Omleidings-URL's instellen op b2clogin.com voor Azure Active Directory B2C

2025-05-03

Belangrijk

Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.

Wanneer u een id-provider instelt voor registratie en aanmelding in uw Azure Active Directory B2C-toepassingen (Azure AD B2C), moet u de eindpunten van de Azure AD B2C-id-provider opgeven. U moet niet langer verwijzen naar login.microsoftonline.com in uw toepassingen en API's voor het verifiëren van gebruikers met Azure AD B2C. Gebruik in plaats daarvan b2clogin.com of een aangepast domein voor alle toepassingen.

Op welke eindpunten zijn deze wijzigingen van toepassing

De overgang naar b2clogin.com is alleen van toepassing op verificatie-eindpunten die gebruikmaken van Azure AD B2C-beleid (gebruikersstromen of aangepaste beleidsregels) om gebruikers te verifiëren. Deze eindpunten hebben een <policy-name> parameter, waarmee het beleid wordt opgegeven dat Azure AD B2C moet gebruiken. Meer informatie over Azure AD B2C-beleid.

Oude eindpunten kunnen er als volgt uitzien:

https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize of https://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name> voor /authorize eindpunt.
https://login.microsoft.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logout of https://login.microsoft.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name> voor /logout eindpunt.

Een bijbehorend bijgewerkt eindpunt ziet er ongeveer als volgt uit:

https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize of https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name> voor het /authorize eindpunt.
https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logout of https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name> voor het /logout eindpunt.

Met een aangepast Azure AD B2C-domein zou het bijgewerkte eindpunt er ongeveer als volgt uitzien. U kunt een van deze eindpunten gebruiken:

https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/authorize of https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/authorize?p=<policy-name> voor het /authorize eindpunt.
https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/logout of https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/logout?p=<policy-name> voor het /logout eindpunt.

Eindpunten die niet worden beïnvloed

Sommige klanten gebruiken de gedeelde mogelijkheden van Microsoft Entra Enterprise-tenants. U kunt bijvoorbeeld een toegangstoken verkrijgen om de MS Graph API van de Azure AD B2C-tenant aan te roepen.

Deze wijziging heeft geen invloed op alle eindpunten, die geen beleidsparameter in de URL bevatten. Ze zijn alleen toegankelijk met de login.microsoftonline.com eindpunten van de Microsoft Entra-id en kunnen niet worden gebruikt met de b2clogin.com of aangepaste domeinen. In het volgende voorbeeld ziet u een geldig tokeneindpunt van het Microsoft Identity Platform:

https://login.microsoftonline.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token

Als u echter alleen een token wilt verkrijgen om gebruikers te verifiëren, kunt u het beleid opgeven dat uw toepassing wil gebruiken om gebruikers te verifiëren. In dit geval zien de bijgewerkte /token eindpunten er ongeveer als volgt uit.

https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/token of https://<tenant-name>.b2clogin.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token?p=<policy-name> wanneer u b2clogin.com gebruikt.
https://login.contoso.com/<tenant-name>.onmicrosoft.com/<policy-name>/oauth2/v2.0/token of https://login.contoso.com/<tenant-name>.onmicrosoft.com/oauth2/v2.0/token?p=<policy-name> wanneer u een aangepast domein gebruikt.

Overzicht van vereiste wijzigingen

Er zijn verschillende wijzigingen die u mogelijk moet aanbrengen om uw toepassingen te migreren vanuit login.microsoftonline.com met behulp van Azure AD B2C-eindpunten:

Wijzig de omleidings-URL in de toepassingen van uw id-provider om te verwijzen naar b2clogin.com of aangepast domein. Raadpleeg de richtlijnen voor het wijzigen van omleidings-URL's van identiteitsproviders voor meer informatie.
Werk uw Azure AD B2C-toepassingen bij om b2clogin.com of aangepast domein te gebruiken in hun gebruikersstroom- en tokeneindpuntverwijzingen. De wijziging kan bestaan uit het bijwerken van uw gebruik van een verificatiebibliotheek, zoals Microsoft Authentication Library (MSAL).
Werk alle toegestane origins bij die u in de CORS-instellingen definieert voor aanpassing van de gebruikersinterface.

Omleidings-URL's van id-provider wijzigen

Wijzig op de website van elke id-provider waarin u een toepassing hebt gemaakt, alle vertrouwde URL's om te leiden naar your-tenant-name.b2clogin.comof een aangepast domein in plaats van login.microsoftonline.com.

Er zijn twee indelingen die u kunt gebruiken voor uw b2clogin.com omleidings-URL's. Het eerste biedt het voordeel dat 'Microsoft' nergens in de URL wordt weergegeven met behulp van de tenant-id (een GUID) in plaats van uw tenantdomeinnaam. Opmerking: het authresp eindpunt bevat mogelijk geen beleidsnaam.

https://{your-tenant-name}.b2clogin.com/{your-tenant-id}/oauth2/authresp

De tweede optie maakt gebruik van uw tenantdomeinnaam in de vorm van your-tenant-name.onmicrosoft.com. Voorbeeld:

https://{your-tenant-name}.b2clogin.com/{your-tenant-name}.onmicrosoft.com/oauth2/authresp

Voor beide indelingen:

Vervang door {your-tenant-name} de naam van uw Azure AD B2C-tenant.
Verwijderen /te als deze bestaat in de URL.

Uw toepassingen en API's bijwerken

De code in uw toepassingen en API's die gebruikmaken van Azure AD B2C kan op verschillende plaatsen naar login.microsoftonline.com verwijzen. Uw code kan bijvoorbeeld verwijzingen bevatten naar gebruikersstromen en tokeneindpunten. Werk het volgende bij om in plaats daarvan te verwijzen naar your-tenant-name.b2clogin.com:

Autorisatie-eindpunt
Tokeneindpunt
Tokenuitgever

Het eindpunt van de instantie voor het registratie-/aanmeldingsbeleid van Contoso is nu bijvoorbeeld:

https://contosob2c.b2clogin.com/00000000-0000-0000-0000-000000000000/B2C_1_signupsignin1

Zie Een OWIN-web-API migreren naar b2clogin.com voor informatie over het migreren van webtoepassingen op basis van OWIN naar b2clogin.com.

Zie de sectie Migreren naar b2clogin.com van Azure API Management-API's beveiligen met Azure AD B2C voor het migreren van Azure API Management-API's die zijn beveiligd met Azure AD B2C.

Microsoft Authentication Library (MSAL)

MSAL.NET ValidateAuthority-eigenschap

Als u MSAL.NET v2 of eerder gebruikt, stelt u de eigenschap ValidateAuthority in bij het aanmaken van de client om omleidingen naar false toe te staan. Het instellen van deze waarde false is niet vereist voor MSAL.NET v3 en hoger.

ConfidentialClientApplication client = new ConfidentialClientApplication(...); // Can also be PublicClientApplication
client.ValidateAuthority = false; // MSAL.NET v2 and earlier **ONLY**

MSAL voor de eigenschap ValidateAuthority voor JavaScript

Als u MSAL voor JavaScript v1.2.2 of eerder gebruikt, stelt u de eigenschap validateAuthority in op false.

// MSAL.js v1.2.2 and earlier
this.clientApplication = new UserAgentApplication(
  env.auth.clientId,
  env.auth.loginAuthority,
  this.authCallback.bind(this),
  {
    validateAuthority: false // Required in MSAL.js v1.2.2 and earlier **ONLY**
  }
);

Als u in MSAL.js 1.3.0+ (de standaardinstelling) instelt validateAuthority: true , moet u ook een geldige tokenverlener opgeven met knownAuthorities:

// MSAL.js v1.3.0+
this.clientApplication = new UserAgentApplication(
  env.auth.clientId,
  env.auth.loginAuthority,
  this.authCallback.bind(this),
  {
    validateAuthority: true, // Supported in MSAL.js v1.3.0+
    knownAuthorities: ['tenant-name.b2clogin.com'] // Required if validateAuthority: true
  }
);