Atur URL pengalihan ke b2clogin.com untuk Azure Active Directory B2C

2025-04-03

Penting

Berlaku mulai 1 Mei 2025, Azure AD B2C tidak akan lagi tersedia untuk dibeli untuk pelanggan baru. Pelajari lebih lanjut di FAQ kami.

Saat Anda menyiapkan penyedia identitas untuk pendaftaran dan masuk di aplikasi Azure Active Directory B2C (Azure AD B2C), Anda perlu menentukan titik akhir penyedia identitas Azure AD B2C. Anda tidak boleh lagi mereferensikan login.microsoftonline.com di aplikasi dan API Anda untuk mengautentikasi pengguna dengan Azure AD B2C. Sebagai gantinya, gunakan b2clogin.com atau domain kustom untuk semua aplikasi.

Perubahan ini berlaku pada titik akhir mana?

Transisi ke b2clogin.com hanya berlaku untuk titik akhir autentikasi yang menggunakan kebijakan Azure AD B2C (alur pengguna atau kebijakan kustom) untuk mengautentikasi pengguna. Titik akhir ini memiliki <policy-name> parameter, yang menentukan kebijakan yang harus digunakan Azure AD B2C. Pelajari selengkapnya tentang kebijakan Azure AD B2C.

Titik akhir lama mungkin terlihat seperti:

https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize atau https://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name> untuk /authorize titik akhir.
https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logout atau https://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name> untuk /logout titik akhir.

Titik akhir yang diperbarui yang sesuai akan terlihat mirip dengan titik akhir berikut:

https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize atau https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name> untuk /authorize titik akhir.
https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logout atau https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name> untuk /logout titik akhir.

Dengan Azure AD B2C domain kustom, titik akhir terkait yang diperbarui akan terlihat mirip dengan contoh titik akhir berikut. Anda dapat menggunakan salah satu titik akhir ini:

https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize atau https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name> untuk /authorize titik akhir.
https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logout atau https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name> untuk /logout titik akhir.

Titik akhir yang tidak terpengaruh

Beberapa pelanggan menggunakan kapabilitas bersama dari tenant perusahaan Microsoft Entra. Misalnya, memperoleh token akses untuk memanggil API MS Graph dari penyewa Azure AD B2C.

Perubahan ini tidak memengaruhi semua titik akhir, yang tidak berisi parameter kebijakan di URL. Mereka hanya dapat diakses dengan endpoint login.microsoftonline.com dari ID Microsoft Entra, dan tidak dapat digunakan dengan b2clogin.com atau domain khusus. Contoh berikut menunjukkan titik akhir token yang valid dari platform identitas Microsoft:

https://login.microsoftonline.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token

Namun, jika Anda hanya ingin mendapatkan token untuk mengautentikasi pengguna, maka Anda dapat menentukan kebijakan yang ingin digunakan aplikasi Anda untuk mengautentikasi pengguna. Dalam hal ini, titik akhir yang diperbarui /token akan terlihat mirip dengan contoh berikut.

https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/token atau https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token?p=<policy-name> saat Anda menggunakan b2clogin.com.
https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/token atau https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token?p=<policy-name> saat Anda menggunakan domain kustom.

Gambaran umum perubahan yang diperlukan

Ada beberapa modifikasi yang mungkin perlu Anda lakukan untuk memigrasikan aplikasi Anda dari login.microsoftonline.com menggunakan titik akhir Azure AD B2C:

Ubah URL pengalihan di aplikasi penyedia identitas Anda untuk mereferensikan b2clogin.com, atau domain kustom. Untuk informasi selengkapnya, ikuti panduan mengalihkan URL untuk mengubah penyedia identitas.
Perbarui aplikasi Azure AD B2C Anda untuk menggunakan b2clogin.com, atau domain kustom dalam alur pengguna dan referensi titik akhir token mereka. Perubahan ini mungkin termasuk memperbarui penggunaan pustaka autentikasi seperti Microsoft Authentication Library (MSAL).
Perbarui Asal yang Diizinkan yang Anda tentukan dalam pengaturan CORS untuk kustomisasi antarmuka pengguna.

Mengubah URL pengalihan penyedia identitas

Di situs web setiap penyedia identitas tempat Anda membuat aplikasi, ubah semua URL tepercaya untuk mengarahkan ulang ke your-tenant-name.b2clogin.com, atau domain kustom alih-alih login.microsoftonline.com.

Ada dua format yang dapat Anda gunakan untuk URL pengalihan b2clogin.com Anda. Keuntungan pertama adalah tidak ada "Microsoft" muncul di URL mana pun dengan menggunakan ID Penyewa (yaitu GUID) sebagai pengganti nama domain penyewa Anda. Perhatikan, authresp titik akhir mungkin tidak berisi nama kebijakan.

https://{your-tenant-name}.b2clogin.com/{your-tenant-id}/oauth2/authresp

Opsi kedua menggunakan nama domain penyewa Anda dalam bentuk your-tenant-name.onmicrosoft.com. Contohnya:

https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp

Untuk kedua format:

Ganti {your-tenant-name} dengan nama penyewa Azure AD B2C Anda.
Hapus /te jika ada di URL.

Memperbarui aplikasi dan API Anda

Kode di aplikasi dan API yang didukung Azure AD B2C Anda dapat merujuk ke login.microsoftonline.com di beberapa tempat. Misalnya, kode Anda mungkin memiliki referensi ke alur pengguna dan titik akhir token. Perbarui yang berikut ini untuk referensi your-tenant-name.b2clogin.comsebagai gantinya :

Titik Akhir otorisasi
Titik akhir token
Pengeluar sertifikat token

Misalnya, titik akhir otoritas untuk kebijakan pendaftaran/masuk Contoso sekarang adalah:

https://contosob2c.b2clogin.com/00000000-0000-0000-0000-000000000000/B2C_1_signupsignin1

Untuk informasi tentang memigrasikan aplikasi web berbasis OWIN ke b2clogin.com, lihat Memigrasikan API web berbasis OWIN ke b2clogin.com.

Untuk memigrasikan API Azure API Management yang dilindungi oleh Azure AD B2C, lihat bagian Migrasi ke b2clogin.com dari Mengamankan API Azure API Management dengan Azure AD B2C.

Microsoft Authentication Library (MSAL)

Properti MSAL.NET ValidateAuthority

Jika Anda menggunakan MSAL.NET v2 atau yang lebih lama, atur properti ValidateAuthority ke false pada instansiasi klien untuk memungkinkan pengalihan ke b2clogin.com. Mengatur nilai ini ke false tidak diperlukan untuk MSAL.NET v3 dan yang lebih baru.

ConfidentialClientApplication client = new ConfidentialClientApplication(...); // Can also be PublicClientApplication
client.ValidateAuthority = false; // MSAL.NET v2 and earlier **ONLY**

MSAL untuk properti validateAuthority JavaScript

Jika Anda menggunakan MSAL untuk JavaScript v1.2.2 atau yang lebih lama, atur properti validateAuthority ke false.

// MSAL.js v1.2.2 and earlier
this.clientApplication = new UserAgentApplication(
  env.auth.clientId,
  env.auth.loginAuthority,
  this.authCallback.bind(this),
  {
    validateAuthority: false // Required in MSAL.js v1.2.2 and earlier **ONLY**
  }
);

Jika Anda mengatur validateAuthority: true di MSAL.js 1.3.0+ (default), Anda juga harus menentukan penerbit token yang valid dengan knownAuthorities:

// MSAL.js v1.3.0+
this.clientApplication = new UserAgentApplication(
  env.auth.clientId,
  env.auth.loginAuthority,
  this.authCallback.bind(this),
  {
    validateAuthority: true, // Supported in MSAL.js v1.3.0+
    knownAuthorities: ['tenant-name.b2clogin.com'] // Required if validateAuthority: true
  }
);