Compartir a través de

Establecimiento de direcciones URL de redireccionamiento en b2clogin.com para Azure Active Directory B2C

Importante

A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para ser adquirido por nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.

Al configurar un proveedor de identidades para el registro y el inicio de sesión en las aplicaciones de Azure Active Directory B2C (Azure AD B2C), debe especificar los puntos de conexión del proveedor de identidades de Azure AD B2C. Ya no debe hacer referencia a login.microsoftonline.com en las aplicaciones y API para autenticar a los usuarios con Azure AD B2C. En su lugar, use b2clogin.com o un dominio personalizado para todas las aplicaciones.

¿A qué puntos de conexión se aplican estos cambios?

La transición a b2clogin.com solo se aplica a los puntos de conexión de autenticación que usan directivas de Azure AD B2C (flujos de usuario o directivas personalizadas) para autenticar a los usuarios. Estos puntos de conexión tienen un <policy-name> parámetro , que especifica la directiva que debe usar Azure AD B2C. Obtenga más información sobre las directivas de Azure AD B2C.

Los puntos de conexión antiguos pueden tener el siguiente aspecto:

  • https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize o https://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name> para el /authorize punto de conexión.
  • https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logout o https://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name> para el /logout punto de conexión.

Un punto de conexión actualizado correspondiente tendría un aspecto similar al siguiente:

  • https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize o https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name> para el punto de conexión /authorize.
  • https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logout o https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name> para el punto de conexión /logout.

Con el dominio personalizado de Azure AD B2C, el punto de conexión actualizado correspondiente tendría un aspecto similar al siguiente. Puede usar cualquiera de estos puntos de conexión:

  • https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize o https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name> para el punto de conexión /authorize.
  • https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logout o https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name> para el punto de conexión /logout.

Puntos de conexión que no se ven afectados

Algunos clientes utilizan las capacidades compartidas de los inquilinos empresariales de Microsoft Entra. Por ejemplo, adquirir un token de acceso para llamar a MS Graph API del inquilino de Azure AD B2C.

Este cambio no afecta a todos los puntos de conexión, que no contienen un parámetro de directiva en la dirección URL. Solo se accede a ellos con los puntos de conexión de login.microsoftonline.com de Microsoft Entra ID y no se pueden usar con el b2clogin.com ni con dominios personalizados. En el ejemplo siguiente se muestra un punto de conexión de token válido de la plataforma de identidad de Microsoft:

https://login.microsoftonline.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token

Sin embargo, si solo desea obtener un token para autenticar a los usuarios, puede especificar la directiva que la aplicación desea usar para autenticar a los usuarios. En este caso, los puntos de conexión actualizados /token serían similares a los ejemplos siguientes.

  • https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/token o https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token?p=<policy-name> cuando se usa b2clogin.com.

  • https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/token o https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token?p=<policy-name> cuando se usa un dominio personalizado.

Información general sobre los cambios necesarios

Es posible que tenga que realizar varias modificaciones para migrar las aplicaciones de login.microsoftonline.com mediante puntos de conexión de Azure AD B2C:

  • Cambie la URL de redireccionamiento en las aplicaciones del proveedor de identidades para referenciar b2clogin.com o un dominio personalizado. Para obtener más información, siga las instrucciones sobre las direcciones URL de redireccionamiento del proveedor de identidades.
  • Actualice la configuración de las aplicaciones de Azure AD B2C para que utilicen b2clogin.com o un dominio personalizado en sus flujos de usuario y puntos de conexión de tokens. El cambio puede incluir la actualización del uso de una biblioteca de autenticación como la Biblioteca de autenticación de Microsoft (MSAL).
  • Actualice los orígenes permitidos que defina en la configuración de CORS para la personalización de la interfaz de usuario.

Cambie las direcciones URL de redireccionamiento del proveedor de identidades

En el sitio web de cada proveedor de identidades en el que ha creado una aplicación, cambie todas las direcciones URL de confianza para redirigir a your-tenant-name.b2clogin.como a un dominio personalizado en lugar de login.microsoftonline.com.

Hay dos formatos que puede usar para las direcciones URL de redireccionamiento de b2clogin.com. La primera proporciona la ventaja de que no aparezca "Microsoft" en cualquier lugar de la dirección URL mediante el identificador de inquilino (un GUID) en lugar del nombre de dominio del inquilino. Tenga en cuenta que es posible que el authresp punto de conexión no contenga un nombre de directiva.

https://{your-tenant-name}.b2clogin.com/{your-tenant-id}/oauth2/authresp

La segunda opción usa el nombre de dominio del inquilino en forma de your-tenant-name.onmicrosoft.com. Por ejemplo:

https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp

Para ambos formatos:

  • Reemplace {your-tenant-name} por el nombre del inquilino de Azure AD B2C.
  • Quite /te si existe en la dirección URL.

Actualización de las aplicaciones y las API

El código de las aplicaciones y LAS API habilitadas para Azure AD B2C puede hacer referencia a login.microsoftonline.com en varios lugares. Por ejemplo, el código podría tener referencias a flujos de usuario y puntos de conexión de token. Actualice lo siguiente para hacer referencia a your-tenant-name.b2clogin.com:

  • Punto de conexión de autorización
  • Punto de conexión de token
  • Emisor de tokens

Por ejemplo, el punto de conexión de la autoridad de la directiva de registro o de inicio de sesión de Contoso ahora sería:

https://contosob2c.b2clogin.com/00000000-0000-0000-0000-000000000000/B2C_1_signupsignin1

Para obtener información sobre cómo migrar aplicaciones web basadas en OWIN a b2clogin.com, consulte Migración de una API web basada en OWIN a b2clogin.com.

Para migrar las API de Azure API Management protegidas por Azure AD B2C, consulte la sección Migración a b2clogin.com de Protección de una API de Azure API Management con Azure AD B2C.

Biblioteca de autenticación de Microsoft (MSAL)

Propiedad ValidateAuthority de MSAL.NET

Si usa MSAL.NET v2 o versiones anteriores, establezca la propiedad ValidateAuthority en false en la creación de instancias del cliente para permitir redireccionamientos a b2clogin.com. No es necesario establecer este valor false en para MSAL.NET v3 y versiones posteriores.

ConfidentialClientApplication client = new ConfidentialClientApplication(...); // Can also be PublicClientApplication
client.ValidateAuthority = false; // MSAL.NET v2 and earlier **ONLY**

Propiedad validateAuthority de MSAL para JavaScript

Si usa MSAL para JavaScript v1.2.2 o versiones anteriores, establezca la propiedad validateAuthority en false.

// MSAL.js v1.2.2 and earlier
this.clientApplication = new UserAgentApplication(
  env.auth.clientId,
  env.auth.loginAuthority,
  this.authCallback.bind(this),
  {
    validateAuthority: false // Required in MSAL.js v1.2.2 and earlier **ONLY**
  }
);

Si establece validateAuthority: true en MSAL.js 1.3.0+ (valor predeterminado), también debe especificar un emisor de token válido con knownAuthorities:

// MSAL.js v1.3.0+
this.clientApplication = new UserAgentApplication(
  env.auth.clientId,
  env.auth.loginAuthority,
  this.authCallback.bind(this),
  {
    validateAuthority: true, // Supported in MSAL.js v1.3.0+
    knownAuthorities: ['tenant-name.b2clogin.com'] // Required if validateAuthority: true
  }
);

Contenido relacionado

Para obtener información sobre cómo migrar aplicaciones web basadas en OWIN a b2clogin.com, consulte Migración de una API web basada en OWIN a b2clogin.com.

Para migrar las API de Azure API Management protegidas por Azure AD B2C, consulte la sección Migración a b2clogin.com de Protección de una API de Azure API Management con Azure AD B2C.