Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para la compra por parte de nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.
En este artículo se describen formas de personalizar y mejorar la experiencia de autenticación de Azure Active Directory B2C (Azure AD B2C) para la aplicación web que llama a una API web. Antes de empezar, familiarícese con los siguientes artículos:
- Configuración de la autenticación en una aplicación web de ejemplo
- Habilite la autenticación en su propia aplicación web.
Uso de un dominio personalizado
Mediante el uso de un dominio personalizado, puede personalizar completamente la dirección URL de autenticación. Desde la perspectiva del usuario, los usuarios permanecen en el dominio durante el proceso de autenticación, en lugar de redirigirse al nombre de dominio de Azure AD B2C b2clogin.com.
También puede reemplazar el nombre del inquilino de B2C (contoso.onmicrosoft.com) en la dirección URL de la solicitud de autenticación por el GUID del id. de inquilino para quitar todas las referencias a "b2c" en la dirección URL. Por ejemplo, puede cambiar https://fabrikamb2c.b2clogin.com/contoso.onmicrosoft.com/ a https://account.contosobank.co.uk/<tenant ID GUID>/.
Para usar un dominio personalizado y el identificador de inquilino en la dirección URL de autenticación, siga las instrucciones de Habilitar dominios personalizados. En la carpeta raíz del proyecto, abra el appsettings.json archivo. Este archivo contiene información sobre el proveedor de identidades de Azure AD B2C.
- Actualice la
Instanceentrada con el dominio personalizado. - Actualice la entrada con el
Domainidentificador de inquilino. Para más información, consulte Uso del identificador de inquilino.
La configuración de la aplicación antes del cambio se muestra en el código JSON siguiente:
"AzureAdB2C": {
"Instance": "https://contoso.b2clogin.com",
"Domain": "tenant-name.onmicrosoft.com",
...
}
La configuración de la aplicación después del cambio se muestra en el código JSON siguiente:
"AzureAdB2C": {
"Instance": "https://login.contoso.com",
"Domain": "00000000-0000-0000-0000-000000000000",
...
}
Compatibilidad con escenarios avanzados
El AddMicrosoftIdentityWebAppAuthentication método de la API de la plataforma de identidad de Microsoft permite a los desarrolladores agregar código para escenarios de autenticación avanzados o suscribirse a eventos openIdConnect. Por ejemplo, puede suscribirse a OnRedirectToIdentityProvider, con el que puede personalizar la solicitud de autenticación que la aplicación envía a Azure AD B2C.
Para admitir escenarios avanzados, abra el archivo Startup.cs y, en la ConfigureServices función, reemplace por AddMicrosoftIdentityWebAppAuthentication el siguiente fragmento de código:
// Configuration to sign in users with Azure AD B2C
//services.AddMicrosoftIdentityWebAppAuthentication(Configuration, "AzureAdB2C");
services.AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
.AddMicrosoftIdentityWebApp(options =>
{
Configuration.Bind("AzureAdB2C", options);
options.Events ??= new OpenIdConnectEvents();
options.Events.OnRedirectToIdentityProvider += OnRedirectToIdentityProviderFunc;
});
El código anterior agrega el evento OnRedirectToIdentityProvider con una referencia al método OnRedirectToIdentityProviderFunc . Agregue el siguiente fragmento de código a la Startup.cs clase .
private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
{
// Custom code here
// Don't remove this line
await Task.CompletedTask.ConfigureAwait(false);
}
Puede pasar parámetros entre el controlador y la función OnRedirectToIdentityProvider mediante parámetros de contexto.
Rellenar previamente el nombre de usuario
Durante un proceso de inicio de sesión del usuario, la aplicación podría dirigirse a un usuario específico. Cuando una aplicación tiene como destino un usuario, puede especificar en la solicitud de autorización el login_hint parámetro de consulta con el nombre de inicio de sesión del usuario. Azure AD B2C rellena automáticamente el nombre de inicio de sesión y el usuario debe proporcionar solo la contraseña.
Para rellenar previamente el nombre de inicio de sesión, haga lo siguiente:
Si usa una directiva personalizada, agregue la notificación de entrada necesaria, como se describe en Configuración del inicio de sesión directo.
Complete el procedimiento De escenarios avanzados de soporte técnico .
Agregue la siguiente línea de código a la función OnRedirectToIdentityProvider :
private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { context.ProtocolMessage.LoginHint = "emily@contoso.com"; // More code await Task.CompletedTask.ConfigureAwait(false); }
Preseleccionar un proveedor de identidades
Si configuró el recorrido de inicio de sesión de la aplicación para incluir cuentas sociales, como Facebook, LinkedIn o Google, puede especificar el domain_hint parámetro . Este parámetro de consulta proporciona una sugerencia a Azure AD B2C sobre el proveedor de identidades sociales que se debe usar para el inicio de sesión. Por ejemplo, si la aplicación especifica domain_hint=facebook.com, el flujo de inicio de sesión va directamente a la página de inicio de sesión de Facebook.
Para redirigir a los usuarios a un proveedor de identidades externo, haga lo siguiente:
Compruebe el nombre de dominio del proveedor de identidades externo. Para obtener más información, consulte Redireccionamiento del inicio de sesión a un proveedor de redes sociales.
Complete el procedimiento De escenarios avanzados de soporte técnico .
En la función OnRedirectToIdentityProviderFunc , agregue la siguiente línea de código a la función OnRedirectToIdentityProvider :
private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { context.ProtocolMessage.DomainHint = "facebook.com"; // More code await Task.CompletedTask.ConfigureAwait(false); }
Especificar el idioma de la interfaz de usuario
La personalización de idioma en Azure AD B2C permite al flujo de usuario adaptarse a diversas lenguas para satisfacer las necesidades de los clientes. Para obtener más información, consulte Personalización de idioma.
Para establecer el idioma preferido, haga lo siguiente:
Complete el procedimiento De escenarios avanzados de soporte técnico .
Agregue la siguiente línea de código a la función OnRedirectToIdentityProvider :
private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { context.ProtocolMessage.UiLocales = "es"; // More code await Task.CompletedTask.ConfigureAwait(false); }
Pasar un parámetro de cadena de consulta personalizado
Con las directivas personalizadas, puede pasar un parámetro de cadena de consulta personalizado. Un buen ejemplo de caso de uso es cuando desea cambiar dinámicamente el contenido de la página.
Para pasar un parámetro de cadena de consulta personalizado, haga lo siguiente:
Configure el elemento ContentDefinitionParameters .
Complete el procedimiento De escenarios avanzados de soporte técnico .
Agregue la siguiente línea de código a la función OnRedirectToIdentityProvider :
private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { context.ProtocolMessage.Parameters.Add("campaignId", "123"); // More code await Task.CompletedTask.ConfigureAwait(false); }
Paso de una sugerencia de token de identificador
Una aplicación de terceros de confianza puede enviar un JSON Web Token (JWT) entrante como parte de la solicitud de autorización de OAuth2. El token de entrada es una sugerencia sobre el usuario o la solicitud de autorización. Azure AD B2C valida el token y luego extrae la reclamación.
Para incluir una sugerencia de token de identificador en la solicitud de autenticación, haga lo siguiente:
Complete el procedimiento De escenarios avanzados de soporte técnico .
En la directiva personalizada, defina un perfil técnico de sugerencia para el token de identificador.
Agregue la siguiente línea de código a la función OnRedirectToIdentityProvider :
private async Task OnRedirectToIdentityProviderFunc(RedirectContext context) { // The idTokenHint variable holds your ID token context.ProtocolMessage.IdTokenHint = idTokenHint // More code await Task.CompletedTask.ConfigureAwait(false); }
Controlador de cuenta
Si desea personalizar una acción de inicio de sesión, registro o cierre de sesión , le recomendamos que cree su propio controlador. Cuando tenga su propio controlador, puede pasar parámetros entre el controlador y la biblioteca de autenticación.
AccountController forma parte del Microsoft.Identity.Web.UI paquete NuGet, que controla las acciones de inicio de sesión y cierre de sesión. Puede encontrar su implementación en la biblioteca web de identidad de Microsoft.
El siguiente fragmento de código muestra un personalizado MyAccountController con la acción SignIn . La acción pasa un parámetro denominado campaign_id a la biblioteca de autenticación.
using System;
using System.Collections.Generic;
using System.Diagnostics;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.OpenIdConnect;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
namespace mywebapp.Controllers
{
[AllowAnonymous]
[Area("MicrosoftIdentity")]
[Route("[area]/[controller]/[action]")]
public class MyAccountController : Controller
{
[HttpGet("{scheme?}")]
public IActionResult SignIn([FromRoute] string scheme)
{
scheme ??= OpenIdConnectDefaults.AuthenticationScheme;
var redirectUrl = Url.Content("~/");
var properties = new AuthenticationProperties { RedirectUri = redirectUrl };
properties.Items["campaign_id"] = "1234";
return Challenge(properties, scheme);
}
}
}
En la _LoginPartial.cshtml vista, cambie el vínculo de inicio de sesión a su controlador.
<form method="get" asp-area="MicrosoftIdentity" asp-controller="MyAccount" asp-action="SignIn">
En , OnRedirectToIdentityProvideren las Startup.cs llamadas, puede leer el parámetro personalizado:
private async Task OnRedirectToIdentityProviderFunc(RedirectContext context)
{
// Read the custom parameter
var campaign_id = (context.Properties.Items.ContainsKey("campaign_id"))
// Add your custom code here
await Task.CompletedTask.ConfigureAwait(false);
}
Control de acceso basado en roles
Con la autorización en ASP.NET Core , puede usar la autorización basada en roles, la autorización basada en notificaciones o la autorización basada en directivas para comprobar si el usuario está autorizado para acceder a un recurso protegido.
En el método ConfigureServices , agregue el método AddAuthorization , que agrega el modelo de autorización. En el ejemplo siguiente se crea una directiva denominada EmployeeOnly. La directiva comprueba si existe una notificación EmployeeNumber . El valor de la notificación debe ser uno de los siguientes identificadores: 1, 2, 3, 4 o 5.
services.AddAuthorization(options =>
{
options.AddPolicy("EmployeeOnly", policy =>
policy.RequireClaim("EmployeeNumber", "1", "2", "3", "4", "5"));
});
Puede controlar la autorización en ASP.NET Core mediante AuthorizeAttribute y sus diversos parámetros. Cuando se aplica la forma más básica del [Authorize] atributo a un controlador, una acción o una página de Razor, se limita el acceso a los usuarios autenticados de ese componente.
Las directivas se aplican a los controladores mediante el atributo con el [Authorize] nombre de la directiva. El código siguiente limita el acceso a la Claims acción a los usuarios autorizados por la EmployeeOnly directiva:
[Authorize(Policy = "EmployeeOnly")]
public IActionResult Claims()
{
return View();
}
Pasos siguientes
Para más información, consulte Introducción a la autorización en ASP.NET Core.