OpenID Connect-Anbieter einrichten mit Azure AD B2C

Azure Active Directory (Azure AD) B2C ist einer der OpenID Connect Identitätsanbieter, mit denen Sie Besucher Ihrer Power Pages-Website authentifizieren können. Sie können jeden Identitätsanbieter nutzen, der den OpenID Connect Spezifikationen entspricht.

In diesem Artikel werden folgende Schritte behandelt:

• Azure AD B2C in Power Pages einrichten
• Eine App-Registrierung erstellen
• Benutzer-Flows erstellen
• Website- und Kennworteinstellungen in Power Pages eingeben

Anmerkung

Es kann einige Minuten dauern bis die Änderungen an den Authentifizierungseinstellungen auf Ihrer Website wiedergegeben werden. Um die Änderungen sofort zu sehen, starten Sie die Website im Admin Center neu.

Azure AD B2C in Power Pages einrichten

Legen Sie Azure AD B2C als Identitätsanbieter für Ihre Website fest.

1. Wählen Sie auf Ihrer Power Pages-Website die Option Einrichten>Identitätsanbieter aus.

   Wenn keine Identitätsanbieter angezeigt werden, stellen Sie sicher, dass Externe Anmeldung auf Ein in den allgemeinen Authentifizierungseinstellungen Ihrer Website festgelegt ist.

2. Wählen Sie rechts neben Azure Active Directory B2C die Option Weitere Befehle (…) >Konfigurieren oder den Anbieternamen aus.

3. Lassen Sie den Anbieternamen unverändert oder ändern Sie ihn bei Bedarf.

   Der Anbietername ist der Text auf der Schaltfläche, die Benutzer sehen, wenn sie ihren Identitätsanbieter auf der Anmeldeseite auswählen.

4. Wählen Sie Weiter.

5. Wählen Sie unter Antwort-URL die Option Kopieren aus.

6. Wählen Sie Azure öffnen aus.

   Schließen Sie nicht Ihre Power Pages-Browserregisterkarte. Sie werden bald dazu zurückkehren.

Erstellen einer App-Registrierung

Erstellen Sie einen Mandanten für Azure AD B2C und registrieren Sie eine Anwendung mit der Antwort-URL Ihrer Website als Umleitungs-URI.

1. Erstellen Sie einen Azure AD B2C Mandanten.

2. Suchen Sie nach Azure AD B2C, und wählen Sie es aus.

3. Klicken Sie unter Verwalten auf App-Registrierungen.

4. Wählen Sie Neue Registrierung aus.

5. Geben Sie einen Namen ein.

6. Wählen Sie einen der unterstützten Kontotypen aus, der die Anforderungen Ihrer Organisation am besten widerspiegelt.

7. Wählen Sie unter Umleitungs-URIWeb als Plattform aus und geben Sie dann die Antwort-URL für Ihre Website ein.

   • Wenn Sie die Standard-URL Ihrer Website verwenden, fügen Sie die Antwort-URL ein, die Sie kopiert haben.
   • Wenn Sie einen benutzerdefinierten Domänennamen verwenden, geben Sie die benutzerdefinierte URL ein. Stellen Sie sicher, dass Sie dieselbe URL für die Umleitungs-URL in den Einstellungen für den Indentitäsanbieter auf Ihrer Website verwenden.

8. Wählen Sie Registrieren aus.

9. Kopieren Sie die Anwendungs- (Client-)ID.

10. Wählen Sie im linken Seitenbereich unter VerwaltenAuthentifizierung aus.

11. Wählen Sie unter Implizite Genehmigung das Zugriffstoken (für implizite Flows verwendet) aus.

12. Wählen Sie Speichern.

13. Konfigurieren Sie die Token-Kompatibilität mit einer Emittentenanspruchs-URL, die tfp enthält. Erfahren Sie mehr über die Token-Kompatibilität.

Benutzer-Flows erstellen

1. Erstellen eines Benutzerflows für Registrierung und Anmeldung.

2. (Optional) Erstellen Sie einen Benutzerflow für die Kennwortzurücksetzung.

Aussteller-URL aus den Benutzer-Flows abrufen

1. Öffnen Sie den von Ihnen erstellten Benutzerflow für die Registrierung und die Anmeldung.

2. Gehen Sie zum Azure AD B2C-Mandanten im Azure-Portal.

3. Wählen Sie Benutzerflow ausführen aus.

4. Öffnen Sie die OpenID Connect-Konfigurations-URL in einer neuen Browserregisterkarte.

   Die URL bezieht sich auf das Konfigurationsdokument für den OpenID Connect-Identitätsanbieter, auch bekannt als OpenID-bekannter Konfigurationsendpunkt.

5. Kopieren Sie die Aussteller-URL in die Adressleiste. Geben Sie keine Anführungszeichen ein. Stellen Sie sicher, dass die Ausstelleranspruch(iss)-URL tfp enthält.

6. Öffnen Sie den Benutzer-Flow für die Kennwortzurücksetzung, sofern Sie einen erstellt haben, und wiederholen Sie die Schritte 2–5.

Website- und Kennworteinstellungen in Power Pages eingeben

1. Kehren Sie zur Power Pages-Seite Identitätsanbieter konfigurieren zurück, die Sie zuvor verlassen haben.

2. Geben Sie unter Website-Einstellungen konfigurieren die folgenden Werte ein:

   • Autoritative Stelle: Fügen Sie die Aussteller-URL ein, die Sie kopiert haben.​

   • Client-ID: Geben Sie die Anwendungs(Client)-ID der zuvor erstellten Azure AD B2C-Anwendung ein.

   • Umleitungs-URI: Wenn Ihre Website einen benutzerdefinierten Domänennamen verwendet, geben Sie die benutzerdefinierte URL ein, die die Antwort-URL Ihrer Website sein sollte.

3. Geben Sie unter Kennwortzurücksetzungseinstellungen die folgenden Werte ein:

   • Standardrichtlinien-ID: Geben Sie den Namen des zuvor erstellten Benutzer--Flows für die Registrierung und Anmeldung ein. Dem Namen wird das Präfix B2C_1 vorangestellt.

   • ID der Kennwortrücksetzrichtlinie: Wenn Sie einen Kennwortrücksetzungs-Benutzer-Flow erstellt haben, geben Sie seinen Namen ein. Dem Namen wird das Präfix B2C_1 vorangestellt.

   • Gültige Ausgeber: Eine durch Kommas getrennte Liste von Aussteller-URLs für zuvor erstellte Benutzer-Flows zur Registrierung und Anmeldung sowie zur Kennwortzurücksetzung.

4. (Optional) Erweitern Sie Zusätzliche Einstellungen und ändern Sie die Einstellungen nach Bedarf.

5. Wählen Sie Bestätigen aus.

Zusätzliche Einstellungen in Power Pages

Mit den zusätzlichen Einstellungen können Sie genauer steuern, wie sich Benutzer beim Azure AD B2C-Identitätsanbieter authentifizieren. Sie müssen keinen dieser Werte festlegen. Sie sind völlig optional.

• Zuordnung von Registrierungsansprüchen​ und Zuordnung von Anmeldeansprüchen: Bei der Benutzerauthentifizierung handelt es sich bei einem Anspruch um Informationen, die die Identität eines Benutzers beschreiben, wie z.B. eine E-Mail-Adresse oder ein Geburtsdatum. Wenn Sie sich bei einer Anwendung oder einer Website anmelden, wird ein Token erstellt. Ein Token enthält Informationen über Ihre Identität, einschließlich aller damit verbundenen Ansprüche. Token werden zur Authentifizierung Ihrer Identität verwendet, wenn Sie auf andere Teile der Anwendung oder Website oder auf andere Anwendungen und Websites zugreifen, die mit demselben Identitätsanbieter verbunden sind. Die Anspruchszuordnung ist eine Möglichkeit, die in einem Token enthaltenen Informationen zu ändern. Er kann verwendet werden, um die für die Anwendung oder Website verfügbaren Informationen anzupassen und den Zugriff auf Funktionen oder Daten zu steuern. Die Registrierungsanspruchszuordnung ändert die Ansprüche, die ausgegeben werden, wenn Sie sich für eine Anwendung oder eine Website registrieren. Die Anmeldeanspruchszuordnung ändert die Ansprüche, die ausgegeben werden, wenn Sie sich bei einer Anwendung oder einer Website anmelden. Weitere Informationen zu Anspruchszuordnungsrichtlinien.

  • Sie müssen keine Werte für diese Einstellungen eingeben, wenn Sie die Attribute E-Mail, Vorname oder Nachname verwenden. Geben Sie für andere Attribute eine Liste logischer Namen-/Wert-Paare ein. Geben Sie sie im Format field_logical_name=jwt_attribute_name ein, bei dem field_logical_name der logische Name des Felds in Power Pages und jwt_attribute_name das Attribut mit dem vom Identitätsanbieter zurückgegebenen Wert ist. Diese Paare werden verwendet, um Anspruchswerte (die während der Registrierung oder Anmeldung erstellt und von Azure AD B2C zurückgegeben werden) den Attributen im Kontaktdatensatz zuzuordnen.

    Beispielsweise verwenden Sie Position (jobTitle) und Postleitzahl (postalCode) als Benutzerattribute in Ihrem Benutzer-Flow. Sie möchten die entsprechenden Contact-Tabellenfelder Position (jobtitle) und Adresse 1: Postleitzahl (address1_postalcode) aktualisieren. Geben Sie in diesem Fall die Anspruchszuordnung als jobtitle=jobTitle,address1_postalcode=postalCode ein.

• Externe Abmeldung: Diese Einstellung legt fest, ob Ihre Website die verbundbasierten Abmeldung verwendet. Wenn Benutzer sich mit der Verbundabmeldung von einer Anwendung oder Website abmelden, werden sie auch von allen Anwendungen und Websites abgemeldet, die denselben Identitätsanbieter verwenden. Wenn Sie sich beispielsweise mit Ihrem Microsoft-Konto bei einer Website anmelden und sich dann von Ihrem Microsoft-Konto abmelden, stellt die Verbundabmeldung sicher, dass Sie auch von der Website abgemeldet sind.

  • An: Leitet Benutzer zur verbundbasierten Abmeldeoberfläche weiter, wenn sie sich vom Ihrer Website abmelden.
  • Aus: Meldet Benutzer nur von Ihrer Website ab.

• Zuordnung von Kontakt und E-Mail-Adresse: Diese Einstellung legt fest, ob Kontakte einer entsprechenden E-Mail-Adresse zugeordnet werden, wenn sie sich anmelden.

  • An: Ordnet einen eindeutigen Kontaktdatensatz einer entsprechenden E-Mail-Adresse zu und weist den externen Identitätsanbieter automatisch dem Kontakt zu, wenn der Benutzer sich erfolgreich anmeldet.
  • Aus: Der Kontaktdatensatz wird keinem Identitätsanbieter zugeordnet. Dies ist die Standardoption für diese Einstellung.

• Registrierung aktiviert : Diese Einstellung legt fest, ob sich Benutzer auf Ihrer Website registrieren können.

  • An : Zeigt eine Anmeldeseite an, auf der Benutzer ein Konto auf Ihrer Website erstellen können.
  • Aus: Deaktiviert die Registrierungsseite eines externen Kontos und blendet sie aus.

Siehe auch

Einrichten der Website-Authentifizierung
Identitätsanbieter nach Azure AD B2C migrieren