Condividi tramite


Configurare un provider OpenID Connect con B2C di Azure AD

Azure Active Directory (Azure AD) B2C è uno dei provider di identità OpenID Connect che puoi utilizzare per autenticare i visitatori sul tuo sito Power Pages. Puoi utilizzare qualsiasi provider di identità conforme alla specifica OpenID Connect.

In questo articolo vengono descritti i seguenti passaggi:

Nota

L'applicazione delle modifiche alle impostazioni di autenticazione del tuo sito potrebbe richiedere alcuni minuti. Per visualizzare immediatamente le modifiche, riavvia il sito nell'interfaccia di amministrazione.

Configurare Azure AD B2C in Power Pages

Impostare Azure AD B2C come provider di identità per il tuo sito.

  1. Nel sito Power Pages, seleziona Sicurezza>Provider di identità.

    Se non vengono visualizzati provider di identità, assicurati che Accesso esterno sia impostato su Attivo nelle impostazioni generali di autenticazione del tuo sito.

  2. A destra di Azure Active Directory B2C, seleziona Altri comandi () >Configura o seleziona il nome del provider.

  3. Lascia il nome del provider così com'è o cambialo se lo desideri.

    Il nome del provider è il testo sul pulsante che gli utenti visualizzano quando selezionano il loro provider di identità nella pagina di accesso.

  4. Seleziona Avanti.

  5. In URL di risposta, seleziona Copia.

  6. Seleziona Apri Azure.

    Non chiudere la scheda del browser Power Pages. Ci tornerai a breve.

Creare una registrazione app

Crea un tenant per Azure AD B2C e registra un'applicazione con l'URL di risposta del tuo sito come URI di reindirizzamento.

  1. Creare un tenant Azure AD B2C.

  2. Cerca e seleziona Azure AD B2C.

  3. In Gestisci, seleziona Registrazioni app.

  4. Seleziona Nuova registrazione.

  5. Immetti un nome.

  6. Seleziona uno dei Tipi di account supportati che rispecchia al meglio i requisiti della tua organizzazione.

  7. In URI di reindirizzamento, seleziona Web come piattaforma, quindi inserisci l'URL di risposta del tuo sito.

    • Se utilizzi l'URL predefinito del tuo sito, incolla l'URL di risposta che hai copiato.
    • Se stai utilizzando un nome di dominio personalizzato, immetti l'URL personalizzato. Assicurati di utilizzare lo stesso URL personalizzato per l'URL di reindirizzamento nelle impostazioni del provider di identità sul tuo sito.
  8. Selezionare Registrazione.

  9. Copia l'ID Application (client).

  10. Nel pannello a sinistra, in Gestisci, seleziona Autenticazione.

  11. In Concessione implicita, seleziona Token di accesso (utilizzati per flussi impliciti).

  12. Seleziona Salva.

  13. Configurare la compatibilità dei token utilizzando un URL Attestazione autorità emittente (iss) che include tfp. Altre informazioni sulla compatibilità dei token.

Creare flussi utente

  1. Creare un flusso utente di registrazione e accesso.

  2. (Facoltativo) Creare un flusso utente di reimpostazione della password.

Ottenere l'URL dell'emittente dai flussi utente

  1. Apri il flusso utente di registrazione e accesso che hai creato.

  2. Vai al tenant Azure AD B2C nel portale Azure.

  3. Seleziona Esegui il flusso utente.

  4. Apri la configurazione OpenID Connect in una nuova scheda del browser.

    L'URL fa riferimento al documento di configurazione del provider di identità OpenID Connect, noto anche come Endpoint di configurazione comune OpenID.

  5. Copia l'URL Emittente nella barra degli indirizzi. Non includere le virgolette. Verifica che l'URL Attestazione autorità emittente (iss) includa tfp.

  6. Apri il flusso utente per la reimpostazione della password, se ne hai creato uno, e ripeti i passaggi da 2 a 5.

Immetti le impostazioni del sito e le impostazioni di reimpostazione della password in Power Pages

  1. Torna alla pagina Power Pages Configura provider di identità che hai lasciato in precedenza.

  2. In Configurare le impostazioni del sito, immetti i seguenti valori:

    • Autorità: incolla l'URL dell'emittente che hai copiato.​

    • ID Client​: incolla l'ID applicazione (client) dell'applicazione Azure AD B2C che hai creato.

    • URI di reindirizzamento: se il tuo sito utilizza un nome di dominio personalizzato, inserisci l'URL personalizzato; in caso contrario, lascia il valore predefinito, che dovrebbe essere il tuo URL di risposta del sito.

  3. In Impostazioni di reimpostazione della password, immetti i seguenti valori:

    • ID criteri predefiniti: immetti il nome del flusso utente di registrazione e accesso che hai creato. Il nome è preceduto dal prefisso B2C_1.

    • ID criteri reimpostazione password: se hai creato un flusso utente di reimpostazione della password, immettine il nome. Il nome è preceduto dal prefisso B2C_1.

    • Autorità emittenti valide: immetti un elenco delimitato da virgole degli URL delle autorità emittenti per i flussi utente di registrazione, di accesso e di reimpostazione della password che hai creato.

  4. (Facoltativo) Espandi Impostazioni aggiuntive e modifica le impostazioni secondo necessità.

  5. Seleziona Conferma.

Impostazioni aggiuntive in Power Pages

Le impostazioni aggiuntive ti offrono un controllo più preciso su come gli utenti si autenticano con il provider di identità di Azure AD B2C. Non è necessario impostare nessuno di questi valori. Sono del tutto facoltativi.

  • Mapping attestazioni di registrazione​ e Mappig attestazioni di accesso: nell'autenticazione utente, un'attestazione è un'informazione che descrive l'identità di un utente, come un indirizzo e-mail o una data di nascita. Quando accedi a un'applicazione o a un sito Web, viene creato un token. Un token contiene informazioni sulla tua identità, incluse eventuali attestazioni ad essa associate. I token vengono utilizzati per autenticare la tua identità quando accedi ad altre parti dell'applicazione o del sito o ad altre applicazioni e siti connessi allo stesso provider di identità. Il mapping delle attestazioni è un modo per modificare le informazioni incluse in un token. Può essere utilizzato per personalizzare le informazioni disponibili per l'applicazione o il sito e per controllare l'accesso a funzionalità o dati. Il mapping delle attestazioni di registrazione modifica le attestazioni emesse quando ti registri su un'applicazione o un sito. Il mapping delle attestazioni di accesso modifica le attestazioni emesse quando accedi a un'applicazione o a un sito. Altre informazioni sui criteri di mapping delle attestazioni.

    • Non è necessario inserire valori per queste impostazioni se utilizzi gli attributi e-mail, nome o cognome. Per altri attributi, immetti un elenco di coppie logiche nome/valore. Immettili nel formato field_logical_name=jwt_attribute_name, in cui field_logical_name è il nome logico del campo in Power Pages e jwt_attribute_name è l'attributo con il valore restituito dal provider di identità. Queste coppie vengono utilizzate per mappare i valori delle attestazioni (creati durante l'iscrizione o l'accesso e restituiti da Azure AD B2C) agli attributi nel record del contatto.

      Ad esempio, si utilizza Posizione (jobTitle) e Codice postale (postalCode) come Attributi utente nel flusso utente. Desideri aggiornare i corrispondenti Contact campi della tabella Posizione (jobtitle) e Indirizzo 1: CAP/Codice postale (indirizzo1_codicepostale). In questo caso, immetti il mapping delle attestazioni come jobtitle=jobTitle,address1_postalcode=postalCode.

  • Disconnessione esterna: questa impostazione controlla se il tuo sito utilizza la disconnessione federata. Con la disconnessione federata, quando gli utenti si disconnettono da un'applicazione o da un sito, vengono disconnessi anche da tutte le applicazioni e i siti che utilizzano lo stesso provider di identità. Ad esempio, se accedi a un sito utilizzando il tuo account Microsoft e quindi esci dal tuo account Microsoft, la disconnessione federata garantisce che verrai disconnesso anche dal sito.

    • Attivato: reindirizza gli utenti all'esperienza utente di disconnessione federata quando si disconnettono dal tuo sito Web.
    • Disattivato: disconnette gli utenti solo dal tuo sito Web.
  • Mapping dei contatti con e-mail: questa impostazione determina se i contatti sono mappati a un indirizzo e-mail corrispondente quando accedono.

    • Attivato: associa un unico record di contatto a un indirizzo e-mail corrispondente e assegna automaticamente il provider di identità esterno al contatto dopo che l'utente ha effettuato correttamente l'accesso.
    • Disattivato : il record del contatto non corrisponde a un provider di identità. Opzione predefinita per questa impostazione.
  • Registrazione abilitata : questa impostazione verifica se gli utenti possono registrarsi sul tuo sito.

    • Attivata: visualizza una pagina di registrazione in cui gli utenti possono creare un account sul tuo sito.
    • Disattivata: disabilita e nasconde la pagina di registrazione dell'account esterno.

Vedi anche

Configurare l'autenticazione del sito
Migrare i provider di identità in Azure AD B2C