Partager via


Définir un profil technique OAuth2 dans une stratégie personnalisée B2C Azure Active Directory

Important

À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.

Remarque

Dans Active Directory B2C, les stratégies personnalisées sont principalement conçues pour gérer des scénarios complexes. Pour la plupart des scénarios, nous vous recommandons de recourir à des flux d’utilisateurs intégrés. Si vous ne l’avez pas fait, découvrez le Pack de démarrage de stratégie personnalisée dans Prise en main des stratégies personnalisées dans Active Directory B2C.

Azure Active Directory B2C (Azure AD B2C) prend en charge le fournisseur d’identité de protocole OAuth2. OAuth2 est le protocole principal pour l’autorisation et l’authentification déléguée. Pour plus d’informations, consultez la RFC 6749 The OAuth 2.0 Authorization Framework. Avec un profil technique OAuth2, vous pouvez vous fédérer avec un fournisseur d’identité basé sur OAuth2, tel que Facebook. Fédérer avec un fournisseur d’identité permet aux utilisateurs de se connecter avec leurs identités existantes de réseaux sociaux ou d’entreprise.

Protocole

L’attribut Name de l’élément Protocol doit être défini sur OAuth2. Par exemple, le protocole pour le profil technique Facebook-OAUTH est le suivant OAuth2:

<TechnicalProfile Id="Facebook-OAUTH">
  <DisplayName>Facebook</DisplayName>
  <Protocol Name="OAuth2" />
  ...

Revendications d’entrée

Les éléments InputClaims et InputClaimsTransformations ne sont pas obligatoires. Mais vous pouvez envoyer plus de paramètres à votre fournisseur d’identité. L’exemple suivant ajoute le paramètre de chaîne de requête domain_hint avec la valeur contoso.com à la demande d’autorisation.

<InputClaims>
  <InputClaim ClaimTypeReferenceId="domain_hint" DefaultValue="contoso.com" />
</InputClaims>

Revendications de sortie

L’élément OutputClaims contient une liste de revendications renvoyées par le fournisseur d’identité OAuth2. Il se peut que vous deviez mapper le nom de la revendication définie dans votre stratégie au nom défini dans le fournisseur d'identité. Vous pouvez également inclure des revendications qui ne sont pas retournées par le fournisseur d’identité, pour autant que vous définissiez l’attribut DefaultValue.

L’élément OutputClaimsTransformations peut contenir une collection d’éléments OutputClaimsTransformation qui sont utilisés pour modifier les revendications de sortie ou en générer de nouvelles.

L’exemple suivant montre les revendications renvoyées par le fournisseur d’identité Facebook :

  • La revendication first_name est mappée à la revendication givenName .
  • La revendication last_name est mappée à la revendication de nom de famille .
  • La revendication displayName sans mappage de noms.
  • La revendication email sans mappage de nom.

Le profil technique retourne également des revendications qui ne sont pas retournées par le fournisseur d’identité :

  • La déclaration identityProvider qui contient le nom du fournisseur d'identité.
  • La revendication authenticationSource a comme valeur par défaut socialIdpAuthentication.
<OutputClaims>
  <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" />
  <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="first_name" />
  <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="last_name" />
  <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
  <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
  <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="facebook.com" />
  <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
</OutputClaims>

Métadonnées du point de terminaison d’autorisation

Le flux d’autorisation commence lorsque Azure AD B2C dirige l’utilisateur vers le point de terminaison des fournisseurs /authorize d’identité OAuth2. L’appel au point de terminaison d’autorisation est la partie interactive du flux, où l’utilisateur effectue une action. À ce stade, l’utilisateur est invité à terminer la connexion auprès du fournisseur d’identité OAuth2. Par exemple, en saisissant son nom d’utilisateur et son mot de passe.

Azure AD B2C crée une demande d’autorisation en fournissant l’ID client, les étendues, l’URI de redirection et d’autres paramètres dont il a besoin pour acquérir un jeton d’accès auprès du fournisseur d’identité. Cette section décrit les métadonnées du point de terminaison d’autorisation, qui permettent de configurer la demande au /authorize point de terminaison du fournisseur d’identité.

La demande adressée au point de terminaison d’autorisation est toujours HTTP GET. L’exemple suivant illustre un appel au point de terminaison d’autorisation.

GET https://login.contoso.com/oauth/v2/authorization?
client_id=12345
&response_type=code
&response_mode=query
&redirect_uri=urn%3Aietf%3Awg%3Aoauth%3A2.0%3Aoob
&scope=profile%20offline_access
&redirect_uri=https%3a%2f%2fabrikam.b2clogin.com%2fabrikam.onmicrosoft.com%2foauth2%2fauthresp
&state=...

Le tableau suivant répertorie les métadonnées du point de terminaison d’autorisation.

Caractéristique Obligatoire Descriptif
authorization_endpoint Oui URL du point de terminaison d’autorisation conformément à la RFC 6749.
client_id Oui Identificateur d’application du fournisseur d’identité.
AdditionalRequestQueryParameters Non Paramètres de requête de requête supplémentaires. Par exemple, vous pouvez envoyer des paramètres supplémentaires à votre fournisseur d’identité. Vous pouvez inclure plusieurs paramètres à l’aide d’un délimiteur de virgules.
response_mode Non Méthode que le fournisseur d’identité utilise pour renvoyer le résultat à Azure AD B2C. Valeurs possibles : query, form_post (par défaut) ou fragment.
scope Non Étendue de la demande définie conformément à la spécification du fournisseur d’identité OAuth2. Par exemple, openid, profile ou email.
UsePolicyInRedirectUri Non Indique s’il faut utiliser une stratégie lors de la construction de l’URI de redirection. Lorsque vous configurez votre application dans le fournisseur d’identité, vous devez spécifier l’URI de redirection. L’URI de redirection pointe vers Azure AD B2C, https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp. Si vous spécifiez true, vous devez ajouter un URI de redirection pour chaque stratégie que vous utilisez. Par exemple : https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/{policy-name}/oauth2/authresp.

Métadonnées du point de terminaison du jeton

Une fois que l’utilisateur a terminé son authentification au point de terminaison d’autorisation du fournisseur d’identité, une réponse contenant l’autorisation code est renvoyée à Azure AD B2C. Azure AD B2C rachète le code d’autorisation d’un jeton d’accès en envoyant une requête POST au /token point de terminaison du fournisseur d’identité. Cette section décrit les métadonnées du point de terminaison du jeton, qui permettent de configurer la demande au /token point de terminaison du fournisseur d’identité.

La requête HTTP suivante montre un appel Azure AD B2C au point de terminaison de jeton du fournisseur d’identité.

POST https://contoso/oauth2/token 
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&client_id=12345&scope=profile offline_access&code=AwABAAAAvPM1KaPlrEqdFSBzjqfTGBCmLdgfSTLEMPGYuNHSUYBrq... 

Le tableau suivant répertorie les métadonnées du point de terminaison de jeton.

Caractéristique Obligatoire Descriptif
AccessTokenEndpoint Oui URL du point de terminaison du jeton. Par exemple : https://www.linkedin.com/oauth/v2/accessToken.
HttpBinding Non Liaison HTTP attendue au point de terminaison du jeton. Valeurs possibles : GET ou POST.
AccessTokenResponseFormat Non Format de l’appel de point de terminaison du jeton d’accès. Par exemple, Facebook nécessite une méthode HTTP GET, mais la réponse du jeton d’accès est au format JSON. Valeurs possibles : Default, Jsonet JsonP.
ExtraParamsInAccessTokenEndpointResponse Non Contient les paramètres supplémentaires qui peuvent être renvoyés dans la réponse d’AccessTokenEndpoint par certains fournisseurs d’identité. Par exemple, la réponse d’AccessTokenEndpoint contient un paramètre supplémentaire tel que openid, qui est un paramètre obligatoire en plus de l’access_token dans une chaîne de requête de requête ClaimsEndpoint . Les noms de plusieurs paramètres doivent être échappés et séparés par la virgule ',' délimiteur.
token_endpoint_auth_method Non Indique comment Azure AD B2C envoie l’en-tête d’authentification au point de terminaison du jeton. Valeurs possibles : client_secret_post (par défaut) et client_secret_basic, private_key_jwt. Pour plus d’informations, consultez Section d’authentification du client OpenID Connect.
token_signing_algorithm Non Spécifie l’algorithme de signature à utiliser lorsque token_endpoint_auth_method a la valeur private_key_jwt. Valeurs possibles : RS256 (par défaut) ou RS512.

Configurer la méthode de liaison HTTP

Par défaut, la demande adressée au point de terminaison de jeton utilise HTTP POST.

<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">POST</Item>

L’appel HTTP suivant illustre un appel au point de terminaison de jeton à l’aide d’une requête HTTP POST :

POST /oauth2/token

client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code

Pour les fournisseurs d’identité qui nécessitent l’utilisation de la méthode HTTP GET au point de /token terminaison, définissez les HttpBinding métadonnées sur GET. Notez que dans l’exemple suivant, le AccessTokenResponseFormat est défini sur json, car le point de terminaison du jeton renvoie la réponse au format JSON.

<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="AccessTokenResponseFormat">json</Item>
GET /oauth2/token?client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code

Configurer le format de réponse du jeton d’accès

Pour les fournisseurs d’identité qui prennent en charge la méthode HTTP POST, la valeur par défaut AccessTokenResponseFormatest .json Si le fournisseur d’identité prend en charge la requête HTTP GET, vous devez définir explicitement le format de réponse du jeton d’accès json .

<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="AccessTokenResponseFormat">json</Item>

L’exemple suivant illustre une réponse de point de terminaison de jeton au format JSON :

{
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...",
    "token_type": "Bearer",
    "not_before": 1637924390,
    "expires_in": 960000,
}

Configurer la méthode d’authentification

Les demandes adressées au point de terminaison de jeton nécessitent toujours une authentification. Par défaut, Azure AD B2C fournit au fournisseur d’identité les informations d’identification du client. Par défaut, la méthode d’authentification est client_secret_post, y compris les informations d’identification du client (client_id et client_secret) dans le corps de la demande.

La requête HTTP suivante adressée au point de terminaison de jeton contient les client_id données et les client_secret données POST. Pour les requêtes client_id GET et les client_secret sont inclus dans les paramètres de la chaîne de requête.

POST /oauth2/token

client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code

Pour les fournisseurs d’identité qui exigent l’utilisation de l’authentification HTTP de base à leur /token point de terminaison, configurez les token_endpoint_auth_method métadonnées sur client_secret_basic. Avec ce type de méthode d’authentification, les informations d’identification du client sont transmises au fournisseur d’identité à l’aide du schéma d’authentification HTTP Basic.

<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="token_endpoint_auth_method">client_secret_basic</Item>

La requête HTTP suivante illustre un appel au point de terminaison de jeton avec l’authentification HTTP de base. L’en-tête d’autorisation contient l’ID client et la clé secrète client, au format client_ID:client_secret, encodé en base64.

POST /oauth2/token

Authorization: Basic YWJjZDoxMjM0

redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code

Pour les fournisseurs d’identité qui prennent en charge l’authentification JWT par clé privée, configurez les token_endpoint_auth_method métadonnées sur private_key_jwt. Avec ce type de méthode d’authentification, le certificat fourni à Azure AD B2C est utilisé pour générer une assertion signée, qui est transmise au fournisseur d’identité via le client_assertion paramètre. L’ensemble client_assertion_type sur urn:ietf:params:oauth:client-assertion-type:jwt-bearer. Les token_signing_algorithm métadonnées spécifient l’algorithme de signature du JWT.

<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="token_endpoint_auth_method">private_key_jwt</Item>
<Item Key="token_signing_algorithm">RS256</Item>

La requête HTTP suivante illustre un appel au point de terminaison de jeton à l’aide de l’authentification JWT par clé privée.

POST /oauth2/token

client_assertion=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsImtpZCI6IjJFRFg0dWRYeDIxbXNoaXdJVzczMUY3OUZSbFJiUDZXVXJyZmktR1RFeVkifQ.eyJpc3MiOiJhYmNkIiwiZXhwIjoxNjM3OTI5ODY0LCJuYmYiOjE2Mzc5Mjk1NjQsImF1ZCI6Imh0dHBzOi8vNWRlNC0xMDktNjQtMTI0LTUzLm5ncm9rLmlvL2FjY2Vzc190b2tlbiIsImp0aSI6IjVxQWlGV2lEODNDbU1KWWNrejBRdGc9PSIsInN1YiI6ImFiY2QiLCJpYXQiOjE2Mzc5Mjk1NjR9.C4OtRnrLaQatpT5LP45O5Nb418S4v8yZi_C42ld440w&client_id=abcd&client_assertion_type=urn%3aietf%3aparams%3aoauth%3aclient-assertion-type%3ajwt-bearer&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code

Métadonnées du point de terminaison d’informations utilisateur

Une fois qu’Azure AD B2C a obtenu le jeton d’accès du fournisseur d’identité OAuth2, il effectue un appel au point de terminaison d’informations utilisateur. Le point de terminaison d’informations sur l’utilisateur, également appelé point de terminaison de revendications, est conçu pour récupérer les revendications concernant l’utilisateur authentifié. Azure AD B2C utilise l’authentification par jeton du porteur pour s’authentifier auprès du point de terminaison d’informations utilisateur du fournisseur d’identité. Le jeton du porteur est le jeton d’accès qu’Azure AD B2C obtient à partir du point de terminaison des fournisseurs /token d’identité.

La demande adressée au point de terminaison d’informations sur l’utilisateur est toujours HTTP GET. Le jeton d’accès est envoyé dans un paramètre de chaîne de requête nommé access_token. La requête HTTP suivante affiche un appel au point de terminaison d’informations sur l’utilisateur avec le jeton d’accès dans le paramètre de chaîne de requête.

GET /oauth2/claims?access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5... 

Le tableau suivant répertorie les métadonnées du point de terminaison d’informations sur l’utilisateur.

Caractéristique Obligatoire Descriptif
ClaimsEndpoint Oui URL du point de terminaison d’informations utilisateur. Par exemple : https://api.linkedin.com/v2/me.
ClaimsEndpointAccessTokenName Non Nom du paramètre de chaîne de requête de jeton d’accès. Valeur par défaut : access_token.
ClaimsEndpointFormatName Non Nom du paramètre de chaîne de requête de format. Par exemple, vous pouvez définir le nom comme format dans ce point https://api.linkedin.com/v1/people/~?format=jsonde terminaison de revendications LinkedIn.
ClaimsEndpointFormat Non Valeur du paramètre de chaîne de requête de format. Par exemple, vous pouvez définir la valeur comme json dans ce point https://api.linkedin.com/v1/people/~?format=jsonde terminaison de revendications LinkedIn.
BearerTokenTransmissionMethod Non Spécifie le mode d’envoi du jeton. La méthode par défaut est une chaîne de requête. Pour envoyer le jeton en tant qu’en-tête de demande, définissez la valeur AuthorizationHeader.
ExtraParamsInClaimsEndpointRequest Non Contient les paramètres supplémentaires qui peuvent être renvoyés dans la demande ClaimsEndpoint par certains fournisseurs d’identité. Les noms de plusieurs paramètres doivent être échappés et séparés par la virgule ',' délimiteur.

Configurer le paramètre de chaîne de requête de jeton d’accès

Le point de terminaison d’informations sur l’utilisateur peut nécessiter l’envoi du jeton d’accès dans un paramètre de chaîne de requête particulier. Pour modifier le nom du paramètre de chaîne de requête, qui contient le jeton d’accès, utilisez les ClaimsEndpointAccessTokenName métadonnées. Dans l’exemple suivant, le paramètre de chaîne de requête de jeton d’accès est défini sur token.

<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="ClaimsEndpointAccessTokenName">token</Item>

L’appel HTTP suivant illustre un appel au point de terminaison d’informations utilisateur avec ClaimsEndpointAccessTokenName la valeur :token

GET /oauth2/claims?token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...

Configurer le format des revendications

Les ClaimsEndpointFormatName et ClaimsEndpointFormat vous permettent d’envoyer un paramètre de chaîne de requête de paire clé-valeur au point de terminaison d’informations utilisateur. L’exemple suivant configure un paramètre de chaîne de requête nommé format, avec la valeur .json

<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="ClaimsEndpointFormatName">format</Item>
<Item Key="ClaimsEndpointFormat">json</Item>

La requête HTTP suivante illustre un appel au point de terminaison d’informations utilisateur avec ClaimsEndpointFormatName et ClaimsEndpointFormat configured.

GET /oauth2/claims?format=json&access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...

Configurer la méthode de transmission du jeton du porteur

Par défaut, le jeton d’accès est envoyé au point de terminaison d’informations utilisateur des fournisseurs d’identité via un paramètre de chaîne de requête. Pour envoyer le jeton dans l’en-tête HTTP Authorization , définissez BearerTokenTransmissionMethod les métadonnées sur AuthorizationHeader.

<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>

La requête HTTP suivante montre comment le jeton d’accès est transmis lorsque BearerTokenTransmissionMethod la valeur est .AuthorizationHeader

GET /oauth2/claims

Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...

Passer les paramètres renvoyés par le point de terminaison du jeton

Certains fournisseurs d’identité nécessitent de transmettre des paramètres supplémentaires qui sont renvoyés par le point de terminaison de jeton au point de terminaison d’informations sur l’utilisateur. Par exemple, la réponse du point de terminaison de jeton contient un paramètre nommé resource, qui est un paramètre obligatoire du point de terminaison d’informations sur l’utilisateur (en plus du jeton d’accès). Utilisez les ExtraParamsInClaimsEndpointRequest métadonnées pour spécifier les paramètres supplémentaires à transmettre. Les noms de plusieurs paramètres doivent être échappés et séparés par la virgule ',' délimiteur.

Le fichier JSON JSON suivant illustre le retour d’une charge utile JSON par le point de terminaison du jeton avec un paramètre nommé resource.

{
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...",
    "token_type": "Bearer",
    "not_before": 1549647431,
    "expires_in": 960000,
    "resource": "f2a76e08-93f2-4350-833c-965c02483b11"
}

Pour transmettre le resource paramètre au point de terminaison d’informations sur l’utilisateur, ajoutez les métadonnées suivantes :

<Item Key="ExtraParamsInClaimsEndpointRequest">resource</Item>

La requête HTTP suivante montre comment le resource paramètre est transmis au point de terminaison d’informations utilisateur.

GET /oauth2/claims?resource=f2a76e08-93f2-4350-833c-965c02483b11&access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...

Point de terminaison de fin de session

Pour déconnecter l’utilisateur de l’application, redirigez-le vers le point de terminaison de déconnexion Azure AD B2C (pour OAuth2 et OpenID Connect) ou envoyez un LogoutRequest (pour SAML). Azure AD B2C efface la session de l’utilisateur à partir du navigateur. Lors d’une demande de déconnexion, Azure AD B2C tente de se déconnecter de tous les fournisseurs d’identité fédérés par lesquels l’utilisateur s’est connecté. L’URI de déconnexion du fournisseur d’identité OAuth2 est configuré dans les end_session_endpoint métadonnées. Lorsque l’utilisateur se déconnecte de votre application via Azure AD B2C, une iframe masquée est créée qui l’appelle sur sa end_session_endpoint page de déconnexion Azure AD B2C.

Le tableau suivant répertorie les métadonnées du point de terminaison d’informations sur l’utilisateur.

Caractéristique Obligatoire Descriptif
end_session_endpoint Oui L’URL du point de terminaison de la session de fin conformément à la RFC 6749.
SingleLogoutEnabled Non Indique si, lors de la connexion, le profil technique tente de se déconnecter des fournisseurs d’identité fédérés. Pour plus d’informations, consultez Déconnexion d’une session Azure AD B2C. Valeurs possibles : true (par défaut) ou false.

Métadonnées génériques OAuth2

Le tableau suivant répertorie les métadonnées génériques du fournisseur d’identité OAuth2. Les métadonnées décrivent comment le profil technique OAuth2 gère la validation des jetons, obtient les revendications et réagit aux messages d’erreur.

Caractéristique Obligatoire Descriptif
IdTokenAudience Non Audience du jeton id_token. S’il est spécifié, Azure AD B2C vérifie si le jeton se trouve dans une revendication retournée par le fournisseur d’identité et s’il est égal à celui spécifié.
ProviderName Non Nom du fournisseur d’identité.
ResponseErrorCodeParamName Non Nom du paramètre contenant le message d’erreur renvoyé via HTTP 200 (Ok).
IncludeClaimResolvingInClaimsHandling   Non Pour les revendications d’entrée et de sortie, spécifie si la résolution des revendications est incluse dans le profil technique. Valeurs possibles : true ou false (par défaut). Si vous souhaitez utiliser un programme de résolution des revendications dans le profil technique, définissez cette valeur sur true.
ResolveJsonPathsInJsonTokens Non Indique si le profil technique résout les chemins JSON. Valeurs possibles : true ou false (par défaut). Utilisez ces métadonnées pour lire des données à partir d’un élément JSON imbriqué. Dans un OutputClaim, définissez l’élément PartnerClaimType de chemin d’accès JSON que vous souhaitez générer. Par exemple : firstName.localized ou data[0].to[0].email.

Clés de chiffrement

L’élément CryptographicKeys contient l’attribut suivant :

Caractéristique Obligatoire Descriptif
client_secret Oui Clé secrète client de l’application du fournisseur d’identité. La clé cryptographique n’est requise que si les métadonnées response_types sont définies sur code. Dans ce cas, Azure AD B2C émet un autre appel pour échanger le code d’autorisation pour un jeton d’accès. Si les métadonnées sont définies sur id_token, vous pouvez omettre la clé de chiffrement.
assertion_signing_key Non Lorsque les token_endpoint_auth_method métadonnées sont définies sur private_key_jwt, fournissez un certificat X509 à utiliser pour signer la clé JWT. Cette clé doit vous être fournie par le fournisseur d’identité OAuth2.

URI de redirection

Lorsque vous configurez l’URI de redirection de votre fournisseur d’identité, entrez https://{tenant-name}.b2clogin.com/{tenant-name}.onmicrosoft.com/oauth2/authresp. Assurez-vous de remplacer {tenant-name} par le nom de votre locataire (par exemple, contosob2c). L’URI de redirection doit être en minuscules.