Configurer un flux de connexion dans Azure Active Directory B2C

Important

À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.

Avant de commencer, utilisez le sélecteur Choisir un type de stratégie en haut de cette page pour choisir le type de stratégie que vous configurez. Azure Active Directory B2C offre deux possibilités pour définir la façon dont les utilisateurs interagissent avec vos applications : via des flux utilisateurs prédéfinis ou via des stratégies personnalisées entièrement configurables. La procédure donnée dans cet article est différente pour chaque méthode.

Vue d’ensemble du flux de connexion

La stratégie de connexion permet aux utilisateurs :

• Se connecter avec un compte local Azure AD B2C
• Les utilisateurs peuvent se connecter avec un compte social
• Réinitialisation du mot de passe
• Les utilisateurs ne peuvent pas s’inscrire à un compte local Azure AD B2C. Pour créer un compte, un administrateur peut utiliser le portail Azure ou l’API Microsoft Graph.

Conditions préalables

• Si ce n’est déjà fait, inscrivez une application web dans Azure Active Directory B2C.
• Effectuez les étapes de création de flux utilisateur et de stratégies personnalisées dans Azure Active Directory B2C.

Créer un parcours de connexion utilisateur

Pour ajouter une stratégie de connexion :

1. Connectez-vous au portail Azure.

2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.

3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.

4. Sous Stratégies, sélectionnez Flux utilisateur, puis Nouveau flux d’utilisateur.

5. Sur la page Créer un flux utilisateur, sélectionnez le flux utilisateur Se connecter.

6. Sous Sélectionner une version, sélectionnez Recommandé, puis sélectionnez Créer. (En savoir plus sur les versions de flux utilisateur.)

7. Entrez un Nom pour le flux d’utilisateur. Par exemple, signupsignin1.

8. Sous Fournisseurs d’identité, sélectionnez au moins un fournisseur d’identité :

   • Sous Comptes locaux, sélectionnez l’une des options suivantes : connexion par e-mail, connexion par ID utilisateur, connexion par téléphone, connexion par téléphone/e-mail, connexion par ID d'utilisateur/e-mail ou Aucun. En savoir plus.
   • Sous Fournisseurs d’identité sociale, sélectionnez l’un des fournisseurs d’identité sociaux ou d’entreprise externes que vous avez configurés. En savoir plus.

9. Sous Authentification multifacteur, si vous souhaitez demander aux utilisateurs de vérifier leur identité avec une deuxième méthode d’authentification, choisissez le type de méthode et quand appliquer l’authentification multifacteur (MFA). En savoir plus.

10. Sous Accès conditionnel, si vous avez configuré des stratégies d’accès conditionnel pour votre locataire Azure AD B2C et que vous souhaitez les activer pour ce flux utilisateur, activez la case à cocher Appliquer les stratégies d’accès conditionnel . Vous n’avez pas besoin de spécifier un nom de stratégie. En savoir plus.

11. Sous Revendications de l’application, choisissez les revendications que vous souhaitez retourner à l’application dans le jeton. Pour obtenir la liste complète des valeurs, sélectionnez Afficher plus, choisissez les valeurs, puis sélectionnez OK.

    Remarque

    Vous pouvez également créer des attributs personnalisés à utiliser dans votre locataire Azure AD B2C.

12. Cliquez sur Créer pour ajouter le flux utilisateur. Un préfixe de B2C_1 est automatiquement ajouté au nom.

Tester le flux utilisateur

1. Sélectionnez le flux utilisateur que vous avez créé pour ouvrir sa page de vue d’ensemble, puis sélectionnez Exécuter le flux utilisateur.
2. Pour Application, sélectionnez l’application web webapp1 que vous avez précédemment inscrite. L’URL de réponse doit être https://jwt.ms.
3. Cliquez sur Exécuter le flux utilisateur.
4. Vous devez être en mesure de vous connecter avec le compte que vous avez créé (à l’aide de l’API MS Graph), sans le lien d’inscription. Le jeton retourné inclut les revendications que vous avez sélectionnées.

Supprimer le lien d’inscription

Le profil technique LocalAccountSignUpWithLogonEmail est autodéclaré. Il est appelé pendant le flux d’inscription ou de connexion. Pour supprimer le lien d’inscription, définissez les setting.showSignupLink métadonnées sur false. Remplacez les profils techniques SelfAsserted-LocalAccountSignin-Email dans le fichier d’extension.

1. Ouvrez le fichier d’extensions de votre stratégie. Par exemple : SocialAndLocalAccounts/TrustFrameworkExtensions.xml.

2. Recherchez l’élément ClaimsProviders. Si l’élément n’existe pas, ajoutez-le.

3. Ajoutez le fournisseur de revendications suivant à l’élément ClaimsProviders :

   <!--
   <ClaimsProviders> -->
     <ClaimsProvider>
       <DisplayName>Local Account</DisplayName>
       <TechnicalProfiles>
         <TechnicalProfile Id="SelfAsserted-LocalAccountSignin-Email">
           <Metadata>
             <Item Key="setting.showSignupLink">false</Item>
           </Metadata>
         </TechnicalProfile>
       </TechnicalProfiles>
     </ClaimsProvider>
   <!--
   </ClaimsProviders> -->
   

4. Dans l’élément <BuildingBlocks>, ajoutez la définition de contenu ContentDefinition suivante pour référencer la version 1.2.0, ou une URI de données plus récente.

   <!-- 
   <BuildingBlocks> 
     <ContentDefinitions>-->
       <ContentDefinition Id="api.localaccountsignup">
         <DataUri>urn:com:microsoft:aad:b2c:elements:contract:unifiedssp:1.2.0</DataUri>
       </ContentDefinition>
     <!--
     </ContentDefinitions>
   </BuildingBlocks> -->
   

Mettre à jour et tester votre stratégie

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
3. Choisissez Tous les services dans le coin supérieur gauche du portail Azure, puis recherchez et sélectionnez Inscriptions d’applications.
4. Sélectionnez Identity Experience Framework.
5. Sélectionnez Charger une stratégie personnalisée, puis chargez le fichier de stratégie que vous avez modifié, TrustFrameworkExtensions.xml.
6. Sélectionnez la stratégie de connexion que vous avez chargée, puis cliquez sur le bouton Exécuter maintenant .
7. Vous devez être en mesure de vous connecter avec le compte que vous avez créé (à l’aide de l’API MS Graph), sans le lien d’inscription.

Étapes suivantes

• Ajoutez une connexion avec le fournisseur d’identité sociale.
• Configurez un flux de réinitialisation de mot de passe.