Configuración de la suscripción y del inicio de sesión con una cuenta Microsoft mediante Azure Active Directory B2C

Antes de comenzar, use el selector Elección de un tipo de directiva para elegir el tipo de directiva que va a configurar. Azure Active Directory B2C ofrece dos métodos para definir el modo en que los usuarios interactúan con las aplicaciones: por medio de flujos de usuario predefinidos o de directivas personalizadas totalmente configurables. Los pasos necesarios en este artículo son diferentes para cada método.

Nota:

En Azure Active Directory B2C, las directivas personalizadas se han diseñado principalmente para abordar escenarios complejos. Para la mayoría de los escenarios, se recomienda usar flujos de usuario integrados. Si no lo ha hecho, obtenga información sobre el paquete de inicio de directivas personalizadas en Introducción a las directivas personalizadas en Active Directory B2C.

Requisitos previos

• Cree un flujo de usuario para que los usuarios se registren e inicien sesión en la aplicación.
• Registre una aplicación web.

• Siga los pasos que se describen en Tutorial: Creación de flujos de usuario y directivas personalizadas en Azure Active Directory B2C.
• Registre una aplicación web.

Creación de una aplicación de cuenta Microsoft

Para habilitar el inicio de sesión para los usuarios con una cuenta de Microsoft en Azure Active Directory B2C (Azure AD B2C), tiene que crear una aplicación en Azure Portal. Para más información, consulte Registro de una aplicación con la plataforma de identidad de Microsoft. Si todavía no tiene una cuenta Microsoft, puede obtenerla en https://www.live.com/.

1. Inicie sesión en Azure Portal.

2. Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar al inquilino del Microsoft Entra ID desde el menú Directorios y suscripciones.

3. Elija Todos los servicios en la esquina superior izquierda de Azure Portal, y busque y seleccione Registros de aplicaciones.

4. Seleccione Nuevo registro.

5. Escriba el nombre de la aplicación. Por ejemplo, MSAapp1.

6. En Tipos de cuenta compatibles, seleccione Cuentas Microsoft personales (por ejemplo, Skype o Xbox).

   Para más información sobre las distintas opciones de tipo de cuenta, consulte Inicio rápido: Registro de una aplicación en la plataforma de identidad de Microsoft.

7. En URI de redirección (opcional) , seleccione Web e introduzca https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Si usa un dominio personalizado, escriba https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Reemplaza your-tenant-name por el nombre del inquilino de Azure AD B2C y your-domain-name por el dominio personalizado.

8. Seleccione Registrar.

9. Registre el Id. de aplicación (cliente) que se muestra en la página de información general de la aplicación. Necesitará el id. de cliente al configurar el proveedor de identidades en la siguiente sección.

10. Seleccione Certificates & secrets (Certificados y secretos).

11. Haga clic en Nuevo secreto de cliente.

12. Escriba una Descripción del secreto, por ejemplo, contraseña de la aplicación 1 y haga clic en Agregar.

13. Anote la contraseña de la aplicación que se muestra en la columna Value. Necesitará el secreto de cliente al configurar el proveedor de identidades en la siguiente sección.

Configuración de Microsoft como proveedor de identidades

1. Inicie sesión en Azure Portal como administrador global del inquilino de Azure AD B2C.
2. Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar al inquilino del Azure AD B2C desde el menú Directorios y suscripciones.
3. Elija Todos los servicios en la esquina superior izquierda de Azure Portal, busque y seleccione Azure AD B2C.
4. Seleccione Proveedores de identidades y, luego, Cuenta Microsoft.
5. Escriba un nombre. Por ejemplo, MSA.
6. En id. de cliente, escriba el id. de aplicación (cliente) de la aplicación Microsoft Entra que ha creado anteriormente.
7. En Secreto de cliente, escriba el secreto de cliente que ha anotado.
8. Seleccione Guardar.

Adición del proveedor de identidades de Microsoft a un flujo de usuario

En este punto se ha configurado el proveedor de identidades de Microsoft, pero aún no está disponible en ninguna de las páginas de inicio de sesión. Para agregar el proveedor de identidades de Microsoft a un flujo de usuario:

1. En el inquilino de Azure AD B2C, seleccione Flujos de usuario.
2. Haga clic en el flujo de usuario donde quiera agregar el proveedor de identidades de Microsoft.
3. En Proveedores de identidades sociales, seleccione Cuenta de Microsoft.
4. Seleccione Guardar.
5. Para probar la directiva, seleccione Ejecutar flujo de usuario.
6. En Aplicación, seleccione la aplicación web denominada testapp1 que registró anteriormente. La dirección URL de respuesta debe mostrar https://jwt.ms.
7. Seleccione el botón Ejecutar flujo de usuario.
8. En la página de registro o de inicio de sesión, seleccione Microsoft para iniciar sesión con la cuenta de Microsoft.

Si el proceso de inicio de sesión se completa correctamente, el explorador se redirige a https://jwt.ms, que muestra el contenido del token devuelto por Azure AD B2C.

Configuración de notificaciones opcionales

Si quiere obtener las notificaciones family_name y given_namede Microsoft Entra ID, puede configurar notificaciones opcionales para la aplicación en la interfaz de usuario de Azure Portal o el manifiesto de aplicación. Para obtener más información, consulteCómo proporcionar notificaciones opcionales a la aplicación de Microsoft Entra.

1. Inicie sesión en Azure Portal. Busque y seleccione Microsoft Entra ID.
2. En la sección Administrar, seleccione Registros de aplicaciones.
3. Seleccione en la lista la aplicación para la que desea configurar notificaciones opcionales.
4. En la sección Administrar, seleccione Configuración del token (versión preliminar) .
5. Seleccione Agregar notificación opcional.
6. Seleccione el tipo de token que desea configurar.
7. Seleccione las notificaciones opcionales que va a agregar.
8. Haga clic en Agregar.

Creación de una clave de directiva

Ahora que ha creado la aplicación en su inquilino Microsoft Entra, necesita almacenar el secreto de cliente de esa aplicación en el inquilino Azure AD B2C.

1. Inicie sesión en Azure Portal.
2. Si tiene acceso a varios inquilinos, seleccione el icono Configuración en el menú superior para cambiar a su inquilino de Azure AD B2C desde el menú Directorios y suscripciones.
3. Elija Todos los servicios en la esquina superior izquierda de Azure Portal, y busque y seleccione Azure AD B2C.
4. En la página de introducción, seleccione Identity Experience Framework.
5. Seleccione Claves de directiva y luego Agregar.
6. En Opciones, elija Manual.
7. Escriba un nombre para la clave de directiva. Por ejemplo, MSASecret. Se agregará el prefijo B2C_1A_ automáticamente al nombre de la clave.
8. En Secreto, escriba el secreto de cliente que anotó en la sección anterior.
9. En Uso de claves, seleccione Signature.
10. Haga clic en Crear.

Configuración de Microsoft como proveedor de identidades

Para permitir que los usuarios inicien sesión con una cuenta de Microsoft, deberá definir la cuenta como un proveedor de notificaciones con el que Azure AD B2C pueda comunicarse mediante un punto de conexión. El punto de conexión proporciona un conjunto de notificaciones que Azure AD B2C usa para comprobar que un usuario concreto se ha autenticado.

Puede definir Microsoft Entra ID como un proveedor de notificaciones agregando el elemento ClaimsProvider en el archivo de extensión de la directiva.

1. Abra el archivo de directiva TrustFrameworkExtensions.xml.

2. Busque el elemento ClaimsProviders. Si no existe, agréguelo debajo del elemento raíz.

3. Agregue un nuevo elemento ClaimsProvider tal como se muestra a continuación:

   <ClaimsProvider>
     <Domain>live.com</Domain>
     <DisplayName>Microsoft Account</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="MSA-MicrosoftAccount-OpenIdConnect">
         <DisplayName>Microsoft Account</DisplayName>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="ProviderName">https://login.live.com</Item>
           <Item Key="METADATA">https://login.live.com/.well-known/openid-configuration</Item>
           <Item Key="response_types">code</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="scope">openid profile email</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="client_id">Your Microsoft application client ID</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_MSASecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
           <OutputClaim ClaimTypeReferenceId="email" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Reemplace el valor de client_id por el Id. de aplicación (cliente) de la aplicación Microsoft Entra que registró anteriormente.

5. Guarde el archivo.

Ahora ya configuró su directiva para que Azure AD B2C sepa cómo comunicarse con su aplicación de cuenta Microsoft en Microsoft Entra ID.

Adición de un recorrido del usuario

En este momento, el proveedor de identidades ya se ha configurado, pero no está disponible en ninguna de las pantallas de inicio de sesión. Si no tiene su propio recorrido del usuario personalizado, cree un duplicado de un recorrido del usuario de la plantilla existente; de lo contrario, continúe con el paso siguiente.

1. Abra el archivo TrustFrameworkBase.xml del paquete de inicio.
2. Busque y copie todo el contenido del elemento UserJourney que incluye Id="SignUpOrSignIn".
3. Abra el archivo TrustFrameworkExtensions.xml y busque el elemento UserJourneys. Si el elemento no existe, agréguelo.
4. Pegue todo el contenido del elemento UserJourney que ha copiado como elemento secundario del elemento UserJourneys.
5. Cambie el identificador del recorrido del usuario. Por ejemplo, Id="CustomSignUpSignIn".

Adición del proveedor de identidades a un recorrido del usuario

Ahora que tiene un recorrido del usuario, agregue el nuevo proveedor de identidades al recorrido del usuario. En primer lugar, agregue un botón de inicio de sesión y, después, vincule el botón a una acción. La acción es el perfil técnico que creó anteriormente.

1. Busque el elemento del paso de orquestación que incluye Type="CombinedSignInAndSignUp" o Type="ClaimsProviderSelection"en el recorrido del usuario. Normalmente es el primer paso de orquestación. El elemento ClaimsProviderSelections contiene una lista de proveedores de identidades con los que un usuario puede iniciar sesión. El orden de los elementos controla el orden de los botones de inicio de sesión que se presentan al usuario. Agregue un elemento XML ClaimsProviderSelection. Establezca el valor de TargetClaimsExchangeId en un nombre descriptivo.

2. En el paso de orquestación siguiente, agregue un elemento ClaimsExchange. Establezca el Id en el valor del identificador de intercambio de notificaciones de destino. Actualice el valor de TechnicalProfileReferenceId al del identificador del perfil técnico que creó anteriormente.

En el siguiente código XML se muestran los dos primeros pasos de orquestación de un recorrido del usuario con el proveedor de identidades:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="MicrosoftAccountExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="MicrosoftAccountExchange" TechnicalProfileReferenceId="MSA-MicrosoftAccount-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Configuración de la directiva de usuario de confianza.

La directiva de usuario de confianza, por ejemplo SignUpSignIn.xml, especifica el recorrido del usuario que ejecutará Azure AD B2C. Busque el elemento DefaultUserJourney en el usuario de confianza. Actualice ReferenceId para que coincida con el identificador del recorrido del usuario, en el que agregó el proveedor de identidades.

En el ejemplo siguiente, para el recorrido de usuario CustomSignUpSignIn, el ReferenceId está establecido en CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Carga de la directiva personalizada

1. Inicie sesión en Azure Portal.
2. Seleccione el icono Directorio y suscripción en la barra de herramientas del portal y, luego, elija el directorio que contiene el inquilino de Azure AD B2C.
3. En Azure Portal, busque y seleccione Azure AD B2C.
4. En Directivas, seleccione Identity Experience Framework.
5. Seleccione Cargar directiva personalizada y, a continuación, cargue los dos archivos de directivas que ha cambiado, en el siguiente orden: la directiva de extensiones, por ejemplo TrustFrameworkExtensions.xml, luego la directiva de usuarios de confianza, como SignUpSignIn.xml.

Prueba de la directiva personalizada

1. Seleccione la directiva de usuarios de confianza, por ejemplo B2C_1A_signup_signin.
2. En Aplicación, seleccione la aplicación web que registró anteriormente. La dirección URL de respuesta debe mostrar https://jwt.ms.
3. Seleccione el botón Ejecutar ahora.
4. En la página de registro o de inicio de sesión, seleccione Microsoft para iniciar sesión con la cuenta de Microsoft.

Si el proceso de inicio de sesión se completa correctamente, el explorador se redirige a https://jwt.ms, que muestra el contenido del token devuelto por Azure AD B2C.