Partager via

Configurer Trusona Authentication Cloud avec Azure Active Directory B2C

Important

À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.

Dans cet exemple de tutoriel, vous allez apprendre à intégrer l’authentification Azure AD B2C à Trusona Authentication Cloud. Il s’agit d’un service cloud qui permet aux utilisateurs de s’authentifier avec une expérience sans contact, sans besoin d'aucune application d’authentification mobile.

Les avantages de l’intégration de Trusona Authentication Cloud à Azure AD B2C sont les suivants :

  • Fournir une authentification forte avec une meilleure expérience utilisateur

    • Utilisateurs plus heureux qui dépensent plus en ligne
    • Diminution de l’attrition et de l’abandon, augmentation des revenus
    • Rétention plus élevée, valeur de durée de vie (LTV)

  • Réduction des coûts de fonctionnement de l’entreprise

    • Usurpations de compte réduites et partage des comptes
    • Réduction de la fraude et moins d’actions d’analyse manuelle des fraudes
    • Réduction des dépenses consacrées à l’externalisation des révisions manuelles

  • Éliminer les mots de passe

    • Plus de réinitialisations de mot de passe
    • Réduction des plaintes du centre d’appels
    • Connexions rapides, simples et sans friction à l’aide de clés secrètes

Conditions préalables

Pour commencer, vous avez besoin des éléments suivants :

  • Un compte d’évaluation Trusona Authentication Cloud. Pour demander un compte, contactez Trusona.
  • Un abonnement Azure. Si vous n’avez pas d’abonnement, vous pouvez obtenir un compte gratuit .
  • Un locataire Azure AD B2C lié à votre abonnement Azure.

Description du scénario

Standard d’authentification web : WebAuthn implémente des systèmes d’exploitation et des navigateurs modernes pour prendre en charge l’authentification via l’impression des doigts, Windows hello ou des périphériques FIDO externes tels que USB, Bluetooth et mot de passe à usage unique (OTP).

Dans ce scénario, Trusona agit en tant que fournisseur d’identité (IDP) pour Azure AD B2C pour activer l’authentification sans mot de passe. Les composants suivants composent la solution :

  • Une stratégie combinée de connexion et d’inscription Azure AD B2C.
  • Trusona Authentication Cloud ajouté à Azure AD B2C en tant que fournisseur d’identité.

Capture d’écran montrant le diagramme de l’architecture Trusona.

Étapes Descriptif
1. Un utilisateur tente de se connecter à l’application web via son navigateur.
2. L’application web redirige vers la stratégie d’inscription et de connexion Azure AD B2C.
3 Pour authentifier l’utilisateur, Azure AD B2C le redirige vers Trusona Authentication Cloud, le fournisseur d’identité OpenID Connect (OIDC).
4. L’utilisateur est présenté avec une page web de connexion qui demande son nom d’utilisateur , généralement une adresse e-mail.
5 L’utilisateur entre son adresse e-mail et sélectionne le bouton Continuer . Si le compte de l’utilisateur n’est pas trouvé dans le cloud d’authentification Trusona, une réponse est envoyée au navigateur qui lance un processus d’inscription WebAuthn sur l’appareil. Sinon, une réponse est envoyée au navigateur qui commence un processus d’authentification WebAuthn.
6. L’utilisateur est invité à sélectionner des informations d’identification à utiliser. La clé secrète est associée au domaine de l’application web ou à une clé de sécurité matérielle. Une fois que l’utilisateur sélectionne des informations d’identification, le système d’exploitation demande à l’utilisateur d’utiliser un code biométrique, un code secret ou un code confidentiel pour confirmer son identité. Cela déverrouille l’environnement d’enclave sécurisée/exécution approuvée, qui génère une assertion d’authentification signée par la clé privée associée aux informations d’identification sélectionnées.
7. L’assertion d’authentification est retournée au service cloud Trusona pour vérification.
8. Une fois vérifié, Trusona Authentication Cloud (IdP) crée un jeton d’ID OIDC, puis le transfère à Azure AD B2C (Fournisseur de services). Azure AD B2C valide la signature du jeton et l’émetteur par rapport aux valeurs du document de découverte OpenID de Trusona. Ces informations ont été définies lors de la configuration du fournisseur d’identité. Une fois vérifiées Azure AD B2C émet un jeton OIDC id_token (selon l’étendue) et redirige l’utilisateur vers l’application initiale en joignant le jeton.
9. L’application web (ou les bibliothèques de développeurs qu’elle utilise pour implémenter l’authentification) récupère le jeton et vérifie l’authenticité du jeton Azure AD B2C. Si l’authentification est vérifiée, elle extrait les revendications et les transmet pour utilisation à l’application web.
10. Lors de la vérification, l’utilisateur reçoit/refuse l’accès.

Étape 1 : Intégration à Trusona Authentication Cloud

  1. Connectez-vous au portail Trusona.

  2. Dans le volet de navigation gauche, sélectionnez Paramètres

  3. Dans le menu Paramètres, sélectionnez le curseur pour activer OIDC.

  4. Sélectionnez les entrées appropriées et fournissez l’URLhttps://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp de redirection.

  5. Générez une clé secrète et copiez la clé à utiliser dans votre configuration Azure AD B2C.

    Remarque

    1. Le portail Trusona prend en charge l’inscription en libre-service. Lors de l’inscription, vous êtes affecté à un compte Trusona avec des droits en lecture seule. Par la suite, Trusona vous affectera le compte approprié et élevera vos droits en lecture-écriture en fonction de la stratégie de contrôle d’accès de votre organisation pour les utilisateurs du portail.
    2. Le nom de domaine initial de Microsoft Entra ID est utilisé comme hôte de redirection du client.

    Capture d’écran montrant les paramètres du portail Cloud Trusona Authentication.

Étape 2 : Inscrire une application web dans Azure AD B2C

Avant que vos applications puissent interagir avec Azure AD B2C, elles doivent être inscrites dans votre locataire client. Ce tutoriel vous montre comment inscrire une application web à l’aide du portail Azure. À des fins de test comme ce tutoriel, vous inscrivez https://jwt.ms, une application web appartenant à Microsoft qui affiche le contenu décodé d’un jeton (le contenu du jeton ne quitte jamais votre navigateur). Pour inscrire une application web dans votre locataire Azure AD B2C, utilisez notre nouvelle expérience d’inscription d’application unifiée.

  1. Connectez-vous au portail Azure.

  2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.

  3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.

  4. Sélectionnez Inscriptions d'applications, puis sélectionnez Nouvelle inscription.

  5. Entrez un Nom pour l’application. Par exemple, jwt ms.

  6. Sous Types de comptes pris en charge, sélectionnez Comptes dans un fournisseur d’identité ou annuaire organisationnel (pour authentifier les utilisateurs avec des flux d’utilisateurs).

  7. Sous URI de redirection, sélectionnez Web, puis entrez https://jwt.ms dans la zone de texte URL.

    L’URI de redirection est le point de terminaison auquel le serveur d’autorisation, Azure AD B2C dans ce cas envoie l’utilisateur. Une fois son interaction avec l’utilisateur terminée, un jeton d’accès ou un code d’autorisation est envoyé lors de l’autorisation réussie. Dans une application de production, il s’agit généralement d’un point de terminaison accessible publiquement dans lequel votre application s’exécute, comme https://contoso.com/auth-response. Dans le cadre de ce didacticiel, vous pouvez le définir sur https://jwt.ms, une application web appartenant à Microsoft qui affiche le contenu décodé d’un jeton (le contenu du jeton ne sort jamais de votre navigateur). Pendant le développement d’applications, vous pouvez ajouter le point de terminaison où votre application écoute localement, par exemple https://localhost:5000. Vous pouvez ajouter des URI de redirection à vos applications inscrites à tout moment et les modifier.

    Les restrictions suivantes s’appliquent pour rediriger les identificateurs de ressources uniformes (URI) :

    • L’URL de réponse doit commencer par le schéma https, sauf si vous utilisez une URL de redirection localhost.
    • L’URL de réponse respecte la casse. Sa casse doit correspondre à celle du chemin d’URL de votre application en cours d’exécution. Par exemple, si votre application inclut dans le cadre de son chemin d’accès .../abc/response-oidc, ne spécifiez .../ABC/response-oidc pas dans l’URL de réponse. Étant donné que le navigateur web considère que les chemins respectent la casse, les cookies associés à .../abc/response-oidc peuvent être exclus s’ils sont redirigés vers l’URL .../ABC/response-oidc qui ne correspond pas à la casse.
    • L’URL de réponse doit inclure ou exclure la barre oblique de fin, car votre application l’attend. Par exemple, https://contoso.com/auth-response et https://contoso.com/auth-response/ peut être traité comme des URL qui ne correspondent pas dans votre application.

  8. Sous Permissions, cochez la case Accorder le consentement de l’administrateur aux autorisations openid et offline_access.

  9. Sélectionnez Inscrire.

Activer l’octroi implicite du jeton d’ID

Vous pouvez activer le flux d’octroi implicite pour utiliser cette inscription d’application pour tester un flux utilisateur à des fins de test.

  1. Sélectionnez l’inscription d’application que vous avez créée.

  2. Sous Gérer, sélectionnez Authentification.

  3. Sous Flux d’octroi implicite et hybrides, activez les cases à cocher Jetons d’accès (utilisés pour les flux implicites) et Jetons d’ID (utilisés pour les flux implicites et hybrides).

  4. Cliquez sur Enregistrer.

Remarque

Si vous activez l’octroi implicite pour tester un flux utilisateur, veillez à désactiver les paramètres de flux d’octroi implicite avant de déployer votre application en production.

Étape 3 : Configurer Trusona Authentication Cloud en tant que fournisseur d’identité dans Azure AD B2C

  1. Connectez-vous au Portail Azure avec les rôles Administrateur du fournisseur d’identité externe et Administrateur de flux d’utilisateurs B2C dans votre locataire Azure AD B2C.

  2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.

  3. Choisissez tous les services dans le coin supérieur gauche du portail Azure, recherchez et sélectionnez Azure AD B2C.

  4. Accédez au tableau de bord> desfournisseurs d’identité>.

  5. Sélectionnez Fournisseurs d’identité.

  6. Sélectionnez Ajouter.

Configurer un fournisseur d’identité

  1. Sélectionnez Le type >OpenID Connect (préversion).

  2. Remplissez le formulaire pour configurer l'IdP.

    Propriété Valeur
    URL des métadonnées https://authcloud.trusona.net/.well-known/openid-configuration
    ID de client disponible sur le portail Trusona Authentication Cloud
    Clé secrète client disponible sur le portail Trusona Authentication Cloud
    Étendue E-mail de profil OpenID
    Type de réponse code
    Mode réponse form_post

  3. Cliquez sur OK.

  4. Sélectionnez Mapper les revendications de ce fournisseur d’identité.

  5. Pour mapper le fournisseur d’identité, remplissez le formulaire :

    Propriété Valeur
    ID d’utilisateur sous
    Nom complet surnom
    Prénom given_name
    Nom de famille nom de famille
    Mode réponse Messagerie électronique

  6. Sélectionnez OK pour terminer la configuration de votre nouveau fournisseur d’identité OIDC.

Étape 4 : Créer une stratégie de flux utilisateur

Vous devez maintenant voir Trusona comme un nouveau fournisseur d’identité OpenID Connect listé dans vos idPs B2C.

  1. Dans votre locataire Azure AD B2C, sous Stratégies, sélectionnez Flux d’utilisateurs.

  2. Sélectionnez Nouveau flux d’utilisateurs.

  3. Sélectionnez S’inscrire et se connecter, sélectionnez une version, puis sélectionnez Créer.

  4. Entrez un nom pour votre stratégie.

  5. Dans la section Fournisseurs d’identité , sélectionnez votre fournisseur Trusona Authentication nouvellement créé Cloud-Identity Provider.

    Remarque

    Étant donné que Trusona est intrinsèquement multifacteur, il est préférable de laisser l’authentification multifacteur désactivée.

  6. Cliquez sur Créer.

  7. Sous Attributs utilisateur et Revendications, choisissez Afficher plus. Dans le formulaire, sélectionnez au moins un attribut que vous avez spécifié lors de la configuration de votre fournisseur d’identité dans la section précédente.

  8. Cliquez sur OK.

Étape 5 : Tester votre flux utilisateur

  1. Sélectionnez la stratégie que vous avez créée.

  2. Sélectionnez Exécuter le flux utilisateur, puis sélectionnez les paramètres :

    a) Application : sélectionnez l’application inscrite, par exemple, jwt ms.

    b. URL de réponse : sélectionnez l’URL de redirection, par exemple https://jwt.ms.

  3. Sélectionner Exécuter le flux utilisateur. Vous devez être redirigé vers le cloud d’authentification Trusona. L’utilisateur est présenté avec une page web de connexion qui demande son nom d’utilisateur , généralement une adresse e-mail. Si le compte de l’utilisateur n’est pas trouvé dans Trusona Authentication Cloud, une réponse est envoyée au navigateur qui lance un processus d’inscription WebAuthn sur l’appareil. Sinon, une réponse est envoyée au navigateur qui commence un processus d’authentification WebAuthn. L’utilisateur est invité à sélectionner des informations d’identification à utiliser. La clé secrète est associée au domaine de l’application web ou à une clé de sécurité matérielle. Une fois que l’utilisateur sélectionne des informations d’identification, le système d’exploitation demande à l’utilisateur d’utiliser un code biométrique, un code secret ou un code confidentiel pour confirmer son identité. Cela déverrouille l’environnement d’enclave sécurisée/exécution approuvée, qui génère une assertion d’authentification signée par la clé privée associée aux informations d’identification sélectionnées. Azure AD B2C valide la réponse d’authentification Trusona et émet un jeton OIDC. Il redirige l’utilisateur vers l’application de lancement, par exemple, https://jwt.msqui affiche le contenu du jeton retourné par Azure AD B2C.

Étape 3 : Créer une clé de stratégie Cloud Trusona Authentication

Stockez la clé secrète client que vous avez générée précédemment à l’étape 1 dans votre locataire Azure AD B2C.

  1. Connectez-vous au portail Azure.

  2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.

  3. Choisissez tous les services dans le coin supérieur gauche du portail Azure, puis recherchez et sélectionnez Azure AD B2C.

  4. Dans la page Vue d’ensemble, sélectionnez Identity Experience Framework.

  5. Sélectionnez Clés de stratégie , puis sélectionnez Ajouter.

  6. Pour options, choisissez Manuel.

  7. Entrez un nom pour la clé de stratégie. Par exemple : TrusonaTacClientSecret. Le préfixe B2C_1A_ est ajouté automatiquement au nom de votre clé.

  8. Dans Secret, entrez votre clé secrète client que vous avez enregistrée précédemment.

  9. Pour l’utilisation de la clé, sélectionnez Signature.

  10. Cliquez sur Créer.

Étape 4 : Configurer Trusona Authentication Cloud en tant que fournisseur d’identité

Conseil / Astuce

La stratégie Azure AD B2C doit être configurée à ce stade. Si ce n’est pas le cas, suivez les instructions sur la configuration de votre locataire Azure AD B2C et la configuration des stratégies.

Pour permettre aux utilisateurs de se connecter à l’aide de Trusona Authentication Cloud, vous devez définir Trusona en tant que fournisseur de revendications avec lequel Azure AD B2C peut communiquer via un point de terminaison. Le point de terminaison fournit un ensemble de revendications utilisées par Azure AD B2C pour vérifier qu’un utilisateur spécifique s’est authentifié à l’aide d’une clé de passe ou d’une clé de sécurité matérielle disponible sur son appareil, montrant l’identité de l’utilisateur.

Pour ajouter Trusona en tant que fournisseur de revendications, procédez comme suit :

  1. Obtenez les packs de démarrage de stratégie personnalisés à partir de GitHub, puis mettez à jour les fichiers XML dans le pack de démarrage LocalAccounts avec le nom de votre locataire Azure AD B2C :

    1. Téléchargez le fichier .zip ou clonez le référentiel :

          git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack

    2. Dans tous les fichiers du répertoire LocalAccounts , remplacez la chaîne yourtenant par le nom de votre locataire Azure AD B2C. Par exemple, si le nom de votre locataire B2C est contoso, toutes les instances de yourtenant.onmicrosoft.com deviennent contoso.onmicrosoft.com.

  2. Ouvrez le fichier LocalAccounts/TrustFrameworkExtensions.xml.

  3. Recherchez l’élément ClaimsProviders . S’il n’existe pas, ajoutez-le sous l’élément racine. TrustFrameworkPolicy

  4. Ajoutez un nouveau ClaimsProvider similaire à celui indiqué ci-dessous :

<ClaimsProvider>
  <Domain>TrusonaTAC</Domain>
  <DisplayName>Trusona TAC</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="TrusonaTAC-OpenIdConnect">
      <DisplayName>TrusonaTAC</DisplayName>
      <Description>Login with your Trusona TAC  account</Description>
      <Protocol Name="OpenIdConnect" />
      <Metadata>
        <Item Key="METADATA">https://authcloud.trusona.net/.well-known/openid-configuration</Item>
        <Item Key="scope">openid profile email</Item>
         <!-- Update the Client ID to the Trusona Authentication Cloud Application ID -->
         <Item Key="client_id">00001111-aaaa-2222-bbbb-3333cccc4444</Item>
        <Item Key="response_types">code</Item>
        <Item Key="response_mode">form_post</Item>
        <Item Key="HttpBinding">POST</Item>
        <Item Key="UsePolicyInRedirectUri">false</Item>
        <Item Key="IncludeClaimResolvingInClaimsHandling">true</Item>
        <!-- trying to add additional claim-->
        <!--Insert b2c-extensions-app application ID here, for example: 00001111-aaaa-2222-bbbb-3333cccc4444-->
        <Item Key="00001111-aaaa-2222-bbbb-3333cccc4444"></Item>
        <!--Insert b2c-extensions-app application ObjectId here, for example: aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb-->
        <Item Key="00001111-aaaa-2222-bbbb-3333cccc4444"></Item>
        <!-- The key allows you to specify each of the Azure AD tenants that can be used to sign in. Update the GUIDs for each tenant. -->
        <!--<Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/187f16e9-81ab-4516-8db7-1c8ef94ffeca,https://login.microsoftonline.com/00001111-aaaa-2222-bbbb-3333cccc4444</Item>-->
        <!-- The commented key specifies that users from any tenant can sign-in. Uncomment if you would like anyone with an Azure AD account to be able to sign in. -->
        <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/</Item>

      </Metadata>
      <CryptographicKeys>
       <!-- Update the Client Secret to the Trusona Authentication Cloud Client Secret Name -->
        <Key Id="client_secret" StorageReferenceId="B2C_1A_TrusonaTacSecret" />
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
        <OutputClaim ClaimTypeReferenceId="tenantId" PartnerClaimType="tid" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
        <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" DefaultValue="https://authcloud.trusona.net/" />
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub" />
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
        <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
        <OutputClaim ClaimTypeReferenceId="email" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

  1. Définissez client_id avec l’ID d’application Cloud Trusona Authentication que vous avez enregistré précédemment à l’étape 1.

  2. Mettez à jour client_secret section portant le nom de la clé de stratégie créée à l’étape 3. Par exemple, B2C_1A_TrusonaTacClientSecret:

    <Key Id="client_secret" StorageReferenceId="B2C_1A_TrusonaTacClientSecret" />

  3. Enregistrez les modifications.

Étape 5 : Ajouter un parcours utilisateur

À ce stade, vous définissez le fournisseur d’identité, mais il n’est pas encore disponible dans les pages de connexion. Si vous avez votre propre parcours utilisateur personnalisé, passez à l’étape 6 ; sinon, créez un duplicata d’un parcours utilisateur à partir d’un modèle existant comme suit :

  1. Ouvrez le LocalAccounts/TrustFrameworkBase.xml fichier à partir du pack de démarrage.

  2. Recherchez et copiez l’intégralité du contenu de l’élément UserJourney qui inclut Id=SignUpOrSignIn.

  3. Ouvrez l’élément LocalAccounts/TrustFrameworkExtensions.xmlUserJourneys et recherchez-le. Si l’élément n’existe pas, ajoutez-en un.

  4. Collez l’intégralité du contenu de l’élément UserJourney que vous avez copié en tant qu’enfant de l’élément UserJourneys.

  5. Renommez l’Id du parcours utilisateur. Par exemple : Id=TrusonaTacSUSI.

Étape 6 : Ajouter l'IdP à un parcours utilisateur

Maintenant que vous disposez d’un parcours utilisateur, ajoutez le nouvel IDP au parcours utilisateur.

  1. Recherchez l’élément d’étape d’orchestration qui inclut Type=CombinedSignInAndSignUpou Type=ClaimsProviderSelection dans le parcours utilisateur. Il s’agit généralement de la première étape d’orchestration. L’élément ClaimsProviderSelections contient une liste d’IDPs avec lesquelles un utilisateur peut se connecter. L’ordre des éléments contrôle l’ordre des boutons de connexion présentés à l’utilisateur. Ajoutez un élément XML ClaimsProviderSelection . Définissez la valeur de TargetClaimsExchangeId sur un nom convivial, tel que TrusonaTacExchange.

  2. À l’étape d’orchestration suivante, ajoutez un élément ClaimsExchange . Définissez l’ID sur la valeur de l’ID cible d’échange des revendications. Mettez à jour la valeur de TechnicalProfileReferenceId sur l’ID du profil technique que vous avez créé précédemment lors de l’ajout du fournisseur de revendications, par exemple TrusonaTAC-OpenIdConnect.

Le code XML suivant illustre les étapes d’orchestration d’un parcours utilisateur avec le fournisseur d’identité :

    <UserJourney Id="TrusonaTacSUSI">
      <OrchestrationSteps>
        <OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
          <ClaimsProviderSelections>
            <ClaimsProviderSelection TargetClaimsExchangeId="TrusonaTacExchange" />
            <ClaimsProviderSelection ValidationClaimsExchangeId="LocalAccountSigninEmailExchange" />
          </ClaimsProviderSelections>
          <ClaimsExchanges>
            <ClaimsExchange Id="LocalAccountSigninEmailExchange" TechnicalProfileReferenceId="SelfAsserted-LocalAccountSignin-Email" />
          </ClaimsExchanges>
        </OrchestrationStep>
        <!-- Check if the user has selected to sign in using one of the social providers -->
        <OrchestrationStep Order="2" Type="ClaimsExchange">
          <Preconditions>
            <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
              <Value>objectId</Value>
              <Action>SkipThisOrchestrationStep</Action>
            </Precondition>
          </Preconditions>
          <ClaimsExchanges>
            <ClaimsExchange Id="TrusonaTacExchange" TechnicalProfileReferenceId="TrusonaTAC-OpenIdConnect" />
            <ClaimsExchange Id="SignUpWithLogonEmailExchange" TechnicalProfileReferenceId="LocalAccountSignUpWithLogonEmail" />
          </ClaimsExchanges>
        </OrchestrationStep>
        <OrchestrationStep Order="3" Type="ClaimsExchange">
          <Preconditions>
            <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
              <Value>authenticationSource</Value>
              <Value>localAccountAuthentication</Value>
              <Action>SkipThisOrchestrationStep</Action>
            </Precondition>
          </Preconditions>
          <ClaimsExchanges>
            <ClaimsExchange Id="AADUserReadUsingAlternativeSecurityId" TechnicalProfileReferenceId="AAD-UserReadUsingAlternativeSecurityId-NoError" />
          </ClaimsExchanges>
        </OrchestrationStep>
        <!-- Show self-asserted page only if the directory does not have the user account already (we do not have an objectId). This can only happen when authentication happened using a social IDP. If local account was created or authentication done using ESTS in step 2, then an user account must exist in the directory by this time. -->
        <OrchestrationStep Order="4" Type="ClaimsExchange">
          <Preconditions>
            <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
              <Value>objectId</Value>
              <Action>SkipThisOrchestrationStep</Action>
            </Precondition>
          </Preconditions>
          <ClaimsExchanges>
            <ClaimsExchange Id="SelfAsserted-Social" TechnicalProfileReferenceId="SelfAsserted-Social" />
          </ClaimsExchanges>
        </OrchestrationStep>
        <!-- This step reads any user attributes that we may not have received when authenticating using ESTS so they can be sent in the token. -->
        <OrchestrationStep Order="5" Type="ClaimsExchange">
          <Preconditions>
            <Precondition Type="ClaimEquals" ExecuteActionsIf="true">
              <Value>authenticationSource</Value>
              <Value>socialIdpAuthentication</Value>
              <Action>SkipThisOrchestrationStep</Action>
            </Precondition>
          </Preconditions>
          <ClaimsExchanges>
            <ClaimsExchange Id="AADUserReadWithObjectId" TechnicalProfileReferenceId="AAD-UserReadUsingObjectId" />
          </ClaimsExchanges>
        </OrchestrationStep>
        <!-- The previous step (SelfAsserted-Social) could have been skipped if there were no attributes to collect from the user. So, in that case, create the user in the directory if one does not already exist (verified using objectId which would be set from the last step if account was created in the directory. -->
        <OrchestrationStep Order="6" Type="ClaimsExchange">
          <Preconditions>
            <Precondition Type="ClaimsExist" ExecuteActionsIf="true">
              <Value>objectId</Value>
              <Action>SkipThisOrchestrationStep</Action>
            </Precondition>
          </Preconditions>
          <ClaimsExchanges>
            <ClaimsExchange Id="AADUserWrite" TechnicalProfileReferenceId="AAD-UserWriteUsingAlternativeSecurityId" />
          </ClaimsExchanges>
        </OrchestrationStep>
        <OrchestrationStep Order="7" Type="SendClaims" CpimIssuerTechnicalProfileReferenceId="JwtIssuer" />
      </OrchestrationSteps>
      <ClientDefinition ReferenceId="DefaultWeb" />
    </UserJourney>

En savoir plus sur les parcours utilisateur.

Étape 7 : configurer la stratégie de partie de confiance

La stratégie du tiers de confiance, par exemple SignUpSignIn.xml, définit le parcours utilisateur qu'Azure AD B2C exécute. Recherchez l’élément DefaultUserJourney dans la partie de confiance. Mettez à jour le ReferenceId pour qu'il corresponde à l'identifiant du parcours utilisateur dans lequel vous avez ajouté le fournisseur d'identité.

Dans l’exemple suivant, pour le Trusona Authentication Cloud parcours utilisateur, l’Id de référence est défini sur TrusonaTacSUSI:

   <RelyingParty>
        <DefaultUserJourney ReferenceId="TrusonaTacSUSI" />
        <TechnicalProfile Id="PolicyProfile">
          <DisplayName>PolicyProfile</DisplayName>
          <Protocol Name="OpenIdConnect" />
          <OutputClaims>
            <OutputClaim ClaimTypeReferenceId="displayName" />
            <OutputClaim ClaimTypeReferenceId="givenName" />
            <OutputClaim ClaimTypeReferenceId="surname" />
            <OutputClaim ClaimTypeReferenceId="email" />
            <OutputClaim ClaimTypeReferenceId="objectId" PartnerClaimType="sub"/>
            <OutputClaim ClaimTypeReferenceId="identityProvider" />
            <OutputClaim ClaimTypeReferenceId="tenantId" AlwaysUseDefaultValue="true" DefaultValue="{Policy:TenantObjectId}" />
            <OutputClaim ClaimTypeReferenceId="correlationId" DefaultValue="{Context:CorrelationId}" />
          </OutputClaims>
          <SubjectNamingInfo ClaimType="sub" />
        </TechnicalProfile>
      </RelyingParty>

Étape 8 : Charger la stratégie personnalisée

  1. Connectez-vous au portail Azure.

  2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.

  3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.

  4. Sous Stratégies, sélectionnez Identity Experience Framework.

  5. Sélectionnez Charger une stratégie personnalisée, puis chargez les deux fichiers de stratégie que vous avez modifiés, dans l’ordre suivant : la stratégie d’extension, par exemple TrustFrameworkExtensions.xml, la stratégie de partie de confiance, telle que SignUpOrSignin.xml.

Étape 9 : Tester votre stratégie personnalisée

  1. Dans votre locataire Azure AD B2C, sous Stratégies, sélectionnez Identity Experience Framework.

  2. Sous Stratégies personnalisées, sélectionnez TrusonaTacSUSI.

  3. Pour l’application, sélectionnez l’application web que vous avez précédemment inscrite dans le cadre des prérequis de cet article. par exemple jwt ms. L’URL de réponse doit être https://jwt.ms.

  4. Sélectionnez Exécuter. Votre navigateur doit être redirigé vers la page de connexion à Trusona Authentication Cloud.

  5. Un écran de connexion s’affiche ; en bas doit être un bouton permettant d’utiliser l’authentification Trusona Authentication Cloud .

  6. Vous devez être redirigé vers Trusona Authentication Cloud. L’utilisateur est présenté avec une page web de connexion qui demande son nom d’utilisateur , généralement une adresse e-mail. Si le compte de l’utilisateur n’est pas trouvé dans le cloud d’authentification Trusona, une réponse est envoyée au navigateur qui lance un processus d’inscription WebAuthn sur l’appareil. Sinon, une réponse est envoyée au navigateur qui commence un processus d’authentification WebAuthn. L’utilisateur est invité à sélectionner des informations d’identification à utiliser. La clé secrète est associée au domaine de l’application web ou à une clé de sécurité matérielle. Une fois que l’utilisateur sélectionne des informations d’identification, le système d’exploitation demande à l’utilisateur d’utiliser un code biométrique, un code secret ou un code confidentiel pour confirmer son identité. Cela déverrouille l’environnement d’enclave sécurisée/exécution approuvée, qui génère une assertion d’authentification signée par la clé privée associée aux informations d’identification sélectionnées.

  7. Si le processus de connexion réussit, votre navigateur est redirigé vers https://jwt.ms, qui affiche le contenu du jeton retourné par Azure AD B2C.

Étapes suivantes

Pour plus d’informations, consultez les articles suivants :