungsname
Client_ID	Der eindeutige Bezeichner des Identitätsanbieters (IdP)
Geheimer Clientschlüssel	Kennwort, das von der Anwendung der vertrauenden Seite zur Authentifizierung mit dem IDEMIA-IdP verwendet wird
Metadatenendpunkt	Eine URL, die auf ein Konfigurationsdokument eines Tokenausstellers verweist, das auch als „bekannter OpenID-Konfigurationsendpunkt“ bezeichnet wird
Umleitungs-URIs	https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp Zum Beispiel, https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp Geben Sie https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp bei Verwendung einer benutzerdefinierten Domäne ein.
Umleitungs-URIs nach der Abmeldung	https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout Senden Sie eine Abmeldeanforderung.

Hinweis

Sie benötigen die Client-ID und den geheimen Clientschlüssel später zum Konfigurieren des IdP in Azure AD B2C.

Erstellen eines Richtlinienschlüssels

Speichern Sie den notierten geheimen IDEMIA-Clientschlüssel in Ihrem Azure AD B2C-Mandanten. Verwenden Sie bei den folgenden Anleitungen das Verzeichnis mit Ihrem Azure AD B2C-Mandanten.

1. Melden Sie sich beim Azure-Portal an.
2. Wählen Sie auf der Symbolleiste des Portals Verzeichnisse und Abonnements aus.
3. Suchen Sie auf der Seite Portaleinstellungen, Verzeichnisse und Abonnements in der Liste Verzeichnisname Ihr Azure AD B2C-Verzeichnis.
4. Wählen Sie Wechseln aus.
5. Wählen Sie in der oberen linken Ecke des Azure-Portals die Option Alle Dienste aus.
6. Suchen Sie nach Azure AD B2C, und wählen Sie diese Option aus.
7. Wählen Sie auf der Seite Übersicht die Option Identity Experience Framework aus.
8. Wählen Sie Richtlinienschlüssel aus.
9. Wählen Sie Hinzufügen.
10. Wählen Sie unter Optionen die Option Manuell aus.
11. Geben Sie einen Namen für den Richtlinienschlüssel ein. Beispiel: IdemiaAppSecret. Das Präfix B2C_1A_ wird dem Schlüsselnamen hinzugefügt.
12. Geben Sie unter Geheimnis den geheimen Clientschlüssel ein, den Sie sich notiert haben.
13. Wählen Sie unter SchlüsselverwendungSignatur aus.
14. Klicken Sie auf Erstellen.

Konfigurieren von Mobile ID als externer IdP

Um Benutzern die Anmeldung mit Mobile ID zu ermöglichen, definieren Sie IDEMIA als Anspruchsanbieter. Mit dieser Aktion wird sichergestellt, dass Azure AD B2C über einen Endpunkt kommuniziert, der Ansprüche bereitstellt, mit deren Hilfe Azure AD B2C die Benutzerauthentifizierung mit Biometrie überprüft.

Um IDEMIA als Anspruchsanbieter zu definieren, fügen Sie sie in der Erweiterungsdatei Ihrer Richtlinie dem Element ClaimsProvider hinzu.

     <TechnicalProfile Id="Idemia-Oauth2">
          <DisplayName>IDEMIA</DisplayName>
          <Description>Login with your IDEMIA identity</Description>
          <Protocol Name="OAuth2" />
          <Metadata>
            <Item Key="METADATA">https://idp.XXXX.net/oxauth/.well-known/openid-configuration</Item>
            <!-- Update the Client ID below to the Application ID -->
            <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid id_basic mt_scope</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
            <Item Key="token_endpoint_auth_method">client_secret_basic</Item>
            <Item Key="ClaimsEndpoint">https://idp.XXXX.net/oxauth/restv1/userinfo</Item>
            <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_IdemiaAppSecret" />
</CryptographicKeys>
          <InputClaims>
            <InputClaim ClaimTypeReferenceId="acr" PartnerClaimType="acr_values" DefaultValue="loa-2" />
          </InputClaims>
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="firstName1" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="lastName1" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="idemia" />
            <OutputClaim ClaimTypeReferenceId="documentId" />
            <OutputClaim ClaimTypeReferenceId="address1" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
           

Legen Sie client_id auf die Anwendungs-ID aus der Anwendungsregistrierung fest.

Eigenschaft	BESCHREIBUNG
`Scope`	Die Mindestanforderung für OpenID Connect (OIDC) ist ein Festlegen des Bereichsparameters auf openid. Fügen Sie weitere Bereiche als durch Leerzeichen getrennte Liste an.
redirect_uri	Dies ist der Ort, an den der Benutzer-Agent den Autorisierungscode an Azure AD B2C sendet.
response_type	Wählen Sie für den Autorisierungscodefluss code aus.
acr_values	Dieser Parameter steuert die Authentifizierungsmethoden, die der Benutzer während der Authentifizierung ausführen muss.

Folgende Werte sind möglich:

Parameterwert	Auswirkungen auf den Benutzerauthentifizierungsprozess
loa-2	Nur kryptobasierte Multi-Faktor-Authentifizierung von Microsoft Entra
loa-3	Kryptobasierte MFA, plus ein weiterer Faktor
loa-4	Kryptobasierte MFA, plus der Benutzer führt PIN und biometrische Authentifizierung durch

Der Endpunkt /userinfo stellt die Ansprüche für die Bereiche zur Verfügung, die in der Autorisierungsanforderung angefordert werden. Für <mt_scope> gibt es unter anderem Ansprüche wie „Vorname“, „Nachname“ und „Führerscheinnummer“. Die für einen Bereich festgelegten Ansprüche werden im Abschnitt scope_to_claims_mapping der Ermittlungs-API veröffentlicht. Azure AD B2C fordert Ansprüche vom Anspruchsendpunkt an und gibt sie im Element „OutputClaims“ zurück. Möglicherweise müssen Sie den Anspruchsnamen in Ihrer Richtlinie den Namen im IdP zuordnen. Definieren Sie den Anspruchstyp im „ClaimSchema“-Element:

<ClaimType Id="documentId">
     <DisplayName>documentId</DisplayName>
     <DataType>string</DataType>
</ClaimType>
<ClaimType Id="address1">
     <DisplayName>address</DisplayName>
     <DataType>string</DataType>
</ClaimType>

Hinzufügen einer User Journey

Für diese Anleitungen wird der IdP eingerichtet, aber er befindet sich auf keiner Anmeldeseite. Wenn Sie keine benutzerdefinierte User Journey haben, kopieren Sie eine Vorlagen-User Journey.

1. Öffnen Sie im Starter-Paket die Datei TrustFrameworkBase.xml.
2. Suchen und kopieren Sie das Element UserJourneys, in dem ID=SignUpOrSignIn enthalten ist.
3. Öffnen Sie die Datei TrustFrameworkExtensions.xml.
4. Suchen Sie das Element UserJourneys. Wenn kein Element vorhanden ist, fügen Sie eines hinzu.
5. Fügen Sie den Inhalt des UserJourney-Elements als untergeordnetes Element des „UserJourneys“-Elements ein.
6. Benennen Sie die User Journey-ID um. Beispielsweise ID=CustomSignUpSignIn.

Hinzufügen des IdP zu einer User Journey

Wenn es eine User Journey gibt, fügen Sie ihr den neuen IdP hinzu. Fügen Sie zuerst eine Anmeldeschaltfläche hinzu, und verknüpfen Sie sie dann mit einer Aktion, die das von Ihnen erstellte technische Profil ist.

1. Suchen Sie in der User Journey nach dem Orchestrierungsschrittelement mit „Type=CombinedSignInAndSignUp“ oder „Type=ClaimsProviderSelection“. Dies ist in der Regel der erste Orchestrierungsschritt. Das Element ClaimsProviderSelections enthält eine IdP-Liste, mit der sich Benutzer anmelden. Die Reihenfolge der Elemente ist die Reihenfolge der Anmeldeschaltflächen, die dem Benutzer angezeigt werden.
2. Fügen Sie ein ClaimsProviderSelection-XML-Element hinzu.
3. Legen Sie für den Wert TargetClaimsExchangeId einen Anzeigenamen fest.
4. Fügen Sie ein ClaimsExchange-Element hinzu.
5. Legen Sie die Id auf den Wert der Zielanspruchsaustausch-ID fest.
6. Aktualisieren Sie den Wert TechnicalProfileReferenceId auf die von Ihnen erstellte ID des technischen Profils.

Der folgende XML-Code veranschaulicht die ersten beiden Orchestrierungsschritte einer User Journey mit dem Identitätsanbieter:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="IdemiaExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="IdemiaExchange" TechnicalProfileReferenceId="Idemia-Oauth2" />
  </ClaimsExchanges>
</OrchestrationStep>

Konfigurieren einer Richtlinie für die vertrauende Seite

Die Richtlinie für die vertrauende Seite, z. B. SignUpSignIn.xml, gibt die von Azure AD B2C ausgeführte User Journey an.

1. Suchen Sie in „Vertrauende Seite“ das Element DefaultUserJourney.
2. Aktualisieren Sie ReferenceId auf die ID der User Journey, in der Sie den Identitätsanbieter hinzugefügt haben.

Im folgenden Beispiel ist CustomSignUpOrSignInReferenceIdfür die User Journey auf CustomSignUpOrSignIn festgelegt:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Hochladen der benutzerdefinierten Richtlinie

Verwenden Sie bei den folgenden Anleitungen das Verzeichnis mit Ihrem Azure AD B2C-Mandanten.

1. Melden Sie sich beim Azure-Portal an.

2. Wählen Sie auf der Symbolleiste des Portals die Option Verzeichnisse und Abonnements aus.

3. Suchen Sie auf der Seite Portaleinstellungen, Verzeichnisse + Abonnements Ihr Azure AD B2C-Verzeichnis in der Liste Verzeichnisname.

4. Wählen Sie Wechseln aus.

5. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.

6. Wählen Sie unter Richtlinien die Option Identity Experience Framework aus.

7. Wählen Sie Benutzerdefinierte Richtlinie hochladen aus.

8. Laden Sie die beiden von Ihnen geänderten Richtliniendateien in dieser Reihenfolge hoch:

   • Die Erweiterungsrichtlinie (z. B. TrustFrameworkExtensions.xml)
   • Die Richtlinie für die vertrauende Seite, z. B. SignUpSignIn.xml

Testen der benutzerdefinierten Richtlinie

1. Wählen Sie die Richtliniendatei für die vertrauende Seite aus, z. B. B2C_1A_signup_signin.
2. Wählen Sie unter Anwendung eine von Ihnen registrierte Webanwendung aus.
3. Für Antwort-URL wird https://jwt.ms angezeigt.
4. Wählen Sie Jetzt ausführen aus.
5. Wählen Sie auf der Registrierungs- oder Anmeldeseite IDEMIA aus.
6. Der Browser wird an https://jwt.ms umgeleitet. Sehen Sie sich die von Azure AD B2C zurückgegebenen Tokeninhalte an.

Weitere Informationen finden Sie im Tutorial: Registrieren einer Webanwendung in Azure AD B2C.

Nächste Schritte

• Übersicht über Benutzerdefinierte Azure AD B2C-Richtlinien
• Tutorial: Erstellen von Benutzerflows und benutzerdefinierten Richtlinien in Azure AD B2C
• Wechseln Sie zu „idemia.com“ für Mobile ID: Nachweis Ihrer Identität mit mehr Datenschutz.