Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
Mit der digitalen ID-App können Sie sich sicher ohne Kartenleser, Kennwörter, zweistufige Authentifizierung oder mehrere PIN-Codes anmelden. Die itsme-App bietet eine starke Kundenauthentifizierung mit einer überprüften Identität. In diesem Artikel erfahren Sie, wie Sie die Azure AD B2C-Authentifizierung mit itsme OpenID Connect (OIDC) mithilfe einer Client Secret-Benutzerflussrichtlinie integrieren.
Voraussetzungen
Zunächst benötigen Sie Folgendes:
- Ein Azure-Abonnement. Wenn Sie kein Abonnement haben, können Sie ein kostenloses Konto erhalten.
- Ein Azure AD B2C-Mandant , der mit Ihrem Azure-Abonnement verknüpft ist.
- Ihre Client-ID, auch bekannt als Partnercode, bereitgestellt von itsme.
- Ihr Dienstcode, der von itsme bereitgestellt wird.
- Ihr Client-Secret für Ihr itsme-Konto.
Szenariobeschreibung
| Schritt | BESCHREIBUNG |
|---|---|
| 1 | Fügen Sie auf Ihrer Website oder Anwendung die Schaltfläche "Anmelden mit itsme" ein, indem Sie den Azure-AD-B2C-Benutzerfluss anpassen. Der Interaktionsfluss beginnt, wenn der Benutzer auf diese Schaltfläche klickt. |
| 2 | Azure AD B2C startet den OpenID Connect-Flow, indem eine Autorisierungsanforderung an die itsme Client-Secret-API gesendet wird. Ein bekannter/OpenID-Konfigurationsendpunkt ist verfügbar, der Informationen zu den Endpunkten enthält. |
| 3 | Die Itsme-Umgebung leitet den Benutzer an die Seite "Sich selbst identifizieren" weiter, sodass der Benutzer seine Telefonnummer ausfüllen kann. |
| 4 | Die Itsme-Umgebung empfängt die Telefonnummer des Benutzers und überprüft die Korrektheit. |
| 5 | Wenn die Telefonnummer zu einem aktiven itsme-Benutzer gehört, wird eine Aktion für die itsme-App erstellt. |
| 6 | Der Benutzer öffnet die Itsme-App, überprüft die Anforderung und bestätigt die Aktion. |
| 7 | Die App informiert die itsme-Umgebung, dass die Aktion bestätigt wurde. |
| 8 | Die Itsme-Umgebung gibt den OAuth-Autorisierungscode an Azure AD B2C zurück. |
| 9 | Mit dem Autorisierungscode führt Azure AD B2C eine Tokenanforderung aus. |
| 10 | Die Itsme-Umgebung überprüft die Tokenanforderung und gibt, falls immer noch gültig, das OAuth-Zugriffstoken und das ID-Token zurück, das die angeforderten Benutzerinformationen enthält. |
| 11 | Schließlich wird der Benutzer als authentifizierter Benutzer an die Umleitungs-URL umgeleitet. |
Durchführen des Onboardings mit itsme
Um ein Konto mit itsme zu erstellen, besuchen Sie itsme auf dem Azure Marketplace.
Aktivieren Sie Ihr itsme-Konto, indem Sie eine E-Mail an onboarding@itsme.be senden. Sie erhalten einen Partnercode und Dienstcode , der für Ihr B2C-Setup erforderlich ist.
Nach der Aktivierung Ihres Partnerkontos erhalten Sie eine E-Mail mit einem einmaligen Link zum geheimen Clientschlüssel.
Befolgen Sie die Anweisungen in itsme , um die Konfiguration abzuschließen.
Integration mit Azure AD B2C
Einrichten eines neuen Identitätsanbieters in Azure AD B2C
Hinweis
Wenn Sie noch keins haben, erstellen Sie einen Azure AD B2C-Mandanten , der mit Ihrem Azure-Abonnement verknüpft ist.
Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
Wählen Sie unter Azure-DiensteAzure AD B2C (oder wählen Sie "Weitere Dienste " aus, und verwenden Sie das Suchfeld "Alle Dienste ", um nach Azure AD B2C zu suchen).
Wählen Sie "Identitätsanbieter" und dann " Neuer OpenID Connect-Anbieter" aus.
Füllen Sie das Formular mit den folgenden Informationen aus:
Eigentum Wert Name itsme Metadaten-URL https://oidc.<environment>.itsme.services/clientsecret-oidc/csapi/v0.1/.well-known/openid-configuration
dabei<environment>ist entwedere2e(Testumgebung) oderprd(Produktion)ClientID Ihre Client-ID, auch bekannt als Partnercode Geheimer Clientschlüssel Ihr Kundenkennwort Umfang openid service:YOURSERVICECODE Profil E-Mail [Telefon] [Adresse] Antworttyp Code Antwortmodus Anfrage Domänenhinweis Sie können dies leer lassen. UserID sub Anzeigename Name Vorname given_name Familienname Familienname E-Mail E-Mail Wählen Sie Speichern aus.
Konfigurieren eines Benutzerflusses
Wählen Sie in Ihrem Azure AD B2C-Mandanten unter "Richtlinien" die Option "Benutzerflüsse" aus.
Wählen Sie "Neuer Benutzerablauf" aus.
Wählen Sie "Registrieren" und "Anmelden" aus, wählen Sie eine Version und dann " Erstellen" aus.
Geben Sie einen Namen ein.
Wählen Sie im Abschnitt Identitätsanbieteritsme aus.
Wählen Sie "Erstellen" aus.
Öffnen Sie den neu erstellten Benutzerfluss, indem Sie den Benutzernamen auswählen.
Wählen Sie Eigenschaften aus, und passen Sie die folgenden Werte an:
- Ändern Sie die Lebensdauer des Zugriffs- und ID-Tokens (Minuten) auf 5.
- Ändern Sie die Lebenszeit des Aktualisierungstokens im Gleitfenster auf Kein Ablauf.
Registrieren einer Anwendung
Wählen Sie in Ihrem B2C-Mandanten unter "Verwalten" die Option "App-Registrierungen> aus.
Geben Sie einen Namen für die Anwendung ein, und geben Sie Ihren Umleitungs-URI ein. Geben Sie zu Testzwecken die Zeichenfolge
https://jwt.msein.Stellen Sie sicher, dass die mehrstufige Authentifizierung deaktiviert ist.
Wählen Sie Registrieren aus.
Um diese App-Registrierung zum Testen des Benutzerablaufs zu verwenden, müssen Sie den impliziten Genehmigungsfluss aktivieren:
Wählen Sie die App-Registrierung aus, die Sie erstellt haben.
Wählen Sie unter Verwalten die Option Authentifizierung aus.
Aktivieren Sie unter Implizite Genehmigung und Hybridflows die Kontrollkästchen Zugriffstoken (werden für implizite Flows verwendet) und ID-Token (für implizite und Hybridflows verwendet).
Wählen Sie Speichern aus.
Hinweis
Wenn Sie die implizite Erteilung aktivieren, um einen Benutzerablauf zu testen, stellen Sie sicher, dass Sie die Einstellungen für den impliziten Genehmigungsfluss deaktivieren, bevor Sie Ihre App in der Produktion bereitstellen.
Testen des Benutzerflows
Wählen Sie in Ihrem B2C-Mandanten unter RichtlinienBenutzerflüsse aus.
Wählen Sie Ihren zuvor erstellten Benutzerfluss aus.
Wählen Sie Benutzerflow ausführen aus.
a) Wählen Sie für "Anwendung" die App aus, die Sie registriert haben.
b. Wählen Sie für antwort-URL die Umleitungs-URL aus, die Sie Ihrer App hinzugefügt haben. Wählen Sie zu Testzwecken die Option
https://jwt.msaus.Die itsme-Seite "Bitte identifizieren Sie sich" wird angezeigt.
Geben Sie Ihre Mobiltelefonnummer ein, und wählen Sie "Senden" aus.
Bestätigen Sie die Aktion in der itsme-App.
Nächste Schritte
Weitere Informationen finden Sie in den folgenden Artikeln: