Configurer Azure Active Directory B2C avec Bluink eID-Me pour la vérification d’identité

Important

À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.

Avant de commencer

Azure Active Directory B2C (Azure AD B2C) a deux méthodes pour définir l’interaction des utilisateurs avec les applications : flux d’utilisateurs prédéfinis ou stratégies personnalisées configurables. Les stratégies personnalisées traitent des scénarios complexes. Pour la plupart des scénarios, nous recommandons les flux utilisateur. Vue d’ensemble des flux utilisateur et des stratégies personnalisées

Intégrer l’authentification Azure AD B2C à eID-Me

Apprenez à intégrer l’authentification Azure AD B2C à Bluink eID-Me, une solution de vérification d’identité et d’identité numérique décentralisée pour les citoyens canadiens. Avec eID-Me, les clients Azure AD B2C vérifient l'identité de l'utilisateur, obtiennent des affirmations d'identité vérifiées pour l'inscription et la connexion. L’intégration prend en charge l’authentification multifacteur et la connexion sans mot de passe avec une identité numérique sécurisée. Les organisations peuvent répondre aux exigences IAL (Identity Assurance Level) 2 et Know Your Customer (KYC).

Pour en savoir plus, accédez à bluink.ca : Bluink Ltd

Conditions préalables

Pour commencer, vous avez besoin des éléments suivants :

• Un compte de tiers de confiance avec eID-Me
  • Accédez à bluink.ca pour en savoir plus et demander une démonstration
• Un abonnement Azure
  • Si vous n’en avez pas, obtenez un compte gratuit Azure
• Un locataire Azure AD B2C lié à l’abonnement Azure
  • Consultez Tutoriel : Créer un client Azure AD B2C
• Version d’évaluation ou de production de l’application eID-Me Digital ID
  • Accédez à bluink.ca pour télécharger l’application eID-Me Digital ID

Consultez également le tutoriel : Créer des flux utilisateur et des stratégies personnalisées dans Azure AD B2C.

Description du scénario

eID-Me s’intègre à Azure AD B2C en tant que fournisseur d’identité OpenID Connect (OIDC). Les composants suivants comprennent la solution eID-Me avec Azure AD B2C :

• Locataire Azure AD B2C - configuré en tant que tiers de confiance dans eID-Me, permettant à eID-Me de faire confiance à un locataire Azure AD B2C pour l’inscription et la connexion.
• Application de locataire Azure AD B2C : l’hypothèse est que les locataires ont besoin d’une application de locataire Azure AD B2C
  • L’application reçoit les revendications d’identité reçues par Azure AD B2C pendant la transaction
• Applications de smartphone eID-Me - Les utilisateurs du locataire Azure AD B2C ont besoin de l’application pour iOS ou Android
• Identités numériques eID-Me émises - issues de la vérification d'identité eID-Me
  • On attribue aux utilisateurs une identité numérique dans le portefeuille numérique de l'application. Les documents d’identité valides sont obligatoires.

Les applications eID-Me authentifient les utilisateurs pendant les transactions. L’authentification par clé publique X509 fournit une authentification multifacteur sans mot de passe, à l’aide d’une clé de connexion privée dans l’identité numérique eID-Me.

Le diagramme suivant illustre la vérification des identités eID-Me, qui se produit en dehors des flux Azure AD B2C.

1. L’utilisateur charge un selfie dans l’application smartphone eID-Me.
2. L’utilisateur analyse et charge un document d’identification émis par le gouvernement, tel que passeport ou permis de conduire, dans l’application de smartphone eID-Me.
3. eID-Me envoie des données au service d’identité à des fins de vérification.
4. L’utilisateur est émis une identité numérique, qui est enregistrée dans l’application.

Le diagramme suivant illustre l’intégration d’Azure AD B2C à eID-Me.

1. L’utilisateur ouvre la page de connexion Azure AD B2C et se connecte ou s’inscrit avec un nom d’utilisateur.
2. L'utilisateur est transféré vers la stratégie de connexion et d'inscription Azure AD B2C.
3. Azure AD B2C redirige l’utilisateur vers le routeur d’identité eID-Me à l’aide du flux de code d’autorisation OIDC.
4. Le routeur envoie une notification Push à l’application mobile utilisateur avec les détails de la demande d’authentification et d’autorisation.
5. L’authentification de l’utilisateur s’affiche, puis une invite de revendication d’identité apparaît.
6. La réponse au défi va au routeur.
7. Le routeur répond à Azure AD B2C avec un résultat d’authentification.
8. La réponse du jeton d’ID Azure AD B2C est envoyée à l’application.
9. L’utilisateur reçoit ou refuse l’accès.

Bien démarrer avec eID-Me

Accédez à la page bluink.ca Contactez-nous pour demander une démonstration dans le but de configurer un environnement de test ou de production pour configurer des locataires Azure AD B2C en tant que partie de confiance. Les locataires déterminent les revendications d’identité nécessaires aux consommateurs qui s’inscrivent auprès d’eID-Me.

Configurer une application dans eID-Me

Les informations suivantes doivent être fournies pour configurer votre application de locataire en tant que partie de confiance eID-Me dans eID-Me :

Propriété	Descriptif
Nom	Azure AD B2C ou un autre nom d’application
Domaine	name.onmicrosoft.com
URI de redirection	https://jwt.ms
URL de redirection	https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp Par exemple : https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp Pour un domaine personnalisé, entrez https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp.
URL de la page d’accueil de l’application	Apparaît à l’utilisateur final
URL de la stratégie de confidentialité de l’application	Apparaît à l’utilisateur final

Remarque

Lorsque la partie de confiance est configurée, ID-Me fournit un ID client et une clé secrète client. Notez l’ID client et la clé secrète client pour configurer le fournisseur d’identité (IdP) dans Azure AD B2C.

Ajouter un nouveau fournisseur d’identité dans Azure AD B2C

Pour les instructions suivantes, utilisez le répertoire associé au locataire Azure AD B2C.

1. Connectez-vous au portail Azure en tant qu'au moins administrateur de stratégie IEF B2C du locataire Azure AD B2C.
2. Dans le menu supérieur, sélectionnez Répertoire + abonnement.
3. Sélectionnez le répertoire avec le locataire.
4. Dans le coin supérieur gauche du portail Azure, sélectionnez Tous les services.
5. Recherchez et sélectionnez Azure AD B2C.
6. Accédez au tableau de bord> desfournisseurs d’identité>.
7. Sélectionnez Nouveau fournisseur OpenID Connect.
8. Sélectionnez Ajouter.

Configurer un fournisseur d’identité

Pour configurer un fournisseur d’identité :

1. Sélectionnez Le type >OpenID Connect.
2. Dans le formulaire du fournisseur d’identité, pour Nom, entrez eID-Me Passwordless ou un autre nom.
3. Pour l’ID client, entrez l’ID client d’eID-Me.
4. Pour Clé secrète client, entrez la clé secrète client d’eID-Me.
5. Pour Étendue, sélectionnez profil e-mail openid.
6. Pour le type de réponse, sélectionnez le code.
7. Pour le mode Réponse, sélectionnez la publication de formulaire.
8. Cliquez sur OK.
9. Sélectionnez Mapper les revendications de ce fournisseur d’identité.
10. Pour l’ID utilisateur, utilisez sub.
11. Pour le nom d'affichage, utilisez nom.
12. Pour le nom donné, utilisez given_name.
13. Pour le nom de famille, utilisez family_name.
14. Pour email, utilisez email.
15. Cliquez sur Enregistrer.

Configurer l’authentification multifacteur

eID-Me est un authentificateur multifacteur. Par conséquent, la configuration de l’authentification multifacteur de flux utilisateur n’est pas nécessaire.

Créer une stratégie de flux utilisateur

Pour les instructions suivantes, eID-Me apparaît comme un nouveau fournisseur d'identité OIDC parmi les fournisseurs d'identité B2C.

1. Dans le locataire Azure AD B2C, sous Stratégies, sélectionnez Flux d’utilisateurs.
2. Sélectionnez Nouveau flux d’utilisateurs.
3. Sélectionnez S’inscrire et se connecter>Version>Créer.
4. Entrez un nom de stratégie.
5. Dans les fournisseurs d’identité, sélectionnez le fournisseur d’identité eID-Me créé.
6. Pour les comptes locaux, sélectionnez Aucun. La sélection désactive l’authentification par e-mail et mot de passe.
7. Sélectionner Exécuter le flux utilisateur.
8. Entrez une URL de réponse, telle que https://jwt.ms.
9. Le navigateur redirige vers la page de connexion eID-Me.
10. Entrez le nom du compte fourni lors de l’inscription de l’utilisateur.
11. L’utilisateur reçoit une notification Push sur l’appareil mobile avec eID-Me.
12. Un défi d’authentification s’affiche.
13. Le défi est accepté et le navigateur redirige vers l’URL de réponse.

Remarque

Azure Active Directory B2C (Azure AD B2C) a deux méthodes pour définir l’interaction des utilisateurs avec les applications : flux d’utilisateurs prédéfinis ou stratégies personnalisées configurables. Les stratégies personnalisées traitent des scénarios complexes. Pour la plupart des scénarios, nous recommandons les flux utilisateur. Vue d’ensemble des flux utilisateur et des stratégies personnalisées

Créer une clé de stratégie

Stockez le secret client que vous avez enregistré dans votre instance Azure AD B2C. Pour les instructions suivantes, utilisez le répertoire associé au locataire Azure AD B2C.

1. Connectez-vous au portail Azure.
2. Dans la barre d’outils du portail, sélectionnez les répertoires + abonnements.
3. Sur la page des paramètres du portail, Répertoires + abonnements, dans la liste des noms d’annuaire, recherchez votre répertoire Azure AD B2C.
4. Sélectionnez Basculer.
5. Dans le coin supérieur gauche du portail Azure, sélectionnez Tous les services.
6. Recherchez et sélectionnez Azure AD B2C.
7. Dans la page Vue d’ensemble, sélectionnez Identity Experience Framework.
8. Sélectionnez Clés de stratégie.
9. Sélectionnez Ajouter.
10. Pour options, choisissez Manuel.
11. Entrez un nom pour la clé de stratégie. Par exemple : eIDMeClientSecret. Le préfixe B2C_1A_ est ajouté au nom de la clé.
12. Dans Secret, entrez le secret client que vous avez noté.
13. Pour l’utilisation de la clé, sélectionnez Signature.
14. Cliquez sur Créer.

Configurer eID-Me en tant que fournisseur d’identité

Définissez eID-Me en tant que fournisseur de revendications pour permettre aux utilisateurs de se connecter avec eID-Me. Azure AD B2C communique avec lui via un point de terminaison. Le point de terminaison fournit des assertions utilisées par Azure AD B2C pour vérifier l’authentification de l’utilisateur avec une identité numérique sur son appareil.

Pour définir eID-Me en tant que fournisseur de revendications, ajoutez-le à l’élément ClaimsProvider dans le fichier d’extension de stratégie.

1. Ouvrez le fichier TrustFrameworkExtensions.xml.

2. Recherchez l’élément ClaimsProviders . S’il n’apparaît pas, ajoutez-le sous l’élément racine.

3. Ajoutez un nouveau ClaimsProvider :

      <ClaimsProvider>
      <Domain>eID-Me</Domain>
      <DisplayName>eID-Me</DisplayName>
      <TechnicalProfiles>
        <TechnicalProfile Id="eID-Me-OIDC">
          <!-- The text in the following DisplayName element is shown to the user on the claims provider 
   selection screen. -->
          <DisplayName>eID-Me for Sign In</DisplayName>
          <Protocol Name="OpenIdConnect" />
          <Metadata>
            <Item Key="ProviderName">https://eid-me.bluink.ca</Item>
            <Item Key="METADATA">https://demoeid.bluink.ca/.well-known/openid-configuration</Item>
            <Item Key="response_types">code</Item>
            <Item Key="scope">openid email profile</Item>
            <Item Key="response_mode">form_post</Item>
            <Item Key="HttpBinding">POST</Item>
            <Item Key="token_endpoint_auth_method">client_secret_post</Item>
            <Item Key="client_id">eid_me_rp_client_id</Item>
            <Item Key="UsePolicyInRedirectUri">false</Item>
          </Metadata>
          <CryptographicKeys>
            <Key Id="client_secret" StorageReferenceId="B2C_1A_eIDMeClientSecret" />
          </CryptographicKeys>
          <InputClaims />
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
            <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" />
            <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
            <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
            <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
            <OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
            <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
            <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
            <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
            <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
            <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
          </OutputClaims>
          <OutputClaimsTransformations>
            <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
            <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
            <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
            <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
          </OutputClaimsTransformations>
          <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
        </TechnicalProfile>
      </TechnicalProfiles>
    </ClaimsProvider>
   

4. Pour eid_me_rp_client_id entrez l’ID client de partie de confiance eID-Me.

5. Cliquez sur Enregistrer.

Revendications d’identité prises en charge

Vous pouvez ajouter d’autres revendications d’identité que eID-Me prend en charge.

1. Ouvrez le fichier TrustFrameworksExtension.xml.
2. Recherchez l’élément BuildingBlocks.

Remarque

Retrouvez les listes de revendications d’identité eID-Me prises en charge dans le référentiel OID en utilisant des identificateurs OIDC sur la configuration connue/openid.

<BuildingBlocks>
<ClaimsSchema>
 <ClaimType Id="IAL">
     <DisplayName>Identity Assurance Level</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="identity_assurance_level_achieved" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</AdminHelpText>
     <UserHelpText>The Identity Assurance Level Achieved during proofing of the digital identity.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

<ClaimType Id="picture">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="thumbnail_portrait" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The portrait photo of the user.</AdminHelpText>
     <UserHelpText>Your portrait photo.</UserHelpText>
     <UserInputType>Readonly</UserInputType>
   </ClaimType>

 <ClaimType Id="middle_name">
     <DisplayName>Portrait Photo</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="middle_name" />
     </DefaultPartnerClaimTypes>
     <UserHelpText>Your middle name.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="birthdate">
     <DisplayName>Date of Birth</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="birthdate" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's date of birth.</AdminHelpText>
     <UserHelpText>Your date of birth.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

 <ClaimType Id="gender">
     <DisplayName>Gender</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="gender" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's gender.</AdminHelpText>
     <UserHelpText>Your gender.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 
 <ClaimType Id="street_address">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="street_address" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's full street address, which MAY include house number, street name, post office box.</AdminHelpText>
     <UserHelpText>Your street address of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

<ClaimType Id="locality">
     <DisplayName>Locality/City</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="locality" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current city or locality of residence.</AdminHelpText>
     <UserHelpText>Your current city or locality of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="region">
     <DisplayName>Province or Territory</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="region" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current province or territory of residence.</AdminHelpText>
     <UserHelpText>Your current province or territory of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="country">
     <DisplayName>Country</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="country" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's current country of residence.</AdminHelpText>
     <UserHelpText>Your current country of residence.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_number">
     <DisplayName>Driver's Licence Number</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_number" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence number.</AdminHelpText>
     <UserHelpText>Your driver's licence number.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>

   <ClaimType Id="dl_class">
     <DisplayName>Driver's Licence Class</DisplayName>
     <DataType>string</DataType>
     <DefaultPartnerClaimTypes>
       <Protocol Name="OpenIdConnect" PartnerClaimType="dl_class" />
     </DefaultPartnerClaimTypes>
     <AdminHelpText>The user's driver's licence class.</AdminHelpText>
     <UserHelpText>Your driver's licence class.</UserHelpText>
     <UserInputType>TextBox</UserInputType>
   </ClaimType>
 </ClaimsSchema>

Ajouter un parcours utilisateur

Dans les instructions suivantes, le fournisseur d’identité est configuré, mais pas dans les pages de connexion. Si vous n’avez pas de parcours utilisateur personnalisé, copiez un modèle de parcours utilisateur.

1. À partir du pack de démarrage, ouvrez le TrustFrameworkBase.xml fichier.
2. Recherchez et copiez le contenu de l’élément UserJourneys qui inclut ID=SignUpOrSignIn.
3. Ouvrez le fichier TrustFrameworkExtensions.xml.
4. Recherchez l’élément UserJourneys . Si l’élément n’apparaît pas, ajoutez-en un.
5. Collez le contenu de l’élément UserJourney en tant qu’enfant de l’élément UserJourneys .
6. Renommez l’ID de parcours utilisateur, par exemple, ID=CustomSignUpSignIn.

Ajouter le fournisseur d’identité à un parcours utilisateur

Ajoutez le nouveau fournisseur d’identité au parcours utilisateur.

1. Dans le parcours utilisateur, recherchez l’élément d’étape d’orchestration avec Type=CombinedSignInAndSignUpou Type=ClaimsProviderSelection. Il s’agit généralement de la première étape d’orchestration. L’élément ClaimsProviderSelections contient une liste de fournisseurs d’identité avec utilisant lequel les utilisateurs se connectent. L’ordre des éléments contrôle l’ordre des boutons de connexion que l’utilisateur voit.
2. Ajoutez un élément XML ClaimsProviderSelection .
3. Définissez la valeur TargetClaimsExchangeId sur un nom convivial.
4. À l’étape d’orchestration suivante, ajoutez un élément ClaimsExchange .
5. Définissez l’ID sur la valeur de l’ID d’échange des revendications cibles.
6. Mettez à jour la valeurv TechnicalProfileReferenceId avec l’ID de profil technique que vous avez créé.

Le code XML suivant illustre sept étapes d’orchestration de parcours utilisateur avec le fournisseur d’identité :

 <UserJourney Id="eIDME-SignUpOrSignIn">
   <OrchestrationSteps>
     <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
       <ClaimsProviderSelections>
         <ClaimsProviderSelection TargetClaimsExchangeId="eIDMeExchange" />
        </ClaimsProviderSelections>
   </OrchestrationStep>
     <!-- Check if the user has selected to sign in using one of the social providers -->
     <OrchestrationStep Order="2" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="eIDMeExchange" TechnicalProfileReferenceId="eID-Me-OIDC" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- For social IDP authentication, attempt to find the user account in the directory. -->
     <OrchestrationStep Order="3" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>localAccountAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId="AAD-UserReadUsingAlternativeSecurityId-NoError" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- Show self-asserted page only if the directory does not have the user account already (i.e. we do not have an objectId).  -->
     <OrchestrationStep Order="4" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="SelfAsserted-Social" TechnicalProfileReferenceId="SelfAsserted-Social" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- This step reads any user attributes that we may not have received when authenticating using ESTS so they can be sent in the token. -->
     <OrchestrationStep Order="5" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
           <Value>authenticationSource</Value>
           <Value>socialIdpAuthentication</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserReadWithObjectId" TechnicalProfileReferenceId="AAD-UserReadUsingObjectId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <!-- The previous step (SelfAsserted-Social) could have been skipped if there were no attributes to collect 
          from the user. So, in that case, create the user in the directory if one does not already exist 
          (verified using objectId which would be set from the last step if account was created in the directory. -->
     <OrchestrationStep Order="6" Type="ClaimsExchange">
       <Preconditions>
         <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
           <Value>objectId</Value>
           <Action>SkipThisOrchestrationStep</Action>
         </Precondition>
       </Preconditions>
       <ClaimsExchanges>
         <ClaimsExchange Id="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId" />
       </ClaimsExchanges>
     </OrchestrationStep>
     <OrchestrationStep Order="7" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
   </OrchestrationSteps>
   <ClientDefinition ReferenceId="DefaultWeb" />
 </UserJourney>

Configurer la stratégie de partie de confiance

La stratégie de partie de confiance spécifie le parcours utilisateur exécuté par Azure AD B2C. Vous pouvez contrôler les revendications transmises à votre application. Ajustez l’élément OutputClaims de l’élément eID-Me-OIDC-Signup TechnicalProfile. Dans l’exemple suivant, l’application reçoit le code postal de l’utilisateur, la localité, la région, la IAL, le portrait, le prénom et la date de naissance. Il reçoit la revendication booléenne signupConditionsSatisfied , qui indique si un compte a été créé.

 <RelyingParty>
     <DefaultUserJourney ReferenceId="eIDMe-SignUpOrSignIn" />
     <TechnicalProfile Id="PolicyProfile">
       <DisplayName>PolicyProfile</DisplayName>
       <Protocol Name="OpenIdConnect" />
       <OutputClaims>
         <OutputClaim ClaimTypeReferenceId="displayName" />
         <OutputClaim ClaimTypeReferenceId="givenName" />
         <OutputClaim ClaimTypeReferenceId="surname" />
         <OutputClaim ClaimTypeReferenceId="email" />
         <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
         <OutputClaim ClaimTypeReferenceId="identityProvider" />
         <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
         <OutputClaim ClaimTypeReferenceId="postalCode" PartnerClaimType="postal_code" DefaultValue="unknown postal_code" />
         <OutputClaim ClaimTypeReferenceId="locality" PartnerClaimType="locality" DefaultValue="unknown locality" />
         <OutputClaim ClaimTypeReferenceId="region" PartnerClaimType="region" DefaultValue="unknown region" />
         <OutputClaim ClaimTypeReferenceId="IAL" PartnerClaimType="identity_assurance_level_achieved" DefaultValue="unknown IAL" />
         <OutputClaim ClaimTypeReferenceId="picture" PartnerClaimType="thumbnail_portrait" DefaultValue="unknown portrait" />
         <OutputClaim ClaimTypeReferenceId="middle_name" PartnerClaimType="middle_name" DefaultValue="unknown middle name" />
         <OutputClaim ClaimTypeReferenceId="birthdate" PartnerClaimType="birthdate" DefaultValue="unknown DOB" />
         <OutputClaim ClaimTypeReferenceId="newUser" PartnerClaimType="signupConditionsSatisfied" DefaultValue="false" />
       </OutputClaims>
       <SubjectNamingInfo ClaimType="sub" />
     </TechnicalProfile>
   </RelyingParty>

Télécharger la stratégie personnalisée

Pour les instructions suivantes, utilisez le répertoire associé au locataire Azure AD B2C.

1. Connectez-vous au portail Azure.
2. Dans la barre d’outils du portail, sélectionnez les répertoires + abonnements.
3. Dans les paramètres du portail, les répertoires + la page abonnements , dans la liste des noms d’annuaire , recherchez le répertoire Azure AD B2C.
4. Sélectionnez Basculer.
5. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.
6. Sous Stratégies, sélectionnez Identity Experience Framework.
7. Sélectionnez Charger une stratégie personnalisée.
8. Chargez les deux fichiers de stratégie que vous avez modifiés dans l’ordre suivant :

• Stratégie d’extension, par exemple TrustFrameworkBase.xml
• La stratégie de partie de confiance, par exemple SignUp.xml

Tester la stratégie personnalisée

1. Sélectionnez la stratégie de partie de confiance, par exemple B2C_1A_signup.
2. Pour l’application, sélectionnez une application web que vous avez inscrite.
3. L’URL de réponse est https://jwt.ms.
4. Sélectionnez Exécuter maintenant.
5. La politique d'inscription invoque eID-Me.
6. Pour la connexion, sélectionnez eID-Me.
7. Le navigateur est redirigé vers https://jwt.ms.
8. Le contenu du jeton retourné par Azure AD B2C s’affiche.

En savoir plus : Tutoriel : Inscrire une application web dans Azure AD B2C

Étapes suivantes

• Vue d’ensemble de la stratégie personnalisée Azure AD B2C
• Tutoriel : Créer des flux utilisateur et des stratégies personnalisées dans Azure Active Directory B2C
• Modèle de stratégie personnalisé et exemple d’application web ASP.NET Core pour l’intégration d’eID-Me à Azure AD B2C
• Accédez à bluink.ca pour le Guide d’intégration de vérification d’ID Azure AD B2C | eID-Me