Tutoriel : Créer des flux utilisateur et des stratégies personnalisées dans Azure Active Directory B2C

Important

À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.

Avant de commencer, utilisez le sélecteur Choisir un type de stratégie en haut de cette page pour choisir le type de stratégie que vous configurez. Azure Active Directory B2C offre deux possibilités pour définir la façon dont les utilisateurs interagissent avec vos applications : via des flux utilisateurs prédéfinis ou via des stratégies personnalisées entièrement configurables. La procédure donnée dans cet article est différente pour chaque méthode.

Dans vos applications, vous pouvez avoir des flux d’utilisateurs qui permettent aux utilisateurs de s’inscrire, de se connecter ou de gérer leur profil. Vous pouvez créer plusieurs flux d’utilisateurs de différents types dans votre locataire Azure Active Directory B2C (Azure AD B2C) et les utiliser dans vos applications en fonction des besoins. Les flux utilisateur peuvent être réutilisés entre les applications.

Un flux utilisateur vous permet de déterminer comment les utilisateurs interagissent avec votre application lorsqu’ils effectuent des opérations telles que la connexion, l’inscription, la modification d’un profil ou la réinitialisation d’un mot de passe. Dans cet article, vous allez apprendre à :

Les stratégies personnalisées sont des fichiers de configuration qui définissent le comportement de votre locataire Azure Active Directory B2C (Azure AD B2C). Dans cet article, vous allez apprendre à :

• Créer un parcours d'inscription et de connexion des utilisateurs
• Activer la réinitialisation du mot de passe en libre-service
• Créer un flux utilisateur de modification de profil

Important

Nous avons changé la façon dont nous référencerons les versions de flux utilisateur. Auparavant, nous proposions des versions V1 (prêtes pour la production) et des versions V1.1 et V2 (préversion). À présent, nous avons consolidé les flux utilisateur en deux versions : les flux utilisateur recommandés avec les dernières fonctionnalités et les flux d’utilisateurs Standard (hérités). Tous les flux d’utilisateurs en préversion hérités (v1.1 et v2) sont déconseillés. Pour plus d’informations, consultez les versions de flux utilisateur dans Azure AD B2C. Ces modifications s’appliquent uniquement au cloud public Azure. Les autres environnements continueront à utiliser le contrôle de version de flux utilisateur hérité.

Conditions préalables

• Si vous n’en avez pas encore, créez un locataire Azure AD B2C lié à votre abonnement Azure.
• Inscrivez une application web et activez l’octroi implicite du jeton d’ID.

• Si vous n’en avez pas encore, créez un locataire Azure AD B2C lié à votre abonnement Azure.
• Inscrivez une application web et activez l’octroi implicite du jeton d’ID.

Créer un parcours d'inscription et de connexion des utilisateurs

Le flux d’utilisateur d’inscription et de connexion gère les deux expériences avec une configuration unique. Les utilisateurs de votre application sont guidés dans la bonne direction en fonction du contexte. Pour créer un flux d’inscription et de connexion utilisateur :

1. Connectez-vous au portail Azure.

2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.

3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.

4. Sous Stratégies, sélectionnez Flux utilisateur, puis Nouveau flux d’utilisateur.

   

5. Dans la page Créer un flux d’utilisateur, sélectionnez le flux utilisateur Inscription et connexion.

   

6. Sous Sélectionner une version, sélectionnez Recommandé, puis sélectionnez Créer. (En savoir plus sur les versions de flux utilisateur.)

   

7. Entrez un Nom pour le flux d’utilisateur. Par exemple, signupsignin1.

8. Pour les fournisseurs d’identité, sélectionnez Inscription par e-mail.

9. Pour Attributs utilisateur et revendications de jeton, choisissez les revendications et les attributs à collecter et envoyer par l’utilisateur pendant l’inscription. Par exemple, sélectionnez Afficher plus, puis choisissez des attributs et des revendications pour Pays/Région, Nom complet et Code postal. Cliquez sur OK.

   

10. Sélectionnez Créer pour ajouter le flux utilisateur. Un préfixe de B2C_1_ est automatiquement ajouté au nom que vous avez entré précédemment. Par exemple, B2C_1_signupsignin1.

Tester le flux utilisateur

1. Dans la page Flux utilisateur , sélectionnez le flux utilisateur que vous venez de créer pour ouvrir sa page de vue d’ensemble.

2. En haut de la page vue d’ensemble du flux utilisateur, sélectionnez Exécuter le flux utilisateur. Un volet s’ouvre à droite de la page.

3. Pour l’application, sélectionnez l’application web que vous souhaitez tester, par exemple celle nommée webapp1. L’URL de réponse doit être https://jwt.ms.

4. Sélectionnez Exécuter le flux utilisateur, puis inscrivez-vous maintenant.

   

5. Entrez une adresse e-mail valide, sélectionnez Envoyer le code de vérification, entrez le code de vérification que vous recevez, puis sélectionnez Vérifier le code.

6. Entrez un nouveau mot de passe et confirmez-le.

7. Sélectionnez votre pays et votre région, entrez le nom que vous souhaitez afficher, entrez un code postal, puis sélectionnez Créer. Le jeton est retourné au https://jwt.ms et doit vous être affiché dans votre navigateur.

8. Vous pouvez maintenant réexécuter le flux utilisateur et vous devez être en mesure de vous connecter avec le compte que vous venez de créer. Le jeton retourné inclut les revendications que vous avez sélectionnées de pays/région, de nom et de code postal.

Remarque

L’expérience « Exécuter le flux utilisateur » n’est actuellement pas compatible avec le type d’URL de réponse SPA utilisant le flux de code d’autorisation. Pour utiliser l’expérience « Exécuter le flux utilisateur » avec ces types d’applications, inscrivez une URL de réponse de type « Web » et activez le flux implicite.

Activer la réinitialisation du mot de passe en libre-service

Pour activer la réinitialisation de mot de passe en libre-service pour le flux utilisateur d’inscription ou de connexion :

1. Dans la page Flux utilisateur , sélectionnez le flux d’utilisateur d’inscription ou de connexion que vous venez de créer.
2. Sous Paramètres dans le menu de gauche, sélectionnez Propriétés.
3. Sous Configuration du mot de passe, sélectionnez Réinitialisation de mot de passe en libre-service.
4. Cliquez sur Enregistrer.

Tester le flux utilisateur

1. Dans la page Flux utilisateur , sélectionnez le flux utilisateur que vous venez de créer pour ouvrir sa page de vue d’ensemble, puis sélectionnez Exécuter le flux utilisateur.
2. Pour l’application, sélectionnez l’application web que vous souhaitez tester, par exemple celle nommée webapp1. L’URL de réponse doit être https://jwt.ms.
3. Sélectionner Exécuter le flux utilisateur.
4. Dans la page d’inscription ou de connexion, sélectionnez Mot de passe oublié ?.
5. Vérifiez l’adresse e-mail du compte que vous avez créé précédemment, puis sélectionnez Continuer.
6. Vous avez maintenant la possibilité de modifier le mot de passe de l’utilisateur. Modifiez le mot de passe et sélectionnez Continuer. Le jeton est retourné à https://jwt.ms et il doit être affiché dans votre navigateur.

Créer un flux utilisateur de modification de profil

Si vous souhaitez permettre aux utilisateurs de modifier leur profil dans votre application, vous utilisez un flux utilisateur de modification de profil.

1. Dans le menu de la page vue d’ensemble du locataire Azure AD B2C, sélectionnez Flux d’utilisateurs, puis Nouveau flux d’utilisateur.
2. Dans la page Créer un flux utilisateur , sélectionnez le flux utilisateur de modification de profil .
3. Sous Sélectionner une version, sélectionnez Recommandé, puis sélectionnez Créer.
4. Entrez un Nom pour le flux d’utilisateur. Par exemple, profileediting1.
5. Pour les fournisseurs d’identité, sous Comptes locaux, sélectionnez Inscription par e-mail.
6. Pour les attributs utilisateur, choisissez les attributs que vous souhaitez que le client puisse modifier dans son profil. Par exemple, sélectionnez Afficher plus, puis choisissez les attributs et les revendications pour le nom d’affichage et le titre du travail. Cliquez sur OK.
7. Sélectionnez Créer pour ajouter le flux utilisateur. Un préfixe de B2C_1_ est automatiquement ajouté au nom.

Tester le flux utilisateur

1. Sélectionnez le flux utilisateur que vous avez créé pour ouvrir sa page de vue d’ensemble.
2. En haut de la page vue d’ensemble du flux utilisateur, sélectionnez Exécuter le flux utilisateur. Un volet s’ouvre à droite de la page.
3. Pour l’application, sélectionnez l’application web que vous souhaitez tester, par exemple celle nommée webapp1. L’URL de réponse doit être https://jwt.ms.
4. Sélectionnez Exécuter le flux utilisateur, puis connectez-vous avec le compte que vous avez créé précédemment.
5. Vous avez maintenant la possibilité de modifier le nom d’affichage et le titre du travail pour l’utilisateur. Sélectionnez Continuer. Le jeton est retourné à https://jwt.ms et il doit être affiché dans votre navigateur.

Conseil / Astuce

Cet article explique comment configurer manuellement votre locataire. Vous pouvez automatiser l’intégralité du processus à partir de cet article. L’automatisation déploie le pack de démarrage Azure AD B2C SocialAndLocalAccountsWithMFA, qui fournit des parcours d’inscription et de connexion, de réinitialisation de mot de passe et de modification de profil. Pour automatiser la procédure pas à pas ci-dessous, consultez l’application de configuration IEF et suivez les instructions.

Ajouter des clés de signature et de chiffrement pour les applications Identity Experience Framework

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.
4. Dans la page vue d’ensemble, sous Stratégies, sélectionnez Identity Experience Framework.

Créer la clé de signature

1. Sélectionnez Clés de stratégie , puis sélectionnez Ajouter.
2. Pour options, choisissez Generate.
3. Dans Nom, entrez TokenSigningKeyContainer. Le préfixe B2C_1A_ peut être ajouté automatiquement.
4. Pour le type de clé, sélectionnez RSA.
5. Pour l’utilisation de la clé, sélectionnez Signature.
6. Cliquez sur Créer.

Créer la clé de chiffrement

1. Sélectionnez Clés de stratégie , puis sélectionnez Ajouter.
2. Pour options, choisissez Generate.
3. Dans Nom, entrez TokenEncryptionKeyContainer. Le préfixe B2C_1A_ peut être ajouté automatiquement.
4. Pour le type de clé, sélectionnez RSA.
5. Pour l’utilisation de la clé, sélectionnez Chiffrement.
6. Cliquez sur Créer.

Enregistrer des applications Identity Experience Framework

Azure AD B2C vous oblige à inscrire deux applications qu’il utilise pour inscrire et connecter des utilisateurs avec des comptes locaux : IdentityExperienceFramework, une API web et ProxyIdentityExperienceFramework, une application native avec l’autorisation déléguée à l’application IdentityExperienceFramework. Vos utilisateurs peuvent s’inscrire avec une adresse e-mail ou un nom d’utilisateur et un mot de passe pour accéder aux applications inscrites auprès de votre locataire, ce qui crée un « compte local ». Les comptes locaux existent uniquement dans votre locataire Azure AD B2C.

Vous devrez inscrire ces deux applications dans votre locataire Azure AD B2C une seule fois.

Inscrire l’application IdentityExperienceFramework

Pour inscrire une application dans votre client Azure AD B2C, vous pouvez utiliser la fonctionnalité d’inscription d’applications.

1. Sélectionnez Inscriptions d'applications, puis sélectionnez Nouvelle inscription.
2. Pour Nom, entrez IdentityExperienceFramework.
3. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.
4. Sous URI de redirection, sélectionnez Web, puis entrez https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com, où your-tenant-name se trouve votre nom de domaine de locataire Azure AD B2C.
5. Sous Permissions, cochez la case Accorder le consentement de l’administrateur aux autorisations openid et offline_access.
6. Sélectionnez Inscrire.
7. Enregistrez l’ID d’application (client) à utiliser dans une étape ultérieure.

Ensuite, exposez l’API en ajoutant une étendue :

1. Dans le menu de gauche, sous Gérer, sélectionnez Exposer une API.
2. Sélectionnez Ajouter une étendue, puis sélectionnez Enregistrer et continuer à accepter l’URI d’ID d’application par défaut.
3. Entrez les valeurs suivantes pour créer une étendue qui autorise l’exécution de stratégie personnalisée dans votre locataire Azure AD B2C :
   • Nom de l’étendue : user_impersonation
   • Nom d’affichage du consentement administrateur : Access IdentityExperienceFramework
   • Description du consentement de l’administrateur : Allow the application to access IdentityExperienceFramework on behalf of the signed-in user.
4. Sélectionner Ajouter une étendue

---

Inscrire l’application ProxyIdentityExperienceFramework

1. Sélectionnez Inscriptions d'applications, puis sélectionnez Nouvelle inscription.
2. Pour Nom, entrez ProxyIdentityExperienceFramework.
3. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.
4. Sous URI de redirection, utilisez la liste déroulante pour sélectionner Client public/natif (mobile &desktop).
5. Pour l’URI de redirection, entrez myapp://auth.
6. Sous Permissions, cochez la case Accorder le consentement de l’administrateur aux autorisations openid et offline_access.
7. Sélectionnez Inscrire.
8. Enregistrez l’ID d’application (client) à utiliser dans une étape ultérieure.

Ensuite, spécifiez que l’application doit être traitée comme un client public :

1. Dans le menu de gauche, sous Gérer, sélectionnez Authentification.
2. Sous Paramètres avancés, dans la section Autoriser les flux clients publics , définissez Activer les flux mobiles et de bureau suivants sur Oui.
3. Cliquez sur Enregistrer.
4. Vérifiez que « isFallbackPublicClient » : true est défini dans le manifeste de l’application Microsoft Graph (Nouveau) :
   1. Dans le menu de gauche, sous Gérer, sélectionnez Manifeste pour ouvrir le manifeste de l’application Microsoft Graph (Nouveau)
   2. Passez de l’onglet Manifeste de l’application Microsoft Graph (Nouveau) à l’onglet Manifeste de l’application AAD Graph (Bientôt obsolète).
   3. Recherchez la clé IsFallbackPublicClient et vérifiez que sa valeur est définie sur true.

À présent, accordez des autorisations à l’étendue de l’API que vous avez exposée précédemment dans l’inscription IdentityExperienceFramework :

1. Dans le menu de gauche, sous Gérer, sélectionnez autorisations d’API.
2. Sous Autorisations configurées, sélectionnez Ajouter une autorisation.
3. Sélectionnez les API que mon organisation utilise l’onglet, puis sélectionnez l’application IdentityExperienceFramework .
4. Sous Autorisation, sélectionnez l’étendue user_impersonation que vous avez définie précédemment.
5. Sélectionnez Ajouter des autorisations. Comme vous l’indiquent les instructions, patientez quelques minutes avant de passer à l’étape suivante.
6. Sélectionnez Accorder le consentement de l’administrateur pour <nom de votre locataire>.
7. Sélectionnez Oui.
8. Sélectionnez Actualiser, puis vérifiez que « Accordé pour ... » apparaît sous État pour l’étendue.

---

Pack de démarrage de stratégie personnalisé

Les stratégies personnalisées sont un ensemble de fichiers XML que vous chargez sur votre locataire Azure AD B2C pour définir des profils techniques et des parcours utilisateur. Nous fournissons des packs de démarrage avec plusieurs stratégies prédéfinies pour vous aider rapidement. Chacun de ces packs de démarrage contient le plus petit nombre de profils techniques et de parcours utilisateur nécessaires pour réaliser les scénarios décrits. Pour un guide plus détaillé des stratégies personnalisées Azure AD B2C, suivez notre série de guides pratiques sur les stratégies personnalisées.

• LocalAccounts : active uniquement l’utilisation de comptes locaux.
• SocialAccounts : active uniquement l’utilisation de comptes sociaux (ou fédérés).
• SocialAndLocalAccounts : permet l’utilisation de comptes locaux et sociaux.
• SocialAndLocalAccountsWithMFA : active les options d’authentification sociale, locale et multifacteur.

Chaque pack de démarrage contient :

• Fichier de base : quelques modifications sont requises pour la base. Exemple : TrustFrameworkBase.xml
• Fichier de localisation : ce fichier est l’endroit où les modifications de localisation sont apportées. Exemple : TrustFrameworkLocalization.xml
• Fichier d’extension : ce fichier est l’endroit où la plupart des modifications de configuration sont apportées. Exemple : TrustFrameworkExtensions.xml
• Fichiers de la partie prenante : fichiers spécifiques à la tâche appelés par votre application. Exemples : SignUpOrSignin.xml, ProfileEdit.xml, PasswordReset.xml

Dans cet article, vous allez modifier les fichiers de stratégie personnalisée XML dans le pack de démarrage SocialAndLocalAccounts . Si vous avez besoin d’un éditeur XML, essayez Visual Studio Code, un éditeur multiplateforme léger.

Obtenir le pack de démarrage

Obtenez les packs de démarrage de stratégie personnalisés à partir de GitHub, puis mettez à jour les fichiers XML dans le pack de démarrage SocialAndLocalAccounts avec votre nom de locataire Azure AD B2C.

1. Téléchargez le fichier .zip ou clonez le référentiel :

   git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
   

2. Dans tous les fichiers du répertoire SocialAndLocalAccounts , remplacez la chaîne yourtenant par le nom de votre locataire Azure AD B2C.

   Par exemple, si le nom de votre locataire B2C est contosotenant, toutes les instances de yourtenant.onmicrosoft.com deviennent contosotenant.onmicrosoft.com.

Ajouter des ID d’applications à la stratégie personnalisée

Ajoutez les ID d’application au fichier d’extensions TrustFrameworkExtensions.xml.

1. Ouvrez SocialAndLocalAccounts/TrustFrameworkExtensions.xml et recherchez l’élément <TechnicalProfile Id="login-NonInteractive">.
2. Remplacez les deux instances par l’ID d’application IdentityExperienceFrameworkAppId de l’application IdentityExperienceFramework que vous avez créée précédemment.
3. Remplacez les deux instances par l’ID d’application ProxyIdentityExperienceFrameworkAppId de l’application ProxyIdentityExperienceFramework que vous avez créée précédemment.
4. Enregistrez le fichier.

Ajouter Facebook en tant que fournisseur d’identité

Le pack de démarrage SocialAndLocalAccounts inclut la connexion sociale Facebook. Facebook n’est pas nécessaire pour utiliser des stratégies personnalisées, mais nous l’utilisons ici pour montrer comment vous pouvez activer la connexion sociale fédérée dans une stratégie personnalisée. Si vous n’avez pas besoin d’activer la connexion sociale fédérée, utilisez le pack de démarrage LocalAccounts à la place et passez à la section Charger les stratégies .

Créer une application Facebook

Suivez les étapes décrites dans Créer une application Facebook pour obtenir l’ID d’application Facebook et le secret de l’application. Ignorez les prérequis et le reste des étapes de l’article Configurer l’inscription et la connexion avec un compte Facebook.

Créer la clé Facebook

Ajoutez le secret d’application de votre application Facebook en tant que clé de stratégie. Vous pouvez utiliser le secret d’application de l’application que vous avez créée dans le cadre des prérequis de cet article.

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs tenants (locataires), sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant Azure AD B2C à partir du menu Annuaires + abonnements.
3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.
4. Dans la page vue d’ensemble, sous Stratégies, sélectionnez Identity Experience Framework.
5. Sélectionnez Clés de stratégie , puis sélectionnez Ajouter.
6. Pour options, choisissez Manual.
7. Pour Nom, entrez FacebookSecret. Le préfixe B2C_1A_ peut être ajouté automatiquement.
8. Dans Secret, entrez le secret d’application de votre application Facebook à partir de developers.facebook.com. Cette valeur est le secret, et non l’ID d’application.
9. Pour l’utilisation de la clé, sélectionnez Signature.
10. Cliquez sur Créer.

Mettre à jour TrustFrameworkExtensions.xml dans le pack de démarrage de stratégie personnalisé

Dans le SocialAndLocalAccounts/TrustFrameworkExtensions.xml fichier, remplacez la valeur par l’ID d’application client_id Facebook et enregistrez les modifications.

<TechnicalProfile Id="Facebook-OAUTH">
  <Metadata>
  <!--Replace the value of client_id in this technical profile with the Facebook app ID"-->
    <Item Key="client_id">00000000000000</Item>

Télécharger les politiques

1. Sélectionnez l’élément de menu Identity Experience Framework dans votre locataire B2C dans le portail Azure.
2. Sélectionnez Charger une stratégie personnalisée.
3. Dans cet ordre, chargez les fichiers de stratégie :
   1. TrustFrameworkBase.xml
   2. TrustFrameworkLocalization.xml
   3. TrustFrameworkExtensions.xml
   4. SignUpOrSignin.xml
   5. ProfileEdit.xml
   6. PasswordReset.xml

Lorsque vous chargez les fichiers, Azure ajoute le préfixe B2C_1A_ à chacun d’eux.

Conseil / Astuce

Si votre éditeur XML prend en charge la validation, validez les fichiers par rapport au TrustFrameworkPolicy_0.3.0.0.xsd schéma XML situé dans le répertoire racine du pack de démarrage. La validation de schéma XML identifie les erreurs avant le chargement.

Tester la stratégie personnalisée

1. Sous Stratégies personnalisées, sélectionnez B2C_1A_signup_signin.
2. Pour Sélectionner une application sur la page vue d’ensemble de la stratégie personnalisée, sélectionnez l’application web que vous souhaitez tester, telle que celle nommée webapp1.
3. Vérifiez que l’URL de réponse est https://jwt.ms.
4. Sélectionnez Exécuter maintenant.
5. Inscrivez-vous à l’aide d’une adresse e-mail.
6. Sélectionnez Exécuter maintenant à nouveau.
7. Connectez-vous avec le même compte pour confirmer que vous disposez de la configuration correcte.
8. Sélectionnez Réexécuter maintenant , puis sélectionnez Facebook pour vous connecter avec Facebook et tester la stratégie personnalisée.

Étapes suivantes

Dans cet article, vous avez appris à :

• Créer un processus d’inscription et de connexion utilisateur
• Créer un flux utilisateur de modification de profil
• Créer un flux utilisateur de réinitialisation de mot de passe

Ensuite, découvrez comment utiliser Azure AD B2C pour vous connecter et inscrire des utilisateurs dans une application. Suivez les exemples d’applications liés ci-dessous :

• Configurer un exemple d’application web ASP.NET Core
• Configurer un exemple d’application web ASP.NET Core qui appelle une API web
• Configurer l’authentification dans un exemple d’application web Python
• Configurer un exemple d’application à page unique (SPA)
• Configurer un échantillon d’application monopage angulaire
• Configurer un exemple d’application mobile Android
• Configurer un exemple d’application mobile iOS
• Configurer l’authentification dans un exemple d’application de bureau WPF
• Activer l’authentification dans votre API web
• Configurer une application SAML

Vous pouvez également en savoir plus dans la série Deep Dive Series d’architecture Azure AD B2C.