Tutorial: Configuración de Azure Active Directory B2C con BlokSec para la autenticación sin contraseña

Importante

A partir del 1 de mayo de 2025, Azure AD B2C ya no estará disponible para la compra por parte de nuevos clientes. Obtenga más información en nuestras preguntas más frecuentes.

Antes de empezar

Azure Active Directory B2C tiene dos métodos para definir interacciones de usuario con aplicaciones: flujos de usuario predefinidos o directivas personalizadas configurables.

Nota:

En Azure Active Directory B2C, las directivas personalizadas abordan principalmente escenarios complejos. En la mayoría de los escenarios, se recomiendan flujos de usuario integrados.
Vea Introducción a los flujos de usuario y las directivas personalizadas.

Azure AD B2C y BlokSec

Aprenda a integrar la autenticación de Azure Active Directory B2C (Azure AD B2C) con BlokSec Decentralized Identity Router. La solución BlokSec simplifica el inicio de sesión de usuario con autenticación sin contraseña y autenticación multifactor sin token. La solución protege a los clientes frente a ataques relacionados con la identidad, como el relleno de contraseñas, la suplantación de identidad y el man-in-the-middle.

Para más información, vaya a bloksec.com: BlokSec Technologies Inc.

Descripción del escenario

La integración de BlokSec incluye los siguientes componentes:

• Azure AD B2C : servidor de autorización y proveedor de identidades (IdP) para aplicaciones B2C
• Enrutador de identidad descentralizada de BlokSec : puerta de enlace para servicios que aplican BlokSec DIaaS para enrutar las solicitudes de autenticación y autorización a las aplicaciones del proveedor de identidades personales (PIdP) de usuario
  • Es un proveedor de identidades de OpenID Connect (OIDC) en Azure AD B2C
• Aplicación móvil basada en SDK de BlokSec — PIdP de usuario en el escenario de autenticación descentralizada.
  • Si no usa el SDK de BlokSec, vaya a Google Play para el yuID de BlokSec gratuito.

En el diagrama de arquitectura siguiente se muestra el flujo de registro e inicio de sesión en la implementación de la solución BlokSec.

1. El usuario inicia sesión en una aplicación de Azure AD B2C y se reenvía a la directiva de inicio de sesión y registro de Azure AD B2C
2. Azure AD B2C redirige al usuario al enrutador de identidad descentralizada de BlokSec mediante el flujo de código de autorización de OIDC.
3. El enrutador BlokSec envía una notificación push a la aplicación móvil de usuario con detalles de solicitud de autenticación y autorización.
4. El usuario revisa el desafío de autenticación. Se solicita a un usuario aceptado biometría, como la huella digital o el examen facial.
5. La respuesta se firma digitalmente con la clave digital única del usuario. La respuesta de autenticación proporciona prueba de posesión, presencia y consentimiento. La respuesta vuelve al enrutador.
6. El enrutador comprueba la firma digital en la clave pública única inmutable del usuario almacenada en un libro de contabilidad distribuido. El enrutador responde a Azure AD B2C con el resultado de la autenticación.
7. Se le concede o se le deniega el acceso al usuario.

Habilitación de BlokSec

1. Vaya a bloksec.com y seleccione Solicitar un inquilino de demostración .
2. En el campo de mensaje, indique que desea integrar con Azure AD B2C.
3. Descargue e instale la aplicación móvil BlokSec yuID gratuita.
4. Una vez que se ha preparado el entorno de demostración, llega un correo electrónico.
5. En el dispositivo móvil con la aplicación BlokSec, seleccione el vínculo para registrar la cuenta de administrador con la aplicación yuID.

Prerrequisitos

Para empezar, necesita lo siguiente:

• Una suscripción a Azure
  • Si no tiene una, obtenga una cuenta de Azfree.
• Un inquilino de Azure AD B2C vinculado a la suscripción de Azure
• Una demostración de BlokSec
• Registro de una aplicación web
  • Tutorial: Registro de una aplicación web en Azure AD B2C

Consulte también Tutorial: Creación de flujos de usuario y directivas personalizadas en Azure AD B2C

Creación de un registro de aplicación en BlokSec

En el correo electrónico de registro de cuenta de BlokSec, busque el vínculo a la consola de administración de BlokSec.

1. Inicie sesión en la consola de administración de BlokSec.
2. En el panel principal, seleccione Agregar aplicación > crear personalizada.
3. En Nombre, escriba Azure AD B2C o un nombre de aplicación.
4. En Tipo de SSO, seleccione OIDC.
5. En URI de logotipo, escriba un vínculo a la imagen del logotipo.
6. Para los URI de redirección, utilice https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp. Por ejemplo: https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp. Para un dominio personalizado, escriba https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
7. Para URI de redireccionamiento posteriores al cierre de sesión, escriba https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/{policy}/oauth2/v2.0/logout.
8. Seleccione la aplicación de Azure AD B2C creada para abrir la configuración de la aplicación.
9. Seleccione Generar secreto de aplicación.

Más información: Enviar una solicitud de cierre de sesión.

Nota:

Necesita el identificador de aplicación y el secreto de aplicación para configurar el proveedor de identidades (IdP) en Azure AD B2C.

Incorporación de un nuevo proveedor de identidades en Azure AD B2C

Para obtener las instrucciones siguientes, use el directorio con el inquilino de Azure AD B2C.

1. Inicie sesión en Azure Portal como al menos el administrador de directivas de IEF de B2C del inquilino de Azure AD B2C.
2. En la barra de herramientas del portal, seleccione Directorios y suscripciones.
3. En la página Configuración del portal, Directorios y suscripciones , en la lista Nombre del directorio, busque el directorio de Azure AD B2C.
4. Seleccione Cambiar.
5. En la esquina superior izquierda de Azure Portal, seleccione Todos los servicios.
6. Busque y seleccione Azure AD B2C.
7. Vaya al Panel>Azure Active Directory B2C>Proveedores de identidades.
8. Seleccione Nuevo proveedor de OpenID Connect.
9. Selecciona Agregar.

Configuración de un proveedor de identidades

1. Selección del tipo > de proveedor de identidades OpenID Connect
2. En Nombre, escriba BlokSec yuID Passwordless u otro nombre.
3. En Dirección URL de metadatos, escriba https://api.bloksec.io/oidc/.well-known/openid-configuration.
4. En IDV de cliente, escriba el identificador de la aplicación desde la interfaz de usuario de administrador de BlokSec.
5. En Secreto de cliente, escriba el secreto de aplicación desde la interfaz de usuario de administrador de BlokSec.
6. En Ámbito, seleccione Perfil de correo electrónico de OpenID.
7. En Tipo de respuesta, seleccione Código.
8. En Sugerencia de dominio, seleccione yuID.
9. Selecciona Aceptar.
10. Seleccione Asignar las notificaciones de este proveedor de identidades.
11. En Id. de usuario, seleccione sub.
12. En Nombre para mostrar, seleccione Nombre.
13. En Nombre propio, use given_name.
14. Para Apellidos, utilice nombre_de_familia.
15. En Email, use el correo electrónico.
16. Haga clic en Guardar.

Registro de usuarios

1. Inicie sesión en la consola de administración de BlokSec con la credencial proporcionada.
2. Vaya a la aplicación de Azure AD B2C creada anteriormente.
3. En la parte superior derecha, seleccione el icono de engranaje .
4. Seleccione Crear cuenta.
5. En Crear cuenta, escriba información de usuario. Anote el nombre de la cuenta.
6. Seleccione Enviar.

El usuario recibe un correo electrónico de registro de cuenta en la dirección de correo electrónico proporcionada. Indique al usuario que seleccione el vínculo de registro en el dispositivo móvil con la aplicación yuID blokSec.

Creación de una directiva de flujo de usuario

Para obtener las instrucciones siguientes, asegúrese de que BlokSec es un nuevo proveedor de identidades OIDC (IdP).

1. En el inquilino de Azure AD B2C, en Directivas, seleccione Flujos de usuario.
2. Seleccione Nuevo flujo de usuario.
3. Seleccione Registrarse e iniciar sesión>Versión>Crear.
4. Escriba un nombre de directiva.
5. En la sección proveedores de identidades, seleccione el proveedor de identidades blokSec creado.
6. En Cuenta local, seleccione Ninguno. Esta acción deshabilita el correo electrónico y la autenticación basada en contraseña.
7. Seleccione Ejecutar flujo de usuario.
8. En el formulario, escriba la dirección URL de respuesta, como https://jwt.ms.
9. El explorador se redirige a la página de inicio de sesión de BlokSec.
10. Escriba el nombre de cuenta del registro de usuario.
11. El usuario recibe una notificación push en el dispositivo móvil con la aplicación yuID BlokSec.
12. El usuario abre la notificación y aparece el desafío de autenticación.
13. Si se acepta la autenticación, el explorador redirige al usuario a la dirección URL de respuesta.

Nota:

En Azure Active Directory B2C, las directivas personalizadas abordan principalmente escenarios complejos. En la mayoría de los escenarios, se recomiendan flujos de usuario integrados.
Vea Introducción a los flujos de usuario y las directivas personalizadas.

Creación de una clave de directiva

Almacene el secreto de cliente que anotó en el inquilino de Azure AD B2C. Para obtener las instrucciones siguientes, use el directorio con el inquilino de Azure AD B2C.

1. Inicie sesión en Azure Portal.
2. En la barra de herramientas del portal, seleccione Directorios y suscripciones.
3. En la página Configuración del portal, Directorios y suscripciones , en la lista Nombre del directorio, busque el directorio de Azure AD B2C.
4. Seleccione Cambiar.
5. En la esquina superior izquierda de Azure Portal, seleccione Todos los servicios.
6. Busque y seleccione Azure AD B2C.
7. En la página de introducción, seleccione Identity Experience Framework.
8. Seleccione Claves de política.
9. Selecciona Agregar.
10. En Opciones, elija Manual.
11. Escriba un nombre de directiva para la clave de directiva. Por ejemplo: BlokSecAppSecret. El prefijo B2C_1A_ se agrega al nombre de clave.
12. En Secreto, escriba el secreto de cliente que anotó.
13. En Uso de claves, seleccione Firma.
14. Selecciona Crear.

Configuración de BlokSec como proveedor de identidades

Para permitir que los usuarios inicien sesión con la identidad descentralizada de BlokSec, defina BlokSec como proveedor de declaraciones. Esta acción garantiza que Azure AD B2C se comunique con él a través de un punto de conexión. Azure AD B2C usa notificaciones de punto de conexión para comprobar que los usuarios autentican la identidad mediante una prueba biométrica, como la huella digital o el examen facial.

Para definir BlokSec como proveedor de notificaciones, agréguelo al elemento ClaimsProvider en el archivo de extensión de directiva.

1. Abra TrustFrameworkExtensions.xml.

2. Busque el elemento ClaimsProviders. Si el elemento no aparece, agréguelo bajo el elemento raíz.

3. Para agregar un nuevo ClaimsProvider:

   <ClaimsProvider>
     <Domain>bloksec</Domain>
     <DisplayName>BlokSec</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="BlokSec-OpenIdConnect">
         <DisplayName>BlokSec</DisplayName>
         <Description>Login with your BlokSec decentriled identity</Description>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="METADATA">https://api.bloksec.io/oidc/.well-known/openid-configuration</Item>
           <!-- Update the Client ID below to the BlokSec Application ID -->
           <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile email</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="DiscoverMetadataByTokenIssuer">true</Item>
           <Item Key="ValidTokenIssuerPrefixes">https://api.bloksec.io/oidc</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_BlokSecAppSecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Establezca client_id en el identificador de aplicación del registro de la aplicación.

5. Haga clic en Guardar.

Adición de un recorrido del usuario

Siga las instrucciones siguientes si el proveedor de identidades está configurado, pero no en una página de inicio de sesión. Si no tiene un recorrido de usuario personalizado, copie un recorrido de usuario de plantilla.

1. En el paquete de inicio, abra el TrustFrameworkBase.xml archivo.
2. Busque y copie el contenido del elemento UserJourneys que incluye ID=SignUpOrSignIn.
3. Abra TrustFrameworkExtensions.xml.
4. Busque el elemento UserJourneys . Si el elemento no aparece, agregue uno.
5. Pegue el contenido del elemento UserJourney que copió como elemento secundario del elemento UserJourneys .
6. Cambie el nombre del identificador de recorrido del usuario. Por ejemplo, ID=CustomSignUpSignIn.

Adición del proveedor de identidades a un recorrido del usuario

Si tiene un recorrido del usuario, agréguele el nuevo proveedor de identidades. En primer lugar, agregue un botón de inicio de sesión y, a continuación, vincule a una acción, que es el perfil técnico que creó.

1. En el recorrido del usuario, busque el elemento del paso de orquestación que incluya Tipo=CombinedSignInAndSignUp o Tipo=ClaimsProviderSelection. Normalmente es el primer paso de orquestación. El elemento ClaimsProviderSelections contiene una lista de proveedores de identidades para el inicio de sesión de usuario. El orden de los elementos controla el orden de los botones de inicio de sesión que ve el usuario.
2. Agregue un elemento XML ClaimsProviderSelection.
3. Establezca el valor de TargetClaimsExchangeId en un nombre descriptivo.
4. En el paso de orquestación siguiente, agregue un elemento ClaimsExchange.
5. Establezca el id. en el valor del id. de intercambio de notificaciones de destino.
6. Actualice el valor de TechnicalProfileReferenceId al identificador del perfil técnico que creó.

En el siguiente XML se muestran los dos primeros pasos de orquestación del recorrido del usuario con el proveedor de identidades:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="BlokSecExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="BlokSecExchange" TechnicalProfileReferenceId="BlokSec-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Configuración de la directiva de usuario de confianza

La directiva de usuario de confianza, por ejemplo SignUpSignIn.xml, especifica el recorrido del usuario que ejecutará Azure AD B2C.

1. Busque el elemento DefaultUserJourney en el usuario de confianza.
2. Actualice ReferenceId para que coincida con el identificador del recorrido del usuario, en el que agregó el proveedor de identidades.

En el siguiente ejemplo, para el recorrido del usuario CustomSignUpOrSignIn, el ReferenceId se establece en CustomSignUpOrSignIn.

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Carga de la directiva personalizada

Para obtener las instrucciones siguientes, use el directorio con el inquilino de Azure AD B2C.

1. Inicie sesión en Azure Portal.
2. En la barra de herramientas del portal, seleccione directorios y suscripciones.
3. En la página Configuración del portal, Directorios y suscripciones , en la lista Nombre de directorio , busque el directorio de Azure AD B2C.
4. Seleccione Cambiar.
5. En Azure Portal, busque y seleccione Azure AD B2C.
6. En Directivas, seleccione Identity Experience Framework.
7. Seleccione Cargar directiva personalizada.
8. Cargue los dos archivos de directiva que ha cambiado en el orden siguiente:

• Política de extensión, por ejemplo TrustFrameworkExtensions.xml
• A continuación, la directiva de usuario de confianza, por ejemplo SignUpSignIn.xml

Prueba la política personalizada

1. Seleccione la directiva de usuarios de confianza, por ejemplo B2C_1A_signup_signin.
2. En Aplicación, seleccione una aplicación web que registró.
3. La dirección URL de respuesta aparece como https://jwt.ms.
4. Seleccione Ejecutar ahora.
5. En la página de registro o inicio de sesión, seleccione Google para iniciar sesión con la cuenta de Google.
6. El explorador se redirige a https://jwt.ms. Consulte el contenido del token devuelto por Azure AD B2C.

Más información : Tutorial: Registro de una aplicación web en Azure Active Directory B2C

Pasos siguientes

• Introducción a la directiva personalizada de Azure AD B2C
• Tutorial: Creación de flujos de usuario y directivas personalizadas en Azure AD B2C