AD FS hozzáadása OpenID Csatlakozás identitásszolgáltatóként egyéni szabályzatok használatával az Azure Active Directory B2C-ben

Mielőtt hozzákezdene, a Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.

Előfeltételek

• Hozzon létre egy felhasználói folyamatot , hogy a felhasználók regisztrálhassák és bejelentkezhessenek az alkalmazásba.
• Webalkalmazás regisztrálása.

• Az Egyéni szabályzatok használatának első lépései az Active Directory B2C-ben
• Webalkalmazás regisztrálása.

AD FS-alkalmazás létrehozása

Ha engedélyezni szeretné az AD FS-fiókkal rendelkező felhasználók bejelentkezését az Azure Active Directory B2C-ben (Azure AD B2C), hozzon létre egy alkalmazáscsoportot az AD FS-ben. További információ: Webalkalmazás létrehozása OpenID Csatlakozás az AD FS 2016-os és újabb verzióival

Alkalmazáscsoport létrehozásához kövesse az alábbi lépéseket:

1. A Kiszolgálókezelő válassza az Eszközök, majd az AD FS Management lehetőséget.
2. Az AD FS Managementben kattintson a jobb gombbal az alkalmazáscsoportokra, és válassza az Alkalmazáscsoport hozzáadása lehetőséget.
3. Az Alkalmazáscsoport varázsló üdvözlőképernyőjén :
   1. Adja meg az alkalmazás nevét . Például az Azure AD B2C-alkalmazás.
   2. Az Ügyfélkiszolgáló alkalmazások területen válassza ki azt a webböngészőt, amely hozzáfér egy webalkalmazás-sablonhoz.
   3. Válassza a Következő lehetőséget.
4. Az Alkalmazáscsoport varázsló natív alkalmazás képernyőjén:
   1. Másolja ki az ügyfélazonosító értékét. Az ügyfélazonosító az AD FS-alkalmazás azonosítója. A cikk későbbi részében szüksége lesz az alkalmazásazonosítóra.
   2. Az Átirányítási URI-ban adja meg, majd adja meg https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authrespa Hozzáadás parancsot. Ha egyéni tartományt használ, írja be a következőt:https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp Cserélje le your-tenant-name a bérlő nevére és your-domain-name az egyéni tartományára.
   3. Válassza a Tovább, majd a Tovább, majd a Tovább lehetőséget az alkalmazásregisztrációs varázsló befejezéséhez.
   4. Válassza a Bezárás lehetőséget.

Az alkalmazásjogcímek konfigurálása

Ebben a lépésben konfigurálja a jogcímek AD FS-alkalmazásának visszatérését az Azure AD B2C-be.

1. Az alkalmazáscsoportokban válassza ki a létrehozott alkalmazást.

2. Az alkalmazás tulajdonságai ablak Alkalmazások területén válassza ki a webalkalmazást. Ezután válassza az Edit (Szerkesztés) elemet.

3. Válassza a Kiállítási átalakítási szabályok lapot. Ezután válassza a Szabály hozzáadása lehetőséget.

4. A Jogcímszabály sablonban válassza az LDAP-attribútumok küldése jogcímként, majd a Tovább lehetőséget.

5. Adjon meg egy jogcímszabálynevet. Az Attribútumtárban válassza az Active Directoryt, és adja hozzá a következő jogcímeket.

   LDAP-attribútum	Kimenő jogcím típusa
   Egyszerű felhasználónév	Upn
   Surname	family_name
   Utónév	given_name
   Megjelenítendő név	név

   Vegye figyelembe, hogy néhány név nem jelenik meg a kimenő jogcímtípus legördülő listájában. Manuálisan kell beírnia őket (a legördülő lista szerkeszthető).

6. Select Finish.

7. Kattintson az Alkalmaz gombra, majd az OK gombra.

8. A befejezéshez kattintson ismét az OK gombra.

Az AD FS konfigurálása identitásszolgáltatóként

1. Jelentkezzen be az Azure Portalra az Azure AD B2C-bérlő globális rendszergazdájaként.

2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.

3. Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza az Azure AD B2C-t.

4. Válassza az Identitásszolgáltatók lehetőséget, majd válassza az Új OpenID Csatlakozás szolgáltatót.

5. Adjon meg egy nevet. Például a Contoso.

6. Metaadatok url-címeként adja meg az AD FS OpenID Csatlakozás konfigurációs dokumentum URL-címét. Például:

   https://adfs.contoso.com/adfs/.well-known/openid-configuration 
   

7. Ügyfélazonosítóként adja meg a korábban rögzített alkalmazásazonosítót.

8. A Hatókör mezőben adja meg a openid.

9. Választípus esetén válassza a id_token. Az ügyfél titkos kódjának értéke tehát nem szükséges. További információ az ügyfélazonosító és a titkos kód használatáról általános OpenID-Csatlakozás identitásszolgáltató hozzáadásakor.

10. (Nem kötelező) A Tartomány tipp mezőbe írja be a következőt contoso.com: További információ: Közvetlen bejelentkezés beállítása az Azure Active Directory B2C használatával.

11. Az Identitásszolgáltató jogcímleképezés területén válassza ki a következő jogcímeket:

    • Felhasználói azonosító: upn
    • Megjelenítendő név: unique_name
    • Utónév: given_name
    • Vezetéknév: family_name

12. Válassza a Mentés parancsot.

AD FS-identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Ezen a ponton az AD FS (Contoso) identitásszolgáltatója be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. Az AD FS-identitásszolgáltató hozzáadása egy felhasználói folyamathoz:

1. Az Azure AD B2C-bérlőben válassza a Felhasználói folyamatok lehetőséget.
2. Válassza ki az AD FS-identitásszolgáltatót (Contoso) hozzáadni kívánt felhasználói folyamatot.
3. A Közösségi identitásszolgáltatók területen válassza a Contoso lehetőséget.
4. Válassza a Mentés parancsot.
5. A szabályzat teszteléséhez válassza a Felhasználói folyamat futtatása lehetőséget.
6. Alkalmazás esetén válassza ki a korábban regisztrált testapp1 nevű webalkalmazást. A Válasz URL-címnek meg kell jelennie https://jwt.ms.
7. Válassza a Felhasználói folyamat futtatása gombot.
8. A regisztrációs vagy bejelentkezési lapon válassza a Contoso lehetőséget a Contoso-fiókkal való bejelentkezéshez.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt, amely megjeleníti az Azure AD B2C által visszaadott https://jwt.msjogkivonat tartalmát.

Az AD FS konfigurálása identitásszolgáltatóként

Ahhoz, hogy a felhasználók AD FS-fiókkal jelentkezzenek be, meg kell határoznia az AD FS-t jogcímszolgáltatóként, amellyel az Azure AD B2C egy végponton keresztül tud kommunikálni.

1. Nyissa meg az TrustFrameworkExtensions.xml fájlt.

2. Keresse meg a ClaimsProviders elemet. Ha nem létezik, adja hozzá a gyökérelemhez.

3. Adjon hozzá egy új ClaimsProvidert az alábbiak szerint:

   <ClaimsProvider>
     <Domain>contoso.com</Domain>
     <DisplayName>Contoso</DisplayName>
     <TechnicalProfiles>
       <TechnicalProfile Id="Contoso-OpenIdConnect">
         <DisplayName>Contoso</DisplayName>
         <Protocol Name="OpenIdConnect" />
         <Metadata>
           <Item Key="METADATA">https://your-adfs-domain/adfs/.well-known/openid-configuration</Item>
           <Item Key="response_types">id_token</Item>
           <Item Key="response_mode">form_post</Item>
           <Item Key="scope">openid</Item>
           <Item Key="HttpBinding">POST</Item>
           <Item Key="UsePolicyInRedirectUri">0</Item>
           <!-- Update the Client ID below to the Application ID -->
           <Item Key="client_id">Your AD FS application ID</Item>
         </Metadata>
         <OutputClaims>
           <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="upn" />
           <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
           <OutputClaim ClaimTypeReferenceId="surname" PartnerClaimType="family_name" />
           <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="unique_name" />
           <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss"  />
           <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
         </OutputClaims>
         <OutputClaimsTransformations>
           <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" />
           <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" />
           <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" />
         </OutputClaimsTransformations>
         <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" />
       </TechnicalProfile>
     </TechnicalProfiles>
   </ClaimsProvider>
   

4. A Metaadatok URL-címéhez adja meg az AD FS OpenID Csatlakozás konfigurációs dokumentum URL-címét. Például:

   https://adfs.contoso.com/adfs/.well-known/openid-configuration 
   

5. Állítsa be a client_id az alkalmazásregisztráció alkalmazásazonosítójának.

6. Mentse a fájlt.

Felhasználói folyamat hozzáadása

Ezen a ponton az identitásszolgáltató be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. Ha nem rendelkezik saját egyéni felhasználói folyamatokkal, hozzon létre egy meglévő sablonfelhasználói folyamat másolatát, ellenkező esetben folytassa a következő lépéssel.

1. Nyissa meg az TrustFrameworkBase.xml fájlt a kezdőcsomagból.
2. Keresse meg és másolja ki a UserJourney elem teljes tartalmát, amely tartalmazza Id="SignUpOrSignIn"a elemet.
3. Nyissa meg az TrustFrameworkExtensions.xml fájlt , és keresse meg a UserJourneys elemet. Ha az elem nem létezik, adjon hozzá egyet.
4. Illessze be a UserJourney elem gyermekként másolt UserJourney elem teljes tartalmát.
5. Nevezze át a felhasználói folyamat azonosítóját. For example, Id="CustomSignUpSignIn".

Identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Most, hogy már rendelkezik felhasználói folyamatokkal, adja hozzá az új identitásszolgáltatót a felhasználói folyamathoz. Először hozzáad egy bejelentkezési gombot, majd csatolja a gombot egy művelethez. A művelet a korábban létrehozott technikai profil.

1. Keresse meg a vezénylési lépés azon elemét, amely tartalmazza Type="CombinedSignInAndSignUp"vagy Type="ClaimsProviderSelection" a felhasználói folyamat során. Általában ez az első vezénylési lépés. A ClaimsProviderSelections elem azon identitásszolgáltatók listáját tartalmazza, amelyekkel a felhasználó bejelentkezhet. Az elemek sorrendje szabályozza a felhasználónak megjelenített bejelentkezési gombok sorrendjét. Adjon hozzá egy ClaimsProviderSelection XML-elemet. Állítsa be a TargetClaimsExchangeId értékét egy rövid névre.

2. A következő vezénylési lépésben adjon hozzá egy ClaimsExchange elemet. Állítsa az azonosítót a cél jogcímcsere-azonosító értékére. Frissítse a TechnicalProfileReferenceId értékét a korábban létrehozott műszaki profil azonosítójára.

Az alábbi XML a felhasználói folyamat első két vezénylési lépését mutatja be az identitásszolgáltatóval:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="ContosoExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="ContosoExchange" TechnicalProfileReferenceId="Contoso-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

A függő entitás házirendjének konfigurálása

A függő entitás házirendje( például SignUpSignIn.xml) meghatározza az Azure AD B2C által végrehajtandó felhasználói folyamatot. Keresse meg a DefaultUserJourney elemet a függő entitáson belül. Frissítse a referenciaazonosítót a felhasználói útazonosítónak megfelelően, amelyben hozzáadta az identitásszolgáltatót.

A következő példában a CustomSignUpSignIn felhasználói folyamat referenciaazonosítója a következőre CustomSignUpSignInvan állítva:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Az egyéni szabályzat feltöltése

1. Jelentkezzen be az Azure Portalra.
2. Válassza a Címtár + Előfizetés ikont a portál eszköztárán, majd válassza ki az Azure AD B2C-bérlőt tartalmazó könyvtárat.
3. Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
4. A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
5. Válassza az Egyéni házirend feltöltése lehetőséget, majd töltse fel a módosított két házirendfájlt a következő sorrendben: a bővítményházirend, például TrustFrameworkExtensions.xmla függő entitás házirendje, például SignUpSignIn.xml.

Egyéni szabályzat tesztelése

1. Válassza ki például B2C_1A_signup_signina függő entitás szabályzatát.
2. Alkalmazás esetén válasszon ki egy korábban regisztrált webalkalmazást. A Válasz URL-címnek meg kell jelennie https://jwt.ms.
3. Válassza a Futtatás most gombot.
4. A regisztrációs vagy bejelentkezési oldalon válassza a Contoso lehetőséget a Contoso-fiókkal való bejelentkezéshez.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt, amely megjeleníti az Azure AD B2C által visszaadott https://jwt.msjogkivonat tartalmát.

Következő lépések

Megtudhatja, hogyan adhatja át az AD-FS-jogkivonatot az alkalmazásnak.