Regisztráció és bejelentkezés beállítása Microsoft-fiókkal az Azure Active Directory B2C használatával

  • Cikk

Mielőtt hozzákezdene, a Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.

Megjegyzés:

Az Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett helyzetek kezelésére szolgálnak. A legtöbb forgatókönyv esetében javasoljuk, hogy beépített felhasználói folyamatokat használjon. Ha még nem tette meg, ismerkedjen meg az egyéni szabályzatok kezdőcsomagjával az Egyéni szabályzatok használatának első lépései az Active Directory B2C-ben.

Előfeltételek

Microsoft-fiókalkalmazás létrehozása

Ha engedélyezni szeretné a Microsoft-fiókkal rendelkező felhasználók bejelentkezését az Azure Active Directory B2C-ben (Azure AD B2C), létre kell hoznia egy alkalmazást az Azure Portalon. További információ: Alkalmazás regisztrálása a Microsoft Identitásplatform. Ha még nem rendelkezik Microsoft-fiókkal, az egyiket a címen érheti https://www.live.com/el.

  1. Jelentkezzen be az Azure Portalra.

  2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont a Microsoft Entra ID-bérlőre való váltáshoz a Könyvtárak + előfizetések menüből.

  3. Válassza a Minden szolgáltatás lehetőséget az Azure Portal bal felső sarkában, majd keresse meg és válassza ki a Alkalmazásregisztrációk.

  4. Válassza az Új regisztráció lehetőséget.

  5. Adja meg az alkalmazás nevét. Például: MSAapp1.

  6. A Támogatott fióktípusok területen válassza ki a személyes Microsoft-fiókokat (pl. Skype, Xbox).

    A különböző fióktípusok kiválasztásával kapcsolatos további információkért tekintse meg a rövid útmutatót: Alkalmazás regisztrálása a Microsoft Identitásplatform.

  7. Az Átirányítási URI (nem kötelező) területen válassza a Web lehetőséget, és írja be a kívánt értékethttps://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp. Ha egyéni tartományt használ, írja be a következőt:https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp Cserélje le your-tenant-name az Azure AD B2C-bérlő nevére és your-domain-name az egyéni tartományára.

  8. Regisztráció kiválasztása

  9. Rögzítse az alkalmazás (ügyfél) azonosítóját az alkalmazás áttekintési oldalán. Az identitásszolgáltató következő szakaszban való konfigurálásához szüksége lesz az ügyfél-azonosítóra.

  10. Tanúsítványok titkos kulcsainak & kiválasztása

  11. Kattintson az Új titkos ügyfélkód elemre

  12. Adja meg a titkos kód leírását, például az 1. alkalmazásjelszót, majd kattintson a Hozzáadás gombra.

  13. Jegyezze fel az Érték oszlopban látható alkalmazásjelszót. Az identitásszolgáltató következő szakaszban való konfigurálásához szüksége lesz az ügyfél titkos kódjára.

A Microsoft konfigurálása identitásszolgáltatóként

  1. Jelentkezzen be az Azure Portalra az Azure AD B2C-bérlő globális rendszergazdájaként.
  2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
  3. Válassza az Azure Portal bal felső sarkában található Minden szolgáltatás lehetőséget, majd keresse meg és válassza ki az Azure AD B2C-t.
  4. Válassza az Identitásszolgáltatók lehetőséget, majd válassza a Microsoft-fiók lehetőséget.
  5. Adjon meg egy nevet. Például MSA.
  6. Az ügyfélazonosítóhoz adja meg a korábban létrehozott Microsoft Entra alkalmazás (ügyfél) azonosítóját.
  7. Az ügyfél titkos kódjának megadásához adja meg a rögzített ügyféltitkot.
  8. Válassza a Mentés parancsot.

Microsoft-identitásszolgáltató hozzáadása felhasználói folyamathoz

Jelenleg a Microsoft identitásszolgáltatója be van állítva, de még nem érhető el egyik bejelentkezési lapon sem. A Microsoft identitásszolgáltatójának hozzáadása egy felhasználói folyamathoz:

  1. Az Azure AD B2C-bérlőben válassza a Felhasználói folyamatok lehetőséget.
  2. Kattintson arra a felhasználói folyamatra, amelyet hozzá szeretne adni a Microsoft identitásszolgáltatóhoz.
  3. A Közösségi identitásszolgáltatók területen válassza a Microsoft-fiók lehetőséget.
  4. Válassza a Mentés parancsot.
  5. A szabályzat teszteléséhez válassza a Felhasználói folyamat futtatása lehetőséget.
  6. Alkalmazás esetén válassza ki a korábban regisztrált testapp1 nevű webalkalmazást. A Válasz URL-címnek meg kell jelennie https://jwt.ms.
  7. Válassza a Felhasználói folyamat futtatása gombot.
  8. A regisztrációs vagy bejelentkezési lapon válassza a Microsoftot a Microsoft-fiókkal való bejelentkezéshez.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt, amely megjeleníti az Azure AD B2C által visszaadott https://jwt.msjogkivonat tartalmát.

Választható jogcímek konfigurálása

Ha a Microsoft Entra-azonosítóból szeretné lekérni a family_name jogcímeket, given_name konfigurálhatja az alkalmazás opcionális jogcímeit az Azure Portal felhasználói felületén vagy az alkalmazásjegyzékben. További információ: Opcionális jogcímek megadása a Microsoft Entra-alkalmazáshoz.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Microsoft Entra ID.
  2. A Kezelés szakaszban válassza a Alkalmazásregisztrációk.
  3. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni a listában.
  4. A Kezelés szakaszban válassza a Jogkivonat-konfiguráció (előzetes verzió) lehetőséget.
  5. Válassza az Opcionális jogcím hozzáadása lehetőséget.
  6. Válassza ki a konfigurálni kívánt jogkivonattípust.
  7. Válassza ki a hozzáadni kívánt opcionális jogcímeket.
  8. Kattintson a Hozzáadás parancsra.

Szabályzatkulcs létrehozása

Most, hogy létrehozta az alkalmazást a Microsoft Entra-bérlőben, az alkalmazás ügyfélkulcsát az Azure AD B2C-bérlőben kell tárolnia.

  1. Jelentkezzen be az Azure Portalra.
  2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
  3. Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza az Azure AD B2C-t.
  4. Az Áttekintés lapon válassza az Identity Experience Framework lehetőséget.
  5. Válassza a Házirendkulcsok lehetőséget, majd válassza a Hozzáadás lehetőséget.
  6. A Beállítások beállításnál válassza a Manuallehetőséget.
  7. Adja meg a szabályzatkulcs nevét. For example, MSASecret. A rendszer automatikusan hozzáadja az előtagot B2C_1A_ a kulcs nevéhez.
  8. A Titkos kód mezőbe írja be az előző szakaszban rögzített ügyfélkulcsot.
  9. Kulcshasználat esetén válassza a Signaturelehetőséget.
  10. Click Create.

A Microsoft konfigurálása identitásszolgáltatóként

Ahhoz, hogy a felhasználók Microsoft-fiókkal jelentkezzenek be, meg kell határoznia azt a fiókot jogcímszolgáltatóként, amellyel az Azure AD B2C egy végponton keresztül tud kommunikálni. A végpont olyan jogcímeket biztosít, amelyeket az Azure AD B2C használ annak ellenőrzésére, hogy egy adott felhasználó hitelesített-e.

A Microsoft Entra-azonosítót jogcímszolgáltatóként úgy határozhatja meg, hogy hozzáadja a ClaimsProvider elemet a szabályzat bővítményfájljához.

  1. Nyissa meg az TrustFrameworkExtensions.xml házirendfájlt.

  2. Keresse meg a ClaimsProviders elemet. Ha nem létezik, adja hozzá a gyökérelemhez.

  3. Adjon hozzá egy új ClaimsProvidert az alábbiak szerint:

    <ClaimsProvider>
  <Domain>live.com</Domain>
  <DisplayName>Microsoft Account</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="MSA-MicrosoftAccount-OpenIdConnect">
      <DisplayName>Microsoft Account</DisplayName>
      <Protocol Name="OpenIdConnect" />
      <Metadata>
        <Item Key="ProviderName">https://login.live.com</Item>
        <Item Key="METADATA">https://login.live.com/.well-known/openid-configuration</Item>
        <Item Key="response_types">code</Item>
        <Item Key="response_mode">form_post</Item>
        <Item Key="scope">openid profile email</Item>
        <Item Key="HttpBinding">POST</Item>
        <Item Key="UsePolicyInRedirectUri">false</Item>
        <Item Key="client_id">Your Microsoft application client ID</Item>
      </Metadata>
      <CryptographicKeys>
        <Key Id="client_secret" StorageReferenceId="B2C_1A_MSASecret" />
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid" />
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
        <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
        <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
        <OutputClaim ClaimTypeReferenceId="email" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" />
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

  4. Cserélje le a client_id értékét a Microsoft Entra-alkalmazás korábban rögzített alkalmazás-(ügyfél-) azonosítójára.

  5. Mentse a fájlt.

Most úgy konfigurálta a szabályzatot, hogy az Azure AD B2C tudja, hogyan kommunikálhat a Microsoft-fiókalkalmazással a Microsoft Entra ID-ban.

Felhasználói folyamat hozzáadása

Ezen a ponton az identitásszolgáltató be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. Ha nem rendelkezik saját egyéni felhasználói folyamatokkal, hozzon létre egy meglévő sablonfelhasználói folyamat másolatát, ellenkező esetben folytassa a következő lépéssel.

  1. Nyissa meg az TrustFrameworkBase.xml fájlt a kezdőcsomagból.
  2. Keresse meg és másolja ki a UserJourney elem teljes tartalmát, amely tartalmazza Id="SignUpOrSignIn"a elemet.
  3. Nyissa meg az TrustFrameworkExtensions.xml fájlt , és keresse meg a UserJourneys elemet. Ha az elem nem létezik, adjon hozzá egyet.
  4. Illessze be a UserJourney elem gyermekként másolt UserJourney elem teljes tartalmát.
  5. Nevezze át a felhasználói folyamat azonosítóját. For example, Id="CustomSignUpSignIn".

Identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Most, hogy már rendelkezik felhasználói folyamatokkal, adja hozzá az új identitásszolgáltatót a felhasználói folyamathoz. Először hozzáad egy bejelentkezési gombot, majd csatolja a gombot egy művelethez. A művelet a korábban létrehozott technikai profil.

  1. Keresse meg a vezénylési lépés azon elemét, amely tartalmazza Type="CombinedSignInAndSignUp"vagy Type="ClaimsProviderSelection" a felhasználói folyamat során. Általában ez az első vezénylési lépés. A ClaimsProviderSelections elem azon identitásszolgáltatók listáját tartalmazza, amelyekkel a felhasználó bejelentkezhet. Az elemek sorrendje szabályozza a felhasználónak megjelenített bejelentkezési gombok sorrendjét. Adjon hozzá egy ClaimsProviderSelection XML-elemet. Állítsa be a TargetClaimsExchangeId értékét egy rövid névre.

  2. A következő vezénylési lépésben adjon hozzá egy ClaimsExchange elemet. Állítsa az azonosítót a cél jogcímcsere-azonosító értékére. Frissítse a TechnicalProfileReferenceId értékét a korábban létrehozott műszaki profil azonosítójára.

Az alábbi XML a felhasználói folyamat első két vezénylési lépését mutatja be az identitásszolgáltatóval:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="MicrosoftAccountExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="MicrosoftAccountExchange" TechnicalProfileReferenceId="MSA-MicrosoftAccount-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

A függő entitás házirendjének konfigurálása

A függő entitás házirendje( például SignUpSignIn.xml) meghatározza az Azure AD B2C által végrehajtandó felhasználói folyamatot. Keresse meg a DefaultUserJourney elemet a függő entitáson belül. Frissítse a referenciaazonosítót a felhasználói útazonosítónak megfelelően, amelyben hozzáadta az identitásszolgáltatót.

A következő példában a CustomSignUpSignIn felhasználói folyamat referenciaazonosítója a következőre CustomSignUpSignInvan állítva:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Az egyéni szabályzat feltöltése

  1. Jelentkezzen be az Azure Portalra.
  2. Válassza a Címtár + Előfizetés ikont a portál eszköztárán, majd válassza ki az Azure AD B2C-bérlőt tartalmazó könyvtárat.
  3. Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
  4. A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
  5. Válassza az Egyéni házirend feltöltése lehetőséget, majd töltse fel a módosított két házirendfájlt a következő sorrendben: a bővítményházirend, például TrustFrameworkExtensions.xmla függő entitás házirendje, például SignUpSignIn.xml.

Egyéni szabályzat tesztelése

  1. Válassza ki például B2C_1A_signup_signina függő entitás szabályzatát.
  2. Alkalmazás esetén válasszon ki egy korábban regisztrált webalkalmazást. A Válasz URL-címnek meg kell jelennie https://jwt.ms.
  3. Válassza a Futtatás most gombot.
  4. A regisztrációs vagy bejelentkezési lapon válassza a Microsoftot a Microsoft-fiókkal való bejelentkezéshez.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt, amely megjeleníti az Azure AD B2C által visszaadott https://jwt.msjogkivonat tartalmát.