Configurer un fournisseur OpenID Connect avec Azure AD B2C

Azure Active Directory (Azure AD) B2C est l’un des fournisseurs d’identité OpenID Connect que vous pouvez utiliser pour authentifier les visiteurs sur votre site Power Pages. Vous pouvez utiliser n’importe quel fournisseur d’identité qui est conforme à la spécification OpenID Connect.

Cet article décrit les étapes suivantes :

• Configurer Azure AD B2C dans Power Pages
• Créer une inscription d’application
• Créer des flux utilisateur
• Saisir les paramètres du site et du mot de passe dans Power Pages

Note

Les modifications des paramètres d’authentification de votre site peuvent prendre quelques minutes pour se refléter sur le site. Pour voir les modifications immédiatement, redémarrez le site dans le centre d’administration.

Configurer Azure AD B2C dans Power Pages

Définissez Azure AD B2C comme fournisseur d’identité pour votre site.

1. Dans votre site Power Pages, sélectionnez Configurer>Fournisseurs d’identité.

   Si aucun fournisseur d’identité n’apparaît, assurez-vous que Connexion externe est défini sur Activé dans les paramètres d’authentification généraux de votre site.

2. À droite de Azure Active Directory B2C, sélectionnez Autres commandes (…) >Configurer ou sélectionnez le nom du fournisseur.

3. Laissez le nom du fournisseur tel quel ou modifiez-le si vous le souhaitez.

   Le nom du fournisseur est le texte du bouton que les utilisateurs voient lorsqu’ils sélectionnent leur fournisseur d’identité sur la page de connexion.

4. Sélectionnez Suivant.

5. Sous URL de réponse, sélectionnez Copier.

6. Sélectionnez Ouvrir Azure.

   Ne fermez pas l’onglet de votre navigateur Power Pages. Vous y reviendrez bientôt.

Créer une inscription d’application

Créez un locataire pour Azure AD B2C et inscrivez une application avec l’URL de réponse de votre site comme URI de redirection.

1. Créez un client Azure AD B2C.

2. Recherchez et sélectionnez Azure AD B2C.

3. Sous Gérer, sélectionnez Inscriptions d’application.

4. Sélectionnez Nouvelle inscription.

5. Entrez un nom.

6. Sélectionnez l’un des Types de compte pris en charge qui reflète le mieux les exigences de votre organisation.

7. Sous URI de redirection, sélectionnez Web comme plateforme, puis saisissez l’URL de réponse de votre site.

   • Si vous utilisez l’URL par défaut de votre site, collez l’URL de réponse que vous avez copiée.
   • Si vous utilisez un nom de domaine personnalisé, saisissez l’URL personnalisée. Veillez à utiliser la même URL personnalisée pour l’URL de redirection dans les paramètres du fournisseur d’identité sur votre site.

8. Sélectionnez Inscrire.

9. Copiez l’ID de l’application (client).

10. Dans le volet de gauche, sous Gérer, sélectionnez Authentification.

11. Sous Octroi implicite, sélectionnez Jetons d’accès (utilisés pour les flux implicites).

12. Sélectionnez Enregistrer.

13. Configurez la compatibilité des jetons en utilisant une URL de Revendication de l’émetteur (iss) qui comprend tfp. En savoir plus sur la compatibilité des jetons.

Créer des flux utilisateur

1. Créez un flux utilisateur d’inscription et de connexion.

2. (Facultatif) Créez un flux utilisateur de réinitialisation du mot de passe.

Obtenir l’URL de l’émetteur à partir des flux utilisateur

1. Ouvrez le flux utilisateur d’inscription et de connexion que vous avez créé.

2. Accédez au locataire Azure AD B2C dans le portail Azure.

3. Sélectionner Exécuter le flux utilisateur.

4. Ouvrez l’URL de configuration OpenID Connect dans un nouvel onglet du navigateur.

   L’URL fait référence au Document de configuration du fournisseur d’identité OpenID Connect, également connu sous le nom de Point de terminaison de configuration populaire OpenID.

5. Copiez l’URL de l’Émetteur dans la barre d’adresse. N’incluez pas les guillemets. Assurez-vous que l’URL de Revendication de l’émetteur (iss) comprend tfp.

6. Ouvrez le flux utilisateur de réinitialisation du mot de passe, si vous en avez créé un, et répétez les étapes 2 à 5.

Saisir les paramètres du site et les paramètres de réinitialisation du mot de passe dans Power Pages

1. Revenez à la page Power Pages Configurer le fournisseur d’identité que vous avez quittée précédemment.

2. Sous Configurer les paramètres du site, entrez les valeurs suivantes :

   • Autorité : collez l’URL de l’émetteur que vous avez copiée.​

   • ID client : collez l’ID d’application (client) de l’application Azure AD B2C que vous avez créée.

   • URI de redirection : si votre site utilise un nom de domaine personnalisé, saisissez l’URL personnalisée ; sinon, laissez la valeur par défaut, qui devrait être l’URL de réponse de votre site.

3. Sous Paramètres de réinitialisation du mot de passe, entrez les valeurs suivantes :

   • ID de stratégie par défaut : entrez le nom du flux utilisateur d’inscription et de connexion que vous avez créé. Le nom porte le préfixe B2C_1.

   • ID de stratégie de réinitialisation du mot de passe : si vous avez créé un flux utilisateur de réinitialisation du mot de passe, entrez son nom. Le nom porte le préfixe B2C_1.

   • Émetteurs valides : entrez une liste séparée par des virgules des URL d’émetteur pour les flux utilisateur d’inscription, de connexion et de réinitialisation du mot de passe que vous avez créés.

4. (Facultatif) Développez Paramètres supplémentaires et modifiez les paramètres selon vos besoins.

5. Sélectionnez Confirmer.

Paramètres supplémentaires dans Power Pages

Les paramètres supplémentaires fournissent un contrôle plus précis sur la façon dont les utilisateurs s’authentifient auprès du fournisseur d’identité Azure AD B2C. Il n’est pas nécessaire de définir l’une de ces valeurs. Elles sont entièrement facultatives.

• Mappage des demandes d’inscription et Mappage des demandes de connexion : dans l’authentification de l’utilisateur, une revendication est une information qui décrit l’identité d’un utilisateur, comme une adresse e-mail ou une date de naissance. Lorsque vous vous connectez à une application ou à un site Web, un jeton est créé. Un jeton contient des informations sur votre identité, y compris toutes les revendications qui lui sont associées. Les jetons sont utilisés pour authentifier votre identité lorsque vous accédez à d’autres parties de l’application ou du site ou à d’autres applications et sites connectés au même fournisseur d’identité. Le Mappage des revendications est une façon de modifier les informations incluses dans un jeton. Il peut être utilisé pour personnaliser les informations disponibles pour l’application ou le site et pour contrôler l’accès aux fonctionnalités ou aux données. Le Mappage des demandes d’inscription modifie les revendications émises lorsque vous vous inscrivez à une application ou à un site. Le Mappage des demandes de connexion modifie les revendications émises lorsque vous vous connectez à une application ou à un site. En savoir plus sur les stratégies de mappage des revendications.

  • Il n’est pas nécessaire de saisir des valeurs pour ces paramètres si vous utilisez les attributs e-mail, prénom ou nom. Pour les autres attributs, saisissez une liste de paires nom logique/valeur. Saisissez-les au format field_logical_name=jwt_attribute_name, où field_logical_name est le nom logique du champ dans Power Pages et jwt_attribute_name est l’attribut avec la valeur renvoyée par le fournisseur d’identité. Ces paires sont utilisées pour mapper les valeurs de revendication (créées lors de l’inscription ou de la connexion et renvoyées par Azure AD B2C) aux attributs de l’enregistrement de contact.

    Par exemple, vous utilisez Poste (jobTitle) et Code postal (postalCode) comme Attributs utilisateur dans votre flux utilisateur. Vous souhaitez mettre à jour les champs de table Contact correspondants Poste (jobtitle) et Adresse 1 : Code postal (address1_postalcode). Dans ce cas, saisissez le mappage des revendications en tant que jobtitle=jobTitle,address1_postalcode=postalCode.

• Déconnexion externe : ce paramètre contrôle si votre site utilise la déconnexion fédérée. Avec la déconnexion fédérée, lorsque les utilisateurs se déconnectent d’une application ou d’un site, ils sont également déconnectés de toutes les applications et de tous les sites qui utilisent le même fournisseur d’identité. Par exemple, si vous vous connectez à un site à l’aide de votre compte Microsoft, puis vous vous déconnectez de votre compte Microsoft, la déconnexion fédérée garantit que vous êtes également déconnecté du site.

  • Activé : redirige les utilisateurs vers l’expérience de déconnexion fédérée lorsqu’ils se déconnectent de votre site Web.
  • Désactivé : déconnecte les utilisateurs de votre site Web uniquement.

• Mappage des contacts avec e-mail : ce paramètre détermine si les contacts sont mappés à une adresse e-mail correspondante lorsqu’ils se connectent.

  • Activé : associe un enregistrement de contact unique à une adresse de messagerie correspondante et attribue automatiquement le fournisseur d’identité externe au contact une fois que l’utilisateur se connecte avec succès.
  • Désactivé : l’enregistrement de contact n’est pas associé à un fournisseur d’identité. Il s’agit de l’option par défaut pour ce paramètre.

• Inscription activée : ce paramètre contrôle si les utilisateurs peuvent s’inscrire sur votre site.

  • Activé : affiche une page d’inscription où les utilisateurs peuvent créer un compte sur votre site.
  • Désactivé : désactive et masque la page d’inscription du compte externe.

Voir aussi

Configurer l’authentification du site
Migrer des fournisseurs d’identité vers Azure AD B2C