Configuración del registro y el inicio de sesión con una cuenta de SwissID mediante Azure Active Directory B2C
Antes de comenzar, utilice el selector Elección de un tipo de directiva para elegir el tipo de directiva que va a configurar. Azure Active Directory B2C ofrece dos métodos para definir el modo en que los usuarios interactúan con las aplicaciones: por medio de flujos de usuario predefinidos o de directivas personalizadas totalmente configurables. Los pasos necesarios en este artículo son diferentes para cada método.
En este artículo, descubrirá cómo proporcionar el registro y el inicio de sesión a los clientes con cuentas de SwissID en las aplicaciones mediante Azure Active Directory B2C (Azure AD B2C). Debe agregar el SwissID a los flujos de usuario o a la directiva personalizada mediante el protocolo OpenID Connect. Para más información, consulte Instrucciones de integración de SwissID: OpenID Connect.
Requisitos previos
- Cree un flujo de usuario para que los usuarios se registren e inicien sesión en la aplicación.
- Registre una aplicación web.
- Siga los pasos que se describen en Tutorial: Creación de flujos de usuario y directivas personalizadas en Azure Active Directory B2C.
- Registro de una aplicación web.
Creación de una aplicación de SwissID
A fin de habilitar el inicio de sesión para los usuarios con una cuenta de SwissID en Azure AD B2C, debe crear una aplicación. Para crear la aplicación de SwissID, siga estos pasos:
Póngase en contacto con el soporte técnico de asociado comercial de SwissID.
Después de registrarse con SwissID, proporcione información sobre el inquilino de Azure AD B2C:
Clave Nota URI de redireccionamiento Proporcione el URI de https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp
. Si usa un dominio personalizado, escribahttps://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp
. Reemplaceyour-tenant-name
por el nombre del inquilino, yyour-domain-name
por el dominio personalizado.Método de autenticación de punto de conexión de token client_secret_post
Una vez registrada la aplicación, SwissID proporcionará la información siguiente. Use esta información para configurar el flujo de usuario o la directiva personalizada.
Clave Nota Entorno Punto de conexión de configuración conocido de OpenId de SwissID. Por ejemplo, https://login.sandbox.pre.swissid.ch/idp/oauth2/.well-known/openid-configuration
.Id. de cliente Id. de cliente de SwissID. Por ejemplo: 11111111-2222-3333-4444-555555555555
.Contraseña Secreto de cliente de SwissID.
Configuración de SwissID como proveedor de identidades
Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar a su inquilino de Azure AD B2C desde el menú Directorios y suscripciones.
Elija Todos los servicios en la esquina superior izquierda de Azure Portal, y busque y seleccione Azure AD B2C.
Seleccione Proveedores de identidades y luego Nuevo proveedor de OpenID Connect.
Escriba un nombre. Por ejemplo, escriba SwissID.
En URL de metadatos, escriba la URL del punto de conexión de configuración conocido de OpenId de SwissID. Por ejemplo:
https://login.sandbox.pre.swissid.ch/idp/oauth2/.well-known/openid-configuration
En Id. de cliente, escriba el Id. de cliente de SwissID.
En Secreto de cliente, escriba el secreto de cliente de SwissID.
En Ámbito, escriba el valor de
openid profile email
.Deje los valores predeterminados para Tipo de respuestay Modo de respuesta.
(Opcional) En Sugerencia de dominio, escriba
swissid.com
. Para más información, consulte Configuración de inicio de sesión directo con Azure Active Directory B2C.En Asignación de notificaciones del proveedor de identidades, seleccione las siguientes notificaciones:
- Id. de usuario: sub
- Nombre propio: given_name
- Apellido: family_name
- Correo electrónico: email
Seleccione Guardar.
Incorporación del proveedor de identidades de SwissID a un flujo de usuario
En este punto, se ha configurado el proveedor de identidades de SwissID, pero aún no está disponible en ninguna de las páginas de inicio de sesión. Para agregar el proveedor de identidades de SwissID a un flujo de usuario, haga lo siguiente:
- En el inquilino de Azure AD B2C, seleccione Flujos de usuario.
- Haga clic en el flujo de usuario que quiere agregar al proveedor de identidades de SwissID.
- En Proveedores de identidades sociales, seleccione SwissID.
- Seleccione Guardar.
- Para probar la directiva, seleccione Ejecutar flujo de usuario.
- En Aplicación, seleccione la aplicación web denominada testapp1 que registró anteriormente. La dirección URL de respuesta debe mostrar
https://jwt.ms
. - Seleccione el botón Ejecutar flujo de usuario.
- En la página de registro o de inicio de sesión, seleccione SwissID para iniciar sesión con la cuenta de SwissID.
Si el proceso de inicio de sesión se completa correctamente, el explorador se redirige a https://jwt.ms
, que muestra el contenido del token devuelto por Azure AD B2C.
Creación de una clave de directiva
Debe almacenar el secreto de cliente que recibió de SwissID en el inquilino de Azure AD B2C.
- Inicie sesión en Azure Portal.
- Asegúrese de que usa el directorio que contiene el inquilino de Azure AD B2C. Seleccione el filtro Directorio y suscripciones del menú superior y elija el directorio que contiene el inquilino.
- Elija Todos los servicios en la esquina superior izquierda de Azure Portal, y busque y seleccione Azure AD B2C.
- En la página de introducción, seleccione Identity Experience Framework.
- Seleccione Claves de directiva y luego Agregar.
- En Opciones, elija
Manual
. - Escriba un nombre para la clave de directiva. Por ejemplo,
SwissIDSecret
. Se agregará el prefijoB2C_1A_
automáticamente al nombre de la clave. - En Secreto, escriba el secreto de cliente de SwissID.
- En Uso de claves, seleccione
Signature
. - Haga clic en Crear.
Configuración de SwissID como proveedor de identidades
Para permitir que los usuarios inicien sesión con una cuenta de SwissID, deberá definir la cuenta como proveedor de notificaciones con el que Azure AD B2C pueda comunicarse mediante un punto de conexión. El punto de conexión proporciona un conjunto de notificaciones que Azure AD B2C usa para comprobar que un usuario concreto se ha autenticado.
Para definir una cuenta de SwissID como proveedor de notificaciones, agréguela al elemento ClaimsProvider en el archivo de extensión de la directiva.
Abra el archivo TrustFrameworkExtensions.xml.
Busque el elemento ClaimsProviders. Si no existe, agréguelo debajo del elemento raíz.
Agregue un nuevo elemento ClaimsProvider tal como se muestra a continuación:
<ClaimsProvider> <Domain>SwissID.com</Domain> <DisplayName>SwissID</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="SwissID-OpenIdConnect"> <DisplayName>SwissID</DisplayName> <Protocol Name="OpenIdConnect" /> <Metadata> <Item Key="METADATA">https://login.sandbox.pre.swissid.ch/idp/oauth2/.well-known/openid-configuration</Item> <Item Key="client_id">Your Swiss client ID</Item> <Item Key="response_types">code</Item> <Item Key="scope">openid profile email</Item> <Item Key="response_mode">form_post</Item> <Item Key="HttpBinding">POST</Item> <Item Key="UsePolicyInRedirectUri">false</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_SwissIDSecret" /> </CryptographicKeys> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" /> <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" /> <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" /> <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" /> <OutputClaim ClaimTypeReferenceId="email" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" /> <OutputClaimsTransformation ReferenceId="CreateDisplayName" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>
En client_id, establezca el Id. de cliente de SwissID.
Guarde el archivo.
Adición de un recorrido del usuario
En este momento, el proveedor de identidades ya se ha configurado, pero no está disponible en ninguna de las pantallas de inicio de sesión. Si no tiene su propio recorrido del usuario personalizado, cree un duplicado de un recorrido del usuario de la plantilla existente; de lo contrario, continúe con el paso siguiente.
- Abra el archivo TrustFrameworkBase.xml del paquete de inicio.
- Busque y copie todo el contenido del elemento UserJourney que incluye
Id="SignUpOrSignIn"
. - Abra el archivo TrustFrameworkExtensions.xml y busque el elemento UserJourneys. Si el elemento no existe, agréguelo.
- Pegue todo el contenido del elemento UserJourney que ha copiado como elemento secundario del elemento UserJourneys.
- Cambie el identificador del recorrido del usuario. Por ejemplo,
Id="CustomSignUpSignIn"
.
Adición del proveedor de identidades a un recorrido del usuario
Ahora que tiene un recorrido del usuario, agregue el nuevo proveedor de identidades al recorrido del usuario. En primer lugar, agregue un botón de inicio de sesión y, después, vincule el botón a una acción. La acción es el perfil técnico que creó anteriormente.
Busque el elemento del paso de orquestación que incluye
Type="CombinedSignInAndSignUp"
oType="ClaimsProviderSelection"
en el recorrido del usuario. Normalmente es el primer paso de orquestación. El elemento ClaimsProviderSelections contiene una lista de proveedores de identidades con los que un usuario puede iniciar sesión. El orden de los elementos controla el orden de los botones de inicio de sesión que se presentan al usuario. Agregue un elemento XML ClaimsProviderSelection. Establezca el valor de TargetClaimsExchangeId en un nombre descriptivo.En el paso de orquestación siguiente, agregue un elemento ClaimsExchange. Establezca el Id en el valor del identificador de intercambio de notificaciones de destino. Actualice el valor de TechnicalProfileReferenceId al del identificador del perfil técnico que creó anteriormente.
En el siguiente código XML se muestran los dos primeros pasos de orquestación de un recorrido del usuario con el proveedor de identidades:
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="SwissIDExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="SwissIDExchange" TechnicalProfileReferenceId="SwissID-OpenIdConnect" />
</ClaimsExchanges>
</OrchestrationStep>
Configuración de la directiva de usuario de confianza.
La directiva de usuario de confianza, por ejemplo SignUpSignIn.xml, especifica el recorrido del usuario que ejecutará Azure AD B2C. Busque el elemento DefaultUserJourney en el usuario de confianza. Actualice ReferenceId para que coincida con el identificador del recorrido del usuario, en el que agregó el proveedor de identidades.
En el ejemplo siguiente, para el recorrido de usuario CustomSignUpSignIn
, el ReferenceId está establecido en CustomSignUpSignIn
:
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
Carga de la directiva personalizada
- Inicie sesión en Azure Portal.
- Seleccione el icono Directorio y suscripción en la barra de herramientas del portal y, luego, elija el directorio que contiene el inquilino de Azure AD B2C.
- En Azure Portal, busque y seleccione Azure AD B2C.
- En Directivas, seleccione Identity Experience Framework.
- Seleccione Cargar directiva personalizada y, a continuación, cargue los dos archivos de directivas que ha cambiado, en el siguiente orden: la directiva de extensiones, por ejemplo
TrustFrameworkExtensions.xml
, luego la directiva de usuarios de confianza, comoSignUpSignIn.xml
.
Prueba de la directiva personalizada
- Seleccione la directiva de usuarios de confianza, por ejemplo
B2C_1A_signup_signin
. - En Aplicación, seleccione la aplicación web que registró anteriormente. La dirección URL de respuesta debe mostrar
https://jwt.ms
. - Seleccione el botón Ejecutar ahora.
- En la página de registro o de inicio de sesión, seleccione SwissID para iniciar sesión con la cuenta de SwissID.
Si el proceso de inicio de sesión se completa correctamente, el explorador se redirige a https://jwt.ms
, que muestra el contenido del token devuelto por Azure AD B2C.
Paso a producción
IdP de SwissID proporciona entornos de preproducción y producción. La configuración descrita en este artículo usa el entorno de preproducción. Para usar el entorno de producción, siga estos pasos:
- Póngase en contacto con el soporte técnico de SwissID para obtener un entorno de producción.
- Actualice el flujo de usuario o la directiva personalizada con el URI del punto de conexión de configuración conocido.
Pasos siguientes
Obtenga información sobre cómo pasar el token de SwissID a la aplicación.