Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.
Prima di iniziare, utilizza il selettore Scegli un tipo di criterio nella parte superiore di questa pagina per scegliere il tipo di criterio che si sta configurando. Azure Active Directory B2C offre due metodi per definire il modo in cui gli utenti interagiscono con le applicazioni: tramite flussi utente predefiniti o tramite criteri personalizzati completamente configurabili. I passaggi necessari in questo articolo sono diversi per ogni metodo.
Annotazioni
Questa funzionalità è disponibile in anteprima pubblica.
Prerequisiti
- Creare un flusso utente in modo tale che gli utenti possano iscriversi e accedere all'applicazione.
- Registrare un'applicazione Web.
- Completare i passaggi descritti in Introduzione ai criteri personalizzati in Active Directory B2C. Questa esercitazione illustra come aggiornare i file di criteri personalizzati per usare la configurazione del tenant di Azure AD B2C.
- Registrare un'applicazione Web.
Creare un'applicazione Weibo
Per abilitare l'accesso per gli utenti con un account Weibo in Azure Active Directory B2C (Azure AD B2C), è necessario creare un'applicazione nel portale per sviluppatori weibo. Se non si ha già un account Weibo, è possibile iscriversi all'indirizzo https://weibo.com.
- Accedere al portale per sviluppatori weibo con le credenziali dell'account Weibo.
- Dopo aver eseguito l'accesso, selezionare il nome visualizzato nell'angolo in alto a destra.
- Nell'elenco a discesa selezionare 编辑开发者信息 (modificare le informazioni per gli sviluppatori).
- Immettere le informazioni necessarie e selezionare 提交 (invia).
- Completare il processo di verifica della posta elettronica.
- Passare alla pagina di verifica dell'identità.
- Immettere le informazioni necessarie e selezionare 提交 (invia).
Registrare un'applicazione Weibo
- Passare alla nuova pagina di registrazione dell'app Weibo.
- Immettere le informazioni necessarie sull'applicazione.
- Selezionare 创建 (crea).
- Copiare i valori di Chiave app e Segreto app. Devi avere entrambi questi elementi per aggiungere il fornitore di identità al tuo tenant.
- Caricare le foto necessarie e immettere le informazioni necessarie.
- Selezionare 保存以上信息 (salva).
- Selezionare 高级信息 (informazioni avanzate).
- Selezionare 编辑 (modifica) accanto al campo per OAuth2.0 授权设置 (URL di reindirizzamento).
- Per OAuth2.0 授权设置 (URL di reindirizzamento), immettere
https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp
. Se si usa un dominio personalizzato, immetterehttps://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp
. Sostituireyour-tenant-name
con il nome del tenant eyour-domain-name
con il dominio personalizzato. - Selezionare 提交 (submit).
Configurare Weibo come provider di identità
- Accedere al portale di Azure con un account con almeno privilegi di amministratore del provider di identità esterno .
- Se si dispone dell'accesso a più tenant, selezionare l'icona Impostazioni nel menu superiore per passare al tenant di Azure AD B2C dal menu Directory + sottoscrizioni.
- Scegliere Tutti i servizi nell'angolo in alto a sinistra del portale di Azure, cercare e selezionare Azure AD B2C.
- Selezionare Provider di identità, quindi selezionare Weibo (Anteprima).
- Immettere un nome. Ad esempio, Weibo.
- Per ID client immettere la chiave dell'app dell'applicazione Weibo creata in precedenza.
- Per segreto client, immettere il segreto dell'app annotato in precedenza.
- Seleziona Salva.
Aggiungere il provider di identità Weibo a un flusso per utenti
- Nel tenant di Azure AD B2C selezionare Flussi utente.
- Fai clic sul flusso utente nel quale intendi aggiungere il provider di identità Weibo.
- In Provider di identità social selezionare Weibo.
- Seleziona Salva.
- Per testare la politica, selezionare Esegui flusso utente.
- In Applicazione selezionare l'applicazione Web denominata testapp1 registrata in precedenza. L'URL di risposta dovrebbe mostrare
https://jwt.ms
. - Selezionare il pulsante Esegui flusso utente.
- Nella pagina di iscrizione o accesso selezionare Weibo per accedere con l'account Weibo.
Se il processo di accesso ha esito positivo, il browser viene reindirizzato a https://jwt.ms
, che visualizza il contenuto del token restituito da Azure AD B2C.
Creare una chiave dei criteri
È necessario archiviare il segreto client registrato in precedenza nel tenant di Azure AD B2C.
- Accedi al portale di Azure.
- Se si dispone dell'accesso a più tenant, selezionare l'icona Impostazioni nel menu superiore per passare al tenant di Azure AD B2C dal menu Directory + sottoscrizioni.
- Scegliere Tutti i servizi nell'angolo in alto a sinistra del portale di Azure e quindi cercare e selezionare Azure AD B2C.
- Nella pagina Panoramica selezionare Identity Experience Framework.
- Selezionare Chiavi dei criteri e quindi selezionare Aggiungi.
- Per Opzioni scegliere
Manual
. - Immettere un nome per la chiave della politica. Ad esempio:
WeiboSecret
. Il prefissoB2C_1A_
viene aggiunto automaticamente al nome della chiave. - In Segreto immettere il segreto client registrato in precedenza.
- Per Utilizzo chiave selezionare
Signature
. - Clicca su Crea.
Configurare Weibo come provider di identità
Per consentire agli utenti di accedere usando un account Weibo, è necessario definire l'account come provider di attestazioni con cui Azure AD B2C può comunicare tramite un endpoint. L'endpoint fornisce un set di attestazioni usate da Azure AD B2C per verificare che un utente specifico sia stato autenticato.
È possibile definire un account Weibo come provider di attestazioni aggiungendolo all'elemento ClaimsProviders nel file di estensione dei criteri.
Aprire il TrustFrameworkExtensions.xml.
Trova l'elemento ClaimsProviders. Se non esiste, aggiungerlo sotto l'elemento radice.
Aggiungere un nuovo ClaimsProvider come segue:
<ClaimsProvider> <Domain>weibo.com</Domain> <DisplayName>Weibo (Preview)</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="Weibo-OAuth2"> <DisplayName>Weibo</DisplayName> <Protocol Name="OAuth2" /> <Metadata> <Item Key="ProviderName">weibo</Item> <Item Key="authorization_endpoint">https://api.weibo.com/oauth2/authorize</Item> <Item Key="AccessTokenEndpoint">https://api.weibo.com/oauth2/access_token</Item> <Item Key="ClaimsEndpoint">https://api.weibo.com/2/account/get_uid.json</Item> <Item Key="scope">email</Item> <Item Key="HttpBinding">POST</Item> <Item Key="external_user_identity_claim_id">uid</Item> <Item Key="client_id">Your Weibo application ID</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_WeiboSecret" /> </CryptographicKeys> <OutputClaims> <OutputClaim ClaimTypeReferenceId="numericUserId" PartnerClaimType="uid" /> <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="weibo.com" AlwaysUseDefaultValue="true" /> <OutputClaim ClaimTypeReferenceId="displayName" DefaultValue="Weibo User" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" AlwaysUseDefaultValue="true" /> <OutputClaim ClaimTypeReferenceId="UserId" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateIssuerUserId" /> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName"/> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName"/> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId"/> <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId"/> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider> <ClaimsProvider>
Impostare client_id sull'ID applicazione dalla registrazione dell'app.
Salva il file.
Aggiungere le trasformazioni delle rivendicazioni
Il profilo tecnico di GitHub richiede l'aggiunta della trasformazione "claim" CreateIssuerUserId all'elenco delle ClaimsTransformations. Se nel file non è definito un elemento ClaimsTransformations , aggiungere gli elementi XML padre come illustrato di seguito. Le trasformazioni delle attestazioni richiedono anche un nuovo tipo di attestazione definito con nome numericUserId.
- Cercare l'elemento BuildingBlocks. Se l'elemento non esiste, aggiungerlo.
- Individuare l'elemento ClaimsSchema . Se l'elemento non esiste, aggiungerlo.
- Aggiungere la dichiarazione numericUserId all'elemento ClaimsSchema.
- Trova l'elemento ClaimsTransformations. Se l'elemento non esiste, aggiungerlo.
- Aggiungere le trasformazioni delle attestazioni CreateIssuerUserId all'elemento ClaimsTransformations .
<BuildingBlocks>
<ClaimsSchema>
<ClaimType Id="numericUserId">
<DisplayName>Numeric user Identifier</DisplayName>
<DataType>long</DataType>
</ClaimType>
</ClaimsSchema>
<ClaimsTransformations>
<ClaimsTransformation Id="CreateIssuerUserId" TransformationMethod="ConvertNumberToStringClaim">
<InputClaims>
<InputClaim ClaimTypeReferenceId="numericUserId" TransformationClaimType="inputClaim" />
</InputClaims>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="issuerUserId" TransformationClaimType="outputClaim" />
</OutputClaims>
</ClaimsTransformation>
</ClaimsTransformations>
</BuildingBlocks>
Aggiungere un percorso utente
A questo punto, il fornitore dell'identità è stato configurato, ma non è ancora disponibile in nessuna delle pagine di accesso. Se non si ha un percorso utente personalizzato, creare un duplicato di un percorso utente modello esistente, altrimenti continuare con il passaggio successivo.
- Aprire il fileTrustFrameworkBase.xml dallo starter pack.
- Trovare e copiare l'intero contenuto dell'elemento UserJourney che include
Id="SignUpOrSignIn"
. - Aprire il TrustFrameworkExtensions.xml e trovare l'elemento UserJourneys . Se l'elemento non esiste, aggiungerne uno.
- Incollare l'intero contenuto dell'elemento UserJourney copiato come elemento figlio dell'elemento UserJourneys .
- Rinominare l'ID del percorso utente. Ad esempio:
Id="CustomSignUpSignIn"
.
Aggiungere il fornitore di identità a un percorso dell'utente
Dopo aver creato un percorso utente, aggiungere il nuovo provider di identità al percorso utente. Aggiungere prima un pulsante di accesso, quindi collegare il pulsante a un'azione. L'azione è il profilo tecnico creato in precedenza.
Trovare l'elemento del passaggio di orchestrazione che include
Type="CombinedSignInAndSignUp"
oType="ClaimsProviderSelection"
nel percorso utente. In genere è il primo passaggio di orchestrazione. L'elemento ClaimsProviderSelections contiene un elenco di provider di identità con cui un utente può accedere. L'ordine degli elementi controlla l'ordine dei pulsanti di accesso presentati all'utente. Aggiungere un elemento XML ClaimsProviderSelection . Impostare il valore di TargetClaimsExchangeId su un nome amichevole.Nel passaggio di orchestrazione successivo aggiungere un elemento ClaimsExchange . Impostare ID sul valore dell'ID di scambio di attestazioni di destinazione. Aggiornare il valore di TechnicalProfileReferenceId sull'ID del profilo tecnico creato in precedenza.
Il codice XML seguente illustra i primi due passaggi di orchestrazione di un percorso utente con il provider di identità:
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="WeiboExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="WeiboExchange" TechnicalProfileReferenceId="Weibo-OAuth2" />
</ClaimsExchanges>
</OrchestrationStep>
Configurare i criteri della relying party
I criteri della relying party, ad esempio SignUpSignIn.xml, specificano il percorso utente che verrà eseguito da Azure AD B2C. Trovare l'elemento DefaultUserJourney all'interno della relying party. Aggiorna ReferenceId affinché corrisponda all'ID del percorso utente in cui hai aggiunto il provider di identità.
Nell'esempio seguente, per il CustomSignUpSignIn
percorso utente, ReferenceId è impostato su CustomSignUpSignIn
:
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
Caricare i criteri personalizzati
- Accedi al portale di Azure.
- Selezionare l'icona Directory e sottoscrizione nella barra degli strumenti del portale e quindi selezionare la directory che contiene il tenant di Azure AD B2C.
- Nel portale di Azure cercare e selezionare Azure AD B2C.
- Sotto Politiche, selezionare Identity Experience Framework.
- Selezionare Carica criteri personalizzati e quindi caricare i due file di criteri modificati, nell'ordine seguente: il criterio di estensione, ad esempio
TrustFrameworkExtensions.xml
, quindi il criterio della parte fiduciante, comeSignUpSignIn.xml
.
Metti alla prova la tua politica personalizzata.
- Seleziona i criteri della tua parte fidata, ad esempio
B2C_1A_signup_signin
. - In Applicazione selezionare un'applicazione Web registrata in precedenza. L'URL di risposta dovrebbe mostrare
https://jwt.ms
. - Selezionare il pulsante Esegui adesso .
- Nella pagina di iscrizione o accesso selezionare Weibo per accedere con l'account Weibo.
Se il processo di accesso ha esito positivo, il browser viene reindirizzato a https://jwt.ms
, che visualizza il contenuto del token restituito da Azure AD B2C.