Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.
Azure Active Directory B2C (Azure AD B2C) biedt identiteit als een service voor uw apps door ondersteuning te bieden voor twee industriestandaardprotocollen: OpenID Connect en OAuth 2.0. De service voldoet aan de standaarden, maar elke twee implementaties van deze protocollen kunnen subtiele verschillen hebben.
De informatie in deze handleiding is handig als u uw code schrijft door HTTP-aanvragen rechtstreeks te verzenden en te verwerken in plaats van een opensource-bibliotheek te gebruiken. U wordt aangeraden deze pagina te lezen voordat u de details van elk specifiek protocol bekijkt. Maar als u al bekend bent met Azure AD B2C, kunt u rechtstreeks naar de referentiehandleidingen voor protocollen gaan.
De basisbeginselen
Elke app die gebruikmaakt van Azure AD B2C moet worden geregistreerd in uw B2C-directory in Azure Portal. Het app-registratieproces verzamelt en wijst enkele waarden toe aan uw app:
Een toepassings-id die uw app uniek identificeert.
Een omleidings-URI of pakket-id die kan worden gebruikt om antwoorden terug te sturen naar uw app.
Enkele andere scenariospecifieke waarden. Meer informatie over het registreren van uw toepassing.
Nadat u uw app hebt geregistreerd, communiceert deze met Azure AD B2C door aanvragen naar het eindpunt te verzenden:
https://{tenant}.b2clogin.com/{tenant}.onmicrosoft.com/oauth2/v2.0/authorize
https://{tenant}.b2clogin.com/{tenant}.onmicrosoft.com/oauth2/v2.0/token
Als u een aangepast domein gebruikt, vervang dan {tenant}.b2clogin.com door het aangepaste domein, zoals contoso.com, in de eindpunten.
In bijna alle OAuth- en OpenID Connect-stromen zijn vier partijen betrokken bij de uitwisseling:
De autorisatieserver is het Azure AD B2C-eindpunt. Het verwerkt veilig alles met betrekking tot gebruikersgegevens en -toegang. Het verwerkt ook de vertrouwensrelaties tussen de partijen in een proces. Het is verantwoordelijk voor het verifiëren van de identiteit van de gebruiker, het verlenen en intrekken van toegang tot resources en het uitgeven van tokens. Het wordt ook wel de id-provider genoemd.
De resource-eigenaar is doorgaans de eindgebruiker. Het is de partij die eigenaar is van de gegevens en heeft de bevoegdheid om derden toegang te geven tot die gegevens of resources.
De OAuth-client is jouw app. Deze wordt geïdentificeerd door de toepassings-id. Het is meestal de partij waarmee eindgebruikers communiceren. Ook worden tokens van de autorisatieserver aangevraagd. De eigenaar van de resource moet de client toestemming geven om toegang te krijgen tot de resource.
De resourceserver is de locatie waar de resource of gegevens zich bevinden. Er wordt vertrouwd op de autorisatieserver om de OAuth-client veilig te verifiëren en te autoriseren. Er worden ook bearer-toegangstokens gebruikt om ervoor te zorgen dat toegang tot een resource kan worden verleend.
Beleid en gebruikersstromen
Azure AD B2C breidt de standaard OAuth 2.0- en OpenID Connect-protocollen uit door beleidsregels in te voeren. Hierdoor kan Azure AD B2C veel meer dan eenvoudige verificatie en autorisatie uitvoeren.
Om u te helpen bij het instellen van de meest voorkomende identiteitstaken, bevat de Azure AD B2C-portal vooraf gedefinieerde, configureerbare beleidsregels die gebruikersstromen worden genoemd. Gebruikersstromen beschrijven gebruikersidentiteitservaringen volledig, waaronder registreren, aanmelden en profielbewerking. Gebruikersstromen kunnen worden gedefinieerd in een gebruikersinterface met beheerdersrechten. Ze kunnen worden uitgevoerd met behulp van een speciale queryparameter in HTTP-verificatieaanvragen.
Beleidsregels en gebruikersstromen zijn geen standaardfuncties van OAuth 2.0 en OpenID Connect, dus neem de tijd om ze te begrijpen. Zie de naslaghandleiding voor azure AD B2C-gebruikersstromen voor meer informatie.
Symbolen
De Azure AD B2C-implementatie van OAuth 2.0 en OpenID Connect maakt uitgebreid gebruik van bearer-tokens, waaronder bearer-tokens die worden weergegeven als JSON-webtokens (JWTs). Een bearer-token is een lichtgewicht beveiligingstoken dat de bearer-toegang verleent tot een beveiligde resource.
De drager is elke partij die het token kan voorleggen. Azure AD B2C moet eerst een partij verifiëren voordat deze een bearer-token kan ontvangen. Maar als de vereiste stappen niet worden uitgevoerd om het token in overdracht en opslag te beveiligen, kan het worden onderschept en gebruikt door een onbedoelde partij.
Sommige beveiligingstokens hebben ingebouwde mechanismen die verhinderen dat onbevoegde partijen deze gebruiken, maar bearer-tokens hebben dit mechanisme niet. Ze moeten worden vervoerd in een beveiligd kanaal, zoals een transportlaagbeveiliging (HTTPS).
Als een bearer-token buiten een beveiligd kanaal wordt verzonden, kan een kwaadwillende partij een man-in-the-middle-aanval gebruiken om het token te verkrijgen en te gebruiken om onbevoegde toegang te krijgen tot een beveiligde resource. Dezelfde beveiligingsprincipes gelden wanneer bearertokens worden opgeslagen of in de cache worden opgeslagen voor later gebruik. Zorg ervoor dat uw app bearertokens op een veilige manier verzendt en opslaat.
Zie RFC 6750 Section 5 voor extra beveiligingsoverwegingen voor bearer-token.
Meer informatie over de verschillende typen tokens die worden gebruikt in Azure AD B2C, zijn beschikbaar in de naslaginformatie over azure AD B2C-tokens.
Protocollen
Wanneer u klaar bent om enkele voorbeeldaanvragen te bekijken, kunt u beginnen met een van de volgende zelfstudies. Elk komt overeen met een bepaald verificatiescenario. Als u hulp nodig hebt bij het bepalen welke stroom geschikt is voor u, bekijkt u de typen apps die u kunt bouwen met behulp van Azure AD B2C.