Configurer l’inscription et la connexion avec un compte Microsoft à l’aide d’Azure Active Directory B2C

Avant de commencer, utilisez le sélecteur Choisir un type de stratégie pour choisir le type de stratégie que vous configurez. Azure Active Directory B2C offre deux possibilités pour définir la façon dont les utilisateurs interagissent avec vos applications : via des flux utilisateurs prédéfinis ou via des stratégies personnalisées entièrement configurables. La procédure donnée dans cet article est différente pour chaque méthode.

Notes

Dans Active Directory B2C, les stratégies personnalisées sont principalement conçues pour gérer des scénarios complexes. Pour la plupart des scénarios, nous vous recommandons de recourir à des flux d’utilisateurs intégrés. Si vous ne l’avez pas fait, découvrez le Pack de démarrage de stratégie personnalisée dans Prise en main des stratégies personnalisées dans Active Directory B2C.

Prérequis

• Créez un flux d’utilisateurs pour permettre aux utilisateurs de s’inscrire et de se connecter à votre application.
• Inscrire une application web.

• Suivez les étapes dans Bien démarrer avec les stratégies personnalisées dans Active Directory B2C
• Inscrire une application web.

Créer une application de compte Microsoft

Pour autoriser la connexion des utilisateurs avec un compte Microsoft dans Azure Active Directory B2C (Azure AD B2C), vous devez créer une application dans le portail Azure. Pour plus d’informations, consultez Inscrire une application auprès de la plateforme d’identités Microsoft. Si vous n’avez pas encore de compte Microsoft, vous pouvez en créer un sur https://www.live.com/.

1. Connectez-vous au portail Azure.

2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Microsoft Entra ID à partir du menu Répertoires + abonnements.

3. Choisissez Tous les services dans le coin supérieur gauche du portail Azure, puis recherchez et sélectionnez Inscriptions d’applications.

4. Sélectionnez Nouvelle inscription.

5. Entrez un nom pour votre application. Par exemple, MSAapp1.

6. Sous Types de comptes pris en charge, sélectionnez Comptes personnels Microsoft (par exemple, Skype, Xbox).

   Pour plus d’informations sur les différents types de compte disponibles, consultez Démarrage rapide : Inscrire une application avec la plateforme des identités Microsoft.

7. Pour URI de redirection (facultatif) , sélectionnez Web et entrez https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Si vous utilisez un domaine personnalisé, entrez https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Remplacez your-tenant-name par le nom de votre locataire Azure AD B2C et your-domain-name par le nom de votre domaine personnalisé.

8. Sélectionnez Inscrire.

9. Enregistrez l’ID d’application (client) indiqué dans la page Vue d’ensemble de l’application. Vous avez besoin de l’ID client quand vous configurez le fournisseur d’identité dans la section suivante.

10. Sélectionnez Certificats et secrets

11. Cliquez sur Nouveau secret client.

12. Entrez une Description pour le secret, par exemple Mot de passe 1 de l’application, puis cliquez sur Ajouter.

13. Enregistrez le mot de passe de l’application affiché dans la colonne Valeur. Vous avez besoin de la clé secrète client quand vous configurez le fournisseur d’identité dans la section suivante.

Configurer Microsoft en tant que fournisseur d’identité

1. Connectez-vous au portail Azure en tant qu’administrateur général de votre locataire Azure AD B2C.
2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Répertoires + abonnements.
3. Choisissez Tous les services dans le coin supérieur gauche du Portail Azure, recherchez et sélectionnez Azure Active Directory B2C.
4. Sélectionnez Fournisseurs d’identité, puis Compte Microsoft.
5. Saisissez un Nom. Par exemple, MSA.
6. Dans ID client, entrez l’ID (client) de l’application Microsoft Entra que vous avez créée précédemment.
7. Dans Clé secrète client, entrez la clé secrète client que vous avez enregistrée.
8. Sélectionnez Enregistrer.

Ajoutez un fournisseur d’identité Microsoft à un workflow d’utilisateur

À ce stade, le fournisseur d’identité Microsoft a été configuré, mais il n’est encore disponible dans aucune des pages de connexion. Pour ajouter un fournisseur d’identité Microsoft à un flux d’utilisateur :

1. Dans votre locataire Azure AD B2C, sélectionnez Flux d’utilisateur.
2. Cliquez sur le flux d’utilisateur à ajouter au fournisseur d’identité Microsoft.
3. Sous Fournisseurs d’identité sociale, sélectionnez Compte Microsoft.
4. Sélectionnez Enregistrer.
5. Pour tester votre stratégie, sélectionnez Exécuter le flux d’utilisateur.
6. Pour Application, sélectionnez l’application web testapp1 que vous avez précédemment inscrite. L’URL de réponse doit être https://jwt.ms.
7. Sélectionnez le bouton Exécuter le flux utilisateur.
8. Sur la page d'inscription ou de connexion, sélectionnez Microsoft pour vous connecter avec un compte Microsoft.

Si le processus de connexion réussit, votre navigateur est redirigé vers https://jwt.ms, qui affiche le contenu du jeton retourné par Azure AD B2C.

Configuration des revendications facultatives

Si vous souhaitez obtenir les revendications family_name et given_name à partir de Microsoft Entra ID, vous pouvez configurer des revendications facultatives pour votre application dans l’interface utilisateur du portail Azure ou dans le manifeste de l’application. Pour plus d’informations, consultez Comment fournir des revendications facultatives à votre application Microsoft Entra.

1. Connectez-vous au portail Azure. Recherchez et sélectionnez Microsoft Entra ID.
2. Dans la section Gérer, sélectionnez Inscriptions d’applications.
3. Sélectionnez dans la liste l’application pour laquelle vous souhaitez configurer des revendications facultatives.
4. Dans la section Gérer, sélectionnez Configuration de jetons (préversion) .
5. Sélectionnez Ajouter une revendication facultative.
6. Sélectionnez le type de jeton que vous souhaitez configurer.
7. Sélectionnez les revendications facultatives à ajouter.
8. Cliquez sur Add.

Création d’une clé de stratégie

Maintenant que vous avez créé l’application dans votre locataire Microsoft Entra, vous devez stocker la clé secrète client de cette application dans votre locataire Azure AD B2C.

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
3. Choisissez Tous les services dans le coin supérieur gauche du portail Azure, puis recherchez et sélectionnez Azure AD B2C.
4. Dans la page de vue d’ensemble, sélectionnez Infrastructure d’expérience d’identité.
5. Sélectionnez Clés de stratégie, puis Ajouter.
6. Pour Options, choisissez Manual.
7. Entrez un nom pour la clé de stratégie. Par exemple : MSASecret. Le préfixe B2C_1A_ est ajouté automatiquement au nom de votre clé.
8. Dans Secret, entrez la clé secrète client que vous avez notée dans la section précédente.
9. Pour Utilisation de la clé, sélectionnez Signature.
10. Cliquez sur Créer.

Configurer Microsoft en tant que fournisseur d’identité

Si vous souhaitez que les utilisateurs se connectent à l’aide d’un compte Microsoft, vous devez définir le compte en tant que fournisseur de revendications avec lequel Azure Active Directory B2C peut communiquer grâce à un point de terminaison. Le point de terminaison fournit un ensemble de revendications utilisées par Azure AD B2C pour vérifier qu’un utilisateur spécifique s’est authentifié.

Vous pouvez définir Microsoft Entra ID comme fournisseur de revendications en ajoutant l’élément ClaimsProvider au fichier d’extension de votre stratégie.

1. Ouvrez le fichier de stratégie TrustframeworkExtensions.xml.

2. Recherchez l’élément ClaimsProviders. S’il n’existe pas, ajoutez-le sous l’élément racine.

3. Ajoutez un nouveau ClaimsProvider comme suit :

   <ClaimsProvider>
     <Domain>live.com</Domain>
     <DisplayName>Microsoft Account</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="MSA-MicrosoftAccount-OpenIdConnect">
         <DisplayName>Microsoft Account</DisplayName>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="ProviderName">https://login.live.com</Item>
           <Item Key="METADATA">https://login.live.com/.well-known/openid-configuration</Item>
           <Item Key="response_types">code</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="scope">openid profile email</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
           <Item Key="client_id">Your Microsoft application client ID</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_MSASecret" />
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
           <OutputClaim ClaimTypeReferenceId="email" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Remplacez la valeur de client_id par l’ID d’application (client) de l’application Microsoft Entra que vous avez enregistré précédemment.

5. Enregistrez le fichier.

Vous avez maintenant configuré votre stratégie afin qu’Azure AD B2C sache comment communiquer avec votre application de compte Microsoft dans Microsoft Entra ID.

Ajouter un parcours utilisateur

À ce stade, le fournisseur d’identité a été configuré, mais il n’est encore disponible dans aucune des pages de connexion. Si vous n’avez pas votre propre parcours utilisateur personnalisé, créez un doublon d’un modèle de parcours utilisateur existant ; sinon, passez à l’étape suivante.

1. Ouvrez le fichier TrustFrameworkBase.xml à partir du pack de démarrage.
2. Recherchez et copiez l’intégralité du contenu de l’élément UserJourney comprenant Id="SignUpOrSignIn".
3. Ouvrez le fichier TrustFrameworkExtensions.xml, puis recherchez l’élément UserJourneys. Si l’élément n’existe pas, ajoutez-en un.
4. Collez l’intégralité du contenu de l’élément UserJourney que vous avez copié en tant qu’enfant de l’élément UserJourneys.
5. Renommez l’ID du parcours utilisateur. Par exemple : Id="CustomSignUpSignIn".

Ajoutez le fournisseur d’identité à un parcours utilisateur

Maintenant que vous disposez d’un parcours utilisateur, ajoutez-y le nouveau fournisseur d’identité. Vous ajoutez d’abord un bouton de connexion, puis vous liez le bouton à une action. L’action représente le profil technique que vous avez créé plus haut.

1. Recherchez l’élément d’étape d’orchestration comprenant Type="CombinedSignInAndSignUp" ou Type="ClaimsProviderSelection" dans le parcours utilisateur. Il s’agit généralement de la première étape d’orchestration. L’élément ClaimsProviderSelections contient une liste de fournisseurs d’identité auxquels un utilisateur peut se connecter. L’ordre des éléments détermine l’ordre des boutons de connexion présentés à l’utilisateur. Ajoutez un élément XML ClaimsProviderSelection. Définissez la valeur TargetClaimsExchangeId sur un nom convivial.

2. À la prochaine étape d’orchestration, ajoutez un élément ClaimsExchange. Définissez ID sur la valeur de l’ID d’échange des revendications cible. Mettez à jour la valeur de TechnicalProfileReferenceId sur l’ID du profil technique que vous avez créé précédemment.

Le code XML suivant montre les deux premières étapes d’orchestration d’un parcours utilisateur avec le fournisseur d’identité :

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="MicrosoftAccountExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="MicrosoftAccountExchange" TechnicalProfileReferenceId="MSA-MicrosoftAccount-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Configurer la stratégie de partie de confiance

La stratégie de partie de confiance, par exemple SignUpSignIn.xml, spécifie le parcours utilisateur à partir duquel Azure AD B2C s’exécutera. Recherchez l’élément DefaultUserJourney dans la partie de confiance. Mettez à jour la valeur ReferenceId afin qu’elle corresponde à l’ID du parcours utilisateur auquel vous avez ajouté le fournisseur d'identité.

Dans l’exemple suivant, pour le parcours utilisateur CustomSignUpSignIn, la valeur ReferenceId est définie sur CustomSignUpSignIn :

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Téléchargez la stratégie personnalisée

1. Connectez-vous au portail Azure.
2. Sélectionnez l’icône Annuaire et abonnement dans la barre d’outils du portail, puis sélectionnez l’annuaire qui contient votre locataire Azure AD B2C.
3. Dans la Portail Azure, recherchez et sélectionnez Azure AD B2C.
4. Sous Stratégies, sélectionnez Identity Experience Framework.
5. Sélectionnez Charger une stratégie personnalisée, puis chargez les deux fichiers de stratégie que vous avez modifiés, dans l’ordre suivant : la stratégie d’extension, par exemple TrustFrameworkExtensions.xml, puis la stratégie de la partie de confiance, par exemple SignUpSignIn.xml.

Tester votre stratégie personnalisée

1. Sélectionnez votre stratégie de partie de confiance, par exemple B2C_1A_signup_signin.
2. Pour Application, sélectionnez une application web que vous avez précédemment inscrite. L’URL de réponse doit être https://jwt.ms.
3. Sélectionnez le bouton Exécuter maintenant.
4. Sur la page d'inscription ou de connexion, sélectionnez Microsoft pour vous connecter avec un compte Microsoft.

Si le processus de connexion réussit, votre navigateur est redirigé vers https://jwt.ms, qui affiche le contenu du jeton retourné par Azure AD B2C.