Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.
Remarque
Dans Active Directory B2C, les stratégies personnalisées sont principalement conçues pour gérer des scénarios complexes. Pour la plupart des scénarios, nous vous recommandons de recourir à des flux d’utilisateurs intégrés. Si vous ne l’avez pas fait, découvrez le Pack de démarrage de stratégie personnalisée dans Prise en main des stratégies personnalisées dans Active Directory B2C.
Azure Active Directory B2C (Azure AD B2C) prend en charge le fournisseur d’identité de protocole OAuth2. OAuth2 est le protocole principal pour l’autorisation et l’authentification déléguée. Pour plus d’informations, consultez la RFC 6749 The OAuth 2.0 Authorization Framework. Avec un profil technique OAuth2, vous pouvez vous fédérer avec un fournisseur d’identité basé sur OAuth2, tel que Facebook. Fédérer avec un fournisseur d’identité permet aux utilisateurs de se connecter avec leurs identités existantes de réseaux sociaux ou d’entreprise.
Protocole
L’attribut Name de l’élément Protocol doit être défini sur OAuth2
. Par exemple, le protocole pour le profil technique Facebook-OAUTH est le suivant OAuth2
:
<TechnicalProfile Id="Facebook-OAUTH">
<DisplayName>Facebook</DisplayName>
<Protocol Name="OAuth2" />
...
Revendications d’entrée
Les éléments InputClaims et InputClaimsTransformations ne sont pas obligatoires. Mais vous pouvez envoyer plus de paramètres à votre fournisseur d’identité. L’exemple suivant ajoute le paramètre de chaîne de requête domain_hint avec la valeur contoso.com
à la demande d’autorisation.
<InputClaims>
<InputClaim ClaimTypeReferenceId="domain_hint" DefaultValue="contoso.com" />
</InputClaims>
Revendications de sortie
L’élément OutputClaims contient une liste de revendications renvoyées par le fournisseur d’identité OAuth2. Il se peut que vous deviez mapper le nom de la revendication définie dans votre stratégie au nom défini dans le fournisseur d'identité. Vous pouvez également inclure des revendications qui ne sont pas retournées par le fournisseur d’identité, pour autant que vous définissiez l’attribut DefaultValue
.
L’élément OutputClaimsTransformations peut contenir une collection d’éléments OutputClaimsTransformation qui sont utilisés pour modifier les revendications de sortie ou en générer de nouvelles.
L’exemple suivant montre les revendications renvoyées par le fournisseur d’identité Facebook :
- La revendication first_name est mappée à la revendication givenName .
- La revendication last_name est mappée à la revendication de nom de famille .
- La revendication displayName sans mappage de noms.
- La revendication email sans mappage de nom.
Le profil technique retourne également des revendications qui ne sont pas retournées par le fournisseur d’identité :
- La déclaration identityProvider qui contient le nom du fournisseur d'identité.
- La revendication authenticationSource a comme valeur par défaut socialIdpAuthentication.
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" />
<OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="first_name" />
<OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="last_name" />
<OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
<OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
<OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="facebook.com" />
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
</OutputClaims>
Métadonnées du point de terminaison d’autorisation
Le flux d’autorisation commence lorsque Azure AD B2C dirige l’utilisateur vers le point de terminaison des fournisseurs /authorize
d’identité OAuth2. L’appel au point de terminaison d’autorisation est la partie interactive du flux, où l’utilisateur effectue une action. À ce stade, l’utilisateur est invité à terminer la connexion auprès du fournisseur d’identité OAuth2. Par exemple, en saisissant son nom d’utilisateur et son mot de passe.
Azure AD B2C crée une demande d’autorisation en fournissant l’ID client, les étendues, l’URI de redirection et d’autres paramètres dont il a besoin pour acquérir un jeton d’accès auprès du fournisseur d’identité. Cette section décrit les métadonnées du point de terminaison d’autorisation, qui permettent de configurer la demande au /authorize
point de terminaison du fournisseur d’identité.
La demande adressée au point de terminaison d’autorisation est toujours HTTP GET. L’exemple suivant illustre un appel au point de terminaison d’autorisation.
GET https://login.contoso.com/oauth/v2/authorization?
client_id=12345
&response_type=code
&response_mode=query
&redirect_uri=urn%3Aietf%3Awg%3Aoauth%3A2.0%3Aoob
&scope=profile%20offline_access
&redirect_uri=https%3a%2f%2fabrikam.b2clogin.com%2fabrikam.onmicrosoft.com%2foauth2%2fauthresp
&state=...
Le tableau suivant répertorie les métadonnées du point de terminaison d’autorisation.
Caractéristique | Obligatoire | Descriptif |
---|---|---|
authorization_endpoint |
Oui | URL du point de terminaison d’autorisation conformément à la RFC 6749. |
client_id |
Oui | Identificateur d’application du fournisseur d’identité. |
AdditionalRequestQueryParameters |
Non | Paramètres de requête de requête supplémentaires. Par exemple, vous pouvez envoyer des paramètres supplémentaires à votre fournisseur d’identité. Vous pouvez inclure plusieurs paramètres à l’aide d’un délimiteur de virgules. |
response_mode |
Non | Méthode que le fournisseur d’identité utilise pour renvoyer le résultat à Azure AD B2C. Valeurs possibles : query , form_post (par défaut) ou fragment . |
scope |
Non | Étendue de la demande définie conformément à la spécification du fournisseur d’identité OAuth2. Par exemple, openid , profile ou email . |
UsePolicyInRedirectUri |
Non | Indique s’il faut utiliser une stratégie lors de la construction de l’URI de redirection. Lorsque vous configurez votre application dans le fournisseur d’identité, vous devez spécifier l’URI de redirection. L’URI de redirection pointe vers Azure AD B2C, https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp . Si vous spécifiez true , vous devez ajouter un URI de redirection pour chaque stratégie que vous utilisez. Par exemple : https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/{policy-name}/oauth2/authresp . |
Métadonnées du point de terminaison du jeton
Une fois que l’utilisateur a terminé son authentification au point de terminaison d’autorisation du fournisseur d’identité, une réponse contenant l’autorisation code
est renvoyée à Azure AD B2C. Azure AD B2C rachète le code d’autorisation d’un jeton d’accès en envoyant une requête POST au /token
point de terminaison du fournisseur d’identité. Cette section décrit les métadonnées du point de terminaison du jeton, qui permettent de configurer la demande au /token
point de terminaison du fournisseur d’identité.
La requête HTTP suivante montre un appel Azure AD B2C au point de terminaison de jeton du fournisseur d’identité.
POST https://contoso/oauth2/token
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&client_id=12345&scope=profile offline_access&code=AwABAAAAvPM1KaPlrEqdFSBzjqfTGBCmLdgfSTLEMPGYuNHSUYBrq...
Le tableau suivant répertorie les métadonnées du point de terminaison de jeton.
Caractéristique | Obligatoire | Descriptif |
---|---|---|
AccessTokenEndpoint |
Oui | URL du point de terminaison du jeton. Par exemple : https://www.linkedin.com/oauth/v2/accessToken . |
HttpBinding |
Non | Liaison HTTP attendue au point de terminaison du jeton. Valeurs possibles : GET ou POST . |
AccessTokenResponseFormat |
Non | Format de l’appel de point de terminaison du jeton d’accès. Par exemple, Facebook nécessite une méthode HTTP GET, mais la réponse du jeton d’accès est au format JSON. Valeurs possibles : Default , Json et JsonP . |
ExtraParamsInAccessTokenEndpointResponse |
Non | Contient les paramètres supplémentaires qui peuvent être renvoyés dans la réponse d’AccessTokenEndpoint par certains fournisseurs d’identité. Par exemple, la réponse d’AccessTokenEndpoint contient un paramètre supplémentaire tel que openid , qui est un paramètre obligatoire en plus de l’access_token dans une chaîne de requête de requête ClaimsEndpoint . Les noms de plusieurs paramètres doivent être échappés et séparés par la virgule ',' délimiteur. |
token_endpoint_auth_method |
Non | Indique comment Azure AD B2C envoie l’en-tête d’authentification au point de terminaison du jeton. Valeurs possibles : client_secret_post (par défaut) et client_secret_basic , private_key_jwt . Pour plus d’informations, consultez Section d’authentification du client OpenID Connect. |
token_signing_algorithm |
Non | Spécifie l’algorithme de signature à utiliser lorsque token_endpoint_auth_method a la valeur private_key_jwt . Valeurs possibles : RS256 (par défaut) ou RS512 . |
Configurer la méthode de liaison HTTP
Par défaut, la demande adressée au point de terminaison de jeton utilise HTTP POST.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">POST</Item>
L’appel HTTP suivant illustre un appel au point de terminaison de jeton à l’aide d’une requête HTTP POST :
POST /oauth2/token
client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Pour les fournisseurs d’identité qui nécessitent l’utilisation de la méthode HTTP GET au point de /token
terminaison, définissez les HttpBinding
métadonnées sur GET
. Notez que dans l’exemple suivant, le AccessTokenResponseFormat
est défini sur json
, car le point de terminaison du jeton renvoie la réponse au format JSON.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="AccessTokenResponseFormat">json</Item>
GET /oauth2/token?client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Configurer le format de réponse du jeton d’accès
Pour les fournisseurs d’identité qui prennent en charge la méthode HTTP POST, la valeur par défaut AccessTokenResponseFormat
est .json
Si le fournisseur d’identité prend en charge la requête HTTP GET, vous devez définir explicitement le format de réponse du jeton d’accès json
.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="AccessTokenResponseFormat">json</Item>
L’exemple suivant illustre une réponse de point de terminaison de jeton au format JSON :
{
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...",
"token_type": "Bearer",
"not_before": 1637924390,
"expires_in": 960000,
}
Configurer la méthode d’authentification
Les demandes adressées au point de terminaison de jeton nécessitent toujours une authentification. Par défaut, Azure AD B2C fournit au fournisseur d’identité les informations d’identification du client. Par défaut, la méthode d’authentification est client_secret_post
, y compris les informations d’identification du client (client_id
et client_secret
) dans le corps de la demande.
La requête HTTP suivante adressée au point de terminaison de jeton contient les client_id
données et les client_secret
données POST. Pour les requêtes client_id
GET et les client_secret
sont inclus dans les paramètres de la chaîne de requête.
POST /oauth2/token
client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Pour les fournisseurs d’identité qui exigent l’utilisation de l’authentification HTTP de base à leur /token
point de terminaison, configurez les token_endpoint_auth_method
métadonnées sur client_secret_basic
. Avec ce type de méthode d’authentification, les informations d’identification du client sont transmises au fournisseur d’identité à l’aide du schéma d’authentification HTTP Basic.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="token_endpoint_auth_method">client_secret_basic</Item>
La requête HTTP suivante illustre un appel au point de terminaison de jeton avec l’authentification HTTP de base. L’en-tête d’autorisation contient l’ID client et la clé secrète client, au format client_ID:client_secret
, encodé en base64.
POST /oauth2/token
Authorization: Basic YWJjZDoxMjM0
redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Pour les fournisseurs d’identité qui prennent en charge l’authentification JWT par clé privée, configurez les token_endpoint_auth_method
métadonnées sur private_key_jwt
. Avec ce type de méthode d’authentification, le certificat fourni à Azure AD B2C est utilisé pour générer une assertion signée, qui est transmise au fournisseur d’identité via le client_assertion
paramètre. L’ensemble client_assertion_type
sur urn:ietf:params:oauth:client-assertion-type:jwt-bearer
. Les token_signing_algorithm
métadonnées spécifient l’algorithme de signature du JWT.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="token_endpoint_auth_method">private_key_jwt</Item>
<Item Key="token_signing_algorithm">RS256</Item>
La requête HTTP suivante illustre un appel au point de terminaison de jeton à l’aide de l’authentification JWT par clé privée.
POST /oauth2/token
client_assertion=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsImtpZCI6IjJFRFg0dWRYeDIxbXNoaXdJVzczMUY3OUZSbFJiUDZXVXJyZmktR1RFeVkifQ.eyJpc3MiOiJhYmNkIiwiZXhwIjoxNjM3OTI5ODY0LCJuYmYiOjE2Mzc5Mjk1NjQsImF1ZCI6Imh0dHBzOi8vNWRlNC0xMDktNjQtMTI0LTUzLm5ncm9rLmlvL2FjY2Vzc190b2tlbiIsImp0aSI6IjVxQWlGV2lEODNDbU1KWWNrejBRdGc9PSIsInN1YiI6ImFiY2QiLCJpYXQiOjE2Mzc5Mjk1NjR9.C4OtRnrLaQatpT5LP45O5Nb418S4v8yZi_C42ld440w&client_id=abcd&client_assertion_type=urn%3aietf%3aparams%3aoauth%3aclient-assertion-type%3ajwt-bearer&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Métadonnées du point de terminaison d’informations utilisateur
Une fois qu’Azure AD B2C a obtenu le jeton d’accès du fournisseur d’identité OAuth2, il effectue un appel au point de terminaison d’informations utilisateur. Le point de terminaison d’informations sur l’utilisateur, également appelé point de terminaison de revendications, est conçu pour récupérer les revendications concernant l’utilisateur authentifié. Azure AD B2C utilise l’authentification par jeton du porteur pour s’authentifier auprès du point de terminaison d’informations utilisateur du fournisseur d’identité. Le jeton du porteur est le jeton d’accès qu’Azure AD B2C obtient à partir du point de terminaison des fournisseurs /token
d’identité.
La demande adressée au point de terminaison d’informations sur l’utilisateur est toujours HTTP GET. Le jeton d’accès est envoyé dans un paramètre de chaîne de requête nommé access_token
. La requête HTTP suivante affiche un appel au point de terminaison d’informations sur l’utilisateur avec le jeton d’accès dans le paramètre de chaîne de requête.
GET /oauth2/claims?access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Le tableau suivant répertorie les métadonnées du point de terminaison d’informations sur l’utilisateur.
Caractéristique | Obligatoire | Descriptif |
---|---|---|
ClaimsEndpoint |
Oui | URL du point de terminaison d’informations utilisateur. Par exemple : https://api.linkedin.com/v2/me . |
ClaimsEndpointAccessTokenName |
Non | Nom du paramètre de chaîne de requête de jeton d’accès. Valeur par défaut : access_token . |
ClaimsEndpointFormatName |
Non | Nom du paramètre de chaîne de requête de format. Par exemple, vous pouvez définir le nom comme format dans ce point https://api.linkedin.com/v1/people/~?format=json de terminaison de revendications LinkedIn. |
ClaimsEndpointFormat |
Non | Valeur du paramètre de chaîne de requête de format. Par exemple, vous pouvez définir la valeur comme json dans ce point https://api.linkedin.com/v1/people/~?format=json de terminaison de revendications LinkedIn. |
BearerTokenTransmissionMethod |
Non | Spécifie le mode d’envoi du jeton. La méthode par défaut est une chaîne de requête. Pour envoyer le jeton en tant qu’en-tête de demande, définissez la valeur AuthorizationHeader . |
ExtraParamsInClaimsEndpointRequest |
Non | Contient les paramètres supplémentaires qui peuvent être renvoyés dans la demande ClaimsEndpoint par certains fournisseurs d’identité. Les noms de plusieurs paramètres doivent être échappés et séparés par la virgule ',' délimiteur. |
Configurer le paramètre de chaîne de requête de jeton d’accès
Le point de terminaison d’informations sur l’utilisateur peut nécessiter l’envoi du jeton d’accès dans un paramètre de chaîne de requête particulier. Pour modifier le nom du paramètre de chaîne de requête, qui contient le jeton d’accès, utilisez les ClaimsEndpointAccessTokenName
métadonnées. Dans l’exemple suivant, le paramètre de chaîne de requête de jeton d’accès est défini sur token
.
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="ClaimsEndpointAccessTokenName">token</Item>
L’appel HTTP suivant illustre un appel au point de terminaison d’informations utilisateur avec ClaimsEndpointAccessTokenName
la valeur :token
GET /oauth2/claims?token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Configurer le format des revendications
Les ClaimsEndpointFormatName
et ClaimsEndpointFormat
vous permettent d’envoyer un paramètre de chaîne de requête de paire clé-valeur au point de terminaison d’informations utilisateur. L’exemple suivant configure un paramètre de chaîne de requête nommé format
, avec la valeur .json
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="ClaimsEndpointFormatName">format</Item>
<Item Key="ClaimsEndpointFormat">json</Item>
La requête HTTP suivante illustre un appel au point de terminaison d’informations utilisateur avec ClaimsEndpointFormatName
et ClaimsEndpointFormat
configured.
GET /oauth2/claims?format=json&access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Configurer la méthode de transmission du jeton du porteur
Par défaut, le jeton d’accès est envoyé au point de terminaison d’informations utilisateur des fournisseurs d’identité via un paramètre de chaîne de requête. Pour envoyer le jeton dans l’en-tête HTTP Authorization
, définissez BearerTokenTransmissionMethod
les métadonnées sur AuthorizationHeader
.
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>
La requête HTTP suivante montre comment le jeton d’accès est transmis lorsque BearerTokenTransmissionMethod
la valeur est .AuthorizationHeader
GET /oauth2/claims
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Passer les paramètres renvoyés par le point de terminaison du jeton
Certains fournisseurs d’identité nécessitent de transmettre des paramètres supplémentaires qui sont renvoyés par le point de terminaison de jeton au point de terminaison d’informations sur l’utilisateur. Par exemple, la réponse du point de terminaison de jeton contient un paramètre nommé resource
, qui est un paramètre obligatoire du point de terminaison d’informations sur l’utilisateur (en plus du jeton d’accès). Utilisez les ExtraParamsInClaimsEndpointRequest
métadonnées pour spécifier les paramètres supplémentaires à transmettre. Les noms de plusieurs paramètres doivent être échappés et séparés par la virgule ',' délimiteur.
Le fichier JSON JSON suivant illustre le retour d’une charge utile JSON par le point de terminaison du jeton avec un paramètre nommé resource
.
{
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...",
"token_type": "Bearer",
"not_before": 1549647431,
"expires_in": 960000,
"resource": "f2a76e08-93f2-4350-833c-965c02483b11"
}
Pour transmettre le resource
paramètre au point de terminaison d’informations sur l’utilisateur, ajoutez les métadonnées suivantes :
<Item Key="ExtraParamsInClaimsEndpointRequest">resource</Item>
La requête HTTP suivante montre comment le resource
paramètre est transmis au point de terminaison d’informations utilisateur.
GET /oauth2/claims?resource=f2a76e08-93f2-4350-833c-965c02483b11&access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Point de terminaison de fin de session
Pour déconnecter l’utilisateur de l’application, redirigez-le vers le point de terminaison de déconnexion Azure AD B2C (pour OAuth2 et OpenID Connect) ou envoyez un LogoutRequest
(pour SAML). Azure AD B2C efface la session de l’utilisateur à partir du navigateur. Lors d’une demande de déconnexion, Azure AD B2C tente de se déconnecter de tous les fournisseurs d’identité fédérés par lesquels l’utilisateur s’est connecté. L’URI de déconnexion du fournisseur d’identité OAuth2 est configuré dans les end_session_endpoint
métadonnées. Lorsque l’utilisateur se déconnecte de votre application via Azure AD B2C, une iframe masquée est créée qui l’appelle sur sa end_session_endpoint
page de déconnexion Azure AD B2C.
Le tableau suivant répertorie les métadonnées du point de terminaison d’informations sur l’utilisateur.
Caractéristique | Obligatoire | Descriptif |
---|---|---|
end_session_endpoint |
Oui | L’URL du point de terminaison de la session de fin conformément à la RFC 6749. |
SingleLogoutEnabled |
Non | Indique si, lors de la connexion, le profil technique tente de se déconnecter des fournisseurs d’identité fédérés. Pour plus d’informations, consultez Déconnexion d’une session Azure AD B2C. Valeurs possibles : true (par défaut) ou false . |
Métadonnées génériques OAuth2
Le tableau suivant répertorie les métadonnées génériques du fournisseur d’identité OAuth2. Les métadonnées décrivent comment le profil technique OAuth2 gère la validation des jetons, obtient les revendications et réagit aux messages d’erreur.
Caractéristique | Obligatoire | Descriptif |
---|---|---|
IdTokenAudience |
Non | Audience du jeton id_token. S’il est spécifié, Azure AD B2C vérifie si le jeton se trouve dans une revendication retournée par le fournisseur d’identité et s’il est égal à celui spécifié. |
ProviderName |
Non | Nom du fournisseur d’identité. |
ResponseErrorCodeParamName |
Non | Nom du paramètre contenant le message d’erreur renvoyé via HTTP 200 (Ok). |
IncludeClaimResolvingInClaimsHandling |
Non | Pour les revendications d’entrée et de sortie, spécifie si la résolution des revendications est incluse dans le profil technique. Valeurs possibles : true ou false (par défaut). Si vous souhaitez utiliser un programme de résolution des revendications dans le profil technique, définissez cette valeur sur true . |
ResolveJsonPathsInJsonTokens |
Non | Indique si le profil technique résout les chemins JSON. Valeurs possibles : true ou false (par défaut). Utilisez ces métadonnées pour lire des données à partir d’un élément JSON imbriqué. Dans un OutputClaim, définissez l’élément PartnerClaimType de chemin d’accès JSON que vous souhaitez générer. Par exemple : firstName.localized ou data[0].to[0].email . |
Clés de chiffrement
L’élément CryptographicKeys contient l’attribut suivant :
Caractéristique | Obligatoire | Descriptif |
---|---|---|
client_secret |
Oui | Clé secrète client de l’application du fournisseur d’identité. La clé cryptographique n’est requise que si les métadonnées response_types sont définies sur code . Dans ce cas, Azure AD B2C émet un autre appel pour échanger le code d’autorisation pour un jeton d’accès. Si les métadonnées sont définies sur id_token , vous pouvez omettre la clé de chiffrement. |
assertion_signing_key |
Non | Lorsque les token_endpoint_auth_method métadonnées sont définies sur private_key_jwt , fournissez un certificat X509 à utiliser pour signer la clé JWT. Cette clé doit vous être fournie par le fournisseur d’identité OAuth2. |
URI de redirection
Lorsque vous configurez l’URI de redirection de votre fournisseur d’identité, entrez https://{tenant-name}.b2clogin.com/{tenant-name}.onmicrosoft.com/oauth2/authresp
. Assurez-vous de remplacer {tenant-name}
par le nom de votre locataire (par exemple, contosob2c). L’URI de redirection doit être en minuscules.