Registreren en aanmelden met Mobile ID instellen met behulp van Azure Active Directory B2C
Voordat u begint, gebruikt u de selector Een beleidstype kiezen om het type beleid te kiezen dat u instelt. U kunt in Azure Active Directory B2C op twee manieren definiëren hoe gebruikers met uw toepassingen communiceren: via vooraf gedefinieerde gebruikersstromen of via volledig configureerbaar aangepast beleid. De stappen die in dit artikel zijn vereist, verschillen voor elke methode.
In dit artikel leert u hoe u klanten kunt aanmelden en aanmelden met Mobile ID in uw toepassingen met behulp van Azure Active Directory B2C (Azure AD B2C). De Mobile ID-oplossing beschermt de toegang tot uw bedrijfsgegevens en toepassingen met een uitgebreide end-to-end oplossing voor een sterke meervoudige verificatie (MFA). U voegt de mobiele id toe aan uw gebruikersstromen of aangepast beleid met behulp van het OpenID-protocol Verbinding maken.
Vereisten
- Maak een gebruikersstroom, zodat gebruikers zich bij uw toepassing kunnen registreren en aanmelden.
- Registreer een web-app.
- Voer de stappen in Aan de slag met aangepast beleid in Active Directory B2C uit.
- Registreer een web-app.
Een Mobile ID-toepassing maken
Als u aanmelding wilt inschakelen voor gebruikers met Mobile ID in Azure AD B2C, moet u een toepassing maken. Voer de volgende stappen uit om een Mobile ID-toepassing te maken:
Neem contact op met de ondersteuning van Mobile ID.
Geef de mobiele id op voor de informatie over uw Azure AD B2C-tenant:
Key Notitie Omleidings-URI Geef de https://your-tenant-name.b2clogin.com/your-tenant-name.onmicrosoft.com/oauth2/authresp
URI op. Als u een aangepast domein gebruikt, voert uhttps://your-domain-name/your-tenant-name.onmicrosoft.com/oauth2/authresp
in. Vervangyour-tenant-name
door uw de naam van uw tenant enyour-domain-name
door de van uw aangepaste domein.Verificatiemethode voor tokeneindpunt client_secret_post
Nadat de app is geregistreerd, wordt de volgende informatie verstrekt door de mobiele id. Gebruik deze informatie om uw gebruikersstroom of aangepast beleid te configureren.
Key Notitie Client-id De mobile ID-client-id. Bijvoorbeeld 111111111-2222-3333-4444-55555555555555. Clientgeheim Het mobile ID-clientgeheim.
Mobiele id configureren als id-provider
Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het bovenste menu om over te schakelen naar uw Azure AD B2C-tenant in het menu Mappen en abonnementen.
Kies Alle services linksboven in de Azure Portal, zoek Azure AD B2C en selecteer deze.
Selecteer Id-providers en selecteer vervolgens Nieuwe OpenID Connect-provider.
Voer bij Naam een naam in. Voer bijvoorbeeld Mobile ID in.
Voer voor metagegevens-URL het bekende configuratie-eindpunt openId in voor de URL Mobile ID. Bijvoorbeeld:
https://openid.mobileid.ch/.well-known/openid-configuration
Voer voor client-id de client-id van de mobiele id in.
Voer voor clientgeheim het clientgeheim van de mobiele id in.
Voer de
openid, profile, phone, mid_profile
in voor Bereik.Laat de standaardwaarden voor het antwoordtype (
code
) en de antwoordmodus (form_post
) staan.Voer
mobileid.ch
in voor Domeinhint (optioneel). Raadpleeg Direct aanmelden met behulp van Azure Active Directory B2C instellen.Selecteer onder Claimstoewijzing voor id-provider de volgende claims:
- Gebruikers-id: sub
- Weergavenaam: name
Selecteer Opslaan.
Mobile ID-id-id-provider toevoegen aan een gebruikersstroom
Op dit moment is de id-provider voor mobiele id's ingesteld, maar deze is nog niet beschikbaar op een van de aanmeldingspagina's. De id-provider van de mobiele id toevoegen aan een gebruikersstroom:
- Selecteer Gebruikersstromen in uw Azure AD B2C-tenant.
- Selecteer de gebruikersstroom die u wilt toevoegen aan de id-provider voor mobiele id's.
- Selecteer Mobiele id onder de id-providers voor sociale netwerken.
- Selecteer Opslaan.
- Selecteer Gebruikersstroom uitvoeren om uw beleid te testen.
- Selecteer voor Toepassing de webtoepassing met de naam testapp1 die u eerder hebt geregistreerd. De antwoord-URL moet
https://jwt.ms
weergeven. - Klik op de knop Gebruikersstroom uitvoeren.
- Selecteer op de registratie- of aanmeldingspagina mobiele id om u aan te melden met Mobile ID.
Als het aanmeldingsproces is voltooid, wordt uw browser omgeleid naar https://jwt.ms
, waar de inhoud van het door Azure AD B2C geretourneerde token wordt weergegeven.
Een beleidssleutel maken
U moet het clientgeheim opslaan dat u hebt ontvangen van Mobile ID in uw Azure AD B2C-tenant.
- Meld u aan bij de Azure-portal.
- Zorg ervoor dat u de map gebruikt die uw Azure AD B2C-tenant bevat. Selecteer het filter Map + abonnement in het bovenste menu en kies de map die uw tenant bevat.
- Kies Alle services linksboven in de Azure Portal, zoek Azure AD B2C en selecteer deze.
- Selecteer Identity Experience Framework op de overzichtspagina.
- Selecteer Beleidssleutels en vervolgens Toevoegen.
- Voor Opties kiest u
Manual
. - Voer een naam in voor de beleidssleutel. Bijvoorbeeld
Mobile IDSecret
. Het voorvoegselB2C_1A_
wordt automatisch toegevoegd aan de naam van uw sleutel. - Voer in Geheim uw Mobile ID-clientgeheim in.
- Selecteer voor Sleutelgebruik de optie
Signature
. - Selecteer Maken.
Mobiele id configureren als id-provider
Als u wilt dat gebruikers zich kunnen aanmelden met behulp van een mobiele id, moet u de mobiele id definiëren als een claimprovider waarmee Azure AD B2C kan communiceren via een eindpunt. Het eindpunt biedt een set claims die worden gebruikt door Azure AD B2C om te controleren of een specifieke gebruiker is geverifieerd.
U kunt een mobiele id definiëren als claimprovider door deze toe te voegen aan het element ClaimsProviders in het extensiebestand van uw beleid.
Open het bestand TrustFrameworkExtensions.xml.
Ga naar het element ClaimsProviders. Als deze niet bestaat, voegt u deze toe onder het hoofdelement.
Voeg als volgt een nieuwe ClaimsProvider toe:
<ClaimsProvider> <Domain>mobileid.ch</Domain> <DisplayName>Mobile-ID</DisplayName> <TechnicalProfiles> <TechnicalProfile Id="MobileID-OAuth2"> <DisplayName>Mobile-ID</DisplayName> <Protocol Name="OAuth2" /> <Metadata> <Item Key="ProviderName">Mobile-ID</Item> <Item Key="authorization_endpoint">https://m.mobileid.ch/oidc/authorize</Item> <Item Key="AccessTokenEndpoint">https://openid.mobileid.ch/token</Item> <Item Key="ClaimsEndpoint">https://openid.mobileid.ch/userinfo</Item> <Item Key="scope">openid, profile, phone, mid_profile</Item> <Item Key="HttpBinding">POST</Item> <Item Key="UsePolicyInRedirectUri">false</Item> <Item Key="token_endpoint_auth_method">client_secret_post</Item> <Item Key="BearerTokenTransmissionMethod">AuthorizationHeader</Item> <Item Key="client_id">Your application ID</Item> </Metadata> <CryptographicKeys> <Key Id="client_secret" StorageReferenceId="B2C_1A_MobileIdSecret" /> </CryptographicKeys> <OutputClaims> <OutputClaim ClaimTypeReferenceId="issuerUserId" PartnerClaimType="sub"/> <OutputClaim ClaimTypeReferenceId="displayName" PartnerClaimType="name"/> <OutputClaim ClaimTypeReferenceId="identityProvider" DefaultValue="mobileid.ch" /> <OutputClaim ClaimTypeReferenceId="authenticationSource" DefaultValue="socialIdpAuthentication" /> </OutputClaims> <OutputClaimsTransformations> <OutputClaimsTransformation ReferenceId="CreateRandomUPNUserName" /> <OutputClaimsTransformation ReferenceId="CreateUserPrincipalName" /> <OutputClaimsTransformation ReferenceId="CreateAlternativeSecurityId" /> <OutputClaimsTransformation ReferenceId="CreateSubjectClaimFromAlternativeSecurityId" /> </OutputClaimsTransformations> <UseTechnicalProfileForSessionManagement ReferenceId="SM-SocialLogin" /> </TechnicalProfile> </TechnicalProfiles> </ClaimsProvider>
Stel client_id in op de mobile ID-client-id.
Sla het bestand op.
Een gebruikerstraject toevoegen
Op dit punt is de id-provider ingesteld, maar is deze nog niet beschikbaar op een van de aanmeldingspagina's. Als u niet over een eigen aangepast gebruikerstraject beschikt, maakt u een duplicaat van een bestaand gebruikerstrajectsjabloon. In het andere geval gaat u verder met de volgende stap.
- Open het bestand TrustFrameworkBase.xml vanuit het starterspakket.
- Zoek en kopieer de volledige inhoud van het element UserJourney dat
Id="SignUpOrSignIn"
bevat. - Open het bestand TrustFrameworkExtensions.xml en ga naar het element UserJourneys. Als het element niet voorkomt, voegt u het toe.
- Plak de volledige inhoud van het element UserJourney dat u hebt gekopieerd als een onderliggend element van het element UserJourneys.
- Wijzig de naam van de id van het gebruikerstraject. Bijvoorbeeld
Id="CustomSignUpSignIn"
.
De id-provider toevoegen aan een gebruikerstraject
Nu u over een gebruikerstraject beschikt, voegt u de nieuwe id-provider toe aan het gebruikerstraject. U voegt eerst een aanmeldingsknop toe en koppelt de knop aan een actie. De actie is het technische profiel dat u eerder hebt gemaakt.
Ga in het gebruikerstraject naar het element van de indelingsstap dat
Type="CombinedSignInAndSignUp"
ofType="ClaimsProviderSelection"
bevat. Dit is doorgaans de eerste indelingsstap. Het element ClaimsProviderSelections bevat een lijst met id-providers waarmee een gebruiker zich kan aanmelden. De volgorde van de elementen bepaalt de volgorde van de aanmeldingsknoppen die aan de gebruiker worden gepresenteerd. Voeg een XML-element ClaimsProviderSelection toe. Stel de waarde van TargetClaimsExchangeId in op een beschrijvende naam.Voeg in de volgende indelingsstap een element ClaimsExchange toe. Stel de id in op de waarde van de Exchange-id van de doelclaims. Werk de waarde van TechnicalProfileReferenceId bij naar de id van het technische profiel dat u eerder hebt gemaakt.
In de volgende XML ziet u de eerste twee indelingsstappen van een gebruikerstraject met de id-provider:
<OrchestrationStep Order="1" Type="CombinedSignInAndSignUp" ContentDefinitionReferenceId="api.signuporsignin">
<ClaimsProviderSelections>
...
<ClaimsProviderSelection TargetClaimsExchangeId="MobileIDExchange" />
</ClaimsProviderSelections>
...
</OrchestrationStep>
<OrchestrationStep Order="2" Type="ClaimsExchange">
...
<ClaimsExchanges>
<ClaimsExchange Id="MobileIDExchange" TechnicalProfileReferenceId="MobileID-OAuth2" />
</ClaimsExchanges>
</OrchestrationStep>
Het Relying Party-beleid configureren
Met het Relying Party-beleid, bijvoorbeeld SignUpSignIn.xml, wordt het gebruikerstraject opgegeven dat door Azure AD B2C wordt uitgevoerd. Ga naar het element DefaultUserJourney binnen de Relying Party. Werk de ReferenceId bij zodat deze overeenkomt met de gebruikerstraject-id, waarin u de id-provider hebt toegevoegd.
In het volgende voorbeeld is voor het CustomSignUpSignIn
-gebruikerstraject de ReferenceId ingesteld op CustomSignUpSignIn
:
<RelyingParty>
<DefaultUserJourney ReferenceId="CustomSignUpSignIn" />
...
</RelyingParty>
Het aangepaste beleid uploaden
- Meld u aan bij de Azure-portal.
- Selecteer het pictogram Map + Abonnement in de werkbalk van de portal en selecteer vervolgens de map die uw Azure AD B2C-tenant bevat.
- Zoek en selecteer Azure AD B2C in de Azure-portal.
- Selecteer onder Beleid de optie Identity Experience Framework.
- Selecteer Aangepast beleid uploaden en upload vervolgens de twee beleidsbestanden die u hebt gewijzigd, in de volgende volgorde: het uitbreidingsbeleid, bijvoorbeeld
TrustFrameworkExtensions.xml
en vervolgens het Relying Party-beleid, zoalsSignUpSignIn.xml
.
Uw aangepaste beleid testen
- Selecteer uw Relying Party-beleid, bijvoorbeeld
B2C_1A_signup_signin
. - Selecteer voor Toepassing een webtoepassing die u eerder hebt geregistreerd. De antwoord-URL moet
https://jwt.ms
weergeven. - Selecteer de knop Nu uitvoeren.
- Selecteer op de registratie- of aanmeldingspagina mobiele id om u aan te melden met Mobile ID.
Als het aanmeldingsproces is voltooid, wordt uw browser omgeleid naar https://jwt.ms
, waar de inhoud van het door Azure AD B2C geretourneerde token wordt weergegeven.
Volgende stappen
Meer informatie over het doorgeven van het Mobile ID-token aan uw toepassing.