OAuth2 technikai profil definiálása egyéni Azure Active Directory B2C-szabályzatban
Megjegyzés
Az Azure Active Directory B2C-ben az egyéni szabályzatok elsősorban összetett forgatókönyvek kezelésére szolgálnak. A legtöbb esetben javasoljuk, hogy beépített felhasználói folyamatokat használjon. Ha még nem tette meg, az egyéni szabályzatok kezdőcsomagjáról az Ismerkedés az egyéni szabályzatokkal az Active Directory B2C-ben című témakörben olvashat.
Az Azure Active Directory B2C (Azure AD B2C) támogatja az OAuth2 protokoll identitásszolgáltatóját. Az OAuth2 az engedélyezés és a delegált hitelesítés elsődleges protokollja. További információ: RFC 6749 Az OAuth 2.0 engedélyezési keretrendszere. Egy OAuth2 technikai profillal összevonhatja magát egy OAuth2-alapú identitásszolgáltatóval, például a Facebookkal. Az identitásszolgáltatóval való összevonás lehetővé teszi a felhasználók számára, hogy meglévő közösségi vagy vállalati identitásukkal jelentkezzenek be.
Protokoll
A Protocol elem Name attribútumát értékre kell állítaniOAuth2. A Facebook-OAUTH technikai profil protokollja például a következő OAuth2:
<TechnicalProfile Id="Facebook-OAUTH">
<DisplayName>Facebook</DisplayName>
<Protocol Name="OAuth2" />
...
Bemeneti jogcímek
Az InputClaims és az InputClaimsTransformations elemekre nincs szükség. Előfordulhat azonban, hogy további paramétereket szeretne küldeni az identitásszolgáltatónak. Az alábbi példa hozzáadja a domain_hint lekérdezési sztring paramétert contoso.com az engedélyezési kérelemhez.
<InputClaims>
<InputClaim ClaimTypeReferenceId="domain_hint" DefaultValue="contoso.com" />
</InputClaims>
Kimeneti jogcímek
Az OutputClaims elem az OAuth2 identitásszolgáltató által visszaadott jogcímek listáját tartalmazza. Előfordulhat, hogy le kell képeznie a szabályzatban meghatározott jogcím nevét az identitásszolgáltatóban meghatározott névre. Olyan jogcímeket is megadhat, amelyeket az identitásszolgáltató nem ad vissza, amíg beállítja az DefaultValue attribútumot.
Az OutputClaimsTransformations elem tartalmazhat outputClaimsTransformation elemek gyűjteményét, amelyek a kimeneti jogcímek módosítására vagy újak létrehozására szolgálnak.
Az alábbi példa a Facebook-identitásszolgáltató által visszaadott jogcímeket mutatja be:
- A first_name jogcím a givenName jogcímre van leképezve.
- A last_name jogcím a vezetéknév jogcímre van leképezve.
- A displayName jogcím névleképezés nélkül.
- Az e-mail-jogcím névleképezés nélkül.
A technikai profil olyan jogcímeket is visszaad, amelyeket az identitásszolgáltató nem ad vissza:
- Az identityProvider jogcím, amely az identitásszolgáltató nevét tartalmazza.
- Az authenticationSource jogcím a socialIdpAuthentication alapértelmezett értékével.
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="id" />
<OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="first_name" />
<OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="last_name" />
<OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
<OutputClaim ClaimTypeReferenceId="email" PartnerClaimType="email" />
<OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="facebook.com" />
<OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" />
</OutputClaims>
Engedélyezési végpont metaadatai
Az engedélyezési folyamat akkor kezdődik, amikor Azure AD B2C az OAuth2 identitásszolgáltatók /authorize végpontjára irányítja a felhasználót. Az engedélyezési végpont hívása a folyamat interaktív része, ahol a felhasználó végrehajtja a műveletet. Ekkor a felhasználónak be kell fejeznie a bejelentkezést az OAuth2 identitásszolgáltatónál. Például a felhasználónév és a jelszó megadásával.
Azure AD B2C létrehoz egy engedélyezési kérést az ügyfélazonosító, a hatókörök, az átirányítási URI és egyéb paraméterek megadásával, amelyeknek hozzáférési jogkivonatot kell beszerezniük az identitásszolgáltatótól. Ez a szakasz az engedélyezési végpont metaadatait ismerteti, amely lehetővé teszi a kérés konfigurálását az /authorize identitásszolgáltató végpontjára.
Az engedélyezési végpontra irányuló kérés mindig HTTP GET. Az alábbi minta az engedélyezési végpont hívását mutatja be.
GET https://login.contoso.com/oauth/v2/authorization?
client_id=12345
&response_type=code
&response_mode=query
&redirect_uri=urn%3Aietf%3Awg%3Aoauth%3A2.0%3Aoob
&scope=profile%20offline_access
&redirect_uri=https%3a%2f%2fabrikam.b2clogin.com%2fabrikam.onmicrosoft.com%2foauth2%2fauthresp
&state=...
Az alábbi táblázat az engedélyezési végpont metaadatait sorolja fel.
| Attribútum | Kötelező | Leírás |
|---|---|---|
authorization_endpoint |
Igen | Az engedélyezési végpont URL-címe az RFC 6749 szerint. |
client_id |
Yes | Az identitásszolgáltató alkalmazásazonosítója. |
AdditionalRequestQueryParameters |
No | Extra kéréses lekérdezési paraméterek. Előfordulhat például, hogy további paramétereket szeretne küldeni az identitásszolgáltatónak. Több paramétert is megadhat vesszőelválasztóval. |
response_mode |
No | Az a metódus, amellyel az identitásszolgáltató visszaküldi az eredményt Azure AD B2C-nek. Lehetséges értékek: query, form_post (alapértelmezett) vagy fragment. |
scope |
No | A kérelem hatóköre, amely az OAuth2 identitásszolgáltatói specifikációja szerint van meghatározva. openidPéldául : , profileés email. |
UsePolicyInRedirectUri |
No | Azt jelzi, hogy használjon-e szabályzatot az átirányítási URI létrehozásakor. Ha az alkalmazást az identitásszolgáltatóban konfigurálja, meg kell adnia az átirányítási URI-t. Az átirányítási URI Azure AD B2C, https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp. Ha megadja a értéket true, minden egyes használt szabályzathoz hozzá kell adnia egy átirányítási URI-t. Példa: https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/{policy-name}/oauth2/authresp. |
Jogkivonatvégpont metaadatai
Miután a felhasználó befejezte a hitelesítést az identitásszolgáltató engedélyezési végpontján, a rendszer az engedélyezést code tartalmazó választ adja vissza Azure AD B2C-nek. Azure AD B2C beváltja a hozzáférési jogkivonat engedélyezési kódját egy POST-kérés elküldésével az /token identitásszolgáltató végpontjára. Ez a szakasz a jogkivonatvégpont metaadatait ismerteti, amely lehetővé teszi a kérés konfigurálását az /token identitásszolgáltató végpontjára.
Az alábbi HTTP-kérés egy Azure AD B2C-hívást mutat be az identitásszolgáltató jogkivonat-végpontjára.
POST https://contoso/oauth2/token
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&client_id=12345&scope=profile offline_access&code=AwABAAAAvPM1KaPlrEqdFSBzjqfTGBCmLdgfSTLEMPGYuNHSUYBrq...
Az alábbi táblázat a jogkivonatvégpont metaadatait sorolja fel.
| Attribútum | Kötelező | Leírás |
|---|---|---|
AccessTokenEndpoint |
Igen | A jogkivonatvégpont URL-címe. Például: https://www.linkedin.com/oauth/v2/accessToken. |
HttpBinding |
No | A jogkivonatvégponthoz várt HTTP-kötés. Lehetséges értékek: GET vagy POST. |
AccessTokenResponseFormat |
No | A hozzáférési jogkivonat végponthívásának formátuma. A Facebooknak például HTTP GET metódusra van szüksége, de a hozzáférési jogkivonat-válasz JSON formátumban van. Lehetséges értékek: Default, Jsonés JsonP. |
ExtraParamsInAccessTokenEndpointResponse |
No | Tartalmazza azokat a további paramétereket, amelyeket egyes identitásszolgáltatók az AccessTokenEndpoint válaszában adhatnak vissza. Az AccessTokenEndpoint válasza például tartalmaz egy további paramétert, például openida paramétert, amely kötelező paraméter a ClaimsEndpoint-kérelem lekérdezési sztringjének access_token kívül. Több paraméternevet kell feloldani, és el kell különíteni a "," elválasztó vesszővel. |
token_endpoint_auth_method |
No | Meghatározza, hogy Azure AD B2C hogyan küldi el a hitelesítési fejlécet a jogkivonatvégpontnak. Lehetséges értékek: client_secret_post (alapértelmezett) és client_secret_basic, private_key_jwt. További információ: OpenID Connect ügyfél-hitelesítés szakasz. |
token_signing_algorithm |
No | Megadja az aláírási algoritmust, amelyet akkor kell használni, ha token_endpoint_auth_method a értéke private_key_jwt. Lehetséges értékek: RS256 (alapértelmezett) vagy RS512. |
HTTP-kötési módszer konfigurálása
Alapértelmezés szerint a jogkivonatvégpontra irányuló kérés HTTP POST-ot használ.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">POST</Item>
A következő HTTP-hívás a jogkivonatvégpontra irányuló hívást mutatja be HTTP POST-kéréssel:
POST /oauth2/token
client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Azon identitásszolgáltatók esetében, amelyeknél HTTP GET metódust kell használni a /token végponton, állítsa a metaadatokat értékre HttpBindingGET. Vegye figyelembe, hogy a következő példában a AccessTokenResponseFormat értéke json, mivel a jogkivonatvégpont JSON formátumban adja vissza a választ.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="AccessTokenResponseFormat">json</Item>
GET /oauth2/token?client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
A hozzáférési jogkivonat válaszformátumának konfigurálása
A HTTP POST metódust támogató identitásszolgáltatók esetében a AccessTokenResponseFormat érték alapértelmezés szerint a értékre jsonvan állítva. Ha az identitásszolgáltató támogatja a HTTP GET kérést, a hozzáférési jogkivonat válaszformátumát json explicit módon kell beállítania.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="HttpBinding">GET</Item>
<Item Key="AccessTokenResponseFormat">json</Item>
Az alábbi példa egy JSON formátumú jogkivonatvégpont-választ mutat be:
{
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...",
"token_type": "Bearer",
"not_before": 1637924390,
"expires_in": 960000,
}
A hitelesítési módszer konfigurálása
A jogkivonatvégpontra irányuló kérések mindig hitelesítést igényelnek. Alapértelmezés szerint Azure AD B2C ügyfél-hitelesítő adatokat biztosít az identitásszolgáltatónak. Alapértelmezés szerint a hitelesítési módszer a client_secret_post, beleértve az ügyfél hitelesítő adatait (client_id és client_secret) a kérelem törzsében.
A jogkivonatvégpontra irányuló alábbi HTTP-kérés a POST-adatokban lévő és client_secret a értéket tartalmazzaclient_id. A GET-kérések client_id és a lekérdezési client_secret sztring paraméterei közé tartoznak.
POST /oauth2/token
client_id=abcd&client_secret=1234&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Azon identitásszolgáltatók esetében, amelyek a végpontjukon /token http-alapszintű hitelesítést igényelnek, konfigurálják a metaadatokat a token_endpoint_auth_method következőre client_secret_basic: . Az ilyen típusú hitelesítési módszer esetén az ügyfél hitelesítő adatai a HTTP Alapszintű hitelesítési séma használatával lesznek átadva az identitásszolgáltatónak.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="token_endpoint_auth_method">client_secret_basic</Item>
Az alábbi HTTP-kérés bemutatja a jogkivonatvégpontra irányuló hívást alapSZINTŰ HTTP-hitelesítéssel. Az engedélyezési fejléc tartalmazza az ügyfélazonosítót és az ügyfél titkos kódját, base64 kódolású formátumban client_ID:client_secret.
POST /oauth2/token
Authorization: Basic YWJjZDoxMjM0
redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
A titkos kulcsú JWT-hitelesítést támogató identitásszolgáltatók esetében konfigurálja a metaadatokat a token_endpoint_auth_method következőre: private_key_jwt. Az ilyen típusú hitelesítési módszer esetén a B2C Azure AD kapott tanúsítványt használjuk egy aláírt helyességi feltétel létrehozásához, amelyet a paraméteren keresztül ad át az client_assertion identitásszolgáltatónak. A client_assertion_type beállítás értéke.urn:ietf:params:oauth:client-assertion-type:jwt-bearer A token_signing_algorithm metaadatok a JWT-jogkivonat aláíró algoritmusát határozzák meg.
<Item Key="AccessTokenEndpoint">https://contoso.com/oauth2/token</Item>
<Item Key="token_endpoint_auth_method">private_key_jwt</Item>
<Item Key="token_signing_algorithm">RS256</Item>
Az alábbi HTTP-kérés bemutatja a jogkivonatvégpontra irányuló hívást titkos kulcsú JWT-hitelesítéssel.
POST /oauth2/token
client_assertion=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsImtpZCI6IjJFRFg0dWRYeDIxbXNoaXdJVzczMUY3OUZSbFJiUDZXVXJyZmktR1RFeVkifQ.eyJpc3MiOiJhYmNkIiwiZXhwIjoxNjM3OTI5ODY0LCJuYmYiOjE2Mzc5Mjk1NjQsImF1ZCI6Imh0dHBzOi8vNWRlNC0xMDktNjQtMTI0LTUzLm5ncm9rLmlvL2FjY2Vzc190b2tlbiIsImp0aSI6IjVxQWlGV2lEODNDbU1KWWNrejBRdGc9PSIsInN1YiI6ImFiY2QiLCJpYXQiOjE2Mzc5Mjk1NjR9.C4OtRnrLaQatpT5LP45O5Nb418S4v8yZi_C42ld440w&client_id=abcd&client_assertion_type=urn%3aietf%3aparams%3aoauth%3aclient-assertion-type%3ajwt-bearer&redirect_uri=https%3a%2f%2fcontoso.b2clogin.com%2fcontoso.onmicrosoft.com%2foauth2%2fauthresp&code=12345&grant_type=authorization_code
Felhasználói adatok végpont metaadatai
Miután Azure AD B2C lekéri a hozzáférési jogkivonatot az OAuth2 identitásszolgáltatójától, hívást kezdeményez a felhasználói adatok végpontjához. A felhasználói adatok végpontja, más néven jogcímvégpont a hitelesített felhasználóra vonatkozó jogcímek lekérésére szolgál. Azure AD A B2C tulajdonosi jogkivonat-hitelesítést használ az identitásszolgáltatók felhasználói adatok végpontjának hitelesítéséhez. A tulajdonosi jogkivonat az a hozzáférési jogkivonat, amelyet a B2C Azure AD az identitásszolgáltatók /token végpontjáról szerez be.
A felhasználói adatok végpontjára irányuló kérés mindig HTTP GET. A hozzáférési jogkivonatot a rendszer egy nevű lekérdezési sztringparaméterben küldi access_tokenel. Az alábbi HTTP-kérés a felhasználói adatok végpontjának hívását jeleníti meg a lekérdezési sztring paraméter hozzáférési jogkivonatával.
GET /oauth2/claims?access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Az alábbi táblázat a felhasználói adatok végpontjának metaadatait sorolja fel.
| Attribútum | Kötelező | Leírás |
|---|---|---|
ClaimsEndpoint |
Igen | A felhasználói adatok végpontjának URL-címe. Például: https://api.linkedin.com/v2/me. |
ClaimsEndpointAccessTokenName |
No | A hozzáférési jogkivonat lekérdezési sztring paraméterének neve. Alapértelmezett érték: access_token. |
ClaimsEndpointFormatName |
No | A formátum lekérdezési sztring paraméterének neve. A nevet format például ebben a LinkedIn-jogcímvégpontban https://api.linkedin.com/v1/people/~?format=jsonállíthatja be. |
ClaimsEndpointFormat |
No | A formátum lekérdezési sztring paraméterének értéke. Beállíthatja például az értéket json ebben a LinkedIn-jogcímvégpontban https://api.linkedin.com/v1/people/~?format=json. |
BearerTokenTransmissionMethod |
No | A jogkivonat elküldését határozza meg. Az alapértelmezett metódus egy lekérdezési sztring. Ha a jogkivonatot kérésfejlécként szeretné elküldeni, állítsa a következőre: AuthorizationHeader. |
ExtraParamsInClaimsEndpointRequest |
No | Az egyes identitásszolgáltatók által a ClaimsEndpoint-kérelemben visszaadható további paramétereket tartalmazza. Több paraméternevet kell feloldani, és el kell különíteni a "," vesszővel. |
A hozzáférési jogkivonat lekérdezési sztringparaméterének konfigurálása
Előfordulhat, hogy a felhasználói adatok végpontja megköveteli a hozzáférési jogkivonat elküldését egy adott lekérdezési sztringparaméterben. A hozzáférési jogkivonatot tartalmazó lekérdezési sztring paraméter nevének módosításához használja a ClaimsEndpointAccessTokenName metaadatokat. Az alábbi példában a hozzáférési jogkivonat lekérdezési sztring paramétere a következőre tokenvan állítva: .
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="ClaimsEndpointAccessTokenName">token</Item>
Az alábbi HTTP-hívás bemutatja a felhasználói adatok végpontjának hívását a következő értékre ClaimsEndpointAccessTokenNametokenállítva:
GET /oauth2/claims?token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
A jogcímformátum konfigurálása
A ClaimsEndpointFormatName és ClaimsEndpointFormat lehetővé teszi, hogy kulcs-érték pár lekérdezési sztringparamétert küldjön a felhasználói adatok végpontjára. Az alábbi példa egy nevű lekérdezési sztringparamétert formatkonfigurál, amelynek értéke json.
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="ClaimsEndpointFormatName">format</Item>
<Item Key="ClaimsEndpointFormat">json</Item>
Az alábbi HTTP-kérés bemutatja a felhasználói adatok végpontjára irányuló hívást a és ClaimsEndpointFormatNameClaimsEndpointFormat konfigurálásával.
GET /oauth2/claims?format=json&access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Tulajdonosi jogkivonat átviteli módszerének konfigurálása
Alapértelmezés szerint a hozzáférési jogkivonatot a rendszer egy lekérdezési sztringparaméteren keresztül küldi el az identitásszolgáltatók felhasználói információs végpontjának. A jogkivonat HTTP-fejlécben Authorization való elküldéséhez állítsa a BearerTokenTransmissionMethod metaadatokat a értékre AuthorizationHeader.
<Item Key="ClaimsEndpoint">https://contoso.com/oauth2/claims</Item>
<Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item>
Az alábbi HTTP-kérés bemutatja, hogy a hozzáférési jogkivonat hogyan lesz átadva, amikor BearerTokenTransmissionMethod a értékre AuthorizationHeadervan állítva.
GET /oauth2/claims
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
A tokenvégpont által visszaadott paraméterek átadása
Egyes identitásszolgáltatóknak további paramétereket kell átadniuk, amelyeket a rendszer a jogkivonatvégpontból a felhasználói adatok végpontjának ad vissza. A jogkivonatvégpont válasza például tartalmaz egy nevű resourceparamétert, amely a felhasználói adatok végpontjának kötelező paramétere (a hozzáférési jogkivonat mellett). ExtraParamsInClaimsEndpointRequest A metaadatok használatával adjon meg minden további paramétert, amelyet át szeretne adni. Több paraméternevet kell feloldani, és el kell különíteni a "," vesszővel.
Az alábbi JSON bemutatja, hogy a tokenvégpont egy JSON hasznos adattartalmat ad vissza egy nevű resourceparaméterrel.
{
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...",
"token_type": "Bearer",
"not_before": 1549647431,
"expires_in": 960000,
"resource": "f2a76e08-93f2-4350-833c-965c02483b11"
}
Ha a paramétert resource át szeretné adni a felhasználói adatok végpontjának, adja hozzá a következő metaadatokat:
<Item Key="ExtraParamsInClaimsEndpointRequest">resource</Item>
Az alábbi HTTP-kérés bemutatja, hogyan továbbítja a paramétert resource a felhasználói adatok végpontjának.
GET /oauth2/claims?resource=f2a76e08-93f2-4350-833c-965c02483b11&access_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IlBFcG5...
Munkamenetvégpont vége
Ha ki szeretné jelentkezni a felhasználót az alkalmazásból, irányítsa át a felhasználót a Azure AD B2C kijelentkezési végpontra (OAuth2 és OpenID Connect esetén is), vagy küldjön egy LogoutRequest (SAML esetén). Azure AD B2C törli a felhasználó munkamenetét a böngészőből. Kijelentkezési kérés esetén Azure AD B2C megpróbál kijelentkezni minden olyan összevont identitásszolgáltatótól, amin keresztül a felhasználó bejelentkezett. Az OAuth2 identitásszolgáltató bejelentkezési URI-ja a end_session_endpoint metaadatokban van konfigurálva. Amikor a felhasználó Azure AD B2C-n keresztül kijelentkezik az alkalmazásból, létrejön egy rejtett iframe, amely meghívja a end_session_endpoint Azure AD B2C bejelentkezési oldalán.
Az alábbi táblázat a felhasználói adatok végpontjának metaadatait sorolja fel.
| Attribútum | Kötelező | Leírás |
|---|---|---|
end_session_endpoint |
Igen | A záró munkamenetvégpont URL-címe az RFC 6749 szerint. |
SingleLogoutEnabled |
No | Azt jelzi, hogy a bejelentkezés során a műszaki profil megkísérel-e kijelentkezni az összevont identitásszolgáltatókból. További információ: Azure AD B2C-munkamenet kijelentkeztetés. Lehetséges értékek: true (alapértelmezett) vagy false. |
OAuth2 általános metaadatok
Az alábbi táblázat az OAuth2 identitásszolgáltató általános metaadatait sorolja fel. A metaadatok azt írják le, hogy az OAuth2 technikai profil hogyan kezeli a jogkivonatok érvényesítését, a jogcímek lekérését és a hibaüzenetekre való reagálást.
| Attribútum | Kötelező | Leírás |
|---|---|---|
IdTokenAudience |
Nem | A id_token közönsége. Ha meg van adva, Azure AD B2C ellenőrzi, hogy a jogkivonat szerepel-e az identitásszolgáltató által visszaadott jogcímben, és megegyezik-e a megadottkal. |
ProviderName |
No | Az identitásszolgáltató neve. |
ResponseErrorCodeParamName |
No | A HTTP 200-ra visszaküldött hibaüzenetet tartalmazó paraméter neve (ok). |
IncludeClaimResolvingInClaimsHandling |
No | Bemeneti és kimeneti jogcímek esetén meghatározza, hogy a jogcímek feloldása szerepel-e a műszaki profilban. Lehetséges értékek: true, vagy false (alapértelmezett). Ha egy jogcímfeloldót szeretne használni a műszaki profilban, állítsa ezt a értékre true. |
ResolveJsonPathsInJsonTokens |
No | Azt jelzi, hogy a műszaki profil feloldja-e a JSON-útvonalakat. Lehetséges értékek: true, vagy false (alapértelmezett). Ez a metaadat egy beágyazott JSON-elem adatainak beolvasásához használható. Az OutputClaim mezőben állítsa a PartnerClaimType értéket a kimenetként megjeleníteni kívánt JSON-elérési útelemre. Például: firstName.localized, vagy data[0].to[0].email. |
Titkosítási kulcsok
A CryptographicKeys elem a következő attribútumot tartalmazza:
| Attribútum | Kötelező | Leírás |
|---|---|---|
client_secret |
Igen | Az identitásszolgáltató alkalmazás titkos ügyfélkódja. A titkosítási kulcs csak akkor szükséges, ha a response_types metaadatok értéke code. Ebben az esetben Azure AD B2C egy másik hívást kezdeményez a hozzáférési jogkivonat engedélyezési kódjának cseréjére. Ha a metaadatok id_tokenértéke , kihagyhatja a titkosítási kulcsot. |
assertion_signing_key |
No | Ha a token_endpoint_auth_method metaadatok értéke , private_key_jwtadjon meg egy X509-tanúsítványt a JWT-kulcs aláírásához. Ezt a kulcsot az OAuth2 identitásszolgáltatónak kell megadnia. |
Átirányítási URI
Az identitásszolgáltató átirányítási URI-jának konfigurálásakor adja meg a következőt https://{tenant-name}.b2clogin.com/{tenant-name}.onmicrosoft.com/oauth2/authresp: . Ügyeljen arra, hogy a helyére {tenant-name} írja be a bérlő nevét (például contosob2c). Az átirányítási URI-nak kisbetűsnek kell lennie.
Következő lépések
- Megtudhatja, hogyan adhat hozzá identitásszolgáltatót az Azure Active Directory B2C-bérlőhöz