Megosztás a következőn keresztül:

Bejelentkezés beállítása több-bérlős Microsoft Entra-azonosítóhoz egyéni szabályzatokkal az Azure Active Directory B2C-ben

  • Cikk

Mielőtt hozzákezdene, a Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.

Ez a funkció csak egyéni szabályzatokhoz érhető el. A beállítási lépésekhez válassza az egyéni szabályzatot az előző választóban.

Ez a cikk bemutatja, hogyan engedélyezheti a bejelentkezést a Microsoft Entra ID több-bérlős végpontját használó felhasználók számára. Lehetővé teszi, hogy több Microsoft Entra-bérlő felhasználói az Azure AD B2C használatával jelentkezzenek be anélkül, hogy minden bérlőhöz konfigurálnia kellene egy identitásszolgáltatót. Az ilyen bérlők vendégtagjai azonban nem tudnak majd bejelentkezni. Ehhez minden bérlőt egyenként kell konfigurálnia.

Előfeltételek

Megjegyzés:

Ebben a cikkben feltételeztük, hogy a SocialAndLocalAccounts kezdőcsomagot az előfeltételként említett előző lépésekben használták.

Microsoft Entra-alkalmazás regisztrálása

Ha engedélyezni szeretné a Microsoft Entra-fiókkal rendelkező felhasználók bejelentkezését az Azure Active Directory B2C-ben (Azure AD B2C), létre kell hoznia egy alkalmazást az Azure Portalon. További információ: Alkalmazás regisztrálása a Microsoft Identitásplatform.

  1. Jelentkezzen be az Azure Portalra.

  2. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont a Microsoft Entra ID-bérlőre való váltáshoz a Könyvtárak + előfizetések menüből.

  3. Válassza a Minden szolgáltatás lehetőséget az Azure Portal bal felső sarkában, majd keresse meg és válassza ki a Alkalmazásregisztrációk.

  4. Válassza az Új regisztráció lehetőséget.

  5. Adja meg az alkalmazás nevét. For example, Azure AD B2C App.

  6. Válassza ki az alkalmazáshoz tartozó bármely szervezeti könyvtárban (Bármely Microsoft Entra könyvtár – Több-bérlő) található Fiókok lehetőséget.

  7. Az átirányítási URI-hoz fogadja el a web értékét, és írja be a következő URL-címet minden kisbetűben, ahol your-B2C-tenant-name az Azure AD B2C-bérlő neve lesz lecserélve.

    https://your-B2C-tenant-name.b2clogin.com/your-B2C-tenant-name.onmicrosoft.com/oauth2/authresp

    For example, https://fabrikam.b2clogin.com/fabrikam.onmicrosoft.com/oauth2/authresp.

    Ha egyéni tartományt használ, írja be a következőt:https://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp Cserélje le your-domain-name az egyéni tartományra és your-tenant-name a bérlő nevére.

  8. Válassza a Regisztrálás lehetőséget. Jegyezze fel az alkalmazás (ügyfél) azonosítóját egy későbbi lépésben való használatra.

  9. Válassza a Tanúsítványtitkok& lehetőséget, majd válassza az Új ügyfélkulcs lehetőséget.

  10. Adja meg a titkos kód leírását, válasszon ki egy lejáratot, majd válassza a Hozzáadás lehetőséget. Jegyezze fel a titkos kód értékét egy későbbi lépésben.

Választható jogcímek konfigurálása

Ha a Microsoft Entra-azonosítóból szeretné lekérni a family_namegiven_name jogcímeket, konfigurálhatja az alkalmazás opcionális jogcímeit az Azure Portal felhasználói felületén vagy az alkalmazásjegyzékben. További információ: Opcionális jogcímek megadása a Microsoft Entra-alkalmazáshoz.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Microsoft Entra ID.
  2. A Kezelés szakaszban válassza a Alkalmazásregisztrációk.
  3. Válassza ki azt az alkalmazást, amelyhez opcionális jogcímeket szeretne konfigurálni a listában.
  4. A Kezelés szakaszban válassza a Jogkivonat-konfiguráció lehetőséget.
  5. Válassza az Opcionális jogcím hozzáadása lehetőséget.
  6. A jogkivonat típusához válassza az azonosítót.
  7. Válassza ki a hozzáadni kívánt opcionális jogcímeket, family_nameés given_name.
  8. Select Add. Ha megjelenik a Microsoft Graph e-mail-engedélyének bekapcsolása (a jogcímek jogkivonatban való megjelenítéséhez szükséges), engedélyezze, majd válassza újra a Hozzáadás lehetőséget .

[Nem kötelező] Az alkalmazás hitelességének ellenőrzése

A közzétevő ellenőrzése segít a felhasználóknak megérteni a regisztrált alkalmazás hitelességét. Az ellenőrzött alkalmazás azt jelenti, hogy az alkalmazás közzétevője a Microsoft Partner Network (MPN) használatával igazolta személyazonosságát. Learn how to mark your app as publisher verified.

Szabályzatkulcs létrehozása

Az Azure AD B2C-bérlőben létrehozott alkalmazáskulcsot kell tárolnia.

  1. Ha több bérlőhöz is hozzáfér, a felső menüben válassza a Gépház ikont az Azure AD B2C-bérlőre való váltáshoz a Címtárak + előfizetések menüből.
  2. Válassza az Összes szolgáltatást az Azure Portal bal felső sarkában, majd keresse meg és válassza az Azure AD B2C-t.
  3. A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
  4. Válassza a Házirendkulcsok lehetőséget, majd válassza a Hozzáadás lehetőséget.
  5. A Beállítások beállításnál válassza a Manuallehetőséget.
  6. Adja meg a szabályzatkulcs nevét. For example, AADAppSecret. Az előtag létrehozásakor a rendszer automatikusan hozzáadja az előtagot B2C_1A_ a kulcs nevéhez, így a következő szakaszban szereplő XML-hivatkozás B2C_1A_AADAppSecret.
  7. A Titkos kód mezőbe írja be a korábban rögzített ügyfélkulcsot.
  8. Kulcshasználat esetén válassza a Signaturelehetőséget.
  9. Select Create.

A Microsoft Entra ID konfigurálása identitásszolgáltatóként

Ahhoz, hogy a felhasználók Microsoft Entra-fiókkal jelentkezzenek be, meg kell határoznia a Microsoft Entra-azonosítót jogcímszolgáltatóként, amellyel az Azure AD B2C egy végponton keresztül tud kommunikálni. A végpont olyan jogcímeket biztosít, amelyeket az Azure AD B2C használ annak ellenőrzésére, hogy egy adott felhasználó hitelesített-e.

A Microsoft Entra-azonosítót jogcímszolgáltatóként úgy határozhatja meg, hogy hozzáadja a Microsoft Entra-azonosítót a szabályzat bővítményfájljában lévő ClaimsProvider elemhez.

  1. Nyissa meg a SocialAndLocalAccounts/TrustFrameworkExtensions.xml fájlt (lásd az előfeltételekben használt fájlokat).

  2. Keresse meg a ClaimsProviders elemet. Ha nem létezik, adja hozzá a gyökérelemhez.

  3. Adjon hozzá egy új ClaimsProvidert az alábbiak szerint:

    <ClaimsProvider>
  <Domain>commonaad</Domain>
  <DisplayName>Common AAD</DisplayName>
  <TechnicalProfiles>
    <TechnicalProfile Id="AADCommon-OpenIdConnect">
      <DisplayName>Multi-Tenant AAD</DisplayName>
      <Description>Login with your Contoso account</Description>
      <Protocol Name="OpenIdConnect"/>
      <Metadata>
        <Item Key="METADATA">https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration</Item>
        <!-- Update the Client ID below to the Application ID -->
        <Item Key="client_id">00000000-0000-0000-0000-000000000000</Item>
        <Item Key="response_types">code</Item>
        <Item Key="scope">openid profile</Item>
        <Item Key="response_mode">form_post</Item>
        <Item Key="HttpBinding">POST</Item>
        <Item Key="UsePolicyInRedirectUri">false</Item>
        <Item Key="DiscoverMetadataByTokenIssuer">true</Item>
        <!-- The key below allows you to specify each of the Azure AD tenants that can be used to sign in. Update the GUIDs below for each tenant. -->
        <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000,https://login.microsoftonline.com/11111111-1111-1111-1111-111111111111</Item>
        <!-- The commented key below specifies that users from any tenant can sign-in. Uncomment if you would like anyone with an Azure AD account to be able to sign in. -->
        <!-- <Item Key="ValidTokenIssuerPrefixes">https://login.microsoftonline.com/</Item> -->
      </Metadata>
      <CryptographicKeys>
        <Key Id="client_secret" StorageReferenceId="B2C_1A_AADAppSecret"/>
      </CryptographicKeys>
      <OutputClaims>
        <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="oid"/>
        <OutputClaim ClaimTypeReferenceId="givenName" PartnerClaimType="given_name" />
        <OutputClaim ClaimTypeReferenceId="surName" PartnerClaimType="family_name" />
        <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name" />
        <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" />
        <OutputClaim ClaimTypeReferenceId="identityProvider" PartnerClaimType="iss" />
      </OutputClaims>
      <OutputClaimsTransformations>
        <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/>
        <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/>
        <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/>
        <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/>
      </OutputClaimsTransformations>
      <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin"/>
    </TechnicalProfile>
  </TechnicalProfiles>
</ClaimsProvider>

  4. A ClaimsProvider elem alatt frissítse a tartomány értékét egy egyedi értékre, amely megkülönböztethető más identitásszolgáltatóktól.

  5. A TechnicalProfile elem alatt frissítse például a DisplayNameMulti-Tenant AAD értékét. Ez az érték megjelenik a bejelentkezési oldalon a bejelentkezési gombon.

  6. Állítsa client_id a korábban regisztrált Microsoft Entra több-bérlős alkalmazás alkalmazásazonosítójára.

  7. A CryptographicKeys területen frissítse a StorageReferenceId értékét a korábban létrehozott házirendkulcs nevére. For example, B2C_1A_AADAppSecret.

Hozzáférés korlátozása

A ValidTokenIssuerPrefixes értékének használatával https://login.microsoftonline.com/ minden Microsoft Entra-felhasználó bejelentkezhet az alkalmazásba. Frissítse az érvényes jogkivonat-kiállítók listáját, és korlátozza a bejelentkezésre jogosult Microsoft Entra-bérlői felhasználók meghatározott listájához való hozzáférést.

Az értékek beszerzéséhez tekintse meg az OpenID Csatlakozás felderítési metaadatokat az egyes Microsoft Entra-bérlők esetében, amelyekből a felhasználók bejelentkezni szeretnének. A metaadatok URL-címének formátuma hasonló a your-tenant Microsoft Entra-bérlő nevéhezhttps://login.microsoftonline.com/your-tenant/v2.0/.well-known/openid-configuration. Például:

https://login.microsoftonline.com/fabrikam.onmicrosoft.com/v2.0/.well-known/openid-configuration

Hajtsa végre az alábbi lépéseket minden Olyan Microsoft Entra-bérlő esetében, amelyet a bejelentkezéshez kell használni:

  1. Nyissa meg a böngészőt, és nyissa meg az OpenID Csatlakozás bérlő metaadat-URL-címét. Keresse meg az issuer objektumot, és rögzítse annak értékét. A következőképpen kell kinéznie: https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000/v2.0.
  2. Másolja és illessze be az értéket a ValidTokenIssuerPrefixes kulcsba. Több kiállító elkülönítése vesszővel. Az előző ClaimsProvider XML-mintában megjelenik egy két kiállítót tartalmazó példa.

Felhasználói folyamat hozzáadása

Ezen a ponton az identitásszolgáltató be van állítva, de még nem érhető el egyik bejelentkezési oldalon sem. Ha nem rendelkezik saját egyéni felhasználói folyamatokkal, hozzon létre egy meglévő sablonfelhasználói folyamat másolatát, ellenkező esetben folytassa a következő lépéssel.

  1. Nyissa meg az TrustFrameworkBase.xml fájlt a kezdőcsomagból.
  2. Keresse meg és másolja ki a UserJourney elem teljes tartalmát, amely tartalmazza Id="SignUpOrSignIn"a elemet.
  3. Nyissa meg az TrustFrameworkExtensions.xml fájlt , és keresse meg a UserJourneys elemet. Ha az elem nem létezik, adjon hozzá egyet.
  4. Illessze be a UserJourney elem gyermekként másolt UserJourney elem teljes tartalmát.
  5. Nevezze át a felhasználói folyamat azonosítóját. For example, Id="CustomSignUpSignIn".

Identitásszolgáltató hozzáadása egy felhasználói folyamathoz

Most, hogy már rendelkezik felhasználói folyamatokkal, adja hozzá az új identitásszolgáltatót a felhasználói folyamathoz. Először hozzáad egy bejelentkezési gombot, majd csatolja a gombot egy művelethez. A művelet a korábban létrehozott technikai profil.

  1. Keresse meg a vezénylési lépés azon elemét, amely tartalmazza Type="CombinedSignInAndSignUp"vagy Type="ClaimsProviderSelection" a felhasználói folyamat során. Általában ez az első vezénylési lépés. A ClaimsProviderSelections elem azon identitásszolgáltatók listáját tartalmazza, amelyekkel a felhasználó bejelentkezhet. Az elemek sorrendje szabályozza a felhasználónak megjelenített bejelentkezési gombok sorrendjét. Adjon hozzá egy ClaimsProviderSelection XML-elemet. Állítsa be a TargetClaimsExchangeId értékét egy rövid névre.

  2. A következő vezénylési lépésben adjon hozzá egy ClaimsExchange elemet. Állítsa az azonosítót a cél jogcímcsere-azonosító értékére. Frissítse a TechnicalProfileReferenceId értékét a korábban létrehozott műszaki profil azonosítójára.

Az alábbi XML a felhasználói folyamat első két vezénylési lépését mutatja be az identitásszolgáltatóval:

<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
  <ClaimsProviderSelections>
    ...
    <ClaimsProviderSelection TargetClaimsExchangeId="AzureADCommonExchange" />
  </ClaimsProviderSelections>
  ...
</OrchestrationStep>

<OrchestrationStep Order="2" Type="ClaimsExchange">
  ...
  <ClaimsExchanges>
    <ClaimsExchange Id="AzureADCommonExchange" TechnicalProfileReferenceId="AADCommon-OpenIdConnect" />
  </ClaimsExchanges>
</OrchestrationStep>

A függő entitás házirendjének konfigurálása

A függő entitás házirendje( például SignUpSignIn.xml) meghatározza az Azure AD B2C által végrehajtandó felhasználói folyamatot. Keresse meg a DefaultUserJourney elemet a függő entitáson belül. Frissítse a referenciaazonosítót a felhasználói útazonosítónak megfelelően, amelyben hozzáadta az identitásszolgáltatót.

A következő példában a CustomSignUpSignIn felhasználói folyamat referenciaazonosítója a következőre CustomSignUpSignInvan állítva:

<RelyingParty>
  <DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
  ...
</RelyingParty>

Az egyéni szabályzat feltöltése

  1. Jelentkezzen be az Azure Portalra.
  2. Válassza a Címtár + Előfizetés ikont a portál eszköztárán, majd válassza ki az Azure AD B2C-bérlőt tartalmazó könyvtárat.
  3. Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.
  4. A Szabályzatok területen válassza az Identity Experience Framework lehetőséget.
  5. Válassza az Egyéni házirend feltöltése lehetőséget, majd töltse fel a módosított két házirendfájlt a következő sorrendben: a bővítményházirend, például TrustFrameworkExtensions.xmla függő entitás házirendje, például SignUpSignIn.xml.

Egyéni szabályzat tesztelése

  1. Válassza ki például B2C_1A_signup_signina függő entitás szabályzatát.
  2. Alkalmazás esetén válasszon ki egy korábban regisztrált webalkalmazást. A Válasz URL-címnek meg kell jelennie https://jwt.ms.
  3. Válassza a Futtatás most gombot.
  4. A regisztrációs vagy bejelentkezési oldalon válassza a Common Microsoft Entra ID (Közös Microsoft Entra-azonosító) lehetőséget a Microsoft Entra-fiókkal való bejelentkezéshez.

A több-bérlős bejelentkezési képesség teszteléséhez hajtsa végre az utolsó két lépést egy másik Microsoft Entra-bérlőt használó felhasználó hitelesítő adataival. Másolja ki a Futtatás most végpontot , és nyissa meg egy privát böngészőablakban, például Inkognitó módban a Google Chrome-ban vagy egy InPrivate-ablakban a Microsoft Edge-ben. A privát böngészőablakban való megnyitással tesztelheti a teljes felhasználói folyamatot úgy, hogy nem használ jelenleg gyorsítótárazott Microsoft Entra-hitelesítő adatokat.

Ha a bejelentkezési folyamat sikeres, a rendszer átirányítja a böngészőt, amely megjeleníti az Azure AD B2C által visszaadott https://jwt.msjogkivonat tartalmát.

Következő lépések