Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.
In Azure AD B2C können Sie die Geschäftslogik definieren, die Benutzer befolgen, um Zugriff auf Ihre Anwendung zu erhalten. Sie können z. B. die Reihenfolge der Schritte bestimmen, die Benutzer beim Anmelden, Registrieren, Bearbeiten eines Profils oder Zurücksetzen eines Kennworts ausführen. Nach Abschluss der Sequenz erhält der Benutzer ein Token und erhält Zugriff auf Ihre Anwendung.
In Azure AD B2C gibt es zwei Möglichkeiten, Identitätsbenutzeroberflächen bereitzustellen:
Benutzerflüsse sind vordefinierte, integrierte, konfigurierbare Richtlinien, die wir bereitstellen, damit Sie in Minuten Anmelde-, Anmelde- und Richtlinienbearbeitungserfahrungen erstellen können.
Mit benutzerdefinierten Richtlinien können Sie eigene Benutzerreisen für komplexe Identitätserfahrungsszenarien erstellen, die von Benutzerflüssen nicht unterstützt werden. Azure AD B2C verwendet benutzerdefinierte Richtlinien, um Erweiterbarkeit zu bieten.
Der folgende Screenshot zeigt die Benutzeroberfläche für Benutzerflusseinstellungen im Vergleich zu benutzerdefinierten Richtlinienkonfigurationsdateien.
Dieser Artikel bietet eine kurze Übersicht über Benutzerflüsse und benutzerdefinierte Richtlinien und hilft Ihnen, zu entscheiden, welche Methode für Ihre geschäftlichen Anforderungen am besten geeignet ist.
Benutzerabläufe
Um die am häufigsten verwendeten Identitätsaufgaben einzurichten, enthält das Azure-Portal mehrere vordefinierte und konfigurierbare Richtlinien, die als Benutzerflüsse bezeichnet werden.
Sie können Einstellungen für den Benutzerfluss wie diese konfigurieren, um das Verhalten der Identitätserfahrung in Ihren Anwendungen zu steuern:
- Kontotypen, die für die Anmeldung verwendet werden, z. B. Für soziale Konten wie facebook oder lokale Konten, die eine E-Mail-Adresse und ein Kennwort für die Anmeldung verwenden
- Attribute, die vom Verbraucher erfasst werden sollen, z. B. Vorname, Nachname, Postleitzahl oder Land/Region des Wohnsitzes
- Mehrstufige Authentifizierung
- Anpassung der Benutzeroberfläche
- Satz von Ansprüchen in einem Token, das Ihre Anwendung empfängt, nachdem der Benutzer den Benutzerablauf abgeschlossen hat
- Sitzungsverwaltung
- ... und mehr
Die meisten gängigen Identitätsszenarien für Apps können mit Benutzerflüssen definiert und effektiv implementiert werden. Es wird empfohlen, die integrierten Benutzerflüsse zu verwenden, es sei denn, Sie haben komplexe Szenarien für die Benutzerreise, die die volle Flexibilität von benutzerdefinierten Richtlinien erfordern.
Benutzerdefinierte Richtlinien
Benutzerdefinierte Richtlinien sind Konfigurationsdateien, die das Verhalten Ihrer Azure AD B2C-Mandanten-Benutzeroberfläche definieren. Während Benutzerflüsse im Azure AD B2C-Portal für die am häufigsten verwendeten Identitätsaufgaben vordefiniert sind, können benutzerdefinierte Richtlinien von einem Identitätsentwickler vollständig bearbeitet werden, um viele verschiedene Aufgaben auszuführen.
Eine benutzerdefinierte Richtlinie ist vollständig konfigurierbar und richtliniengesteuert. Es koordiniert die Vertrauensstellung zwischen Entitäten in Standardprotokollen wie OpenID Connect, OAuth, SAML. Sowie einige nicht standardmäßige, z. B. REST-API-basierte System-zu-System-Anspruchsbörsen. Das Framework erstellt benutzerfreundliche Umgebungen mit Positivlisten.
Die benutzerdefinierte Richtlinie bietet Ihnen die Möglichkeit, Benutzerreisen mit einer beliebigen Kombination von Schritten zu erstellen. Beispiel:
- Verbund mit anderen Identitätsanbietern
- Herausforderungen bei der Multifaktor-Authentifizierung von Erstanbietern und Drittanbietern
- Sammeln von Benutzereingaben
- Integration in externe Systeme mithilfe der REST-API-Kommunikation
Jede Benutzerreise wird durch eine Richtlinie definiert. Sie können so viele oder so wenige Richtlinien erstellen, wie Sie benötigen, um die beste Benutzererfahrung für Ihre Organisation zu ermöglichen.
Eine benutzerdefinierte Richtlinie wird durch mehrere XML-Dateien definiert, die sich in einer hierarchischen Kette aufeinander beziehen. Die XML-Elemente definieren das Anspruchsschema, Forderungstransformationen, Inhaltsdefinitionen, Anspruchsanbieter, technische Profile, Schritte zur Benutzerreise-Orchestrierung und andere Aspekte der Identitätserfahrung.
Die leistungsstarke Flexibilität benutzerdefinierter Richtlinien eignet sich am besten, wenn Sie komplexe Identitätsszenarien erstellen müssen. Entwickler, die benutzerdefinierte Richtlinien konfigurieren, müssen die vertrauenswürdigen Beziehungen sorgfältig definieren, indem sie Metadatenendpunkte, exakte Definitionen für den Austausch von Ansprüchen einbeziehen und Geheimnisse, Schlüssel und Zertifikate entsprechend den Anforderungen jedes Identitätsanbieters konfigurieren.
Erfahren Sie mehr über benutzerdefinierte Richtlinien in Azure Active Directory B2C.
Vergleichen von Benutzerflüssen und benutzerdefinierten Richtlinien
In der folgenden Tabelle finden Sie einen detaillierten Vergleich der Szenarien, die Sie mit Azure AD B2C-Benutzerflüssen und benutzerdefinierten Richtlinien aktivieren können.
Kontext | Benutzerabläufe | Benutzerdefinierte Richtlinien |
---|---|---|
Zielbenutzer | Alle Anwendungsentwickler mit oder ohne Identitätskompetenz. | Identitätsprofi, Systemintegratoren, Berater und interne Identitätsteams. Sie sind mit OpenID Connect-Flüssen vertraut und verstehen Identitätsanbieter und anspruchsbasierte Authentifizierung. |
Konfigurationsmethode | Azure-Portal mit benutzerfreundlicher Benutzeroberfläche (UI). | Bearbeiten Sie XML-Dateien direkt und laden Sie dann in das Azure-Portal hoch. |
Benutzeroberflächenanpassung |
Vollständige UI-Anpassung , einschließlich HTML, CSS und JavaScript. Unterstützung für mehrere Sprachen mit benutzerdefinierten Zeichenfolgen. |
Identisch mit Benutzerflüssen |
Anpassung von Attributen | Standard- und benutzerdefinierte Attribute. | Identisch mit Benutzerflüssen |
Token- und Sitzungsverwaltung | Anpassen von Token und Sitzungsverhalten. | Identisch mit Benutzerflüssen |
Identitätsanbieter | Vordefinierte lokale oder Social Media-Anbieter, z. B. Verbund mit Microsoft Entra-Mandanten. | Standardsbasiertes OIDC, OAUTH und SAML. Die Authentifizierung ist auch mithilfe der Integration mit REST-APIs möglich. |
Identitätsaufgaben |
Registrieren oder Anmelden mit lokalen oder vielen sozialen Konten. Self-Service-Kennwortzurücksetzung. Profilbearbeitung. Multi-Faktor-Authentifizierung. Zugriffstokenflows. |
Führen Sie dieselben Aufgaben wie bei Benutzerflows mit benutzerdefinierten Identitätsanbietern aus, oder verwenden Sie benutzerdefinierte Bereiche. Stellen Sie zum Zeitpunkt der Registrierung ein Benutzerkonto in einem anderen System bereit. Senden Sie eine Willkommens-E-Mail mit Ihrem eigenen E-Mail-Dienstanbieter. Verwenden Sie einen Benutzerspeicher außerhalb von Azure AD B2C. Überprüfen Von Benutzern bereitgestellte Informationen mit einem vertrauenswürdigen System mithilfe einer API. |
Anwendungsintegration
Sie können viele Benutzerflüsse oder benutzerdefinierte Richtlinien unterschiedlicher Typen in Ihrem Mandanten erstellen und bei Bedarf in Ihren Anwendungen verwenden. Sowohl Benutzerflüsse als auch benutzerdefinierte Richtlinien können in allen Anwendungen wiederverwendet werden. Diese Flexibilität ermöglicht es Ihnen, Identitätsfunktionen mit minimalen oder keine Änderungen an Ihrem Code zu definieren und zu ändern.
Wenn sich ein Benutzer bei Ihrer Anwendung anmelden möchte, initiiert die Anwendung eine Autorisierungsanforderung für einen Endpunkt, der durch einen Benutzerfluss oder eine benutzerdefinierte Richtlinie bereitgestellt wird. Der Benutzerablauf oder die benutzerdefinierte Richtlinie definiert und steuert die Benutzererfahrung. Wenn sie einen Benutzerablauf abschließen, generiert Azure AD B2C ein Token und leitet den Benutzer dann zurück zu Ihrer Anwendung.
Mehrere Anwendungen können denselben Benutzerfluss oder dieselbe benutzerdefinierte Richtlinie verwenden. Eine einzelne Anwendung kann mehrere Benutzerflüsse oder benutzerdefinierte Richtlinien verwenden.
Um sich beispielsweise bei einer Anwendung anzumelden, verwendet die Anwendung den Anmelde- oder Anmeldebenutzerablauf . Nachdem sich der Benutzer angemeldet hat, kann er sein Profil bearbeiten. Um das Profil zu bearbeiten, initiiert die Anwendung eine weitere Autorisierungsanforderung, diesmal mithilfe des Benutzerablaufs zum Bearbeiten des Profils .
Ihre Anwendung löst einen Benutzerablauf mithilfe einer standardmäßigen HTTP-Authentifizierungsanforderung aus, die den Benutzerablauf oder den benutzerdefinierten Richtliniennamen enthält. Ein angepasstes Token wird als Antwort empfangen.
Nächste Schritte
- Um die empfohlenen Benutzerflüsse zu erstellen, befolgen Sie die Anweisungen im Lernprogramm: Erstellen eines Benutzerflusses.
- Erfahren Sie mehr über die Benutzerflussversionen in Azure AD B2C.
- Weitere Informationen zu benutzerdefinierten Azure AD B2C-Richtlinien.