Configurer la connexion pour une organisation Microsoft Entra spécifique dans Azure Active Directory B2C

Important

À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.

Cet article explique comment activer la connexion pour les utilisateurs d’une organisation Microsoft Entra spécifique à l’aide d’un flux d’utilisateur dans Azure AD B2C.

Avant de commencer, utilisez le sélecteur Choisir un type de stratégie en haut de cette page pour choisir le type de stratégie que vous configurez. Azure Active Directory B2C offre deux possibilités pour définir la façon dont les utilisateurs interagissent avec vos applications : via des flux utilisateurs prédéfinis ou via des stratégies personnalisées entièrement configurables. La procédure donnée dans cet article est différente pour chaque méthode.

Remarque

Dans Active Directory B2C, les stratégies personnalisées sont principalement conçues pour gérer des scénarios complexes. Pour la plupart des scénarios, nous vous recommandons de recourir à des flux d’utilisateurs intégrés. Si vous ne l’avez pas fait, découvrez le Pack de démarrage de stratégie personnalisée dans Prise en main des stratégies personnalisées dans Active Directory B2C.

Conditions préalables

• Créez un flux d’utilisateurs pour permettre aux utilisateurs de s’inscrire et de se connecter à votre application.
• Inscrire une application web.

• Suivez les étapes de Prise en main des stratégies personnalisées dans Active Directory B2C. Ce tutoriel vous explique comment mettre à jour des fichiers de stratégie personnalisés pour utiliser votre configuration de locataire Azure AD B2C.
• Inscrire une application web.

Vérifier le domaine de l’éditeur de l’application

Depuis novembre 2020, les nouvelles inscriptions d’applications s’affichent comme non vérifiées dans l’invite de consentement de l’utilisateur, sauf si le domaine de l’éditeur de l’application est vérifiéet que l’identité de l’entreprise a été vérifiée auprès de Microsoft Partner Network et associée à l’application. (En savoir plus sur cette modification.) Notez que pour les flux d’utilisateurs Azure AD B2C, le domaine de l’éditeur s’affiche uniquement lors de l’utilisation d’un compte Microsoft ou d’un autre locataire Microsoft Entra en tant que fournisseur d’identité. Pour répondre à ces nouvelles exigences, procédez comme suit :

1. Vérifiez l’identité de votre entreprise avec votre compte Microsoft Partner Network (MPN). Ce processus vérifie les informations relatives à votre entreprise et au contact principal de votre entreprise.
2. Effectuez le processus de vérification de l’éditeur pour associer votre compte MPN à votre inscription d’application à l’aide de l’une des options suivantes :
   • Si l’enregistrement de l’application pour le fournisseur d’identité de compte Microsoft se trouve dans un tenant Microsoft Entra, vérifiez votre application sur le portail Inscription d’application.
   • Si votre inscription d’application pour le fournisseur d’identité du compte Microsoft se trouve dans un locataire Azure AD B2C, marquez votre application comme étant validée par l’éditeur à l’aide des API Microsoft Graph (par exemple, à l’aide d’Afficheur Graph). L’interface utilisateur permettant de définir l’éditeur vérifié d’une application est actuellement désactivée pour les locataires Azure AD B2C.

Inscrire une application Microsoft Entra

Pour activer la connexion pour les utilisateurs disposant d’un compte Microsoft Entra à partir d’une organisation Microsoft Entra spécifique, dans Azure Active Directory B2C (Azure AD B2C), vous devez créer une application dans le portail Azure. Pour plus d’informations, consultez Inscrire une application auprès de la plateforme d’identités Microsoft.

1. Connectez-vous au portail Azure.

2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Microsoft Entra ID à partir du menu Répertoires + abonnements .

3. Dans le portail Azure, recherchez et sélectionnez Microsoft Entra ID.

4. Dans le menu de gauche, sous Gérer, sélectionnez Inscriptions d’applications.

5. Sélectionnez + Nouvelle inscription.

6. Entrez un nom pour votre application. Par exemple : Azure AD B2C App.

7. Acceptez la sélection par défaut des comptes dans cet annuaire organisationnel uniquement (Répertoire par défaut uniquement - Locataire unique) pour cette application.

8. Pour l’URI de redirection, acceptez la valeur du web et entrez l’URL suivante dans toutes les lettres minuscules, où your-B2C-tenant-name est remplacée par le nom de votre locataire Azure AD B2C.

   https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp
   

   Par exemple : https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp.

   Si vous utilisez un domaine personnalisé, entrez https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp. Remplacez your-domain-name par votre domaine personnalisé et your-tenant-name par le nom de votre locataire.

9. Sélectionnez Inscrire. Enregistrez l’ID d’application (client) à utiliser dans une étape ultérieure.

10. Sélectionnez Certificats et secrets, puis sélectionnez Nouveau secret client.

11. Entrez une description pour le secret, sélectionnez une expiration, puis sélectionnez Ajouter. Enregistrez la valeur du secret à utiliser dans une étape ultérieure.

Configurer l’ID Microsoft Entra en tant que fournisseur d’identité

1. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.

2. Choisissez tous les services dans le coin supérieur gauche du portail Azure, puis recherchez et sélectionnez Azure AD B2C.

3. Sélectionnez Fournisseurs d’identité, puis nouveau fournisseur OpenID Connect.

4. Saisissez un Nom. Par exemple, entrez Contoso Microsoft Entra ID.

5. Pour l’URL de métadonnées, entrez l’URL suivante en remplaçant {tenant} par le nom de domaine de votre client Microsoft Entra :

   https://login.microsoftonline.com/{tenant}/v2.0/.well-known/openid-configuration
   

Par exemple : https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration. Si vous utilisez un domaine personnalisé, remplacez-le contoso.com par votre domaine personnalisé dans https://login.microsoftonline.com/contoso.com/v2.0/.well-known/openid-configuration.

1. Pour ID client, entrez l’ID d’application que vous avez enregistré précédemment.

2. Pour la clé secrète client, entrez la valeur de clé secrète client que vous avez enregistrée précédemment.

3. Pour Étendue, entrez openid profile.

4. Conservez les valeurs par défaut pour le type réponse et le mode Réponse.

5. (Facultatif) Pour l’indicateur de domaine, saisissez contoso.com. Pour plus d’informations, consultez Configurer la connexion directe avec Azure Active Directory B2C.

6. Sous Mappage des revendications du fournisseur d’identité, sélectionnez les revendications suivantes :

   • ID utilisateur : oid
   • Nom d'affichage : nom
   • Nom donné : given_name
   • Nom de famille : family_name
   • E-mail : e-mail

7. Cliquez sur Enregistrer.

Ajouter un fournisseur d’identité Microsoft Entra à un flux d’utilisateur

À ce stade, le fournisseur d’identité Microsoft Entra a été configuré, mais il n’est pas encore disponible dans les pages de connexion. Pour ajouter le fournisseur d’identité Microsoft Entra à un flux d’utilisateur :

1. Dans votre tenant Azure AD B2C, sélectionnez Flux d’utilisateurs.
2. Cliquez sur le flux utilisateur auquel vous souhaitez ajouter le fournisseur d’identité Microsoft Entra.
3. Sous Paramètres, sélectionnez Fournisseurs d’identité
4. Sous Fournisseurs d’identité personnalisés, sélectionnez Contoso Microsoft Entra ID.
5. Cliquez sur Enregistrer.
6. Pour tester votre stratégie, sélectionnez Exécuter le flux utilisateur.
7. Pour l’application, sélectionnez une application web que vous avez inscrite précédemment. L’URL de réponse doit être https://jwt.ms.
8. Sélectionnez le bouton Exécuter le flux utilisateur .
9. Dans la page d’inscription ou de connexion, sélectionnez Contoso Microsoft Entra ID pour vous connecter avec le compte Microsoft Entra Contoso.

Si le processus de connexion réussit, votre navigateur est redirigé vers https://jwt.ms, qui affiche le contenu du jeton retourné par Azure AD B2C.

Créer une clé de stratégie

Vous devez stocker la clé d’application que vous avez créée dans votre locataire Azure AD B2C.

1. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
2. Choisissez tous les services dans le coin supérieur gauche du portail Azure, puis recherchez et sélectionnez Azure AD B2C.
3. Sous Stratégies, sélectionnez Identity Experience Framework.
4. Sélectionnez Clés de stratégie , puis sélectionnez Ajouter.
5. Pour options, choisissez Manual.
6. Entrez un nom pour la clé de stratégie. Par exemple : ContosoAppSecret. Le préfixe B2C_1A_ est ajouté automatiquement au nom de votre clé lors de sa création. Par conséquent, sa référence dans le code XML de la section suivante consiste à B2C_1A_ContosoAppSecret.
7. Dans Secret, entrez votre valeur de clé secrète client que vous avez enregistrée précédemment.
8. Pour l’utilisation de la clé, sélectionnez Signature.
9. Cliquez sur Créer.

Configurer l’ID Microsoft Entra en tant que fournisseur d’identité

Pour permettre aux utilisateurs de se connecter à l’aide d’un compte Microsoft Entra, vous devez définir l’ID Microsoft Entra en tant que fournisseur de revendications avec lequel Azure AD B2C peut communiquer via un point de terminaison. Le point de terminaison fournit un ensemble de revendications utilisées par Azure AD B2C pour vérifier qu’un utilisateur spécifique s’est authentifié.

Vous pouvez définir Microsoft Entra ID en tant que fournisseur de revendications en ajoutant Microsoft Entra ID à l’élément ClaimsProvider dans le fichier d’extension de votre stratégie.

1. Ouvrez le fichier TrustFrameworkExtensions.xml .

2. Recherchez l’élément ClaimsProviders . S’il n’existe pas, ajoutez-le sous l’élément racine.

3. Ajoutez un nouveau ClaimsProvider comme suit :

   <ClaimsProvider>
     <Domain>Contoso</Domain>
     <DisplayName>Login using Contoso</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="AADContoso-OpenIdConnect">
         <DisplayName>Contoso Employee</DisplayName>
         <Description>Login with your Contoso account</Description>
         <Protocol Name="OpenIdConnect"/>
         <Metadata>
           <Item Key="METADATA">https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration</Item>
           <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
           <Item Key="response_types">code</Item>
           <Item Key="scope">openid profile</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">false</Item>
         </Metadata>
         <CryptographicKeys>
           <Key Id="client_secret" StorageReferenceId="B2C_1A_ContosoAppSecret"/>
         </CryptographicKeys>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid"/>
           <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid"/>
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
           <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/>
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. Sous l’élément ClaimsProvider , mettez à jour la valeur de Domaine en une valeur unique qui peut être utilisée pour la distinguer d’autres fournisseurs d’identité. Par exemple, Contoso. Vous ne placez pas une .com valeur à la fin de ce paramètre de domaine.

5. Sous l’élément ClaimsProvider , mettez à jour la valeur de DisplayName en un nom convivial pour le fournisseur de revendications. Cette valeur n’est actuellement pas utilisée.

Mettre à jour le profil technique

Pour obtenir un jeton à partir du point de terminaison Microsoft Entra, vous devez définir les protocoles qu’Azure AD B2C doit utiliser pour communiquer avec l’ID Microsoft Entra. Cette opération est effectuée à l’intérieur de l’élément TechnicalProfile de ClaimsProvider.

1. Mettez à jour l’ID de l’élément TechnicalProfile . Cet ID est utilisé pour faire référence à ce profil technique à partir d’autres parties de la stratégie, par exemple AADContoso-OpenIdConnect.
2. Mettez à jour la valeur de DisplayName. Cette valeur s’affiche sur le bouton de connexion sur l’écran de connexion.
3. Mettez à jour la valeur de Description.
4. Microsoft Entra ID utilise le protocole OpenID Connect. Vérifiez donc que la valeur du protocole est OpenIdConnect.
5. Définissez la valeur des MÉTADONNEES sur https://login.microsoftonline.com/tenant-name.onmicrosoft.com/v2.0/.well-known/openid-configuration où tenant-name correspond le nom de votre locataire Microsoft Entra. Par exemple, https://login.microsoftonline.com/contoso.onmicrosoft.com/v2.0/.well-known/openid-configuration
6. Définissez client_id comme l'ID d'application provenant de l'enregistrement de l'application.
7. Sous CryptographicKeys, mettez à jour la valeur de StorageReferenceId avec le nom de la clé de stratégie que vous avez créée précédemment. Par exemple : B2C_1A_ContosoAppSecret.

Ajouter un parcours utilisateur

À ce stade, le fournisseur d’identité a été configuré, mais il n’est pas encore accessible depuis aucune des pages de connexion. Si vous n’avez pas votre propre parcours utilisateur personnalisé, créez un doublon d’un parcours utilisateur de modèle existant, sinon passez à l’étape suivante.

1. Ouvrez le fichier TrustFrameworkBase.xml à partir du pack de démarrage.
2. Recherchez et copiez l’intégralité du contenu de l’élément UserJourney qui inclut Id="SignUpOrSignIn".
3. Ouvrez le TrustFrameworkExtensions.xml et recherchez l’élément UserJourneys . Si l’élément n’existe pas, ajoutez-en un.
4. Collez tout le contenu de l’élément UserJourney que vous avez copié en tant qu’enfant de l’élément UserJourneys .
5. Renommez l’ID du parcours utilisateur. Par exemple : Id="CustomSignUpSignIn".

Ajouter le fournisseur d’identité à un parcours utilisateur

Maintenant que vous disposez d’un parcours utilisateur, ajoutez le nouveau fournisseur d’identité au parcours utilisateur. Vous ajoutez d’abord un bouton de connexion, puis liez le bouton à une action. L’action correspond au profil technique que vous avez créé précédemment.

1. Recherchez l’élément d’étape d’orchestration qui inclut Type="CombinedSignInAndSignUp"ou Type="ClaimsProviderSelection" dans le parcours utilisateur. Il s’agit généralement de la première étape d’orchestration. L’élément ClaimsProviderSelections contient une liste de fournisseurs d’identité auxquels un utilisateur peut se connecter. L’ordre des éléments contrôle l’ordre des boutons de connexion présentés à l’utilisateur. Ajoutez un élément XML ClaimsProviderSelection . Définissez la valeur de TargetClaimsExchangeId sur un nom convivial.

2. À l’étape d’orchestration suivante, ajoutez un élément ClaimsExchange . Définissez ID sur la valeur de l’ID d’échange des revendications cible. Mettez à jour la valeur de TechnicalProfileReferenceId sur l’ID du profil technique que vous avez créé.

Le code XML suivant illustre les deux premières étapes d’orchestration d’un parcours utilisateur avec le fournisseur d’identité :

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="AzureADContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="AzureADContosoExchange" TechnicalProfileReferenceId="AADContoso-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

Configurer la stratégie de partie de confiance

La stratégie du partenaire de confiance, par exemple SignUpSignIn.xml, spécifie le parcours utilisateur que Azure AD B2C mettra en œuvre. Recherchez l'élément DefaultUserJourney dans la partie requérante. Mettez à jour le ReferenceId pour qu'il corresponde à l'identifiant du parcours utilisateur dans lequel vous avez ajouté le fournisseur d'identité.

Dans l’exemple suivant, pour le CustomSignUpSignIn parcours utilisateur, l’Id de référence est défini sur CustomSignUpSignIn:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Charger la politique personnalisée

1. Connectez-vous au portail Azure.
2. Sélectionnez l’icône Répertoire + Abonnement dans la barre d’outils du portail, puis sélectionnez le répertoire qui contient votre locataire Azure AD B2C.
3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.
4. Sous Stratégies, sélectionnez Identity Experience Framework.
5. Sélectionnez Charger une stratégie personnalisée, puis chargez les deux fichiers de stratégie que vous avez modifiés, dans l’ordre suivant : la stratégie d’extension, par exemple TrustFrameworkExtensions.xml, la stratégie de partie de confiance, telle que SignUpSignIn.xml.

Tester votre stratégie personnalisée

1. Sélectionnez votre stratégie de partie de confiance, par exemple B2C_1A_signup_signin.
2. Pour l’application, sélectionnez une application web que vous avez inscrite précédemment. L’URL de réponse doit être https://jwt.ms.
3. Sélectionnez le bouton Exécuter maintenant .
4. Dans la page d’inscription ou de connexion, sélectionnez Contoso Employee pour vous connecter avec le compte Microsoft Entra Contoso.

Si le processus de connexion réussit, votre navigateur est redirigé vers https://jwt.ms, qui affiche le contenu du jeton retourné par Azure AD B2C.

[Facultatif] Configuration des revendications facultatives

Si vous souhaitez obtenir les revendications family_name et given_name de Microsoft Entra ID, vous pouvez configurer des revendications facultatives pour votre application dans le portail Azure ou le manifeste d'application. Pour plus d’informations, consultez Comment fournir des revendications facultatives à votre application Microsoft Entra.

1. Connectez-vous au portail Azure à l’aide de votre locataire Microsoft Entra organisationnel. Ou si vous avez déjà ouvert une session, vérifiez que vous utilisez l’annuaire qui contient votre client Microsoft Entra organisationnel (par exemple, Contoso) :
   1. Sélectionnez l’icône Répertoires + abonnements dans la barre d’outils du portail.
   2. Sur les paramètres du portail | Page Répertoires + abonnements , recherchez votre répertoire Microsoft Entra dans la liste des noms du répertoire , puis sélectionnez Switch.
2. Dans le portail Azure, recherchez et sélectionnez Microsoft Entra ID.
3. Dans le menu de gauche, sous Gérer, sélectionnez Inscriptions d’applications.
4. Sélectionnez l’application dans la liste pour laquelle vous souhaitez configurer des revendications facultatives, par exemple Azure AD B2C App.
5. Dans la section Gérer , sélectionnez Configuration du jeton.
6. Sélectionnez Ajouter une revendication facultative.
7. Pour le type de jeton, sélectionnez ID.
8. Sélectionnez les revendications facultatives à ajouter, family_name et given_name.
9. Sélectionnez Ajouter. Si l’option Activer l’autorisation de profil Microsoft Graph (nécessaire pour que les revendications apparaissent dans le jeton) s’affiche, activez-la et sélectionnez une nouvelle fois Ajouter.

[Facultatif] Vérifier l’authenticité de votre application

La vérification de l’éditeur permet à vos utilisateurs de comprendre l’authenticité de l’application que vous avez inscrite. Une application vérifiée signifie que l’éditeur de l’application a vérifié son identité à l’aide de son MPN (Microsoft Partner Network). Apprenez à marquer votre application avec la mention « éditeur vérifié ».

Étapes suivantes

Découvrez comment transmettre le jeton Microsoft Entra à votre application.