Freigeben über


Übersicht über Benutzerflüsse und benutzerdefinierte Richtlinien

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

In Azure AD B2C können Sie die Geschäftslogik definieren, die Benutzer befolgen, um Zugriff auf Ihre Anwendung zu erhalten. Sie können z. B. die Reihenfolge der Schritte bestimmen, die Benutzer beim Anmelden, Registrieren, Bearbeiten eines Profils oder Zurücksetzen eines Kennworts ausführen. Nach Abschluss der Sequenz erhält der Benutzer ein Token und erhält Zugriff auf Ihre Anwendung.

In Azure AD B2C gibt es zwei Möglichkeiten, Identitätsbenutzeroberflächen bereitzustellen:

  • Benutzerflüsse sind vordefinierte, integrierte, konfigurierbare Richtlinien, die wir bereitstellen, damit Sie in Minuten Anmelde-, Anmelde- und Richtlinienbearbeitungserfahrungen erstellen können.

  • Mit benutzerdefinierten Richtlinien können Sie eigene Benutzerreisen für komplexe Identitätserfahrungsszenarien erstellen, die von Benutzerflüssen nicht unterstützt werden. Azure AD B2C verwendet benutzerdefinierte Richtlinien, um Erweiterbarkeit zu bieten.

Der folgende Screenshot zeigt die Benutzeroberfläche für Benutzerflusseinstellungen im Vergleich zu benutzerdefinierten Richtlinienkonfigurationsdateien.

Screenshot der Benutzeroberfläche für Benutzerflusseinstellungen im Vergleich zu benutzerdefinierten Richtlinienkonfigurationsdateien.

Dieser Artikel bietet eine kurze Übersicht über Benutzerflüsse und benutzerdefinierte Richtlinien und hilft Ihnen, zu entscheiden, welche Methode für Ihre geschäftlichen Anforderungen am besten geeignet ist.

Benutzerabläufe

Um die am häufigsten verwendeten Identitätsaufgaben einzurichten, enthält das Azure-Portal mehrere vordefinierte und konfigurierbare Richtlinien, die als Benutzerflüsse bezeichnet werden.

Sie können Einstellungen für den Benutzerfluss wie diese konfigurieren, um das Verhalten der Identitätserfahrung in Ihren Anwendungen zu steuern:

  • Kontotypen, die für die Anmeldung verwendet werden, z. B. Für soziale Konten wie facebook oder lokale Konten, die eine E-Mail-Adresse und ein Kennwort für die Anmeldung verwenden
  • Attribute, die vom Verbraucher erfasst werden sollen, z. B. Vorname, Nachname, Postleitzahl oder Land/Region des Wohnsitzes
  • Mehrstufige Authentifizierung
  • Anpassung der Benutzeroberfläche
  • Satz von Ansprüchen in einem Token, das Ihre Anwendung empfängt, nachdem der Benutzer den Benutzerablauf abgeschlossen hat
  • Sitzungsverwaltung
  • ... und mehr

Die meisten gängigen Identitätsszenarien für Apps können mit Benutzerflüssen definiert und effektiv implementiert werden. Es wird empfohlen, die integrierten Benutzerflüsse zu verwenden, es sei denn, Sie haben komplexe Szenarien für die Benutzerreise, die die volle Flexibilität von benutzerdefinierten Richtlinien erfordern.

Benutzerdefinierte Richtlinien

Benutzerdefinierte Richtlinien sind Konfigurationsdateien, die das Verhalten Ihrer Azure AD B2C-Mandanten-Benutzeroberfläche definieren. Während Benutzerflüsse im Azure AD B2C-Portal für die am häufigsten verwendeten Identitätsaufgaben vordefiniert sind, können benutzerdefinierte Richtlinien von einem Identitätsentwickler vollständig bearbeitet werden, um viele verschiedene Aufgaben auszuführen.

Eine benutzerdefinierte Richtlinie ist vollständig konfigurierbar und richtliniengesteuert. Es koordiniert die Vertrauensstellung zwischen Entitäten in Standardprotokollen wie OpenID Connect, OAuth, SAML. Sowie einige nicht standardmäßige, z. B. REST-API-basierte System-zu-System-Anspruchsbörsen. Das Framework erstellt benutzerfreundliche Umgebungen mit Positivlisten.

Die benutzerdefinierte Richtlinie bietet Ihnen die Möglichkeit, Benutzerreisen mit einer beliebigen Kombination von Schritten zu erstellen. Beispiel:

  • Verbund mit anderen Identitätsanbietern
  • Herausforderungen bei der Multifaktor-Authentifizierung von Erstanbietern und Drittanbietern
  • Sammeln von Benutzereingaben
  • Integration in externe Systeme mithilfe der REST-API-Kommunikation

Jede Benutzerreise wird durch eine Richtlinie definiert. Sie können so viele oder so wenige Richtlinien erstellen, wie Sie benötigen, um die beste Benutzererfahrung für Ihre Organisation zu ermöglichen.

Diagramm mit einem Beispiel für eine komplexe Benutzerreise, die von IEF aktiviert wird

Eine benutzerdefinierte Richtlinie wird durch mehrere XML-Dateien definiert, die sich in einer hierarchischen Kette aufeinander beziehen. Die XML-Elemente definieren das Anspruchsschema, Forderungstransformationen, Inhaltsdefinitionen, Anspruchsanbieter, technische Profile, Schritte zur Benutzerreise-Orchestrierung und andere Aspekte der Identitätserfahrung.

Die leistungsstarke Flexibilität benutzerdefinierter Richtlinien eignet sich am besten, wenn Sie komplexe Identitätsszenarien erstellen müssen. Entwickler, die benutzerdefinierte Richtlinien konfigurieren, müssen die vertrauenswürdigen Beziehungen sorgfältig definieren, indem sie Metadatenendpunkte, exakte Definitionen für den Austausch von Ansprüchen einbeziehen und Geheimnisse, Schlüssel und Zertifikate entsprechend den Anforderungen jedes Identitätsanbieters konfigurieren.

Erfahren Sie mehr über benutzerdefinierte Richtlinien in Azure Active Directory B2C.

Vergleichen von Benutzerflüssen und benutzerdefinierten Richtlinien

In der folgenden Tabelle finden Sie einen detaillierten Vergleich der Szenarien, die Sie mit Azure AD B2C-Benutzerflüssen und benutzerdefinierten Richtlinien aktivieren können.

Kontext Benutzerabläufe Benutzerdefinierte Richtlinien
Zielbenutzer Alle Anwendungsentwickler mit oder ohne Identitätskompetenz. Identitätsprofi, Systemintegratoren, Berater und interne Identitätsteams. Sie sind mit OpenID Connect-Flüssen vertraut und verstehen Identitätsanbieter und anspruchsbasierte Authentifizierung.
Konfigurationsmethode Azure-Portal mit benutzerfreundlicher Benutzeroberfläche (UI). Bearbeiten Sie XML-Dateien direkt und laden Sie dann in das Azure-Portal hoch.
Benutzeroberflächenanpassung Vollständige UI-Anpassung , einschließlich HTML, CSS und JavaScript.

Unterstützung für mehrere Sprachen mit benutzerdefinierten Zeichenfolgen.
Identisch mit Benutzerflüssen
Anpassung von Attributen Standard- und benutzerdefinierte Attribute. Identisch mit Benutzerflüssen
Token- und Sitzungsverwaltung Anpassen von Token und Sitzungsverhalten. Identisch mit Benutzerflüssen
Identitätsanbieter Vordefinierte lokale oder Social Media-Anbieter, z. B. Verbund mit Microsoft Entra-Mandanten. Standardsbasiertes OIDC, OAUTH und SAML. Die Authentifizierung ist auch mithilfe der Integration mit REST-APIs möglich.
Identitätsaufgaben Registrieren oder Anmelden mit lokalen oder vielen sozialen Konten.

Self-Service-Kennwortzurücksetzung.

Profilbearbeitung.

Multi-Faktor-Authentifizierung.

Zugriffstokenflows.
Führen Sie dieselben Aufgaben wie bei Benutzerflows mit benutzerdefinierten Identitätsanbietern aus, oder verwenden Sie benutzerdefinierte Bereiche.

Stellen Sie zum Zeitpunkt der Registrierung ein Benutzerkonto in einem anderen System bereit.

Senden Sie eine Willkommens-E-Mail mit Ihrem eigenen E-Mail-Dienstanbieter.

Verwenden Sie einen Benutzerspeicher außerhalb von Azure AD B2C.

Überprüfen Von Benutzern bereitgestellte Informationen mit einem vertrauenswürdigen System mithilfe einer API.

Anwendungsintegration

Sie können viele Benutzerflüsse oder benutzerdefinierte Richtlinien unterschiedlicher Typen in Ihrem Mandanten erstellen und bei Bedarf in Ihren Anwendungen verwenden. Sowohl Benutzerflüsse als auch benutzerdefinierte Richtlinien können in allen Anwendungen wiederverwendet werden. Diese Flexibilität ermöglicht es Ihnen, Identitätsfunktionen mit minimalen oder keine Änderungen an Ihrem Code zu definieren und zu ändern.

Wenn sich ein Benutzer bei Ihrer Anwendung anmelden möchte, initiiert die Anwendung eine Autorisierungsanforderung für einen Endpunkt, der durch einen Benutzerfluss oder eine benutzerdefinierte Richtlinie bereitgestellt wird. Der Benutzerablauf oder die benutzerdefinierte Richtlinie definiert und steuert die Benutzererfahrung. Wenn sie einen Benutzerablauf abschließen, generiert Azure AD B2C ein Token und leitet den Benutzer dann zurück zu Ihrer Anwendung.

Mobile-App mit Pfeilen, die den Fluss zur Azure AD B2C-Anmeldeseite zeigen

Mehrere Anwendungen können denselben Benutzerfluss oder dieselbe benutzerdefinierte Richtlinie verwenden. Eine einzelne Anwendung kann mehrere Benutzerflüsse oder benutzerdefinierte Richtlinien verwenden.

Um sich beispielsweise bei einer Anwendung anzumelden, verwendet die Anwendung den Anmelde- oder Anmeldebenutzerablauf . Nachdem sich der Benutzer angemeldet hat, kann er sein Profil bearbeiten. Um das Profil zu bearbeiten, initiiert die Anwendung eine weitere Autorisierungsanforderung, diesmal mithilfe des Benutzerablaufs zum Bearbeiten des Profils .

Ihre Anwendung löst einen Benutzerablauf mithilfe einer standardmäßigen HTTP-Authentifizierungsanforderung aus, die den Benutzerablauf oder den benutzerdefinierten Richtliniennamen enthält. Ein angepasstes Token wird als Antwort empfangen.

Nächste Schritte