Verificatie configureren in een Azure Web App met behulp van Azure AD B2C

Belangrijk

Vanaf 1 mei 2025 is Azure AD B2C niet meer beschikbaar voor nieuwe klanten. Meer informatie vindt u in onze veelgestelde vragen.

In dit artikel wordt uitgelegd hoe u verificatiefunctionaliteit van Azure Active Directory B2C (Azure AD B2C) toevoegt aan een Azure-web-app. Raadpleeg voor meer informatie het artikel Uw App Service of Azure Functions-app configureren om u aan te melden met behulp van een OpenID Connect-provider .

Overzicht

OpenID Connect (OIDC) is een verificatieprotocol dat is gebaseerd op OAuth 2.0. Gebruik de OIDC om gebruikers veilig aan te melden bij een Azure-web-app. De aanmeldingsstroom omvat de volgende stappen:

1. Gebruikers gaan naar de Azure-web-app en selecteren Aanmelden.
2. De Azure-web-app initieert een verificatieaanvraag en leidt gebruikers om naar Azure AD B2C.
3. Gebruikers registreren zich of melden zich aan en stellen het wachtwoord opnieuw in. Ze kunnen zich ook aanmelden met een sociaal account.
4. Nadat gebruikers zich hebben aangemeld, retourneert Azure AD B2C een id-token naar de Azure-web-app.
5. Azure Web App valideert het id-token, leest de claims en retourneert een beveiligde pagina aan gebruikers.

Wanneer het id-token verloopt of de app-sessie ongeldig is, start Azure Web App een nieuwe verificatieaanvraag en leidt gebruikers om naar Azure AD B2C. Als de sessie met eenmalige aanmelding van Azure AD B2C actief is, geeft Azure AD B2C een toegangstoken af zonder dat gebruikers zich opnieuw hoeven aan te melden. Als de Azure AD B2C-sessie verloopt of ongeldig wordt, worden gebruikers gevraagd zich opnieuw aan te melden.

Vereiste voorwaarden

• Als u nog geen app hebt gemaakt, volgt u de richtlijnen voor het maken van een Azure-web-app.

Stap 1: Uw gebruikersstroom configureren

Wanneer gebruikers zich proberen aan te melden bij uw app, start de app een verificatieaanvraag naar het autorisatie-eindpunt via een gebruikersstroom. De gebruikersstroom definieert en bepaalt de gebruikerservaring. Nadat gebruikers de gebruikersstroom hebben voltooid, genereert Azure AD B2C een token en leidt het gebruikers vervolgens terug naar de toepassing.

Maak een gebruikersstroom of een aangepast beleid als u dit nog niet hebt gedaan. Herhaal de stappen om de volgende drie afzonderlijke gebruikersstromen te maken:

• Een gecombineerde gebruikersstroom voor aanmelden en registreren, zoals susi. Deze gebruikersstroom ondersteunt ook de ervaring Wachtwoord vergeten.
• Een gebruikersstroom voor profielbewerking, zoals edit_profile.
• Een gebruikersstroom voor Wachtwoord opnieuw instellen, zoals reset_password.

Azure AD B2C voegt B2C_1_ aan de naam van de gebruikersstroom toe. susi wordt bijvoorbeeld B2C_1_susi.

Stap 2: Een webtoepassing registreren

Als u wilt dat uw toepassing zich kan aanmelden met Azure AD B2C, registreert u uw toepassing in de Azure AD B2C-map. Als u uw app registreert, wordt er een vertrouwensrelatie tot stand brengt tussen de app en Azure AD B2C.

Tijdens de app-registratie geeft u de omleidings-URI op. De omleidings-URI is het eindpunt waarnaar gebruikers worden geleid door Azure AD B2C nadat ze zich bij Azure AD B2C hebben geverifieerd. Het toepassingsregistratieproces genereert een toepassings-id, ook wel client-id genoemd, waarmee uw toepassing op unieke wijze wordt aangeduid. Nadat uw toepassing is geregistreerd, gebruikt Azure AD B2C zowel de toepassings-id als de omleidings-URI om verificatieaanvragen te maken. U maakt ook een clientgeheim dat door uw app wordt gebruikt om de tokens veilig te verkrijgen.

Stap 2.1: De app registreren

Voer de volgende stappen uit om uw toepassing te registreren:

1. Meld u aan bij het Azure-portaal.

2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het hoofdmenu om over te schakelen naar uw Azure AD B2C-tenant vanuit het menu Mappen + abonnementen.

3. Zoek en selecteer Azure AD B2C in de Azure-portal.

4. Selecteer App-registraties en selecteer vervolgens Nieuwe registratie.

5. Voer onder Naam een naam in voor de toepassing (bijvoorbeeld Mijn Azure-web-app).

6. Selecteer onder Ondersteunde accounttypenAccounts in een id-provider of organisatiemap (voor verificatie van gebruikers met gebruikersstromen).

7. Selecteer onder Omleidings-URI de optie Web en voer vervolgens in het vak URL https://<YOUR_SITE>/.auth/login/aadb2c/callback in. Vervang de <YOUR_SITE> naam van uw Azure-web-app. Voorbeeld: https://contoso.azurewebsites.net/.auth/login/aadb2c/callback. Als u de aangepaste domeinen van een Azure-web-app hebt geconfigureerd, gebruikt u het aangepaste domein in de omleidings-URI. Bijvoorbeeld https://www.contoso.com/.auth/login/aadb2c/callback

8. Schakel onder Machtigingen het selectievakje Beheerdersgoedkeuring verlenen aan machtigingen van OpenID en offline_access in.

9. Selecteer Registreren.

10. Selecteer Overzicht.

11. Noteer voor later gebruik de toepassings-id (client) wanneer u de webtoepassing configureert.

    

Stap 2.2: een clientgeheim maken

1. Selecteer op de pagina Azure AD B2C - App-registraties de toepassing die u hebt gemaakt, bijvoorbeeld Mijn Azure-web-app.
2. Selecteer in het linkermenu onder Beherende optie Certificaten & geheimen.
3. Selecteer nieuwe clientsleutel.
4. Voer een beschrijving in voor het clientgeheim in het vak Beschrijving. Bijvoorbeeld clientsecret1.
5. Selecteer onder Verloopt een duur waarvoor het geheim geldig is en selecteer vervolgens Toevoegen.
6. Registreer de waarde van het geheim voor gebruik in de code van uw clienttoepassing. Deze geheimwaarde wordt nooit meer weergegeven nadat u deze pagina hebt verlaten. U gebruikt deze waarde als het toepassingsgeheim in de code van uw toepassing.

Stap 3: Configureer de Azure-app

1. Meld u aan bij het Azure-portaal.

2. Als je toegang hebt tot meerdere tenants, selecteer je het Instellingen-pictogram in het bovenste menu om over te schakelen naar je Microsoft Entra ID-tenant vanuit het menu Directories + abonnementen.

3. Navigeer naar uw Azure-web-app.

4. Selecteer Verificatie in het menu aan de linkerkant. Selecteer Id-provider toevoegen.

5. Selecteer OpenID Connect in de vervolgkeuzelijst met id-providers.

6. Typ voor aadb2c .

7. Selecteer bij invoer van metagegevens de optie Document-URL. Geef vervolgens voor de URL van het document de volgende URL op:

   https://<TENANT_NAME>.b2clogin.com/<TENANT_NAME>.onmicrosoft.com/<POLICY_NAME>/v2.0/.well-known/openid-configuration
   

   1. Vervang <TENANT_NAME> door het eerste deel van uw Azure AD B2C-tenantnaam (bijvoorbeeld https://contoso.b2clogin.com/contoso.onmicrosoft.com). Als u aangepaste domeinen heeft geconfigureerd , kunt u dat aangepaste domein gebruiken. Vervang de naam van uw B2C-tenant, contoso.onmicrosoft.com, in de URL van de verificatieaanvraag door de GUID van uw tenant-id. U kunt bijvoorbeeld overschakelen naar https://fabrikamb2c.b2clogin.com/contoso.onmicrosoft.com/https://account.contosobank.co.uk/<tenant ID GUID>/.

   2. Vervang de <POLICY_NAME> door de gebruikersstromen of het aangepaste beleid dat u in stap 1 hebt gemaakt.

8. Geef voor de client-ID de Web App (client)-ID op uit stap 2.1.

9. Geef voor het clientgeheim het geheim van de web-app (client) op uit stap 2.2.

   Aanbeveling

   Uw clientgeheim wordt opgeslagen als een toepassingsinstelling om ervoor te zorgen dat geheimen op een veilige manier worden opgeslagen. U kunt deze instelling later bijwerken om Key Vault-verwijzingen te gebruiken als u het geheim wilt beheren in Azure Key Vault.

10. Bewaar de rest van de instellingen met de standaardwaarden.

11. Druk op de knop Toevoegen om het instellen van de id-provider te voltooien.

Stap 4: De Azure-web-app controleren

1. Navigeer in uw browser naar uw Azure Web App met behulp van https://<app-name>.azurewebsites.net . Vervang de <app-name> door de naam van uw Azure-webtoepassing.
2. Voltooi het registratie- of aanmeldingsproces.
3. Navigeer in uw browser naar de volgende URL https://<app-name>.azurewebsites.net/.auth/me om de informatie over de ingelogde gebruiker te bekijken. Vervang de <app-name> door de naam van uw Azure-webtoepassing.

Tokens ophalen in toepassingscode

Vanuit uw servercode worden de providerspecifieke tokens geïnjecteerd in de aanvraagheader, zodat u ze eenvoudig kunt openen. De volgende tabel toont mogelijke token-headernamen.

Koptekstnaam	Beschrijving
X-MS-CLIENT-PRINCIPAL-NAME	De weergavenaam van de gebruiker.
X-MS-CLIENT-PRINCIPAL-ID	De subclaim id-token.
X-MS-CLIENT-PRINCIPAL-IDP	De naam van de id-provider, aadb2c.
X-MS-TOKEN-AADB2C-ID-TOKEN	Het id-token dat is uitgegeven door Azure AD B2C

Volgende stappen

• Als de verificatie is geslaagd, kunt u de weergavenaam weergeven op de navigatiebalk. Als u de claims wilt weergeven die het Azure AD B2C-token naar uw app retourneert, kunt u Werken met gebruikersidentiteiten in Azure App Service-authenticatie bekijken.
• Meer informatie over het werken met OAuth-tokens in Azure App Service-verificatie.