Átirányítási URL-címek beállítása b2clogin.com az Azure Active Directory B2C-hez
Amikor identitásszolgáltatót állít be az Azure Active Directory B2C (Azure AD B2C) alkalmazásokba való regisztrációhoz és bejelentkezéshez, meg kell adnia az Azure AD B2C identitásszolgáltató végpontjait. Többé nem hivatkozhat login.microsoftonline.com az alkalmazásokban és API-kban a felhasználók Azure AD B2C-vel való hitelesítéséhez. Ehelyett használjon b2clogin.com vagy egyéni tartományt minden alkalmazáshoz.
Milyen végpontokra vonatkoznak ezek a módosítások?
Az b2clogin.com való áttérés csak azokra a hitelesítési végpontokra vonatkozik, amelyek Azure AD B2C-szabályzatokat (felhasználói folyamatokat vagy egyéni szabályzatokat) használnak a felhasználók hitelesítéséhez. Ezek a végpontok rendelkeznek egy <policy-name>
paraméterrel, amely meghatározza az Azure AD B2C által használni kívánt szabályzatot. További információ az Azure AD B2C-szabályzatokról.
A régi végpontok a következőképpen nézhetnek ki:
https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize
https://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>
A megfelelő frissített végpont a következőképpen nézne ki:
https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize
https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>
Az Azure AD B2C egyéni tartománya esetében a megfelelő frissített végpont a következőképpen nézne ki:
https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize
https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name>
Nem érintett végpontok
Egyes ügyfelek a Microsoft Entra vállalati bérlőinek megosztott képességeit használják. Például egy hozzáférési jogkivonat beszerzése az Azure AD B2C-bérlő MS Graph API-jának meghívásához.
Ez a módosítás nem érinti az összes végpontot, amelyek nem tartalmaznak szabályzatparamétert az URL-címben. Ezek csak a Microsoft Entra-azonosító login.microsoftonline.com végpontjaival érhetők el, és nem használhatók a b2clogin.com vagy egyéni tartományokkal. Az alábbi példa a Microsoft Identitásplatform érvényes jogkivonat-végpontját mutatja be:
https://login.microsoftonline.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token
A szükséges módosítások áttekintése
Az alkalmazások Azure AD B2C-végpontok használatával történő áttelepítéséhez számos módosításra lehet szükség az alkalmazások login.microsoftonline.com használatával:
- Módosítsa az átirányítási URL-címet az identitásszolgáltató alkalmazásaiban, hogy hivatkozzon b2clogin.com vagy egyéni tartományra. További információkért kövesse az identitásszolgáltató átirányítási URL-címeinek módosítását ismertető útmutatót.
- Frissítse Az Azure AD B2C-alkalmazásokat úgy, hogy b2clogin.com vagy egyéni tartományt használjanak a felhasználói folyamatukban és a jogkivonatvégpontok hivatkozásaiban. A módosítás magában foglalhatja egy hitelesítési kódtár, például a Microsoft Authentication Library (MSAL) használatát.
- Frissítse a cors-beállításokban megadott engedélyezett forrásokat a felhasználói felület testreszabásához.
Identitásszolgáltató átirányítási URL-címeinek módosítása
Minden identitásszolgáltató webhelyén, amelyen létrehozott egy alkalmazást, módosítsa az összes megbízható URL-címet úgy, hogy a login.microsoftonline.com helyett egy egyéni tartományba your-tenant-name.b2clogin.com
irányítson át.
A b2clogin.com átirányítási URL-címekhez két formátum használható. Az első azzal az előnnyel jár, hogy a "Microsoft" nem jelenik meg sehol az URL-címben a bérlői tartománynév helyett a bérlőazonosító (GUID) használatával. Vegye figyelembe, hogy a authresp
végpont nem tartalmaz szabályzatnevet.
https://{your-tenant-name}.b2clogin.com/{your-tenant-id}/oauth2/authresp
A második lehetőség a bérlő tartománynevét your-tenant-name.onmicrosoft.com
használja a következő formában: . Például:
https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp
Mindkét formátum esetében:
- Cserélje le
{your-tenant-name}
az Azure AD B2C-bérlő nevét. - Távolítsa el
/te
, ha az URL-címben szerepel.
Alkalmazások és API-k frissítése
Az Azure AD B2C-kompatibilis alkalmazásokban és API-kban található kód több helyen is hivatkozhat.login.microsoftonline.com
Előfordulhat például, hogy a kód hivatkozik a felhasználói folyamatokra és a jogkivonatvégpontokra. Frissítse a következőt, hogy inkább hivatkozzon your-tenant-name.b2clogin.com
:
- Engedélyezési végpont
- Jogkivonatvégpont
- Tokenkibocsátó
A Contoso regisztrációs/bejelentkezési szabályzatának szolgáltatói végpontja például a következő:
https://contosob2c.b2clogin.com/00000000-0000-0000-0000-000000000000/B2C_1_signupsignin1
Az OWIN-alapú webalkalmazások b2clogin.com való migrálásával kapcsolatos információkért lásd : OWIN-alapú webes API migrálása b2clogin.com.
Az Azure AD B2C által védett Azure API Management API-k migrálásához tekintse meg az Azure API Management API és az Azure AD B2C biztonságossá tételének b2clogin.com szakaszát.
Microsoft Authentication Library (MSAL)
MSAL.NET ValidateAuthority tulajdonság
Ha MSAL.NET v2 vagy korábbi verziót használ, állítsa a ValidateAuthority tulajdonságot false
az ügyfél példányosítására, hogy az átirányítások b2clogin.com. Az érték false
beállítása nem szükséges a MSAL.NET 3- és újabb verziójához.
ConfidentialClientApplication client = new ConfidentialClientApplication(...); // Can also be PublicClientApplication
client.ValidateAuthority = false; // MSAL.NET v2 and earlier **ONLY**
MSAL for JavaScript validateAuthority tulajdonság
Ha az MSAL-t JavaScript 1.2.2-s vagy korábbi verziójához használja, állítsa a validateAuthority tulajdonságot a következőrefalse
: .
// MSAL.js v1.2.2 and earlier
this.clientApplication = new UserAgentApplication(
env.auth.clientId,
env.auth.loginAuthority,
this.authCallback.bind(this),
{
validateAuthority: false // Required in MSAL.js v1.2.2 and earlier **ONLY**
}
);
Ha az MSAL.js 1.3.0+ (alapértelmezett) értékre van állítva validateAuthority: true
, akkor egy érvényes jogkivonat-kiállítót is meg kell adnia a következővel knownAuthorities
:
// MSAL.js v1.3.0+
this.clientApplication = new UserAgentApplication(
env.auth.clientId,
env.auth.loginAuthority,
this.authCallback.bind(this),
{
validateAuthority: true, // Supported in MSAL.js v1.3.0+
knownAuthorities: ['tenant-name.b2clogin.com'] // Required if validateAuthority: true
}
);
További lépések
Az OWIN-alapú webalkalmazások b2clogin.com való migrálásával kapcsolatos információkért lásd : OWIN-alapú webes API migrálása b2clogin.com.
Az Azure AD B2C által védett Azure API Management API-k migrálásához tekintse meg az Azure API Management API és az Azure AD B2C biztonságossá tételének b2clogin.com szakaszát.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: