Esercitazione: Creare flussi utente e criteri personalizzati in Azure Active Directory B2C

Importante

A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.

Prima di iniziare, utilizza il selettore Scegli un tipo di criterio nella parte superiore di questa pagina per scegliere il tipo di criterio che si sta configurando. Azure Active Directory B2C offre due metodi per definire il modo in cui gli utenti interagiscono con le applicazioni: tramite flussi utente predefiniti o tramite criteri personalizzati completamente configurabili. I passaggi necessari in questo articolo sono diversi per ogni metodo.

Nelle applicazioni potrebbero essere presenti flussi utente che consentono agli utenti di iscriversi, accedere o gestire il proprio profilo. È possibile creare più flussi utente di tipi diversi nel tenant di Azure Active Directory B2C (Azure AD B2C) e usarli nelle applicazioni in base alle esigenze. I flussi utente possono essere riutilizzati tra le applicazioni.

Un flusso utente consente di determinare come gli utenti interagiscono con l'applicazione quando eseguono operazioni come l'accesso, l'iscrizione, la modifica di un profilo o la reimpostazione di una password. In questo articolo vengono illustrate le operazioni seguenti:

I criteri personalizzati sono file di configurazione che definiscono il comportamento del tenant di Azure Active Directory B2C (Azure AD B2C). In questo articolo vengono illustrate le operazioni seguenti:

• Creare un flusso utente di iscrizione e accesso
• Abilitare la reimpostazione autonoma delle password
• Creare un flusso utente di modifica del profilo

Importante

È stato modificato il modo in cui si fa riferimento alle versioni del flusso utente. In precedenza sono disponibili versioni V1 (pronte per la produzione) e versioni V1.1 e V2 (anteprima). A questo punto, sono stati consolidati i flussi utente in due versioni: flussi utente consigliati con le funzionalità più recenti e flussi utente Standard (legacy). Tutti i flussi utente di anteprima legacy (V1.1 e V2) sono obsoleti. Per informazioni dettagliate, vedere Versioni del flusso utente in Azure AD B2C. Queste modifiche si applicano solo al cloud pubblico di Azure. Altri ambienti continueranno a usare la versione legacy del flusso utente.

Prerequisiti

• Se non ne hai già uno, crea un tenant Azure AD B2C collegato alla tua sottoscrizione di Azure.
• Registrare un'applicazione Web e abilitare la concessione implicita del token ID.

• Se non ne hai già uno, crea un tenant Azure AD B2C collegato alla tua sottoscrizione di Azure.
• Registrare un'applicazione Web e abilitare la concessione implicita del token ID.

Creare un flusso utente di iscrizione e accesso

Il flusso utente di iscrizione e accesso gestisce entrambe le esperienze con una singola configurazione. Gli utenti dell'applicazione vengono guidati lungo il percorso corretto a seconda del contesto. Per creare un flusso utente di iscrizione e accesso:

1. Accedere al portale di Azure.

2. Se si dispone dell'accesso a più tenant, selezionare l'icona Impostazioni nel menu superiore per passare al tenant di Azure AD B2C dal menu Directory + sottoscrizioni.

3. Nel portale di Azure cercare e selezionare Azure AD B2C.

4. In Criteri selezionare Flussi utente e quindi nuovo flusso utente.

   

5. Nella pagina Crea un flusso utente selezionare il flusso utente Iscrizione e accesso.

   

6. Sotto Seleziona una versione, seleziona Consigliato, e quindi Crea. Altre informazioni sulle versioni del flusso utente.

   

7. Immettere un nome per il flusso utente. Ad esempio, signupsignin1.

8. Per Provider di identità, selezionare Iscrizione posta elettronica.

9. Per Attributi utente e attestazioni di token, scegliere le attestazioni e gli attributi da raccogliere e inviare dall'utente durante l'iscrizione. Ad esempio, selezionare Mostra più e quindi scegliere gli attributi e le attestazioni per Paese/Area geografica, Nome visualizzato e Codice postale. Seleziona OK.

   

10. Selezionare Crea per aggiungere il flusso utente. Un prefisso di B2C_1_ viene automaticamente anteporto al nome immesso in precedenza. Ad esempio, B2C_1_signupsignin1.

Testare il flusso utente

1. Nella pagina Flussi utente selezionare il flusso utente appena creato per aprire la relativa pagina di panoramica.

2. Nella parte superiore della pagina di panoramica del flusso utente selezionare Esegui flusso utente. Verrà aperto un riquadro a destra della pagina.

3. In Applicazione selezionare l'applicazione Web da testare, ad esempio quella denominata webapp1. L'URL di risposta dovrebbe mostrare https://jwt.ms.

4. Selezionare Esegui flusso utente e quindi selezionare Iscriviti ora.

   

5. Immettere un indirizzo di posta elettronica valido, selezionare Invia codice di verifica, immettere il codice di verifica ricevuto e quindi selezionare Verifica codice.

6. Immettere una nuova password e confermarla.

7. Selezionare il paese e l'area geografica, immettere il nome che si vuole visualizzare, immettere un codice postale e quindi selezionare Crea. Il token viene restituito a https://jwt.ms e deve essere visualizzato nel browser.

8. È ora possibile eseguire di nuovo il flusso utente e si dovrebbe essere in grado di accedere con l'account appena creato. Il token restituito include le attestazioni da te selezionate di paese/regione, nome e codice postale.

Annotazioni

L'esperienza "Esegui il flusso utente" non è attualmente compatibile con l'URL di risposta di tipo applicazione a pagina singola con il flusso di codice di autorizzazione. Per usare l'esperienza "Esegui flusso utente" con questi tipi di app, registrare un URL di risposta di tipo "Web" e abilitare il flusso implicito.

Abilitare la reimpostazione autonoma delle password

Per abilitare la reimpostazione della password self-service per il flusso utente di iscrizione o accesso:

1. Nella pagina Flussi utente selezionare il flusso utente di iscrizione o accesso appena creato.
2. In Impostazioni nel menu a sinistra selezionare Proprietà.
3. In Configurazione password selezionare Reimpostazione password self-service.
4. Seleziona Salva.

Testare il flusso utente

1. Nella pagina Flussi utente selezionare il flusso utente appena creato per aprire la relativa pagina di panoramica e quindi selezionare Esegui flusso utente.
2. In Applicazione selezionare l'applicazione Web da testare, ad esempio quella denominata webapp1. L'URL di risposta dovrebbe mostrare https://jwt.ms.
3. Seleziona Esegui il flusso utente.
4. Nella pagina di iscrizione o accesso selezionare Dimenticata la password?
5. Verificare l'indirizzo di posta elettronica dell'account creato in precedenza e quindi selezionare Continua.
6. È ora possibile modificare la password per l'utente. Modificare la password e selezionare Continua. Il token viene restituito a https://jwt.ms e deve essere visualizzato nel browser.

Creare un flusso utente di modifica del profilo

Se si vuole consentire agli utenti di modificare il proprio profilo nell'applicazione, usare un flusso utente di modifica del profilo.

1. Nel menu della pagina di panoramica del tenant di Azure AD B2C, selezionare Flussi utente, quindi selezionare Nuovo flusso utente.
2. Nella pagina Crea un flusso utente selezionare il flusso utente di modifica del profilo .
3. Sotto Seleziona una versione, seleziona Consigliato, e quindi Crea.
4. Immettere un nome per il flusso utente. Ad esempio, profileediting1.
5. In Provider di identità, in Account locali, selezionare Iscrizione tramite posta elettronica.
6. In Attributi utente scegliere gli attributi che si desidera che il cliente possa modificare nel proprio profilo. Ad esempio, selezionare Mostra altro e quindi scegliere sia gli attributi che le attestazioni per Nome visualizzato e Titolo del lavoro. Seleziona OK.
7. Selezionare Crea per aggiungere il flusso utente. Al nome viene aggiunto automaticamente un prefisso di B2C_1_ .

Testare il flusso utente

1. Selezionare il flusso utente creato per aprire la relativa pagina di panoramica.
2. Nella parte superiore della pagina di panoramica del flusso utente selezionare Esegui flusso utente. Verrà aperto un riquadro a destra della pagina.
3. In Applicazione selezionare l'applicazione Web da testare, ad esempio quella denominata webapp1. L'URL di risposta dovrebbe mostrare https://jwt.ms.
4. Selezionare Esegui flusso utente e quindi accedere con l'account creato in precedenza.
5. È ora possibile modificare il nome visualizzato e il titolo di lavoro per l'utente. Seleziona Continua. Il token viene restituito a https://jwt.ms e deve essere visualizzato nel browser.

Suggerimento

Questo articolo illustra come configurare manualmente il tenant. Puoi automatizzare l'intero processo seguendo le istruzioni di questo articolo. L'automazione distribuirà il pacchetto iniziale Azure AD B2C SocialAndLocalAccountsWithMFA, che fornirà percorsi di iscrizione e accesso, reimpostazione della password e modifica del profilo. Per automatizzare la procedura dettagliata seguente, visitare l'app di installazione di IEF e seguire le istruzioni.

Aggiungere chiavi di firma e crittografia per le applicazioni Identity Experience Framework

1. Accedere al portale di Azure.
2. Se si dispone dell'accesso a più tenant, selezionare l'icona Impostazioni nel menu superiore per passare al tenant di Azure AD B2C dal menu Directory + sottoscrizioni.
3. Nel portale di Azure cercare e selezionare Azure AD B2C.
4. Nella pagina di panoramica, in Politicheselezionare Identity Experience Framework.

Creare la chiave di firma

1. Selezionare Chiavi dei criteri e quindi selezionare Aggiungi.
2. Per Opzioni scegliere Generate.
3. In Nome immettere TokenSigningKeyContainer. Il prefisso B2C_1A_ potrebbe essere aggiunto automaticamente.
4. In Tipo di chiave selezionare RSA.
5. Per Uso chiave selezionare Firma.
6. Fare clic su Crea.

Creare la chiave di crittografia

1. Selezionare Chiavi dei criteri e quindi selezionare Aggiungi.
2. Per Opzioni scegliere Generate.
3. In Nome immettere TokenEncryptionKeyContainer. Il prefisso B2C_1A_ potrebbe essere aggiunto automaticamente.
4. In Tipo di chiave selezionare RSA.
5. Per Utilizzo chiavi selezionare Crittografia.
6. Fare clic su Crea.

Registrare le applicazioni del Framework Esperienza Identità

Azure AD B2C richiede di registrare due applicazioni usate per iscriversi e accedere agli utenti con account locali: IdentityExperienceFramework, un'API Web e ProxyIdentityExperienceFramework, un'app nativa con autorizzazione delegata all'app IdentityExperienceFramework. Gli utenti possono iscriversi con un indirizzo di posta elettronica o un nome utente e una password per accedere alle applicazioni registrate nel tenant, che crea un "account locale". Gli account locali esistono solo nel tenant di Azure AD B2C.

Sarà necessario registrare queste due applicazioni nel tenant di Azure AD B2C una sola volta.

Registrare l'applicazione IdentityExperienceFramework

Per registrare un'applicazione nel tenant di Azure AD B2C, è possibile usare l'esperienza Registrazioni app .

1. Selezionare Registrazioni app e quindi Nuova registrazione.
2. Per Nome inserisci IdentityExperienceFramework.
3. In Tipi di account supportati, selezionare Solo account in questa directory organizzativa.
4. In URI di reindirizzamento selezionare Web e quindi immettere https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com, dove your-tenant-name è il nome di dominio del tenant di Azure AD B2C.
5. Nella sezione Autorizzazioni, selezionare la casella di controllo Concedi il consenso amministrativo per le autorizzazioni openid e offline_access.
6. Selezionare Registra.
7. Registrare l'ID applicazione (client) da usare in un passaggio successivo.

Esporre quindi l'API aggiungendo un ambito:

1. Nel menù a sinistra, in Gestisci, selezionare Esporre un'API.
2. Selezionare Aggiungi un ambito, quindi selezionare Salva e continuare ad accettare l'URI predefinito dell'ID applicazione.
3. Immettere i valori seguenti per creare un ambito che consenta l'esecuzione di criteri personalizzati nel tenant di Azure AD B2C:
   • Nome dell'ambito: user_impersonation
   • Nome visualizzato per il consenso amministratore: Access IdentityExperienceFramework
   • Descrizione del consenso amministratore: Allow the application to access IdentityExperienceFramework on behalf of the signed-in user.
4. Selezionare Aggiungi ambito

---

Registrare l'applicazione ProxyIdentityExperienceFramework

1. Selezionare Registrazioni app e quindi Nuova registrazione.
2. Per Nome inserisci ProxyIdentityExperienceFramework.
3. In Tipi di account supportati, selezionare Solo account in questa directory organizzativa.
4. In URI di reindirizzamento usare l'elenco a discesa per selezionare Client pubblico/nativo (mobile e desktop).
5. Per URI di reindirizzamento immettere myapp://auth.
6. Nella sezione Autorizzazioni, selezionare la casella di controllo Concedi il consenso amministrativo per le autorizzazioni openid e offline_access.
7. Selezionare Registra.
8. Registrare l'ID applicazione (client) da usare in un passaggio successivo.

Specificare quindi che l'applicazione deve essere considerata come client pubblico:

1. Nel menu a sinistra, in Gestisci, selezionare Autenticazione.
2. In Impostazioni avanzate, nella sezione Consenti flussi client pubblici impostare Abilita i flussi per dispositivi mobili e desktop seguenti su Sì.
3. Seleziona Salva.
4. Assicurarsi che "isFallbackPublicClient": true sia impostato nel manifesto dell'app Microsoft Graph(Nuovo):
   1. Nel menu a sinistra, in Gestisci, selezionare Manifesto per aprire Il manifesto dell'app Microsoft Graph (Nuovo)
   2. Passare dalla scheda Manifesto dell'app Microsoft Graph (Nuovo) alla scheda Manifesto dell'app Graph di AAD (Deprecato a breve).
   3. Trovare la chiave isFallbackPublicClient e verificare che il relativo valore sia impostato su true.

Ora, concedere le autorizzazioni all'ambito dell'API esposto in precedenza nella registrazione IdentityExperienceFramework :

1. Nel menu a sinistra, in Gestisci, selezionare Autorizzazioni API.
2. In Autorizzazioni configurate selezionare Aggiungi un'autorizzazione.
3. Selezionare la scheda API usate dall'organizzazione e quindi selezionare l'applicazione IdentityExperienceFramework .
4. In Autorizzazione selezionare l'ambito user_impersonation definito in precedenza.
5. Selezionare Aggiungi autorizzazioni. Come indicato, attendere alcuni minuti prima di procedere con il passaggio successivo.
6. Selezionare Concedi consenso amministratore per <nome del tenant>.
7. Selezionare Sì.
8. Selezionare Aggiorna, e quindi verificare che il testo "Concesso per ..." venga visualizzato in Stato per l'ambito.

---

Pacchetto Starter per i criteri personalizzati

I criteri personalizzati sono un set di file XML caricati nel tenant di Azure AD B2C per definire profili tecnici e percorsi utente. Forniamo pacchetti di base con diversi criteri predefiniti per iniziare rapidamente. Ognuno di questi starter pack contiene il minor numero di profili tecnici e percorsi utente necessari per ottenere gli scenari descritti. Per una guida più approfondita ai criteri personalizzati di Azure AD B2C, seguire la serie di procedure per i criteri personalizzati.

• LocalAccounts : abilita solo l'uso di account locali.
• SocialAccounts : abilita solo l'uso di account di social networking (o federati).
• SocialAndLocalAccounts : consente l'uso di account locali e di social network.
• SocialAndLocalAccountsWithMFA : abilita le opzioni di autenticazione social, locale e a più fattori.

Ogni starter pack contiene:

• File di base : sono necessarie alcune modifiche alla base. Esempio: TrustFrameworkBase.xml
• File di localizzazione : file in cui vengono apportate modifiche di localizzazione. Esempio: TrustFrameworkLocalization.xml
• File di estensione : questo file è il percorso in cui vengono apportate la maggior parte delle modifiche di configurazione. Esempio: TrustFrameworkExtensions.xml
• File relying party - File di attività specifiche chiamati dall'applicazione. Esempi: SignUpOrSignin.xml, ProfileEdit.xml, PasswordReset.xml

In questo articolo si modificano i file di criteri personalizzati XML nello starter pack SocialAndLocalAccounts . Se è necessario un editor XML, provare Visual Studio Code, un editor multipiattaforma leggero.

Ottenere il pacchetto di avvio

Ottenere i pacchetti Starter dei criteri personalizzati da GitHub e aggiornare quindi i file XML del pacchetto di avvio SocialAndLocalAccounts con il nome del tenant di Azure AD B2C.

1. Scaricare il file .zip o clonare il repository:

   git clone https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack
   

2. In tutti i file nella directory SocialAndLocalAccounts sostituire la stringa yourtenant con il nome del tenant di Azure AD B2C.

   Ad esempio, se il nome del tenant B2C è contosotenant, tutte le istanze di yourtenant.onmicrosoft.com diventano contosotenant.onmicrosoft.com.

Aggiungere ID delle applicazioni ai criteri personalizzati

Aggiungere gli ID applicazione al file delle estensioni TrustFrameworkExtensions.xml.

1. Aprire SocialAndLocalAccounts/TrustFrameworkExtensions.xml e trovare l'elemento <TechnicalProfile Id="login-NonInteractive">.
2. Sostituire entrambe le istanze di IdentityExperienceFrameworkAppId con l'ID applicazione dell'applicazione IdentityExperienceFramework creata in precedenza.
3. Sostituire entrambe le istanze di ProxyIdentityExperienceFrameworkAppId con l'ID dell'applicazione ProxyIdentityExperienceFramework creata in precedenza.
4. Salvare il file.

Aggiungere Facebook come fornitore di identità

Il pacchetto iniziale SocialAndLocalAccounts include l'accesso social di Facebook. Facebook non è necessario per l'uso di criteri personalizzati, ma viene usato qui per dimostrare come è possibile abilitare l'accesso social federato in un criterio personalizzato. Se non è necessario abilitare l'accesso social federato, usare invece lo starter pack LocalAccounts e passare alla sezione Carica i criteri .

Creare un'applicazione Facebook

Usare i passaggi descritti in Creare un'applicazione Facebook per ottenere l'ID app Facebook e il segreto dell'app. Ignorare i prerequisiti e il resto dei passaggi descritti nell'articolo Configurare l'iscrizione e accedere con un account Facebook .

Creare la chiave Facebook

Aggiungi il codice segreto dell'app dell'applicazione Facebook come chiave di policy. È possibile utilizzare la chiave segreta dell'applicazione che hai creato nei prerequisiti di questo articolo.

1. Accedere al portale di Azure.
2. Se si dispone dell'accesso a più tenant, selezionare l'icona Impostazioni nel menu superiore per passare al tenant di Azure AD B2C dal menu Directory + sottoscrizioni.
3. Nel portale di Azure cercare e selezionare Azure AD B2C.
4. Nella pagina di panoramica, in Politicheselezionare Identity Experience Framework.
5. Selezionare Chiavi dei criteri e quindi selezionare Aggiungi.
6. Per Opzioni scegliere Manual.
7. Per Nome inserisci FacebookSecret. Il prefisso B2C_1A_ potrebbe essere aggiunto automaticamente.
8. In Segreto, inserisci l'App Secret dell'applicazione Facebook da developers.facebook.com. Questo valore è il segreto, non l'ID applicazione.
9. Per Uso chiave selezionare Firma.
10. Fare clic su Crea.

Aggiornare TrustFrameworkExtensions.xml nel pacchetto di avvio dei criteri personalizzati

SocialAndLocalAccounts/ TrustFrameworkExtensions.xml Nel file sostituire il valore di client_id con l'ID applicazione Facebook e salvare le modifiche.

<TechnicalProfile Id="Facebook-OAUTH">
  <Metadata>
  <!--Replace the value of client_id in this technical profile with the Facebook app ID"-->
    <Item Key="client_id">00000000000000</Item>

Caricare le politiche

1. Selezionare la voce di menu Identity Experience Framework nel tenant B2C nel portale di Azure.
2. Selezionare Carica criteri personalizzati.
3. Caricare i file dei criteri, nell'ordine in cui sono elencati:
   1. TrustFrameworkBase.xml
   2. TrustFrameworkLocalization.xml
   3. TrustFrameworkExtensions.xml
   4. SignUpOrSignin.xml
   5. ProfileEdit.xml
   6. PasswordReset.xml

Quando si caricano i file, Azure aggiunge il prefisso B2C_1A_ a ognuno.

Suggerimento

Se l'editor XML in uso supporta la convalida, convalidare i file rispetto allo schema XML TrustFrameworkPolicy_0.3.0.0.xsd che si trova nella directory radice del pacchetto Starter. La convalida di XML Schema identifica gli errori prima del caricamento.

Testare la politica personalizzata

1. In Criteri personalizzati selezionare B2C_1A_signup_signin.
2. Per Selezionare l'applicazione nella pagina di panoramica dei criteri personalizzati, selezionare l'applicazione Web da testare, ad esempio quella denominata webapp1.
3. Assicurarsi che l'URL di risposta sia https://jwt.ms.
4. Selezionare Esegui adesso.
5. Iscriversi usando un indirizzo di posta elettronica.
6. Selezionare di nuovo Esegui adesso.
7. Accedere con lo stesso account per verificare di avere la configurazione corretta.
8. Selezionare Esegui di nuovo e selezionare Facebook per accedere con Facebook e testare i criteri personalizzati.

Passaggi successivi

In questo articolo si è appreso come:

• Creare un flusso utente di iscrizione e accesso
• Creare un flusso utente di modifica del profilo
• Creare un flusso utente di reimpostazione della password

Informazioni su come usare Azure AD B2C per l'accesso e l'iscrizione degli utenti in un'applicazione. Seguire le app di esempio collegate di seguito:

• Configurare un'app Web di esempio ASP.NET Core
• Configurare un'app Web di esempio ASP.NET Core che chiama un'API Web
• Configurare l'autenticazione in un'applicazione Web Python di esempio
• Configurare un'applicazione a pagina singola di esempio
• Configurare un'app a pagina singola Angular di esempio
• Configurare un'app per dispositivi mobili Android di esempio
• Configurare un'app per dispositivi mobili iOS di esempio
• Configurare l'autenticazione in un'applicazione desktop WPF di esempio
• Abilitare l'autenticazione nell'API Web
• Configurare un'applicazione SAML

Per altre informazioni, vedere la serie di approfondimenti sull'architettura di Azure AD B2C.